Читаем Управление рисками, аудит и внутренний контроль полностью

В рамках оценки рисков объекта аудита используются результаты оценки рисков исполнительными органами компании, относящиеся к проверяемому объекту (в том числе, полученные в рамках годового планирования деятельности внутреннего аудита). При использовании результатов такой оценки рекомендуется проанализировать возможность полагаться и использовать такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых руководством для мониторинга и отчетности по рискам и проч.).

Если полученной от исполнительных органов информации о рисках недостаточно/информация не предоставлена – рекомендуется осуществлять анализ рисков для целей внутреннего аудита самостоятельно.

При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.

Для более точного определения объема работ по проверке осуществляется анализ контрольных процедур объекта аудита, в т. ч.:

– оценивается степень покрытия всех выявленных рисков объекта аудита существующими контрольными процедурами;

– оценивается эффективность дизайна контрольных процедур.

При проведении внеплановой проверки детальный анализ контрольных процедур объекта аудита может осуществляться в ходе ее выполнения.

Объем и содержание проверки

Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур. В объем и содержание проверки как минимум включаются:

– критичные риски объекта аудита, не покрытые контрольными процедурами;

– ключевые контрольные процедуры объекта аудита (необходимый и достаточный набор контрольных процедур, который обеспечивает снижение рисков объекта аудита до приемлемого уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);

– операции/виды деятельности, контрольные процедуры, подлежащие проверке согласно запросам исполнительных органов и совета директоров (вне зависимости от уровня риска).

Если объем и содержание проверки охватывают некоторые, но не все ключевые контрольные процедуры (при этом контрольные процедуры также не включены в другие проверки), соответствующие ограничения отражаются в аудиторской документации.

В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур (в том числе алгоритм выполнения аудиторских процедур, метод выборки), которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур (аналитические процедуры и процедуры тестирования).

При разработке аудиторских процедур определяется объем выборки и метод ее формирования В ходе проведения проверки объем выборки может быть уточнен.

Объем трудовых ресурсов, необходимый для достижения целей проверки, определяется исходя из характера и степени сложности каждой проверки, ограничений по срокам и доступных ресурсов.

Проведение проверки

В рамках данного этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки.

Проведение проверки осуществляется в соответствии с утвержденной программой проверки. В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.

Наблюдения по итогам проверки

В ходе выполнения аудиторских процедур формируются наблюдения путем сопоставления текущего состояния объекта аудита («как есть») в части процедур внутреннего контроля и мероприятий по управлению рисками с ожидаемым (целевым) состоянием («как должно быть») с учетом установленных критериев:

– сопоставляются текущее и целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками;

– определяются расхождения целевого и текущего состояния;

– формулируются выводы, которые указывают на соответствие или расхождение целевого и текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками (недостатки);

– выявляются недостатки и нарушения, допущенные в ходе осуществления деятельности объекта аудита.

Рабочая группа проверяет на предмет актуальности и эффективности установленные критерии, которые определяют целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками.

Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств. К аудиторским доказательствам могут относиться: