Zastanawiasz się czasem, jak zaplanować audyt, jeśli tyle zmiennych (takich jak czas, ludzie, i pieniądze), trzeba wziąć pod uwagę? Dziś przedstawię sposoby skutecznego planowania audytów wewnętrznych, które można zastosować w każdej organizacji.

Wszystkie zaproponowane przeze mnie w tym opracowaniu działania powstały w oparciu o najlepszy przewodnik każdego audytora – standard normy ISO 19011, który stanowi „wytyczne dotyczące audytowania systemów”. Brzmi groźnie?

Przyznaję, nie jest to najłatwiejszy dokument – szczegółowo opisano w nim zasady zarządzania programem audytów, planowania działań audytowych oraz przeprowadzenia audytów. Mimo to warto normę znać, ponieważ ma uniwersalne zastosowanie do wszystkich organizacji, które muszą (lub chcą to robić dobrze) przeprowadzić wewnętrzne i zewnętrzne audyty systemów zarządzania.

Najpierw jednak podkreślę, czym właściwie jest audyt wewnętrzny i jaka jest jego rola:

Audyty wewnętrzne są bardzo przydatnym narzędziem do analizy funkcjonowania organizacji, którego celem jest ocena skuteczności systemu zarządzania oraz identyfikacji obszarów do doskonalenia. Na ich podstawie wykazuje się zgodność z ustalonymi politykami, zasadami i procedurami postępowania, zbudowanymi w oparciu o wymagania danego standardu.

Główne działania realizowane w ramach działań audytorskich, to prowadzone wywiady z pracownikami, obserwacja zachodzących operacji, przegląd dokumentów oraz zapisów. W procesie audytu szczególnie ważne jest to, aby audytor miał odpowiednie cechy, o których wprost mówi standard ISO 19011 mi.in. etyczność, otwartość, dyplomatyczność i zorganizowanie.

Jest to istotne z punktu widzenia trudności samego procesu, bez określonych własności audytora, nie będzie on w stanie realizować powierzonych mu zadań (więcej cech audytora można znaleźć w punkcie 7.2.2 powyższej normy).

Kluczowym elementem działań audytorskich jest wytworzenie programu audytów, który najczęściej wytwarzany jest w organizacjach w cyklu corocznym. W oparciu o program audytów przechodzi się do planowania działań audytorskich pod konkretny audyt.

Pierwszym krokiem w planowaniu audytów poszczególnych procesów jest potwierdzenie z właścicielami procesu, kiedy audyt będzie miał miejsce. Roczny program audytów jest raczej wskazówką określającą, jak często i w przybliżeniu kiedy, procesy lub inne obszary będą poddawane audytowi, ale potwierdzenie pozwala audytorowi i właścicielowi procesu na współpracę w celu określenia najlepszego czasu na przeprowadzenie działań weryfikacyjnych.

Jest to moment, w którym audytor powinien zapoznać się z wynikami  oceny ryzyka dla danego obszaru, może także przejrzeć poprzednie audyty, aby sprawdzić, czy konieczne są dalsze działania w związku z wcześniej wykrytymi niezgodnościami lub wątpliwościami, a właściciel procesu może zidentyfikować obszary, którym audytor powinien się przyjrzeć, aby pomóc właścicielowi procesu w identyfikacji obszarów do doskonalenia.

Audytor wiodący, zgodnie z wymaganiem 19011, do planowania audytu przyjmuje podejście oparte na ryzyku. Na podstawie informacji zawartych w rocznym programie audytów i udokumentowanych informacjach dostarczonych przez audytowanego jest w stanie przeprowadzić audyt tak, by osiągnąć cele dla danego badania.

Planowanie audytów powinno uwzględniać również ryzyka związane z audytowanymi procesami, co stanowi podstawę do budowania planu audytu. Takie podejście ułatwia ustalenie terminów oraz koordynację działań audytowych.

Audytor wiodący (czyli odpowiedzialny za badanie audytowe) wraz ze swoim zespołem przy planowaniu działań audytowych powinien rozważyć:

• cele programu audytów i poszczególnych audytów;
• zakres/liczbę/rodzaje/czas trwania/lokalizację/harmonogram spotkań audytorskich;
• skład zespołu audytującego i jego łączne kompetencje;
• odpowiednie techniki pobierania próbek;
• szanse doskonalenia skuteczności i efektywności działań audytowych;
• ryzyka osiągnięcia celów audytu powstałe w wyniku nieskutecznego planowania audytu;
• ryzyka dla audytowanego spowodowane przeprowadzeniem audytu.

Ryzyko dla audytowanego może wynikać np. z obecności członków zespołu audytującego w wyznaczonych strefach mogących mieć wpływ na bezpieczeństwo i ochronę zdrowia, środowiska i jakości, a także jej wyrobów, usług, personelu lub infrastruktury (tu jako przykład norma ISO 19011 podaje zanieczyszczenie w tzw. czystych strefach). Należy jeszcze zwrócić uwagę w ramach tego obszaru ryzyka, na możliwe czasowe obciążenie pracowników działaniami audytowymi np. w ramach prowadzonych rozmów.

Wielkość i zawartość planu audytu wewnętrznego może być różna, w zależności od organizacji, złożoności procesów czy zakresu audytu. Jednak są elementy, które zawsze powinny pojawić się w planie audytu (Rys. 1). Poniższy rysunek nie obejmuje swoim zakresem lokalizacji, terminów spotkań, czasu trwania działań audytowych z podziałem na poszczególne sprawdzenia – tu zalecam, aby ująć to w ramach wewnętrznego kalendarza firmowego i uzgodnić terminy tych spotkań z audytowanym.

Można zauważyć, że przygotowany plan jest jednocześnie narzędziem pracy na cały okres trwania audytu i będzie wykorzystany podczas wykonywanych działań audytowych.

Oczywiście, w ramach swoich potrzeb taki plan można dostosować pod organizację. Możliwe, że niezbędne okaże się wskazanie lokalizacji każdorazowo – szczególnie kiedy jest ich sporo i są różnorodne, np. hale produkcyjne, w których rozróżnia się poszczególne bloki – do tego może posłużyć ostatnia kolumna w planie – uwagi/wnioski.

W trakcie przygotowania się do audytu, należy również rozważyć inne aspekty, jak niezbędne zasoby do przeprowadzenia audytu, zakwaterowanie, podróż, delegacje i inne. Te informacje zalecam spisywać w formie notatki w ramach zespołu audytorskiego, a następnie odhaczać na checkliście zaplanowane zadania.

Można również, jeśli jest taką możliwość, stworzyć w swoim workflow obieg odpowiadający poszczególnym etapom przygotowania do audytu. Zapewne w ramach swojej organizacji proces ten staje się powtarzalny, zatem warto rozważyć jego udokumentowanie.

Wszystkie powyższe zadania powinny być przygotowane w ramach pracy całego zespołu audytującego pod przewodnictwem audytora wiodącego. W konsultacji z zespołem powinno określić się odpowiedzialność za audytowanie poszczególnych procesów, działań, funkcji lub miejsc. W razie problemów z dostępnością jednego z członków zespołu możliwa jest zmiana planu już w trakcie trwania audytu, tak aby cel audytu został osiągnięty.

Należy pamiętać o tym, że audyt powinien zostać zaplanowany z głową, ze zwróceniem uwagi nie tylko na ilość audytów i KPI do osiągnięcia, ale przede wszystkim z uwzględnieniem, które obszary są kluczowe dla firmy, jak zabezpieczyć je przed zagrożeniami, jak to zrobić, by zdążyć w czasie i jakie zasoby będą potrzebne do wykonania zadań.

Planowanie to niestety nierówna walka z czasem, pieniędzmi i interesami biznesowymi. Na szczęście, pamiętając o tym, po co przeprowadza się audyt oraz dzięki skutecznemu planowaniu, można stworzyć dobrze działający proces, w znacznym stopniu wspierający całą organizację.

Potrzebujesz wsparcia w przeprowadzaniu audytu? Nie chcesz marnować czasu na tworzenie procedur? Skorzystaj z usług naszych wieloletnich ekspertów Bezpieczenstwa IT!