Omyl č. 2

Omylem č. 2 se pro mě stal výrok: "Interním auditem řídíte rizika". Dodnes nevím, co si za touto myšlenkou mám představit. Řízení rizik je řízení rizik a interní audit je interní audit. Jsou organizace, které striktně oddělují tyto oblasti a dokonce nedovolují směšovat funkci manažera kvality s manažerem rizik a už vůbec ne s interním auditem. Interní audit by měl vždy stát tak trochu opodál od řízení kvality a rizik, aby si zachoval velmi důležitý atribut, a to nezávislost.

Obrázek 1 (www.freepik.com)
Obrázek 1 (www.freepik.com)

Před časem jsem seděla na jednom semináři, který byl věnovaný internímu auditu zdravotní péče. Na semináři jsem se (ne)dozvěděla jednu podstatnou věc a to, že interním auditem prostě nejste schopni identifikovat, analyzovat a vyhodnotit odchylky od očekávaného cíle, tedy rizika. Interní audit je pro mě a vždy byl poměrně těžkou disciplínou. Připravit kontrolní list, nastavit správně kritéria, tak aby všichni interní auditoři hodnotili auditovanou oblast shodně a dosáhli jste tak v auditu maximální objektivizace, není vždy úplně jednoduché. Mezi základní úkoly auditu patří určování shody auditovaného objektu s postupy nebo procesy, tj. specifického způsobu provádění činnosti nebo procesu realizovaného většinou určenými/pověřenými zaměstnanci zdravotnického zařízení. Na základě objektivního hodnocení důkazů, jimiž jsou záznamy, prohlášení o struktuře nebo jiné informace, které jsou relevantní pro kritéria auditu a jsou ověřitelné, poskytuje interní audit auditní výroky, tj. výstupy z auditu po zvážení cílů auditu a všech zjištění. Cíle interního auditu jsou založené na hodnocení rizik a na možnosti neshody, nežádoucí události nebo například podvodu. Pokusím se myšlenku rozvést na příkladu  Rizika zpracování OÚ pro účely interního auditu po dosazení stupně pravděpodobnosti a dopadu dělím rizika do 4 skupin: běžná, frekventovaná s malým dopadem, frekventovaná s velkým dopadem a rizika s malým výskytem, zato s velkým dopadem. Tyto čtyři skupiny rizik promítnu do maticového rozdělení, zejména pro lepší ilustraci v Obrázku 2.  

Obrázek 2 (vlastní archiv)
Obrázek 2 (vlastní archiv)

Jako určitý návod představuji typy auditů, které by bylo vhodné podle posouzených rizik zpracování OÚ použít:

  • běžná rizika - sledování nebo jako součást procesního/systémového auditu (nikoliv samostatně)
  • frekventovaná rizika s malým až závažným dopadem - systémové audity vde 
  • výjimečná rizika se závažným dopadem - procesní audity - (audity klíčových procesů ve vztahu.

To, jaký konkrétní přístup interního audit v konečném důsledku auditor zvolí, je čistě na jeho zvážení a zejména erudici.

Mnoho úspěchu při řízení rizik nebo realizaci interního auditu.

Jana Marsová