Обращаю внимание, что еще до начала проверки, владельцам риска, указанным в Плане аудита, рассылаются уведомления о проведении в отношении вверенных им объектов аудита контрольных процедур. При этом на такое уведомление владельцы риска должны дать ответ, в котором сообщают о готовности принять аудитора и о назначении лиц, ответственных за предоставление запрашиваемых аудитором документов и взаимодействие с ним по ходу всей проверки. Данные сведения переносятся в План проверки.

Стандартной формы уведомления не существует. Компания разрабатывает ее самостоятельно. Такое уведомление должно содержать:

– основание проведения проверки;

– сроки ее проведения;

– примерный перечень запрашиваемых документов;

– кандидатуры лиц, ответственных за взаимодействие с аудитором (конечных исполнителей владелец риска назначает самостоятельно).

Такое уведомление можно составить на основании имеющегося Плана аудита или Программы проверки, если она, к тому времени, уже готова.

2.3.1.4. Чек-лист

Чек-лист или опрос-лист представляет собой анкету, на которую анкетируемые лица дают ответы. Аудиторы ориентируются на них для формирования выводов по проверке и выражения профессионального суждения.

Чтобы получить нужные ответы, необходимо задавать нужные вопросы. Здесь как раз пора вспомнить о тех вопросах, которые мы задаем сами себе при формировании перечня аудиторских процедур для подготовки Программы проверки. Поэтому разумно такие вопросы оформлять письменно и на их основании готовить опрос-листы с вариантами ответов. Опрос-листы рассылаются владельцам риска, как правило, перед началом проверки. Не редки случаи, когда чек-лист направляется владельцу риска уже во время самой проверки. Это может произойти, например, в целях получения дополнительных разъяснений, в связи с вновь открывшимися обстоятельствами.

Данные процедуры вполне допустимы и широко применяются на практике.

2.4.1. Второй этап проведения проверки: Сбор аудиторских доказательств

На данном этапе анализируются запрошенные ранее документы, сведения и иная информация. Происходит интервьюирование ответственных лиц. Проводится сбор аудиторских доказательств.

Может осуществляться повторное направление чек-листов, в связи с новыми обстоятельствами, выявленными в ходе проверки. Аудитор должен подобрать максимум документов, подтверждающих его дальнейшие выводы.

В ходе этапа сбора доказательств реализуется Принцип документированности, который означает, что каждый выявленный факт нарушения или замечание должны подтверждаться документами.

Для получения достоверных результатов проверки и сбора доказательств, допустимо применять следующие методики и способы:

– изучение документации;

– сравнительный анализ;

– оценка информации;

– калькулирование и арифметическая проверка данных;

– документальная и фактическая проверка;

– сличение остатков;

– осмотр помещений;

– опрос третьих лиц (свидетелей);

– мониторинг бизнес-процессов на их соответствие регламентам;

– прогнозирование/экстраполяция;

– дедукция и индукция;

– хронологический анализ данных и т. д.

Фактически, применяемых на практике методик и способов получения нужной информации, гораздо больше. С выбором подходящих способов и методик желательно определиться заранее. Для этого можно воспользоваться Программой проверки. Тем более, что соответствующие методики и способы уже частично поименованы в разделе «Аудиторские мероприятия и процедуры».

Как следует по тексту, План проверки играет важную роль в ходе всего аудита. Он может стать источником сведений необходимых для формирования иных документов по проверке, а также помочь определиться с набором действий и приемов, направленных на получение достоверных результатов аудита.

За выбор и эффективное использование этих приемов ответственны аудиторы, участвующие в проверке.

2.4.2. Третий этап проверки: Завершающий

На данном этапе происходит написание Аудиторского отчета и формирование Выводов по каждому выявленному и подробно описанному обстоятельству. Также Отчет должен содержать практические рекомендации по устранению или снижению негативных последствий, выявленных нарушений и замечаний. На этом этапе аудитор реализует принципы:

– открытости обнаруженной информации, путем оформления и предоставления владельцам компании аудиторского отчета;

– независимости внутреннего аудита, подразумевающий, что выводы сформулированы без давления со стороны проверяемых лиц и без материального или иного интереса со стороны самих аудиторов. Аудитор беспристрастен и независим. Причем этому принципу аудитор должен следовать на всех этапах проверки, а не только на третьем.

– предупредительности, согласно которому аудитор должен предложить конкретные способы и методы устранения выявленных нарушений, дать полезные Рекомендации.

Как правило, уже по итогам проведенной проверки, но еще до окончательной сшивки финального Аудиторского Отчета, черновой вариант Отчета в электронном виде направляется на согласование владельцам риска (лицам ответственным за проверенный участок: бизнес-процесс, строки управленческой отчетности и пр.), либо руководителям отделов второй Линии защиты. Черновой вариант Отчета состоит из двух основных частей:

1. Текст отчета, включающий в себя, обзор нарушений и замечаний, оцифровку рисков, Выводы и Рекомендации по устранению рисков;

2. Приложения к Отчету в виде документов, их копий, подтверждающих текст самого отчета.

Вместе с черновым вариантом Отчета владельцам рисков направляется форма для предоставления пояснений, в случае не согласия с описанными в Отчете обстоятельствами и выводами аудиторов. Пояснения даются в письменном виде за подписью владельца риска, либо в электронном формате, направленного с почтового ящика данного лица. Данные пояснения подшиваются к финальному отчету.

После этого, финальный отчет проходит Контроль Качества. Проводит его руководитель или соответствующая должность в структуре департамента (отдела) внутреннего аудита. Цель данной процедуры – определение степени эффективности работы аудиторов, соблюдение Положения по аудиту и четкое следование Программе проверки.

По результатам прохождения Контроля Качества отчета, аудитор готовит Краткую справку по выявленным нарушениям. Данный документ вместе с финальным Отчетом предоставляется членам Комитета по аудиту (собственникам компании) и, если это допустимо, по мнению, учредителей и акционеров, то и членам Совета директоров.

В справке в обязательном порядке должны содержаться следующие сведения:

– наименование организации;

– аудируемый объект;

– тема аудиторской проверки (цель аудита);

– период проверки;

– срок проверки;

– должностные лица ответственные за аудируемый объект (бизнес-процесс или показатели управленческой отчетности). Это, как правило, менеджеры высшего звена (руководители отделов, департаментов), директора;

– аудитор или команда аудиторов, участвовавших в проверке по вверенным участкам;

– краткое описание нарушения (замечания, недочета): несоответствие бизнес-процесса регламентам или расхождения показателей управленческой отчетности, иные факты;

– оцифровка риска по фактически выявленным обстоятельствам, в рамках выборки, включающей в себя: период выборки, существенность выборки, иные показатели выборки;

– оцифровка риска с допущением о наличии такой ошибки, в течение всего проверяемого периода, рассчитанная с применением метода экстраполяции;

– оценка степени бизнес-риска (низкая, средняя, высокая) – определяется аудитором самостоятельно, согласно его профессиональному суждению (ориентироваться можно на Карту рисков, составленную до начала проверки).

Также в Справке должны содержаться краткие Выводы по выявленным нарушениям и Рекомендации по их устранению.

Для лучшего зрительного восприятия, данная Справка может быть оформлена в виде таблицы.

Ниже приведенных в Справке сведений, следует перечислить приложения к Отчету:

– чек-листы (опросные анкеты);

– пояснения должностных лиц, ответственных за объект аудита;

– документы подтверждающие, выводы аудитора.

– иные сведения на усмотрение аудитора.

Из личного опыта могу сказать, что прикладывать их к Справке не обязательно, так как вся необходимая информация (детали и нюансы проверки) содержатся в финальном аудиторском Отчете, к которому можно всегда обратиться.