Audit, interní a externí audit

Smyslem auditu je nezávisle ověřit, jestli je nějaká činnost vykonávána správně – tj. podle dohodnutých pravidel – a to na základě dokladů, které činnost a její výsledek dokumentují. Nejznámější je jistě finanční audit, ale ověřením v pricipu může procházet cokoli, po čem zůstávají záznany, které dokládají správnost procesů i vytvořené dokladové evidence.

Audit požadovaný normami jakosti

Audit se může týkat jak činnosti (ověření dodržování pracovních postupů), tak technologií (informační audit ověřující např. legálnost vlastněného software nebo jeho využívání). Důležitou vlastností auditu je, že je prováděn ex-post, tj. nikoli v době, kdy kontrolované činnosti probíhají a dokumenty vznikají (pak by šlo o dohled, supervizi aj. mechanismy kontroly).

Audit je znám nejenom účetním, ale i všem, kdo mají na starost kontrolu kvality. Schopnost zpětně ověřit, tedy auditovat, že činnost proběhla správně, je apriorním požadavkem většiny současných standardů jakosti v čele s generickou normou ISO 9000. Tato norma je provádění auditů přímo požaduje a koncept auditů přebírají i všechny další současné normy kvality (např. ISO 20000, ISO 27000, IATF 16949). Požadavek audito­vatel­nosti v praxi znamená, že všechny činnosti, které mají vliv na kvalitu produkce ve firmě, mají být dělány tak, aby jejich průběh a výsledky bylo možné auditovat. Musí tedy po nich zůstat dostatečný počet záznamů, který prokáže, že se dodržely předepsané podmínky.

Normy rozlišují interní a externí audit, přičemž každý z nich má trochu jiný význam a smysl.

Interní audit

Interní audit si firma dělá pro svou vlastní potřebu. Důležité na formulaci je, že nemusí být dělán interními pracovníky, ale je dělán proto, aby posloužil vnitřním procesům firmy. Některé normy (např. ISO 26262) přímo vyžadují, aby za určitých okolností byly tyto audity realizovány externím subjektem. Normy také mohou stanovovat požadavky na schopnosti a nezávislost postavení auditora.

Smyslem interního auditu je poskytnout interně ověření, že se nezapomnělo na žádné povinnosti stanovené pravidly. Referenčními pravidly pro interní audit jsou většinou interní předpisy, které reflektují externí – normy, legislativu, smlouvy (SLA, OLA) apod.

Externí audit

Externí audit je vždy realizován subjekem mimo organizaci, ale může být např. prováděn vyškoleným auditorem mateřské společnosti (např. s proces­ním modelem CMMI je to tak běžné).

Smyslem externího auditu je poskytnout jiným subjektům (většinou klientům) nezávislý důkaz, že firma dodržuje pravidla, kterých se audit týká. Externí audit je proto logicky v podstatě vždy prováděn vzhledem k externím pravidlům – typicky normám.

K většině norem se váže business akreditačních organizací, které vytvářejí síť firem „kupujících“ si oprávnění audit provádět. Tato akreditace zaručuje, že auditor je vyškolený a normu dobře zná. Externí audit ale může provést kdokoli nezávislý na firmě samotné, rozhodující je, jaké požadavky na audit kladou zákazníci.

Normy, které nelze certifikovat

Jiné normy (např. již zmiňovaná ISO 26262) certifikaci neumožňují. Nevýhodou certifikace totiž je, že z pohledu managementu její dodržování garantuje externí subjekt, takže se management firmy cítí méně odpovědný. Stejně tak zákazníci se spolehnou na certifikát a nemusí skutečnou kvalitu tak kontrolovat. A právě smyslem normy ISO 26262 je maximálně posílit důraz na kvalitu a tedy není na místě delegovat její kontrolu na subjekty, které pak nenesou skutečnou odpovědnost. A v případě normy, která má zaručovat bezpečnost aut a potažmo životů lidí, je tento důraz více než na místě.