Масштабируемость (см. пункт 13)

A16. Характер и объем процедур оценки рисков будет зависеть от характера и обстоятельств организации (например, формализации политики и процедур организации, а также процессов и систем). Аудитор применяет профессиональное суждение для определения характера и объема процедур оценки рисков, выполняемых для соблюдения требований данного стандарта.

A17. Хотя степень формализации политики и процедур организации, а также ее процессов и систем может варьироваться, аудитор в любом случае обязан получить понимание в этом отношении в соответствии с пунктами 19, 21, 22, 24, 25 и 26.

Примеры

Некоторые организации, в том числе менее сложные, и особенно организации, управляемые собственником, могут не иметь установленных структурированных процессов и систем (например, процесса оценки рисков или процесса мониторинга системы внутреннего контроля) либо могут иметь установленные процессы или системы с ограниченной документацией или недостаточной последовательностью использования. Если такие системы и процессы недостаточно формализованы, аудитор все равно сможет выполнить процедуры оценки рисков посредством наблюдения и направления запросов.

Предполагается, что у других, обычно более сложных организаций будет более формализованная и документально оформленная политика и процедуры. Аудитор может использовать такую документацию при выполнении процедур оценки рисков.

A18. Характер и объем процедур оценки рисков, проводимых при выполнении задания в первый раз, могут быть более обширными, чем процедуры при повторном выполнении задания. В последующих периодах аудитор может сосредоточить внимание на изменениях, которые произошли по окончании предыдущего периода.