З метою оцінки стану внутрішнього контролю досліджуються:
основні принципи управління об'єктом аудиту;
зміст контракту між керівником і органом управління щодо забезпечення керівником законного, цільового і економного використання усіх видів ресурсів; наказ про розподіл обов'язків між заступниками керівника; положення про відділи чи інші структурні підрозділи об'єкта аудиту, посадові інструкції відповідальних фахівців;
наказ про облікову політику щодо забезпечення надання користувачам для прийняття рішень повної, правдивої та неупередженої інформації про фінансовий стан, результати діяльності та рух коштів об'єкта аудиту при складанні фінансової звітності, зокрема шляхом визначення принципів оцінки статей звітності, методів обліку щодо окремих статей звітності; забезпечення повноти і точності складання первинних документів та якості первинної інформації, необхідної для успішного керівництва і прийняття ефективних управлінських рішень;
графік документообігу щодо наявності затверджених положень дотримання законодавства щодо зберігання та знищення бухгалтерських документів, встановлення правил прийому документів на виконання, їх реєстрації і обробки, наявність контролю за дотриманням графіка документообігу;
розпорядчі та інші документи про дотримання законодавства щодо використання коштів і майна та підписання фінансових документів; дотримання термінів і правил проведення інвентаризацій, бухгалтерських звірок, передачі справ та інших процедур внутрішнього контролю; забезпечення умов для збереження коштів і матеріальних цінностей; закріплення осіб, відповідальних за здійснення внутрішнього контролю, та визначення для них кола обов'язків;
склад, фаховий рівень та періодичність проходження підвищення кваліфікації працівників бухгалтерської, економічної та фінансової служб;
наявність підрозділу внутрішнього контролю, його статус, підпорядкованість, результати і якість його роботи: забезпечення постійного аналізу цільового, ефективного і економного використання усіх видів ресурсів; своєчасність і повнота здійснюваних контрольних заходів з огляду на наявні ризики та правильність документування виявлених порушень і недоліків; обґрунтованість застосування методів контролю; своєчасність і обґрунтованість внесення за результатами контрольних заходів пропозицій керівництву з метою усунення виявлених порушень, забезпечення відшкодування нанесених збитків та удосконалення внутрішнього контролю; повнота заходів, які вживаються для забезпечення врахування наданих пропозицій;
кадрова політика щодо кваліфікаційних вимог до осіб, які займають відповідальні посади, та частота зміни працівників на відповідальних посадах;
порядок підготовки внутрішньої звітності для цілей управління (управлінської звітності) тощо.
4.2. За результатами вивчення системи внутрішнього контролю необхідно дати позитивну, умовно позитивну або негативну оцінку та визначити, чи забезпечує внутрішній контроль самостійне виявлення та виправлення суб'єктом господарювання можливих ризиків.
4.3. Позитивну оцінку аудитор дає в тому випадку, якщо система внутрішнього контролю попереджує, виявляє та своєчасно виправляє ті суттєві помилки в роботі персоналу, які можуть бути своєчасно попереджені і виправлені як в частині використання майна, так і в частині визначення окремих статей доходів і витрат та фінансового результату.
4.4. Умовно позитивну оцінку необхідно дати в тому випадку, коли система внутрішнього контролю є недостатньою для попередження всіх суттєвих порушень і недоліків у діяльності об'єкта аудиту.
4.5. На негативну оцінку заслуговує та система внутрішнього контролю, яка по причині недоліків її організації не попереджує (або не має змоги попереджувати) суттєві для об'єкта аудиту помилки, що негативно впливають на використання активів, формування статей доходів і витрат та на фінансовий результат.
4.6. Негативна оцінка системи внутрішнього контролю збільшує ризики можливого допущення об'єктом аудиту порушень і недоліків, тому вимагає планування більшого обсягу аудиторських процедур.
Перевірка факторів ризику
За результатами уточнення інформації, зібраної на першому етапі аудиту, а також проведеного аналізу фінансово-господарської діяльності та оцінки стану внутрішнього контролю конкретизуються та визначаються зовнішні і внутрішні фактори ризику.
5.1. Зовнішні фактори ризику є незалежними від об'єкта аудиту, але можуть безпосередньо впливати на його діяльність та фінансові результати.
До зовнішніх факторів ризику можна віднести:
зміни, внесені до нормативно-правових актів, якими безпосередньо регулюється діяльність об'єкта аудиту або встановлюються правила здійснення ним певних видів господарських операцій;
зміни, внесені до нормативно-правових актів, якими змінюється порядок відображення в обліку певних операцій чи змінюється порядок складання фінансової звітності;
загострення конкурентної боротьби з боку конкурентів;
зміна стратегії розвитку галузі, в якій здійснює свою діяльність об'єкт аудиту, що зумовлює зменшення обсягів державного замовлення;
штучне обмеження використання виробничої потужності об'єкта аудиту та обсягу виробництва продукції у зв'язку з обмеженістю внутрішнього ринку спожити весь обсяг продукції та обмеженням експорту;
форс-мажорні обставини та інше.
5.2. Внутрішні фактори ризику є прямим результатом діяльності об'єкта аудиту і можуть ним регулюватися.
До найтиповіших внутрішніх факторів ризику можна віднести:
а) фактори ризику, пов'язані з фінансово-господарською діяльністю об'єкта аудиту:
зміни в організаційній структурі, внаслідок яких конкретні функції з фінансово-господарської діяльності виконуватимуться структурними підрозділами, працівники яких не мають відповідного досвіду та кваліфікації;
створення нових структурних підрозділів;
не встановлені правила здійснення внутрішнього контролю;
суть правил внутрішнього контролю свідчить про їх формальність, неврахування специфіки діяльності об'єкта аудиту, внаслідок чого важко попередити, виявити та виправити помилки;
зміни виду господарської діяльності об'єкта аудиту;
суттєві зміни показників фінансового плану в порівнянні з попередніми роками (зокрема, суттєве збільшення видатків при неадекватному збільшенні доходів);
укладення договорів з суб'єктами господарювання, які мають значну заборгованість перед об'єктом аудиту, або з суб'єктами господарювання, щодо яких аудитор має інформацію про завищення ними обсягів робіт, ціни товарів або послуг, розцінок чи тарифів;
укладення договорів з суб'єктами господарювання, які не мають бездоганної ділової репутації, або з суб'єктами господарювання, які створені менше року чи предмет договору не є їх основною діяльністю;
значне зростання дебіторської та/або кредиторської заборгованості;
укладання договору, умови якого заздалегідь є вкрай невигідними для об'єкта аудиту чи існують сумніви щодо повноти наданих послуг (виконаних робіт), спроможності їх оплати тощо;
б) фактори ризику, пов'язані з веденням бухгалтерського обліку:
внесення змін до облікової політики об'єкта аудиту;
відсутність положення про бухгалтерську службу, посадових інструкцій відповідальних працівників, графіка документообігу тощо;
низький рівень комп'ютеризації бухгалтерського обліку;
застосування неліцензійних програм з ведення бухгалтерського обліку або несвоєчасне оновлення програм відповідно до змін у методології ведення бухгалтерського обліку чи облікової політики;
в) фактори ризику внаслідок неусунення недоліків, виявлених попереднім аудитом (чи ревізією):
виявлені систематичні порушення законодавства у сфері державних закупівель;
виявлено недостачу, однак матеріально відповідальна особа продовжує працювати на тій самій посаді, недостачу нею не відшкодовано, річна інвентаризація не проводилася;
виявлено факти переплати заробітної плати внаслідок встановлення необґрунтовано завищених (у порівнянні з нормативно-правовими актами) надбавок чи доплат, однак система встановлення надбавок та доплат не змінилася тощо.
5.3. Визначені фактори ризику можуть викладатись у вигляді гіпотез причин можливого погіршення фінансового стану об'єкта аудиту, невиконання ним своїх функцій та неефективного використання майна.
6. Для дослідження кожного поставленого питання (фактору ризику) визначається обсяг і метод аудиту, який необхідно здійснити для підтвердження чи спростування ризиків, а також визначається розмір вибірки.
6.1. Визначення вибірки проводиться з метою застосування аудиторських процедур по відношенню менш ніж до 100% об'єктів всієї сукупності, що досліджуються, для отримання аудиторських доказів, які дозволяють скласти думку про всю цю сукупність.
Прикладами питань аудиту, де може бути застосована вибірка, є:
основні засоби (за окремими об'єктами основних засобів);
матеріали і запаси (за окремими видами матеріалів і запасів);
дебіторська і кредиторська заборгованість (за конкретними дебіторами чи кредиторами);
реалізація продукції (конкретні господарські операції, вид продукції чи період);
відображення затрат (конкретні випадки, напрями діяльності);
оплата праці (окремі працівники чи групи працівників, посади) тощо.
6.2. Обрані методи аудиту, процедура їх застосування та обсяг вибірки повинні забезпечувати обґрунтованість висновків за результатами оцінки рівня управління фінансово-господарською діяльністю об'єкта аудиту, правильності ведення бухгалтерського обліку та достовірності фінансової звітності.
7. Рівень суттєвості визначається з метою можливості зробити висновок щодо суттєвості впливу визначеного фактору ризику на результати діяльності об'єкта аудиту, а також на достовірність фінансової звітності.
7.1. Рівень суттєвості може визначатись у вартісній оцінці (сума заниженого чи недоотриманого доходу, обсяг завищених чи не обґрунтованих витрат, незаконного відчуження активів тощо) і у процентному відношенні до фактичних даних фінансової звітності, бухгалтерського обліку та показників фінансово-господарської діяльності об'єкта аудиту.
Під час перевірки факторів ризику за обраними аудиторськими процедурами та виходячи з обсягу вибірки проводиться перевірка визначених факторів ризику діяльності об'єкта аудиту, за результатами якої підтверджується або спростовується попередня інформація стосовно факторів ризику.
2. Кожне питання (фактор ризику), що підлягає аудиту, повинно бути досліджене з урахуванням процедур, визначених програмою аудиту, та має бути досліджене щодо:
відповідності господарських операцій вимогам законодавства;
обґрунтованості (доцільності) проведених операцій для здійснення господарської діяльності об'єкта аудиту;
порівняння фактично отриманого результату з очікуваним.
В разі виявлення порушень чи відхилень від норм слід визначити суттєвість впливу цих порушень (недоліків) на достовірність фінансової звітності та показники ведення фінансово-господарської діяльності.
3. Під час перевірки аналізуються:
дані фінансових та бізнес-планів, бухгалтерських (первинних і зведених) документів, статистичної та фінансової звітності, договорів, розпорядчих та інших документів об'єкта аудиту, пов'язаних з плануванням і провадженням фінансово-господарської діяльності, веденням бухгалтерського обліку, складенням фінансової звітності та організацією внутрішнього контролю;
фактична наявність та стан активів.
Подання зазначених документів посадовій особі органу ДКРС і організація перевірки фактичної наявності та стану активів забезпечується керівником об'єкта аудиту або особою, що виконує його обов'язки.
4. В разі виявлення під час аудиту фактів порушень законодавства, які містять ознаки злочину, орган ДКРС невідкладно інформує про них правоохоронні органи.