Audit a jeho fáze podle ISO 19011
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
Norma je určena širokému spektru uživatelů, kteří mají zájem nebo potřebu provádět audity systémů managementu, ať už je důvodem zájem poznat, zjistit a ověřit skutečný stav systému, nebo je k tomu přiměje důsledek plynoucí ze smluvních podmínek nebo je organizace povinným subjektem legislativních nařízení a regulací. Norma je navržena s ohledem na flexibilitu použití a u organizací, které chtějí normu uplatnit, nezáleží na její velikosti, úrovni vyspělosti systému managementu nebo na specifických podmínkách auditované organizace od typu a složitosti specifik až k cílům a předmětu auditu. Norma také zavádí koncepci rizik do auditování systémů managementu. Přijatý přístup se týká rizika, že proces auditu nedosáhne svých cílů a potenciální možnost narušení auditu narušit činnosti a procesy auditované organizace (ISO 19011, 2011, s. 7).
Audit podle (ISO 19011, 2011) závisí na několika zásadách a principech, které z auditu vytvářejí spolehlivý a efektivní nástroj zpětné vazby a kontroly managementu. Umožňuje zlepšování systému na základě cílů politik a nástrojů managementu. Tyto principy vytvářejí předpoklad, že závěry, ke kterým audit dospěje, bude nezávislý a auditoři dospějí k podobným závěrům za předpokladu podobných okolností. Principy, které norma využívá:
▪ Integrita – auditoři pracují poctivě, svědomitě a odpovědně, prokazují kompetenci vykonávat audit a jeho úsudek by neměl být ovlivněn působení jakýchkoliv vlivů. Svůj úkol směřující k cílům auditu, vykonává v souladu s platnou legislativou a všech relevantních regulací.
▪ Spravedlivé prezentování – veškeré zjištění, zprávy a závěry auditu pravdivě a přesně odrážejí činnosti při auditu. Zároveň je nutností informovat o významných překážkách.
▪ Profesionální přístup – auditoři při výkonu svých povinností dbají, aby svěřené úkoly vykonávali s náležitou péčí a v souladu s významem a důležitostí. Veškerá rozhodnutí, ke kterým dospěje, mají být náležitě odůvodněné.
▪ Důvěrnost – auditor si musí být vědom, že informace, se kterými přijde do styku, jsou důvěrné. Tyto informace nesmí zneužít ke svému vlastnímu prospěchu, nebo nesmí důvěrné informace použít jakýmkoliv nevhodným způsobem, a tím způsobil auditované organizaci škodu.
▪ Průkaznost – závěry z auditu by měly být koncipovány na získaných dokumentech, důkazy by měly být ověřitelné. Audit může probíhat během omezeného časového období, a i zdroje během auditu jsou omezené, a proto mohou být využity důkazy založené na vzorcích. To může mít spojitost se spolehlivostí závěrů.
▪ Nezávislost – auditoři by měli být v rámci možností zcela nezávislí na auditované organizaci a zachovat nestrannost a vyloučit střety zájmů. Interní auditoři by měli mít zajištěnou nezávislost na manažerských funkcích, aby byla zachována důvěryhodnost auditu.
V normě ISO 27006 je uvedeno, které činnosti nejsou střetem zájmů, a certifikační orgán tyto činnosti může vykonávat bez narušení střetu zájmu. Jedná se například o provádění činností související se školením a přednáškami, zveřejnění vlastního výkladu požadavků norem, podle kterých provádí certifikaci nebo poskytování informací, které se zaměřují na připravenost před auditem.