Aký je rozdiel medzi interným a externým auditom a čo majú spoločné?

1. Úvod
2. Blog
3. Odborné školenia
4. Aký je rozdiel medzi interným a externým auditom a čo majú spoločné?

Pravidlá pre vykonávanie interných aj externých auditov definuje medzinárodná norma EN ISO 19011:2018:

• poskytuje návod na auditovanie systémov manažérstva vrátane zásad auditovania, manažérstva programu auditu a vykonávania auditov systému manažérstva
• poskytuje návod na hodnotenie kompetentnosti jednotlivcov zapojených do procesu auditu vrátane osoby, ktorá manažuje program auditu, audítorov a audítorské tímy
• je aplikovateľná vo všetkých organizáciách, ktoré potrebujú vykonať interné alebo externé audity systémov manažérstva alebo manažovať program auditu
• dá sa použiť aj na viaceré typy auditov

Medzinárodná norma EN ISO/IEC 17021-1 poskytuje návod na posudzovanie zhody a požiadavky na orgány vykonávajúce audit a certifikáciu systémov manažérstva v časti 1: Požiadavky.

Norma ISO 19011:2018 definuje audit ako systematický, nezávislý a zdokumentovaný proces získavania dôkazov auditu a ich objektívneho vyhodnocovania, aby sa určil rozsah, v akom sa plnia kritériá auditu. 

Interné audity sú vykonávané teamom kompetentných interných audítorov pričom proces riadenia interných auditov vo väčšine organizácii spadá pod manažéra riadenia kvality. Vykonávanie interných auditov je nevyhnutné aj z hľadiska efektívnej prípravy organizácie na certifikačný alebo dohľadový audit, ktorý vykonáva tretia strana t.j. nezávislá certifikačná organizácia prípadne na externé zákaznícke audity.  

Externé audity sú vykonávané teamom kompetentných externých audítorov pričom proces riadenia externých auditov vo väčšine certifikačných firiem spadá pod Vedúceho certifikačného orgánu, ktorý stanovuje aj program auditov a ciele auditov, audítorský team.

Počas externých auditov sprevádza audítorský team v prípade potreby aj tzv. technický expert = osoba, ktorá poskytuje tímu externých audítorov špecifické znalosti alebo expertízy (napríklad v prípade auditu nemocnice je to lekár, napr. pri audite organizácie pôsobiacej v oblasti potravinárstva je to expert s 20 ročnou praxou v oblasti výroby potravín atď.). 

V manažérskej praxi rozlišujeme 3 druhy auditov (interné, zákaznícke, certifikačné).

Audity môžu byť vykonávané:

• prvou stranou (1st party) - interné audity, uskutočňované vlastnými vyškolenými pracovníkmi organizácie - internými audítormi v organizácii. Zameriava sa na zhodnotenie jej silných a slabých stránok a overenie dodržiavania jej vlastných postupov / smerníc / metód ako aj externých noriem prijatých dobrovoľne (ISO 9001 atď.) alebo povinným (špecifické požiadavky zákazníkov) - audit systému, procesu alebo výrobku
• druhou stranou (2nd party) – externý audit, ktorý u dodávateľa vykonáva zákazník alebo zmluvná organizácia v mene zákazníka. Je uzavretá zmluva a tovar alebo služby sa dodávajú alebo budú dodané. Na audity druhej strany sa vzťahujú pravidlá zmluvného práva, pretože poskytujú zmluvné vedenie od zákazníka k dodávateľovi. Audity druhej strany majú tendenciu byť formálnejšie ako audity prvej strany, pretože výsledky auditu by mohli mať vplyv na nákupné rozhodnutia zákazníka. Organizácie zo strany zákazníka alebo potenciálnych obchodných partnerov, používajú sa pri preverovaní úrovne systému manažérstva kvality u dodávateľov (tzv. zákaznícky/dodávateľský audit) 
• treťou stranou (3rd party) – externý audit, ktorý vykonáva certifikačná audítorská organizácia, nezávislá t.j. bez vzťahu medzi zákazníkom a dodávateľom, bez konfliktu záujmov, na základe objednávky prípadne zmluvy. Nezávislosť audítorskej organizácie je kľúčovým prvkom auditu treťou stranou. Certifikačné audity zahŕňajú prvotné (initial certification), dozorové (surveillance), recertifikačné (certification renewal) audity a môžu tiež zahŕňať špeciálne audity. Integrovaný audit znamená, že klient zahrnul aplikovanie požiadaviek dvoch alebo viacerých noriem systémov manažérstva do jedného systému manažérstva a jeho auditovanie prebieha podľa viac ako jednej normy. Výsledkom 3rd party auditov môže byť certifikácia systému manažérstva kvality prípadne iného systému manažérstva, registrácia, uznanie, ocenenie, schválenie licencie, pokuta udelená organizáciou tretej strany alebo zainteresovanou stranou.

Pri oboch typoch auditov (interné aj externé) sú audity vykonávané tímom kompetentných audítorov spĺňajúcich požiadavky kapitoly 7. Kompetentnosť audítorov - normy ISO 19011 v zložení Vedúci audítor a Audítori. Externí audítori musia navyše spĺňať požiadavky uvedené v „Tabuľke vedomostí a schopností audítora“ v zmysle ISO/IEC 17021-1. 

Podľa objektu, orientácie a zamerania audity členíme na : 

• audit systému manažérstva kvality, EMS, BOZP (štruktúra a funkčnosť systému manažérstva)
• audit procesu (vhodnosť a spoľahlivosť procesov, najmä core biznis procesov)
• audit výrobku (preverovanie prvkov, častí, charakteristík, komponentov a finálneho produktu v zmysle špecifikácií)

 
Vzťah interných a externých audítorov je dobrý v prípade, že top-manažment organizácie poskytuje primerané zdroje a podporu potrebnú pre zefektívnenie systému manažérstva kvality. Čím precíznejšie a častejšie sú vykonávané interné audity v organizácii (pričom sú aj účinne implementované nápravné opatrenia ku zisteným nezhodám), tým ľahšie organizácia zvláda aj externé audity vykonávané jednak treťou stranou (certifikačný orgán) alebo druhou stranou (zákazníkmi). 

V zmysle EN ISO 19011:2018 možno identifikovať hlavné rozdiely medzi externými a internými auditmi v predmete a rozsahu auditu, v poznaní podmienok prostredia a rizík auditovaného subjektu i na miere nezávislosti audítora.

Podľa prieskumu IIA (2009) vrcholový manažment a interní audítori za najvýznamnejší prínos interného auditu považujú poskytovanie objektívnej istoty, že hlavné obchodné riziká sú riadené primeraným spôsobom a že riadenie rizík a rámec vnútornej kontroly funguje efektívne. Zastávajú názor, že interný audit s väčšou pravdepodobnosťou prinesie hodnotu tým, že sa sústredí na svoju uisťovaciu úlohu t.j. potvrdenie, že zavedený systém manažérstva spĺňa požiadavky relevantnej medzinárodnej normy radu ISO ako aj vnútro-firemné špecifické pravidlá / smernice a zákaznícke špecifické požiadavky. 

Externé audity druhou stranou vykonávané zákazníkmi prinášajú organizáciu šancu získať novú obchodnú príležitosť (due dilligence audity v rámci biznis tendrov) pričom externé certifikačné audity vykonávané certifikačnými orgánmi poskytujú manažmentu organizácie uistenie, že zavedený systém manažérstva spĺňa požiadavky relevantnej normy radu ISO pričom certifikáciou organizácia zvyšuje dôveryhodnosť a kredit v očiach zákazníkov.