Ako se po prvi put susre\u0107ete s pojmom internog auditora vjerojatno ste zbunjeni \u2013 Za\u0161to mi je potrebna jo\u0161 jedna provjera? Tko \u0107e to platiti? Koga da anga\u017eiram da to napravi? To je toliki gubitak vremena \u2026<\/p>\n
Sve ipak ne mora biti tako lo\u0161e – osim \u0161to ih propisuju norme ISO 27001<\/a> i BS 25999-2<\/a>, interni auditi mogu biti korisni i za druge vidove poslovanja (bili oni povezani s informacijskom sigurno\u0161\u0107u i kontinuitetom poslovanja ili ne).<\/p>\n Smisao internog audita otkrivanje je problema koji bi ina\u010de ostali skriveni i koji bi kao takvi mogli na\u0161tetiti poslovanju. Budimo realni \u2013 ljudski je grije\u0161iti, pa je samim time nemogu\u0107e uspostaviti sustav bez gre\u0161aka. Mogu\u0107e je, me\u0111utim, imati sustav koji ima sposobnost usavr\u0161avanja i u\u010denja iz vlastitih pogre\u0161aka. Interni auditi presudan su dio takvog sustava.<\/p>\n Interni audit mo\u017ee se provoditi na nekoliko na\u010dina:<\/p>\n a) Anga\u017eiranjem internog auditora na puno radno vrijeme – to odgovara samo ve\u0107im organizacijama koje imaju dovoljno posla za takvu osobu (neke vrste organizacija, npr. banke, imaju zakonsku obvezu zaposliti nekoga na toj funkciji)<\/p>\n b) Anga\u017eiranjem internog auditora na dio radnog vremena \u2013 to je naj\u010de\u0161\u0107i oblik anga\u017eiranja auditora \u2013 organizacije koriste vlastite zaposlenike da uz svoje redovne zadatke obavljaju i interne audite. Valja pripaziti na sljede\u0107e: kako bi se izbjegao sukob interesa (auditori ne mogu kontrolirati vlastiti rad), trebala bi postojati barem dva interna auditora kako bi jedan mogao provjeravati redovni posao drugoga.<\/p>\n c) Anga\u017eiranjem internih auditora izvan organizacije \u2013 iako ta osoba nije zaposlena u organizaciji, svejedno se to smatra internim auditom jer audit provodi sama organizacija, prema vlastitim pravilima. Audit obi\u010dno provodi osoba koja je upu\u0107ena u tu vrstu posla (neovisni konzultant i sl.)<\/p>\n Ipak, iz iskustva kao auditor znam da ve\u0107ina organizacija interne audite na\u017ealost provodi samo kako bi zadovoljila certifikacijsko tijelo. Na takvim se auditima obi\u010dno ustanovi nekoliko nesukladnosti, ali se ne zalazi duboko u stvarne nedostatke sustava upravljanja informacijskom sigurno\u0161\u0107u (ISMS) ili sustava upravljanja kontinuitetom poslovanja (BCMS). To je gubitak vremena \u2013 kad je tvrtka ve\u0107 ulo\u017eila vrijeme svojih internih auditora u obavljanje takvog posla, trebala bi od toga imati i koristi.<\/p>\n Kako onda pravilno pristupiti internom auditu \u2013 evo nekih razmi\u0161ljanja:<\/p>\n Dobro je ipak \u0161to sam kao certifikacijski auditor vidio i organizacije koje interni audit provode na pravilan na\u010din. Iako je zaposlenicima bilo pomalo nelagodno da netko provjerava njihove aktivnosti, vrlo su brzo uvidjeli korist takvog pristupa – problemi su jasno uo\u010deni i ubrzo rije\u0161eni.<\/p>\n\n