Większość firm dowiaduje się o słabościach swoich procedur dopiero podczas zewnętrznej kontroli — a nie podczas wewnętrznego przeglądu, który miał je wykryć wcześniej. Zbigniew Ostrowski, kierownik ds. zgodności w firmie z sektora medycznego, opisał sytuację, w której wewnętrzny audyt trwał dwa tygodnie i nie znalazł żadnych niezgodności, a inspekcja GIF wskazała cztery poważne braki w ciągu jednego dnia.
Porównanie: audyt wewnętrzny a kontrola zewnętrzna
- Zakres badania — wewnętrzny: oparty na własnych procedurach; zewnętrzny: oparty na obowiązujących przepisach
- Perspektywa — wewnętrzny: zna kontekst organizacji; zewnętrzny: patrzy przez pryzmat wymagań formalnych
- Wynik — wewnętrzny: często potwierdza stan istniejący; zewnętrzny: identyfikuje rozbieżności z normą
Problem tkwi w tym, że audytorzy wewnętrzni oceniają zgodność z własnymi procedurami firmy — a nie z literą prawa. Gdy procedury są błędnie skonstruowane, audyt wewnętrzny tej błędności nie wykryje. To nie kwestia złej woli — to kwestia ograniczonego punktu odniesienia.
Audyt wewnętrzny bez zewnętrznego benchmarku regulacyjnego ma ograniczoną wartość diagnostyczną.
Rozwiązaniem jest cykliczne porównywanie własnych procedur z aktualnymi aktami prawnymi — nie raz na trzy lata, lecz przy każdej nowelizacji przepisów dotyczących danego sektora.