Аудитор має отримати вичерпні роз'яснення від персоналу підприємства про середовище контролю, щоб оцінити ставлення керівництва до порядку внутрішнього контролю і усвідомлення ним його значення для підприємства.
Аудитор мусить знати систему обліку клієнта, що дасть йому змогу зрозуміти основні види операцій підприємства, закономірність виникнення таких операцій; бухгалтерські проводки, первинні документи і специфічні рахунки, на підставі яких складається фінансова звітність; порядок ведення обліку і підготовки фінансових звітів, у тому числі електронно-обчислювальну обробку облікових даних.
Аудитору слід отримати вичерпні пояснення стосовно порядку процедур контролю, щоб правильно спланувати аудиторську перевірку, отримати необхідні знання процедур контролю. Наприклад, під час отримання пояснень про систему обліку грошових коштів аудитор отримує уявлення про стан справ на рахунках у банку клієнта.
Після отримання пояснень про систему внутрішнього контролю й обліку аудитор повинен зробити попереднє оцінювання ризику внутрішнього контролю за конкретними позиціями фінансової звітності.
При плануванні своєї методики перевірки, аудитору необхідно вивчити попередню оцінку розміру ризику невідповідності внутрішнього контролю (враховуючи власну оцінку внутрішнього (притаманного) ризику), щоб визначити відповідний ризик невиявлення помилок. Аудитор може зробити попереднє оцінювання ризику невідповідності внутрішнього контролю тільки тоді, коли він має спроможність визначити процедури систем обліку і внутрішнього контролю, що відповідають внутрішнім положенням підприємства і що сприяють виявленню перекручень у фінансовій звітності, коли він планує виконати процедури узгодження, щоб підтвердити свою оцінку перевіреної фінансової звітності.
Докази, отримані аудитором, можуть дати йому більше впевненості, аніж докази, отримані ним від інших осіб.
До того, як скласти висновок з результатів проведеного аудиту, аудитор повинен переглянути складені ним попередні оцінки ризику внутрішнього контролю.
4. Ризик невиявлеяня
Ризик невиявлення безпосередньо пов'язаний із проведенням незалежних процедур перевірки. Зроблені аудитором оцінки невідповідності внутрішнього контролю й оцінка внутрішнього ризику впливають на характер, строки й обсяг аудиторських процедур, що використовуються аудитором з метою зменшення ймовірності невиявлення помилок і перекручень і доводять ризик аудиту до сприятливого рівня. Певний ризик невиявлення помилок існує завжди, навіть коли аудитор перевірить 100 % залишків за рахунками або всі види операцій, бо більша частина аудиторських доказів має скоріше запев-нюючий (аргументаційний), ніж підсумковий характер.
З метою зменшення аудиторського ризику до сприятливого рівня аудитор враховує зроблені ним оцінки властивого ризику і ризику невідповідності внутрішнього контролю при визначенні характеру, строків і обсягів незалежних процедур перевірки. Залежно від цього аудитор планує:
• тести, спрямовані на перевірку споріднених сторін підприємства;
• строки проведення незалежних процедур;
• обсяг незалежних процедур.
Існує зв'язок між ризиком невиявлення помилок та комбінованим властивим ризиком і ризиком невідповідності внутрішнього контролю. Наприклад, якщо властивий ризик і ризик невідповідності внутрішнього контролю мають значний рівень, то рівень ризику виявлення помилок може бути низьким.
Є ще ризик контролю — оцінювання аудитором системи внутрішнього контролю клієнта з метою визначення її ефективності при запобіганні або виправленні помилок у бухгалтерському облікові і звітності. Крім того, ризик контролю — це небезпека того, що недостовірна інформація не буде виявлена або буде несвоєчасно попереджена системою внутрішнього контролю.
Ризик бізнесу — вплив обставин ділової активності клієнта на погіршення фінансового стану клієнта, що не залежить від аудитора, і, водночас, аудитор підтвердив, що фінансовий стан задовільний і надійний. На рівень ризику аудиторської діяльності мають вплив помилки, що виникли з причини вибіркового обстеження великого обсягу обліку чи звітності й обмеженого часу на його здійснення.
Для зниження рівня ризику аудитору слід дотримуватися принципу репрезентативності відбору даних для перевірки і прогнозувати випадкові помилки.