В аудиторской группе периодически проводят обмен информацией, оценивают ход аудита и, при необходимости, перераспределяют обязанности между членами аудиторской группы.
Во время аудита руководитель аудиторской группы должен периодически обмениваться информацией о ходе аудита и всех связанных с этим вопросах с проверяемой организацией и заказчиком аудита. Свидетельство, полученное во время аудита, относительно предполагаемого непосредственного и существенного риска (например, связанного с безопасностью, охраной окружающей среды или качеством) должно быть без задержки доведено до сведения проверяемой организации и, если необходимо, заказчика аудита. Информация, выходящая за пределы области аудита, должна также приниматься во внимание и доводиться до сведения руководителя аудиторской группы, чтобы осуществить обмен информацией с проверяемой организацией и заказчиком аудита. Если свидетельство аудита указывает на невыполнимость целей аудита, руководитель аудиторской группы должен доложить проверяемой организации и заказчику о причинах принятия соответствующих мер, включающих корректировку и переутверждение плана аудита, изменение целей или области аудита, или прекращение аудита.
Любые изменения области аудита, которые могут быть заметными в ходе выполнения аудита, следует анализировать и утверждать должным образом.
Роль и обязанности сопровождающих лиц и наблюдателей
Сопровождающие лица и наблюдатели не являются аудиторами, поэтому они не должны оказывать влияния на проведение аудита или вмешиваться в проведение аудита.
Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе, действовать по просьбе руководителя аудиторской группы и выполнять следующие обязанности:
а) обеспечение контактов и назначение времени для бесед;
б) обеспечение посещений определенных мест производственной площадки или организации;
в) обеспечение того, чтобы правила и процедуры по безопасности были известны и соблюдались членами аудиторской группы;
г) исполнение роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации;
д) предоставление разъяснений или оказание помощи при сборе информации.
Сбор и верификация информации
Во время аудита информация, относящаяся к целям аудита, области и критериям аудита, включая информацию, касающуюся взаимодействия между подразделениями, деятельности и процессов, должна быть собрана путем необходимых выборок и верифицирована. Свидетельством аудита может быть только информация, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы.
Свидетельство аудита основано на выборках подходящих данных. Поэтому имеется элемент неопределенности при проведении аудита, и выводы аудита должны учитывать эту неопределенность.
Методы сбора информации включают:
- опросы;
- наблюдения за деятельностью;
- анализ документов.
Формирование выводов аудита
Для получения выводов аудита свидетельства аудита должны быть сопоставлены с критериями аудита. Выводы аудита указывают на соответствие или несоответствие критериям аудита. Если это определено целями аудита, выводы аудита могут определять возможности для улучшения.
Аудиторская группа, при необходимости, должна собираться для анализа выводов аудита на определенных этапах во время аудита.
Соответствия критериям аудита должны быть обобщены с указанием мест расположения, подразделений или процессов, которые подвергались аудиту. Если это предусмотрено планом аудита, отдельные выводы аудита о соответствии и подтверждающие их свидетельства также должны быть записаны.
Несоответствия и подтверждающие их свидетельства аудита должны быть записаны и классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита. Необходимо устранить разногласия во мнениях по свидетельствам аудита и/или выводам аудита, а неразрешенные проблемы документально оформить.
Подготовка заключения по результатам аудита
Аудиторская группа до заключительного совещания должна выполнить следующее:
а) рассмотреть выводы аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;
б) согласовать заключения по результатам аудита с учетом неопределенности, присущей процессу аудита;
в) подготовить рекомендации, если это предусмотрено целями аудита;
г) обсудить действия по результатам аудита, если это входит в план аудита.
Проведение заключительного совещания
Цель заключительного совещания, председателем которого является руководитель аудиторской группы, — представить выводы и заключения по аудиту таким образом, чтобы они были признаны проверяемой организацией, и, при необходимости, были согласованы сроки предоставления плана корректирующих и предупреждающих действий. Участники заключительного совещания должны представлять проверяемую организацию, заказчика аудита и другие стороны. Если это необходимо, руководитель аудиторской группы должен изложить свое мнение проверяемой организации относительно сложившихся во время аудита ситуаций, которые могут уменьшить доверие к заключениям по результатам аудита.
Во многих случаях, например, при внутреннем аудите малого предприятия на заключительном совещании просто сообщаются выводы и заключение по результатам аудита.
В других ситуациях при аудите совещание должно быть официальным с ведением протокола и списка присутствующих.
Любые разногласия по выводам и/или заключению по результатам аудита между аудиторской группой и проверяемой организацией должны быть обсуждены и, по возможности, разрешены. Если нет единого мнения, то это должно быть зарегистрировано.
Если это предусмотрено целями аудита, то должны быть представлены рекомендации по улучшению с указанием, что они не носят обязательного характера.
Шаг 5 Подготовка, утверждение и рассылка отчета (акта) по аудиту
Подготовка отчета (акта) по аудиту
Руководитель аудиторской группы отвечает за подготовку и содержание отчета (акта) по аудиту.
Отчет (акт) по аудиту должен содержать полные, точные, сжатые и понятные записи по аудиту и должен включать ответы на следующие вопросы:
а) цели аудита;
б) область аудита, в частности, идентификация проверенных организационных и функциональных подразделений или процессов и охватываемый период времени;
в) идентификация заказчика аудита;
г) идентификация руководителя и членов аудиторской группы;
д) даты и места проведения аудита на месте;
е) критерии аудита;
ж) выводы аудита;
и) заключения по результатам аудита.
При необходимости в отчет (акт) по аудиту должны быть включены:
к) план аудита;
л) список представителей проверяемой организации;
м) итоги проведения аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключения по результатам аудита;
н) подтверждение достижения целей аудита в пределах области аудита в соответствии с планом аудита;
о) области, не охваченные аудитом, но находящиеся в области аудита;
п) неразрешенные противоречия между аудиторской группой и проверяемой организацией;
р) рекомендации по улучшению, если это предусмотрено целями аудита;
с) согласованный план действий по результатам аудита, при необходимости;
т) заявление о конфиденциальном характере содержимого отчета;
у) перечень рассылки отчета по аудиту.
Утверждение и рассылка отчета (акта) по аудиту
Отчет (акт) по аудиту должен быть подготовлен в согласованные сроки. Если это невозможно, то о причинах задержки необходимо сообщить заказчику аудита и согласовать новый срок его подготовки.
Отчет (акт) по аудиту должен быть датирован, проанализирован и утвержден в соответствии с процедурами программы аудита.
Отчет (акт) по аудиту должен быть разослан получателям, определенным заказчиком аудита.
Отчет (акт) по аудиту является собственностью заказчика аудита. Члены аудиторской группы и все, кто получает отчет (акт) по аудиту, должны соблюдать требования конфиденциальности содержимого отчета (акта).
Шаг 6 Завершение аудита
Аудит считается завершенным, если все процедуры, предусмотренные планом аудита, выполнены, и утвержденный отчет (акт) по аудиту разослан.
Документы, имеющие отношение к аудиту, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита, соглашением между сторонами и в соответствии с действующим законодательством, нормативными требованиями и требованиями контрактов.
Если это не предусмотрено законом, аудиторская группа и ответственные за управление программой аудита не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчетов по аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть проинформированы об этом как можно скорее.[5]
4. Структура и состав службы внутреннего аудита
Структура службы внутреннего аудита во многом зависит от специфики организации, её величины и конкретных целей её администрации и включает в себя совокупность подразделений, укомплектованных персоналом соответствующей квалификации и полномочий, осуществляющих информационное взаимодействие в виде прямых и обратных связей, имеющих соответствующее материально-техническое и информационное обеспечение и подчиняющихся соответствующему исполнительному органу.