Lista kontrolna audytu projektu służy jako kluczowe narzędzie w procesie zarządzania ryzykiem projektu. Pomaga on kierownictwu wyższego szczebla i kierownikom projektów oceniać wewnętrzne elementy i czynniki zewnętrzne wpływające na ukończenie projektu. Audytor musi stosować się do ogólnie przyjętych standardów audytu (GAAS) podczas korzystania z listy kontrolnej audytu projektu.
Kontrolować środowisko
Audytor dowiaduje się o środowisku kontrolnym projektu, aby zapoznać się z czynnikami wpływającymi na postęp i terminy realizacji projektu. Czynniki te mogą być wewnętrzne lub zewnętrzne. Elementy zewnętrzne, które mogą mieć wpływ na datę zakończenia projektu, są przepisami ustawowymi i wykonawczymi. Czynniki wewnętrzne mogą odnosić się do polityki i wytycznych korporacyjnych, jakości etycznych kierownictwa najwyższego szczebla oraz zestawu umiejętności członków personelu.
Na przykład certyfikowany audytor wewnętrzny (CIA) lub certyfikowany publiczny księgowy (CPA) dokonuje przeglądu środowiska kontroli projektu za granicą. Może zapewnić, że księgowi projektu stosują Międzynarodowe Standardy Sprawozdawczości Finansowej (MSSF), gdy podsumowują dane operacyjne. Alternatywnie, CPA lub CIA mogą dowiedzieć się o lokalnych przepisach, regulacjach i praktykach branżowych oraz o tym, jak mogą one wpłynąć na ukończenie projektu.
Testowanie kontroli wewnętrznych
Audytor projektu testuje wewnętrzne kontrole i procedury, aby zapewnić, że takie kontrole są odpowiednie i funkcjonalne. Kontrola to zestaw dyrektyw, które kierownik projektu wprowadza, aby zapobiec stratom operacyjnym wynikającym z awarii technologicznych, błędów, oszustw lub kradzieży. Odpowiednia kontrola instruuje członków personelu projektu, w jaki sposób wykonywać zadania, podkreślać problemy i podejmować decyzje. Kontrola funkcjonalna zapewnia właściwe rozwiązania problemów związanych z projektami.
Wewnętrzne mechanizmy kontrolne i procedury różnią się w zależności od branży, firmy i lokalizacji. Na przykład kierownik projektu budowy drogi może ustanowić procedury, które będą zgodne z zasadami Administracji Bezpieczeństwa i Higieny Pracy (OSHA). Natomiast kierownik projektu w branży usług finansowych może podkreślić zgodność z wytycznymi ogłoszonymi przez National Association of Securities Dealers Automated Quotations (NASDAQ).
Kontrola rang i ryzyko
Audytor szereguje kontrole i związane z nimi ryzyko w oparciu o oczekiwane straty. Sprawdza adekwatność i skuteczność kontroli i ocenia je jako "wysokie", "średnie" i "niskie". Audytor projektu zapewnia również, że kontrole w systemach sprawozdawczości finansowej są zgodne z GAAP lub ogólnie przyjętymi standardami rachunkowości rządu (GAGAS). Księgowy projektu, który nie spełnia tych standardów, może zgłosić niedokładne i niekompletne sprawozdania finansowe.
Wydanie raportu końcowego
Amerykański Instytut Biegłych Rewidentów (AICPA) wymaga od audytora projektu dokonania przeglądu "wysokiego" i "średniego" ryzyka w kierownictwie najwyższego szczebla i zapewnienia, że podejmą one działania naprawcze w odniesieniu do takich ryzyk. AICPA zaleca także, aby menedżerowie segmentów znaleźli rozwiązania łagodzące dla "niskiego" ryzyka. Audytor projektu może również przejrzeć raport "samooceny ryzyka i kontroli" firmy (RCSA) firmy, aby zapewnić spójność ocen ryzyka. W RCSA, członek personelu segmentu kontroluje jako "Poziom 1", "Poziom 2" i "Poziom 3", w oparciu o oczekiwane straty. Audytor wydaje raport końcowy, gdy kierownictwo przedstawi plany łagodzenia poważnych zagrożeń.