Obsah
Interný audítor v slovenských firmách málokedy robí audity na plný úväzok. Býva to človek z kvality, z procesov alebo z prevádzky, ktorý audity vykonáva popri svojej hlavnej práci. Práve preto otázka „čo nové vydanie normy ISO 19011 chce od mojich audítorov” znie naliehavejšie, než na prvý pohľad vyzerá. Dobrá správa je, že nečaká vás rekvalifikácia. Čaká vás doplnenie profilu kompetentnosti a zopár cielených doškolení.
Čo sa pre interného audítora reálne mení
Krátko, aby sme stavali na rovnakom základe. Norma ISO 19011:2026 nechala sedem princípov aj štruktúru tak, ako boli. Pre audítora sa menia tri veci - kompetentnosť sa rozšírila o digitálnu časť, riziko sa premietlo až na úroveň techník, ktoré audítor volí, a vzdialené aj hybridné audity sa stali bežnou súčasťou práce, nie výnimkou. Žiadna z nich neprevracia auditovanie naruby. Spolu však menia to, čo má mať audítor „v ruke”, keď ide na audit.
Kompetentnosť už nie je len o norme a procese
S tým, ako audity prebiehajú čoraz častejšie cez obrazovku a nad elektronickými záznamami, sa rozšírilo aj to, čo má audítor vedieť. Okrem klasických zručností, teda plánovať audit, klásť otázky, zbierať a hodnotiť dôkazy, sa od neho po novom očakáva, že sa vyzná v digitálnych nástrojoch, vie posúdiť elektronický dôkaz a má povedomie o informačnej bezpečnosti.
Neznamená to, že z interného audítora robíte IT špecialistu. Znamená to, že keď mu na obrazovke ukážu záznam z informačného systému, vie sa opýtať na správne veci - kto k záznamu mal prístup, dal sa upraviť, čo hovorí história zmien a kedy záznam vznikol. A vie, že elektronický záznam nie je dôveryhodný len preto, že svieti na monitore. Pre audítora, ktorý roky pracuje s papierom a Excelom, je to posun v myslení, nie v softvérových zručnostiach.
V praxi vídam, že audítorovi najviac pomôže, keď pozná systémy vlastnej firmy - ERP, systém na riadenie dokumentov, helpdesk. Nemusí ich ovládať ako kľúčový používateľ. Musí v nich vedieť nájsť dôkaz a posúdiť, či mu môže veriť.
Pre špecializované oblasti, napríklad audit informačnej bezpečnosti, nové vydanie neobsahuje vlastný zoznam kompetencií podľa disciplín, ale odkazuje na sektorové normy, napríklad ISO/IEC 27007 pre audit ISMS.
Riziko si vyberá audítor
Nové vydanie rozpísalo prístup založený na riziku na tri úrovne - program auditov, jednotlivý audit a zvolené audítorské techniky. Tá tretia úroveň je presne o internom audítorovi pri práci.
Znamená to, že audítor nevolí rozsah vzorky, hĺbku previerky ani to, či niečo overí na diaľku alebo na mieste, podľa zvyku alebo šablóny. Volí to podľa rizika daného procesu a podľa cieľa auditu. Tam, kde je riziko pre organizáciu vyššie, ide audítor hlbšie, berie väčšiu vzorku a žiada tvrdší dôkaz. Tam, kde je riziko nízke, vystačí si s ľahšou kontrolou. Pre skúseného audítora to nie je nič nové, robil to intuitívne. Norma teraz chce, aby to robil vedome a vedel to zdôvodniť.
Nezávislosť, ktorá v malých tímoch drhne
Toto nie je nová požiadavka, ale v praxi najčastejšie zlyháva práve pri interných auditoch. Princíp nezávislosti hovorí, že audítor nemá auditovať vlastnú prácu. V malej firme s dvomi vyškolenými audítormi sa to ľahko poruší - manažér kvality audituje systém, ktorý sám nastavil, alebo vedúci výroby audituje výrobu.
Riešenia sú jednoduchšie, než sa zdá. Krížový audit, keď audítor z jedného úseku audituje iný úsek. Rotácia, aby ten istý človek neauditoval roky to isté. A pri procesoch, kde nezávislého audítora interne nemáte, sa oplatí prizvať externého. Norma nezávislosť nezmäkčila, takže ak vám audity dlhodobo robí ten, kto si ich má dať auditovať, certifikačný orgán to skôr či neskôr pomenuje.
Ako pripraviť svojich interných audítorov
Postup, ktorý funguje, má štyri kroky a nepotrebujete naň veľký projekt.
Najprv aktualizujte profil kompetentnosti audítora. Do existujúcich kritérií doplňte prácu s digitálnymi nástrojmi a elektronickými dôkazmi, dôvernosť pri vzdialenom prístupe a schopnosť viesť vzdialený alebo hybridný audit, ktorému sme venovali samostatný článok.
Potom porovnajte súčasných audítorov voči týmto kritériám. Zvyčajne zistíte, že audítorské základy majú v poriadku a chýba im práve tá digitálna a vzdialená časť.
Tú doplňte cieleným doškolením. Nemá zmysel posielať skúseného audítora na celý kurz od nuly, stačí nadstavba zameraná na zmeny v novom vydaní a na vzdialený audit. U nových audítorov dáva zmysel rovno kurz postavený na vydaní 2026.
Nakoniec to zapíšte. Hodnotenie kompetentnosti audítorov je súčasť normy a pri audite sa naň pozerá. Keď máte profil, posúdenie aj doškolenie zdokumentované, máte zároveň dôkaz, že vaši audítori sú spôsobilí.
Osobné vlastnosti, jedna drobnosť navyše
Nové vydanie zjednodušilo aj zoznam očakávaných osobných vlastností audítora. Dve z nich, doterajšiu „húževnatosť” a opísanú schopnosť konať zodpovedne a eticky aj vtedy, keď to nie je populárne, zlúčilo do jednej, v anglickom origináli „determined”. Pre vašich audítorov sa tým nemení nič podstatné. Očakávanie zostáva rovnaké, audítor je vytrvalý, objektívny a sústredený na cieľ aj vtedy, keď audit drhne. Komu sa žiada celý príbeh revízie od návrhu po vydanie, nájde ho v poslednom článku tejto série.
Čo s tým teraz
Ak máte interných audítorov vyškolených podľa vydania 2018 alebo staršieho, nepotrebujú začínať odznova. Prejdite ich profil kompetentnosti, doplňte doň digitálne nástroje, elektronické dôkazy a vzdialený audit, porovnajte súčasný stav a chýbajúce doplňte krátkym doškolením. Pri tej príležitosti si overte aj nezávislosť, teda kto u vás audituje čo a či to sedí.
Ak chcete mať interných audítorov pripravených na nové vydanie bez toho, aby ste ich posielali na týždňový kurz, ozvite sa. Naše kurzy interného audítora staviame na zmenách v norme ISO 19011:2026 a na skúsenostiach z interných, dodávateľských aj externých auditov, vrátane toho, čo interným audítorom v praxi najčastejšie spôsobuje problém.