dnes je 21.11.2024

Input:

Systematika provádění auditů

20.12.2021, , Zdroj: Verlag Dashöfer

2.2.123.31
Systematika provádění auditů

Ing. Pavla Blackmore

V posledním dílu k normě ISO 19011 se budeme zaměřovat na některé důležité části v systematice provádění auditů.

Provedení přezkoumání dokumentů

Auditoři při provádění přezkoumání dokumentů zvažují několik záležitostí a těmi jsou:

Zda jsou informace v dokumentech úplné – tedy zda je v dokumentech celý obsah a zda jsou informace:

  1. Správné – zda se obsah shoduje s dalšími spolehlivými zdroji, např. normy, předpisy – tedy ověřují, srovnávají tyto informace mezi sebou,
  2. Konzistentní – je ten vlastní dokument konzistentní, tedy v souladu a souvisí i s dalšími dokumenty
  3. Aktuální – obsah je aktualizovaný a odpovídá poslednímu stavu záležitostí, věcí, okolností, osob.

Dále auditoři zvažují, zda přezkoumávané dokumenty pokrývají předmět auditu a poskytují dostatečné informace na podporu cílů auditu.

A jako další důležitá záležitost je, kterou je velmi nutné zvažovat, zda použité informační a komunikační technologie, na kterých závisí metody auditu, podporují efektivní provádění auditu. Je požadována věnování pozornosti informační bezpečnosti na aplikaci předpisů v ochraně údajů, zejména pro informace, které jsou mimo předmět auditu, ale které obsahuje dokument.

Kdy provádíme vzorkování při auditu?

Vzorkování při auditu provádíme obvykle tehdy, když není praktické nebo efektivní prověřeních všech dostupných informací v průběhu auditu. V auditované organizaci je k dispozici mnoho záznamů, nebo jsou dokumenty či záznamy příliš rozptýlené pro to, abychom posuzovali každou položku v základním souboru.

Metoda výběru vzorku z velkého souboru je proces výběru menšího množství než 100 % položek z celkového dostupného datového souboru za účelem získání a vyhodnocení údajů o nějaké vlastnosti tak, aby se dal zformulovat závěr, který se poté týká a platí na celý základní soubor.

Cílem výběru vzorku je poskytnout informace, které pro auditora znamenají určitou míru jistoty, že cíle auditu mohou být nebo budou dosažené.

Hlavním rizikem, které je spojené se vzorkováním je, že vzorek nemusí být reprezentativní pro základní soubor, ze kterého byl vybraný. A toto má za následek, že závěr auditora může být zkreslený a odlišný od toho závěru, který by byl dosažený v případě, že by byl zkoumaný celý základní soubor.

Mohou existovat i další rizika v závislosti na variabilitě v rámci základního souboru, ze které byl vzorek vybraný a také v závislosti na zvolené metodě vzorkování. Všechna tato rizika mohou ovlivnit dosažení cílů auditu a také efektivitu auditu.

Výběr vzorku obyčejně zahrnuje:

  • - stanovení cílů plánu odběru vzorků
  • - výběr rozsahu a složení základního souboru, ze kterého bude odebraný vzorek
  • - výběr metody odběru vzorku
  • - stanovení velikosti vzorku
  • - provedení odběru vzorky
  • - sestavení, vyhodnocení, vykazování a dokumentování výsledků.

Při odběru vzorku je velmi doporučené, aby auditor věnoval pozornost kvalitě dostupných údajů. Pokud je odebrání vzorků nedostatečné a nepřesné, údaje nebudou poskytovat vhodné výsledky.

Výběr vhodného vzorku by měl být založený na metodě odběru vzorku a typu požadovaných údajů, například na odvození konkrétních vzorů nakládání nebo na vyvození závěrů v rámci základního souboru.

V praxi je obvykle metoda odběru vzorku a typ údajů stanoven interně – ať již v rámci směrnice či postupu pro auditování v interní organizaci, nebo v propozicích pro externí auditory, jako jejich podpora od auditorské organizace.

A v případě složitější situace se auditor v zácviku obrací na svého kolegu, který jej vede anebo Lead auditor má také možnost konzultovat s vyššími pozicemi v rámci auditorské organizaci.

Podávání zpráv o vybraném vzorku má vzít do úvahy velikost vzorku, metodu výběru, odhady provedené na základě vyhodnocení vzorku a úrovni spolehlivosti závěrů.

Auditoři mohou přijmout rozhodnutí buď na základě výběru vzorku B 5.2. nebo na základě statistického výběru vzorku B.5.3.

Vzorkování na základě rozhodnutí

Vzorkování na základě rozhodnutí se opírá o znalosti, dovednosti a zkušenosti týmu auditorů, viz. Kapitola 7.

Pro vzorkování na základě rozhodnutí auditor zvažuje:

  • - svou předcházející zkušenost v auditování s podobným předmětem auditu,
  • - komplexnost požadavků (včetně zákonných požadavků) na dosažení cílů auditu,
  • - komplexnost a vzájemný vztah procesů organizace a prvků systému managementu,
  • - stupeň změny v technologii, lidského faktoru, nebo systému managementu,
  • - dříve zjištěné klíčové rizikové oblasti a oblasti zlepšování,
  • - výstup z monitorování systému managementu

Nevýhodou pro posuzování vzorkování na základě rozhodnutí je, že se nemůže určit statistický odhad účinku nejistoty, tedy rizika, ve zjištěních auditu a jeho závěrech.

Statistické vzorkování

Pokud je rozhodnuto – ať již auditorskou organizací, klientem auditu nebo auditorem - o použití statistického vzorkování, má plán odběru vzorků vycházet z cílů auditu a z toho co je známé o charakteristikách základního souboru, ze kterého vzorky odebíráme.

Návrh statistického vzorkování používá výběrový proces, který je založený na teorii pravděpodobnosti. Vzorkování založené na vlastnostech – atributech - se používá tehdy, když jsou možné jen dva výsledky – OK/NOK nebo vyhověl/nevyhověl.

Vzorkování založené na proměnných veličinách se používá, pokud se výsledky vyskytují ve spojitém intervalu hodnot.

Plán odběru vzorku by měl vzít v úvahu, zda jsou výsledky vlastnosti nebo proměnné veličiny. Například při posuzování shody výsledků z vyplněných formulářů s požadavky stanovenými v postupu, by se mohl použít přístup vzorkování založený na vlastnostech. Při zkoumání výskytu incidentů, při zkoumání určitého typu bezpečnosti, by mohl být pravděpodobně vhodnější přístup vzorkování založený na proměnných veličinách.

Klíčové prvky, které budou mít vliv na plán vzorkování v rámci auditu:

  • - velikost organizace
  • - počet kompetentních auditorů
  • - frekvence auditů v průběhu roku
  • - čas jednotlivého auditu
  • - jakékoliv externě požadované úrovně spolehlivosti

Při tvorbě plánu statistického vzorkování je důležitým faktorem úroveň výběrového rizika, které auditor bude ochotný akceptovat. To je často označované jako přijatelná úroveň spolehlivosti. Například výběrové riziko 5 % odpovídá přijatelné úrovni spolehlivosti 95 %. Výběrové riziko 5 % znamená, že je auditor ochotný přijmout riziko, že 5 ze 100 /nebo 1 z 20/ jednotek vzorků nebude odrážet skutečné hodnoty, které by se mohly pozorovat v případě, že by se zkoumal celý základní soubor.

Při použití statistického vzorkování by auditoři měli vhodně dokumentovat vykonanou práci. Dokument by měl obsahovat opis základního souboru, ze kterého se odebral vzorek, výběrová kritéria použitá na hodnocení (např. na to, co je přijatelný vzorek), statistické parametry a metody, které se použili, počet jednotek vyhodnocované vzorky a získané výsledky.

Za mou auditorskou praxi mohu uvést, že v naprosté většině se vzorkuje na základě rozhodnutí a se statistickým vzorkováním jsem se při velkém množství auditů zatím reálně nesetkala.

Příprava pracovních dokumentů

Při přípravě pracovních dokumentů má auditorský tým zvážit pro každý dokument následující otázky.

  1. Které záznamy z auditu se mají vytvořit pomocí pracovního dokumentu?
  2. Kterou činnost auditu ovlivní tento pracovní dokument?
  3. Kdo bude uživatelem pracovního dokumentu?
  4. Které informace jsou potřebné pro přípravu pracovního dokumentu?

Pro kombinované audity se mají pracovní dokumenty vytvořit tak, aby se zabránilo duplicitě činností auditu pomocí:

  • - seskupení podobných požadavků různých kritérií;
  • - pomocí koordinace obsahu souvisejících kontrolních seznamů a dotazníků.

Pracovní dokumenty mají být přiměřené na určení všech elementů systému managementu v souladu s předmětem auditu a mohou být na jakémkoliv médiu.

Výběr zdrojů

Nahrávám...
Nahrávám...