Nowa norma ISO 19011:2026 zastępuje wydanie ISO 19011:2018 i stanowi czwartą edycję wytycznych dotyczących audytowania systemów zarządzania. Nie jest to zmiana rewolucyjna, lecz istotne doprecyzowanie zasad audytowania w warunkach, które stały się codziennością wielu organizacji: pracy zdalnej, środowisk wirtualnych, systemów chmurowych, narzędzi cyfrowych oraz audytów prowadzonych w formule hybrydowej.
Najważniejsza zmiana dotyczy rozszerzenia wytycznych dla zdalnych metod audytowania, w tym uwzględnienia podejścia wynikającego z ISO/IEC TS 17012, oraz rozbudowania wytycznych dotyczących audytu zdalnego i lokalizacji wirtualnych.
Czym jest ISO 19011?
ISO 19011 jest normą zawierającą wytyczne dotyczące audytowania systemów zarządzania. Nie jest normą certyfikacyjną dla organizacji, lecz dokumentem pomocniczym wykorzystywanym do planowania, prowadzenia, dokumentowania i doskonalenia audytów.
Norma ma zastosowanie przede wszystkim do:
- audytów wewnętrznych,
- audytów dostawców,
- audytów drugiej strony,
- audytów prowadzonych z przyczyn kontraktowych, regulacyjnych lub organizacyjnych,
- programów audytów obejmujących jeden albo kilka systemów zarządzania.
W praktyce ISO 19011 jest wykorzystywana przy audytach systemów takich jak ISO 9001, ISO/IEC 27001, ISO 22301, ISO 14001, ISO 45001 oraz innych systemów zarządzania.
Dla organizacji oznacza to, że po opublikowaniu nowego wydania warto zweryfikować własne procedury audytowe, programy audytów, formularze, matryce kompetencji audytorów oraz zasady postępowania z dowodami audytowymi.
Audyt zdalny jako pełnoprawna metoda audytowania
Wydanie ISO 19011:2018 przewidywało możliwość prowadzenia audytów zdalnych i audytów lokalizacji wirtualnych. W nowym wydaniu zagadnienie to zostało jednak wyraźnie rozwinięte.
ISO 19011:2026 doprecyzowuje pojęcie zdalnej metody audytowania, czyli prowadzenia działań audytowych z miejsca innego niż lokalizacja audytowanego. Metody zdalne mogą być stosowane samodzielnie albo łączone z metodami prowadzonymi na miejscu.
Oznacza to, że audyt zdalny nie powinien być traktowany jako rozwiązanie awaryjne albo uproszczona forma audytu. Powinien być zaplanowaną metodą audytowania, dobraną do celu, zakresu, kryteriów audytu, dostępności dowodów oraz ryzyk związanych z prowadzonym audytem.
W praktyce organizacja powinna określić, kiedy audyt może być prowadzony zdalnie, kiedy wymaga obecności na miejscu, a kiedy właściwa jest formuła hybrydowa.
Większy nacisk na lokalizacje wirtualne
Nowa norma mocniej akcentuje, że zakres audytu może obejmować nie tylko lokalizacje fizyczne, lecz także lokalizacje wirtualne.
Ma to szczególne znaczenie dla organizacji, które realizują procesy z wykorzystaniem:
- środowisk online,
- usług chmurowych,
- platform SaaS,
- zdalnego dostępu,
- repozytoriów kodu,
- systemów workflow,
- elektronicznego obiegu dokumentów,
- narzędzi helpdesk,
- systemów monitorowania,
- platform komunikacyjnych,
- usług dostawców zewnętrznych.
W praktyce zakres audytu nie powinien ograniczać się wyłącznie do wskazania siedziby organizacji. Jeżeli istotne procesy są realizowane w środowisku cyfrowym, należy uwzględnić je w planowaniu audytu, doborze metod, ustalaniu dowodów oraz określaniu kompetencji audytorów.
Audytor powinien oceniać nie tylko dokumentację formalną, ale również sposób funkcjonowania procesów w systemach, aplikacjach, repozytoriach, logach, panelach administracyjnych i środowiskach dostawców.
Wybór metody audytu powinien wynikać z oceny ryzyka
ISO 19011:2026 mocniej wiąże wybór metody audytu z podejściem opartym na ryzyku. Organizacja powinna umieć uzasadnić, dlaczego dany audyt prowadzony jest:
- na miejscu,
- zdalnie,
- hybrydowo.
Nie chodzi wyłącznie o wygodę organizacyjną, dostępność osób albo redukcję kosztów. Kluczowe jest to, czy wybrana metoda pozwala osiągnąć cele audytu oraz zebrać wystarczające, wiarygodne i weryfikowalne dowody.
Przy wyborze metody audytu należy brać pod uwagę w szczególności:
- cel audytu,
- zakres audytu,
- kryteria audytu,
- dostępność osób audytowanych,
- dostępność dokumentów i zapisów,
- możliwość weryfikacji dowodów,
- bezpieczeństwo informacji,
- poufność danych,
- niezawodność narzędzi komunikacyjnych,
- ograniczenia techniczne,
- kompetencje zespołu audytującego.
Sam fakt, że audyt można przeprowadzić zdalnie, nie oznacza jeszcze, że zawsze należy to zrobić. Metoda audytu powinna być adekwatna do celu, zakresu i ryzyka.
Większe znaczenie bezpieczeństwa informacji podczas audytu
Nowa norma wyraźniej pokazuje, że audytowanie wiąże się z przetwarzaniem informacji, które mogą mieć charakter poufny, chroniony, strategiczny, techniczny, prawny albo kontraktowy. Dotyczy to zarówno dokumentacji systemu zarządzania, jak i dowodów potwierdzających działanie procesów.
Audytorzy mogą uzyskiwać dostęp do:
- rejestrów ryzyka,
- raportów niezgodności,
- dokumentacji incydentów,
- danych klientów,
- danych pracowników,
- konfiguracji systemów,
- raportów podatności,
- wyników testów,
- planów ciągłości działania,
- informacji kontraktowych,
- zapisów z systemów,
- logów,
- raportów z monitorowania.
Dlatego organizacja powinna określić zasady postępowania z informacjami audytowymi, w szczególności w zakresie ich udostępniania, zabezpieczania, kopiowania, przechowywania, retencji oraz usuwania po zakończeniu audytu.
Dowody audytowe powinny być objęte nadzorem organizacyjnym i technicznym, w szczególności w zakresie zasad ich pozyskiwania, zabezpieczania, przechowywania, udostępniania, retencji oraz usuwania po zakończeniu audytu.
Kompetencje audytora muszą obejmować środowisko cyfrowe
ISO 19011:2026 wzmacnia znaczenie kompetencji audytora w zakresie korzystania z technologii, narzędzi cyfrowych i metod zdalnych. Audytor powinien rozumieć konsekwencje stosowania narzędzi ICT, elektronicznych dowodów, platform komunikacyjnych oraz nowych technologii, w tym rozwiązań wspieranych przez sztuczną inteligencję.
Nie oznacza to, że każdy audytor musi być administratorem systemów, inżynierem bezpieczeństwa albo specjalistą SOC. Oznacza natomiast, że powinien posiadać kompetencje pozwalające ocenić, czy dowód cyfrowy jest wiarygodny, kompletny, aktualny i właściwy dla danego kryterium audytu.
Audytor powinien umieć ocenić między innymi:
- kiedy zrzut ekranu jest wystarczającym dowodem, a kiedy nie;
- kiedy wymagany jest eksport z systemu;
- kiedy konieczna jest weryfikacja konfiguracji;
- kiedy należy przeanalizować logi;
- kiedy potrzebne jest potwierdzenie działania procesu w systemie;
- kiedy konieczne jest wsparcie eksperta technicznego;
- jak zabezpieczyć informacje uzyskane podczas audytu zdalnego.
W konsekwencji matryce kompetencji audytorów powinny zostać zaktualizowane o kompetencje dotyczące audytów zdalnych, narzędzi cyfrowych, dowodów elektronicznych i bezpieczeństwa informacji.
ISO 19011:2018 a ISO 19011:2026 – najważniejsze różnice
| Obszar | ISO 19011:2018 | ISO 19011:2026 | Znaczenie praktyczne |
|---|---|---|---|
| Audyt zdalny | Obecny, ale mniej rozwinięty | Wyraźnie rozszerzony i powiązany z ISO/IEC TS 17012 | Audyt zdalny należy planować jako pełnoprawną metodę audytu |
| Lokalizacje wirtualne | Rozpoznane w normie | Mocniej zaakcentowane w zakresie audytu i metodach zdalnych | Należy uwzględniać chmurę, systemy online i środowiska cyfrowe |
| Program audytów | Oparty na celach, ryzyku i zasobach | Silniej powiązany z metodą audytu, ryzykiem ICT i dostępnością dowodów | Program audytów powinien obejmować ocenę ryzyk metod zdalnych |
| Bezpieczeństwo informacji | Obecne jako zasada poufności | Mocniej powiązane z audytem zdalnym i narzędziami cyfrowymi | Trzeba doprecyzować zasady ochrony informacji i dowodów audytowych |
| Kompetencje audytora | Kompetencje ogólne i branżowe | Większy nacisk na technologie, ICT i narzędzia cyfrowe | Należy zaktualizować matryce kompetencji audytorów |
| Dowody audytowe | Dowody powinny być weryfikowalne | W praktyce większe znaczenie dowodów cyfrowych | Potrzebne są zasady oceny, pobierania i ochrony dowodów elektronicznych |
Co powinna zrobić organizacja?
Organizacja powinna potraktować ISO 19011:2026 jako impuls do przeglądu własnego procesu audytowego. Nie zawsze będzie konieczne opracowanie całej dokumentacji od nowa. W wielu przypadkach wystarczy aktualizacja procedury audytu wewnętrznego, programu audytów, planu audytu, formularzy oraz matrycy kompetencji audytorów.
1. Zaktualizować procedurę audytu wewnętrznego
Procedura powinna określać zasady wyboru metody audytu, w tym warunki prowadzenia audytu zdalnego, audytu na miejscu oraz audytu hybrydowego.
Warto dodać zapisy dotyczące:
- oceny zasadności audytu zdalnego,
- dokumentowania wybranej metody,
- zasad korzystania z narzędzi komunikacyjnych,
- zasad ochrony informacji,
- postępowania z dowodami cyfrowymi,
- reagowania na ograniczenia techniczne.
2. Zaktualizować program audytów
Program audytów powinien uwzględniać ryzyka związane z:
- metodą audytu,
- dostępnością dowodów,
- dostępnością osób audytowanych,
- bezpieczeństwem informacji,
- narzędziami ICT,
- lokalizacjami wirtualnymi,
- kompetencjami audytorów,
- zależnością od dostawców zewnętrznych.
Program audytów powinien również wskazywać, które audyty mogą być prowadzone zdalnie, które wymagają obecności na miejscu, a które powinny być prowadzone w formule mieszanej.
3. Zaktualizować plan audytu
Plan audytu powinien określać:
- cel audytu,
- zakres audytu,
- kryteria audytu,
- metodę audytu,
- narzędzia komunikacyjne,
- osoby uczestniczące,
- wymagane dokumenty i zapisy,
- sposób udostępniania informacji,
- zasady poufności,
- sposób postępowania z dowodami audytowymi.
W przypadku audytu zdalnego plan powinien jednoznacznie określać, które czynności będą prowadzone zdalnie oraz jakie dowody będą udostępniane elektronicznie.
4. Zaktualizować listy kontrolne
Listy kontrolne powinny obejmować pytania dotyczące:
- systemów chmurowych,
- pracy zdalnej,
- elektronicznych zapisów,
- dostępów zdalnych,
- dostawców usług cyfrowych,
- środowisk wirtualnych,
- repozytoriów elektronicznych,
- logów,
- eksportów z systemów,
- dowodów cyfrowych.
Dzięki temu audyt będzie obejmował rzeczywiste środowisko działania organizacji, a nie tylko formalną dokumentację.
5. Zaktualizować matrycę kompetencji audytorów
Matryca kompetencji powinna obejmować nie tylko znajomość normy i technik audytowych, lecz także zdolność pracy w środowisku cyfrowym.
W szczególności warto uwzględnić kompetencje dotyczące:
- prowadzenia audytów zdalnych,
- korzystania z narzędzi komunikacyjnych,
- oceny dowodów cyfrowych,
- ochrony informacji audytowych,
- rozumienia ryzyk ICT,
- oceny lokalizacji wirtualnych,
- współpracy z ekspertami technicznymi.
6. Określić zasady ochrony dowodów audytowych
Organizacja powinna określić, jakie dowody mogą być kopiowane, gdzie są przechowywane, kto ma do nich dostęp, jak długo są przechowywane i kiedy są usuwane.
Dotyczy to w szczególności:
- dokumentów elektronicznych,
- zrzutów ekranu,
- nagrań,
- eksportów z systemów,
- logów,
- raportów technicznych,
- informacji przekazywanych przez dostawców,
- danych osobowych,
- informacji poufnych.
Znaczenie dla ISO/IEC 27001, ISO 22301 i innych systemów zarządzania
Zmiany w ISO 19011:2026 mają szczególne znaczenie dla organizacji posiadających lub wdrażających:
- system zarządzania bezpieczeństwem informacji według ISO/IEC 27001,
- system zarządzania ciągłością działania według ISO 22301,
- system zarządzania jakością według ISO 9001,
- system zarządzania usługami IT,
- systemy zgodności regulacyjnej,
- programy audytów dostawców,
- procesy oceny cyberbezpieczeństwa.
W tych obszarach coraz więcej dowodów audytowych występuje wyłącznie w formie elektronicznej. Audytor musi więc ocenić nie tylko dokument, lecz także rzeczywiste działanie procesu w systemie, aplikacji, repozytorium, panelu administracyjnym, logach lub narzędziach raportowych.
Przy audytach bezpieczeństwa informacji i ciągłości działania szczególnego znaczenia nabierają:
- dostępność i integralność dowodów,
- ochrona informacji poufnych,
- wiarygodność zapisów systemowych,
- możliwość potwierdzenia działania kontroli,
- ocena dostawców usług cyfrowych,
- ciągłość dostępu do systemów i danych,
- bezpieczeństwo komunikacji zdalnej.
Co się nie zmieniło?
Nie zmienił się fundament normy. ISO 19011 nadal opiera audytowanie na podstawowych zasadach:
- rzetelności,
- uczciwego przedstawiania wyników,
- należytej staranności zawodowej,
- poufności,
- niezależności,
- podejścia opartego na dowodach,
- podejścia opartego na ryzyku.
Nadal chodzi o to, aby audyt dostarczał wiarygodnych informacji, na podstawie których organizacja może podejmować decyzje i doskonalić system zarządzania.
Zmieniło się natomiast środowisko audytu. Audytor coraz częściej pracuje nie tylko z dokumentem papierowym, ale również z systemem, repozytorium, logiem, panelem dostawcy, platformą zdalną i dowodem cyfrowym.
