Audyt wewnętrzny systemów zarządzania w firmie – jak go zaplanować?

Zastanawiasz się czasem, jak zaplanować audyt, jeśli tyle zmiennych (takich jak czas, ludzie, i pieniądze), trzeba wziąć pod uwagę? Dziś przedstawię sposoby skutecznego planowania audytów wewnętrznych, które można zastosować w każdej organizacji.

Na czym polega audyt?

Wszystkie zaproponowane przeze mnie w tym opracowaniu działania powstały w oparciu o najlepszy przewodnik każdego audytora – standard normy ISO 19011, który stanowi „wytyczne dotyczące audytowania systemów”. Brzmi groźnie?

Przyznaję, nie jest to najłatwiejszy dokument – szczegółowo opisano w nim zasady zarządzania programem audytów, planowania działań audytowych oraz przeprowadzenia audytów. Mimo to warto normę znać, ponieważ ma uniwersalne zastosowanie do wszystkich organizacji, które muszą (lub chcą to robić dobrze) przeprowadzić wewnętrzne i zewnętrzne audyty systemów zarządzania.

Najpierw jednak podkreślę, czym właściwie jest audyt wewnętrzny i jaka jest jego rola:

  1. Audyt wewnętrzny, zgodnie z normą ISO 19011, jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania dowodów z audytu poprzez weryfikację zapisów, stwierdzenia faktów lub na podstawie innych informacji i obiektywnej ich ocenie.

Audyt wewnętrzny – główne działania do zrealizowania

Audyty wewnętrzne są bardzo przydatnym narzędziem do analizy funkcjonowania organizacji, którego celem jest ocena skuteczności systemu zarządzania oraz identyfikacji obszarów do doskonalenia. Na ich podstawie wykazuje się zgodność z ustalonymi politykami, zasadami i procedurami postępowania, zbudowanymi w oparciu o wymagania danego standardu.

Główne działania realizowane w ramach działań audytorskich, to prowadzone wywiady z pracownikami, obserwacja zachodzących operacji, przegląd dokumentów oraz zapisów. W procesie audytu szczególnie ważne jest to, aby audytor miał odpowiednie cechy, o których wprost mówi standard ISO 19011 mi.in. etyczność, otwartość, dyplomatyczność i zorganizowanie.

Jest to istotne z punktu widzenia trudności samego procesu, bez określonych własności audytora, nie będzie on w stanie realizować powierzonych mu zadań (więcej cech audytora można znaleźć w punkcie 7.2.2 powyższej normy).

Audyt w firmie – kroki planowania audytu

Kluczowym elementem działań audytorskich jest wytworzenie programu audytów, który najczęściej wytwarzany jest w organizacjach w cyklu corocznym. W oparciu o program audytów przechodzi się do planowania działań audytorskich pod konkretny audyt.

Pierwszym krokiem w planowaniu audytów poszczególnych procesów jest potwierdzenie z właścicielami procesu, kiedy audyt będzie miał miejsce. Roczny program audytów jest raczej wskazówką określającą, jak często i w przybliżeniu kiedy, procesy lub inne obszary będą poddawane audytowi, ale potwierdzenie pozwala audytorowi i właścicielowi procesu na współpracę w celu określenia najlepszego czasu na przeprowadzenie działań weryfikacyjnych.

Jest to moment, w którym audytor powinien zapoznać się z wynikami  oceny ryzyka dla danego obszaru, może także przejrzeć poprzednie audyty, aby sprawdzić, czy konieczne są dalsze działania w związku z wcześniej wykrytymi niezgodnościami lub wątpliwościami, a właściciel procesu może zidentyfikować obszary, którym audytor powinien się przyjrzeć, aby pomóc właścicielowi procesu w identyfikacji obszarów do doskonalenia.

Audytor wiodący, zgodnie z wymaganiem 19011, do planowania audytu przyjmuje podejście oparte na ryzyku. Na podstawie informacji zawartych w rocznym programie audytów i udokumentowanych informacjach dostarczonych przez audytowanego jest w stanie przeprowadzić audyt tak, by osiągnąć cele dla danego badania.

Planowanie audytów powinno uwzględniać również ryzyka związane z audytowanymi procesami, co stanowi podstawę do budowania planu audytu. Takie podejście ułatwia ustalenie terminów oraz koordynację działań audytowych.

Powierz Bezpieczeństwo IT specjalistom!

  • Kompleksowe Audyty IT
  • Audyty Bezpieczeństwa Informacji
  • Wdrożenia ISO 27001
  • Szkolenia z cyberbezpieczeństwa
Sprawdź

Audytor wiodący – jakie są jego zadania?

Audytor wiodący (czyli odpowiedzialny za badanie audytowe) wraz ze swoim zespołem przy planowaniu działań audytowych powinien rozważyć:

  • cele programu audytów i poszczególnych audytów;
  • zakres/liczbę/rodzaje/czas trwania/lokalizację/harmonogram spotkań audytorskich;
  • skład zespołu audytującego i jego łączne kompetencje;
  • odpowiednie techniki pobierania próbek;
  • szanse doskonalenia skuteczności i efektywności działań audytowych;
  • ryzyka osiągnięcia celów audytu powstałe w wyniku nieskutecznego planowania audytu;
  • ryzyka dla audytowanego spowodowane przeprowadzeniem audytu.

Ryzyko dla audytowanego może wynikać np. z obecności członków zespołu audytującego w wyznaczonych strefach mogących mieć wpływ na bezpieczeństwo i ochronę zdrowia, środowiska i jakości, a także jej wyrobów, usług, personelu lub infrastruktury (tu jako przykład norma ISO 19011 podaje zanieczyszczenie w tzw. czystych strefach). Należy jeszcze zwrócić uwagę w ramach tego obszaru ryzyka, na możliwe czasowe obciążenie pracowników działaniami audytowymi np. w ramach prowadzonych rozmów.

Wielkość i zawartość planu audytu wewnętrznego może być różna, w zależności od organizacji, złożoności procesów czy zakresu audytu. Jednak są elementy, które zawsze powinny pojawić się w planie audytu (Rys. 1). Poniższy rysunek nie obejmuje swoim zakresem lokalizacji, terminów spotkań, czasu trwania działań audytowych z podziałem na poszczególne sprawdzenia – tu zalecam, aby ująć to w ramach wewnętrznego kalendarza firmowego i uzgodnić terminy tych spotkań z audytowanym.

plan audytu

Rysunek 1. Przykładowy Plan audytu wewnętrznego

Można zauważyć, że przygotowany plan jest jednocześnie narzędziem pracy na cały okres trwania audytu i będzie wykorzystany podczas wykonywanych działań audytowych.

Oczywiście, w ramach swoich potrzeb taki plan można dostosować pod organizację. Możliwe, że niezbędne okaże się wskazanie lokalizacji każdorazowo – szczególnie kiedy jest ich sporo i są różnorodne, np. hale produkcyjne, w których rozróżnia się poszczególne bloki – do tego może posłużyć ostatnia kolumna w planie – uwagi/wnioski.

O czym jeszcze należy pamiętać podczas audytu?

W trakcie przygotowania się do audytu, należy również rozważyć inne aspekty, jak niezbędne zasoby do przeprowadzenia audytu, zakwaterowanie, podróż, delegacje i inne. Te informacje zalecam spisywać w formie notatki w ramach zespołu audytorskiego, a następnie odhaczać na checkliście zaplanowane zadania.

Można również, jeśli jest taką możliwość, stworzyć w swoim workflow obieg odpowiadający poszczególnym etapom przygotowania do audytu. Zapewne w ramach swojej organizacji proces ten staje się powtarzalny, zatem warto rozważyć jego udokumentowanie.

Rola audytora i pozostałej części zespołu

Wszystkie powyższe zadania powinny być przygotowane w ramach pracy całego zespołu audytującego pod przewodnictwem audytora wiodącego. W konsultacji z zespołem powinno określić się odpowiedzialność za audytowanie poszczególnych procesów, działań, funkcji lub miejsc. W razie problemów z dostępnością jednego z członków zespołu możliwa jest zmiana planu już w trakcie trwania audytu, tak aby cel audytu został osiągnięty.

Należy pamiętać o tym, że audyt powinien zostać zaplanowany z głową, ze zwróceniem uwagi nie tylko na ilość audytów i KPI do osiągnięcia, ale przede wszystkim z uwzględnieniem, które obszary są kluczowe dla firmy, jak zabezpieczyć je przed zagrożeniami, jak to zrobić, by zdążyć w czasie i jakie zasoby będą potrzebne do wykonania zadań.

Planowanie to niestety nierówna walka z czasem, pieniędzmi i interesami biznesowymi. Na szczęście, pamiętając o tym, po co przeprowadza się audyt oraz dzięki skutecznemu planowaniu, można stworzyć dobrze działający proces, w znacznym stopniu wspierający całą organizację.

Potrzebujesz wsparcia w przeprowadzaniu audytu? Nie chcesz marnować czasu na tworzenie procedur? Skorzystaj z usług naszych wieloletnich ekspertów Bezpieczenstwa IT!

Powierz Bezpieczeństwo IT specjalistom!

  • Kompleksowe Audyty IT
  • Audyty Bezpieczeństwa Informacji
  • Wdrożenia ISO 27001
  • Szkolenia z cyberbezpieczeństwa
Sprawdź
×

Mamy nadzieję, że lektura tego tekstu sprawi Ci przyjemność.

Jeśli chcesz, byśmy pokazali Ci jak to narzędzie sprawdzi się w Twojej firmie, po prostu zarezerwuj rozmowę.

SKONTAKTUJ SIĘ
Summary
Audyt wewnętrzny systemów zarządzania w firmie – jak go zaplanować?
Article Name
Audyt wewnętrzny systemów zarządzania w firmie – jak go zaplanować?
Description
Jak zaplanować audyt, jeśli tyle zmiennych trzeba wziąć pod uwagę? Poznaj sposoby skutecznego planowania audytów wewnętrznych!
Author
Publisher Name
APLITT. Human Face of IT
Publisher Logo

Podziel się treścią:

Zostaw kontakt, aby dowiedzieć się więcej!

    Zostaw kontakt, aby dowiedzieć się więcej!

    * Imię i nazwisko:
    * Firma:
    * Telefon:
    E-mail:
    Wyrażam zgodę na przetwarzanie przez Aplitt sp. z o.o. moich danych osobowych wskazanych w formularzu kontaktowym w celu otrzymywania informacji handlowych i marketingowych dotyczących produktów i usług z oferty Aplitt sp. z o.o.. Więcej informacji w Polityce Prywatności.* Wyrażam zgodę na przetwarzanie przez Aplitt sp. z o.o. moich danych osobowych wskazanych w formularzu kontaktowym w celu otrzymywania informacji handlowych i marketingowych dotyczących produktów i usług z oferty Aplitt sp. z o.o.. Więcej informacji w Polityce Prywatności.
    Wyrażam zgodę na kontakt za pomocą wyżej wymienionych kanałów komunikacji w celu przedstawienia mi informacji handlowych lub w celu marketingu bezpośredniego Aplitt sp. z o.o..* Wyrażam zgodę na kontakt za pomocą wyżej wymienionych kanałów komunikacji w celu przedstawienia mi informacji handlowych lub w celu marketingu bezpośredniego Aplitt sp. z o.o..
    * pola wymagane
    Anna Gałka
    Anna Gałka
    Absolwentka wydziału Zarządzania i Ekonomii na Politechnice Gdańskiej. W 2016r. uzyskała tytuł inżyniera Towaroznawstwa, a w 2020 r. tytuł magistra Zarządzania Jakością i Projektami Innowacyjnymi. Autorka pracy dyplomowej na temat implementacji standardu ISO 27001 w przedsiębiorstwie z branży IT.

    Zobacz także:

    thumb image

    20 grudnia 2021

    Audyt wewnętrzny


    Czytaj
    thumb image

    28 sierpnia 2023

    Audyt IT. Co to jest? Czemu służy i jak przebiega?


    Czytaj
    thumb image

    28 sierpnia 2023

    Audyt Informatyczny – jak wybrać firmę audytującą?


    Czytaj

    Obejrzyj nasze filmy:

    Summary
    Audyt wewnętrzny systemów zarządzania w firmie – jak go zaplanować?
    Article Name
    Audyt wewnętrzny systemów zarządzania w firmie – jak go zaplanować?
    Description
    Jak zaplanować audyt, jeśli tyle zmiennych trzeba wziąć pod uwagę? Poznaj sposoby skutecznego planowania audytów wewnętrznych!
    Author
    Publisher Name
    APLITT. Human Face of IT
    Publisher Logo