Zmiany w standardzie dotyczącym audytowania – nowe ISO 19011:2026 wprowadzają istotne kwestie, które warto rozpatrzyć w kontekście funkcjonowania każdej organizacji. Zmiana w wytycznych dotyczących audytowania ma znaczenie tylko wtedy, gdy organizacja potraktuje ją jako przegląd własnego sposobu nadzoru, a nie jako korektę procedury. Dla zarządu, pełnomocnika jakości i właścicieli procesów pytanie nie brzmi, czy zaktualizowano dokument, lecz czy audyt wewnętrzny nadal pokazuje rzeczywisty stan procesów, ryzyk i odpowiedzialności. Jeżeli nie, problemem nie jest brak formalnej zgodności z nową edycją wytycznych, ale to, że decyzje zarządcze opierają się na zbyt słabym obrazie organizacji.
Nowe ISO 19011:2026 warto więc czytać operacyjnie. Audyt ma dostarczać dowodów użytecznych do decyzji o priorytetach, zasobach, zmianach odpowiedzialności i zabezpieczeniu procesów krytycznych. Jeżeli ogranicza się do potwierdzania kompletności zapisów, łatwo przeoczyć miejsca, w których proces przestał działać zgodnie z założeniami, odpowiedzialność rozmyła się między działami albo część działań została przeniesiona do systemu informatycznego, do podwykonawcy lub do innej komórki bez adekwatnego nadzoru.
Dlaczego ta zmiana ma znaczenie
Punktem wyjścia nie jest sama publikacja nowej edycji wytycznych audytowania, lecz pytanie, czy obecny program audytów rzeczywiście wspiera decyzje zarządcze, nadzór nad ryzykiem i ocenę skuteczności procesów. W wielu organizacjach audyt wewnętrzny nadal działa jako obowiązek systemowy: według stałego kalendarza, utrwalonej listy pytań i przewidywalnego schematu raportowania. Taki model porządkuje zapisy, ale często nie daje kierownictwu wiarygodnej informacji o tym, gdzie proces utracił sterowność, gdzie odpowiedzialność jest niejednoznaczna i gdzie pojawiły się nowe źródła ryzyka, których program audytów jeszcze nie obejmuje.
Znaczenie zmiany jest więc przede wszystkim organizacyjne, a dopiero później metodyczne. Jeżeli audyt ma być użyteczny, musi być zaprojektowany jako narzędzie nadzoru nad procesem, a nie wyłącznie mechanizm potwierdzania zgodności. To wymaga przeglądu celów audytów, kryteriów oceny, sposobu doboru obszarów do badania, kompetencji audytorów i formy raportowania do kierownictwa. Dla zarządu istotne nie jest to, czy procedura audytów została zaktualizowana, lecz czy wyniki audytów prowadzą do trafniejszych decyzji o priorytetach działań, alokacji zasobów, zmianach odpowiedzialności i zabezpieczeniu procesów krytycznych.
Koszt niedojrzałego audytowania rośnie szczególnie tam, gdzie organizacja działa w kilku systemach zarządzania, cyfryzuje procesy, korzysta z dostawców zewnętrznych albo wchodzi do branż regulowanych. W takich warunkach słaby audyt nie kończy się mało użytecznym raportem. Prowadzi do błędnych priorytetów, pozornych ustaleń, niewychwyconych luk na styku procesów i spóźnionej reakcji na zmianę. W praktyce widać to wtedy, gdy audyt poprawnie opisuje zgodność dokumentacji, ale nie identyfikuje, że część czynności została przeniesiona do systemów informatycznych, do podwykonawcy albo do innej komórki organizacyjnej bez odpowiedniego nadzoru.
Nowe ISO 19011:2026 warto więc potraktować jako impuls do przeglądu architektury audytów. Naturalnym punktem odniesienia pozostaje dotychczasowa Norma ISO 19011: Wytyczne dotyczące audytowania systemów zarządzania, ale z perspektywy praktyki zarządczej ważniejsze od samej treści wytycznych jest to, czy organizacja potrafi przełożyć je na własny model nadzoru. W praktyce oznacza to wybór: potraktować zmianę jako korektę procedury albo jako element szerszego przeglądu ładu organizacyjnego, programu audytów i sposobu wykorzystywania ustaleń audytowych w zarządzaniu ryzykiem oraz doskonaleniu procesów.
Gdzie realnie rośnie koszt słabego audytu
Największy koszt słabego audytu nie powstaje w dniu jego przeprowadzenia, lecz później, gdy organizacja działa w przekonaniu, że proces jest pod kontrolą. To fałszywe poczucie nadzoru bywa najdroższe. Raport nie pokazuje odchyleń o znaczeniu operacyjnym, kierownictwo nie zmienia priorytetów, a ryzyka pozostają w procesie do momentu reklamacji, zakłócenia dostawy albo sporu z klientem. Problem nie polega więc na braku zapisów z audytu, ale na tym, że ustalenia nie odróżniają uchybienia formalnego od słabości wpływającej na terminowość, powtarzalność, identyfikowalność lub zdolność reakcji na niezgodność.
W tym miejscu potrzebna jest decyzja projektowa. Trzeba rozstrzygnąć, czy audyt ma nadal sprawdzać głównie kompletność zapisów, czy ma oceniać skuteczność procesu, przepływ odpowiedzialności, jakość danych wejściowych i wyjściowych oraz to, czy właściciel procesu rzeczywiście ma narzędzia do reagowania. W wielu firmach audyt wewnętrzny nadal jest planowany kalendarzowo i prowadzony według utrwalonej listy pytań. Taki model nie wychwytuje rozbieżności między deklarowaną a rzeczywistą odpowiedzialnością procesową, nie pokazuje, że działania korygujące są formalnie zamykane mimo powtarzających się reklamacji, ani że niezgodności wracają w kolejnych audytach pod inną nazwą.
| Objaw słabego audytu | Co to oznacza operacyjnie | Jaka decyzja naprawcza jest potrzebna |
|---|---|---|
| Audyt potwierdza kompletność zapisów, ale nie ocenia przebiegu procesu | Organizacja widzi dokument, ale nie widzi źródła strat i opóźnień | Rozdzielić audyty zgodności od audytów skuteczności procesów |
| Te same niezgodności wracają mimo zamkniętych działań | Działania korygujące są pozorne albo źle ukierunkowane | Włączyć ocenę skuteczności działań i przyczyn źródłowych do programu audytów |
| Brak ustaleń na styku działów, systemów lub dostawców zewnętrznych | Ryzyko kumuluje się poza formalnymi granicami procesu | Planować audyty według ryzyka i przebiegu odpowiedzialności, a nie według struktury organizacyjnej |
W polskich realiach koszt słabego audytowania szczególnie rośnie tam, gdzie nakłada się kilka systemów zarządzania, część działań realizują podwykonawcy, a wymagania klienta są ostrzejsze niż sama norma. Wtedy formalna zgodność z własną procedurą nie wystarcza, bo o wyniku decyduje spójność nadzoru na styku wymagań. Jeżeli audyt nie bada, jak przekazywane są wymagania do dostawcy, kto zatwierdza odstępstwa, skąd pochodzą dane do oceny jakości i kto podejmuje decyzję o zwolnieniu wyrobu lub usługi, raport może być poprawny, a nadzór nadal nieskuteczny.
W branżach o wyższym progu wejścia ten problem wpływa bezpośrednio na dostęp do rynku. W środowisku wyrobów medycznych, gdzie naturalnym punktem odniesienia jest ISO 13485:2016, albo w organizacjach przygotowujących się do wymagań sektora jądrowego, sam porządek dokumentacyjny nie buduje wiarygodności. Audytowanie musi sprawdzać, czy organizacja potrafi utrzymać wymagania w praktyce, pod presją zmian, dostaw zewnętrznych i odchyleń procesowych. Podobnie należy czytać temat ISO 19443 — przepustka do łańcucha dostaw polskiego atomu: jakość audytu wpływa nie tylko na obraz systemu zarządzania, ale także na ocenę zdolności organizacji do stabilnego spełniania wymagań klienta i utrzymania miejsca w łańcuchu dostaw.
Co warto zmienić w programie audytów
Punktem wyjścia nie powinno być przeprojektowanie formularzy ani korekta samej procedury, lecz decyzja, czemu audyt ma w danym programie służyć. W jednej organizacji potrzebne będą audyty potwierdzające zgodność z wymaganiami, w innej ważniejsza okaże się ocena skuteczności procesu, weryfikacja ryzyk po zmianach albo przygotowanie do audytu zewnętrznego. Dopiero po takim rozróżnieniu można sensownie ustalić kryteria, częstotliwość, kompetencje audytorów i sposób raportowania. Jeżeli wszystkie audyty mają jednocześnie potwierdzać zgodność, badać skuteczność i jeszcze przygotowywać do certyfikacji, zwykle nie realizują żadnego z tych celów dostatecznie dobrze.
W praktyce oznacza to odejście od programu budowanego wyłącznie wokół punktów normy i sztywnego rocznego harmonogramu. Bardziej użyteczny układ opiera się na mapie procesów, zmianach organizacyjnych i ryzykach, które rzeczywiście mogą zakłócić wynik operacyjny. Jeżeli w ostatnich miesiącach zmieniono dostawcę, wdrożono nowe narzędzie informatyczne, przeniesiono odpowiedzialność między działami albo rozszerzono wymagania klienta, to właśnie tam powinien przesunąć się priorytet audytowy. Przy ograniczonych zasobach lepiej wprowadzić audyty tematyczne, skoncentrowane na konkretnym ryzyku lub zmianie, niż utrzymywać pełne audyty obszarowe o niskiej wartości poznawczej.
Warto przy tym planować na podstawie własnych danych, a nie wyłącznie kalendarza. Pomocne są zwłaszcza:
- powracające niezgodności,
- czas zamykania działań poaudytowych,
- liczba zmian procesowych wdrożonych bez późniejszej weryfikacji audytowej.
Równie istotne jest właściwe zdefiniowanie zakresu pojedynczego audytu. Najwięcej błędnych decyzji bierze się z audytów zamkniętych w granicach jednego działu, podczas gdy problemy powstają na styku odpowiedzialności. Dlatego zakres powinien obejmować interfejsy między procesami, miejsca przekazywania danych i decyzji, jakość danych wejściowych oraz skuteczność działań podejmowanych po wcześniejszych ustaleniach. Reklamacja klienta może formalnie należeć do jakości, ale jej źródło leży w planowaniu, zakupach albo zmianie technologicznej niewłączonej do oceny ryzyka. Audyt ograniczony do jednego obszaru potwierdzi poprawność zapisów, ale nie pokaże, dlaczego problem wraca.
Zmiany wymagają także raportowania. Raport z audytu nie powinien kończyć się na liście niezgodności i obserwacji, bo taki materiał rzadko nadaje się do decyzji zarządczej. Potrzebna jest ocena wpływu ustaleń na ciągłość operacyjną, klienta, zgodność oraz koszty, a także wyraźne rozróżnienie między uchybieniem formalnym a problemem, który może zaburzyć wynik procesu. Ma to szczególne znaczenie tam, gdzie audytowany jest już nie tylko obieg dokumentów, lecz także cyfrowe źródła danych, obowiązki zgodności, wymagania środowiskowe i społeczne oraz zastosowania sztucznej inteligencji. Dobrze pokazuje to fraza Trendy w systemach zarządzania na 2026 rok – cyfryzacja, ESG, AI i compliance. W tym kontekście nowe podejście do ISO 19011:2026 należy czytać jako impuls do przebudowy programu audytów tak, aby ustalenia były użyteczne operacyjnie i porównywalne z punktu widzenia decyzji.
Kompetencje audytora po nowemu
Najczęstszy błąd polega na utożsamieniu kompetencji audytora z dobrą znajomością normy i sprawnym przechodzeniem przez listę pytań kontrolnych. Taki model wystarcza do wychwycenia braków formalnych, ale nie do oceny, czy proces działa skutecznie i czy ryzyka zostały właściwie rozpoznane. W nowym podejściu audytor wewnętrzny musi rozumieć przebieg procesu, jego cele, punkty krytyczne, zależności między funkcjami oraz skutki decyzji podejmowanych na styku działów. Dopiero wtedy potrafi odróżnić brak zapisu od realnej nieskuteczności działania.
Z tego wynika decyzja organizacyjna szersza niż aktualizacja procedury audytów. Trzeba przeglądnąć matrycę kompetencji audytorów, zasady bezstronności oraz sposób doboru osób do konkretnych tematów. W wielu firmach ten sam pracownik bywa równocześnie właścicielem procesu, pełnomocnikiem systemu i audytorem obszaru, który współtworzy. Formalnie bywa to wygodne, ale operacyjnie osłabia wartość ustaleń. Jeżeli organizacja chce sprawdzić gotowość swoich audytorów do pracy według nowego podejścia, powinna ocenić nie tylko liczbę osób po szkoleniu, lecz także liczbę audytorów aktywnych, obszary bez pokrycia kompetencyjnego oraz udział audytów przekładanych z powodu braku odpowiednich zasobów.
Problem szczególnie wyraźnie widać w organizacjach wielosystemowych. Audyt reklamacji klienta może formalnie należeć do jakości, ale jego przyczyna leży jednocześnie w nadzorze nad dostawcą, zmianie materiałowej, wymaganiach środowiskowych, obowiązkach zgodności albo niespójnym przekazaniu wymagań klienta do produkcji. Audytor, który zna wyłącznie wymagania jednego systemu, zwykle opisze objaw. Audytor z kompetencją przekrojową oceni punkt styku jakości, środowiska, zgodności, wymagań klienta i nadzoru nad dostawcami, a więc wskaże miejsce, w którym organizacja rzeczywiście traci sterowanie.
Dlatego plan szkoleń nie powinien być budowany według samej listy norm, lecz według ryzyk, procesów i realiów branżowych. W części organizacji wystarczy rozwinąć własnych audytorów wewnętrznych. W innych lepszym rozwiązaniem będzie rozdzielenie ról i częstsze korzystanie z ekspertów zewnętrznych tam, gdzie brakuje wiedzy procesowej lub branżowej. Dotyczy to zwłaszcza obszarów regulowanych i specjalistycznych, gdzie sama technika audytowania nie wystarcza. Dobrym przykładem są szkolenia osadzone w konkretnym kontekście systemowym i branżowym, takie jak Pełnomocnik oraz Audytor Wewnętrzny ISO 14001:2015 czy Pełnomocnik oraz Audytor Wewnętrzny ISO 13485:2016. W obu przypadkach wartość audytora nie wynika z umiejętności zadania pytania, lecz z trafnej oceny, czy proces pozostaje pod nadzorem i czy ustalenia z audytu mogą być podstawą do decyzji zarządczej.
Jak przygotować organizację bez chaosu
Najrozsądniej nie zaczynać od przepisywania procedury, lecz od krótkiego przeglądu stanu obecnego programu audytów. Trzeba ustalić, po co organizacja faktycznie audytuje, według jakich kryteriów planuje audyty, co zawierają wzory raportów, jak ocenia kwalifikacje audytorów, w jaki sposób zamyka działania poaudytowe i czy kierownictwo rzeczywiście wykorzystuje wyniki do decyzji operacyjnych. Taki przegląd powinien być krótki, ale oparty na dowodach z ostatnich 12 miesięcy. Dopiero wtedy widać, czy organizacja ma problem metodyczny, kompetencyjny czy zarządczy.
Nie każda firma potrzebuje pełnej przebudowy. W wielu przypadkach wystarczy skorygować kilka elementów o największym wpływie na jakość nadzoru: planowanie oparte na ryzyku, właściwe definiowanie zakresów audytów oraz jakość raportowania. Jeżeli plan audytów powstaje wyłącznie z kalendarza, raport kończy się ogólnym opisem niezgodności, a działania poaudytowe są zamykane formalnie, to zmiana formularzy niczego nie poprawi. Decyzja organizacyjna powinna więc dotyczyć skali interwencji: czy uruchamiać projekt międzydziałowy, czy wystarczy praca w węższym gronie pod nadzorem właścicieli procesów i pełnomocnika jakości.
Najbezpieczniej prowadzić wdrożenie etapowo. Najpierw diagnoza, potem decyzje projektowe, następnie pilotaż na wybranych procesach, korekta metodyki i dopiero na końcu aktualizacja dokumentacji oraz szersze szkolenie. Taka kolejność ogranicza typowy błąd, w którym organizacja najpierw zatwierdza nowe formularze, a dopiero później odkrywa, że audytorzy nadal badają procesy zbyt szeroko albo zbyt powierzchownie. Dobrym polem pilotażu są procesy, w których już widać koszt słabego nadzoru: reklamacje, zakupy, zmiany technologiczne, utrzymanie zgodności wymagań klienta. Jeżeli po pilotażu raporty lepiej pokazują ryzyka, właściciele procesów szybciej zamykają działania, a kierownictwo dostaje materiał do decyzji, dopiero wtedy warto utrwalać nowe podejście w dokumentacji.
Szczególnej uwagi wymaga sytuacja, w której organizacja równolegle przygotowuje się do audytu certyfikującego albo rozważa zmianę jednostki. Wtedy wewnętrzne podejście audytowe trzeba zsynchronizować z realiami rynku oceny zgodności, bo sposób prowadzenia audytów zewnętrznych wpływa na to, jak firma ustawia własny nadzór wewnętrzny, jakie dowody uznaje za wystarczające i jak przygotowuje właścicieli procesów do rozmowy o ryzykach oraz skuteczności działań. Z tego powodu temat nie kończy się na samej metodyce audytów wewnętrznych; istotna jest także jakość współpracy z jednostką certyfikującą. W tym kontekście praktyczne znaczenie ma również materiał „Wybór jednostki certyfikującej ISO – na co uważać w ofertach i umowach?”, ponieważ decyzja o partnerze zewnętrznym wpływa nie tylko na przebieg audytu certyfikującego, lecz także na standard pytań, oczekiwań i dyscypliny dowodowej, do którego organizacja będzie się dostosowywać.
Co z tego powinien wziąć zarząd
Z perspektywy zarządu pytanie nie powinno brzmieć: „czy jesteśmy zgodni z nową wersją wytycznych”, lecz: „czy audyt daje nam wiarygodny obraz skuteczności systemu i ryzyk operacyjnych”. To rozróżnienie ma znaczenie praktyczne. Audyt wewnętrzny, który tworzy poprawne formalnie raporty, ale nie pokazuje, gdzie organizacja traci sterowność nad procesem, nie wspiera zarządzania. Nowe ISO 19011:2026 warto więc czytać jako sygnał do oceny, czy obecny program audytów rzeczywiście dostarcza materiału do decyzji właścicielskich.
Dojrzały program audytów powinien wspierać trzy decyzje zarządcze: gdzie rośnie ryzyko, które procesy wymagają interwencji oraz czy organizacja realnie utrzymuje zdolność do spełniania wymagań klienta i norm. To oznacza przesunięcie akcentu z liczby wykonanych audytów na jakość rozpoznania. Zarząd powinien oczekiwać od pełnomocnika i właścicieli procesów nie większej aktywności audytowej samej w sobie, lecz lepszych ustaleń, krótszego czasu reakcji na problemy i mniejszej liczby zjawisk powracających. Jeżeli raportowanie kończy się na rejestrze niezgodności, bez odniesienia do ryzyk, styków procesowych i skuteczności działań, audyt pozostaje kosztem administracyjnym, a nie narzędziem nadzoru.
W praktyce sens zmiany najlepiej mierzyć nie deklaracją, że wdrożono nową metodykę, ale zachowaniem procesu po audycie. Zarząd powinien widzieć, czy maleje odsetek ustaleń powracających, czy skraca się czas zamknięcia działań, jaki udział mają audyty obejmujące styki między procesami oraz ile istotnych zmian procesowych zostało objętych audytem we właściwym momencie. To są wskaźniki jakości audytowania, a nie samej aktywności audytorów. W organizacjach, które rozwijają kompetencje takie jak Pełnomocnik oraz Audytor Wewnętrzny ISO 14001:2015, szczególnie dobrze widać, że wartość audytu rośnie dopiero wtedy, gdy ustalenia przekładają się na decyzje operacyjne, a nie wyłącznie na korekty dokumentacji.
Dlatego nowe ISO 19011:2026 warto potraktować jako okazję do uporządkowania nadzoru, zanim zrobi to za organizację klient, jednostka certyfikująca albo incydent operacyjny. Jeżeli program audytów jest dziś niespójny, oparty głównie na kalendarzu lub zbyt słabo powiązany ze zmianami w procesach, zwłoka zwykle kończy się kosztowniejszą korektą pod presją zewnętrzną. Dobrze zaprojektowany audyt nie służy przede wszystkim temu, by mieć zgodność z nową wersją. Jego rzeczywista wartość polega na obniżeniu kosztu błędnych decyzji, ograniczeniu ślepych pól w ocenie ryzyk i zwiększeniu użyteczności całego systemu zarządzania.
Najczęstsze pytania
Czy ISO 19011:2026 wprowadza obowiązek natychmiastowej zmiany procedury audytów wewnętrznych?
Nie. ISO 19011 to wytyczne dotyczące audytowania, a nie norma certyfikacyjna z bezpośrednim obowiązkiem wdrożenia w określonym terminie. W praktyce organizacja powinna najpierw ocenić, czy obecny program audytów daje wiarygodny obraz procesów, ryzyk i odpowiedzialności, a dopiero potem decydować o zmianach w procedurze, formularzach i planie audytów.
Co w praktyce najbardziej warto zmienić po publikacji ISO 19011:2026?
Największą wartość daje zmiana sposobu planowania i celu audytów. Zamiast opierać program wyłącznie na rocznym harmonogramie i punktach normy, lepiej planować audyty według ryzyka, zmian w procesach, powracających niezgodności oraz obszarów styku między działami, systemami i dostawcami. Warto też rozdzielić audyty zgodności od audytów skuteczności procesów oraz poprawić raportowanie tak, aby pokazywało wpływ ustaleń na wynik operacyjny.
Po czym poznać, że audyt wewnętrzny jest zbyt słaby mimo formalnej zgodności?
Typowe sygnały to powracające niezgodności mimo zamkniętych działań, raporty skupione głównie na brakach w zapisach, brak ustaleń na styku procesów oraz niewielka użyteczność wyników dla kierownictwa. Słaby audyt często potwierdza porządek dokumentacyjny, ale nie pokazuje, gdzie proces traci sterowność, gdzie odpowiedzialność jest niejasna albo gdzie ryzyko przeniosło się do systemu IT, podwykonawcy lub innej komórki organizacyjnej.
Czy audytor wewnętrzny powinien znać tylko wymagania normy?
Nie. Sama znajomość normy i techniki zadawania pytań zwykle wystarcza do wykrywania braków formalnych, ale nie do oceny skuteczności procesu. Audytor powinien rozumieć przebieg procesu, jego cele, punkty krytyczne, zależności między funkcjami oraz skutki decyzji na styku działów. W organizacjach wielosystemowych potrzebne są też kompetencje przekrojowe, bo źródło problemu często leży poza jednym obszarem systemu zarządzania.
Jak zarząd powinien oceniać, czy program audytów działa skutecznie?
Nie przez liczbę wykonanych audytów, lecz przez jakość ustaleń i ich wpływ na decyzje. Przydatne wskaźniki to odsetek ustaleń powracających, czas zamykania działań poaudytowych, udział audytów obejmujących styki między procesami oraz liczba istotnych zmian procesowych objętych audytem we właściwym czasie. Jeżeli raporty pomagają ustalać priorytety, alokować zasoby i szybciej reagować na ryzyka, program audytów spełnia swoją funkcję.
Masz pytania? Porozmawiajmy.
Bezpłatna konsultacja – bez zobowiązań.
