Модель аудита компании включает перечень объектов аудита, например, бизнес-процессы, бизнес-функции, проекты/инициативы компании, подразделения, бизнес-единицы и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.

Перечень объектов аудита корректируется с учетом изменений в деятельности компании (например, появление новых проектов, формирование новых подразделений и т. д.). С этой целью модель аудита пересматривается как минимум один раз в год.

Для целей разработки плана деятельности внутреннего аудита используются результаты оценки рисков компании, проведенной исполнительными органами (службой управления рисками) компании в рамках СУР.

Принимая решение об использовании результатов оценки рисков компании, руководитель внутреннего аудита может, с учетом имеющихся ресурсов, предусмотреть проведение дополнительного анализа возможности полагаться на такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых исполнительными органами компании для мониторинга и отчетности по рискам и проч.).

Если полученной от исполнительных органов компании информации о рисках недостаточно/информация не предоставлена (например, в случае отсутствия формализованных процессов выявления и оценки рисков) – внутренний аудит осуществляет анализ рисков объектов аудита самостоятельно. Подход к выявлению и оценке рисков объектов аудита определяется внутренним аудитом самостоятельно, исходя из особенностей компании.

На основании результатов оценки рисков осуществляется соотнесение выявленных рисков и объектов аудита. Объекты аудита ранжируются по уровню риска. Методики ранжирования и перечень дополнительных факторов, используемых для ранжирования, определяются внутренним аудитом самостоятельно, исходя из специфики компании.

При ранжировании объектов аудита рекомендуется рассмотреть несколько дополнительных факторов, в т. ч.: материальность (существенность влияния на результаты деятельности компании) объекта аудита; численность сотрудников; текучесть руководителей высшего и среднего звена; изменения в деятельности объекта; время, прошедшее с последней проверки; результаты предыдущей проверки данного объекта аудита и проч.

По итогам ранжирования формируются группы объектов аудитов с высоким, средним и низким уровнем риска.

Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита. Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:

– консультирование руководства компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;

– разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);

– осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок