fbpx

Audyt. Co to jest, jak przeprowadzić i czym różni się zewnętrzny od wewnętrznego

audyt

Audyt, czy audit? Czym się różni audyt zewnętrzny od audytu wewnętrznego? Jako go przeprowadzić? Na te i inne pytania znajdziecie odpowiedź w tym artykule. Poniżej spis treści, wystarcz że klikniesz w interesujący Ciebie link i zostaniesz przeniesiony do części artykułu.

Pomocy możemy szukać w wielu miejscach; podręcznikach, literaturze, organizacjach międzynarodowych, czy normach.

Na przykład norma PN EN ISO 19011 „Wytyczne dotyczące auditowania systemów zarządzania” jest uniwersalnym standardem skupiającym się na zasadach auditowania systemów zarządzania. Norma zawiera informacje na temat zarządzania programami auditów, planowania, auditowania a także wytyczne dotyczące kompetencji i oceny auditorów i zespołu auditorskiego.

Audit czy Audyt?

Kolejna kwestia, którą warto poruszyć tytułem wstępu: Audyt czy audit?

Słowo audyt w praktyce jest często zastępowane krytykowanym wariantem audit. Pomimo tego, że postać audit stanowi odstępstwo od polskich prawideł zapożyczeniowych i nie jest notowana w słownikach normatywnej polszczyzny, forma ta na stałe wpisała się w słownictwo osób zaangażowanych w systemy zarządzania jakością, środowiskiem i bhp. Rozpowszechnienie terminu audit jest skutkiem niefortunnego tłumaczenia norm ISO przez Polski Komitet Normalizacyjny (PKN).

W większości polskich norm używa się słowa audit. Wyjątkiem była norma PN-ISO/IEC 27001:2007, jednak wg opinii PKN (Polski Komitet Normalizacyjny) była to pomyłka – powinno się bowiem stosować jednolitą terminologię.

Rozróżnienie między audytem i auditem ma od razu dać do zrozumienia, z czym mamy do czynienia. Audyt bowiem kojarzony jest z działaniem kontrolnym w branży finansowej. Audit zaś to działania mające wykazać zgodność systemu (lub jej brak) z wymaganiami normy.
W rzeczywistości jednak nie ma znaczenia, której formy będziemy używać, dopóki nasi rozmówcy będą wiedzieć o czym mówimy.

Historia audytu

„Audyt” pochodzi od łacińskiego słowa „auditor” – tj. słuchacz, słuchający. W starożytności było to działanie mające na celu zapobieganie błędom w rachunkach i stracie pieniędzy.

Określenie audyt związane było z „przesłuchaniem rachunków“. W starożytnym Rzymie jeden urzędnik „przesłuchiwał“ , czyli porównywał ich treść z innymi dokumentami, co miało zapobiegać błędom i stracie pieniędzy.

Instytucja audytu (ang. auditing) istnieje i rozwija się od początku XIX wieku. Wtedy audyt był działaniem niezależnych ekspertów, którzy stwierdzali prawdziwość i jasny obraz sytuacji finansowej podmiotu gospodarczego, bądź wskazywali na jakieś niedociągnięcia.

Początkowo miał charakter zewnętrzny. Zmiana jednak nastąpiła na początku XX wieku.

Organizacje, chcąc uniezależnić się od audytorów zewnętrznych, zaczęły zatrudniać własnych audytorów, którzy weryfikowali poprawność zapisów księgowych, zgodność procedur z przepisami, a także skuteczność mechanizmów kontrolnych.

Rekrutowali się ze środowiska biegłych rewidentów i stąd początkowo rodzący się audyt wewnętrzny był zdominowany przez zagadnienia księgowe.

Audyt jest przeprowadzany przez niezależnych ekspertów (wewnętrznych lub zewnętrznych), czyli nazywania jako audytorzy.

Współcześnie audyt przeprowadzany jest w sposób ukierunkowany raczej na usprawnienie organizacji, niż na wskazanie nieprawidłowości.

Nie ma charakteru represyjnego, a w raporcie z audyt nie powinno wymieniać się nazwisk i wskazywać winnych.

Badanie rozpoczyna się od analizy ryzyka, a podstawą badania są systemy kontroli.

Jak wiemy z doświadczenia pojęcie audytu bywa mylone z kontrolą.

W odróżnieniu od kontroli audyt działa na podstawie planu (kontrola często przeprowadzana jest na zlecenie), jego celem jest usprawnienie organizacji (celem kontroli jest znalezienie nieprawidłowości i winnych), skupia się na ocenie ex-ante i jest niezależny, natomiast kontrola z reguły ex-post.

I teraz ważne byśmy zapamiętali, że audyt to nie kontrola!

Współcześnie pojęcie audyt funkcjonuje w kilkunastu dziedzinach, np. informatyce, energetyce, finansach i najbardziej nas interesujące – audyt systemu zarządzania i audyt własnej firmy.

Audyt definicja

Ogólna definicja audytu:

Audyt to niezależna ocena danej organizacji, systemu, procesu, projektu lub produktu. Przedmiot audytu jest badany pod względem zgodności z określonymi standardami, wzorcami, listami kontrolnymi, przepisami prawa, normami lub przepisami wewnętrznymi organizacji (polityki, procedury).

Definicja audytu zgodnie z normą ISO 19011:

Zgodnie z normą PN EN ISO 19011 audyt to: „systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu”.

Co to audyt wewnętrzny?

Audyt wewnętrzny definicja– według definicji podanej przez The Institute of Internal Auditors (IIA) – jest niezależną działalnością doradczą i weryfikującą, której celem jest usprawnienie operacyjne organizacji i wniesienie do niej wartości dodanej. Audyt wewnętrzny pomaga organizacji w osiąganiu jej celów poprzez systematyczne i metodyczne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i zarządzania organizacją.

Co to audyt zewnętrzny?

Audyt zewnętrzny definicja– jest to badanie przeprowadzane przez audytorów niezależnych od badanej jednostki.

Wyróżniamy dwa rodzaje takiego audytu:

  • audyt drugiej strony
  • audyt trzeciej strony

Więcej na powyższy temat typów audytu w dalszej części.

Typy audytów

Wiemy już czym jest audyt systemowy. Czas odpowiedzieć sobie na pytania: jakie są rodzaje auditu i po co je w ogóle przeprowadzać?


Audyty możemy podzielić na:


Audyt wewnętrzny – audyt pierwszej strony – wykonywany przez organizację u siebie dla własnych potrzeb. Najczęściej wykonywany przez własnych pracowników posiadających odpowiednią wiedzę i kompetencję.

Oczywiście można w tym celu zatrudnić kompetentne osoby spoza organizacji. Powinien być wykonywany raz do roku.


Audyt zewnętrzny:

audit drugiej strony, audyt klienta – przeprowadzany przez organizację u innej organizacji dla potrzeb organizacji, która podjęła się tego audytu (np. audyt klienta, czy audyt dostawcy – ma miejsce wówczas, gdy przedsiębiorstwo przeprowadza audyt u swoich aktualnych lub potencjalnych dostawców, występując w roli zamawiającego- zleca przeprowadzenie audytu u podwykonawcy).

Wykonywany przez własnych pracowników lub zlecany firmom zewnętrznym. Dzięki takiemu audytowi możemy np. spełnić wymagania normy ISO 9001, która nakłada na nas obowiązek nadzorowania systemów jakości swoich podwykonawców – szczególnie jeśli ten nie posiada certyfikowanego Systemu Zarządzania. Skutkiem jest dobór podwykonawców spełniających nasze oczekiwania jakościowe oraz wzrost zaufania.

audyt trzeciej strony – podejmowany przez niezależną stronę trzecią, która nie wiąże żadnych interesów z wynikiem audytu (audyt certyfikujący i kontrolny).

  1. W przypadku akredytacji i certyfikacji w zakresie norm ISO przeprowadza go uprawniona jednostka certyfikująca (np. posiadająca akredytację wydaną przez PCA).

Wniosek o jego przeprowadzenie składa przedsiębiorstwo, które pragnie podbudować swoją renomę i ugruntować pozycję na rynku oraz uzyskać certyfikat systemu zarządzania jakością i nie tylko (istnieje szereg norm których może dotyczyć audyt zewnętrzny: normy środowiskowe, motoryzacyjne, standardy dotyczące bezpieczeństwa produktów itd. plus ta nasza wspomniana wcześniej akredytacja).

W celu uzyskania certyfikatu jednostka zgłasza się do właściwej jednostki certyfikującej (posiadającej akredytację wydaną przez jednostkę(i)notyfikowane tj. Polskie Centrum Akredytacji). Aby móc poddać się procesowi certyfikacji – firma powinna wdrożyć u siebie dany system zarządzania jakością/standard/procedury. W tym zakresie może posiłkować się firmami konsultingowymi.

W wyniku pomyślnie przebytego auditu certyfikującego organizacja otrzymuje akredytowany certyfikat. W czasie ważności certyfikatu organizacja musi przejść dwa audity kontrolne (nadzoru). Audyt recertyfikujący przeprowadza się by przedłużyć ważność certyfikatu.

2. W administracji rządowej oznacza to audyt przeprowadzany przez instytucję niezależną od rządu (np. Najwyższą Izbę Kontroli), zaś w administracji samorządowej – audyt przeprowadzany przez instytucję niezależną od samorządu (np. Regionalne Izby Obrachunkowe). Formą audytu zewnętrznego jest również audyt zlecany np. firmie audytorskiej.

Niektóre firmy audytów zewnętrznych są obligatoryjne.

Np. podmiotem, bez udziału którego nie obejdzie się IPO ((ang. Initial Public Offering), czyli Pierwszej Publicznej Oferty emisji papierów wartościowych,- „wejście na giełdę”) , jest audytor, czyli biegły rewident uprawniony do przeprowadzenia badań sprawozdań finansowych. To właśnie audytor przeprowadza finansową część procesu due diligence. Ponadto dokonuje weryfikacji wybranych informacji zawartych w prospekcie oraz ujawnień finansowych tam zawartych (tzw. procedura tick and tie/circle-up). Sporządza także na potrzeby menedżerów oferty tzw. comfort letters. Potwierdzają one zgodność danych zamieszczonych w prospekcie ze sprawozdaniami finansowymi i księgami rachunkowymi emitenta.


Audyt adekwatności, audyt stanu zerowego, audyt wstępny – przegląd dokumentacji, czyli tzw. I faza. Audyty wstępne – zwane zerowymi – przeprowadzane są w celu oceny wewnętrznych działań i procesów firmy, w których systemy zarządzania jakością nie zostały jeszcze wdrożone i sformalizowane. Auditor ma wówczas możliwość zapoznania się z dokumentacją systemową i sprawdzenie czy spełnia wymagania normy. Daje również możliwość lepszego zaplanowania auditu zgodności oraz oszacować jego powodzenia.

Audyt zgodności lub wdrożenia – oceniamy w jakim stopniu system jest zrozumiały, wdrożony i przestrzegany przez pracowników organizacji.


Audyt pionowy (wyrobu) procesu
– oceniamy procesy związane z określoną produkcją, usługą lub projektem. Np. procesy związane z magazynowaniem czy usługą transportową.


Audyt poziomy – oceniamy zgodność z wybranym wymaganiem, np. nadzór nad dokumentacją w całym przedsiębiorstwie.

Audyt wspólny – dwie lub więcej organizacji przeprowadza audyt jednego audytowanego. Ważne jest, by określić wówczas uprawnienia dla audytora wiodącego

Audyt połączony – audyt dwóch lub większej liczby systemów zarządzania z różnych dziedzin.

Audyt wewnętrzny

Jak powiedziałem wcześniej audyt to proces uzyskiwania dowodów z audytu by określić stopień spełnienia kryteriów audytu.

Kryteria audytu to: „zestaw polityk, procedur lub wymagań używanych jako odniesienie, do których porównuje się dowody z auditu”.

Kryteria mogą wynikać również z przepisów prawnych.

Dowód z auditu: „zapisy, stwierdzenia faktu lub inne informacje, które są istotne ze względu na kryteria auditu i możliwe do zweryfikowania”.

Innymi słowy wymagania normy i wymagania prawne to kryteria auditu, a dowody to wszelkie dokumenty i zapisy, które potwierdzają spełnienie wymagań.

Przykład:

Norma ISO 17025:2017 wymaga wdrożenia procedury nadzoru nad dokumentacją.Procedura nadzoru nad dokumentacją – kryterium auditu
Auditor powinien sprawdzić zapisy potwierdzające, że dokumentacja jest aktualna, zatwierdzona przez odpowiednie osoby, archiwizowana (jeżeli uwzględniono w procedurze) i udostępniana.Zapisy – dowody z auditu

Główne powody przeprowadzania auditów:

  • żeby zweryfikować własny system zarządzania,
  • żeby ocenić potencjalnego dostawcę,
  • w ramach regularnego przeglądu dostawców, na podstawie zawartych umów, by stwierdzić czy ich systemy zarządzania nadal spełniają określone wymagania,
  • by w przypadku zmian we własnym systemie zarządzania dokonać jego weryfikacji pod kątem spójności,
  • by w przypadku problemów z jakością własnych wyrobów (usług) znaleźć ich przyczynę,
  • by ocenić skuteczność podjętych działań korygujących i zapobiegawczych (jeśli są wymagane).

Ponadto audyt wewnętrzny jest narzędziem do sprawdzenia czy system zarządzania działa jak należy. Dostarcza informacji na temat firmy a także lokalizuje ewentualne problemy i niezgodności, co stwarza możliwość ciągłego doskonalenia. W przypadku auditów drugiej strony – daje możliwość zweryfikowania czy dostawca/podwykonawca spełnia nasze wymagania i dostarcza nam usługi/wyroby spełniające nasze oczekiwania.

Program audytów

Zarządzanie programem auditów oparte jest na cyklu Deminga, czyli cyklu PDCA, który ma zastosowanie niemalże w każdym systemie zarządzania.

Jest to koncepcja z zakresu zarządzaniu jakością.

Przedstawia się ją jako schemat ilustrujący podejście do ciągłego doskonalenia.

Nazwa „PDCA” to akronim pochodzący od słów PLAN – DO – CHECK- ACT (planuj – wykonaj – sprawdź – działaj).

Zastosowanie cyklu do zarządzania programem auditów przedstawia poniższy schemat:

Program auditów to: „ustalony zestaw auditów, jednego lub większej ich liczby, zaplanowanych w określonych ramach czasowych i mających określony cel”. (wg ISO 19011)

Pierwszym etapem zarządzania programem auditów jest ustalenie jego celów. Mają one wspierać politykę i cele systemu zarządzania.

Przykłady

  • Spełnienie zewnętrznych wymagań – Certyfikacja systemu zarządzania
  • Ocena skuteczności systemu zarządzania, wspieranie jego doskonalenia
  • Uzyskanie i utrzymanie zaufania do dostawcy

Następnie zarządzający programem auditów ustala program (Zarządzający programem auditów to osoba wyznaczana w procedurze auditów wewnętrznych, najczęściej Pełnomocnik – nie jest to jednak zasada.). Czyli w programie należy w nim uwzględnić:

  • Cel, zakres, czas trwania i liczbę auditów
  • Działania, które mają być auditowane,
  • Czynniki wpływające na skuteczność systemu zarządzania
  • Kryteria auditu
  • Wyniki i wnioski z poprzednich auditów
  • Język i kwestie kulturowe
  • Uwagi stron zainteresowanych (np. reklamacje)
  • Zmiany w organizacji lub jej działaniach
  • Metody auditowania (np. metody zdalne)
  • Wewnętrzne i zewnętrzne zdarzenia

Norma określa również kompetencje zarządzającego programem auditów. Otóż oprócz znajomości systemu, dokumentacji systemowej, metod auditowania, produktów/usług auditowanego, a także wymagań prawnych musi:

  • Umieć identyfikować i szacować ryzyka związane z programem
  • Mieć wiedzę na temat klientów, dostawców i stron zainteresowanych działalnością auditowanego
  • Ciągle podnosić swoje kompetencje

Co znaczy „Umieć identyfikować i szacować ryzyka związane z programem” , czyli ryzyka związane z:

  • Planowaniem
  • Zasobami
  • Wyborem zespołu audytującego
  • Wdrożeniem programu
  • Nadzorem nad zapisami
  • Monitorowaniem, przeglądem i doskonaleniem programu

Mamy gotowy plan? Trzeba go zatem wdrożyć, monitorować (działania mające na celu zapewnienie, ze cele auditu zostały osiągnięte) i przeglądać (w celu zidentyfikowania możliwości doskonalenia).

Zarządzający programem auditów musi określić cele poszczególnych auditów.

Ustalić terminy i przekazać informację osobom zainteresowanym.

Dobiera zespół auditorski, a także zapewnia potrzebne im zasoby.

Czuwa nad tym by audit przebiegał zgodnie z planem oraz by działania auditowe były odpowiednio dokumentowane, a zapisy utrzymywane.

Wybiera metodę auditu.

Ocenia zgodność planu z programami i celami, ocenia informacje zwrotne od wszystkich stron zainteresowanych i w razie potrzeby modyfikuje program auditów.

Przykład – monitorowanie
Zarządzający programem audytów zaplanował audyt procedury zakupów w niewielkim wymiarze czasowym w stosunku do pozostałych procedur. Podczas audytu nadzoru ze strony jednostki certyfikującej tylko w tym obszarze wykazano niezgodność. Zarządzający programem audytów powinien zmodyfikować program audytów zwiększając zasoby czasowe na audyt procedury zakupów.

A jakie są najczęściej stosowane metody auditu? Otóż audyt możemy przeprowadzać zdalnie lub na miejscu, z interakcją osobową lub bez.

Na miejscu – czyli u auditowanego.

Zdalnie – w jakimkolwiek miejscu. Interaktywne – interakcja między auditorem i auditowanym (np. poprzez rozmowy czy wypełnianie listy kontrolnej z udziałem auditowanego).

Nieinteraktywne – brak interakcji między auditowanym a auditorem (np. obserwacja wykonywanej pracy, analiza danych, przegląd dokumentacji).


Za co jest jeszcze odpowiedzialny zarządzający programem auditów?

Przegląda, zatwierdza i rozpowszechnia raporty, określa czy konieczne jest podjęcie działań korygujących i zapobiegawczych, a także bada ich skuteczność.

Sprawuje również nadzór nad zapisami (dotyczącymi programu auditów, samych auditów oraz personelu auditującego).

Kim jest auditor?

Auditor to po prostu osoba, która przeprowadza audity – niby nie ma tu żadnej filozofii, a jednak auditorem nie może być każdy.

Nawet dokładna znajomość wytycznych systemu zarządzania i zasad auditowania nie gwarantuje, że będziesz dobrym auditorem.

Auditor poza kompetencjami musi mieć pewne predyspozycje osobowe, które norma ISO 19011 definiuje w rozdziale 7.

Rolą auditora jest ustalenie rzeczowej informacji na temat stopnia spełnienia wymagań stawianych przez kryteria auditu.

Musi mieć umiejętność definiowania wniosków – te z kolei oparte mają być na obiektywnych dowodach.

W przypadku auditów wewnętrznych posiada on ograniczony zakres władzy uzależniony od poparcia kierownictwa.

Auditor wiodący to osoba kierująca całością auditu – w przypadku, gdy jeden system jest auditowany przez przynajmniej dwie osoby.

Jeżeli mamy do czynienia ze zintegrowanym systemem zarządzania, auditor wiodący kieruje działaniami auditorów tego samego systemu.

Całość – czyli auditorów wszystkich systemów – nadzoruje auditor koordynujący.

Kompetencje audytora

Od tego, jak dobierzemy zespół auditorski zależy zaufanie do procesu auditu i zdolność do osiągnięcia jego celów. Dlatego należy określić kompetencje auditorów do przeprowadzenia konkretnego auditu, ustalić kryteria i metodę oceny.


Osobą, która w wyniku oceny wyznacza zespół auditorski (i auditora wiodącego) jest zarządzający programem auditów.

Czynnikami wpływającymi na dobór kompetencji są m.in. wielkość organizacji auditowanej, dziedziny i złożoność auditowanego systemu zarządzania, czy cele i zakres programu auditu.

Jeżeli zaistnieje taka sytuacja, że nie dysponujemy osobą/osobami, które mają wystarczające kompetencje, możemy zgłosić potrzebę doszkolenia lub skorzystać z eksperta technicznego (osoba niebędąca auditorem, wspierająca auditorów swoją specjalistyczną wiedzą i/lub umiejętnościami).

Informatyk najprawdopodobniej nie będzie umiał auditować procesu zarządzania kadrami. Lekarz nie zrobi zapewne auditu w firmie produkującej strzykawki. Osobie pracującej całe życie przy obsłudze maszyn CNC nie zlecimy auditu u producenta buraków cukrowych.

Zmierzamy do tego, że auditor oprócz ogólnej wiedzy o systemie zarządzania (znajomość procedur, metod auditu, dokumentów odniesienia, zasad auditowania, kontekstu organizacyjnego i wymagań prawnych), bezwzględnie musi mieć wiedzę specjalistyczną, tj. znać:

  • specyficzne wymagania i zasady systemu zarządzania
  • wymagania prawne i inne dla danego sektora
  • podstawy danej dziedziny: metody, techniki, procesy, praktyki biznesowe
  • wiedzę związaną z danym sektorem
  • zasady zarządzania ryzykiem


Ponadto auditor wiodący musi umieć zidentyfikować mocne strony członków zespołu i właściwie je wykorzystać. Odpowiada on bowiem za budowanie harmonijnej współpracy i właściwe delegowanie obowiązków. Ma nie dopuszczać do powstawania konfliktów w zespole, a jeżeli jakieś się zdarzą – rozwiązuje je. Jest osobą reprezentującą zespół i to on tworzy raport końcowy.


Oprócz wiedzy i doświadczeń zawodowych, auditor musi się charakteryzować pewnymi cechami osobowości. Powinien być:

  • etyczny – prawdomówny, szczery, uczciwy
  • otwarty – chętny do rozważenia alternatywnych pomysłów lub punktów widzenia
  • dyplomatyczny – taktowny w postępowaniu z ludźmi
  • obserwatorem – stale i aktywnie uświadamia sobie fizyczne warunki otoczenia i prowadzenia działań
  • spostrzegawczy i percepcyjny – świadomy i zdolny do zrozumienia i przystosowania się do sytuacji
  • wszechstronny – mający wiele umiejętności i rozległe zainteresowania
  • wytrwały – ciągle ukierunkowany na osiągnięcie celu
  • decyzyjny – wyciągający w odpowiednim czasie wnioski oparte na analizie i logicznie uzasadnione
  • polegający na sobie – działa i funkcjonuje niezależnie, jednak skutecznie współdziała z innymi
  • odważny – działający odpowiedzialnie i etycznie w każdej sytuacji
  • dobrze zorganizowany – skutecznie zarządzający czasem, działający efektywnie
  • kulturalny i wrażliwy – przestrzega i szanuje tradycje kulturowe auditowanego
  • pracuje zespołowo – dobrze współpracuje z pozostałymi członkami zespołu

6 zasad auditowania

Proces auditowania opiera się na 6 zasadach. Ich przestrzeganie jest konieczne, by audyt można było uznać za wiarygodny i skuteczny, a wnioski z niego wypływające za użyteczne i dające sporą dawkę wiedzy na temat organizacji i możliwości jej doskonalenia.

  1. Rzetelność – audyt ma być wykonywany uczciwie i sumiennie. Audytorzy muszą znać wymagania prawne i stosować się do nich. Ponadto muszą być uczciwi i działać bez uprzedzeń. Audyty wewnętrzne w znacznym zakresie przeprowadza się wśród osób, które się zna. Niezwykle ważne jest by nie ulegać wpływom, nie kierować się sympatią do audytowanego lub jej brakiem. Audyt musi być bezstronny!
  2. Uczciwe przedstawianie wyników – ustalenia i wnioski z audytu mają prezentować działania z audytu, przedstawiać je dokładnie i zgodnie z prawdą. Istotne jest by w raporcie, poza obiektywnie zaakceptowanymi obserwacjami, opisać również kwestie sporne, czyli zagadnienia, w których audytorzy i audytowani nie doszli do wspólnych wniosków (jeżeli takie sytuacje miały miejsce).
  3. Należyta staranność zawodowa – należy pamiętać, że ktoś, kto zlecił nam audyt w pewien sposób nam zaufał. Zadaniem audytora jest przeprowadzić audyt starannie i rozsądnie, tak by tego zaufania nie zawieść.
  4. Poufność – informacje uzyskane podczas audytu nie mogą być wykorzystane przez audytora w sposób szkodzący interesom audytowanego lub wspierający interesy audytora. Audytor musi dbać o bezpieczeństwo informacji.
  5. Podejście oparte na dowodach – audytor musi racjonalnie formułować wiarygodne i odtwarzalne wnioski.
  6. Niezależność – działania audytowe muszą być przeprowadzane w sposób wolny od uprzedzeń i konfliktu interesów. Obiektywnie. Audytor nie może ulegać naciskom wywieranym przez zwierzchników lub współpracowników. Często zdarza się, że audytor wewnętrzny pełni też funkcję pełnomocnika. Nie jest to do końca trafne rozwiązanie. Pełnomocnik „opiekuje” się systemem i podejmuje wiele działań w systemie w ramach swoich obowiązków. Dbając o niezależność audytu należy zagwarantować, że nie będziemy audytować obszarów, w których czynnie działamy.

Inicjowanie działań auditowych

Od tego momentu osobą odpowiedzialną za przeprowadzenie audytu jest audytor wiodący. Pierwszym działaniem jest kontakt z audytowanym. Należy wówczas ustalić kilka podstawowych kwestii, mianowicie:

  • Zasady komunikacji – ustalamy kanały komunikacji z przedstawicielem auditowanego;
  • Uprawnienia – potwierdzamy nasze uprawnienia do przeprowadzenia auditu;
  • Poufność – ustalamy zakres informacji poufnych i sposób postępowania z nimi;
  • Cel, zakres, metody auditu – informujemy auditowanego o celu, zakresie i metodzie auditu. Przedstawiamy zespół auditorski i ekspertów technicznych, (jeśli ma to zastosowanie). Prosimy o przewodnika, (jeżeli potrzebujemy), oraz gdy chcemy zaangażować obserwatora ustalamy czy jest taka możliwość.
  • Audit – ustalamy kwestie organizacyjne: harmonogram i datę auditu.
  • Dokumentacja – prosimy o dostęp do dokumentacji celem sporządzenia planu i należytego przygotowania się do auditu
  • Obszary zainteresowania – ustalamy, czy są jakieś tematy lub obszary ważne dla auditowanego.

Przygotowanie działań auditowych

Pierwsze działania podjęte? Czas wyegzekwować od auditowanego dokumentację.

Będziesz potrzebować dokumentów i zapisów, które dotyczą systemu zarządzania (przede wszystkim księgę jakości i procedury/udokumentowane informacje- jeśli przeprowadzasz audyt wg norm ISO, w innym przypadku kieruj się wymaganiami jakie nakłada audyt wewnętrzny, czyli to co chce klient ) oraz raporty z poprzedniego auditu.

Należy się z nimi zapoznać i sprawdzić pod względem kompletności, poprawności (czy są zgodne z normą i przepisami), spójności i aktualności.

Znając dokumentację oraz informacje zawarte w programie audytów możemy się w końcu wziąć za przygotowanie planu.

Plan audytu

Plan audytu stanowi podstawę do ustaleń między audytorem i audytowanym.

Ma być on w miarę elastyczny – tak, by w razie konieczności, można było je wprowadzić w trakcie realizacji działań audytowych.

Plan ma zawierać następujące informacje:

  • Cel audytu
  • Zakres audytu – obszar i granice – określenie obszaru działalności lub procedur, które
    podlegać będą audytowi, określenie jednostek organizacja, w których audyt ma się odbyć.
  • Kryteria audytu i dokumenty odniesienia
  • Terminy, miejsca, godziny – planujemy jak po kolei będzie przebiegał audit, łącznie ze
    spotkaniami otwierającymi, zamykającymi i ewentualnymi przerwami
  • Metody auditu
  • Odpowiedzialności i role zespołu auditującego – plan zawiera informacje o tym, kto będzie przeprowadzał audit i w jakim zakresie będzie działał. Auditor wiodący powinien ustalić te kwestie z zespołem auditującym, biorąc pod uwagę umiejętności i kompetencje, przydzielając obowiązki w taki sposób, by osiągnąć cele auditu
  • Informacje o przydzielonych zasobach


Plan może zawierać również bardziej szczegółowe informacje, takie jak kwestie związane
z bezpieczeństwem informacji lub ustalenia logistyczne i komunikacyjne.

Przykład- plan audytu:

Jest to podstawowa forma planu, ale zawiera wszystkie niezbędne informacje.

  1. Dane ogólne – nazwa Klienta, miejsce audytu oraz skład audytorski
  2. Nazwa audytowanej komórki – np. Kadry, Zakupy, Dział Jakości, Produkcja
  3. Imię i nazwisko osoby odpowiedzialnej za dany obszar – np. Pan Jan Kowalski – główny Księgowy, Pani Krystyna Nowak – Pełnomocnik SZJ
  4. Zakres audytu, nazwa procesu lub procedury – np. Zarządzanie Zasobami Ludzkimi, Procedura Zakupów, Nadzór nad wyrobem niezgodnym
  5. Szczegółowe informacje dotyczące daty i czasu trwania auditu w poszczególnych komórkach.
  6. Miejsce uzupełnia audytujący – wyraża zgodę na audyt w zaplanowanym zakresie i czasie. Jeżeli nie wyraża zgodny proponuje rozwiązanie.

Plan oczywiście może mieć inne formy, wystarczy że wpiszesz frazę „plan audytu” w google i przejdziesz do zakładki „grafika”.

Poza planem auditu można również przygotować listy kontrolne, plany poboru próbek oraz formularze do zbierania informacji.


Dokumenty te nie są wymagane, ale systematyzują działania auditowe i mogą być pomoce szczególnie dla początkującego auditora.


Lista kontrolna jest to zbiór pytań auditowych. Przygotowuje się ją na podstawie wymagań normy. Warto poszerzyć ją o rzeczy, które chcemy zobaczyć.

Zapewnia ona ujęcie wszystkich istotnych punktów.

Jej użycie daje pewność, że audyt będzie procesem ciągłym, ponadto pomaga w zarządzaniu czasem i porządkuje notatki.

Pamiętajmy, że lista kontrolna ma być tylko przewodnikiem.

Nie możemy się jej trzymać zbyt ściśle, gdyż może to spowodować pominięcie ważnych ścieżek.

Jest ona zbiorem bardzo rzeczowych informacji, które wykorzystamy później do napisania raportu.


Przygotowaną listę warto przesłać auditowanemu.

Dzięki temu pozna dokładnie nasze zamiary i audyt przeprowadzony będzie sprawniej. Nie jest to jednak wymóg.


Czasami zdarza się, że klienci/auditowani podsyłają nam własne listy kontrolne. Wówczas oczywiście należy je wypełnić i dołączyć do raportu.

Osobiście stwierdzam, że lista kontrolna dla doświadczonego auditora jest to raczej strata czasu i zbędny dokument do tworzenia i wypełniania.

Plan poboru próbek


Zebranie wszystkich niezbędnych informacji podczas auditu jest raczej niemożliwe.

Może mieć miejsce w malutkiej organizacji, w której system zarządzania nie jest rozbudowany.

W pozostałych przypadkach sprawdzanie wszystkich dokumentów i zapisów jest nieefektywne i nieekonomiczne.

Wówczas należy zaplanować pobór próbek.

Istnieją dwie metody: pobieranie próbek oparte na osądzie, (czyli bazujące na wiedzy, doświadczeniu i umiejętnościach zespołu auditującego), lub statystyczne pobieranie próbek (pobieranie na podstawie teorii prawdopodobieństwa).

Niezależnie od tego, którą metodą będziemy się posługiwać, ważne jest by próbki nie były zbyt małe – w końcu zależy nam na tym, żeby wyniki auditu były użyteczne.


Formularze do zbierania informacji – dość górnolotnie się to nazywa w normie.

Nie są to jakieś specjalnie przygotowywane dokumenty.

Po prostu idąc na audyt musimy być gotowi na robienie notatek. Możemy je robić ręcznie lub elektronicznie – jak nam wygodnie.

W przypadku ręcznych notatek zachęcamy do zorganizowania sobie zeszytu lub notesu. Pojedyncze kartki łatwiej zgubić lub pomieszać.

Nie ma sensu tracić czasu na zastanawianie się co było gdzie i czego się to tyczy.

Notowanie od razu w formie elektronicznej mocno skraca czas pisania raportu, gdyż nie musimy przepisywać ręcznych notatek.

Jednak chodzenie po firmie ze sporym laptopem jest po prostu niewygodne i często bardziej utrudnia niż pomaga.

Zaplanujmy sobie wcześniej w jakiej formie będziemy dokumentować działania i przygotujmy się. Oczywiście możemy używać obu form – róbmy tak, jak by działania były efektywne.


Podsumowując, sposób notowania to kwestia indywidualna.

Pamiętajmy tylko, żeby notować rzetelnie i czytelnie, a w przypadku notowania od razu w formie elektronicznej, upewnijmy się, że nie wystąpią problemy sprzętowe, które spowodują utratę danych.

Przeprowadzenie audytu

W dużym skrócie jest to opisane w filmie poniżej, więcej konkretów natomiast przeczytasz dalej w tym artykule.

Spotkanie otwierające

Zapoznaliśmy się z dokumentacją, przygotowaliśmy niezbędne dokumenty – jesteśmy więc gotowi na wizytę u Klienta.

Przed rozpoczęciem właściwych działań auditowych przeprowadzamy spotkanie otwierające.

Oprócz zespołu auditorskiego i Pełnomocnika/Pełnomocników Systemu/Systemów Zarządzania powinno brać w nim udział Najwyższe Kierownictwo oraz osoby odpowiedzialne za obszary auditowane.


Spotkanie powinien prowadzić auditor wiodący (koordynator, jeżeli jest to audyt zintegrowanego systemu).

Rozpoczynamy od przedstawienia siebie oraz pozostałych auditorów/obserwatorów/ekspertów technicznych – określając role, które pełnią poszczególne osoby.

Następnie potwierdzamy wcześniejsze ustalenia ze wszystkimi stronami auditu i upewniamy się czy zaplanowane działania mogą być zrealizowane, (czyli potwierdzamy cel, zakres, kryteria, a także plan auditu – jest to bowiem moment, w którym jeszcze można nieznacznie zmienić kolejność działań auditowych lub delikatnie zmodyfikować plan).

Potwierdzamy również:


  • Metody auditu
  • Zasady komunikowania się
  • Kwestie związane z poufnością i bezpieczeństwem
  • Sposób dokumentowania wyników z auditu


Omawiamy kwestie BHP i informujemy o planowanym czasie spotkania zamykającego.
Warto tutaj wyjaśnić odpowiedzialności obserwatora i przewodnika:

  • Obserwator – nie jest częścią zespołu auditującego, jedynie mu towarzyszy. Nie przeprowadza auditu, nie ma na niego wpływu. Może być przedstawicielem auditowanego, lub strony zainteresowanej.
  • Przewodnik – osoba wyznaczona przez auditowanego, która asystuje auditorom. Zapewnia dostęp do lokalizacji, nadzoruje kwestie BHP. Wskazuje również osoby biorące udział w rozmowach, udziela wyjaśnień i pomaga przy zbieraniu informacji.

Przegląd dokumentacji

Czas zacząć realne działania auditowe – przegląd dokumentacji. Pewne jest, że auditowany nie udostępnił nam wszystkich niezbędnych dokumentów – skupmy się więc na tych, których nie widzieliśmy.

Im więcej dokumentacji zostanie nam udostępnione przed auditem u Klienta – tym więcej czasu podczas auditu będziemy mogli poświęcić na rozmowy i obserwacje.

Po co w ogóle przeglądamy dokumentację? By określić zgodność systemu z kryteriami oraz zebrać informacje do wsparcia działań auditowych. W wyniku całościowego przeglądu powinniśmy opierać się na następujących dokumentach:

  • Księdze Jakości
  • Procedurach
  • Instrukcjach roboczych (stanowiskowych)
  • Dokumentach zewnętrznych
  • Zapisach

Sprawdzamy również czy stosuje się odpowiedni nadzór nad dokumentacją.

Zwróć uwagę czy:

  • Informacja w dokumentacji jest kompletna, poprawna, spójna i aktualna
  • Dokument obejmuje zakres auditu
  • Zapewnia się bezpieczeństwo informacji

Przegląd dokumentacji nie musi być w całości przeprowadzony po spotkaniu otwierającym – może być połączony z innymi działaniami auditowymi, ale tylko wtedy, gdy mamy pewność, że nie będzie to miało negatywnego wpływu na skuteczność działań.


Działania auditowe


Teraz już wiemy jak system jest wdrożony od strony formalnej.

Czas sprawdzić jego funkcjonowanie w organizacji.

Każdy z zespołu auditującego wie, które obszary ma sprawdzić, więc zaopatrzeni w środki ochrony indywidualnej ,(jeśli konieczne) zabieramy się do dzieła! Wybierając się na „spacer” po organizacji pamiętajmy, żeby nie zakłócać zachodzących tam procesów.

Nie dotykamy sprzętów, nawet jeśli mamy stosowne uprawnienia.


Naszym zadaniem jest obserwowanie otoczenia, działania i warunków środowiskowych, a także rozmawianie z osobami na właściwych szczeblach, które wykonują jakieś działania w ramach systemu zarządzania.

O ile w temacie obserwacji nie bardzo jest co wyjaśniać, to powiedzmy sobie kilka słów o rozmowie. Otóż prowadzimy ją w godzinach pracy auditowanego.

Wyjaśniamy, dlaczego podejmujemy rozmowę oraz informujemy, że będziemy robić notatki. Zwykle rozpoczynamy od prośby o opisanie swojej pracy. Musimy odpowiednio formułować pytania – unikajmy pytań zamkniętych.

Poniżej film bardzo dobrze to wyjaśniający:

Kilka przykładów błędnie i poprawnie sformułowanych pytań:

PoprawnieNiepoprawnie
Skąd Pan/Pani wie, jakie czynności ma wykonywać?Czy rozwija się kompetencje pracowników?
Proszę opisać, w jaki sposób zarządza Pan/Pani infrastrukturą?Czy podjęto działania aby osiągnąć cel XYZ?
W jaki sposób są rozwijane kwalifikacje pracowników?
Jakie działania podjęto w celu osiągnięcia celu X?

Audyt mimo wszystko jest sytuacją stresową, więc wykaż się cierpliwością i zrozumieniem.

Zadawaj pytania pomocnicze.

Stres paraliżuje, więc nie wyciągaj pochopnych wniosków.

Nie ukrywaj też swoich spostrzeżeń. Od razu mów auditowanemu, co myślisz.

Nie skupiaj się na wytykaniu błędów i nieścisłości.

Mów też o dobrych rzeczach. Nie oceniaj na pierwszy rzut oka.

Upewnij się, że zebrane dowody są kompletne – jeśli masz jakieś wątpliwości zbadaj ponownie. Na koniec podziękuj za udział i współpracę.

Bądź otwarty na różne spojrzenia.

Auditowany może mieć odrębne zdanie.

Staraj się dojść do wspólnego wniosku – jeśli się nie da, umieść w raporcie swoje spostrzeżenia i doprecyzuj, że auditowany nie podziela Twojego zdania.

Rób notatki!

  • Pełne, dokładne, precyzyjne i czytelne
  • Zapisuj dowody z auditu
  • Unikaj zbierania informacji osobistych – chyba, ze wskazuje na to konkretne kryterium

Ważną kwestią jest też fotografowanie/nagrywanie video.

Można, ale tylko pod warunkiem, że kierownictwo wyrazi na to zgodę i mamy ustalone kwestie związane z bezpieczeństwem i poufnością. I nie nagrywamy poszczególnych osób.

Podobny tok postępowania stosujemy, gdy chcemy skopiować jakieś dokumenty – czyli za zgodą i uwzględniając kwestie bezpieczeństwa i poufności.

Przykład

Przeanalizujmy przykładowy tok postępowania podczas auditowania procedury zarządzania dokumentacją.


Auditor podczas przeglądu dokumentacji zapoznał się z procedurą. Sprawdził czy spełnia wszystkie formalne wymagania, (czy mają odpowiednią identyfikację, są odpowiednio przechowywane, czy procedura ma granice, określony cel i przypisanego właściciela, itd. – w zależności jakie wymagania stawia norma wg której wdrożony jest system) oraz mniej więcej zapoznał się z tokiem postępowania.


Jeżeli podczas przeglądu auditor zauważy jakieś nieścisłości spisuje dowód z auditu, np. brak daty sporządzenia procedury P03/321.

Uproszczony tok postępowaniaDziałania auditora
Opracowanie dokumentacji

Zatwierdzenie dokumentacji – wysłanie wiadomości e-mail do osób, których dany dokument dotyczy

Wgranie na serwer – wgranie pliku do konkretnego folderu

Ustawienie dostępu

Przegląd dokumentacji raz w roku
Wybiera dokument, który podda ocenie.

Prosi o pokazanie e-maila
zatwierdzającego dokument. Zapisuje dowód: e-mail z dnia: XX-XX-XXXX

Prosi o pokazanie danego pliku na serwerze, w lokalizacji określonej w procedurze

Prosi o pokazanie ustawionego dostępu

Prosi o pokazanie dowodu, że dokumentacja została poddana przeglądowi. Zapisuje dowód, np. karta zmian – ostatnia aktualizacja XX-XX-XXXX

A co jeśli w trakcie auditu zdarzy się jakiś incydent? Auditor wiodący sprawdza, co się stało. Jeżeli to konieczne ustala z klientem/auditowanym czy działania auditowe będą przerwane, kontynuowane czy przełożone.


Ważne jest, by umiejętnie zarządzać czasem. Staraj się przestrzegać planu. Nie pozwalaj, by audyt schodził na boczny tor.

Nie skupiaj się na błahostkach. Zdecydowałeś się na jakąś wielkość próbki –trzymaj się tego.

Zaleca się, by zespół auditorski komunikował się ze sobą w trakcie trwania auditu. Wymieniajcie się spostrzeżeniami i wnioskami. Jeżeli macie jakieś uwagi – poinformujcie auditowanego.


Podczas auditu formułujemy również ustalenia i wnioski.

Zgodnie z normą PN EN ISO 19011 ustalenie z auditu to: wyniki oceny zebranych dowodów z auditu w stosunku do kryteriów auditu.

Innymi słowy oceniamy dowód pod względem kryteriów, w ten sposób określamy ich zgodność lub niezgodność. Dzięki nim można również zidentyfikować obszary, które wymagają doskonalenia.

Przykład 1

W procedurze bezpieczeństwa sieci widnieje wymaganie, że hasła do stacji roboczych i zasobów użytkownika mają być zmieniane raz na rok

ZGODNOŚĆBRAK ZGODNOŚCI
Istnieje dowód potwierdzający, że hasła zmienia się w określonych odstępach czasuNie ma dowodu potwierdzającego, że hasła zmienia się w określonych odstępach czasu

Przykład 2

Procedura zakupów wymaga, by w przypadku konieczności zakupów na rzecz firmy o wartości powyżej 300 zł skierować do Właściciela pisemny wniosek zakupowy, a rzeczonego zakupu można dokonać po uzyskaniu pisemnej zgody.

ZGODNOŚĆ BRAK ZGODNOŚCI
Na prośbę auditora okazano wniosek zakupowy i zgodę na zakup telefonu dla nowego pracownika.Brak wniosku zakupowego i zgody.

Wniosek z auditu to zgodnie z normą: wynik auditu, po rozważeniu celów i wszystkich ustaleń z auditu. Czyli analizując ustalenia z auditu określamy w jakim stopniu System Zarządzania jest zgodny z kryteriami.

Oceniamy skuteczność wdrożenia, utrzymywania i doskonalenia systemu, a także zdolność przeglądu zarządzania do jego doskonalenia. W końcu ustalamy czy cele auditu zostały osiągnięte.


Tak oto doszliśmy do kolejnej umiejętności, którą każdy auditor powinien posiadać – formułowanie niezgodności i spostrzeżeń.


Niezgodność jest to po prostu niespełnienie wymagania. Jednak pamiętajmy, że nie wszystko jest czarne lub białe – dlatego nie proponujemy kategoryzować każdego ustalenia jako zgodny/niezgodny, a co za tym idzie nie wypisywać kart niezgodności za każdą wykrytą błahostkę. Sugerujemy stosować stopniowanie niezgodności.

Przykłady stopniowania

przykład 1

  • Krytyczna niezgodność – brak spełnienia wymagań normy/wymagań prawnych
  • Mała niezgodność – brak spełnienia postanowień dokumentacji
  • Spostrzeżenie – rozwiązanie zagrażające organizacji
  • Obserwacja – możliwość doskonalenia organizacji

przykład 2

  • Niezgodność – niedostateczne spełnienie wymagań normy/poważne naruszenie wymagań prawnych
  • Odchylenie – niedostateczne spełnienie wymagań normy w kwestiach, które nie mają znaczącego wpływu na funkcjonowanie systemu zarządzania, niedociągnięcie
  • Zalecenie – dotyczące optymalizacji rozwiązań -bez związku zna działanie systemu

Możesz stosować, któryś z powyższych rozwiązań, możesz też wypracować własne. Pamiętaj jednak, żeby raporcie wyjaśnić co oznacza dany rodzaj niezgodności.

Kolejna kwestia – poprawne formułowanie niezgodności. Zaobserwowałeś coś – zapisz dowód w taki sposób, żeby osoba czytająca raport nawet za kilka miesięcy jednoznacznie wiedziała, gdzie ta niezgodność jest i z czego wynika. Powiąż ją z kryterium, które nie zostało spełnione. Zrób tak, żeby czytający nie zastanawiał się, co miałeś na myśli.

Przykład

Podczas auditu zaobserwowano stosowanie niezatwierdzonych dokumentów. Dokumenty, mimo że nie zostały zatwierdzone zostały umieszczone na serwerzeBrak sprecyzowania o jakie dokumenty chodzi. Brak informacji o serwerze, na którym dokumenty się znajdują.Podczas auditu zaobserwowano stosowanie niezatwierdzonych dokumentów (instrukcja stanowiskowa nr 2). Instrukcje powinny być zatwierdzone zgodnie z procedurą P01/2020 i umieszczenie na serwerze: DyskGoogle/Dokumentacja_SZJ_ISO

Raport niezgodności/karta niezgodności/protokół niezgodności – formularz, lub część raportu, w którym definiujemy niezgodność.

Poza samą definicją niezgodności, dowodem i powiązaniem z kryterium powinnyśmy umieścić informację o deklaracji osoby odpowiedzialnej za audytowany obszar, co do sposobu usunięcia niezgodności i jeżeli to zasadne weryfikację skuteczności podjętych działań.

Można również wpisać przyczynę rozpoznanej niezgodności.

Najłatwiej będzie omówić powyższe kwestie na przykładzie. Formularz raportu poniżej:

Powyżej znajduje się formularz raportu, który na co dzień stosujemy w naszym Instytucie. Jak widać nie stosujemy osobnego formularza na dokumentowanie niezgodności. Wszelkie obserwacje, zarówno te pozytywne jak i negatywne spisujemy w jednym dokumencie. Dzięki temu nie tworzymy zbędnej papierologii. Poniżej krótko o tym, co zawiera nasz raport.

  1. Ogólne dane
  2. Osoby auditowane
  3. Data auditu
  4. Punkt normy, którego dotyczy niezgodność
  5. Proces, procedura, komórka identyfikacyjna – dane, które pomagają w identyfikacji
  6. Rodzaj niezgodności – tu określamy typ niezgodności/zgodności (zgodnie z pkt. 15)
  7. Opis – krótko, ale dokładnie opisujemy stan zastany
  8. Przyczyna niezgodności – możemy zidentyfikować powód powstania niezgodności
  9. Działania zapobiegawcze/korygujące – wypełniamy po uzgodnieniu z auditowanym
  10. Termin, w którym działanie musi zostać podjęte. Może być to konkretna data lub np. zapis „weryfikacja podczas kolejnego auditu”
  11. Odpowiedzialny za wdrożenie działań – wpisujemy osobę, odpowiedzialną za dany obszar
  12. Weryfikacja skuteczności podjętych działań – wypełnia się głównie w przypadku krytycznych niezgodności. Dopóki auditowany ich nie usunie, nie zostaną osiągnięte cele auditu. Np. Jeżeli celem było potwierdzenie zgodności wdrożonego systemu z normą, a wykryta niezgodność uniemożliwia nam potwierdzenie takiej zgodności (choćby brak przeglądu zarządzania) wówczas określamy w jakim czasie niezgodność ma być usunięta i prosimy o przysłanie potwierdzenia wykonania działań
  13. jw
  14. jw
  15. Podsumowanie audytu – miejsce na wnioski z audytu
  16. Klasyfikacja niezgodności – ustalony przez nas sposób stopniowania niezgodności
  17. Data napisania raportu i podpis audytora wiodącego

Pamiętaj, że musisz zakomunikować auditowanemu, że wykryłeś niezgodność, a auditowany musi ją potwierdzić. Jeżeli podczas pisania raportu przypomnisz sobie, że przecież gdzieś tam zauważyłeś brak spełnienia kryterium, to jest już za późno – niezgodności wystawić nie możesz.

Spotkanie zamykające

W spotkaniu zamykającym zwykle biorą udział osoby obecne na spotkaniu otwierającym. Powinien je prowadzić auditor wiodący w celu przedstawienia ustaleń i wniosków z auditu. Informuje, że dowody były zbierane na podstawie próbek. Przedstawia krótko zarówno pozytywne jak i negatywne zestawienia, oraz omawia sposób postępowania z ustaleniami z auditu, a także ich ewentualne negatywne konsekwencje. Można też omówić rekomendacje do doskonalenia – nie jest to obowiązkowe. Na koniec robimy podsumowanie całościowe.

Raport z audytu

Właściwie można powiedzieć, że jest to jeden z ostatnich etapów auditu, który bezpośrednio dotyczy auditora. Raport jest pisemnym podsumowaniem naszych działań. Przykładowy formularz omówiliśmy już przy okazji definiowania niezgodności. Teraz po krótce omówimy, co w raporcie powinno się znaleźć:

  1. Zakres auditu i jego cel
  2. Identyfikacja auditorów i auditowanych (nazwa organizacji, dane adresowe, data auditu, miejsca, w których przeprowadzono działania)
  3. Dowody, ustalenia z auditu, wnioski
  4. Oświadczenie o stopniu zgodności z kryteriami auditu
  5. Podsumowanie działań auditowych oraz opis ewentualnych utrudnień
  6. Lista dystrybucyjna raportu
  7. Wszelkie obszary, które były w zakresie auditu a nie zostały poddane temu procesowi.

Przykładowy raport z audytu poniżej:

Raport piszemy na podstawie informacji, które zebraliśmy podczas działań auditowych. Korzystamy m.in. z zapisów, list kontrolnych, raportów niezgodności. Jeżeli uzyskaliśmy zgodę na fotografowanie, możemy umieścić również zdjęcia.

Nie zostawiaj pisania raportu „na później”. Im dłużej będziesz zwlekał, tym mniej będziesz pamiętał.


Nie ograniczaj się tylko do odnotowywania niezgodności. Raportuj pełny wynik. Oczywiście nie chodzi o to, byś stworzył 50-stronicowe dzieło niczym książka fabularna.

Staraj się zawrzeć maksimum informacji przy minimum pisania. Ujmij zarówno negatywne jak i pozytywne spostrzeżenia. Raport powinien być wartością dodaną dla systemu zarządzania.

Podsumowując musisz napisać rzeczowy, zwięzły, przejrzysty i czytelny dokument. I MUSISZ TO ZROBIĆ W USTALONYM WCZEŚNIEJ TERMINIE. Raport możesz napisać również przed spotkaniem zamykającym. Wszystko zależy od ustaleń poczynionych przed auditem.

Gotowy raport wysyłamy do odbiorców – zgodnie z procedurami lub planem auditu.

Audyt jest zakończony jeśli wszystkie zaplanowane działania uzgodnione z klientem auditu zostały wykonane.


Dokumenty dotyczące auditu należy przechowywać lub zniszczyć. Wyników auditu nie wolno ujawniać bez zgody klienta.

Działania korygujące i zapobiegawcze

Audyt można uznać za kompletny do chwili, gdy konieczne działania korygujące (działania podjęte w celu usunięcia przyczyny wykrytej niezgodności lub innej niepożądanej sytuacji) nie zostaną z powodzeniem podjęte i nie zostaną uznane za skuteczne. W przeciwnym wypadku audytowanie będzie tylko stratą czasu i środków.


Zidentyfikowane niezgodności stanowią informację zwrotną dla działań korygujących.


Auditowany podejmuje niezbędna działania zgodnie z wnioskami i celami auditu. Jeżeli to właściwe auditowany informuje osobę zarządzającą auditem oraz zespół auditorski o statusie działań. Weryfikacja podjętych działań jest zalecana – może być częścią kolejnego auditu.


Auditor nie powinien angażować się w opracowanie planu działań korygujących jak również w ich realizację, gdyż uniemożliwiałoby mu to zachowanie obiektywizmu podczas przeglądu dotyczącego efektywności takich działań.

Rola auditora sprowadza się do przeprowadzenia auditu i napisania raportu. W teorii brzmi pięknie. Jednak auditor, jako osoba z wielkim doświadczeniem, jest skarbnicą wiedzy organizacyjnej. Więc zasugerowanie rozwiązania jakiejś sytuacji nie jest żadnym przewinieniem. Sugerowanie jest tu słowem klucz.

Pod żadnym pozorem nie może niczego narzucać!

System zintegrowany

Auditowanie Zintegrowanego Systemu nie różni się zbytnio od, nazwijmy to ogólnie, „zwykłego auditowania”. Kilka rzeczy, na które warto zwrócić uwagę: musimy skompletować zespół auditorski posiadający wymagane kompetencje. Dzielimy się pracą zgodnie z nimi. Niektóre role Auditora Wiodącego przejmuje koordynator (kontakt z auditowanym, prowadzenie spotkania otwierającego i zamykającego, kompletowanie i wysłanie raportu).

Czyli tak pisaliśmy przy okazji omawiania zasad auditowania, koordynator odpowiada za całokształt auditu, auditor wiodący danego systemu nadzoruje wówczas działania auditowe w zakresie tego systemu. Jeżeli we wszystkich auditowanych standardach pewne obszary się nakładają, planujemy działania auditowe w taki sposób, by nie pytać tej samej osoby kilka razy o to samo.

Plan auditu można zrobić osobno dla każdej normy, ale proponujemy jednak nie wprowadzać dodatkowego chaosu i wysłać jeden, uzgodniony wcześniej plan. Podobnie z raportem – auditor wiodący powinien napisać raport odnośnie obszaru i systemu, który auditował i przesłać koordynatorowi.

Auditor koordynujący, mówiąc kolokwialnie „składa” raport w całość i przesyła auditowanemu.


Czy jeden auditor może auditować dwa systemy? Może, jeżeli posiada odpowiednie kompetencje i razem z auditowanym dysponują czasem, w którym będzie możliwa realizacja rzetelnego auditu.

Podsumowanie

Proces auditowania jest dość czasochłonny i wymaga precyzji i staranności. Ale jeśli przyswoiłeś wymagania Systemu, posiadasz wymagane kompetencje i znasz branżę, którą będziesz auditować, jesteś na dobrej drodze by zostać dobrym auditorem.


Dzięki uniwersalności normy PN EN ISO 19011 auditowanie niemalże każdego systemu odbywa się zgodnie z jednym schematem – jest to spore uproszczenie.

mgr Rafał Szrajnert
Rafał Szrajnert ukończył studia magisterskie na wydziale Prawa i Administracji Uniwersytetu Łódzkiego , a także studia podyplomowe. Jest przedsiębiorcą z ogromnymi sukcesami, Oprócz własnej działalności prowadzi doradztwo biznesowe, coaching i szkolenia, szeroko znane w Polsce.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

ZOBACZ JAK ZWIĘKSZYLIŚMY RUCH NASZEGO KLIENTA O 326%!

Zapisz się na newsletter e-mail i pobierz darmowy raport.

ZOBACZ JAK ZWIĘKSZYLIŚMY RUCH NASZEGO KLIENTA O 326%!

Zapisz się na newsletter e-mail i pobierz darmowy raport.