在拉丁美洲审计管理体系超过15年的经验中,我可以确认内部审计是任何ISO体系中最被低估的流程。许多组织将其视为认证手续,而非其真正本质:在外部审计员介入之前查看体系真实状态的唯一工具。
核心问题:什么都找不到的内部审计
首个异常指标是报告零不符合项的内部审计。根据我们对ISO 9001质量管理体系和ISO 27001信息安全评估的数据,该地区68%的内部审计产生的是无价值的通用发现。
ISO 19011的要求及其重要性
ISO 19011:2018是管理体系审计的参考标准。实践中最常违反的原则是独立性:第5.4.2条规定审计员不应审计自己的工作,但43%的组织中过程负责人同时担任自己区域的内部审计员。
5个最常见的错误
- 审计准则未定义。ISO 19011第6.3.2条要求审计计划明确准则、范围和时间表。
- 抽样不足。仅审查2-3条记录就认定整个流程合格在统计上毫无意义。
- 描述性而非基于证据的发现。可审计的发现应说明具体证据、数量和违反的确切条款。
- 纠正措施无后续跟进。ISO 9001第10.1条和ISO 27001第10.2条要求验证有效性。
- 审计沦为核对清单。最佳审计提出开放性问题:"如何?"和"请出示证据。"
内部审计作为战略工具
最善于利用内部审计的组织将其与差距管理整合,视为持续改进机制。针对ISO 19011的独立诊断可在72个工作小时内识别差距。