Spis treści

Spis treści

Tagi

QnowHow

Dlaczego nie zawsze lubimy audytorów wewnętrznych?

27.08.2025 11:15
11 minut czytania

Ogólne informacje o audicie wewnętrznym

Od kilkudziesięciu lat w Polsce wydawane są normy związane z systemami zarządzania, które mówiąc w dużym uproszczeniu, służą do poprawy organizacji pracy naszych firm oraz ich ustandaryzowania w taki sposób, by np. niewielki zakład z jakiejś części naszego kraju, mógł bez problemu współpracować z firmą z USA, Japonii czy Niemiec. Tych norm jest wiele i każda z nich określa jakiś obszar związany z funkcjonowaniem przedsiębiorstwa. Są więc normy jakościowe (ISO 9001), środowiskowe (ISO 14001), związane z BHP (ISO 45001) czy z bezpieczeństwem informacji (ISO 27001). Każda z nich opisuje w sposób ogólny, co trzeba robić, by spełnić wymagania związane z wykonywaną codziennie pracą - jak uporządkować poszczególne obszary, aby zawsze było wiadomo, kto i co ma robić, by firma funkcjonowała w sposób ciągły, bez przerw w pracy.

Oprócz tych wymagań, w każdej normie znajduje się wymóg przeprowadzania tzw. auditów wewnętrznych, których celem jest potwierdzenie, że na bieżąco są stosowane wszystkie wymogi, jakie w tych dokumentach zostały opisane. I właśnie refleksje na temat wykonywania auditów wewnętrznych w firmach i ich postrzegania w codzienności firmowej są tematem tego artykułu. Informacje, jakie zostały tu przedstawione, są wynikiem moich osobistych ponad 20 letnich doświadczeń związanych z przeprowadzaniem takich auditów, bądź uczestnictwem w nich z punktu widzenia strony audytowanej.

Aby lepiej zrozumieć ten temat, muszę wyjaśnić znaczenie słowa audit, gdyż nie wszędzie jest ono właściwie rozumiane. Wielokrotnie bowiem spotykałem się z sytuacjami, że audit był kojarzony z kontrolą w firmie, a więc z czymś co nie zawsze się dobrze kojarzy ze względu na potencjalne kary, które mogą nas spotkać w konsekwencji niezgodności, jakie zostaną stwierdzone. Zacznijmy jednak od definicji auditu.

Polski Komitet Normalizacyjny, który jest jedyną instytucją w naszym kraju zajmującą się m.in. sprzedażą norm, wydał w 2018 roku normę, w której przedstawione są wytyczne dotyczące auditowania systemów zarządzania. Norma ta oznaczona symbolem PN-EN ISO 19011 – „Wytyczne dotyczące audytowania systemów zarządzania” podaje definicję auditu.

Brzmi ona następująco:

AUDIT to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu obiektywnego oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu.

 W dalszej części norma podpowiada, że audity mają być prowadzone przez samą firmę, bądź przez kogoś, kto będzie występował w jej imieniu. Należy jeszcze wyjaśnić, że audity te mają być prowadzone przez auditorów, którzy są pracownikami firmy. Jeżeli więc dokładnie przeanalizujemy sobie tą definicję, to jednoznacznie możemy stwierdzić, że podczas auditu szukamy dowodów na to, że w procesie, bądź obszarze, który auditujemy spełnione są wymagania, które sobie wcześniej ustaliliśmy.

Porównałbym tą czynność do okresowego przeglądu samochodu w stacji obsługi. Diagnosta, który ustawia nasz samochód na stanowisku z kanałem, sprawdza punkt po punkcie, czy jest on zdatny do dalszej jazdy. W przypadku, kiedy znajdzie jakąś usterkę związaną z tym, że podczas dalszej jazdy będzie ona wpływała na nasze bezpieczeństwo, bądź bezpieczeństwo innych użytkowników na drodze, nie podbija nam dowodu rejestracyjnego, lecz sugeruje, byśmy najpierw usunęli usterkę, a dopiero później przyjechali na przegląd.

Popatrzmy, nie ponosimy żadnej kary. Jedyną niedogodnością jest to, że po usunięciu usterki musimy przyjechać na przegląd jeszcze raz. I tak samo jest z auditem systemu zarządzania. Gdy stwierdzimy niezgodność, wpisujemy ją do raportu, a w dalszej kolejności podejmujemy działania, by tą usterkę wyeliminować.

Czym różni się audit od kontroli?

Po tych ogólnych informacjach przyszła pora na zastanowienie się, jaka naprawdę jest różnica pomiędzy auditem, a kontrolą.

Przyznam się, że czytając różne opracowania w Internecie dotyczące tego tematu można mieć mieszane uczucia. Powodem tego jest różnorodność interpretacji określonych przez autorów poszczególnych opracowań, zawierających często wzajemnie wykluczające się opinie. Cóż, sieć internetowa pozwala na umieszczanie tam swoich różnych opinii, bez weryfikacji ich zgodności czy poprawności. Spróbuję więc podać własną definicję obu pojęć, wykorzystując swoje wieloletnie doświadczenie w różnych firmach i obserwując pracę doświadczonych auditorów.

Otóż audit wewnętrzny to nic innego jak potwierdzenie, że system zarządzania działa tak, jak sobie to zaplanowaliśmy i opisaliśmy. Audit jest przeprowadzany przez auditora z reguły będącego pracownikiem firmy. Jego zadaniem jest znalezienie zgodnych elementów w obszarze auditowanym i wskazanie miejsc, które trzeba będzie jeszcze w przyszłości poprawić. W audicie do każdej stwierdzonej niezgodności musimy przeprowadzić analizę przyczyn powstania niezgodności, w kolejnym etapie podjąć działania korygujące, które wyeliminują w przyszłości daną niezgodność, a w trzecim etapie mamy oceniać skuteczność podjętych wcześniej działań, by w przyszłości nie wracać już do tego tematu.

Inne zadanie ma kontrola wewnętrzna. Jest to też sprawdzenie działania poszczególnych elementów systemu czy procesu, ale ze szczególnym zwróceniem uwagi na poprawność działania oraz na odstępstwa od tych założonych działań. W przypadku kontroli koncentrujemy się na stwierdzeniu niezgodności - i co jest niestety często regułą - mniej zwracamy uwagę na przyczyny, bardziej skupiamy się na karach dla konkretnych osób.

Podsumowując, te różnice między auditem i kontrolą nasuwają dość wyraźne spostrzeżenie. Audit należy traktować bardziej jako narzędzie do naprawy organizacyjnej firmy. Auditor ma być takim trochę operatorem, który pomaga to narzędzie zastosować.

W przypadku kontrolera skutkiem przeprowadzonych czynności jest raport przedstawiany stronie kontrolowanej (z ewentualnymi karami) i pozostawienie stronie kontrolowanej zaleceń pokontrolnych.

Jest jeszcze jedna istotna różnica pomiędzy auditem wewnętrznym i kontrolą. Audit wewnętrzny przeprowadzają z reguły pracownicy firmy będący auditorami, natomiast kontrolę wykonują instytucje zewnętrzne.

Skoro w założeniu audit nie ma być narzędziem do nakładania kar, a raczej narzędziem do naprawy, to dlaczego patrzymy w firmach niezbyt przychylnym okiem na audity wewnętrzne?

Wyodrębniłem 5 głównych przyczyn (choć jest ich oczywiście znacznie więcej).

  • Po pierwsze – upowszechniło się mniemanie, że audity wewnętrzne w zasadzie nie różnią się od kontroli wewnętrznej, a konsekwencją auditu będą w przyszłości kary,
  • Po drugie – nie traktujemy auditów wewnętrznych jako narzędzi do naprawy organizacyjnej, lecz jako marnowanie czasu, podczas którego wytykane są nam błędy,
  • Po trzecie – niewłaściwie przeprowadzamy audity wewnętrzne, co jest konsekwencją niewystarczającej wiedzy i doświadczenia posiadanego przez auditorów wewnętrznych,
  • Po czwarte – stosujemy kary dla pracowników, którzy mają bezpośredni udział w powstałych niezgodnościach, nie zwracając uwagi na przyczyny oraz działania, jakie należy podjąć by wyeliminować te przyczyny,
  • I po piąte – nie przeprowadzamy auditów cyklicznie, traktujemy je jako coś, co należy spełnić, by pozytywnie zaliczyć później audit jednostki certyfikacyjnej.

Oczywiście wymienione wcześniej uwagi nie są regułą powszechną. Są przedsiębiorstwa, gdzie audity wewnętrzne są traktowane priorytetowo i tam zwraca się uwagę na inne aspekty wykonywania tego bardzo ważnego i dającego dużo pozytywnych wartości elementu funkcjonowania systemów zarządzania.

 

Przygotowanie auditu wewnętrznego

Niezwykle ważną rzeczą podczas przeprowadzania auditów wewnętrznych w każdej firmie jest ich odpowiednie przygotowanie. I nie chodzi tu tylko o stworzenie formalnych wymogów w postaci ustalenia programu auditów, czy stworzenia odpowiednich formularzy potrzebnych do przeprowadzania auditów. Niezwykle ważną rzeczą jest ustalenie listy auditorów wewnętrznych, a później w kolejnym etapie przeszkolenie ich.

Podczas tych czynności przygotowawczych osoby odpowiedzialne w firmie często popełniają dość istotny błąd polegający na braku rozpropagowania procesu realizowania auditów wewnętrznych systemu zarządzania. To niedopatrzenie powoduje, że pracownicy nie posiadają wystarczającej wiedzy na temat filozofii auditów i traktują audity jak zło konieczne, utożsamiając je z typową kontrolą. Często wynika to z nadmiaru obowiązków takiej osoby lub z braku doświadczenia. Przyjęło się bowiem takie przekonanie, że wystarczy przeszkolić auditorów, stworzyć check-listy do każdego z obszarów i pilnować tylko, czy ilość zaplanowanych auditów zgadza się z rzeczywistością. Tymczasem w praktyce okazuje się, że na papierze wszystko się zgadza, a w praktyce nic nie wychodzi.

Z tego powodu niezwykle ważną rolę przy przeprowadzaniu auditów wewnętrznych ma osoba wyznaczona przez najwyższe kierownictwo do tego, aby sprawowała nadzór nad auditorami i służyła im swoją pomocą i doświadczeniem. W firmie posiadającej certyfikat systemu zarządzania jakością nie ma w tej chwili obowiązku zatrudniania pełnomocnika ds. systemu zarządzania, dlatego na najwyższym kierownictwie spoczywa obowiązek rozwiązania tego problemu.

Wspominana już norma PN-EN ISO 19011 – „Wytyczne dotyczące auditowania systemów zarządzania” zamieszcza schemat, na którym w sposób graficzny przedstawiony został przebieg procesu zarządzania programem auditów. Wykorzystano tam dość popularną zasadę PDCA (planuj-wykonaj-sprawdź-działaj). W taki sposób powinna być zorganizowana praca osoby odpowiedzialnej za audity wewnętrzne w firmie.

  

Obraz zawierający tekst, zrzut ekranu, diagram, oprogramowanieOpis wygenerowany automatycznie

Rys – źródło PN-EN ISO 19011

Kto może zostać auditorem i jakie błędy są popełniane przy wyborze auditorów?

Wymagania norm systemu zarządzania jakością nie precyzują dokładnie, kto może zostać auditorem wewnętrznym w firmie. Norma ISO 19011 określa wprawdzie, jakie kompetencje powinna posiadać taka osoba, ale jak już wcześniej wspominałem, są to tylko wytyczne. Na pewno wśród najważniejszych cech, jakie powinien posiadać człowiek wykonujący tę profesję, są:

  • postępowanie zgodnie z obowiązującymi normami etycznymi – chodzi tutaj o szczerość, prawdomówność i uczciwość,
  • otwartość na rozwiązywanie wszelkich problemów - analizowanie pomysłów, jakie przedstawia strona auditowana,
  • taktowność w rozmowie w ciągu całego okresu przeprowadzania auditu,
  • umiejętność obserwowania i wyciągania wniosków z zaistniałych zdarzeń,
  • umiejętność rozumienia czasami nietypowych sytuacji i zdarzeń w trakcie słuchania wyjaśnień przez stronę auditowaną,
  • zdolność do dostosowania się do tych sytuacji,
  • wytrwałość w dążeniu do założonego celu - niezałamywanie się niepowodzeniami,
  • zdecydowanie, pewność siebie - osoba, która podejmuje decyzje, nawet niewłaściwe, jest bardziej ceniona niż osoba, która się waha,
  • wiara w swoje umiejętności - osoba potrafiąca przekonać innych do swoich racji,
  • zdolność do działania - nawet wtedy, gdy działanie to jest niepopularne,
  • otwartość na doskonalenie - umiejętność przyznania racji czy przyznania się do błędu,
  • akceptowalność ludzi, którzy mają inny sposób myślenia, inne zwyczaje, czasami frustrujące innych,
  • umiejętność współpracy z innymi ludźmi - tak spośród audytowanych, jak i w zespole auditującym.

Wydaje się, że większość z tych cech posiada każdy z nas – przynajmniej nam się tak wydaje. Ocena tych cech należeć jednak musi do osoby obiektywnej, która bez żadnych uprzedzeń potrafi przeanalizować każdą z nich i przydzielić auditorów do takich obszarów w firmie, w której będą się czuć komfortowo. Taką osobą jest z reguły Pełnomocnik, który jednak nie zawsze ma wystarczającą ilość kompetentnych auditorów wewnętrznych i wyznacza do przeprowadzania auditów tych, którzy są w danej chwili dostępni, a którzy nie zawsze dysponują wystarczającymi kompetencjami.

Jakie są więc główne przyczyny tego, że audity wykonują często osoby nieprzygotowane do tych funkcji?

 

Błędy popełniane przy przeprowadzaniu auditów wewnętrznych

  1. Brak wiedzy na temat znaczenia auditu w firmie
    Wydaje się, że to jest podstawowy błąd, który skutkuje tym, że audity są traktowane w naszych firmach jako zło konieczne. Powszechnie uważa się, że audit polega na sprawdzeniu wymagań, które są zapisywane w dokumentach firmowych (procedurach, instrukcjach). Takie podejście sprawia, że dla większości pracowników jest to rodzaj kontroli, która tak naprawdę nic nie daje, a jest tylko niepotrzebnym obciążeniem dla strony auditowanej, a także dla samych auditorów. A tymczasem audit powinien być traktowany do naprawy organizacyjnej firmy. Mniejszy aspekt powinien być kładziony na sferę pracowniczą, a większy na to, by nauczyć się dokładnie określać przyczyny popełnianych błędów.

  2. Błędy w planowaniu auditów
    Już na samym początku przy sporządzaniu planów czy harmonogramów auditów zwraca się uwagę przede wszystkim na to, by każdy proces w ciągu całego roku był przynajmniej raz auditowany. A przecież proces procesowi jest nierówny. Nie można traktować skomplikowanych procesów produkcyjnych z drobnymi procesami administracyjnymi o różnych skalach trudności. Bardzo rzadko spotyka się harmonogramy auditów, w których jest wyszczególniona analiza ryzyka, gdzie na jej podstawie można auditować dany proces nawet kilka razy w roku.

  3. Mała liczba auditorów
    Wydaje się, że wśród najwyższego kierownictwa firmy często pokutuje myślenie, że Pełnomocnik w firmie jest od tego, by poradzić sobie z wszelkimi problemami, jakie występują w funkcjonującym systemie i ma tyle w sobie wewnętrznej siły, by przekonać pracowników będących auditorami do tego, by w sposób solidny przeprowadzali te audity. Tymczasem trzeba wiedzieć, że obowiązek przeprowadzania takich auditów jest często ich dodatkowym zajęciem, za które raczej nie dostają dodatkowej gratyfikacji. A przecież są rozliczani przede wszystkim z podstawowego obowiązku świadczenia pracy na ich wyznaczonym stanowisku, a audity wewnętrzne są w takich przypadkach przysłowiową „kulą u nogi”. Ponadto pokutuje myślenie, że audit, to tylko czas jaki auditor spędza u strony auditowanej. Mało kto zdaje sobie sprawę, że najwięcej czasu auditor spędza na przygotowaniu się do auditu – nierzadko robi to już po godzinach normalnej pracy, zarywając czas prywatny. Problemem są tutaj również kompetencje auditorów. Z reguły są to osoby, które są kierownikami różnych obszarów w firmie, a te mają głowę zaprzątniętą innymi ważniejszymi dla nich sprawami.

  4. Mała ranga auditów wewnętrznych
    Audity wewnętrzne nie zawsze mają odpowiednią rangę w firmie. Dobrym rozwiązaniem jest np. uczestnictwo w spotkaniach otwierających Najwyższego Kierownictwa. Niestety niewiele jest firm, które stosują takie rozwiązania. Często sama obecność Prezesa zwiększa w sposób znaczący zainteresowanie auditem i powoduje, że jest on przeprowadzany zgodnie z założonym planem. Gdy zainteresowanie najwyższego kierownictwa jest niewielkie, auditorzy często spotykają się z ponagleniami ze strony auditowanej, żeby audit przeprowadzać szybciej, bo „nie ma czasu”. Odbija się to na jakości i skuteczności badania auditowanego.

Jest to mało komfortowa sytuacja szczególnie dla auditorów początkujących, nieposiadających jeszcze wielkiego doświadczenia. Duże znaczenie ma tu właśnie postawa strony auditowanej, która na skutek braku odpowiedniej świadomości, traktuje audit wewnętrzny jako coś niedobrego dla niej, gdyż mogą z tego wyniknąć niedobre konsekwencje. Samo przeprowadzenie auditów odbywa się wtedy w sposób pobieżny, na zasadzie – „audit musi by przeprowadzony, a auditor musi coś napisać w raporcie”.

Znaczenie działań poauditowych

Problemem, z jakim spotykają się auditorzy, jest również pisanie raportów z auditu w taki sposób, by były one jasne dla wszystkich. Nie każdy bowiem ma w sobie talent do bardzo wyrazistego przelewania swoich myśli na papier. Widziałem wiele raportów, których określenie końcowych wyników jest zrozumiałe chyba tylko dla auditora. To umiejętność, której wymaga się od auditora i w związku z tym wskazane jest, by auditor po napisaniu pierwszej wersji swojego raportu, przekazał go stronie auditowanej, by ta oceniła, czy wszystko jest dla niej zrozumiałe. Dopiero po akceptacji raportu można go rozpowszechnić, czy wysłać zgodnie z wewnętrzną procedurą, jaką firma ma stworzoną do tego celu. Przy rozpowszechnianiu raportu, należy również stosować pewne zasady, które nakazują nam zachowanie poufności. Jednym słowem nie każdy musi w firmie czytać uwagi o mojej pracy. Myślę, że w dobie możliwości nadawania uprawnień dostępu do wewnętrznej sieci problem ten jest coraz mniejszy. Działania poauditowe składać się powinny z trzech podstawowych elementów:

Po pierwsze – musi być przeprowadzona dokładna analiza przyczyn powstałej niezgodności. To trudne zadanie wymagające znajomości podstawowych narzędzi jakościowych. Nie jest dobrze, jak przyczyna jest określana jednym zdaniem np. błąd pracownika. Musimy brać pod uwagę, że ten błąd był spowodowany wieloma innymi czynnikami, jak np. niewłaściwa dokumentacja, niesprawna maszyna, pośpiech itd.

Po drugie – muszą być określone działania korygujące, ale takie które by eliminowały określoną wcześniej przyczynę. Chcę dodać, że najbardziej kompetentną i najwłaściwszą osobą do sformułowania działań korygujących jest przedstawiciel strony auditowanej. Trzeba określić termin zakończenia wprowadzonych działań i ustalić, kto osobowo będzie odpowiadał za cały proces monitorowania usuwania niezgodności.

Po trzecie – musi być dokonana ocena skuteczności podjętych działań po ich zamknięciu. Ale oceny tej nie powinno dokonywać się bezpośrednio po jej zakończeniu, lecz po upływie np. 6 miesięcy. Chodzi tutaj o to, by jednoznacznie stwierdzić, że niezgodności, jakie stwierdzone zostały podczas auditu, nie powtórzyły się.

I dopiero wtedy możemy stwierdzić, że audit przyniósł jakiś efekt w postaci rozwiązania problemu. Błędem, jaki często jest popełniany w trakcie działań poauditowych, jest karanie pracowników. To najprostsza metoda, która jednak wynika z braku umiejętności zarządzania. Nie zawsze jednak jest ona skuteczna, gdyż problem może powrócić ze zdwojoną siłą.

Audit jako narzędzie do poprawy organizacji pracy

Dawno temu grecki filozof Sokrates powiedział „Natura dała nam dwoje oczu, dwoje uszu, ale tylko jeden język, po to abyśmy więcej patrzyli i słuchali, niż mówili”.  I ta myśl chyba najdokładniej charakteryzuje, w jaki sposób powinny być przeprowadzane audity i jakimi cechami powinni charakteryzować się auditorzy. Należy więcej słuchać niż mówić, należy z tego wyciągać wnioski i należy naprawiać systemy zarządzania. Audit nie ma być kontrolą, audit musi służyć jako narzędzie do naprawy firmy.

W artykule tym starałem się przedstawić problemy, z jakimi spotykają się firmy podczas realizowania wymagania norm systemowych dotyczącymi prowadzenia auditów wewnętrznych. Chcę jednak powiedzieć, że opisywane problemy nie dotyczą wszystkich firm. Są przedsiębiorstwa, gdzie programy auditów są realizowane wręcz perfekcyjnie. Działania poauditowe również. Te firmy nie mają z reguły problemów organizacyjnych, gdyż są dobrze zarządzane. Dlatego niech zakończeniem tego artykułu będzie sentencja:

Nie ma złych firm, są tylko źle zarządzane

 

Szkolenie z auditu wewnętrznego

Zapraszamy na szkolenie Audit wewnętrzny zintegrowanego systemu zarządzania zgodnego z normami ISO 9001:2015, ISO 14001:2015, ISO 45001

QnowHow Dlaczego nie zawsze lubimy audytorów wewnętrznych?
Ustawienia dostępności
Wysokość linii
Odległość między literami
Podświetlenie linków
Wyłącz animacje
Przewodnik czytania
Czytnik
Wyłącz obrazki
Skup się na zawartości
Większy kursor
Skróty klawiszowe