Основополагающие подходы к составлению риск-ориентированного плана
Fundamental approaches to the preparation of a risk-based internal audit work plan
Авторы
Аннотация
В статье рассмотрены основополагающие подходы к планированию работы внутреннего аудита на основе риск-ориентированного подхода с учетом требований международных стандартов аудита, обновленной концепции трех линий защиты, рекомендаций по организации управления рисками и внутреннего контроля. Проблематика статьи актуальна в условиях быстрых изменений бизнес-среды, возникновения новых рисков, увеличения сложности бизнес-процессов организаций и регуляторной базы, развития практики корпоративного управления, приводящих к необходимости оперативной адаптации функции внутреннего аудита к происходящим изменениям. Материал статьи представлен с учетом актуальной нормативной базы, международных стандартов аудита, Международных основ профессиональной практики внутреннего аудита.
Ключевые слова
планирование аудита, внутренний аудит, риск-ориентированный подход, модель внутреннего аудита.
Финансирование
Работа выполнена в рамках мероприятия RCM-2021: II Международный конкурс исследовательских работ и проектов “Управление дистанционными командами и сотрудниками 2021” (Stars of Science and Education, РусАльянс Сова)
Рекомендуемая ссылка
No items found. Основополагающие подходы к составлению риск-ориентированного плана // Современные технологии управления. ISSN 2226-9339. — №3 (96). Номер статьи: 9602. Дата публикации: 07.09.2021. Режим доступа: https://sovman.ru/article/9602/
DOI 10.24412/2226-9339-2021-396-2
Authors
Abstract
The article discusses the fundamental approaches to planning the work of internal audit based on a risk-based approach, taking into account the requirements of international auditing standards, the updated concept of three lines of defense, recommendations for the organization of risk management and internal control. The problems of the article are relevant in the conditions of rapid changes in the business environment, the emergence of new risks, the increasing complexity of business processes of organizations and the regulatory framework, the development of corporate governance practices, leading to the need for rapid adaptation of the internal audit function to the changes taking place. The material of the article is presented taking into account the current regulatory framework, international standards of auditing, International foundations of professional practice of internal audit.
Keywords
audit planning, internal audit, risk-based approach, internal audit model.
Project finance
The work was carried out as part of the RCM-2021 event: II International competition of research papers and projects “Management of remote teams and employees 2021” (Stars of Science and Education, RusAlliance Sova)
Suggested citation
No items found. Fundamental approaches to the preparation of a risk-based internal audit work plan // Modern Management Technology. ISSN 2226-9339. — №3 (96). Art. # 9602. Date issued: 07.09.2021. Available at: https://sovman.ru/article/9602/
Введение
В условиях постоянной трансформации бизнес-моделей, развития информационных технологий, постоянными изменениями требований законодательства и возникновением новых рисков увеличивается заинтересованность бизнеса в деятельности служб внутреннего аудита. Расширяется роль внутреннего аудита от деятельности по предоставлению гарантий до оказания консультационных услуг, поддержки бизнеса при разработке и реализации стратегии компании, содействия увеличению ее стоимости.
Внутренний аудит приносит пользу организации и ее заинтересованным лицам, когда представляет объективные и компетентные гарантии, способствует повышению эффективности и результативности корпоративного управления, управления рисками и контрольных процедур, предоставляет актуальные консультации. Для достижения данной цели приоритеты внутреннего аудита должны быть согласованы с целями организации и учитывать актуальные риски.
Подход к управлению рисками компании на проактивной основе, структурирование взаимодействия и ответственности для достижения целей организации отражен в Модели Трех линий защиты, выпущенной Международным Институт внутренних аудиторов (1).
Первую линию защиты обеспечивает собой руководство (владельцы процессов), отвечающие за управление рисками, связанными с операционной деятельностью. В обязанности первой линии также входит разработка, функционирование и внедрение средств контроля.
Службы второй линии осуществляют управления рисками и соблюдения нормативных требований, предоставляют необходимые концепции, политики, инструменты и технологии.
Внутренний аудит является третьей линией защиты, проверяющей эффективность работы системы внутреннего контроля в целом (первой и второй линий защиты) и предоставляющей высшему руководству независимое заключение о том, что организация управляет рисками должным образом и ее система управления рисками и система внутреннего контроля являются эффективными.
Актуализированная в июле 2020 года Модель трех линий защиты показывает, что для принятия компанией решений в условиях риска необходимы не только защитные действия, но и не в меньшей степени и активные действия, направленные на реализацию открывающихся перед компанией возможностей.
В соответствии с обновленной Моделью трех линий защиты внутренний аудит как независимый поставщик гарантий имеет особую роль, отличную от подотчетных руководству компании первой и второй линий защиты и является независимым поставщиком гарантий, а также предоставляет консультации по вопросам, связанных с достижением поставленных целей.
Для выполнения задач, стоящих перед внутренним аудитом, необходимо обеспечить риск-ориентированное планирование деятельности подразделения внутреннего аудита.
План работ внутреннего аудита – общий перечень мероприятий и заданий по проведению внутреннего аудита и прочих мероприятий, не связанных с проведением проверок, с указанием периода проведения мероприятий.
Цель исследования: исследование подходов и методов риск-ориентированного планирования деятельности подразделения внутреннего аудита.
Материалы, методы и условия проведения исследований: изучены законодательные акты, нормативные акты Министерства финансов РФ, Международные стандарты аудита, Международные стандарты профессиональной практики внутреннего аудита, а также научные и практические труды отечественных специалистов в области внутреннего аудита.
Результаты исследования и их обсуждение
Международные стандарты профессиональной практики внутреннего аудита (2) содержат следующие рекомендации, применимые к процессу планирования:
2010.А1 План работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой, по крайней мере, один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и совета директоров.
2010.А2 Руководитель внутреннего аудита должен выяснять и учитывать ожидания исполнительного руководства, совета и других заинтересованных лиц в отношении мнений и выводов внутреннего аудита.
2010.С1 Руководитель внутреннего аудита должен оценить предложенные задания по консультированию с точки зрения возможностей улучшения процесса управления рисками и совершенствования деятельности организации при выполнении заданий. Принятые к исполнению задания должны быть включены в план.
По данным проведенного Делойт и Туш СНГ и Институтом внутренних аудиторов «Исследования текущего состояния и тенденций развития внутреннего аудита в России 2019» (3) практику регулярного обновления годового плана в соответствии с меняющимися рисками (один раз в полугодие, квартал) применяет большинство служб внутреннего аудита российских компаний.
Этапы риск-ориентированного планирования
При разработке плана внутреннего аудита выполняются следующие этапы:
- изучение деятельности компании, выявление и оценка рисков, разработка и обновление модели внутреннего аудита;
- координация с другими поставщиками гарантий;
- оценка ресурсов;
- подготовка проекта плана внутреннего аудита, получение обратной связи от руководства и комитета по аудиту;
- доработка плана внутреннего аудита;
- утверждение плана внутреннего аудита советом директоров (комитетом по аудиту);
- реализация плана;
- постоянная оценка рисков;
- актуализация плана;
Принятые в компании подходы к планированию и этапы составления плана внутреннего аудита отражаются во внутренних нормативных документах подразделения: Положение о внутреннем аудите, Порядок планирования деятельности внутреннего аудита.
Плановым периодом для внутреннего аудита в большинстве компаний является календарный год, отчетным периодом – квартал или полугодие.
Изучение деятельности компании, выявление и оценка рисков. разработка и обновление модели внутреннего аудита
Основой для риск-ориентированного планирования деятельности и ресурсов внутреннего аудита является модель внутреннего аудита – перечень объектов внутреннего аудита (бизнес-процессы, виды деятельности, проекты, подразделения, бизнес-единицы, центры ответственности).
Основными принципами формирования модели внутреннего аудита:
- разумная достаточность – степень детализации объектов аудита должна обеспечивать достижение целей внутреннего аудита при эффективном использовании ресурсов;
- соизмеримость объектов внутреннего аудита – включенные в план задания должны быть соизмеримы, содержать информацию одного уровня детализации;
- полнота покрытия объектов внутреннего аудита – модель внутреннего аудита должна учитывать все направления деятельности, бизнес-процессы, подразделения.
Модель внутреннего аудита компании, имеющей дочерние и зависимые общества, может включать дочерние и зависимые компании в качестве отдельных объектов аудита.
При наличии в компании региональных подразделений модель внутреннего аудита может дополняться информацией о принадлежности объектов внутреннего аудита к региону.
Модель внутреннего аудита формируется и актуализируется при планировании деятельности на предстоящий плановый период. Модель внутреннего аудита также может уточняться при возникновении существенных изменений в деятельности компании.
При составлении модели внутреннего аудита для планирования работы внутреннего аудита используются следующие источники информации о рисках:
- стратегия компании;
- организационная структура, информация об основных подразделениях, отделах и проектах;
- перечень основных бизнес-процессов и функций;
- информация об основных контрагентах;
- информационные системы;
- нормативные требования;
- финансовая и нефинансовая отчетность.
Стратегия компании может быть сформирована в виде отдельного публичного или непубличного документа. Стратегия компании фактически может отражаться в ее бюджете, долгосрочных и краткосрочных планах, принятых решениях органов управления по основным направлениям деятельности Общества.
Аудитом выявляются основные бизнес-процессы организации, риски и контрольные процедуры, изучаются имеющихся данные систем мониторинга рисков и отчетности.
При проведении оценки рисков внутренний аудит в соответствии со стандартом 1100 «Независимость и объективность» должен самостоятельно убедиться в полноте выявления, документирования и корректности оценки рисков.
Оценка рисков, присущих деятельности компании, производится как количественными, так качественными методами.
Выявление, документирование и оценку рисков производят, исходя их подхода, основанного на конкретных рисках либо процессного подход, при которых производится оценка отдельных бизнес-процессов или проверяемых единиц и подход.
Фактор риска – свойственная какому-либо процессу (виду деятельности, объекту) потенциальная способность оказывать влияние на результат хозяйственной деятельности.
Для проведения комплексной оценки рисков в масштабах компании определяются присущие для всех проверяемых элементов факторы рисков, влияющие на способность организации достигать поставленных целей. Факторы риска определяются на основе анализа производственной, коммерческой, финансовой, инвестиционной и других сфер хозяйственной деятельности предприятия.
При проведении оценки рисков бизнес-процессов и проверяемых единиц проводится анализ совокупности рисков, характерных для процессов и подразделений с последующей группировкой.
Риск-факторный анализ, как правило, включает наименование риск-факторов (критериев), принципы ранжирования и шкалу измерения, коэффициенты влияния риск-факторов на общее значение рисков.
По результатам оценки и ранжирования риск-факторов формируются группы объектов с высоким, средним и низком уровнем риска.
Ранжирование объектов внутреннего аудита можно проводить коллегиально, группой квалифицированных специалистов.
В процессе оценки рисков внутренние аудиторы оценивают как присущий риск, который бы существовал без средств контроля, так и остаточный риск. Аудитом производится оценка эффективности стратегии управления рисками, процессов и мероприятий по управлению рисками.
Актуальные акценты риск-ориентированного планирования
При планировании необходимо обратить внимание на важные акценты и риск-факторы, установленные стандартами:
2110.А1 Внутренний аудит должен оценивать дизайн, реализацию и эффективность целей, программ и деятельности организации в вопросах, связанных с этикой;
2110.А2 Внутренний аудит должен оценить, соответствует ли система управления информационными технологиями стратегии и целям организации;
2210.А1 Внутренний аудитор должен провести предварительную оценку рисков, относящихся к объекту аудита. Цели аудиторского задания должны соответствовать результатам этой оценки;
2210.А2 Определяя цели аудиторского задания, внутренние аудиторы должны учитывать вероятность существенных ошибок, мошенничества, несоблюдения процедур и другие риски.
Для оценки соответствия системы управления информационными технологиями стратегии и целям организации изучаются руководство информационными технологиями, организационная структура и основные процессы ИТ-обеспечения.
Стратегия компании в области информационного обеспечения должна соответствовать текущей конфигурации бизнес-процессов и поддерживать возможность их трансформации, обеспечивать обнаружение рисков и реагирование на угрозы кибербезопасности.
В данное время растет количество компаний, реализующих в своей деятельности принципы устойчивого развития, предполагающие принятие компанией экологической, социальной и управленческой ответственности.
Несоблюдение требований природоохранного законодательства, влечет за собой претензии со стороны регулирующих органов и репутационные риски.
Социальная ответственность бизнеса распространяется на взаимодействие с поставщиками и клиентами, сотрудниками компании, общественными институтами.
При наличии существенного влияния на деятельность компании сторонних поставщиков необходимо оценить риски, связанные с взаимодействием с третьими лицами.
Оценка рисков мошенничества должна проводиться в соответствии со стандартами 2210.А1 и 2210.А2 при выполнении всех заданий по предоставлению гарантий. Помимо этого, с учетом актуальности задач по предотвращению коррупции и мошенничества, предотвращению легализации доходов, полученных преступным путем возможно проведение аудитом комплексной оценки рисков мошенничества.
Руководитель внутреннего аудита определяет периодичность включения различных областей в план проверок, исходя из ценности результатов проверок для достижения целей компании, существенности рисков, а также имеющихся ресурсов.
В некоторых областях (например, финансовые услуги) либо для некоторых организаций (акционерные общества с участием государства) нормативными актами установлена определенная периодичность проведения аудиторских проверок организаций или бизнес-процессов.
Данные обязательные задания могут вступать в конфликт приоритетов с заданиями, определенными на основании оценки уровня рисков.
Для балансирования объема обязательных и риск-ориентированных заданий в плане внутреннего используются следующие варианты:
- сокращение объема обязательных задания и выделение для их выполнения минимального объема ресурсов;
- проведение регулярной оценки рисков и корректировки планов внутреннего аудита для включения в него на основании риск-ориентированного подхода наиболее актуальных и приоритетных рисков;
- координирование действий внутреннего аудита с другими поставщиками гарантий.
Оценка ресурсов, взаимодействие с другими поставщиками гарантий
Для координации деятельности аудита с руководителями и подразделениями первой и второй линий защиты в части контроля и предоставлении гарантий в ходе планирования изучаются документы, относящиеся к деятельности высшего исполнительного руководства, операционного руководства, комитетов при совете директоров.
Для выяснения ожиданий исполнительного руководства руководитель внутреннего аудита проводит консультации с заинтересованными сторонами, присутствует на заседаниях совета директоров и комитетов при аудите при совете директоров, а также проводит встречи с членами совета директоров, высшим исполнительным руководством, руководителями наиболее важных сегментов бизнеса и ключевыми сотрудниками. Аналогичное взаимодействие с бизнесом осуществляется сотрудниками внутреннего аудита.
При взаимодействии с заинтересованными странами в форме личных встреч, телефонного общения, интервью необходимо обеспечить независимость и объективность внутренних аудиторов (Стандарты 1100 «Независимость и объективность», 1130 «Факторы, отрицательно влияющие на независимость»), используя, например, чередование внутренних аудиторов при выполнении заданий по аудиту и предоставлению консультаций.
В процессе разработки плана внутренний аудит осуществляет непрерывное взаимодействие с заинтересованными сторонами, учитывает имеющиеся у них оценки рисков, а также степень информированности руководителей и сотрудников подразделений-владельцев рисков. В зависимости от степени информированности владельцев рисков о рисках и мерах реагирований может корректироваться оценка рисков для целей составления плана внутреннего аудита.
Для определения необходимого объема и качества ресурсов внутреннего аудита проводится оценка количества необходимого рабочего времени сотрудников и трудоемкости, наличия у сотрудников необходимых навыков, обеспеченности финансированием, инструментами, возможности применения методов аудита.
В соответствии с рекомендациями стандарта 2030 «Управление ресурсами» руководитель внутреннего аудита должен обеспечить наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.
Термин «соответствующий» предполагает сочетание знаний, навыков и других компетенций, необходимых для выполнения плана. Термин «достаточный» относится к количеству ресурсов, необходимых для выполнения плана. Ресурсы используются эффективно, если выполнение утвержденного плана достигается оптимальным образом.
При составлении плана внутреннего аудита руководитель внутреннего аудита актуализирует перечень навыков и знаний сотрудников, необходимых для выполнения плана. Для поддержания необходимого уровня квалификации и компетенций сотрудников руководитель внутреннего аудита включает в программу гарантий и повышения качества мероприятия по оценке навыков и непрерывному профессиональному развитию сотрудников подразделения внутреннего аудита.
В случае отсутствия необходимых знаний и навыков у сотрудников внутреннего аудита руководителем внутреннего аудита может привлечь внутреннего или внешнего эксперта. На стадии составлении плана необходимо оценить затраты на привлечение экспертов.
Для оптимального использования ресурсов внутреннего аудита необходима координация с другими поставщиками гарантий, например, внутренним контролем и управления рисками, внешними аудиторами. Использование результатов работы других поставщиков гарантий позволяет сократить дублирование функций, повысить эффективность оказываемых аудитом услуг.
Стандарт 2050 «Координация деятельности» предусматривает, что в целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего аудита следует обмениваться информацией и координировать деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и консультаций.
Для систематизации информации о рисках и предоставляемых гарантиях, выявления недостаточного покрытия рисков или избыточных гарантий используется такой инструмент, как карта рисков.
Карта рисков представляет собой графическое и текстовое отображение классификации рисков по степени их значимости и вероятности реализации. Карта рисков показывает вероятность возникновения и оценку рисков, содержит меры реагирования на риски.
Подготовка проекта плана работ внутреннего аудита
После идентификации основных целей и рисков, актуализации модели аудита, составляется перечень направлений, подлежащих проверке, производится оценка рисков на плановый и отчетный период, определяется общий и доступный фонд рабочего времени работников подразделения внутреннего аудита.
С учетом увеличения потребности руководства компаний и комитетов по аудиту в предоставлении консультаций и рекомендаций по областям, предварительно не включенным в перечень приоритетных, целесообразно выделять в отдельную часть плана выполнение заданий по консультированию, а также заданий, оперативное выполнение которых может быть запрошено до актуализации плана.
Разработанный проект плана внутреннего аудита включает следующие основные направления:
- плановые внутренние аудиторские проверки;
- внеплановые внутренние аудиторские проверки;
- мониторинг выполнения планов мероприятий по устранению выявленных нарушений;
- оценка необходимых ресурсов, помимо основных направлений деятельности, производится также по процессам, обеспечивающим функционирование внутреннего аудита:
- планирование и анализ деятельности внутреннего аудита;
- информационное и методологическое обеспечение деятельности внутреннего аудита;
- подготовка кадров и повышение профессионального уровня.
Направляемый для обсуждения с руководством компании для обсуждения и получения комментариев комплект документов по проекту плана внутреннего аудита может включать следующие разделы:
- обзор ключевых моментов плана в части существенных рисков, основных мероприятий, графика, штатного расписания;
- информация о применяемых политиках и процессах внутреннего аудита, подходах к планированию, методах оценки рисков;
- выводы по результатам оценки рисков;
- информация о заданиях, включенных в план. По каждому из заданий плана указывается, является ли задание обеспечением гарантий или предоставлением консультаций, предварительные масштабы и цели задания, сроки выполнения;
- информация о покрытии рисков заданиями плана внутреннего аудита и имеющихся исключениях. Если исключения затрагивают области высокого риска, необходимо привести информацию об их причинах (например, ресурсные ограничения) и принятых либо рекомендуемых мероприятиях по получению гарантий, например, посредством привлечения внешних соисполнителей;
- ресурсный план, содержащий типы и количество необходимых ресурсов.
- финансовый план;
- результаты согласования заинтересованными сторонами.
В большинстве компаний согласование и утверждение плана внутреннего аудита проводится на плановый период, не превышающий год. Вместе с тем, для учета покрытия мероприятиями плана всех существенных направлений деятельности, процессов и рисков с учетом имеющихся ресурсных ограничений на периодической основе рекомендуется составление рабочего варианта проекта плана внутреннего аудита на трёхлетний период, с возможностью изменения заданий второго и третьего года планирования по результатам оценки рисков.
Получение обратной связи от руководства и комитета по аудиту
После разработки риск-ориентированного плана работы внутреннего аудита руководитель внутреннего аудита обсуждает план с высшим исполнительным руководством компании, при необходимости проводит консультации с комитетами при Совете директоров, владельцами бизнес-процессов для обсуждения объема и сроков выполнения заданий плана.
В ходе обсуждения с менеджментом анализируются полнота включения в план рисков и ключевых элементов, наличие предстоящих изменений в компании, не учтенных при планировании, корреляция плана с целями компании и существенными рисками, планируемые результаты выполнения заданий, включенных в план, оценивается предполагаемый эффект от выполнения заданий плана, проводится оценка сроков выполнения заданий, распределения ресурсов, для покрытия гарантиями проверяемых областей.
Сообщая о планах подразделения внутреннего аудита и потребности в ресурсах, руководитель внутреннего аудита должен привлечь внимание к областям с высоким риском, у которых не будет достаточного покрытия гарантиями вследствие имеющихся бюджетных ограничений и запросить при необходимости дополнительные ресурсы.
По результатам анализа обратной связи от высшего исполнительного руководства проводятся необходимые корректировки и уточнения плана внутреннего аудита.
Утверждение плана работ внутреннего аудита
Проект плана внутреннего аудита направляется на утверждение советом директоров. В зависимости от установленных уставом компании полномочий комитета по аудиту при совете директоров возможны следующие варианты утверждения:
- предварительное рассмотрение комитетом по аудиту при совете директоров, утверждение советом директоров;
- утверждение комитетом по аудиту при совете директоров.
Утвержденный советом директоров (комитетом по аудиту) план внутреннего аудита доводится до генерального директора компании.
В течение планового периода в план внутреннего аудита при необходимости могут вноситься изменения, в том числе по результатам переоценки рисков владельцами бизнес-процессов. Порядок согласования и утверждения документов с учетом изменений аналогичен процедуре первоначального согласования и утверждения.
Контроль реализации плана
По итогам планового либо отчетного периода составляется отчет о результатах деятельности внутреннего аудита, включающий, в том числе, информацию о состоянии и результатах выполнении всех мероприятий плана внутреннего аудита, а также иных заданий и поручений.
Отчет о результатах деятельности внутреннего аудита направляется совету директоров (комитет по аудиту при совете директоров), иные органы управления компании с установленной периодичностью, но не реже одного раза в год по итогам отчётного периода.
Заключение
Результатом риск-ориентированного планирования работы подразделения внутреннего аудита является план работы, содержащий области, подлежащие аудиту, информацию о рисках, задействованных процессах, проектах и подразделениях, приоритетности направлений проверок, календарный график реализации проектов.
Итоговый план позволяет максимально эффективно задействовать имеющиеся ресурсы внутреннего аудита для решения стоящих перед компанией задач, организовать взаимодействие аудита с руководством, комитетом по аудиту, другими заинтересованными лицами.
Содержащаяся по каждой из строк плана информация о проектах внутреннего аудита используется для составления аудиторских заданий по проверкам.
Матричная структура плана обеспечивает возможность его актуализации в течение планового периода при изменении карты рисков либо возникновении новых стратегических направлений.
Читайте также
Библиографический список
- Парамонова, Л.А. Риск-ориентированный подход к организации внутреннего аудита экономического субъекта // Гуманитарные Балканские исследования, 2017, №1. С.35-37.
- Модель Трех линий ИВА. Обновление Модели Трех линий защиты. Международный Институт внутренних аудиторов (IIA), 2020, https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
- Международные основы профессиональной практики внутреннего аудита (ред. 2016 г.), https://www.iia-ru.ru/
- Исследование текущего состояния и тенденций развития внутреннего аудита в России, 2019, Делойт и Туш СНГ совместно с Институтом внутренних аудиторов. https://www.iia-ru.ru/contact/Исследование%20текущего%20состояния%20и%20тенденций%20развития%20внутреннего%20аудита%20в%20России%202019.pdf
- Письмо Банка России от 01.10.2020 № ИН-06-28/143 «Информационное письмо о рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах».
- Доклад «Внутренний контроль: интегрированный подход» (COSO), Комитет спонсорских организаций Комиссии Трэдуэя (the Committee of Sponsoring Organizations of the Treadway Commission’s Internal control — Integrated Framework). https://www.coso.org/
- Управление рисками организаций. Интегрированная модель.
Краткое изложение. Концептуальные основы. 2004. 2017. COSO, https://www.coso.org/ - Глобальное исследование по рискам 2020 года. PwC. 2020. // Режим доступа: https://www.pwc.ru/ru/publications/2020-global-risk-study/global-risk-study-2020.pdf. https://www.pwc.ru/ru/publications/2020-global-risk-study.html
- Практическое руководство «Разработка риск-ориентированного плана внутреннего аудита» (PG: Developing a Risk-based Internal Audit Plan) от мая 2020 года., Институт внутренних аудиторов; https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Developing-a-Risk-based-Internal-Audit-Plan.aspx
- Приказ Минфина России от 09.01.2019 № 2н «О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу некоторых приказов Министерства финансов Российской Федерации» (с изменениями и дополнениями).
References
- Paramonova, L.A. Risk-based approach to the organization of internal audit of an economic entity [Risk-oriyentirovannyy podkhod k organizatsii vnutrennego audita ekonomicheskogo sub”yekta]// Humanitarian Balkan Studies, 2017, no. S. 35-37.
- Model of Three IVA lines. Updating the Three Lines of Defense Model [Model’ Trekh liniy IVA. Obnovleniye Modeli Trekh liniy zashchity]. International Institute of Internal Auditors (IIA), 2020, https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
- International framework for the professional practice of internal audit (ed. 2016) [Mezhdunarodnyye osnovy professional’noy praktiki vnutrennego audita (red. 2016 g.)], https://www.iia-ru.ru/
- Research on the current state and development trends of internal audit in Russia [Issledovaniye tekushchego sostoyaniya i tendentsiy razvitiya vnutrennego audita v Rossii,], 2019, Deloitte and Touche CIS in cooperation with the Institute of Internal Auditors. https://www.iia-ru.ru/contact/Investigation of %20Current %20State %20and %20Trends %20Development %20internal %20audit %20in %20Russia %202019.pdf
- Letter of the Bank of Russia dated 01.10.2020 No. IN-06-28 / 143 “Information letter on recommendations for organizing risk management, internal control, internal audit, and the work of the audit committee of the board of directors (supervisory board) in public joint stock companies.” [Informatsionnoye pis’mo o rekomendatsiyakh po organizatsii upravleniya riskami, vnutrennego kontrolya, vnutrennego audita, raboty komiteta soveta direktorov (nablyudatel’nogo soveta) po auditu v publichnykh aktsionernykh obshchestvakh]
- Report “Internal Control: An Integrated Approach” (COSO) [Vnutrenniy kontrol’: integrirovannyy podkhod], the Committee of Sponsoring Organizations of the Treadway Commission’s Internal control – Integrated Framework. https://www.coso.org/
- Risk management of organizations. Integrated model. [pravleniye riskami organizatsiy. Integrirovannaya model’. Kratkoye izlozheniye. Kontseptual’nyye osnovy] Summary. Conceptual framework. 2004.2017. COSO, https://www.coso.org/
- Global Risk Study 2020. PwC. 2020. // Access mode: https://www.pwc.ru/ru/publications/2020-global-risk-study/global-risk-study-2020.pdf. https://www.pwc.ru/ru/publications/2020-global-risk-study.html
- Practical Guide “Developing a Risk-based Internal Audit Plan” [Prakticheskoye rukovodstvo «Razrabotka risk-oriyentirovannogo plana vnutrennego audita] (PG: Developing a Risk-based Internal Audit Plan) from May 2020, Institute of Internal Auditors; https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Developing-a-Risk-based-Internal-Audit-Plan.aspx
- Order of the Ministry of Finance of Russia dated 09.01.2019 No. 2n “On the introduction of international auditing standards in the territory of the Russian Federation and on recognizing as invalid some orders of the Ministry of Finance of the Russian Federation” [O vvedenii v deystviye mezhdunarodnykh standartov audita na territorii Rossiyskoy Federatsii i o priznanii utrativshimi silu nekotorykh prikazov Ministerstva finansov Rossiyskoy Federatsii] (as amended and supplemented).