Subjekto vidaus kontrolės sistemos stebėsena yra nuolatinis procesas, skirtas vertinti šios sistemos efektyvumą ir laiku imtis būtinų taisomųjų veiksmų. Subjekto vykdomą subjekto vidaus kontrolės sistemos stebėseną gali sudaryti nuolatinė veikla, pavieniai vertinimai (atliekami periodiškai) arba tam tikras jų derinys. Nuolat vykdoma stebėsena laikoma įprastine, pasikartojančia subjekto veikla ir apima įprastinius valdymo ir priežiūros veiksmus. Tikėtina, kad šis procesas, atsižvelgus į subjekto atliktą rizikos įvertinimą, skirsis apimtimi ir dažnumu. Vertinimų apimtį ir dažnį lemia, visų pirma, rizikos įvertinimas ir nuolatinės stebėsenos efektyvumas. Atlikdamas šį vertinimą, auditorius turėtų nustatyti, ar stebėsena atliekama ir kaip subjektas ją vykdo.
Vadovaudamasis 2315-ojo TAAIS 24 d. reikalavimais, auditorius turi suprasti vidaus kontrolės sistemos stebėsenos procesą, susijusį su finansinių ataskaitų rengimu. Šiuo tikslu auditorius turi atlikti rizikos įvertinimo procedūras, kurių metu turi suprasti (A), įvertinti (B) ir nustatyti (C):
| A) suprasti |
| a) vidaus kontrolės sistemos stebėsenos proceso aspektus: |
| 1. nuolatinius ir atskirus kontrolės priemonių veiksmingumo stebėsenos vertinimus, kontrolės trūkumų nustatymą ir nustatytų kontrolės trūkumų taisymą; |
| 2. subjekto vidaus audito funkciją (jei tokia yra), įskaitant jos pobūdį, pareigas ir veiksmus. |
| b) informacijos šaltinius, naudojamus subjekto vidaus kontrolės sistemos stebėsenos procese, ir pagrindą, kuriuo remdamasi vadovybė šią informaciją laiko pakankamai patikima tam tikslui. |
| B) įvertinti, ar |
| šis stebėsenos procesas yra tinkamas pagal aplinkybes, atsižvelgiant į subjekto/objekto pobūdį ir sudėtingumą. |
| C) nustatyti, ar |
| buvo aptiktas vienas ar keli kontrolės priemonių trūkumai (pvz., taikomos politikos neatitinka subjekto pobūdžio ir aplinkybių) ir priimti profesinį sprendimą, ar šie trūkumai (atskirai ar kartu su kitais trūkumais) yra reikšmingi. |
Kontrolės priemonės, susijusios su subjekto vidaus kontrolės sistemos stebėsenos procesu, įskaitant skirtas stebėti pagrindines automatines kontrolės priemones, gali būti automatinės arba rankinės, arba abiejų derinys. Pavyzdžiui, subjektas gali naudoti automatines prieigos prie tam tikrų technologijų stebėsenos priemones su automatiniais pranešimais apie neįprastą veiklą vadovybei, kuri rankiniu būdu tiria nustatytas anomalijas.
Vertinant stebėseną atskirai nuo kontrolės, susijusios su informacine sistema, atsižvelgiama į esmines tokios veiklos detales, ypač kai ji apima tam tikro lygio priežiūros peržiūrą. Šios peržiūros nėra automatiškai klasifikuojamos kaip stebėsena, todėl gali tekti priimti sprendimą dėl to, ar peržiūra yra klasifikuojama kaip kontrolė, susijusi su informacine sistema, ar stebėsena. Pavyzdžiui, mėnesinė išsamumo kontrolės priemonė skirta aptikti ir ištaisyti klaidas, o atliekant stebėseną siekiama sužinoti, kodėl atsiranda klaidų, ir priskirti vadovybei atsakomybę už proceso ištaisymą, kad ateityje klaidų būtų išvengta. Paprasčiau tariant, su IS susijusi kontrolės priemonė reaguoja į specifinę riziką, o stebėsena įvertina, ar kontrolės priemonės visuose penkiuose subjekto vidaus kontrolės sistemos komponentuose veikia taip, kaip numatytos.
Stebėsenai atlikti gali būti naudojama išorės šalių komunikuojama informacija, kuri gali rodyti, kad yra problemų, arba atkreipti dėmesį į tobulintinas sritis, pavyzdžiui, informacija, gaunama inventorizuojant subjektų tarpusavio gautinas ir (ar) mokėtinas sumas. Be to, vykdydama stebėseną, vadovybė gali atsižvelgti į išorės auditorių komunikaciją, susijusią su subjekto vidaus kontrolės sistema.
Grupės auditoriaus supratimas apie grupės vykdomos vidaus kontrolės sistemos stebėsenos procesą gali apimti tokius dalykus kaip kontrolės priemonių stebėsena, įskaitant tai, kaip kontrolės priemonės yra stebimos visoje grupėje, ir, kai būtina, vidaus audito funkciją atliekančių asmenų veikla visoje grupėje, įskaitant jų veiklos pobūdį, pareigas ir grupės komponentų naudojamų kontrolės priemonių stebėsenos veiklą.
Audito planavimo metu susipažindamas su vidaus audito funkcija, kaip nurodyta 2315-ojo TAAIS 24 dalyje, auditorius įvertina ją kaip audituojamo subjekto vidaus kontrolės sistemos dalį, t. y. ar vidaus audito tarnybos:
Atliekant šį vertinimą rekomenduojama naudotis Susipažinimo su vidaus audito funkcija dokumentu, pateiktu Šablonų skiltyje.
Atsižvelgiant į tai, kad 1) vidaus audito funkcija vertinama kaip audituojamame subjekte veikiančios vidaus kontrolės dalis; 2) jei paskutinis susipažinimas su vidaus audito funkcija buvo atliktas ne seniau kaip prieš 3 metus ir nebuvo nustatyta esminių vidaus audito funkcijos organizavimo ar darbo trūkumų; 3) planuojama nesinaudoti vidaus audito funkcijos darbu einamojo audito metu – galima einamojo audito metu neatlikti išsamaus susipažinimo su šia funkcija, o pasinaudoti ankstesnio audito metu atliktu darbu, įvertinant po paskutinio vertinimo įvykusius reikšmingus pasikeitimus, jei tokių buvo.
Vidaus audito funkciją atliekantys asmenys (viešojo sektoriaus subjekto), vykdydami savo funkcijas savo darbo metu įsigilino į subjekto veiklą, vidaus kontrolės sistemą ir turi pastebėjimų, kurie pagrįsti atliktu darbu (pvz., aptiko kontrolės trūkumų arba riziką) ir kurie gali būti svarbūs auditoriaus supratimui apie subjektą ir jo aplinką, taikomą finansinės atskaitomybės tvarką ir subjekto vidaus kontrolės sistemą, taip pat auditoriaus rizikos įvertinimui ar kitiems audito aspektams. Todėl auditorius teikia paklausimus neatsižvelgdamas į tai, ar jis planuoja naudoti audito funkciją atliekančių asmenų darbą, kad pakeistų būtinų atlikti audito procedūrų pobūdį, atlikimo laiką ar sumažinti jų apimtį. Ypač svarbūs paklausimai gali būti apie dalykus, kuriuos vidaus audito funkciją atliekantys asmenys nurodė už valdymą atsakingiems asmenims, ir apie gautus šių asmenų atlikto rizikos įvertinimo proceso rezultatus.
Susipažinimo su vidaus audito funkcija metu, be kitų 2315-ojo TAS 24 dalyje nurodytų darbų, rekomenduojama peržiūrėti vidaus audito ataskaitas. Šiose ataskaitose galima gauti informacijos apie:
2315-ojo TAAIS 14 dalies a punkte nurodoma, kad vertinant audituojamo subjekto riziką reikia pasikalbėti su vidaus auditoriais, nes jie gali pateikti su audituojamo subjekto veikla susijusių įžvalgų apie galimas rizikingas sritis, vidaus kontrolės trūkumus, esamus ar įtariamus apgaulės ir sukčiavimo atvejus ir kitus auditui svarbius dalykus.
Naudojimosi vidaus auditorių darbu audito planavimo etape pavyzdžiai:
Susipažinimo su vidaus audito funkcija etape auditorius taip pat įvertina, ar vidaus audito veikla yra susijusi su atliekamo finansinio audito tikslais, ir preliminariai įvertina, ar audito metu galima ir tikslinga pasinaudoti vidaus audito funkciją atliekančių asmenų darbu arba tiesiogine vidaus auditorių pagalba.
Jei veikla susijusi, auditorius, remdamasis surinkta informacija apie vidaus audito funkciją ir žiniomis apie atliktus vidaus auditus, įvertina, ar bus galimybė pasinaudoti vidaus auditorių atliktu darbu. Jei tokia galimybė nenumatoma, toliau joks darbas šioje srityje neatliekamas ir netaikomas 2610-asis TAAIS. Jei tokia galimybė numatoma, auditorius priima profesinį sprendimą, ar ketina audito metu naudoti vidaus auditorių darbą: jei neketina – 2610-asis TAAIS netaikomas; jei ketina – reikalinga atlikti papildomas audito procedūras, numatytas 2610-ajame TAAIS (išsamiau – Vidaus auditorių, specialistų (ekspertų) ir (ar) išorės auditorių pasitelkimo planavimo skiltyje).