Руководитель проверки информирует руководителей объекта аудита о планируемой проверке, в том числе:

– целях планируемой проверки, объеме и содержании работы;

– участниках рабочей группы и времени на выполнение проверки.

Также руководитель проверки запрашивает у руководителя объекта аудита вводную информацию об объекте аудита с целью:

– получения общего понимания о деятельности объекта аудита;

– определения работников, ответственных за выполнение контрольных процедур и мероприятий по управлению рисками объекта аудита (в том числе ответственных работников подразделения);

– определения общего уровня автоматизации объекта аудита и ИТ-систем, критичных для функционирования объекта;

– анализа рисков и контрольных процедур объекта аудита;

– уточнения программы проверки и определения целей и объема работ.

Перечень информации, запрашиваемый у руководителя объекта аудита, зависит от особенностей и характера проверки.

В рамках планирования проверки руководитель внутреннего аудита определяет, каким образом, когда и кому (далее – уполномоченные представители) будут сообщаться результаты выполнения проверки и информирует об этом решении руководителя объекта аудитаи в той степени, в которой он сочтет нужным.

Цели проверки и оценка рисков при планировании проверки

Для каждой проверки устанавливаются ее цели – утверждения, определяющие, что в результате проверки должно быть достигнуто.

Цели проверки определяются на основании результатов предварительной оценки рисков, относящихся к объекту аудита, и детализируют цели, изначально установленные в рамках планирования деятельности внутреннего аудита на период.

Цели внеплановых проверок определяются до начала проверки и направлены на решение специфических проблем, ставших причиной проверки.

Оценка рисков на стадии планирования проверки используется для следующих целей:

– более точного определения целей проверки и идентификации существенных областей для включения в объем проверки;

– разработки аудиторских процедур и определения их содержания (характера, времени осуществления и объема).

В рамках оценки рисков объекта аудита используются результаты оценки рисков исполнительными органами компании, относящиеся к проверяемому объекту (в том числе, полученные в рамках годового планирования деятельности внутреннего аудита). При использовании результатов такой оценки рекомендуется проанализировать возможность полагаться и использовать такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых руководством для мониторинга и отчетности по рискам и проч.).

Если полученной от исполнительных органов информации о рисках недостаточно/информация не предоставлена – рекомендуется осуществлять анализ рисков для целей внутреннего аудита самостоятельно.

При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.

Для более точного определения объема работ по проверке осуществляется анализ контрольных процедур объекта аудита, в т. ч.: