O co chodzi z tym auditem?
Gdy pierwszy raz zobaczyłem zapis „audit” pomyślałem, że to jakaś literówka. Później spotkałem się z „auditorem”, który wytłumaczył mi, że przyszedł wykonać „audit” systemu zarządzania jakością (ISO 9001), a nie jakiś tam „zwykły audyt”. Uśmiałem się w duchu i do dziś „auditorzy” podkreślający tę istotną rolę „auditu” kojarzą mi się wyłącznie z wąsatym posterunkowym z serialu Allo, Allo!, który witał się słynnym „Dziń dybry”:
Skąd i dlaczego audit?
W języku polskim słowo „audit” pierwszy raz pojawiło się wraz z tłumaczeniem normy ISO 9001. Coś, co większość osób uznawało za błąd tłumacza, specjaliści od systemów zarządzania jakością tłumaczyli zamierzonym zabiegiem mającym na celu wyróżnienie roli „auditu”. „Audit”, jak tłumaczyli jest specjalnym rodzajem audytu, który ma na celu sprawdzenie zgodności z wymogami normy ISO. I rzeczywiście sama norma ISO 19011 opisująca zasady takich audytów posługuje się terminami „audit”, „auditor” oraz „auditowanie”. Tylko czy słusznie? Gdybyśmy zajrzeli do anglojęzycznych wersji norm ISO to występuje w nich po prostu angielskie słowo „audit” oznaczające nic innego, jak audyt. Zamierzone użycie „auditu” było jednak podobno konsultowane z językoznawcami z Uniwersytetu Warszawskiego, którzy uznali to za potrzebę wynikającą ze specyfiki branży i nie zaprotestowali.
A co na to prof. Bralczyk?
Jak to zwykle w sytuacji rozterek językowych bywa o opinię został poproszony znany autorytet w osobie prof. Bralczyka. Przyznał on, iż słowo „audytor” funkcjonuje w polszczyźnie od stuleci i nie ma potrzeby, by wymieniać je na obco brzmiące „audit”. Jak stwierdził, ” jest niedobrze, gdy tak się dzieje”. Branża obstaje jednak przy swoim i „auditorzy” dalej podkreślają specyficzną rolę swoich „auditów”.
Przyznam, że osobiście bardzo mnie to mierzi. Gdyby iść tym tropem, równie dobrze należałoby wymyślić specyficzne nazwy np. dla audytów bezpieczeństwa, audytów kodu, audytów socjotechnicznych, audytów legalności oprogramowania, audytów zgodności z RODO itd. W końcu każdy z tych audytów pełni jakąś specyficzną rolę.
Refleksjami podzielił się: audytor wiodący ISO 27001 😉
„Bezpieczna Pigułka” to codzienna, mała dawka wiedzy z zakresu cyberbezpieczeństwa. Wszystkie teksty z tej kategorii znajdziesz TUTAJ.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
To bardzo ciekawe. Zauważyłem podobne praktyki w swojej pracy zawdowej i odebrałem to również jako po prostu błąd czy też anglicyzm. Skoro poruszyłeś ten temat to chciałem zwrócić uwagę, że podobna sytuacja ma się z opisywanym przez Ciebie, kilka dni wcześniej „hashowaniem”. Określenie hashowania w tym kontekście jest moim zdaniem bardzo mylnym i niepoprawnym określeniem, gdyż to co faktycznie opisałeś to użycie kryptograficznej funkcji skrótu. Termin hashowanie jest określeniem zupełnie innego procesu. Wiem jednak, że jest to dosyć powszechny skrót językowy (w moim odczuciu nawet błąd) używany do opisu właśnie tworzenia skrótów kryptograficznych. Jak uważasz czy jest to błąd jezykowy, czy może jednak pewien skrót i kompromis? Chętnie poznam Twoje zdanie na ten temat.
O, super, że o tym wspomniałeś. Przyznam szczerze, że bolało mnie gdy używałem słowa „haszowanie”. „Funkcji skrótu” używałem też, ale nie mam pomysłu jakim pojedynczym słowem polskim zastąpić „haszowanie”. Nawet chciałem o tym wspomnieć w tekście. Jestem raczej przeciwnikiem niepotrzebnych zapożyczeń. Wspominałem już też w jednym z ostatnich tekstów o błędnym używaniu „autentykacji” zamiast „uwierzytelniania”. Może masz jakąś sensowną propozycję na „haszowanie” po polsku? Nie uważam tego za błąd, raczej za protezę wynikającą z braku innej alternatywy. Tylko nie do końca rozumiem co miałeś na myśli przez to, że hashowanie jest określeniem innego procesu niż używanie funkcji skrótu. Mógłbyś rozwinąć?
Myślę, że nie da się tego zastąpić w jakiś inny, bardziej precyzyjny sposób. Szukałem polskich odpowiedników przy okazji przygotowywania prezentacji („stosowanie kryptograficznej funkcji skrótu” zajmowało za dużo miejsca na slajdzie), ale niestety niczego nie znalazłem. Co do „hashowania” jako innego procesu to miałem tutaj na myśli, że jest to pojecie z zakresu algorytmiki i struktur danych związany z przetwarzaniem tablic mieszających. Jeśli chodzi o „autentykację” jest to również jeden z moich ulubionych błędów ale jednak takim zupełnie ulubionym jest stosowanie określenia „funkcjonalności” w stosunku do funkcji składowych jakiegoś systemu.
Zdziwiło mnie, gdy w programie studiów podyplomowych z ochrony danych osobowych pewnej uczelni znalazł się przedmiot „Auditor ISO – 27001”. Byłem przekonany, że to literówka, a tu okazuje się, że jednak nie. Człowiek ciągle się uczy.
Bardzo dobrze napisali – auditor ISO to po prostu kontroler, a to z audytem wewnętrznym nie ma NIC wspólnego
„Audyt czy audit?”
Otóż jedno i drugie ma swoje miejsce i zastosowanie, ale oba wyrazy znaczeniowo dzieli przepaść. Długo by pisać, a czasu mało. Dopóki nie zostałem zawodowym audytorem, oba słowa dla mnie znaczyły „to samo”. Jestem już dość długo Audytorem Wewnętrznym i wiem, że oba słowa znaczą całkiem co innego.
– Definicja formalnoprawna 1: Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze.
Źródło: Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2013 r. poz. 885 ze zm.) art. 272 ust. 1.
– Zgodnie z definicją IIA: „”Audyt jest działalnością niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo.”
– Audyt wewnętrzny to czynności służące niezależnemu przeglądowi i ocenie działań operacyjnych. Skupia się na takich kwestiach, jak: skuteczność realizacji strategii, efektywność zarządzania, płynność procedur. Audyt wewnętrzny nie jest kontrolą. Audytor ma znaleźć rozwiązania, które zminimalizują ryzyko wystąpienia jakiegoś zdarzenia (nawet gdy do niego jeszcze nie doszło). W uproszczony sposób różnice pomiędzy audytem a kontrolą oddaje metafora o wylanym mleku przywoływana czasem przez audytorów. Jeśli coś takiego się zdarzy, wówczas zadaniem audytora będzie wskazanie takich procedur, które nie dopuszczą do wylania mleka w przyszłości, tj. zapobiegną wystąpieniu tego ryzyka i zapewnią tym samym odpowiednie zabezpieczenie przed nim. Kontroler zaś będzie zobligowany do znalezienia winnych wylania mleka. Metodyka pracy audytora wewnętrznego to już długa historia i tego nie da się tak łatwo opisać, to skomplikowany proces, opanowanie którego wymaga długiego czasu.
Z kolei audit, to nic innego jak zwykła kontrola spełniania wymagań tej czy innej normy. Auditor dostaje do ręki Listę Kontrolną z pytaniami, i je zadaje, zbiera wyniki, ustala ocenę, ma wkład w doskonalenie systemu poprzez wspieranie petli Deminga. Auditorem może zostać każdy, kto ukończy kilkudniowy kurs i zda egzamin, dość łatwy trzeba przyznać.
Audytor wewnętrzny nie staje się nim ot tak. Jest wiele ścieżek dojścia, ale trwają długo i są kosztowne. Trzeba np. skończyć roczne studia podyplomowe na uczelni o specjalnym statusie, potem pracować dwa lata jako asystent audytora, i dopiero potem pracodawca może nadać takiej osobie zawodowy tytuł Audytora Wewnętrznego.
Dziękuję za obszerny komentarz. Proszę zwrócić uwagę, że w normach ISO też występuje pojęcie audytu wewnętrznego, niezwiązane zupełnie z naszą ustawą o finansach publicznych. Takim audytorem można się stać nawet po przerobieniu kursu online. Dostaje się zwyczajnie certyfikat, np. „audytor wewnętrzny ISO 27001:2017”. Skoro w języku angielskim nie rozróżnia się tego i zarówno wewnętrzny jak i zewnętrzny to „audit” i „auditor”, to dla mnie jednak niezrozumiałe jest sztuczne stosowanie „auditu” i „auditora” w języku polskim. O tym kto i dla kogo (w jakim celu) robi audyt mówią pojęcia audytu pierwszej, drugiej lub trzeciej strony. Dodatkowe rozróżnianie audytu trzeciej strony jako „auditu” nadal jest dla mnie trochę sztuczne.
Panie Jakubie, mam obawy, że nadal nie rozumie Pan różnicy między tymi słowami. Zresztą nie o te słowa chodzi, tylko o rodzaje czynności. Z jednej strony mamy Audytora Wewnętrznego, czyli zawód, do którego dochodzi się przez długi czas i zakres którego precyzyjnie określa Ust. o Finansach Publicznych. Od razu trzeba tu dodać niezwykle istotne zastrzeżenie: – audyt wewnętrzny nie ma nic wspólnego z kontrolą/
Z drugiej strony mamy Auditora, czyli osobę, która w ciągu kilku dni jest w stanie przyswoić sobie wiedzę i metody kontrolowania jej implementacji, taka osoba jest Kontrolerem spełnienia wymagań ISO różnej maści.
Jest więc przepaść ogromna między tymi dwoma osobami. Audytowanie to nie jest kontrola, ale słowa Audyt używa się do dokonywania kontroli, i to nie tylko w systemach ISO, ale także, niestety, w mediach mówi się, np: ” ….. po wykryciu nieprawidłowości (tu opis) Minister zlecił wykonanie audytu w danym obszarze…”
A tak naprawdę zlecił Kontrolę. Ponieważ audyt (mówiąc w wielkim skrócie) bada, czy procesy w jednostce organizacyjnej przebiegają prawidłowo, a kontrola szuka winnych, czyli bada, kto w ramach realizacji tej samej procedury dopuszcza się odstępstw, skutkujących stratami wizerunkowymi, finansowymi i jakimi tam jeszcze. Może teraz będzie to bardziej jasne?
Auditorzy ISO i innych systemów powinni się nazywać Kontrolerzy ISO , lecz popełniono ten błąd, ze nazwano ich audytorami lub auditorami, co zupełnie się ma nijak do istoty sprawy, mało tego, takie „nazewnictwo” osób kontrolujących ISO nie czyni różnicy między nimi a (przepraszam) prawdziwymi audytorami wewnętrznymi. Ten błąd się ciągnie nieustannie po instytucjach. Jak? A np tak, że można spotkać w instytucji nazwę: „Wydział Kontroli i Audytu Wewnętrznego” Trzeba bardzo świadomego i odpowiedzialnego Naczelnika takiego Wydziału, aby rozróżniał te dwa zupełnie odrębne światy: Audytu i Kontroli. Auditorzy zaś, to nie pracownicy Wydziału Kontroli, tylko osoby przysposobione do okresowego sprawdzania wymagań tej czy innej normy. Uffff
PS. Cytuję Pana: – certyfikat, np. „audytor wewnętrzny ISO 27001:2017”
To określenie zawiera błąd, gdyż słowo audytor odnosi się, co do zasady, TYLKO do zawodu audytora wewnętrznego, określonego w Ust. o Fin. Publ., więc ten certyfikat powinien się nazywać „Auditor wewnętrzny ISO …….”. Słowo wewnętrzny w tym certyfikacie nie oznacza Audytora Wewnętrznego działającego WEWNĄTRZ danej instytucji, tylko owa „WEWNĘTRZNOŚĆ” – odnosi się do działania danego auditora WEWNĄTRZ danego systemu ISO ustanowionego w danej instytucji – stąd chyba bierze się główne źródło pomyłek w nazewnictwie, o którym rozmawiamy
Pan trzyma się zaakceptowanego przez siebie rozumienia terminów, a inni niewiele sobie z tego robią – i słusznie, ponieważ mamy tu do czynienia z pojęciami wieloznacznymi. Wykładowcy na studiach podyplomowych z bezpieczeństwa informacji, w których uczestniczyłem, i to spece od norm z długoletnią praktyką, z humorem podchodzili do rozróżnienia audytor/auditor. Poza tym wyraźnie stwierdzali, że audytor wewnętrzny ISO dokonuje audytów w danej organizacji, której jest członkiem. Audyty w organizacjach „zewnętrznych” są dziełem audytorów wiodących. Nie sądzę, by ci ludzie nie wiedzieli, o czym mówią. Nie zawsze próba narzucenia powszechnie obowiązującej terminologii spotyka się z powszechną akceptacją. W tym wypadku po prostu tak jest. Może oczywiście upierać się Pan przy swoim. Tyle że inni potraktują to wzruszeniem ramion. I przecież nie o puryzm językowy ostatecznie chodzi. Pozdrawiam.
Bzdura w polskiej normie ISO 27001 stosuje się słowo audyt i audytor – patrz pkt 9.1
Artur, ale co jest bzdurą? W artykule była mowa o ISO 9001, nie 27001. Poza tym akurat co do użycia słowa „audyt” w ISO 27001, sam PKN wypowiedział się, że należy to uznać za błąd:
„Oczywiście występowanie w PN-ISO/IEC 27001:2007 terminu audyt należy uznać za błąd popełniony na etapie opracowania dokumentu. Obowiązuje bowiem zasada jednolitości terminologicznej. Termin należy stosować w takiej formie, w jakiej został zapisany w podstawowej normie terminologicznej. Terminologia w danej dziedzinie powinna być spójna – dotyczy to wszystkich publikacji, nie tylko norm.” – pisze pani Anna Mazik-Krysińska.
Dzień dobry
Wdam się w powyższą polemikę i dodam od siebie „3 grosze”:
1. rozróżnienie auditu od audytu jest wg mnie zasadne z uwagi na zakres obu procesów – funkcja audytu w organizacji obejmuje co do zasady wszystkie systemy i procesy (z tym, że programy audytu na dany okres – najczesciej rok – buduje się, a przynajmniej powinno, z uwzględnieniem wyniku procesu okresowej oceny ryzyka – audytowac należy to co istotne, te procesy i obszary organizacji gdzie ryzyka oceniono jako istotne z punktu widzenia strategii organizacji); z kolei audity systemów (ISO 9001, 14001, 45001, 27001) mają o wiele mniejszy zakres i koncentrują się na skuteczności tych podsystemów w całym systemie zarządzania danej organizacji;
2. do audytu zastosowanie mają międzynarodowe standardy audytu wewnętrznego oraz np. wytyczne GPW w Warszawie dotyczące dobrych praktyk spółek notowanych na GPW zaś audity systemów zarządzania bazują nie na standardach IIA ale na normie narzędziowej ISO 19011;
3. w 23 letniej praktyce zawodowej w kilku organizacjach nie spotkałem jeszcze profesjonalnego audytora (z papierkiem CIA, etc.), który był w stanie zrobić porządny audit wewnętrzny; to z czym się spotkałem to płytkie i górnolotne poaudytowe zalecenia audytorów, którzy po pewnym czasie od wydania swoich zaleceń (czy jak to zwał rekomendacji z audytu) wycofywali się ze swoich własnych zaleceń, co wg mnie jest kompromitacją zawodową audytora z papierkiem CIA; w audicie wewnętrznym jeśli auditor prawidłowo udokumentuje i zapisze niezgodność, która zostanie potwierdzona przez auditowanego, to jest rzeczą niebywałą i niedopuszczalną aby później wycofać się z takiego zdarzenia.
Ot cała różnica audytu i auditu.
Totalna bzdura, że auditor to kontroler. Audit to nie inspekcja. Jeśli spotykasz się z auditorem, który robi Ci kontrolę to go wyrzuć za drzwi i wyślij na dobre szkolenie dla auditorów.
Bzdury Pan audytor wypisuje odnośnie auditu. Odsyłam do definicji auditu w ISO 19011 oraz do definicji auditu i kontroli w ISO 9000.
…”i dopiero potem pracodawca może nadać takiej osobie zawodowy tytuł Audytora Wewnętrznego.”
Co za bzdury. Jeśli tytuł zawodowy może nadać pracodawca to może również radcę prawnego i adwokata i notariusza i lekarza medycyny pracy?