Jaký je rozdíl mezi interním a externím auditem a co mají společné?

Pravidla pro provádění interních i externích auditů definuje mezinárodní norma EN ISO 19011: 2018:

• poskytuje návod na auditování systémů managementu včetně zásad auditování, řízení programu auditu a provádění auditů systému managementu
• poskytuje návod na hodnocení kompetentnosti jednotlivců zapojených do procesu auditu včetně osoby, která spravuje program auditu, auditorů a auditorských týmů
• je aplikovatelná ve všech organizacích, které potřebují provést interní nebo externí audity systémů managementu nebo řídit program auditu
• dá se použít i na více typů auditů

Mezinárodní norma EN ISO / IEC 17021-1 poskytuje návod na posuzování shody a požadavky na orgány provádějící audit a certifikaci systémů managementu v části 1: Požadavky.

Norma ISO 19011: 2018 definuje audit jako systematický, nezávislý a zdokumentovaný proces získávání důkazů auditu a jejich objektivního hodnocení, aby se určil rozsah, v jakém se plní kritéria auditu. 

Interní audity jsou prováděny týmem kompetentních interních auditorů přičemž proces řízení interních auditů ve většině organizaci spadá pod manažera řízení kvality. Provádění interních auditů je nezbytné i z hlediska efektivní přípravy organizace na certifikační nebo dohledový audit, který provádí třetí strana t.j. nezávislá certifikační organizace případně na externí zákaznické audity.  

Externí audity jsou prováděny týmem kompetentních externích auditorů, přičemž proces řízení externích auditů ve většině certifikačních firem spadá pod Vedoucího certifikačního orgánu, který stanoví i program auditu, cíle auditů a auditorský team.

Během externích auditů provází auditorský team v případě potřeby i tzv. technický expert = osoba, která poskytuje týmu externích auditorů specifické znalosti nebo expertizy (například v případě auditu nemocnice je to lékař, při auditu organizace působící v oblasti potravinářství je to expert s 20 letou praxí v oblasti výroby potravin atd.).

V manažerské praxi rozlišujeme 3 druhy auditů (interní, zákaznické a certifikační).

Audity mohou být prováděny:

• první stranou (1st party) - interní audity, prováděné vlastními vyškolenými pracovníky organizace - interními auditory v organizaci. Zaměřuje se na zhodnocení její silných a slabých stránek a ověření dodržování jejích vlastních postupů / směrnic / metod i externích norem přijatých dobrovolně (ISO 9001 atd.) Nebo povinným (specifické požadavky zákazníků) - audit systému, procesu nebo výrobku
• druhou stranou (2nd party) - externí audit, který u dodavatele provádí zákazník nebo smluvní organizace jménem zákazníka. Je uzavřena smlouva a zboží nebo služby se dodávají nebo budou dodány. Na audity druhé strany se vztahují pravidla smluvního práva, protože poskytují smluvní vedení od zákazníka k dodavateli. Audity druhé strany mají tendenci být formálnější než audity první strany, protože výsledky auditu by mohly mít vliv na nákupní rozhodnutí zákazníka. Jsou iniciované ze strany zákazníka nebo potenciálních obchodních partnerů, používají se při prověřování úrovně systému managementu jakosti u dodavatelů (tzv. Zákaznický / dodavatelský audit)
• třetí stranou (3rd party) - externí audit, který provádí certifikační auditorská organizace, nezávislá t.j. bez vztahu mezi zákazníkem a dodavatelem, bez střetu zájmů, na základě objednávky případně smlouvy. Nezávislost auditorské organizace je klíčovým prvkem auditu třetí stranou. Certifikační audity zahrnují prvotní (initial certification), dozorové (surveillance), recertifikační (certification renewal) audity a mohou také zahrnovat speciální audity. Integrovaný audit znamená, že klient zahrnul aplikování požadavků dvou nebo více norem systémů managementu do jednoho systému managementu a jeho auditování probíhá podle více než jedné normy. Výsledkem 3rd party auditů může být certifikace systému managementu kvality případně jiného systému managementu, registrace, uznání, ocenění, schválení licence, pokuta udělena organizací třetí strany nebo zúčastněnou stranou.

U obou typů auditů (interní i externí) jsou audity prováděny týmem kompetentních auditorů splňujících požadavky kapitoly 7. Kompetentnost auditorů - normy ISO 19011 ve složení Vedoucí auditor a Auditoři. Externí auditoři musí navíc splňovat požadavky uvedené v "Tabulce znalostí a schopností auditora" ve smyslu ISO / IEC 17021-1. 

Podle objektu, orientace a zaměření členíme audity na: 

• audit systému managementu kvality, EMS, BOZP (struktura a funkčnost systému managementu)
• audit procesu (vhodnost a spolehlivost procesů, zejména core business procesů)
• audit výrobku (prověřování prvků, částí, charakteristik, komponentů a finálního produktu ve smyslu specifikací)

 
Vztah interních a externích auditorů je dobrý v případě, že top-management organizace poskytuje odpovídající zdroje a podporu potřebnou pro zefektivnění systému managementu kvality. Čím precizněji a častěji jsou prováděny interní audity v organizaci (přičemž jsou také účinně implementovány nápravná opatření ke zjištěným neshodám), tím snadněji organizace zvládá i externí audity prováděné jednak třetí stranou (certifikační orgán) nebo druhou stranou (zákazníky).

Ve smyslu EN ISO 19011: 2018 lze identifikovat hlavní rozdíly mezi externími a interními audity v předmětu a rozsahu auditu, v poznání podmínek prostředí a rizik auditovaného subjektu i na míře nezávislosti auditora.

Podle průzkumu IIA (2009) vrcholový management a interní auditoři za nejvýznamnější přínos interního auditu považují poskytování objektivní jistoty, že hlavní obchodní rizika jsou řízena odpovídajícím způsobem a že řízení rizik a rámec vnitřní kontroly funguje efektivně. Zastávají názor, že interní audit s větší pravděpodobností přinese hodnotu tím, že se soustředí na svou ověřovací roli t.j. potvrzení, že zavedený systém managementu splňuje požadavky příslušné mezinárodní normy řady ISO i vnitro-firemní specifická pravidla / směrnice a zákaznické specifické požadavky. 

Externí audity druhou stranou prováděny zákazníky přinášejí organizaci šanci získat novou obchodní příležitost (due dilligence audity v rámci business tendrů) přičemž externí certifikační audity prováděné certifikačními orgány poskytují managementu organizace ujištění, že zavedený systém managementu splňuje požadavky příslušné normy řady ISO přičemž certifikací organizace zvyšuje důvěryhodnost a kredit v očích zákazníků.