Оценка рисков в рискориентированных проверках подразделениями внутреннего аудита

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Оценка рисков в риск-ориентированных проверках подразделениями внутреннего аудита

Тарас Анатольевич Земцов¹, Максим Александрович Сорокин²

¹ ООО «Газпром трансгаз Томск», Томск, Россия,

² ООО «НалогИнфо», Томск, Россия,



Аннотация. Статья посвящена объединению принципов менеджмента риска с целями внутреннего аудита и раскрытию понятий менеджмента риска.

В настоящей статье определена наиболее весомая причина, препятствующая внедрению в российскую практику внутреннего аудита принципов менеджмента риска. Раскрыта скоррелированность элементов риска, достаточных для идентификации рисков и оценки уровня риска, проводимых в рамках осуществления внутреннего аудита с применением риск-ориентированного подхода. На основе анализа сущности каждого из элементов риска (источник риска, событие, последствие) определена их обособленная роль в оценке вероятности реализации риска и значимости последствий, определении необходимости разработки мероприятий по управлению рисками.

Используя практический опыт, авторами предлагается алгоритм оценки уровня риска, проводимой в рамках осуществления внутреннего аудита. Рассмотрены возможные качественные и количественные характеристики определения вероятности и существенности риска. В рамках установления средней вероятности наступления негативных последствий определены конкретные критерии оценки вероятности наступления событий на основе истории наступления аналогичных событий и прогнозной оценки вероятности наступления аналогичных событий. Представлены примеры определения вероятности для каждого события в составе группы событий и определения вероятности наступления последствий в нескольких группах событий.

Определены критерии метода оценки вероятности реализации риска путем установления совокупности событий, при одновременном наступлении которых реализуется риск. Приведены примеры финансовых и нефинансовых последствий, критерии их оценки.

Для установления элементов риска при проведении внутренних аудиторских проверок раскрыта сущность аналитических процедур, осуществляемых с использованием дедуктивного и индуктивного методов.

В настоящее время крупными российскими компаниями делаются определенные шаги по внедрению в реализуемые бизнес-процессы принципов индустрии 4.0. Данная тенденция коснулась и внутреннего аудита, например, внедряются принципы непрерывного аудита и автоматизированного анализа баз данных. Но зачастую при внедрении не учитывается главное условие, рассмотренное в настоящей статье, без соблюдения которого попытки внедрения приведут только к нерациональному использованию ресурсов Организаций.

Ключевые слова: источник риска, событие, последствие реализации риска, существенные риски, экстраполяция, уровень риска



Risk assessment in risk-oriented audits by internal audit units

Taras A. Zemtsov¹, Maksim A. Sorokin²

¹ Gazprom Transgaz Tomsk, Tomsk, Russia,

² Naloglnfo, Tomsk, Russia

Abstract. The article combines the principles of risk management with the objectives of internal audit defines and clarifies the concepts of risk management. Undoubtedly, external audit has a great influence on the formation of internal audit. This influence has both positive qualities, such as the use of the experience of highly qualified specialists from external audit, and a negative impact due to the fact that external audit is primarily aimed at the confirmation of the financial statements of an organization, but in general does not consider business processes implemented in organizations, their effectiveness and adequacy to achieve organizations' objectives, risks inherent in business processes. The article identifies the most important reason preventing the implementation of risk management principles in the Russian internal audit practice. The correlation of risk elements, which are sufficient for risk identification and risk level assessment within internal audit using a risk-oriented approach, has been disclosed. Based on the analysis of the essence of each risk element (risk source, event, consequence), their isolated role in assessing the likelihood of risk realization and the significance of the consequences, determining the necessity of risk management measures, has been determined. Using practical experience, the authors propose an algorithm of risk level assessment carried out within internal audit implementation. Possible qualitative and quantitative characteristics of determination of risk probability and materiality are considered. As part of the determination of the average likelihood of negative consequences' occurrence, specific criteria of event likelihood assessment based on the history of similar events' occurrence and the forecast assessment of likelihood of similar events' occurrence are identified. Examples of determining the likelihood for each event within a group of events and the likelihood of occurrence of consequences in several groups of events are presented. Criteria for assessing the likelihood of risk realization are determined by establishing the set of events, whose simultaneous occurrence realizes the risk Examples of financial and non-financial consequences and criteria for their assessment are given. In order to determine the elements of risk during internal audits, the essence of analytical procedures performed with the use of deductive and inductive methods is disclosed. At present, large Russian companies are taking certain steps to implement the principles of Industry 4.0 in their business processes. This trend has not passed unnoticed for internal audit; for example, principles of continuous audit and automated analysis of databases are being implemented. However, the implementation often ignores the main condition that this article discusses; without it implementation attempts will only lead to an irrational use of organizational resources.

Keywords: risk source, risk event, consequences of risk implementation, significant risks, extrapolation, risk level



В настоящее время принципы менеджмента риска признаются в мировом сообществе и России передовыми для ведения деятельности организаций. Данные принципы раскрыты в международных стандартах, а также в национальных стандартах РФ [1-3]. Но существуют проблемы перевода англоязычных международных стандартов, изученные в научных работах российских специалистов [4]. К таким проблемам при переводе международных стандартов могут относиться: неточности перевода, включение в текст «собственных» дополнительных положений и (или) исключение из текста положений оригинала, неполный и (или) неточный смысловой перевод или перевод, противоречащий положениям оригинала. Также они не содержат конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации. Данные проблемы существенно затрудняют практическое внедрение принципов менеджмента риска организациями в свою деятельность и тем более их использование при проведении внешних и внутренних аудитов.

В РФ действуют международные стандарты аудита, но данные стандарты регулируют деятельность аудиторских организаций при проведении внешних аудитов, основной целью которых является только выражение мнения о достоверности бухгалтерской (финансовой) отчетности организации [5].

Более детально сущность риска рассмотрена в нормативных документах органов исполнительной власти [6, 7], но данные нормативные документы в первую очередь направлены на обеспечение предотвращения или выявление отклонений от установленных правил и процедур, а также искажений данных бухгалтерского учета, бухгалтерской (финансовой) и иной отчетности.

В настоящее время некоммерческим партнерством «Институт внутренних аудиторов», объединяющим внутренних аудиторов в РФ, переведены и применяются международные стандарты внутреннего аудита, в которых изложены только основные правила организации подразделения внутреннего аудита, методологические основы осуществления внутреннего аудита и вопросы обеспечения качества его работы.

Резюмируя вышеизложенное, можно сделать вывод о том, что в России отсутствуют нормативные и иные документы, позволяющие наиболее эффективно проводить внутренний аудит с применением риск-ориентированного подхода.

При проведении внутренних аудиторских проверок риски устанавливаются внутренними аудиторами исходя из организации объектом проверки бизнес-процесса и на основе данных об их фактической реализации в организации или во внешней среде.

Согласно п. 3.5.1 ГОСТ Р 51897-2011 для идентификации риска необходимо описать четыре элемента риска (источники риска, события, их причины и возможные последствия).

По нашему мнению, при проведении аудиторских проверок в целях точной оценки уровня выявленного риска, разработки полных и достаточных мероприятий по управлению рисками можно установить три элемента риска: источник риска, событие и последствие.

Скоррелированность элементов рисков при идентификации рисков представлена на рис. 1.

Рис. 1. Схема скоррелировашюсш элементов рисков при идентификации рисков

Выявление всех трех элементов риска обязательно для эффективного управления рисками, позволяет произвести оценку риска, определить мероприятия по управлению рисками, владельцев рисков и распределить между ними роли по управлению рисками.

Рассмотрим более подробно каждый из элементов риска и их скоррелированность при идентификации рисков.

Согласно п. 3.5.1.2 ГОСТ Р 51897-2011 источником риска является объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска. Источник риска может быть материальным или нематериальным.

Проанализировав сущность данного элемента риска и его скоррелированность с другими, мы пришли к выводу, что более точным в целях проведения аудита будет следующее определение: Источник риска - событие, которое возникло при осуществлении деятельности организации и являющееся причиной возникновения одного или нескольких событий, или цепочки взаимосвязанных событий в одном или нескольких бизнес-процессах.

На основе анализа результатов аудиторских проверок и идентификации выявленных рисков выделяются типичные источники рисков, представленные в табл. 1.

Таблица 1. Типичные источники риска

1	Отсутствие регламентации контрольной процедуры
2	Отсутствие детальной регламентации процесса/бизнес-процесса
3	Противоречия между локальными нормативными документами
4	Несоответствие локальных нормативных документов законодательству РФ, нормативным документам головной организации
5	Несоответствие штатной структуры масштабам деятельности
6	Недобросовестные действия сотрудников
7	Дублирование функций
8	Неэффективное распределение обязанностей, в т.ч. отсутствие дублеров
9	Допущение к работам и операциям исполнителей несоответствующей квалификации

Установление источников риска, действительно влияющих на возникновение и реализацию событий, и определение оптимальных мероприятий по реагированию на риск в зависимости от установленных источников риска является одной из основных задач, решаемых при проведении риск-ориентированной проверки.

Решение даже всех промежуточных проблем, без воздействия на источник риска, приведет к повторным сбоям в бизнес-процессе(-ах).

Вторым рассматриваемым нами элементом риска является событие.

Согласно п. 3.5.1.3 ГОСТ Р 51897-2011 «Событие: возникновение или изменение специфического набора условий.

Примечание 1. Событие может быть единичным или многократным и может иметь несколько причин.

Примечание 2. Событие может быть определенным или неопределенным.

Примечание 3. Событие может быть названо терминами «инцидент», «опасное событие» или «несчастный случай».

Примечание 4. Событие без последствий может также быть названо терминами «угроза возникновения опасного события», «угроза инцидента», «угроза поражения» или «угроза возникновения аварийной ситуации».

Проанализировав сущность данного элемента риска и его скоррелированность с другими, мы пришли к выводу, что более точным в целях проведения аудита будет следующее определение: событие - событие, которое возникло на момент проверки или может возникнуть при реализации бизнес-процесса, наступление которого может привести к возникновению нескольких событий в одном или нескольких бизнес-процессах, к реализации Риска или увеличению вероятности возникновения последствий.

Событием являются:

- невыполнение контрольной процедуры или отсутствие в регламентирующих документах организации контрольной процедуры, необходимой для достижения целей бизнес-процесса;

- негативное событие, возникшее в результате невыполнения или отсутствия контрольной процедуры.

Событие может оказать несколько воздействий различной значимости, повлиять на достижение нескольких целей [8, 9].

Исходя из этого, в ходе проверок при анализе выявленных событий и определении их скоррелированности с другими элементами риска следует учитывать следующее:

- одно событие может быть следствием нескольких не взаимосвязанных Источников риска, находящихся в зоне деятельное™ одного или нескольких бизнес-процессов;

- каждое событие может привести к возникновению нескольких Событий в одном или нескольких бизнес-процессах;

- одно событие может привести к реализации нескольких последствий в одном или нескольких бизнес-процессах;

- одно событие может входить в состав различных групп событий;

- группа событий может состоять как из нескольких событий, одновременное наступление которых однозначно приведет к реализации риска, так и из одного события.

По каждому выявленному событию устанавливается наличие достаточной системы контрольных процедур, способствующих исключению (снижению) вероятности наступления событий и предотвращению (смягчению) негативных последствий, возникающих вследствие реализации события.

Вероятность реализации риска на основании анализа событий оценивается следующими методами, не описываемыми стандартами:

- установление средней вероятности наступления события;

- установление совокупности событий, при одновременном наступлении которых реализуется риск.

Метод оценки средней вероятности наступления события является более точным по сравнению со вторым рассматриваемым методом оценки -- вероятность реализации риска, но одновременно является и более трудозатратным. Данный метод заключается в следующем. Аудиторами определяется группа событий, контролируемых (в отношении которых организация имеет соответствующий комплекс контрольных процедур) и не контролируемых организацией. Не контролируемые организацией события включают в группу, если влияние их на реализацию риска может быть признано существенным и вероятность наступления события очень высока в течение ближайших 6 месяцев или имела место в предшествующие 6 месяцев, или наступление события очень распространено во внешней среде.

Оценка вероятности наступления каждого события в составе группы осуществляется в соответствии с критериями табл. 2.

Таблица 2. Критерии оценки вероятности наступления события

	Критерии оценки
Вероятность реализации риска	История наступления аналогичных событий (при наличии достоверной информации)	Прогнозная оценка вероятности (при отсутствии достоверной информации)
Минимальная Сдо 10,00%)	Событие не наступало в прошлом	Скорее всего, не произойдет, или произойдет реже чем 1 раз в 10 лет
Низкая (10,01-20,00%)	Событие редко наступало в течение последних 5 лет	Возможно, произойдет с частотой не чаще чем 1 раз в 6 лет и не реже чем 1 раз в 10 лет
Средняя(или 20,01-40,00%)	Событие редко наступало в течение последних 2 лет	Вероятно, произойдет с частотой не чаще чем 1 раз в 2 года и не реже чем 1 раз в 3 года
Существенная (или 40,01-- 75,00%)	Событие периодически наступало в течение последних 2 лет	Возможно, произойдет с частотой не чаще чем 1 раз в 1 год и не реже чем 1 раз в 2 года
Высокая (или 75,01% и выше)	Событие периодически наступало в течение последних 12 месяцев	Очень вероятно произойдет в течение 12 месяцев

Для оценки средней вероятности определяется среднеарифметический показатель от всех определенных значений вероятности наступления событий. Пример оценки средней вероятности представлен на рис. 2.

Рис. 2. Пример оценки средней вероятности наступления негативных последствий в целом для риска

При выявлении нескольких групп событий по каждой из групп определяется событие с минимальным показателем вероятности его наступления. Данное значение будет представлять собой степень вероятности наступления негативных последствий для группы в целом. Пример определения вероятности наступления негативных последствий для группы событий представлен на рис. 3.

Рис. 3. Пример определения вероятности наступления негативных последствий для группы Событий

По результатам оценки выбирают группу с наиболее высоким показателем вероятности, которая и будет представлять собой среднюю вероятность наступления негативных последствий для групп событий в целом. Пример определения вероятности наступления негативных последствий для групп событий представлен на рис. 4.

Рис. 4. Пример определения вероятности наступления негативных последствий для групп Событий

Определение вероятности реализации риска путем установления совокупности событий, при одновременном наступлении которых реализуется риск, осуществляется в соответствии с критериями табл. 3.

Таблица 3. Критерии оценки вероятности реализации риска

Вероятность реализации риска	Критерии оценки
Минимальная (до 10,00%)	Реализация риска возможна при одновременном и последовательном наступлении более 4 событий
Низкая (10,00-20,00%)	Реализация риска при одновременном и последовательном наступлении 4 событий
Средняя (20,01-40,00%)	Реализация риска при одновременном и последовательном наступлении 3 событий
Существенная (40,01-75,00%)	Реализация риска при одновременном и последовательном наступлении 2 событий
Высокая (75,01% и выше)	Реализация риска зависит только от выявления факта нарушения надзорными и контролирующими органами либо с высокой долей уверенности может привести к ним в течение ближайших 2 календарных кварталов

Рассматриваемый метод менее точный, чем первый, но позволяет с наименьшими трудозатратами провести оценку вероятности реализации риска и детально раскрыть механизм реализации риска и причинно-следственную связь между элементами риска.

Следующим элементом риска является последствие.

Согласно п. 3.6.1.3 ГОСТ Р 51897-2011 «Последствие: результат воздействия события на объект.

Примечание 1 - Результатом воздействия события может быть одно или несколько последствий.

Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.

Примечание 3 -- Последствия могут быть выражены качественно или количественно.

Примечание 4 -- Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу “домино”».

Проанализировав сущность данного элемента риска и его скоррелиро-ванность с другими, мы пришли к выводу, что более точным в целях проведения аудита будет следующее определение: последствие - это финансовые и нефинансовые выгоды или потери организации в количественном или качественном выражении.

В связи с тем, что в ходе внутренних аудиторских проверок наиболее часто выявляются негативные события, рассмотрим в настоящей статье именно негативные последствия. Укрупненными видами негативных последствий являются финансовые и нефинансовые потери.

Финансовые потери представляют собой количественно измеримые расходы / убытки / недополученные доходы, такие как:

- снижение размера капитала организации;

- убытки, списания за счет расходов, прибыли или сформированных резервов;

- утрата актива, снижение его стоимости, ущерб физическим активам, потеря потребительских качеств физических активов;

- штрафы, пени;

- компенсации, неустойки контрагентам;

- судебные издержки, выплаты по решению суда;

- дополнительные затраты на создание/ увеличение резервов, восстановление нормальной деятельности подразделений и процессов, устранение последствий ошибок, аварий, стихийных бедствий и пр.;

— недополученный доход, незапланированное снижение доходов, тенденция к увеличению расходов;

- прочие незапланированные расходы и убытки в явном виде.

Финансовые потери различного характера суммируются при определении уровня риска.

В связи с тем, что аудиторские проверки осуществляются выборочным способом, при оценке величины финансовых потерь от реализации риска необходимо осуществлять экстраполяцию результатов проверки на основании информации о проверенной генеральной совокупности.

Нефинансовые потери представляют собой трудноизмеримые и (или) труднопрогнозируемые в денежном выражении потери организации, но легко оцениваемые с помощью качественных оценок, определенных в организации.

Как правило, нефинансовые потери при продолжительном действии события имеют свойство реализовываться в финансовые потери при отсутствии корректирующих мероприятий.

К нефинансовым потерям относятся:

- репутационный ущерб - к данной категории потерь можно отнести снижение рейтинговых оценок, репутационные издержки для организации и акционера, негативную информацию в средствах массовой информации, утрату ключевых контрагентов и пр.;

— санкции надзорных и контролирующих органов;

— остановка, перерыв в деятельности -- к данной категории потерь можно отнести остановку деятельности организации, отдельных структурных подразделений, перерыв в работе или остановку процессов, снижение темпов реализации и функционирования процессов.

Определение значимости финансовых и нефинансовых последствий реализации риска осуществляется в соответствии с критериями табл. 4.

Таблица 4. Критерии определения значимости последствий реализации риска

Очень НИЗКИЙ 1 Низкий 1 Средний 1 Высокий 1 Очень высокий 1. Финансовые последствия 1.1. Прямые финансовые потери в % от стоимости актива/статьи отчегности/валюты баланса/лимита капитальных вложений/ вознаграждения Агента Менее 1% 1 1-3% 1 4--5% 1 6-10% 1 Более 10% 1.2. Прямые финансовые потери в абсолютных показателях Менее 5 млн руб. 1 5-10 млн руб. | 10-30 млн руб. | 30-50 млн руб. | Более 50 млн руб. 2. Нефинансовые последствия 2.1. Репутационный ущерб
Факты негативных сообщений в средствах массовой информации отсутствуют	Появление негативных сообщений в местных средствах массовой информации	Появление негативных сообщений в региональных средствах массовой информации	Появление негативных сообщений в федеральных средствах массовой информации	Появление негативных сообщений в международных средствах массовой информации
2.2. Санкции надзорных и контролирующих органов
Нарушение нормативных актов при отсутствии (в т.ч. потенциально) мер воздействия со стороны надзорных и контролирующих органов	Потенциальное применение мер воздействия (вне зависимости от их существенности) со стороны надзорных и контролирующих органов	Ограничение деятельности отдельного подразделения (филиала) организации	Ограничение деятельности отдельного бизнес- процесса организации	Ограничение деятельности организации
2.3. Остановка, перерыв (простой) в деятельности
Единичные случаи перерывов в деятельности одного или нескольких структурных подразделений	Периодические перебои в деятельности обеспечивающих подразделений	Незапланированное снижение темпов и сокращение масштабов проведения отдельных процессов	Незапланированный перерыв (простой) в деятельности бизнес- процесса	Прекращение работы организации по основному направлению ключевого структурного подразделения

В организациях, осуществляющих свою деятельность на опасных производственных объектах, целесообразно дополнительно разрабатывать критерии значимости нефинансовых последствий по таким показателям, как «угроза жизни и здоровью людей», «негативное влияние на окружающую среду».

Вероятность реализации риска на основании имеющейся из достоверных внутренних и внешних источников информации о наступлении негативных последствий в прошедших периодах оценивается по критериям, изложенным в табл. 5.

Таблица 5. Критерии оценки вероятности наступления негативных последствий

Вероятность реализации риска	История наступления негативных последствий (при наличии достоверной информации)
Минимальная (0-10,00%)	Негативные последствия не наступали в прошлом
Низкая (10,01-20,00%)	Негативные последствия редко наступали в течение последних 10 лет
Средняя (20,01-40,00%)	Негативные последствия редко наступали в течение последних 5 лет
Существенная (40,01-75,00%)	Негативные последствия эпизодически наступали в течение последних 2 лет при отсутствии изменений внутренних и внешних условий
Высокая (75,01-100,00%)	Негативные последствия периодически наступали в течение 12 месяцев

По результатам оценки значимости последствий и вероятности реализации риска производится оценка уровня риска с применением матрицы определения уровня риска (табл. 6).

Таблица 6. Матрица определения уровня риска

Последствия (степень влияния реализации риска)		Вероятность реализации риска
	Минимальная (10,00% и ниже)	Низкая (10,01-20,00%)	Средняя (20,01--40,00%)	Существенная (40,01-75,00%)	Высокая (75,01% и выше)
Очень высокие	Существенный	Существенный	Критический	Критический	Критический
Высокие	Существенный	Существенный	Существен ный	Критический	Критический
Средние	Несущественный	Существенный	Существен ный	Существенный	Критический
Низкие	Несущественный	Несущественный	Существен ный	Существенный	Существенный
Очень низкие	Несущественный	Несущественный	Несущественный	Существенный	Существенный

В последнее время в крупных российских организациях прослеживается тенденция внедрения в деятельность внутреннего аудита принципов непрерывного аудита и индустрии 4.0 в виде автоматизированного анализа баз данных.

Для практической реализации данных принципов организациям необходимо в первую очередь обеспечивать отражение данных событий в учетных системах организации, не ограничиваясь системами, обеспечивающими осуществление бухгалтерского, управленческого и налогового учетов или реализуя в данных системах возможность отражения информации, необходимой для учета параметров событий, влекущих существенные риски. Подразделениям внутреннего аудита, в свою очередь, необходимо учтенные события закладывать в алгоритмы автоматической проверки баз данных.

Для установления элементов риска при проведении аудиторских проверок осуществляются аналитические процедуры с использованием дедуктивного и индуктивного методов.

При дедуктивном методе целью в первую очередь служит обнаружение источников риска и только затем выявление событий, являющихся следствием источников риска и последующим определением возможных или наступивших негативных последствий. Пример применения дедуктивного метода представлен на рис. 5.

Рис. 5. Пример применения дедуктивного метода

Например, первоначально внутренними аудиторами изучаются и сопоставляюся законодательство и регламентирующие документы организации для выявления несоответствий и противоречий, отсутствия регламентации отдельных контрольных процедур. По результатам выявляют события путем проведения аудиторских процедур, определяют возможные или наступившие негативные последствия.

При индуктивном методе объект проверки изучается, постепенно переходя от частного к общему. Общие положения при этом основываются на многочисленных наблюдениях, локальных выводах, обобщениях.

В рамках риск-ориентированной проверки сущность данного метода заключается в первоначальном выявлении событий, наступивших негативных последствий и дальнейшем выявлении источников риска. Пример применения индуктивного метода представлен на рис. 6.

Рис. 6. Пример применения индуктивного метода

Например, рассмотрим ситуацию, когда аудиторами выявлено случайное уничтожение или повреждение в ходе строительства созданного контрагентом объекта (но на момент гибели не переданного заказчику (агенту) (1-е событие). Второе -- у контрагента отсутствует финансовая возможность восстановить объект за счет собственных средств и возместить убытки заказчика (агента) (2-е событие). Вследствие этого заказчик (агент) не имеет возможности выполнить свои обязательства перед принципалом по реализации инвестиционного проекта в полном объеме и в установленные сроки. Следовательно, принципал на основе соответствующих положений агентского договора имеет право не выплачивать агентское вознаграждение (негативное последствие в размере невыплаченного агентского вознаграждения).

При анализе данной ситуации аудиторы могут выявить следующие источники риска:

— невыполнение заказчиком (агентом) условия агентского договора о том, что в договорах подряда, заключаемых заказчиком (агентом) с контрагентами, необходимо предусматривать условие об обязанности Контрагентов застраховать риск случайной гибели или случайного повреждения объекта до момента передачи принципалу результатов соответствующих работ;

- отсутствие контроля со стороны заказчика (агента) за исполнением контрагентом вышеуказанного условия договора подряда о страховании объекта.

Исходя из выявленных источников риска, аудиторы могут выявить дополнительные негативные последствия в виде предъявления принципалом предусмотренных условиями агентского договора требований об уплате неустойки (штрафа) за необеспечение в договорах подряда обязательных условий по страхованию объектов строительства.

Следует отметить, что для выявления внутренними аудиторами риска возможно одновременное применение обоих методов, дедуктивного и индуктивного. Пример применения дедуктивного и индуктивного методов представлен на рис. 7.

Рис. 7. Пример применения дедуктивного и индуктивного методов

Например, в ходе проверки аудиторы выявили использование неактуальной формы документа. Применяя индуктивный метод, внутренние аудиторы установили, что причиной данного недостатка являлось отсутствие ознакомления исполнителя с приказом, которым была актуализирована форма документа. В подобных ситуациях аудиторам необходимо дополнительно применить дедуктивный метод. Внутренними аудиторами за отправную точку берется отсутствие ознакомления исполнителя с приказом. Если приказ не только актуализировал форму документа, но и внес другие существенные изменения в процедуры бизнес-процесса, в которых задействован исполнитель, то внутреннему аудитору, применяя дедуктивный метод, необходимо проверить, каким образом реализуются данным исполнителем другие требования приказа, неисполнение которых может привести к возникновению иных рисков.

менеджмент риск внутренний аудит



Список источников

1. ГОСТ Р 51897-2011. Руководство ИСО 73:2009. Национальный стандарт Российской Федерации. Менеджмент риска. Термины и определения: угв. приказом Госстандарта от 16.11.2011 № 548-ст // Доступ из справ.-правовой системы консультант*».

2. ГОСТ Р 58771-2019. Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска: утв. приказом Госстандарта от 17.12.2019 № 1405-ст И Доступ из справ.-правовой системы «Консультант*».

3. ГОСТ Р ИСО 31000-2019. Национальный стандарт Российской Федерации. Менеджмент риска. Принципы и руководство: утв. приказом Госстандарта от 10.12.2019 № 1379-ст И Доступ из справ.-правовой системы «Консультант*».

4. Дролова ЕЮ., Зайкова И.В., Мезенцева Э.А. Проблемы перевода англоязычных международных стандартов менеджмента качества И Вестник Иркутского государственного технического университета. 2015. С. 255-259.

5. О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу некоторых приказов Министерства финансов Российской Федерации: приказ Минфина России от 09.01.2019 №2н // Доступ из справ.-правовой системы «Консультант*».

6. Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности: Информация Минфина России № ПЗ- 11/2013 // Доступ из справ.-правовой системы «Консультант-1-».

7. Об утверждении требований к организации системы внутреннего контроля, а также форм и форматов документов, представляемых организациями при раскрытии информации о системе внутреннего контроля: утв. приказом ФНС России от 25.05.2021 № ЕД-7-23/518@ // Доступ из справ.-правовой системы «Консультант+».

8. Сорокин М.А., Земцов Т.А. Риск-ориентированный аудит : учеб.-метод. пособие. Томск : КФУ ИЭМ НИ ТГУ, 2019. 80 с.

9. Земцов Т.А., Сорокин М.А. Планирование внутренних риск ориентированных проверок // Аудит. 2019. № 5. С. 19-24.

Размещено на Allbest.ru

...