Skuteczny audyt wewnętrzny – czyli ISO 19011 w praktyce

Audyt wewnętrzny to jedno z najskuteczniejszych narzędzi pozwalających organizacjom upewnić się, że ich systemy zarządzania działają zgodnie z założeniami. Czasem bywa jednak mylnie rozumiany, przybierając formę stresującej kontroli. Tymczasem audyt nie ocenia ludzi ani nie szuka winnych – jego celem jest obiektywna weryfikacja procesów i systemów w oparciu o dowody, wspieranie doskonalenia organizacji i budowanie świadomości wśród pracowników.

Oczywiście, regularne przeprowadzanie audytów wewnętrznych w organizacjach posiadających system zarządzania jest również niezbędnym elementem spełniania wymagań norm ISO. Warto zatem skorzystać z normy ISO 19011:2018, która zawiera wytyczne dotyczące audytowania systemów zarządzania, obejmując swoim zakresem audyt pierwszej i drugiej strony, czyli odpowiednio: audyt wewnętrzny oraz audyt zewnętrznych stron zainteresowanych (np. dostawców lub klientów).

Czym jest ISO 19011?

PN-EN ISO 19011:2018 to norma zawierająca wytyczne dotyczące audytowania systemów zarządzania. Określa, jak prawidłowo planować, prowadzić i nadzorować audyty systemów zarządzania. Zawiera wytyczne dotyczące zasad audytowania, zarządzania programem audytów oraz oceny kompetencji osób zaangażowanych w proces – od audytorów po osoby kierujące programem audytów.

ISO 19011 obejmuje swoim zakresem audyt pierwszej strony (audyt wewnętrzny) oraz drugiej strony (audyt prowadzony przez klienta u dostawcy). Nie dotyczy natomiast audytów trzeciej strony, takich jak audyty certyfikujące lub akredytacyjne, bowiem w ich przypadku stosuje się odrębny standard: ISO/IEC 17021-1. Wskazówki zawarte w ISO 19011 można wykorzystać również przy innych rodzajach audytów, o ile zadba się o dodatkowe kompetencje wymagane w danej specyfice.

Audyt czy audit?

W języku polskim za poprawną formę przyjęto audyt. Tak wskazują autorytety językowe i słowniki, w tym Słownik Języka Polskiego PWN. Ponadto, Rada Języka Polskiego jednoznacznie podkreśla, że jedyną poprawną wersją jest audyt, ponieważ obcojęzyczne „di” ulega spolszczeniu do „dy” (np. „dyrektor”, „kredyt”).

Z drugiej strony, w wielu polskich wydaniach norm ISO zastosowano formę audit. Tak jest między innymi w polskim przekładzie normy ISO 19011:2018. Brak jest jednak spójności w tym aspekcie. Przykładowo, norma PN-ISO/IEC 27001:2007 zawiera formę audyt. W ogólnej praktyce komunikatów Polskiego Komitetu Normalizacyjnego obowiązuje z kolei forma audit, np. w podsumowaniu wytycznych ISO 19011, gdzie pojawia się „jednym z narzędzi… jest audit” oraz „Zasady auditowania, zarządzania programami auditów…”

Zatem z punktu widzenia języka polskiego forma audyt jest poprawna i preferowana w oficjalnych tekstach, zwłaszcza publicznych, administracyjnych i naukowych. Natomiast w dokumentach dotyczących systemów zarządzania jakością i tłumaczeniach norm ISO zwyczajowo spotyka się zapis audit. W praktyce, mimo że audit jest powszechnie używany w środowisku jakości, językoznawcy zalecają zachowanie tradycyjnej formy audyt jako zgodnej z normą języka polskiego.

Jak powinien wyglądać audyt wewnętrzny wg. ISO 19011?

Audyt, w zrozumieniu norm ISO, jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania obiektywnego dowodu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu.

Aby audyt spełniał swoją rolę w systemie zarządzania, należy:

Starannie go zaplanować
Przeprowadzić w sposób obiektywny, rzetelny i metodyczny
Zakończyć raportem zawierającym ustalenia wraz z dowodami oraz wnioski służące doskonaleniu.

Audyt wewnętrzny rozpoczyna się spotkaniem otwierającym, podczas którego audytor przedstawia zakres, plan oraz zasady prowadzenia audytu, a także potwierdza warunki współpracy z zespołem audytowanym. Następnie przechodzi do kluczowej fazy – zbierania i weryfikacji dowodów. Informacje pozyskuje poprzez rozmowy z pracownikami, obserwację przebiegu procesów oraz analizę dokumentów i zapisów. W podejściu opartym na ryzyku audytor koncentruje się przede wszystkim na obszarach mających największe znaczenie dla skuteczności systemu zarządzania. Każdy zgromadzony dowód musi być obiektywny, możliwy do zweryfikowania i adekwatny do określonych kryteriów audytu. Na tej podstawie formułowane są ustalenia i wnioski – audytor ocenia stopień spełnienia wymagań oraz to, czy procesy działają skutecznie. Ustalenia mogą obejmować potwierdzenie zgodności, wskazanie niezgodności, przedstawienie obserwacji lub wyróżnienie dobrych praktyk.

Skuteczność audytu wewnętrznego zależy od określonych w ISO 19011 zasad pracy audytora, do których zalicza się: rzetelność, uczciwość, staranność, poufność, niezależność, podejście oparte na dowodach oraz podejście oparte na ryzyku. Te zasady są fundamentem i obowiązują w każdym etapie audytu – od planowania po raportowanie.

Jak zaplanować audyt wewnętrzny?

Planowanie audytu wewnętrznego według ISO 19011 powinno być procesem przemyślanym, elastycznym i dostosowanym do specyfiki organizacji. W normie podkreślono, że plan powinien być wystarczająco szczegółowy, a jednocześnie umożliwiać wprowadzanie zmian, jeśli zajdzie taka potrzeba podczas realizacji działań audytowych. Kluczowym elementem jest określenie celu audytu, czyli tego, co organizacja chce dzięki niemu osiągnąć – potwierdzenia zgodności, oceny skuteczności procesu, doskonalenia albo określenia stopnia przygotowania do certyfikacji. Równie istotne jest zdefiniowanie zakresu audytu, obejmującego audytowane obszary, funkcje, procesy i lokalizacje, a także kryteriów audytu, czyli norm, procedur, polityk, wytycznych lub innych dokumentów odniesienia, na podstawie których będzie oceniany system.

W dobrze przygotowanym planie należy określić lokalizacje, daty i przewidywany czas trwania działań audytowych, uwzględniając także spotkania z kierownictwem. Audytor powinien zaplanować, w jaki sposób zapozna się z obiektami i procesami. Część obszarów będzie wymagała wizyty na miejscu, a w innych może wystarczy tylko przegląd informacji w systemach. Ważnym elementem jest dobór metod audytu, tak aby umożliwiały zgromadzenie obiektywnych i wystarczających dowodów.

Plan audytu powinien również określać osoby kontaktowe po stronie audytowanego, język prowadzenia audytu oraz język raportu, jeśli różni się od języka audytorów. Jest to bardzo istotne w organizacjach działających międzynarodowo. Audytor planuje sposób komunikacji, wymianę informacji oraz zasady poufności. Konieczne jest także uwzględnienie ryzyk i szans związanych z pracą audytową oraz ewentualnych działań wynikających z poprzednich audytów, incydentów, skarg czy zmian w systemie zarządzania.

Dobrze przygotowany plan daje obu stronom jasność co do przebiegu audytu i minimalizuje ryzyko nieporozumień.

Jakie są kryteria audytu?

Według ISO 19011 kryteria audytu to zestaw wymagań, zasad, procedur lub wytycznych, względem których audytor ocenia zgodność oraz skuteczność funkcjonowania systemu zarządzania. Innymi słowy — są to „wzorce” do których porównuje się stan rzeczywisty.

Norma nie narzuca jednego katalogu kryteriów, ponieważ zależą one od organizacji i rodzaju systemu zarządzania. Wskazuje jednak, że kryteriami audytu mogą być m.in.:

wymagania norm systemów zarządzania (np. ISO 9001, ISO 14001, ISO 45001, ISO 50001),
polityki, procedury, instrukcje i inne dokumenty wewnętrzne organizacji,
wymagania prawne i regulacyjne,
kodeksy branżowe, standardy sektorowe, wytyczne techniczne,
zobowiązania dobrowolne, takie jak deklarowane cele, programy, wartości lub inne kryteria efektów działania,
wymagania klientów lub innych stron zainteresowanych,
wyniki wcześniejszych audytów, analizy ryzyka albo ustalone działania doskonalące,
umowy, kontrakty lub inne zobowiązania zewnętrzne, jeśli wpływają na sposób działania organizacji.

ISO 19011 podkreśla, że kryteria muszą być jasno określone przed rozpoczęciem audytu, znane zarówno audytorom, jak i audytowanemu. To właśnie na ich podstawie formułuje się pytania, zbiera dowody, ocenia zgodność i przygotowuje ustalenia.

Jakie są techniki audytowania?

Podczas audytu wewnętrznego kluczowe znaczenie mają techniki pozyskiwania dowodów, które pozwalają ocenić zgodność procesów i działań organizacji z przyjętymi kryteriami. Do podstawowych technik audytowania zalicza się:

Wywiady, czyli rozmowy z pracownikami
Mogą to być pytania otwarte lub zamknięte, których celem jest uzyskanie rzetelnych informacji o procesach, praktykach i stosowanych procedurach. Dzięki nim audytor poznaje, jak zadania są realizowane w rzeczywistości i w jakim stopniu pracownicy rozumieją obowiązujące wymagania.
Przegląd dokumentacji i zapisów
Audytor analizuje procedury, instrukcje, raporty i inne zapisy operacyjne, co pozwala zweryfikować formalną zgodność działań organizacji z wymaganiami norm, przepisów prawa oraz własnymi regulacjami wewnętrznymi.
Oserwacja
Jest to bezpośrednie oglądanie pracy, procesów i zachowań w miejscu ich wykonywania. Dzięki temu można sprawdzić, czy rzeczywista praktyka odpowiada zapisanym procedurom i standardom.
Analiza danych
Polega na porównywaniu wskaźników, trendów i statystyk z wymaganiami normy lub ustalonymi celami organizacji. Pozwala to ocenić efektywność procesów oraz identyfikować potencjalne obszary ryzyka.
Techniki łączone
Najskuteczniejsze podejście – audytor przeprowadza wywiady, przegląda dokumentację i obserwuje procesy, dostając pełny obraz sytuacji, a dowody zgromadzone w różny sposób wzajemnie się uzupełniają i potwierdzają.

Jak często należy przeprowadzać audyt wewnętrzny?

Zgodnie z dobrą praktyką, audyty wewnętrzne przeprowadza się przynajmniej raz w roku w każdym obszarze przedsiębiorstwa, zgodnie z zakresem i granicami obowiązywania systemu zarządzania.

Częstotliwość audytów ustalana jest w programie audytów i zależy od kilku czynników, takich jak:

Ryzyko i znaczenie procesów – procesy krytyczne dla organizacji lub o wysokim ryzyku mogą wymagać częstszych audytów.
Wyniki poprzednich audytów – jeśli w poprzednich audytach stwierdzono niezgodności lub obszary wymagające poprawy, audyt może być przyspieszony.
Wymagania norm, przepisów lub innych wymagania obowiązujące w organizacji – mogą określać minimalną częstotliwość audytów w swoich wymaganiach.
Zmiany w organizacji – wprowadzenie nowych procesów, produktów, systemów lub znaczące zmiany w organizacji mogą wymagać audytu poza ustalonym harmonogramem lub wprowadzenia korekty programu audytów.

W praktyce organizacje często przyjmują roczny plan audytów, dzieląc go na audyty poszczególnych obszarów lub procesów, tak aby wszystkie kluczowe części systemu zarządzania były objęte audytem w określonym cyklu.

Jakie kwalifikacje musi mieć audytor wewnętrzny?

Skuteczny audytor wewnętrzny to nie tylko osoba znająca normy ISO, lecz profesjonalista łączący wiedzę merytoryczną, umiejętności analityczne i właściwe postawy. Rozdział 7 normy ISO 19011 jasno określa, że kompetencje audytora obejmują zarówno przygotowanie techniczne, jak i umiejętność praktycznego stosowania zasad audytowania połączone z odpowiedni mi cechami osobowymi.

Audytor musi potrafić planować i organizować swoją pracę, ustalać priorytety oraz prowadzić audyt w sposób obiektywny, uporządkowany i terminowy. Kluczowa jest umiejętność skutecznej komunikacji – od zadawania trafnych pytań i aktywnego słuchania, po jasne formułowanie ustaleń i prowadzenie dialogu z audytowanymi. Rzetelny audyt opiera się również na umiejętności obserwacji procesów, analizie danych, ocenie wiarygodności dowodów oraz umiejętnym stosowaniu technik próbkowania. Na tej podstawie audytor przygotowuje klarowne wnioski wspierające ciągłe doskonalenie.

Istotnym elementem kompetencji audytora jest oczywiście znajomość norm systemów zarządzania i umiejętność ich odniesienia w sposób adekwatny do kontekstu organizacji (jej struktury, procesów, ról, kultury pracy oraz potrzeb stron zainteresowanych). Taka wiedza pozwala trafnie identyfikować ryzyka, szanse i obszary doskonalenia, a tym samym formułować wartościowe wnioski wspierające rozwój systemu zarządzania.

Choć audytor nie pełni roli prawnika, powinien posiadać podstawową świadomość wymagań prawnych dotyczących branży. Dzięki temu łatwiej ocenić, czy system zarządzania uwzględnia kluczowe zobowiązania organizacji.

Oprócz wiedzy i umiejętności technicznych, równie ważne są cechy osobiste audytora: etyczność, profesjonalizm, otwartość, spostrzegawczość, elastyczność oraz umiejętność zachowania dyplomacji przy jednoczesnym dążeniu do realizacji celów audytu. Na kompetencje audytora składa się więc zarówno to, co potrafi, jak i sposób, w jaki wykonuje swoją pracę.

Czy audytor wewnętrzny musi mieć certyfikat?

Norma ISO 19011 nie zawiera wymagań w tym zakresie. Zespół audytujący musi jednak posiadać niezbędne kompetencje do realizacji. Osoba zarządzająca programem audytów jest zobowiązana do identyfikacji kompetencji potrzebnych do realizacji audytu, zatem dowody posiadanych kompetencji mają duże znaczenie. W tym kontekście certyfikat audytora wewnętrznego może być istotnym dokumentem potwierdzającym właściwe przygotowanie do pełnienia tej roli. Decyzja leży po stronie organizacji, która może określić poziom wiedzy i umiejętności audytora wewnętrznego oraz sposób ich udowodnienia.

Audyt wewnętrzny – więcej niż obowiązek

Audyt wewnętrzny zgodny z ISO 19011 to nie tylko obowiązek wynikający z norm, ale przede wszystkim skuteczne narzędzie wspierające doskonalenie procesów i systemów zarządzania w organizacji. Poprzez staranne planowanie, stosowanie odpowiednich technik audytowania oraz rzetelną ocenę dowodów, audyt umożliwia nie tylko wykrywanie niezgodności, ale przede wszystkim identyfikowanie obszarów do poprawy, podnoszenie efektywności działań i budowanie świadomości wśród pracowników. Kluczową rolę odgrywają tu kompetencje audytora – zarówno merytoryczne, jak i interpersonalne – które decydują o wartości wniosków płynących z audytu.

Skorzystaj z wiedzy i doświadczenia ekspertów

Jeśli chcesz, aby audyty wewnętrzne w Twojej organizacji przynosiły realną wartość i wspierały doskonalenie systemów zarządzania, skorzystaj z obsługi WISO Group. Nasi specjaliści zadbają o kompleksowe wsparcie w planowaniu, realizacji i raportowaniu audytów wewnętrznych oraz w całym procesie utrzymania systemów zarządzania, pomagając Twojej organizacji osiągnąć maksymalne korzyści z audytów.

Zawsze stawiamy na indywidualne podejście, nie stosujemy sztywnych schematów i dopasowujemy zakres wsparcia do specyfiki Twojej organizacji.

Chcesz dowiedzieć
się więcej?

Chcesz dowiedzieć się więcej?

Napisz lub zadzwoń, by poznać szczegóły współpracy.

Wyrażam zgodę na przetwarzanie danych osobowych przez WISO GROUP Sp. z o.o. z siedzibą w Olkuszu, na ulicy Rynek 29/5 w celu przesyłania treści marketingowych na nasz adres e-mail podany w formularzu kontaktowym. Zgoda jest dobrowolna. Mam prawo cofnąć zgodę w każdym czasie. Mam prawo dostępu do danych, sprostowania, usunięcia... Wyrażam zgodę na przetwarzanie danych osobowych przez WISO GROUP Sp. z o.o. z siedzibą w Olkuszu, na ulicy Rynek 29/5 w celu przesyłania treści marketingowych na nasz adres e-mail podany w formularzu kontaktowym. Zgoda jest dobrowolna. Mam prawo cofnąć zgodę w każdym czasie. Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego lub przeniesienia danych. Administratorem danych osobowych jest WISO GROUP Sp. z o.o. z siedzibą w Olkuszu, na ulicy Rynek 29/5. Administrator przetwarza dane zgodnie z Polityką Prywatności

Wyrażam zgodę na przetwarzanie danych osobowych przez WISO GROUP Sp. z o.o. z siedzibą w Olkuszu, na ulicy Rynek 29/5 w celu przesyłania odpowiedzi na przesyłane na nasz adres e-mail podany w formularzu kontaktowym zapytanie. Zgoda jest dobrowolna, jednakże w przypadku jej braku Administrator danych osobowych nie może... Wyrażam zgodę na przetwarzanie danych osobowych przez WISO GROUP Sp. z o.o. z siedzibą w Olkuszu, na ulicy Rynek 29/5 w celu przesyłania odpowiedzi na przesyłane na nasz adres e-mail podany w formularzu kontaktowym zapytanie. Zgoda jest dobrowolna, jednakże w przypadku jej braku Administrator danych osobowych nie może odpowiedzieć na przesłane pytania. Mam prawo cofnąć zgodę w każdym czasie. Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego lub przeniesienia danych. Administratorem danych osobowych jest WISO GROUP Sp. z o.o. z siedzibą w Olkuszu, na ulicy Rynek 29/5. Administrator danych osobowych przetwarza dane zgodnie z Polityką Prywatności .

Zobacz także:

Compliance w systemach zarządzania ISO

Zarządzanie zobowiązaniami dotyczącymi zgodności w systemach zarządzania ISO rozumiane jest jako systematyczne identyfikowanie, monitorowanie i przestrzeganie wymagań prawnych, norm międzynarodowych i dobrowolnych zobowiązań w celu zapewnienia spójności procesów, ograniczania ryzyka i ciągłego doskonalenia. Zgodność, czyli compliance w systemach zarządzania ISO możemy zdefiniować jako spełnienie wszystkich zobowiązań regulacyjnych, prawnych i dobrowolnych, a nie tylko specyfikacji technicznych. Wypełnianie wymagań dotyczących zgodności zmniejsza

Czytaj dalej

WISO GROUP Sp. z o.o.

ul. Rynek 29/5
32-300 Olkusz
NIP: 6372199840