Atît manualul de audit cît şi alte scrieri din zona standarde/frameworks/best practice descriu estimarea riscurilor ca parte a treburilor pe care ar trebui să le execute un auditor. Doar că există două situaţii practice, diametral opuse.  Şi le discut pentru că atît standardele cît şi frameworkurile sînt dezvoltate pentru a asigura calitatea şi consistenţa misiunilor de audit, indiferent de persoana ce le realizează! Pentru că rolul auditorului este să spună adevărul şi să îşi educe clientul, voi detalia puţin subiectul.

Prima situaţie este cea în care auditoul este resursa internă a unei organizaţii. În acest caz, altfel spus ca „asigurator” al organizaţiei din care face parte, auditorul se poate implica în selectarea standardelor sau metodologiei aplicabile în cazul managementului riscurilor.

Cea de a doua situaţiei este cea în care auditorul este extern. Dacă ţin cont de speţele legale prin care se cere audit la noi în ţară, pot afirma că scopul misiunii este dat chiar de textul actelor normative. Mai departe, auditorul trebuie să îşi stabilească obiectivele de audit. Se continuă apoi cu estimarea riscurilor de audit. Ce înseamnă acest lucru?

Dincolo de formula RA=RI*RC*RD, înseamnă că auditorul trebuie să colecteze suficiente probe care să îi susţină concluziile. Pentru că la carte, tot pe aici se face vorbire de materialitate, spunem că rezultatul unui audit se poate modifica în funcţie de probele obţinute! Această deoarece, auditul preuspune de fapt testare prin sondaj! În acest caz probele trebuie să fie materiale, astfel încît obiectivele să fie atinse! În situaţia în care eşti auditor extern nu te mai poţi implica în procesul de estimare a riscurilor auditatului pentru că îţi vei încălca independenţa! Într-o astfel de misiune, trebuie să evaluezi în ce măsură controalele selectate ca urmare a estimării riscurilor îşi ating obiectivele!

În primul caz discutat poţi fi chiar cel care face estimări ale riscurilor şi selectează controalele! Pentru că te afli în situaţia de „non audit„. Dar nu vei putea audita ceea ce ai recomandat!

” Where the IS auditor has been involved in a nonaudit role in an IS initiative and an audit is subsequently/concurrently performed of that initiative or the related IS function, recommendations and conclusions arising from that audit may be perceived by the recipients as not objective. In this situation, the perception may be that both the independence and the objectivity of the IS auditor have been impaired by the nonaudit involvement” – G17 Effect of Nonaudit Role on the IS Auditors Independence