Внутренний аудит

Независимая, объективная аудиторская и консультационная деятельность

Внутренний аудит — это независимая, объективная деятельность по предоставлению гарантий и консультаций, призванная повысить ценность и улучшить деятельность организации. Она помогает организации достичь своих целей, применяя систематический, дисциплинированный подход к оценке и повышению эффективности процессов управления рисками, контроля и руководства. [ 1 ] Внутренний аудит может ^{достичь} этой цели, предоставляя информацию и рекомендации, основанные на анализе и оценке данных и бизнес- процессов . ^[2] Благодаря приверженности принципам честности и подотчетности внутренний аудит представляет ценность для руководящих органов и высшего руководства как объективный источник независимых консультаций. Профессионалы, называемые внутренними аудиторами, нанимаются организациями для выполнения деятельности по внутреннему аудиту.

Область внутреннего аудита в организации может быть широкой и включать такие темы, как управление организацией, управление рисками и управленческий контроль над: эффективностью/результативностью операций (включая защиту активов), надежностью финансовой и управленческой отчетности, ^{[3] [4]} и соблюдением законов и нормативных актов. Внутренний аудит может также включать проведение упреждающих аудитов мошенничества для выявления потенциально мошеннических действий; участие в расследованиях мошенничества под руководством специалистов по расследованию мошенничества и проведение аудитов мошенничества после расследования для выявления сбоев в контроле и установления финансовых потерь.

Внутренние аудиторы не несут ответственности за выполнение деятельности компании; они консультируют руководство и совет директоров (или аналогичный надзорный орган) относительно того, как лучше выполнять свои обязанности . Вследствие своей широкой сферы участия внутренние аудиторы могут иметь разнообразное высшее образование и профессиональный опыт.

Институт внутренних аудиторов (IIA) является признанным международным органом по установлению стандартов для профессии внутреннего аудита и присваивает звание сертифицированного внутреннего аудитора на международном уровне посредством строгого письменного экзамена. В некоторых странах доступны и другие звания. ^[5] В Соединенных Штатах профессиональные стандарты Института внутренних аудиторов были кодифицированы в уставах нескольких штатов, относящихся к практике внутреннего аудита в правительстве (три примера — штат Нью-Йорк, Техас и Флорида). Существует также ряд других международных органов по установлению стандартов.

Внутренние аудиторы работают в государственных учреждениях (федеральных, государственных и местных); в публичных компаниях; и в некоммерческих компаниях во всех отраслях. Отделы внутреннего аудита возглавляются главным аудитором (CAE), который обычно отчитывается перед аудиторским комитетом совета директоров , а административная отчетность — перед генеральным директором (в Соединенных Штатах такая отчетность требуется законом для публичных компаний).

История внутреннего аудита

Профессия внутреннего аудита неуклонно развивалась с развитием науки управления после Второй мировой войны. Она концептуально во многом похожа на финансовый аудит , проводимый публичными бухгалтерскими фирмами, мероприятия по обеспечению качества и банковскому соответствию. Хотя некоторые из методов аудита, лежащих в основе внутреннего аудита, заимствованы из управленческого консалтинга и профессий публичного бухгалтера, теория внутреннего аудита была задумана в первую очередь Лоуренсом Сойером (1911–2002), которого часто называют «отцом современного внутреннего аудита»; ^[6] и современная философия, теория и практика современного внутреннего аудита, определенные в Международных рамках профессиональной практики (IPPF) Института внутренних аудиторов, во многом обязаны видению Сойера.

С введением в действие в Соединенных Штатах Закона Сарбейнса-Оксли 2002 года, известность и ценность профессии возросли, поскольку многие внутренние аудиторы обладали навыками, необходимыми для помощи компаниям в выполнении требований закона ^{[ требуется ссылка ]} . Однако сосредоточенность отделов внутреннего аудита публичных компаний на финансовой политике и процедурах, связанных с SOX, подорвала прогресс, достигнутый профессией в конце 20-го века в направлении видения Ларри Сойера внутреннего аудита. Начиная примерно с 2010 года, IIA снова начала выступать за более широкую роль, которую внутренний аудит должен играть на корпоративной арене, в соответствии с философией IPPF. ^[7]

Организационная независимость

Хотя внутренние аудиторы нанимаются непосредственно своей компанией, они могут достичь независимости посредством своих отношений отчетности. Независимость и объективность являются краеугольным камнем профессиональных стандартов IIA; и подробно обсуждаются в стандартах и ​​вспомогательных практических руководствах и практических рекомендациях. Профессиональные внутренние аудиторы обязаны стандартами IIA быть независимыми от проверяемой ими деловой активности. Эта независимость и объективность достигаются посредством организационного размещения и линий отчетности отдела внутреннего аудита. Внутренние аудиторы публичных компаний в Соединенных Штатах обязаны функционально подчиняться совету директоров напрямую или подкомитету совета директоров (обычно аудиторскому комитету), а не руководству, за исключением административных целей.

Требуемая организационная независимость от руководства позволяет проводить неограниченную оценку деятельности руководства и персонала и позволяет внутренним аудиторам эффективно выполнять свою роль. Хотя внутренние аудиторы являются частью руководства компании и оплачиваются компанией, основным заказчиком деятельности внутреннего аудита является организация, ответственная за надзор за деятельностью руководства. Обычно это аудиторский комитет , комитет совета директоров . Организационная независимость эффективно достигается, когда главный специалист по аудиту функционально подчиняется совету директоров. Примеры функциональной отчетности совету директоров включают совет директоров: ^[8] Утверждение устава внутреннего аудита; Утверждение плана внутреннего аудита, основанного на оценке рисков; Утверждение бюджета внутреннего аудита и плана ресурсов; Получение сообщений от главного специалиста по аудиту о результатах деятельности внутреннего аудита относительно его плана и других вопросов; Утверждение решений относительно назначения и увольнения главного специалиста по аудиту; Утверждение вознаграждения главного специалиста по аудиту; и Направление соответствующих запросов руководству и главному специалисту по аудиту для определения наличия ненадлежащих ограничений по объему или ресурсам.

Роль во внутреннем контроле

Деятельность внутреннего аудита в первую очередь направлена ​​на оценку внутреннего контроля . Согласно структуре внутреннего контроля COSO , внутренний контроль в широком смысле определяется как процесс, осуществляемый советом директоров, руководством и другим персоналом организации, призванный обеспечить разумную уверенность в достижении следующих основных целей, к которым стремятся все предприятия:

• Эффективность и результативность операций.
• Надежность финансовой и управленческой отчетности.
• Соблюдение законов и правил.
• Защита активов

Руководство несет ответственность за внутренний контроль, который включает пять важнейших компонентов: контрольную среду; оценку рисков; контрольные мероприятия, ориентированные на риски; информацию и коммуникацию; и мониторинговые мероприятия. Менеджеры устанавливают политики, процессы и практики в этих пяти компонентах управленческого контроля, чтобы помочь организации достичь четырех конкретных целей, перечисленных выше. Внутренние аудиторы проводят аудит, чтобы оценить, присутствуют ли и работают ли эффективно пять компонентов управленческого контроля, и если нет, дают рекомендации по улучшению.

В Соединенных Штатах служба внутреннего аудита независимо оценивает систему внутреннего контроля руководства и сообщает о своих результатах высшему руководству и аудиторскому комитету совета директоров компании.

Роль в управлении рисками

Профессиональные стандарты внутреннего аудита требуют, чтобы функция оценивала эффективность деятельности организации по управлению рисками . Управление рисками — это процесс, посредством которого организация выявляет, анализирует, реагирует, собирает информацию и отслеживает стратегические риски, которые могут фактически или потенциально повлиять на способность организации достигать своей миссии и целей.

В рамках COSO Enterprise Risk Management (ERM) Framework стратегия, операции, отчетность и цели соответствия организации имеют связанные стратегические бизнес-риски — негативные результаты, возникающие в результате внутренних и внешних событий, которые препятствуют способности организации достигать своих целей. Руководство оценивает риск как часть обычного хода деловой активности, такой как стратегическое планирование, маркетинговое планирование, планирование капитала, бюджетирование, хеджирование, структура поощрительных выплат, кредитная/кредитная практика, слияния и поглощения, стратегические партнерства, законодательные изменения, ведение бизнеса за рубежом и т. д. Правила Сарбейнса-Оксли требуют обширной оценки рисков процессов финансовой отчетности. Корпоративный юридический консультант часто готовит комплексные оценки текущих и потенциальных судебных разбирательств, с которыми сталкивается компания. Внутренние аудиторы могут оценить каждое из этих действий или сосредоточиться на всеобъемлющем процессе, используемом для управления рисками в масштабах всей организации. Например, внутренние аудиторы могут консультировать руководство относительно отчетности о перспективных операционных мерах совету директоров, чтобы помочь выявить возникающие риски; или внутренние аудиторы могут оценить и сообщить о том, могут ли совет директоров и другие заинтересованные стороны иметь разумную уверенность в том, что управленческая команда организации внедрила эффективную программу управления корпоративными рисками.

В более крупных организациях основные стратегические инициативы реализуются для достижения целей и проведения изменений. Как член высшего руководства, руководитель отдела аудита (CAE) может участвовать в обновлениях статуса этих основных инициатив. Это позволяет CAE сообщать о многих основных рисках, с которыми сталкивается организация, аудиторскому комитету или обеспечивать эффективность отчетности руководства для этой цели.

Функция внутреннего аудита может помочь организации устранить риск мошенничества посредством оценки риска мошенничества, используя принципы сдерживания мошенничества . Внутренние аудиторы могут помочь компаниям установить и поддерживать процессы управления рисками предприятия . ^[9] Этот процесс высоко ценится многими предприятиями для создания и внедрения эффективных систем управления и обеспечения поддержания качества и соблюдения профессиональных стандартов . ^[10] Внутренние аудиторы также играют важную роль, помогая компаниям выполнять оценку риска SOX 404 сверху вниз . В этих последних двух областях внутренние аудиторы, как правило, являются частью группы оценки рисков в консультативной роли.

Роль в корпоративном управлении

В прошлом деятельность внутреннего аудита в отношении корпоративного управления была в целом неформальной и осуществлялась в основном посредством участия в совещаниях и обсуждениях с членами совета директоров. Согласно структуре ERM COSO, управление — это политика, процессы и структуры, используемые руководством организации для управления деятельностью, достижения целей и защиты интересов различных групп заинтересованных сторон в соответствии с этическими стандартами. Внутренний аудитор часто считается одним из «четырех столпов» корпоративного управления, другими столпами являются совет директоров, руководство и внешний аудитор. ^[11]

Основное направление внутреннего аудита в отношении корпоративного управления — помощь аудиторскому комитету совета директоров (или эквивалентному органу) в эффективном выполнении своих обязанностей. Это может включать в себя сообщение о критических проблемах управленческого контроля, предложение вопросов или тем для повестки дня заседаний аудиторского комитета и координацию с внешним аудитором и руководством для обеспечения получения комитетом эффективной информации. В последние годы IIA выступает за более формальную оценку корпоративного управления, особенно в областях надзора совета директоров за рисками предприятия, корпоративной этикой и мошенничеством. См. также § Три линии защиты ниже.

Выбор аудиторского проекта или «годовой план аудита»

На основе оценки рисков организации внутренние аудиторы, руководство и надзорные органы определяют, на чем сосредоточить усилия внутреннего аудита. Этот фокус или приоритетность являются частью годового/многолетнего плана аудита. План аудита обычно предлагается CAE (иногда с несколькими вариантами или альтернативами) для рассмотрения и утверждения аудиторским комитетом или советом директоров. Деятельность внутреннего аудита обычно проводится как одно или несколько отдельных заданий.

Он должен быть адаптирован к конкретной цели аудита, и выбор метода аудита должен быть адаптирован к его конкретной цели. В противном случае он будет отклоняться от цели аудита. ^[12]

Проведение внутреннего аудита

Типичное задание внутреннего аудита ^[13] включает следующие этапы:

1. Установление и доведение объема и целей аудита до сведения соответствующих членов руководства.
2. Разработка понимания рассматриваемой области бизнеса (включая цели, показатели и основные типы транзакций), а также проведение интервью и изучение документов (при необходимости могут быть созданы блок-схемы и описания).
3. Описание основных рисков, с которыми сталкивается бизнес-деятельность в рамках аудита.
4. Определение методов управления в пяти компонентах контроля, используемых для обеспечения надлежащего контроля и мониторинга каждого ключевого риска. Контрольный список внутреннего аудита ^[14] может быть полезным инструментом для выявления общих рисков и желаемых элементов управления в конкретном процессе или конкретной отрасли, которая подвергается аудиту.
5. Разработка и реализация подхода к отбору проб и тестированию на основе оценки рисков для определения того, работают ли наиболее важные элементы управления так, как задумано.
6. Информирование о выявленных проблемах и трудностях и обсуждение с руководством планов действий по решению этих проблем.
7. Последующее наблюдение за сообщенными результатами с соответствующей периодичностью. Отделы внутреннего аудита ведут базу данных последующих действий для этой цели.

Продолжительность аудиторского задания варьируется в зависимости от сложности проверяемой деятельности и доступных внутренних аудиторских ресурсов. Многие из вышеуказанных шагов являются итеративными и не все могут происходить в указанной последовательности.

Помимо оценки бизнес-процессов, специалисты, называемые аудиторами информационных технологий (ИТ), проверяют средства контроля информационных технологий .

Отчеты внутреннего аудита

Внутренние аудиторы обычно выпускают отчеты в конце каждого аудита, в которых суммируются их выводы, рекомендации и любые ответы или планы действий от руководства. Аудиторский отчет может иметь резюме — основную часть, которая включает в себя конкретные выявленные проблемы или выводы и соответствующие рекомендации или планы действий, а также дополнительную информацию, такую ​​как подробные графики и диаграммы или информацию о процессе. Каждый вывод аудита в основной части отчета может содержать пять элементов, иногда называемых «5 C»:

1. Состояние: Какая конкретная проблема выявлена?
2. Критерии: Какой стандарт не был соблюден? Стандартом может быть политика компании или другой эталон.
3. Причина: Почему возникла проблема?
4. Последствия: каков риск/негативный результат (или упущенная возможность) из-за этого открытия?
5. Корректирующие действия: Что руководство должно сделать в связи с обнаружением? Что они согласились сделать и к какому сроку?

Рекомендации в отчете о внутреннем аудите призваны помочь организации достичь эффективных и действенных процессов управления, управления рисками и контроля, связанных с операционными целями, целями финансовой и управленческой отчетности, а также целями соблюдения правовых и нормативных требований.

Результаты аудита и рекомендации могут также касаться конкретных утверждений о транзакциях, например, были ли проверенные транзакции действительными или авторизованными, полностью ли они обработаны, точно ли оценены, обработаны в правильный период времени и надлежащим образом ли раскрыты в финансовой или операционной отчетности, а также другие элементы.

Ниже приведены шаги, которые помогут добиться постоянного улучшения с помощью результатов аудита.

• Разработать CAPA для решения проблем качества.
• Обучайте пользователей или сотрудников разработке эффективных процессов и процедур аудита.
• Поддерживать стабильные и здоровые отношения с поставщиками, продавцами, пользователями, аудиторами и аудиторскими органами.

Согласно стандартам IIA, критически важным компонентом процесса аудита является подготовка сбалансированного отчета, который предоставляет руководителям и совету директоров возможность оценить и взвесить сообщаемые вопросы в надлежащем контексте и перспективе. Предоставляя перспективу, анализ и выполнимые рекомендации по улучшению бизнеса в критических областях, аудиторы помогают организации достичь своих целей.

Качество отчета внутреннего аудита

Источник: ^[15]

• Объективность – комментарии и мнения, выраженные в отчете, должны быть объективными и беспристрастными.
• Ясность — используемый язык должен быть простым и понятным.
• Точность. Информация, содержащаяся в отчете, должна быть точной.
• Краткость. Отчет должен быть кратким.
• Своевременность – отчет должен быть опубликован незамедлительно после завершения аудита, в течение месяца.

Стратегия

Функции внутреннего аудита также могут разрабатывать функциональные стратегии, описанные в многолетних стратегических планах. Профессиональное руководство по созданию стратегического плана внутреннего аудита было выпущено Институтом внутренних аудиторов в июле 2012 года в виде практического руководства под названием « Разработка стратегического плана внутреннего аудита» . ^[16] Ключевым аспектом разработки стратегии IA является понимание ожиданий заинтересованных сторон, таких как аудиторский комитет и высшее руководство. Это помогает направлять функцию IA в ее миссии по оказанию помощи организации в решении рисков, с которыми она сталкивается. Конкретные темы, рассматриваемые в стратегическом планировании IA, включают:

• Область применения и акцент: Функция IA может быть вовлечена в решение рисков, связанных с финансовой отчетностью, операциями, соблюдением правовых и нормативных требований и стратегией компании. Могут также быть особые темы, представляющие интерес для заинтересованных сторон, которые значительно меняются из года в год.
• Портфель услуг: функции IA могут предоставлять традиционную аудиторскую гарантию по всему спектру рисков, а также консультационную поддержку проектов в различных областях, таких как управление проектами, анализ данных и мониторинг крупных инициатив компании. Более крупные функции аудита могут устанавливать специализированные области для управления своим портфелем услуг.
• Развитие компетенций: ожидания заинтересованных сторон относительно сферы деятельности и портфеля услуг определяют, какие компетенции нужны функции, что движет решениями относительно найма определенных навыков и программ обучения. Функция внутреннего аудита часто используется как «учебная площадка для руководства», чтобы предоставить сотрудникам более глубокие знания о деятельности компании, прежде чем они будут переведены на руководящую должность. ^[17]
• Технологии: функции внутреннего аудита используют различные технологические инструменты/программное обеспечение для поддержки рабочего процесса аудита, статистического анализа и получения данных из систем.

Создание стратегии IA может включать в себя различные концепции и структуры стратегического управления , такие как стратегическое планирование , стратегическое мышление и SWOT-анализ . ^[16]

Другие темы

Измерение функции внутреннего аудита

Измерение функции внутреннего аудита может включать сбалансированный подход с использованием системы показателей. ^[18] Функции внутреннего аудита в первую очередь оцениваются на основе качества консультаций и информации, предоставляемой аудиторскому комитету и высшему руководству. Однако это в первую очередь качественно и, следовательно, трудно поддается измерению. «Опросы клиентов», отправляемые ключевым менеджерам после каждого аудиторского задания или отчета, могут использоваться для измерения производительности, с ежегодным опросом аудиторского комитета. Оценка по таким параметрам, как профессионализм, качество консультаций, своевременность рабочего продукта, полезность встреч и качество обновлений статуса, типична для таких опросов. Понимание ожиданий высшего руководства и аудиторского комитета представляет собой важные шаги в разработке процесса измерения производительности, а также того, как такие меры помогают согласовать функцию аудита с организационными приоритетами. ^{[19] [20]} Независимые экспертные оценки являются частью процесса обеспечения качества для многих групп внутреннего аудита, поскольку они часто требуются стандартами. ^[21] Полученный отчет о экспертной оценке предоставляется аудиторскому комитету.

Отчетность о критических выводах

Руководитель отдела аудита (CAE) обычно ежеквартально отчитывается перед аудиторским комитетом о наиболее критических проблемах , а также о прогрессе руководства в их решении. Критические проблемы обычно имеют обоснованную вероятность нанести существенный финансовый или репутационный ущерб компании. В случае особо сложных проблем ответственный менеджер может участвовать в обсуждении. Такая отчетность имеет решающее значение для обеспечения соблюдения функции, наличия надлежащего « тона наверху » в организации и ускорения решения таких проблем. Выбор соответствующих проблем для аудиторского комитета и их описание в надлежащем контексте — вопрос серьезного суждения.

Философия аудита

Часть философии и подхода внутреннего аудита заимствована из работы Лоуренса Сойера. Его философия и руководство по роли внутреннего аудита были предшественниками современного определения внутреннего аудита. Они подчеркивали помощь руководству и совету в достижении целей организации посредством обоснованных аудитов, оценок и анализов операционных областей. Он призывал современного внутреннего аудитора действовать как советник руководства, а не как противник. Сойер видел аудиторов как активных игроков, влияющих на события в бизнесе, а не как критиков всех степеней ошибок и промахов. Он также предвидел более желательное будущее аудиторов, включающее более прочные отношения с членами аудиторского комитета и совета и развод от прямого подчинения главному финансовому директору. ^[22]

Сойер часто говорил о том, чтобы «поймать менеджера, делающего что-то правильно» и обеспечить признание и положительное подкрепление. Писать о положительных наблюдениях в аудиторских отчетах редко приходилось, пока Сойер не начал говорить об этой идее. Он понимал и предсказывал преимущества предоставления более сбалансированной отчетности при одновременном построении лучших отношений. Сойер понимал психологию межличностной динамики и необходимость для всех людей получать признание и подтверждение для процветания отношений. ^[22]

Сойер помог сделать внутренний аудит более актуальным и интересным, сосредоточившись на операционном или операционном аудите. Он настоятельно рекомендовал выйти за рамки финансовых отчетов и финансового аудита и перейти к таким областям, как закупки, складирование и дистрибуция, человеческие ресурсы, информационные технологии, управление объектами, обслуживание клиентов, полевые операции и управление программами. Такой подход помог вывести главного аудитора на роль уважаемого и знающего консультанта, который, как считалось, был разумным, объективным и заинтересованным в том, чтобы помочь организации достичь поставленных целей. ^[22]

Три линии обороны

«Модель трех линий обороны» ^{[23] [24] [25] [26]} — это структура, описывающая взаимосвязь между бизнес-функциями , управлением рисками и внутренним аудитом, определяющая, как должны быть разделены обязанности; она разработана для «обеспечения эффективного и прозрачного управления рисками», делая отчетливыми подотчетности. Терминология аналогична военной « Линии обороны » (и концепции глубокоэшелонированной обороны ).

• В рамках первой линии защиты риски управляются и контролируются ежедневно. Здесь операционное управление , ориентированное на клиента , имеет «право собственности, ответственность и подотчетность за прямую оценку, контроль и смягчение рисков». ^[24] Его ценность ^[26] в том, что оно исходит «от тех, кто знает бизнес, культуру и повседневные проблемы» (см. также Внутренний контроль § Операционный персонал ); в то же время, однако, эта линия может не иметь независимости.
• Вторая линия защиты состоит из независимых функций управления рисками, соответствия требованиям и операционного риска . Эта линия защиты контролирует и способствует внедрению эффективных методов управления рисками первой линией, обеспечивая «надзор и оспаривание»; ^[24] а также помогает «владельцам риска» в создании и интерпретации отчетности, связанной с рисками . Хотя она отделена от лиц, ответственных за доставку, она не является независимой от цепочки управления. ^[26] (См., ре-банкинг, Мидл-офис .)
• Третья линия защиты — внутренний аудит, подчиняющийся непосредственно Совету директоров . Внутренний аудит проверяет и отчитывается как по первой, так и по второй линии защиты, предоставляя объективные и независимые гарантии, ^[26] согласно § Роль в корпоративном управлении выше.

В более поздних версиях модели ^[26] гарантии от «внешних независимых органов» рассматриваются как четвертая линия защиты; здесь внешний аудитор и другие лица предоставляют гарантии и информацию Совету директоров и «явно считаются независимыми».

«Последней линией обороны» ^[27] от риска является капитал , поскольку достаточный его объем «гарантирует, что фирма может продолжать свою деятельность как непрерывно действующее предприятие, даже если понесены существенные и непредвиденные убытки»; ^[27] см. Рисковый капитал , Нормативный капитал , Управление финансовыми рисками и Непрерывность деятельности § Планы руководства .

Подрывные инновации

Внутренний аудит играет важную роль в поддержании эффективного контроля, смягчающего возникающие риски. Предприятия увеличат риск или упустят возможность, если аудиторы не будут решать риски, связанные с нарушениями. ^[28] Майкл Г. Аллес обсуждал, что Большие данные — это подрывная инновация , которую аудиторы должны внедрять на практике. ^[29] Исследование 2019 года « Ответ внутренних аудиторов на подрывные инновации » сообщает об эволюции внутреннего аудита для реагирования на изменения. Рассматриваемые нарушения включают аналитику данных, гибкие процессы, облачные вычисления, роботизированную автоматизацию процессов, непрерывный аудит, нормативные изменения и искусственный интеллект. ^[30]

Смотрите также

• Сертифицированный аудитор информационных систем
• Институт дипломированных внутренних аудиторов
• Комитет организаций-спонсоров Комиссии Тредвея (COSO)
• Противодействие мошенничеству
• Институт внутренних аудиторов
• Международный совет по стандартам аудита и подтверждения достоверности информации
• Международный реестр сертифицированных аудиторов
• аудит ИС
• Операционный аудит
• Внутренний аудит, основанный на оценке рисков

Ссылки

1. Определение аудита IIA .
2. Вуд, Дэвид А. (май 2012 г.). «Доверие корпоративных менеджеров рекомендациям внутренних аудиторов». АУДИТ: Журнал практики и теории . 31 (2): 151–166. doi :10.2308/ajpt-10234.
3. Вуд, Дэвид А. (июль 2009 г.). «Качество внутреннего аудита и управление доходами». The Accounting Review . 84 (4): 1255–1280. doi :10.2308/accr.2009.84.4.1255. S2CID  154999202.
4. Вуд, Дэвид А. (сентябрь 2013 г.). «Описательное исследование факторов, связанных с политикой функции внутреннего аудита, оказывающей влияние: сравнения между организациями в развитой и развивающейся экономике». Turkish Studies . 14 (3): 581–606. doi :10.1080/14683849.2013.833019. S2CID  145381015.
5. "Сертификации Великобритании и Ирландии". Eciia.eu. 2013-06-25. Архивировано из оригинала 2013-08-20 . Получено 04.09.2013 .
6. "IIA-История и эволюция внутреннего аудита" (PDF) . Получено 2013-09-04 .
7. "Журнал внутреннего аудитора". na.theiia.org. 2000-01-01 . Получено 2013-09-04 .
8. "Страницы – Стандарты". theiia.org .
9. "Роль внутреннего аудита в ERM". Архивировано из оригинала 2013-09-05 . Получено 2013-09-04 .
10. "ECAAS Certification & Training" . Получено 2015-06-16 .
11. "Статья IIA "Getting a Leg Up"". Findarticles.com . Получено 2013-09-04 .
12. «Управление внутренним аудитом», Справочник по внутреннему аудиту , Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 547–552, 2008, doi :10.1007/978-3-540-70887-2_35, ISBN 978-3-540-70886-5, получено 2020-11-14
13. Дэвид Гриффитс. «Внутренний аудит – основанный на рисках – Введение». internalaudit.biz .
14. "Контрольные списки внутреннего аудита различных процессов". Эксперт по внутреннему аудиту . internalauditexpert.in. Архивировано из оригинала 13 декабря 2013 г. Получено 12 декабря 2013 г.
15. "Формат отчета внутреннего аудита". internalauditexpert.in . Архивировано из оригинала 7 декабря 2013 г. . Получено 3 декабря 2013 г. .
16. "Страницы – Практическое руководство по разработке стратегического плана внутреннего аудита". theiia.org .
17. Вуд, Дэвид А. (ноябрь 2011 г.). «Влияние использования функции внутреннего аудита в качестве учебной площадки для руководства на решение о доверии к внешнему аудитору». The Accounting Review . 86 (6): 2131–2154. doi :10.2308/accr-10136.
18. Фриго, Марк Л. Сбалансированная система показателей для отделов внутреннего аудита . Исследовательский фонд IIA. Альтамонте-Спрингс, Флорида: 2002
19. "IIA-GAIN Study-Knowledge Report—Measuring Internal Audit Performance—September 2009". Theiia.org. 2000-01-01. Архивировано из оригинала 2012-03-08 . Получено 2013-09-04 .
20. "PWC-2012 State of the Internal Audit Profession Survey - March 2012". Pwc.com. 2012-03-20 . Получено 04.09.2013 .
21. «Экспертная оценка: IIA, GAGAS и ISSAI». projectauditors.com. 01.01.2012 . Проверено 26 марта 2014 г.
22. Sawyer, Lawrence (2003). Внутренний аудит Sawyer, 5-е издание . Институт внутренних аудиторов. ISBN 978-0894135095.
23. Аналитическая записка: Три линии защиты, Институт дипломированных внутренних аудиторов
24. Модель трех линий защиты, Ассоциация корпоративных казначеев
25. Внутренний аудит: объяснение модели трех линий защиты, Институт дипломированных бухгалтеров Шотландии
26. Четыре линии защиты, Институт дипломированных бухгалтеров Англии и Уэльса
27. III.A.3, в Кэрол Александр, ред. (январь 2005 г.). Справочник профессионального риск-менеджера . PRMIA Publications . ISBN 978-0976609704 
28. Петт, Дж., Кристалл, М. и Мак, Д. (2017). Возможность из-за сбоя. Внутренний аудитор , 74(3), 57–60.
29. Майкл Г. Аллес (2015) Драйверы использования и вспомогательные факторы и препятствия развития больших данных аудиторской профессией. Accounting Horizons : июнь 2015 г., стр. 439-449
30. Крайст, Маргарет Х.; Марк Эйлерих и Дэвид А. Вуд, 2019, Ответ внутренних аудиторов на подрывные инновации. Фонд внутреннего аудита. ISBN 978-1-63454-062-9