4. План,програма,тривалість аудиту.
План аудиту - це документ, який за своїм змістом є більш деталізованим, ніж загальна стратегія аудиту. Зокрема, він розглядає характер, час та обсяг аудиторських процедур, які повинні виконуватися працівниками аудиторської фірми для отримання достатніх та відповідних аудиторських доказів з метою зменшення аудиторського ризику до прийнятно низького рівня.
План аудиту може містити:
- цілі аудиту;
- критерії аудиту та будь-які документи, на які є посилання;
- сферу аудиту, включаючи ідентифікацію організаційних і функціональних підрозділів та процесів, аудит яких треба проводити;
- дату та місце проведення аудиту;
- очікуваний час та тривалість аудиторської діяльності на місцях, включаючи наради з керівництвом об’єкта аудиту і наради групи з аудиту;
- ролі і відповідальність членів групи з аудиту та будь-яких супроводжувальних осіб;
- надання відповідних ресурсів для критичних елементів аудиту.
План аудиту, за необхідності, може також містити:
- визначення відповідальної особи від об’єкта аудиту за проведення аудиту;
- робочу мову аудиту та мову звіту про аудит, якщо вона відрізняється від тієї, якою користується аудитор і/або об’єкт аудиту;
- тематичний зміст звіту про аудит;
- домовленість щодо пересування (поїздки, умови перебування на місцях тощо);
- аспекти, що пов’язані з конфіденційністю;
- будь-які подальші дії після аудиту.
Обсяг програми внутрішніх аудитів СМІБ встановлюється керівником.
- кожен процес СМІБ повинен бути перевірений на відповідність вимогам внутрішніх документів не менше одного разу на рік.
- кожен підрозділ організації повинен бути вичерпно перевірено на відповідність усіх аспектів його (підрозділу) діяльності для всіх реалізованих у ньому елементів СМІБ не менше одного разу на два роки.
- при постійному виявленні невідповідностей в одному процесі (підрозділі), аудити цього процесу (підрозділу) повинні проводитися частіше.
- необхідно врахувати пропозиції аудиторів за термінами, обсягом та періодичністю аудитів.
- необхідно враховувати складність і важливість процесів, що підлягають аудиту.
- за наявності суттєвих змін в конфігурації СМІБ кількість аудитів повинна бути збільшена.
План повинен бути проаналізований і прийнятий замовником аудиту та наданий об’єкту аудиту до початку аудиторської діяльності на місцях.
Рішення щодо будь-яких заперечень з боку об’єкта аудиту необхідно приймати спільно керівнику групи з аудиту, об’єкту аудиту і замовнику аудиту. Будь-які зміни плану аудиту необхідно узгодити зацікавленим сторонам до продовження аудиту.
Підготовка робочих документів
Членам групи з аудиту необхідно проаналізувати інформацію, яка пов’язана з їхніми завданнями з аудиту, і підготувати робочі документи, що необхідні для реєстрування інформації в процесі аудиту. Такі робочі документи можуть містити:
- перелік контрольних запитань і плани відбору інформації під час аудиту;
- бланки для реєстрування інформації, наприклад, підтверджувальних доказів, даних аудиту і протоколи нарад.
Використання переліків контрольних запитань і бланків не повинне обмежувати обсяг аудиторської діяльності, який може змінюватися на основі інформації, яка зібрана під час аудиту. Робочі документи, включно із оформленими на їх основі протоколи, необхідно зберігати щонайменше до завершення аудиту. Документи, що містять конфіденційну інформацію, членам групи з аудиту необхідно завжди належним чином зберігати та захищати.
Тривалість аудиту залежить від його плану,який має бути узгодженим із замовником.
Програма аудиту
Для виконання плану аудитор повинен підготувати в письмовій формі програму аудиторської перевірки з визначенням у ній конкретних завдань і процедур для кожного об'єкта аудиту.
Програма аудиту — це детальний перелік змісту аудиторських процедур. Цей перелік є детальною інструкцією для асистентів аудитора та пересічних учасників перевірки, який також є засобом контролю за якістю їхньої роботи.
Програма повинна бути настільки деталізованою, щоб можна було використовувати її як інструкцію для виконавців аудиту, які беруть участь у перевірці. Програма має також служити засобом контролю за роботою виконавців аудиту. У програмі аудиту види, зміст і час проведення запланованих аудиторських процедур повинні збігатися з прийнятими до роботи показниками загального плану аудиту. Аудиторська програма допомагає керувати виконавцями аудиту і контролювати їхню роботу. Аудиторська програма містить перелік об'єктів аудиту за його напрямами, а також час, який необхідно витратити на кожен напрям аудиту або аудиторську процедуру. Аудитор затверджує програму, визначаючи суттєвість за процедурами аудиту, об'єкт аудиту за кожним питанням окремо та масштаб перевірки.
Програма оформлюється у вигляді таблиці - кожний об'єкт перевірки окремо. На початку програми вказується:
- назва підприємства;
- період перевірки;
- дата перевірки;
- об'єкт перевірки.
У програмі, крім прізвища, вказують також ініціали аудитора, який здійснює перевірку конкретного об'єкта аудиту, час, який необхідно витратити на перевірку конкретного об'єкта перевірки, та передбачають місце для відміток про фактичне виконання плану аудиту з кожного питання.
Програма з кожного об'єкта аудиту підписується керівником групи аудиторів або керівником аудиторської фірми.
Є два типи підготовки програми: максимально жорсткий і максимально гнучкий.
За першим аудиторська фірма розробляє основну програму, до якої вносить максимально важливий обсяг інформації. Маючи таку програму, аудитор може скласти план своїх дій, викресливши з програми пункти, які не підходять для даного клієнта.
За іншим аудитор, маючи відповідні завдання, самостійно готує програму їх виконання. Найкращим є змішаний варіант. Аудитор, маючи основну програму, складає свою з урахуванням індивідуальних особливостей клієнта.
6.Висновки:
Використання методики аудиту згідно з міжнародними стандартами несе наступні переваги:
- виявлення вразливості;
- корегування політики безпеки відповідно до загроз;
- впровадження найбільш ефективних заходів та засобів захисту.