Jak przeprowadzić audyt wewnętrzny w firmie i nie zwariować

W Standardach Praktyki Zawodowej Audytu Wewnętrznego podkreśla się, że celem audytu wewnętrznego jest przysporzenie wartości i usprawnienie działalności organizacji. Jak przeprowadzić dobrze zaplanowany audyt? 

Co robi audytor?

Audytor, aby spełnić swoje cele, odkrywa, poznaje audytowany obszar, poddając refleksji nie tylko to, co robią audytowani, ale też własną pracę (preferowana u nas ocena to „ankieta oceny pracy audytora”). Pokazując możliwości usprawnień oraz analizując posiadane informacje, dostarcza świeżego spojrzenia na kwestie zgodności audytowanego obszaru z kryteriami, które są sprawdzane. Rolę audytu wewnętrznego definiuje dążenie do zapewnienia m.in. zgodności i skuteczności systemu kontroli wewnętrznej, zarządzania ryzykiem oraz ładu organizacyjnego.  

Audyt wewnętrzny kieruje się w swej istocie zbiorem reguł – i tu oczywiście nie obejdzie się bez normy. Norma, która reguluje i daje wytyczne do przeprowadzenia audytu to ISO 19011 (wytyczne dotyczące audytowania systemów zarządzania). 

Konieczność zachowania niezależności, obiektywizmu oraz bezstronności audytora określa miejsce audytu w firmie, stąd rekomendacja dotycząca separacji komórki audytu od innych departamentów i działów oraz konieczności podlegania bezpośrednio Zarządowi w zakresie, chociażby raportowania. Audytor w swojej pracy kieruje się szeregiem zasad, dzięki nim jest w stanie swoją pracę wykonywać rzetelnie, etycznie, uczciwie i odpowiedzialnie.  

Lista zasad, jakimi kieruje się audytor wewnętrzny

Audyt wewnętrzny może być przeprowadzony na podstawie szeregu kryteriów, oddzielnie lub w połączeniu np. na podstawie: 

  • wymagań określonej jednej lub wielu norm;
  • polityk i lub innych wymagań określonych przez organizację;
  • wymagań prawnych i regulacji;
  • procedur lub procesów systemu zarządzania określonych przez organizację;
  • planów systemu zarządzania (np. planów jakości, planów projektu). 

Wszystkie dokumenty robocze wykorzystywane w trakcie audytu muszą uwzględniać aspekty:  

  • jakie zapisy powstaną za pomocą dokumentu? 
  • które zadanie audytowe jest związane z danym dokumentem? 
  • kto będzie użytkownikiem dokumentu? 
  • jakie informacje będą potrzebne do przygotowania dokumentu? 
  • jak zapewnić bezpieczeństwo informacji uzyskanych w trakcie prowadzenia audytu? 

W naszej organizacji najczęściej korzystamy z szablonów dokumentów roboczych, które grupują wymagania, oraz określają ich poufność. 

Powierz Bezpieczeństwo IT specjalistom!

  • Kompleksowe Audyty IT
  • Audyty Bezpieczeństwa Informacji
  • Wdrożenia ISO 27001
  • Szkolenia z cyberbezpieczeństwa

Czym jest roczny plan audytów (program audytów)?

Do obowiązków audytora należy zaplanowanie rocznego planu audytów (w ścisłej współpracy z Zarządem), który składa się ze szczegółowego harmonogramu audytów, czyli kolejnych zadań audytowych, jakie mamy w planie wykonać w danym roku.  

W dokumencie określane są cele, kryteria audytu, oraz poszczególne nazwy zadań audytowych, zespoły audytorów, do jakich obszarów organizacji się udamy, oraz w jakich terminach, jakich ekspertów chcemy zaprosić, jeśli to konieczne. Dokument zaakceptowany przez Zarząd musi zostać opublikowany w celu możliwości zapoznania się z jego treścią przez całą organizację. 

Program zadania audytowego – szczegółowe planowanie ścieżki audytu

Zespół audytorów przypisany do danego zadania audytowego, przystępuje do planowania szczegółowego planu audytu (ścieżki audytu), jest to moment szczegółowego planowania audytu, umożliwiający w przyszłości przeprowadzenie działań audytowych.  

Dokument zawiera m.in.: 

  • określenie cele, zakres i kryteria audytu;
  • zespół audytorów – wskazanie audytora wiodącego, rozdziela funkcje i zadania;
  • definiuje metody audytu (np. spotkania zdalne, na miejscu);
  • określa harmonogram działań audytowych;
  • metody badania zbierania dowodów/wybór źródeł informacji (przeprowadzanie rozmów, przegląd dokumentów, pobieranie próbek). 

Jak przebiega rozpoczęcie audytu?

Audyt rozpoczyna się spotkaniem otwierającym, na które zapraszani są audytowani (wraz z osobami kierującymi danymi obszarami). Na spotkaniu prezentowany jest dokument plan audytu/karta zadania audytowego, jego cele, zakres, kryteria, przedstawia się zespół audytorów.  

W trakcie spotkania omawiane są szczegóły dot. harmonogramu spotkań, osób zaproszonych do spotkań, metod komunikacji, lokalizacji spotkań. Audytorzy mogą na tym etapie zawnioskować również o dostęp do informacji, które będą chcieli pozyskać. Spotkanie ma na celu uzyskanie potwierdzenia, że wszystkie zaplanowane działania są zrozumiałe i nie ma przeszkód w ich realizacji.  

Czynności audytowe przeprowadzane na podstawie karty zadania audytowego

Na podstawie dokumentu plan audytu/karta zadania audytowego, na potrzeby kolejnych spotkań lub innych czynności audytowych tworzony jest dokument Karta spostrzeżeń, w zależności, jakiego wyboru źródła informacji dotyczy. Może to być zapis rozmowy z audytowanym, obserwacja audytora z wizji lokalnej, wnioski z przeglądu dokumentacji, podsumowanie i analiza danych, raporty, badania, ankiety, symulacje itd.  

Wszystkie informacje zawarte w poszczególnych kartach zostają po jej sporządzeniu przedstawione do zaakceptowania zainteresowanym stronom, audytowanym lub kierownictwu. Podpisana i zaakceptowana karta zostaje zarchiwizowana.  

Treści poszczególnych kart spostrzeżeń zostają w naszej organizacji umieszczone w dokumencie głównym audytu – plan zadania audytowego, w którym audytor zbiera informacje, w celu poddania ich dalszej analizie.  

Po wprowadzeniu do dokumentu program/karta zadania audytowanego – wszystkich kart spostrzeżeń, zespół audytorów przystępuje do pracy nad ustaleniem wniosków z audytu, w tym celu wszystkie uzyskane dowody z audytu powinny być oceniane w odniesieniu do kryteriów audytu. Ustalenia z audytu mogą wskazywać na zgodność lub niezgodność z kryteriami audytu.  

Powierz Bezpieczeństwo IT specjalistom!

  • Kompleksowe Audyty IT
  • Audyty Bezpieczeństwa Informacji
  • Wdrożenia ISO 27001
  • Szkolenia z cyberbezpieczeństwa

Sprawozdanie – raport z audytu

Sprawozdanie zawiera przede wszystkim wynik audytu i opis przeprowadzonych działań, wraz z niezgodnościami czy obszarami do poprawy. Za przygotowanie i treść raportu z audytu odpowiada audytor wiodący. Raport zawiera kompletne, dokładne, jasne zapisy z audytu oraz obejmuje lub powołuje się na: 

  • cele i zakres audytu;
  • zespół audytorów, który brał udział w audycie;
  • osoby audytowane odpowiedzialne za funkcje lub procesy;
  • daty i miejsce prowadzenia audytu;
  • kryteria audytu (normy, procedury, uregulowania prawne itd.);
  • omówienie zebranych dowodów/wybór źródeł informacji;
  • ujęcie rozbieżności w opiniach pomiędzy audytorem a audytowanym;
  • omówienie dobrych praktyk zaobserwowanych w trakcie audytu;
  • omówienie przeszkód napotkanych przez audytorów w trakcie audytu;
  • ustalenia/wnioski: zgodności, niezgodności, wnioski do doskonalenia, obserwacje.

Raport informuje, że audyt jest zakończony, wszystkie zadania z programu zadania audytowego zostały wykonane. 

Zamknięcie audytu – jak przebiega?

Spotkanie, na którym prezentowany i omawiany jest raport z audytu, prowadzone jest przez audytora wiodącego. Raport z audytu jest środkiem komunikacji z zarządzającymi audytowanym obszarem a osobami wykonującymi dany proces. Celem spotkania jest omówienia ustaleń oraz informacji zebranych w trakcie audytu. Po przeglądzie wniosków wspólnie omawiane są rekomendacje związane z doskonaleniem. Wszelkie rozbieżne opinie pomiędzy stronami audytu powinny być przedyskutowane i rozwiązane. Zaakceptowany i podpisany raport z audytu zostaje opublikowany (oraz zarchiwizowany).  

Kolejnym krokiem, który należy podjąć to… 

Działania naprawcze/poaudytowe

Wyniki audytu mogą wymagać wprowadzenia działań doskonalących we wskazanych przez raport z audytu obszarach procesów, opracowanie działań mających na celu poprawę sytuacji, dzięki którym organizacja ma szansę na dalsze doskonalenie.  

Analizą i opracowaniem działań naprawczych zajmuje się właściciel audytowanego procesu lub obszaru, może się jednak zdarzyć, że zalecenia wynikać będą bezpośrednio z raportu z audytu. Zespół audytorów weryfikuje zakończenie i skuteczność działań doskonalących. Wyniki raportowane są do Zarządu, w ramach tej oceny sprawdzane są niezgodności, czy zostały wdrożone plany naprawcze, ich wyniki i ocena.  

I oto mamy główny cel audytu, nie działania represyjne, lecz refleksję i chęć dalszej wspólnej pracy, bo dzięki audytowi jesteśmy w stanie zidentyfikować, to co należy poprawić. 

cudzysłówaudyt wewnętrzny tworzą ludzie

i audyt wewnętrzny jest dla ludzi

Powierz Bezpieczeństwo IT specjalistom!

  • Kompleksowe Audyty IT
  • Audyty Bezpieczeństwa Informacji
  • Wdrożenia ISO 27001
  • Szkolenia z cyberbezpieczeństwa
×

Mamy nadzieję, że lektura tego tekstu sprawi Ci przyjemność.

Jeśli chcesz, byśmy pokazali Ci jak to narzędzie sprawdzi się w Twojej firmie, po prostu zarezerwuj rozmowę.

Summary
Jak przeprowadzić audyt wewnętrzny w firmie i nie zwariować
Article Name
Jak przeprowadzić audyt wewnętrzny w firmie i nie zwariować
Description
Czym jest audyt wewnętrzny? Jak przeprowadzić go zgodnie ze sztuką, a przy okazji... nie zwariować? Poznaj nasze wskazówki!
Author
Publisher Name
APLITT. Human Face of IT
Publisher Logo

Podziel się treścią:

Zostaw kontakt, aby dowiedzieć się więcej!

    Zostaw kontakt, aby dowiedzieć się więcej!

    * Imię i nazwisko:
    * Firma:
    * Telefon:
    E-mail:
    Wyrażam zgodę na przetwarzanie przez Aplitt sp. z o.o. moich danych osobowych wskazanych w formularzu kontaktowym w celu otrzymywania informacji handlowych i marketingowych dotyczących produktów i usług z oferty Aplitt sp. z o.o.. Więcej informacji w Polityce Prywatności.* Wyrażam zgodę na przetwarzanie przez Aplitt sp. z o.o. moich danych osobowych wskazanych w formularzu kontaktowym w celu otrzymywania informacji handlowych i marketingowych dotyczących produktów i usług z oferty Aplitt sp. z o.o.. Więcej informacji w Polityce Prywatności.
    Wyrażam zgodę na kontakt za pomocą wyżej wymienionych kanałów komunikacji w celu przedstawienia mi informacji handlowych lub w celu marketingu bezpośredniego Aplitt sp. z o.o..* Wyrażam zgodę na kontakt za pomocą wyżej wymienionych kanałów komunikacji w celu przedstawienia mi informacji handlowych lub w celu marketingu bezpośredniego Aplitt sp. z o.o..
    * pola wymagane
    Malgorzata Motog Lipnicka
    Malgorzata Motog Lipnicka
    Jedna z ekspertek Zespołu Audytorów Wewnętrznych. Przeprowadza audyty z zakresu standardowych procesów wewnętrznych opartych o normy ISO. Prywatnie miłośniczka psów i kotów, zainteresowana zmianami środowiskowymi i przestrzennymi swojego rodzinnego Gdańska.

    Zobacz także:

    thumb image

    23 kwietnia 2022

    Jak spełnić wymagania RODO


    Czytaj
    thumb image

    17 października 2022

    Jak chronić się przed cyberprzestępczością


    Czytaj
    thumb image

    28 sierpnia 2023

    Audyt IT. Co to jest? Czemu służy i jak przebiega?


    Czytaj

    Obejrzyj nasze filmy:

    Summary
    Jak przeprowadzić audyt wewnętrzny w firmie i nie zwariować
    Article Name
    Jak przeprowadzić audyt wewnętrzny w firmie i nie zwariować
    Description
    Czym jest audyt wewnętrzny? Jak przeprowadzić go zgodnie ze sztuką, a przy okazji... nie zwariować? Poznaj nasze wskazówki!
    Author
    Publisher Name
    APLITT. Human Face of IT
    Publisher Logo