B.3.1. Introducere la esantionarea in audit
Auditorii sistemelor de management trebuie sa fie capabili sa ajunga la concluzii valide privind sisteme extinse. In orice caz, este adesea imposibil sau prea costisitor sa se studieze fiecare element in parte intr-un astfel de sistem. Ar putea sa existe pur si simplu prea multe elemente de examinat sau acestea ar putea fi raspandite de-a lungul unei zone geografice foarte intinse. Rezultatul este ca auditorii trebuie sa lucreze cu esantioane mai reduse.
Un esantion este o submultime apartinand unei populatii mai mari. Un esantion de audit este o multime de date care reprezinta mai putin de 100% din elementele unei populatii. Auditorii studiaza esantioane mici pentru a obtine dovezi despre unele caracteristici ale unei populatii mult mai mari. Atunci cand acest lucru este facut in mod corespunzator, el le permite sa ajunga la concluzii valide despre intreaga populatie si sa isi atinga, de asemenea, obiectivele auditului fara a trebui sa examineze fiecare element in parte.
Deigur, atunci cand se lucreaza cu esantioane, exista intotdeauna riscul ca esantionul sa nu reprezinte in mod precis populatia luata ca intreg. Cand acest lucru se intampla, concluziile care se bazeaza pe astfel de esantioane ar putea fi partinitoare, iar partinirea este un aspect de evitat in audituri. In plus, exista si riscul ca un esantion sa poata contine informatii inexacte sau insuficiente. Desigur, concluziile care se bazeaza pe esantioane defectuoase vor si ele defectuoase la randul lor.
Pentru a va ajuta sa va asigurati ca ajungeti la concluzii valide in urma auditului, procesul dvs. de esantionare ar trebui sa includa urmatorii pasi:
1. Elaborati-va un plan de esantionare.
1.1. Stabiliti-va obiectivele privind esantionarea.
1.2. Identificati populatia care va fi esantionata.
1.2.1. Definiti marimea acelei populatii.
1.2.2. Definiti alcatuirea acelei populatii.
1.3. Alegeti o metoda de esantionare.
1.3.1. Alegeti esantionarea bazata pe judecata sau
1.3.2. Alegeti esantionarea statistica.
1.4. Determinati marimea esantionului.
2. Efectuati activitati de esantionare.
2.1. Alegeti-va esantioanele de audit.
2.2. Examinati-va esantioanele de audit.
3. Formulati-va rezultatele si concluziile.
3.1. Redactati-va si evaluati-va rezultatele.
3.2. Documentati-va si raportati-va rezultatele.
Exista cel putin doua metode de a alege un esantion: va puteti baza pe propria judecata sau puteti utiliza esantionarea statistica. Mai jos sunt prezentate aceste doua abordari.
B.3.2. Introducere la esantionarea bazata pe judecata
Esantionarea bazata pe judecata depinde de cunostintele, abilitatile si experienta membrilor echipei de audit. Atunci cand folosesc aceasta abordare, auditorii isi folosesc propria judecata pentru a alege esantioanele de audit.
Cand va hotarati sa folositi sau sa nu folositi esantionarea bazata pe judecata:
1. Luati in considerare daca aveti sau nu experienta in ceea ce priveste auditarea aceluiasi domeniu sau a unuia similar. Daca aveti experienta, esantionarea bazata pe judecata ar putea sa fie un lucru potrivit.
2. Aveti in vedere daca obiectivele si cerintele auditului sunt sau nu atat de complexe incat este rezonabila numai abordarea esationarii bazate pe judecata .
3. Ganditi-va daca procesele sistemului de management si interactiunile proceselor sunt sau nu atat de complexe incat trebuie sa va folositi in special judecata pentru a alege cele mai potrivite elemente pentru examinare.
4. Cercetati daca in trecut au fost identificate domenii-cheie asociate riscurilor sau oportunitati de imbunatatire. Daca acest lucru a fost deja facut, poate fi o alegere buna sa folositi esantionarea bazata pe judecata.
5. Nu pierdeti din vedere tehnologiile, factorii umani sau sistemele de management care pot suferi schimbari foarte rapide. Daca lucrurile se schimba in ritm alert, esantionarea bazata pe judecata ar putea constitui singura dvs. optiune.
6. Nu uitati sa verificati daca nu cumva rezultatele monitorizarii sistemului de management indica zonele care necesita examinare. Daca stiti exact unde sa va uitati, atunci esantionarea bazata pe judecata ar putea fi cea mai buna abordare. Desigur, oricand este folosita judecata pentru a alege esantioanele de audit, nu poate fi folosita o apreciere statistica a incertitudinii pentru a cuantifica gradul de incredere pe care il aveti in constatarile si concluziile auditului pe care l-ati realizat.
B.3.3. Introducere la esantionarea statistica
Esantionarea statistica incepe printr-un plan. Planul dvs. de esantionare statistica ar trebui sa va ajute sa va atingeti obiectivele auditului si ar trebui sa se bazeze pe ceea ce este cunoscut in privinta caracteristicilor care definesc populatia pe care intentionati sa o studiati.
Planul dvs. de esantionare va fi influentat de:
1. Cat de mare este organizatia auditata
2. Cat de mult timp aveti la dispozitie pentru a realiza auditul
3. Cate audituri vor fi realizate in timpul anului
4. Cati auditori competenti aveti in echipa dvs.
5. Cata incredere trebuie sa aveti in rezultatele dvs.
Cata incredere trebuie sa aveti se leaga de cat risc sunteti dispus sa acceptati. De exemplu, unui nivel de incredere de 95% ii corespunde un risc de esantionare de 5%. Un risc de esantionare de 5% inseamna ca sunteti dispusi sa acceptati riscul ca 5 esantioane din 100 sa nu reprezinte in mod precis intreaga populatie. Un risc acceptabil de esantionare de 5% inseamna ca aveti un nivel acceptabil de incredere de 95%.
Planul dvs. de esantionare ar trebui sa descrie si tehnicile de esantionare pe care planuiti sa le folositi. ISO 19011 mentioneaza doua tehnici de esantionare statistica: esantionarea bazata pe atribute si esantionarea bazata pe variabile. Esantionarea bazata pe atribute este folosita cand exista doua posibile rezultate (atribute) pentru fiecare esantion: da/nu, admis/respins, corect/incorect, prezenta/absenta, conformitate/neconformitate etc. Esantionarea bazata pe variabile este folosita atunci cand rezultatele apar de-a lungul unui interval de valori.
De pilda, daca obiectivul auditului dvs. este de a determina daca se urmeaza sau nu o anumita procedura, esantionarea bazata pe atribute ar putea fi folosita deoarece pot exista doua rezultate distincte: se urmeaza procedura sau nu se urmeaza procedura. Pe de alta parte, daca obiectivul auditului dvs. este de a vedea cate incidente legate de siguranta ori cate brese de securitate au avut loc, o abordare bazata pe variabile ar fi, probabil, mai indicata. Totul depinde de obiectivele pe care le-ati stabilit pentru auditul dvs.
Daca va hotarati sa folositi esantionarea statistica, ar trebui sa va documentati activitatile pe care le intreprindeti. Acest lucru inseamna ca ar trebui:
1. Sa descrieti populatia care a fost esantionata.
2. Sa descrieti criteriile utilizate pentru a defini un esantion acceptabil.
3. Sa descrieti esantioanele si sa specificati numarul de esantioane pe care le-ati examinat.
4. Sa descrieti metodele statistice si parametrii pe care i-ati folosit.
5. Sa descrieti rezultatele pe care le-ati obtinut.