Частина 2: чи правильний вибір дистанційний аудит? Оцінка ризику.

Це друга частина серії статей із семи частин:

• Частина 1 - Як проводити дистанційні аудити
• Частина 2 – Оцінка ризику
• Частина 3 – Метод аудиту
• Частина 4 - Технологія
• Частина 5 - Підготовка
• Частина 6 – Поради щодо проведення дистанційних аудитів
• Частина 7 - Аудит закриття невідповідностей

Компанії покладаються на аудит своїх ділових партнерів, щоб забезпечити впевненість у відповідності стандартам. Коли аудит упускає важливі аспекти або іншим чином стає нерезультативним, це створює ризик для всіх учасників.

З цієї причини, перш ніж планувати дистанційний аудит, аудитори та органи сертифікації повинні оцінити, чи відповідає дистанційний аудит призначеній цілі. Деякі з критеріїв цієї оцінки ризику:

• Цілісність процесу аудиту
• Результативність аудиту в досягненні цілей аудиту
• Можливість використання ІКТ
• Ризики об'єктивності та валідації зібраної інформації
• Інформаційна безпека для всіх учасників аудиту
• Можливість використання обраної технології (аудитори та замовники)
• Сучасні та стабільні ІКТ, з компетентними людьми
• Гарна пропускна здатність для передачі даних і надійне живлення
• Безперебійний і висока якість звуку/зображення

Щоб вирішити, чи можна провести аудит дистанційно (частково чи повністю), DQS використовує такі критерії:

• Наявність необхідної інфраструктури для підтримки використання запропонованих ІКТ (наприклад, безпека даних, цілісність даних, медіа-обладнання, пропускна здатність тощо)
• Систематичне впровадження системи менеджменту, де записи, дані тощо можна переглядати в будь-якому місці, незалежно від фізичного розташування
• Складність структурної одиниці (наприклад, невеликий офіс продажу буде мати менший ризик, ніж великий виробничий майданчик)
• Знайомство аудитора із системою менеджменту замовника, процедурами та засобами.

Дистанційного аудиту слід уникати в таких випадках:

• Первинний аудит: аудитор повинен бути ознайомлений з командою управління та інфраструктурою замовника.
• Клієнти з історією критичних відхилень на об’єкті, що оцінюється.
• Істотні зміни в управлінні або відповідальності за процес для відповідних процесів
• Будь-яке порушення правил акредитації або законодавчих і нормативних вимог
• Якщо існують проблеми з безпекою, наприклад, заборонені зони або секретні документи
• Конфлікти між постачальником і клієнтом: дистанційне спілкування складніше, ніж спілкування обличчям до обличчя. Отже, якщо між постачальником і клієнтом виникає конфлікт, дистанційні аудити в кращому випадку можуть бути нерезультативними, а в гіршому – сприяти подальшим непорозумінням.

Чи був результат вашої оцінки ризику позитивним? Чудово – дізнайтеся більше про різні методи аудиту в третій частині.