5.3 Определение и оценка рисков и возможностей для программы аудита
Существуют риски и возможности, связанные со средой проверяемой организации, которые могут быть связаны с программой аудита и влиять на достижение ее целей. Руководителю программы аудита следует определить и представить заказчику аудита риски и возможности, учитываемые при разработке программы аудита и требований к ресурсам, так чтобы на них можно было соответствующим образом отреагировать. Могут существовать риски, связанные:
a) с планированием, например неудачной постановкой соответствующих целей аудита и определением объема, числа, продолжительности, места проведения и графика аудитов;
b) ресурсами, например отведением недостаточного периода времени, нехваткой оборудования и/или недостаточной подготовкой к разработке программы аудита или проведению аудита;
c) выбором аудиторской группы, например недостаточной общей компетентностью для эффективного проведения аудитов;
d) обменом информацией, например неэффективными процессами/каналами внешней/внутренней связи;
e) исполнением программы, например неэффективной координацией аудитов в рамках программы аудита, или недоучетом защиты и конфиденциальности информации;
f) контролем документированной информации, например неэффективным определением необходимой документированной информации, требующейся аудиторам и соответствующим заинтересованным сторонам, ненадежной защитой записей аудита для демонстрации результативности программы;
g) мониторингом, анализом и улучшением программы аудита, например неэффективным мониторингом выходов (результатов) программы аудита;
h) доступностью и сотрудничеством с проверяемой организацией и доступностью свидетельств, которые должны быть отобраны.
Возможности для улучшения программы аудита могут включать:
- возможность проведения комплексного аудита за одно посещение;
- минимизацию времени и расстояний доставки до места (проведения аудита);
- обеспечение соответствия уровня компетентности аудиторской группы с уровнем компетентности, необходимым для достижения целей аудита;
- совмещение дат проведения аудита с наличием на месте основного состава проверяемой организации.