审核组织必须建立审核方案目标。审核方案的管理人员应该对审核方案的风险进行识别和评估,ISO19001条款5.3.4中明确了审核中需要进行管理的具体风险,这些风险可能 与下列事项有关:
策划:如未设定适宜的审核目标和未能确定审核方案的范围和程度。
资源:如没有足够的时间制定审核方案或实施审核。
审核组的选择的审核组不具备有效实施审核的整体能力。实施,如没有有交换沟通审核方案;记录及期控制,如未能适宜地保护用于证明审核方案有效性的审核记录。
监视、评审和改进审核方案,如没有有效的监视审核方案的结果。
ISO31000指出,风险管理过程主要包括:环境建设、风险识别、风险分析、风险评估以及风险处理,根据该标准的要求,审核方案管理人员还需要负责对风险进行分析和评估,且必须遵照管理过程步骤或与其他相似的模型实施。