În CISA Review Manual 2010, subiectul eşantionării este destul de puţin tratat. Există o explicaţie: pentru validare se cere experienţă în audit şi dacă ai această experienţă se presupune că deja ştii despre ce e vorba.

În munca unui CISA sînt cîteva aspecte ce induc disconfort în momentul în care auditul realizat va fi suportul unui audit financiar sau atunci cînd trebuie să realizeze teste de fond. Aceasta deoarece nu trebuie omis pragul de semnificaţie/materialitatea. În acest caz trebuie folosită eşantionarea ca instrument în evaluarea riscului auditării.

Clasic, riscul auditării este produsul a trei tipuri de risc: inerent, control şi detecţie. Acest din urmă risc aparţine auditorului şi înseamnă că poate folosi o procedură de testare incorectă şi astfel să ajungă la concluzia că nu există erori materiale/semnificative cînd de fapt acestea există. Asociate riscului detecţiei sînt alte două tipuri de risc: riscul eşantionării şi riscul non-eşantionării (altfel spus, dacă se decide să nu se folosească instrumentul statistic trebuie asumate anumite riscuri). Riscul eşantionării trebuie calculat de auditor atunci cînd decide realizarea testelor: testarea conformităţii (eşantionarea atributelor) sau testarea integrităţii/de fond (în acest ultim caz se va folosi eşantionarea variabilelor).

Riscul auditării este invers proporţional cu ceea ce statistica defineşte “grad de încredere”. Acest risc, după cum spuneam, îl priveşte strict pe auditor şi necesită luarea în calcul a alte două riscuri cînd se exprimă opinia, pornind de la materialitate/pragul de semnificaţie. În primul rind, faptul că pot să apară erori materiale/semnificative şi în al doilea rînd faptul că erorile materiale/semnificative nu vor fi detectate de către auditor  în timpul reviziei pentru că nu foloseşte proceduri de audit.

Auditorul îşi spijină opinia pe sistemul de control intern atunci cînd doreşte să reducă primul risc amintit, şi pe testare/proceduri de audit în cazul celui de al doilea risc. Eşantionarea se foloseşte pentru identificarea riscului detecţiei, element component al riscului de audit. Aceasta nu este o cerinţă mandatară a standardelor. Dar dacă nu se foloseşte eşantionarea, trebuie identificat riscul non-eşantionării atunci cînd se va calcula riscul detecţiei.

Riscul auditării nu trebuie confundat cu riscul eşantionării! Riscul auditării înseamnă că procedurile folosite de auditor au şanse să nu identifice erori. Toată lumea recomandă folosirea instrumentului statistic în evaluarea riscului detecţiei. Pe lîngă judecata profesională….

Riscul eşantionării se referă la posibilitatea selectări unui eşantion care să nu fie reprezentativ pentru populaţia verificată. Altfel spus, eşantionul poate la rîndul său să conţină erori materiale sau devieri de la conformitate.

Cînd se testează controalele (caz în care discutăm despre eşantionarea atributelor) scopul auditorului este să determine frecvenţa apariţiei erorilor. Ne confruntăm cu două situaţii legate de riscul eşantionării: riscul evaluării controlului la un nivel prea mic (riscul evaluării riscului controlului pe baza unui eşantion mai mic decît ar fi nevoie pentru verificarea eficacităţii controlului) respectiv riscul evaluării riscului controlului la un nivel prea mare (riscul evaluării riscului controlului pe baza unui eşantion mai mare decît ar fi nevoie pentru verificarea eficacităţii controlului).

Riscul eşantionării poate fi controlat doar prin identificarea eşantionului reprezentativ!

Acum să exemplific pe o populaţie: 10000 de înregistrări tip Change Request (eu folosesc IDEA…dar la fel de bine merge şi cu Excelul sau scule mai puţin sofisticate). Presupun că nu facem stratificare pentru a uşura exemplul. Pentru o rată a erorii acceptată de 5%, calculînd o rată a abaterii de 3%, un eşantion de 100 unităţi este considerat bun la un număr de 250 de erori. În exact aceleaşi condiţii, dar dacă voi identifica o rată a abaterii de 8% eşantionul meu nu va mai fi reprezentativ.

Să presupunem că trebuie să testez controalele asociate procesului Change. În acest sens voi realiza două tipuri de teste: asupra conformităţii cotroalelor implementate cu cerinţele best practices agreate de management; asupra integrităţi procesului. În acest al doilea caz trebuie să obţin probe cu privire la integritatea şi consistenţa procesului.

Să presupunem că organizaţia  are 1000 de Change Request pe un interval de 1 an (folosesc numere „rotunde” şi mici pentru a uşura exemplul). Cîte cereri trebuie să revizuiesc pentru a fi sigur că acestea sînt conformne cu procedura agreată, dacă doresc un grad de încredere de 95% în testul meu? Ce marjă de eroare sînt dispus să accept? (cu cît va fi mai mică marja de eroare cu atît mai mare va fi dimensiunea eşantionului).

Pentru uşurinţa exemplului voi accepta o rată de eroare pentru eşantion de 10%. În această ipoteză va rezulta că trebuie să verific 90 de Cereri. Pe care le reizuiesc? Mă voi ajuta de un generator de numere aleatoare.