otteita iso 19011:2018 auditointistandardista
TRANSCRIPT
O T T E I T A
I S O 1 9 0 1 1 : 2 0 1 8
A U D I T O I N T I -
S T A N D A R D I S T A
Artikkelin on kirjoittanut Jussi Moisio,
Qualitas Fennica, Arter Oy
KEITÄ OLEMME?
Arter Oy on vuonna 2001 perustettu kasvava B2B-
ohjelmisto-, palvelu- ja koulutusorganisaatio. Autamme
asiakkaitamme menestymään kehittämällä
ohjelmistopalveluita heidän tarpeisiinsa muuttuvassa
digitaalisessa ympäristössä. Tarjoamme asiakkaillemme
monipuolisia asiantuntijapalveluita liittyen
laadunhallintaan, tiedonhallintaan ja muutoksenhallintaan.
Päätuotteemme ovat IMS- ja ARC-ohjelmistot.
Ohjelmistojen käyttöönoton, asiakaskohtaisen
sisällönluonnin ja käytön tueksi olemme luoneet kattavat
palvelut.
Qualitas Fennica -tuotenimen alla toteutamme avoimia
ja yrityskohtaisia koulutuksia sekä pidempikestoisia
valmennuksia.
Auditoinnin vuosiohjelman laajuuden määrittely
Auditointiohjelmasta vastaavan henkilön olisi määritettävä auditointiohjelman
laajuus, joka vaihtelee auditoitavan tahon koon ja luonteen mukaan sekä
auditoitavan johtamisjärjestelmän luonteen, toimivuuden, monimutkaisuuden ja
kypsyystason sekä sen kannalta merkittävien asioiden mukaan.
Muita auditointiohjelman laajuuteen vaikuttavia tekijöitä ovat esimerkiksi
auditointikohteeseen liittyvät organisaation tavoitteet
kohteeseen soveltuvat ulkoiset ja sisäiset haasteet
olennaisten sidosryhmien tarpeet ja odotukset
informaation turvallisuus- ja luottamuksellisuusvaatimukset
auditointiohjelman itsensä riskit ja kehittämistarpeet,
kunkin auditoinnin tavoite, soveltamisala ja kesto, kohteiden sijainti sekä
suoritettavien auditointien lukumäärä, sekä tarvittaessa auditoinnin
seurantatoimenpiteet
auditoitavien toimintojen määrä, tärkeys, monimutkaisuus,
samankaltaisuus ja sijainnit
johtamisjärjestelmän vaikuttavuuteen vaikuttavat tekijät
sovellettavat auditointikriteerit, kuten hallintajärjestelmästandardeja
varten suunnitellut järjestelyt sekä sopimuspohjaiset vaatimukset ja
muut vaatimukset, joihin organisaatio on sitoutunut
edellisten sisäisten ja ulkoisten auditointien johtopäätökset
edellisen auditointiohjelman katselmoinnin tulokset
kieleen, kulttuuriin ja yhteiskuntaan liittyvät kysymykset
sidosryhmien huolenaiheet, kuten asiakasvalitukset tai poikkeamat
lakisääteisistä vaatimuksista
merkittävät muutokset auditoitavassa tahossa tai sen toiminnoissa
auditointia tukevan tieto- ja viestintätekniikan saatavuus, erityisesti
etäauditointimenetelmien käyttämiseen
sisäiset ja ulkoiset tapahtumat, kuten virheelliset tuotteet, tietovuodot,
tapaturmat, rikokset tai ympäristövahingot
Lähde: ISO 19011:2018
Auditoinnin vuosiohjelman tavoitteet
Auditoinnin vuosiohjelman tavoitteiden tulisi tukea organisaation strategista
suuntaa, toimintaperiaatteita ja organisaation tavoitteita:
Auditointiohjelman tavoitteet voivat perustua seuraavien seikkojen huomioon
ottamiseen:
olennaisten sidosryhmien tarpeet ja odotukset
prosessien, tuotteiden, palveluiden ja projektien ominaisuudet ja
vaatimukset ja niissä tapahtuneet muutokset
johtamisjärjestelmän vaatimukset
ulkoisten toimittajien arviointien tarpeet
johtamisjärjestelmän kypsyystaso, jota ilmentävät avainmittarien
tulokset, poikkeamien määrät, sidosryhmien valitukset
auditoitavan organisaation tunnistetut riskit ja mahdollisuudet
edellisten auditointien tulokset
Auditointiohjelman tavoitteet voidaan ilmaista esimerkiksi seuraavilla tavoilla:
tunnistetaan johtamisjärjestelmän ja sen suorituskyvyn
kehittämismahdollisuuksia
arvioidaan organisaation kykyä tunnistaa toimintaympäristönsä
vaatimuksia ja niiden muutoksia
arvioidaan organisaation kykyä tunnistaa riskejä ja mahdollisuuksia ja
kykyä toimeenpanna tehokkaita riskienhallintatoimenpiteitä /
kehittämistoimenpiteitä
arvioidaan organisaation kykyä täyttää siihen kohdistuvia vaatimuksia
(lait, asetukset, viranomaisvaatimukset jne)
arvioidaan organisaation kykyä saavuttaa ja ylläpitää luottamusta
käyttämien ulkoisten toimittajien suorituskykyyn
arvioidaan organisaation asettamien tavoitteiden yhdenmukaisuutta
organisaation strategisen suunnan kanssa (tavoitteet eivät saa olla
ristiriidassa strategisten painotusten kanssa)
Lähde: ISO 19011:2018
Auditoinnin vuosiohjelman laatiminen
Auditoinnin vuosiohjelmasta vastaavan tulisi
laatia auditointiohjelma ottamalla huomioon auditointiohjelmalle
asetetut tavoitteet
tunnistaa auditointiohjelmaan liittyvät riskit ja mahdollisuudet ja ryhtyä
toimenpiteisiin riskien vähentämiseksi
määrittellä auditointitiimit ja tarpeelliset osaamiset
auditointikohteittain, auditoijien roolit ja vastuualueet
määrittellä auditoitavat prosessit
määrittellä miten auditointiohjelmassa koordinoidaan suoritettavia
auditointeja
laatia ohjelmaan auditointien yleiset tavoitteet, laajuudet, sovellettavat
auditointikriteerit, auditointimenetelmät ja auditointitiimit
määrittellä miten auditoijia arvioidaan
määrittellä millä tavoin auditoinneissa kommunikoidaan
määrittellä miten auditoinneissa esille tulleet kiistat ja valitukset
käsitellään
määrittellä miten auditointiohjelman toteutumista seurataan
määrittellä miten auditoinneista raportoidaan auditointikohteelle ja
muille asiaan liittyville tahoille
määrittellä ja varmistamalla auditoinneissa tarvittavat resurssit
varmistaa, että tarpeellinen auditointi-informaatio valmistellaan ja
säilytetään ml. auditointien tallenteet
määrittellä miten auditointiohjelmaa arvioidaan ja parannetaan
määrittellä miten auditointiohjelmasta kommunikoidaan auditointien
asiakkaalle ja muille asiaan liittyville tahoille
Lähde: ISO 19011:2018
Auditoinnin vuosiohjelman riskien ja
mahdollisuuksien määrittely ja arviointi
Auditoinnin vuosiohjelmasta vastaavan tulisi tunnistaa ja kertoa auditointi-
asiakkaalle auditointiohjelman riskeistä ja mahdollisuuksista niin, että ne
voidaan ottaa asianmukaisesti huomioon:
väärät painotukset auditointien tavoitteiden asettamisessa, auditointien
laajuuden määrittelyssä, auditointien lukumäärässä, auditointien kestossa,
kohteiden valinnassa ja ajankohtien määrittelyssä
riittämätön ajoitus auditointitapahtumiin, riittämätön auditoijien koulutus
auditointitiimien valinnassa riittämätön jäsenten osaaminen kohteen
kannalta
auditointien aikainen riittämätön kommunikaatio tiimien jäsenten ja kohteen
edustajien välillä
tehoton auditointien koordinointi mm. auditointiohjelmassa tai ei oteta
huomioon tietoturvallisuutta ja tietojen luottamuksellisuutta
riittämätön dokumentaatio auditointeihin valmistautumisessa
auditointitallenteiden heikko säilyttäminen heikentäen auditointiohjelman
tehokkuuden osoittamista
riittämätön auditointiohjelman toteuttamisen ja asiallisen raportoinnin
seuranta
yhteistyön toimivuusongelmat auditointikohteiden kanssa
auditointitodisteiden heikko kerääminen
Auditoinnin vuosiohjelmaan saattaa liittyä mm. seuraavia riskejä:
Auditoinnin vuosiohjelmaan saattaa liittyä mm. seuraavia riskejä:
samalla auditointikäynnillä useamman auditointinäkökulman läpivienti
(laatu, ympäristö, turvallisuus….)
auditointien matkakustannusten minimointimahdollisuuksien
hyödyntäminen
auditointitiimien osaamisten kehittäminen vastaamaan kiristyviä
auditointitavoitteiden toteuttamista
auditointiajankohtien yhteensovittaminen auditointikohteen
avainhenkilöiden aikataulujen kanssa
Lähde: ISO 19011:2018
Auditoinnin vuosiohjelman resursoinnissa tulisi ottaa huomioon:
Auditoinnin vuosiohjelman resursointi
tarpeelliset aika- ja taloudelliset resurssitarpeet (työajan käyttö, matkakulut)
käytettävien auditointimenetelmät
auditoijien käytettävyys ja tarvittaessa teknisten asiantuntijoiden tarve
auditoijien tukena erityisten auditointitavoitteiden toteuttamiseksi
auditointiohjelman laajuus (kohteiden määrä) ja auditointien riskit ja
kehittämismahdollisuudet
laajoissa organisaatioissa aikavyöhykkeiden vaikutus aikatauluttamiseen,
tulkkitarpeet
auditoinnissa tarvittavat viestintävälineet (yhteydenpito, informaation haku,
siirto)
muu tekniikka, jota auditoinnin toteutuksessa saatettaisiin tarvita
auditointien suunnittelussa tarvittava dokumentaatio ja sen saatavuus
kohteelta
auditointikohteissa tarvittava aika mm. turvallisuusperehdytykseen,
suojavälineiden saanti tai mukaan ottaminen, asiakkaan edellyttämän
turvallisuusselvityksen tarve jne.
Lähde: ISO 19011:2018
Auditoinnin periaatteet
Rehellinen ja oikeudenmukainen toiminta: ammattimaisuuden perusta
Oikeudenmukainen esittäminen: velvollisuus raportoida rehellisesti ja
tarkasti
Asianmukainen ammatillinen toiminta: huolellisuus ja arvostelukyky
auditoinnissa
Luottamuksellisuus: tietojen turvallisuus
Riippumattomuus: auditoinnin puolueettomuuden ja sen johtopäätösten
objektiivisuuden perusta
Näyttöön perustuva toimintamalli: järkevä tapa saavuttaa luotettavia ja
toistettavia auditoinnin johtopäätöksiä järjestelmällisellä auditointiprosessilla
Riskiperusteinen lähestymistapa: auditoinnissa otetaan huomioon riskit ja
kehittämismahdollisuudet, jotta auditoinnin asiakkaan kannalta keskitytään
olennaisiin asioihin
Lähde: ISO 19011:2018
Auditoijien toiminta
Eettisiä: heidän olisi oltava oikeudenmukaisia, totuudenmukaisia,
vilpittömiä, rehellisiä ja hienotunteisia
Ennakkoluulottomia: heidän olisi oltava halukkaita harkitsemaan
vaihtoehtoisia käsityksiä tai näkökantoja
Diplomaattisia: heidän olisi oltava tahdikkaita muita ihmisiä kohtaan
Tarkkaavaisia: heidän olisi tarkkailtava aktiivisesti ympäristöä ja toimintoja
Havaintokykyisiä: heidän olisi vaistottava ja ymmärrettävä erilaisia
tilanteita
Monipuolisia: heidän olisi kyettävä sopeutumaan helposti eri tilanteisiin
Sinnikkäitä: heidän olisi oltava peräänantamattomia ja keskityttävä
saavuttamaan tavoitteet
Päättäväisiä: heidän olisi tehtävä oikea-aikaisia päätöksiä, jotka perustuvat
loogiseen päättelyyn ja analysointiin
Omatoimisia: heidän olisi kyettävä toimimaan itsenäisesti ja olemaan
samalla tehokkaassa vuorovaikutuksessa muihin
Lujaluonteisia: heidän olisi kyettävä toimimaan vastuullisesti ja eettisesti,
vaikka heidän toiminnastaan ei aina pidetä ja se voi toisinaan johtaa
epäsopuun tai konfliktiin
Halukkaita kehittymään: heidän olisi pyrittävä oppimaan tilanteista ja
pyrittävä parempiin auditointituloksiin
Kulttuuritietoisia: heidän olisi huomioitava auditoitavan tahon kulttuuri ja
kunnioitettava sitä
Yhteistyökykyisiä: heidän olisi toimittava tehokkaasti muiden ihmisten
kanssa, kuten auditointiryhmän jäsenten ja auditoitavan tahon henkilöstön
kanssa
Auditoijien olisi käyttäydyttävä ammattimaisesti auditointitoimintoja
suorittaessaan eli oltava
Lähde: ISO 19011:2018
Auditoijan osaaminen ja taidot
auditointiperiaatteiden, prosessin ja menetelmien tuntemus
auditointiin liittyvien riskien ja mahdollisuuksien tuntemus
riskiperusteiden auditoinnin tuntemus
auditointitapahtuman suunnittelu ja tehokas toteuttaminen
auditoinnin suorittaminen sovitussa aikataulussa
auditoinnissa käsiteltävien asioiden priorisointi niiden merkittävyyden
mukaan
tehokas suullinen ja kirjallinen viestintä
tiedon keräämistaito haastattelujen, kuuntelun, havainnoinnin,
dokumenttien tarkistusten, tiedostojen, muistioiden, raporttien
katsomisten kautta
näytteenottotaidot auditoinnin suunnittelussa kuin auditoinnin aikana
teknisten asiantuntijoiden käyttö auditoinnin tukena
prosessin auditointi herätteestä tuotokseen ottaen toimintojen ja ulkoiset
rajapinnat huomioon
kerättyjen faktojen varmentaminen niin asiaan liittymisen kuin
luotettavuuden kannalta
auditointinäyttöjen soveltuvuuden ja riittävyyden varmistaminen
auditoinnin lopputulokseen luotettavuuteen vaikuttavien seikkojen
arviointi
auditointilöydösten dokumentointi ja auditoinnin raportointi
auditoinnissa esille tulleen informaation luottamuksellisuuden ja
tietoturvan säilyttäminen
Auditoijien olisi hyvä omata seuraavat tiedot ja taidot
Lähde: ISO 19011:2018
Auditointiryhmässä tarvittavia osaamisia:
Tietotekniikan hyödyntäminen auditoinnissa
Ongelmaratkaisutekniikoiden tuntemus
Taloudellisten tunnuslukujen perusteet
Tilastollisten menetelmien perusteet
Riskienhallintamenetelmät
Leanin perusteet
Tasapainoinen tuloskortti
TQM periaatteet
ISO 9001 ja muut johtamisstandardit
Projektitoiminta
Operatiivisen toiminnan periaatteet
Auditoijintiryhmän olisi hyvä omata seuraavat tiedot ja taidot
Lähde: Institute of Internal Auditors
Yksittäisen auditoinnin suunnittelu:
miten auditoitava kohde täyttää siihen liittyvät auditointikriteerit
miten auditoitava kohde täyttää siihen soveltuvat laki-, asetus- ja
viranomaisvaatimukset
miten auditoitava kohde saavuttaa siltä odotetut tulokset
millaisia johtamisjärjestelmän kehittämiskohteita auditoitavasta kohteesta
voidaan tunnistaa
miten kohteen johtamisjärjestelmä soveltuu ja riittää tukemaan
toimintaympäristön vaatimuksia ja asetettua strategista suuntaa
miten johtamisjärjestelmä pystyy saavuttamaan asetetut tavoitteet ja
tehokkaasti toteuttamaan riskienhallinta- ja kehittämistoimenpiteet
muuttuvassa liiketoimintaympäristössä
Yksittäisen auditoinnin suunnittelun tulisi perustua auditointiohjelmassa
esitettyihin tavoitteisiin. Yksittäisen auditoinnin suunnittelussa tulisi ottaa
huomioon:
Auditoinnissa käytettävät auditointikriteerit voivat olla:
politiikkoja, prosessikuvauksia, menettelyohjeita, suorituskykyvaatimuksia,
laki- ja viranomaisvaatimuksia, johtamisjärjestelmän vaatimuksia,
auditoitavan määrittelemät toimintaympäristön riskit ja mahdollisuudet,
sidosryhmien vaatimukset, code of conduct ja muut suunnitellut
vaatimukset
Lähde: ISO 19011:2018
Auditointitehtävän hallintaa:
Ymmärtää auditointitoiminnan itsensä riskit ja kehittämismahdollisuudet
sekä riskiperusteisen auditoinnin idea
Suunnitella ja organisoida auditointitehtävä tehokkaasti
Toteuttaa auditointi kohteen kanssa suunnitellussa aikataulussa
Priorisoida auditoinnin aikana ilmeneviä asioita niiden merkittävyyden
kannalta
Kommunikoida tehokkaasti niin suullisesti kuin kirjallisesti
auditointitehtävään liittyvien kanssa
Ymmärtää näytteenoton (keitä haastatella, mitä esimerkkejä jäljittää jne)
merkityksen auditoinnissa, heikkoudet auditointituloksen kannalta
Osaa hyödyntää asiantuntijoita auditointihavaintojen arvioinnissa
Osaa ottaa huomioon prosessiin kuuluvien funktioiden rajapinnat ja
rajapinnat muiden prosessien kanssa
Osaa varmistaa ja arvioida auditoinnissa koottujen näyttöjen
asianmukaisuutta ja tarkkuutta auditoinnin yhteenvedon laadinnassa
Osaa kirjata auditoinnin aikana olennaisia seikkoja ja tiivistää auditoinnin
havainnot auditointiraporttiin
Huolehtii auditointitietojen luottamuksellisuudesta
Lähde: ISO 19011:2018
Haastatteluista:
Haastatteluja olisi tehtävä niillä tasoilla ja sellaisissa virkatehtävissä oleville
henkilöille, jotka suorittavat auditoinnin soveltamisalaan kuuluvia
toimintoja tai tehtäviä.
Haastattelu olisi yleensä tehtävä haastateltavan henkilön normaalina
työaikana ja mahdollisuuksien mukaan normaalissa työpaikassa.
Ennen haastattelua ja sen aikana olisi yritettävä saada haastateltava
henkilö rentoutumaan.
Haastattelun syy ja jokainen muistiinpanon tekeminen olisi selitettävä.
Haastattelu voidaan aloittaa pyytämällä henkilöitä kuvaamaan työtään.
Kysyttävien kysymysten tyyppi valitaan huolellisesti (esim. avoimet,
täsmälliset, johdattelevat kysymykset).
Haastattelun tuloksista olisi tehtävä yhteenveto ja tulokset olisi
katselmoitava haastateltavan henkilön kanssa.
Haastateltua henkilöä olisi kiitettävä osallistumisesta ja yhteistyöstä
Haastattelut ovat yksi tärkeä tiedonkeruumenetelmä, ja ne olisi toteutettava
tilanteeseen ja haastateltaviin soveltuvalla tavalla joko kasvokkain tai jonkin muun
viestintätavan välityksellä.
Auditoijan olisi kuitenkin harkittava seuraavia asioita:
Lähde: ISO 19011:2018
Auditointimenetelmiä ja -arviointitapoja
Lähde: ISO 19011:2018
OPI LISÄÄ LAADUNHALLINNASTA
JA STANDARDEISTA
Kehitä osaamistasi osoitteessa:
https://www.arter.fi/arter-
akatemia/laadunhallinta-ja-
standardit/
TAI OTA YHTEYTTÄ
QF-koulutuspäällikkö
Tiina Riutta
045 173 8212
www.arter.fi