W Standardach Praktyki Zawodowej Audytu Wewnętrznego podkreśla się, że celem audytu wewnętrznego jest przysporzenie wartości i usprawnienie działalności organizacji. Jak przeprowadzić dobrze zaplanowany audyt? 

Audytor, aby spełnić swoje cele, odkrywa, poznaje audytowany obszar, poddając refleksji nie tylko to, co robią audytowani, ale też własną pracę (preferowana u nas ocena to „ankieta oceny pracy audytora”). Pokazując możliwości usprawnień oraz analizując posiadane informacje, dostarcza świeżego spojrzenia na kwestie zgodności audytowanego obszaru z kryteriami, które są sprawdzane. Rolę audytu wewnętrznego definiuje dążenie do zapewnienia m.in. zgodności i skuteczności systemu kontroli wewnętrznej, zarządzania ryzykiem oraz ładu organizacyjnego.  

Audyt wewnętrzny kieruje się w swej istocie zbiorem reguł – i tu oczywiście nie obejdzie się bez normy. Norma, która reguluje i daje wytyczne do przeprowadzenia audytu to ISO 19011 (wytyczne dotyczące audytowania systemów zarządzania). 

Konieczność zachowania niezależności, obiektywizmu oraz bezstronności audytora określa miejsce audytu w firmie, stąd rekomendacja dotycząca separacji komórki audytu od innych departamentów i działów oraz konieczności podlegania bezpośrednio Zarządowi w zakresie, chociażby raportowania. Audytor w swojej pracy kieruje się szeregiem zasad, dzięki nim jest w stanie swoją pracę wykonywać rzetelnie, etycznie, uczciwie i odpowiedzialnie.  

Audyt wewnętrzny może być przeprowadzony na podstawie szeregu kryteriów, oddzielnie lub w połączeniu np. na podstawie: 

• wymagań określonej jednej lub wielu norm;
• polityk i lub innych wymagań określonych przez organizację;
• wymagań prawnych i regulacji;
• procedur lub procesów systemu zarządzania określonych przez organizację;
• planów systemu zarządzania (np. planów jakości, planów projektu). 

Wszystkie dokumenty robocze wykorzystywane w trakcie audytu muszą uwzględniać aspekty:  

• jakie zapisy powstaną za pomocą dokumentu? 
• które zadanie audytowe jest związane z danym dokumentem? 
• kto będzie użytkownikiem dokumentu? 
• jakie informacje będą potrzebne do przygotowania dokumentu? 
• jak zapewnić bezpieczeństwo informacji uzyskanych w trakcie prowadzenia audytu? 

W naszej organizacji najczęściej korzystamy z szablonów dokumentów roboczych, które grupują wymagania, oraz określają ich poufność. 

Do obowiązków audytora należy zaplanowanie rocznego planu audytów (w ścisłej współpracy z Zarządem), który składa się ze szczegółowego harmonogramu audytów, czyli kolejnych zadań audytowych, jakie mamy w planie wykonać w danym roku.  

W dokumencie określane są cele, kryteria audytu, oraz poszczególne nazwy zadań audytowych, zespoły audytorów, do jakich obszarów organizacji się udamy, oraz w jakich terminach, jakich ekspertów chcemy zaprosić, jeśli to konieczne. Dokument zaakceptowany przez Zarząd musi zostać opublikowany w celu możliwości zapoznania się z jego treścią przez całą organizację. 

Zespół audytorów przypisany do danego zadania audytowego, przystępuje do planowania szczegółowego planu audytu (ścieżki audytu), jest to moment szczegółowego planowania audytu, umożliwiający w przyszłości przeprowadzenie działań audytowych.  

Dokument zawiera m.in.: 

• określenie cele, zakres i kryteria audytu;
• zespół audytorów – wskazanie audytora wiodącego, rozdziela funkcje i zadania;
• definiuje metody audytu (np. spotkania zdalne, na miejscu);
• określa harmonogram działań audytowych;
• metody badania zbierania dowodów/wybór źródeł informacji (przeprowadzanie rozmów, przegląd dokumentów, pobieranie próbek). 

Audyt rozpoczyna się spotkaniem otwierającym, na które zapraszani są audytowani (wraz z osobami kierującymi danymi obszarami). Na spotkaniu prezentowany jest dokument plan audytu/karta zadania audytowego, jego cele, zakres, kryteria, przedstawia się zespół audytorów.  

W trakcie spotkania omawiane są szczegóły dot. harmonogramu spotkań, osób zaproszonych do spotkań, metod komunikacji, lokalizacji spotkań. Audytorzy mogą na tym etapie zawnioskować również o dostęp do informacji, które będą chcieli pozyskać. Spotkanie ma na celu uzyskanie potwierdzenia, że wszystkie zaplanowane działania są zrozumiałe i nie ma przeszkód w ich realizacji.  

Na podstawie dokumentu plan audytu/karta zadania audytowego, na potrzeby kolejnych spotkań lub innych czynności audytowych tworzony jest dokument Karta spostrzeżeń, w zależności, jakiego wyboru źródła informacji dotyczy. Może to być zapis rozmowy z audytowanym, obserwacja audytora z wizji lokalnej, wnioski z przeglądu dokumentacji, podsumowanie i analiza danych, raporty, badania, ankiety, symulacje itd.  

Wszystkie informacje zawarte w poszczególnych kartach zostają po jej sporządzeniu przedstawione do zaakceptowania zainteresowanym stronom, audytowanym lub kierownictwu. Podpisana i zaakceptowana karta zostaje zarchiwizowana.  

Treści poszczególnych kart spostrzeżeń zostają w naszej organizacji umieszczone w dokumencie głównym audytu – plan zadania audytowego, w którym audytor zbiera informacje, w celu poddania ich dalszej analizie.  

Po wprowadzeniu do dokumentu program/karta zadania audytowanego – wszystkich kart spostrzeżeń, zespół audytorów przystępuje do pracy nad ustaleniem wniosków z audytu, w tym celu wszystkie uzyskane dowody z audytu powinny być oceniane w odniesieniu do kryteriów audytu. Ustalenia z audytu mogą wskazywać na zgodność lub niezgodność z kryteriami audytu.  

Sprawozdanie zawiera przede wszystkim wynik audytu i opis przeprowadzonych działań, wraz z niezgodnościami czy obszarami do poprawy. Za przygotowanie i treść raportu z audytu odpowiada audytor wiodący. Raport zawiera kompletne, dokładne, jasne zapisy z audytu oraz obejmuje lub powołuje się na: 

• cele i zakres audytu;
• zespół audytorów, który brał udział w audycie;
• osoby audytowane odpowiedzialne za funkcje lub procesy;
• daty i miejsce prowadzenia audytu;
• kryteria audytu (normy, procedury, uregulowania prawne itd.);
• omówienie zebranych dowodów/wybór źródeł informacji;
• ujęcie rozbieżności w opiniach pomiędzy audytorem a audytowanym;
• omówienie dobrych praktyk zaobserwowanych w trakcie audytu;
• omówienie przeszkód napotkanych przez audytorów w trakcie audytu;
• ustalenia/wnioski: zgodności, niezgodności, wnioski do doskonalenia, obserwacje.

Raport informuje, że audyt jest zakończony, wszystkie zadania z programu zadania audytowego zostały wykonane. 

Spotkanie, na którym prezentowany i omawiany jest raport z audytu, prowadzone jest przez audytora wiodącego. Raport z audytu jest środkiem komunikacji z zarządzającymi audytowanym obszarem a osobami wykonującymi dany proces. Celem spotkania jest omówienia ustaleń oraz informacji zebranych w trakcie audytu. Po przeglądzie wniosków wspólnie omawiane są rekomendacje związane z doskonaleniem. Wszelkie rozbieżne opinie pomiędzy stronami audytu powinny być przedyskutowane i rozwiązane. Zaakceptowany i podpisany raport z audytu zostaje opublikowany (oraz zarchiwizowany).  

Kolejnym krokiem, który należy podjąć to… 

Wyniki audytu mogą wymagać wprowadzenia działań doskonalących we wskazanych przez raport z audytu obszarach procesów, opracowanie działań mających na celu poprawę sytuacji, dzięki którym organizacja ma szansę na dalsze doskonalenie.  

Analizą i opracowaniem działań naprawczych zajmuje się właściciel audytowanego procesu lub obszaru, może się jednak zdarzyć, że zalecenia wynikać będą bezpośrednio z raportu z audytu. Zespół audytorów weryfikuje zakończenie i skuteczność działań doskonalących. Wyniki raportowane są do Zarządu, w ramach tej oceny sprawdzane są niezgodności, czy zostały wdrożone plany naprawcze, ich wyniki i ocena.  

I oto mamy główny cel audytu, nie działania represyjne, lecz refleksję i chęć dalszej wspólnej pracy, bo dzięki audytowi jesteśmy w stanie zidentyfikować, to co należy poprawić. 

audyt wewnętrzny tworzą ludzie

i audyt wewnętrzny jest dla ludzi