Обращаю внимание, что еще до начала проверки, владельцам риска, указанным в Плане аудита, рассылаются уведомления о проведении в отношении вверенных им объектов аудита контрольных процедур. При этом на такое уведомление владельцы риска должны дать ответ, в котором сообщают о готовности принять аудитора и о назначении лиц, ответственных за предоставление запрашиваемых аудитором документов и взаимодействие с ним по ходу всей проверки. Данные сведения переносятся в План проверки.
Стандартной формы уведомления не существует. Компания разрабатывает ее самостоятельно. Такое уведомление должно содержать:
– основание проведения проверки;
– сроки ее проведения;
– примерный перечень запрашиваемых документов;
– кандидатуры лиц, ответственных за взаимодействие с аудитором (конечных исполнителей владелец риска назначает самостоятельно).
Такое уведомление можно составить на основании имеющегося Плана аудита или Программы проверки, если она, к тому времени, уже готова.
Чек-лист или опрос-лист представляет собой анкету, на которую анкетируемые лица дают ответы. Аудиторы ориентируются на них для формирования выводов по проверке и выражения профессионального суждения.
Чтобы получить нужные ответы, необходимо задавать нужные вопросы. Здесь как раз пора вспомнить о тех вопросах, которые мы задаем сами себе при формировании перечня аудиторских процедур для подготовки Программы проверки. Поэтому разумно такие вопросы оформлять письменно и на их основании готовить опрос-листы с вариантами ответов. Опрос-листы рассылаются владельцам риска, как правило, перед началом проверки. Не редки случаи, когда чек-лист направляется владельцу риска уже во время самой проверки. Это может произойти, например, в целях получения дополнительных разъяснений, в связи с вновь открывшимися обстоятельствами.
Данные процедуры вполне допустимы и широко применяются на практике.
На данном этапе анализируются запрошенные ранее документы, сведения и иная информация. Происходит интервьюирование ответственных лиц. Проводится сбор аудиторских доказательств.
Может осуществляться повторное направление чек-листов, в связи с новыми обстоятельствами, выявленными в ходе проверки. Аудитор должен подобрать максимум документов, подтверждающих его дальнейшие выводы.
В ходе этапа сбора доказательств реализуется Принцип документированности, который означает, что каждый выявленный факт нарушения или замечание должны подтверждаться документами.
Для получения достоверных результатов проверки и сбора доказательств, допустимо применять следующие методики и способы:
– изучение документации;
– сравнительный анализ;
– оценка информации;
– калькулирование и арифметическая проверка данных;
– документальная и фактическая проверка;
– сличение остатков;
– осмотр помещений;
– опрос третьих лиц (свидетелей);
– мониторинг бизнес-процессов на их соответствие регламентам;
– прогнозирование/экстраполяция;
– дедукция и индукция;
– хронологический анализ данных и т. д.
Фактически, применяемых на практике методик и способов получения нужной информации, гораздо больше. С выбором подходящих способов и методик желательно определиться заранее. Для этого можно воспользоваться Программой проверки. Тем более, что соответствующие методики и способы уже частично поименованы в разделе «Аудиторские мероприятия и процедуры».
Как следует по тексту, План проверки играет важную роль в ходе всего аудита. Он может стать источником сведений необходимых для формирования иных документов по проверке, а также помочь определиться с набором действий и приемов, направленных на получение достоверных результатов аудита.
За выбор и эффективное использование этих приемов ответственны аудиторы, участвующие в проверке.
На данном этапе происходит написание Аудиторского отчета и формирование Выводов по каждому выявленному и подробно описанному обстоятельству. Также Отчет должен содержать практические рекомендации по устранению или снижению негативных последствий, выявленных нарушений и замечаний. На этом этапе аудитор реализует принципы:
– открытости обнаруженной информации, путем оформления и предоставления владельцам компании аудиторского отчета;
– независимости внутреннего аудита, подразумевающий, что выводы сформулированы без давления со стороны проверяемых лиц и без материального или иного интереса со стороны самих аудиторов. Аудитор беспристрастен и независим. Причем этому принципу аудитор должен следовать на всех этапах проверки, а не только на третьем.
– предупредительности, согласно которому аудитор должен предложить конкретные способы и методы устранения выявленных нарушений, дать полезные Рекомендации.
Как правило, уже по итогам проведенной проверки, но еще до окончательной сшивки финального Аудиторского Отчета, черновой вариант Отчета в электронном виде направляется на согласование владельцам риска (лицам ответственным за проверенный участок: бизнес-процесс, строки управленческой отчетности и пр.), либо руководителям отделов второй Линии защиты. Черновой вариант Отчета состоит из двух основных частей:
1. Текст отчета, включающий в себя, обзор нарушений и замечаний, оцифровку рисков, Выводы и Рекомендации по устранению рисков;
2. Приложения к Отчету в виде документов, их копий, подтверждающих текст самого отчета.
Вместе с черновым вариантом Отчета владельцам рисков направляется форма для предоставления пояснений, в случае не согласия с описанными в Отчете обстоятельствами и выводами аудиторов. Пояснения даются в письменном виде за подписью владельца риска, либо в электронном формате, направленного с почтового ящика данного лица. Данные пояснения подшиваются к финальному отчету.
После этого, финальный отчет проходит Контроль Качества. Проводит его руководитель или соответствующая должность в структуре департамента (отдела) внутреннего аудита. Цель данной процедуры – определение степени эффективности работы аудиторов, соблюдение Положения по аудиту и четкое следование Программе проверки.
По результатам прохождения Контроля Качества отчета, аудитор готовит Краткую справку по выявленным нарушениям. Данный документ вместе с финальным Отчетом предоставляется членам Комитета по аудиту (собственникам компании) и, если это допустимо, по мнению, учредителей и акционеров, то и членам Совета директоров.
В справке в обязательном порядке должны содержаться следующие сведения:
– наименование организации;
– аудируемый объект;
– тема аудиторской проверки (цель аудита);
– период проверки;
– срок проверки;
– должностные лица ответственные за аудируемый объект (бизнес-процесс или показатели управленческой отчетности). Это, как правило, менеджеры высшего звена (руководители отделов, департаментов), директора;
– аудитор или команда аудиторов, участвовавших в проверке по вверенным участкам;
– краткое описание нарушения (замечания, недочета): несоответствие бизнес-процесса регламентам или расхождения показателей управленческой отчетности, иные факты;
– оцифровка риска по фактически выявленным обстоятельствам, в рамках выборки, включающей в себя: период выборки, существенность выборки, иные показатели выборки;
– оцифровка риска с допущением о наличии такой ошибки, в течение всего проверяемого периода, рассчитанная с применением метода экстраполяции;
– оценка степени бизнес-риска (низкая, средняя, высокая) – определяется аудитором самостоятельно, согласно его профессиональному суждению (ориентироваться можно на Карту рисков, составленную до начала проверки).
Также в Справке должны содержаться краткие Выводы по выявленным нарушениям и Рекомендации по их устранению.
Для лучшего зрительного восприятия, данная Справка может быть оформлена в виде таблицы.
Ниже приведенных в Справке сведений, следует перечислить приложения к Отчету:
– чек-листы (опросные анкеты);
– пояснения должностных лиц, ответственных за объект аудита;
– документы подтверждающие, выводы аудитора.
– иные сведения на усмотрение аудитора.
Из личного опыта могу сказать, что прикладывать их к Справке не обязательно, так как вся необходимая информация (детали и нюансы проверки) содержатся в финальном аудиторском Отчете, к которому можно всегда обратиться.