6+

Основополагающие подходы к составлению риск-ориентированного плана

Авторы


аспирант
Россия, Объединение административно-технических инспекций города Москвы
[email protected]


доктор экономических наук, доцент, профессор базовой кафедры финансового контроля, анализа и аудита Главного контрольного управления города Москвы
Россия, Российский экономический университет имени Г.В. Плеханова
[email protected]

Аннотация

В статье рассмотрены основополагающие подходы к планированию работы внутреннего аудита на основе риск-ориентированного подхода с учетом требований международных стандартов аудита, обновленной концепции трех линий защиты, рекомендаций по организации управления рисками и внутреннего контроля. Проблематика статьи актуальна в условиях быстрых изменений бизнес-среды, возникновения новых рисков, увеличения сложности бизнес-процессов организаций и регуляторной базы, развития практики корпоративного управления, приводящих к необходимости оперативной адаптации функции внутреннего аудита к происходящим изменениям. Материал статьи представлен с учетом актуальной нормативной базы, международных стандартов аудита, Международных основ профессиональной практики внутреннего аудита.

Ключевые слова

планирование аудита, внутренний аудит, риск-ориентированный подход, модель внутреннего аудита.

Print Friendly, PDF & Email

Категории статьи:

Читайте также

Статья также доступна (this article also available):

Финансирование

Работа выполнена в рамках мероприятия RCM-2021: II Международный конкурс исследовательских работ и проектов “Управление дистанционными командами и сотрудниками 2021” (Stars of Science and Education, РусАльянс Сова)

Рекомендуемая ссылка

Каламанова Елена Николаевна , Проданова Наталья Алексеевна
Основополагающие подходы к составлению риск-ориентированного плана// Современные технологии управления. ISSN 2226-9339. — №3 (96). Номер статьи: 9602. Дата публикации: . Режим доступа: https://sovman.ru/article/9602/

Введение

В условиях постоянной трансформации бизнес-моделей, развития информационных технологий, постоянными изменениями требований законодательства и возникновением новых рисков увеличивается заинтересованность бизнеса в деятельности служб внутреннего аудита. Расширяется роль внутреннего аудита от деятельности по предоставлению гарантий до оказания консультационных услуг, поддержки бизнеса при разработке и реализации стратегии компании, содействия увеличению ее стоимости.

Внутренний аудит приносит пользу организации и ее заинтересованным лицам, когда представляет объективные и компетентные гарантии, способствует повышению эффективности и результативности корпоративного управления, управления рисками и контрольных процедур, предоставляет актуальные консультации. Для достижения данной цели приоритеты внутреннего аудита должны быть согласованы с целями организации и учитывать актуальные риски.

Подход к управлению рисками компании на проактивной основе, структурирование взаимодействия и ответственности для достижения целей организации отражен в Модели Трех линий защиты, выпущенной Международным Институт внутренних аудиторов (1).

Первую линию защиты обеспечивает собой руководство (владельцы процессов), отвечающие за управление рисками, связанными с операционной деятельностью. В обязанности первой линии также входит разработка, функционирование и внедрение средств контроля.

Службы второй линии осуществляют управления рисками и соблюдения нормативных требований, предоставляют необходимые концепции, политики, инструменты и технологии.

Внутренний аудит является третьей линией защиты, проверяющей эффективность работы системы внутреннего контроля в целом (первой и второй линий защиты) и предоставляющей высшему руководству независимое заключение о том, что организация управляет рисками должным образом и ее система управления рисками и система внутреннего контроля являются эффективными.

Актуализированная в июле 2020 года Модель трех линий защиты показывает, что для принятия компанией решений в условиях риска необходимы не только защитные действия, но и не в меньшей степени и активные действия, направленные на реализацию открывающихся перед компанией возможностей.

В соответствии с обновленной Моделью трех линий защиты внутренний аудит как независимый поставщик гарантий имеет особую роль, отличную от подотчетных руководству компании первой и второй линий защиты и является независимым поставщиком гарантий, а также предоставляет консультации по вопросам, связанных с достижением поставленных целей.

Для выполнения задач, стоящих перед внутренним аудитом, необходимо обеспечить риск-ориентированное планирование деятельности подразделения внутреннего аудита.

План работ внутреннего аудита – общий перечень мероприятий и заданий по проведению внутреннего аудита и прочих мероприятий, не связанных с проведением проверок, с указанием периода проведения мероприятий.

Цель исследования: исследование подходов и методов риск-ориентированного планирования деятельности подразделения внутреннего аудита.

Материалы, методы и условия проведения исследований: изучены законодательные акты, нормативные акты Министерства финансов РФ, Международные стандарты аудита, Международные стандарты профессиональной практики внутреннего аудита, а также научные и практические труды отечественных специалистов в области внутреннего аудита.

 

Результаты исследования и их обсуждение

Международные стандарты профессиональной практики внутреннего аудита (2) содержат следующие рекомендации, применимые к процессу планирования:

2010.А1 План работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой, по крайней мере, один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и совета директоров.

2010.А2 Руководитель внутреннего аудита должен выяснять и учитывать ожидания исполнительного руководства, совета и других заинтересованных лиц в отношении мнений и выводов внутреннего аудита.

2010.С1 Руководитель внутреннего аудита должен оценить предложенные задания по консультированию с точки зрения возможностей улучшения процесса управления рисками и совершенствования деятельности организации при выполнении заданий. Принятые к исполнению задания должны быть включены в план.

По данным проведенного Делойт и Туш СНГ и Институтом внутренних аудиторов «Исследования текущего состояния и тенденций развития внутреннего аудита в России 2019» (3) практику регулярного обновления годового плана в соответствии с меняющимися рисками (один раз в полугодие, квартал) применяет большинство служб внутреннего аудита российских компаний.

 

Этапы риск-ориентированного планирования

При разработке плана внутреннего аудита выполняются следующие этапы:

  • изучение деятельности компании, выявление и оценка рисков, разработка и обновление модели внутреннего аудита;
  • координация с другими поставщиками гарантий;
  • оценка ресурсов;
  • подготовка проекта плана внутреннего аудита, получение обратной связи от руководства и комитета по аудиту;
  • доработка плана внутреннего аудита;
  • утверждение плана внутреннего аудита советом директоров (комитетом по аудиту);
  • реализация плана;
  • постоянная оценка рисков;
  • актуализация плана;

Принятые в компании подходы к планированию и этапы составления плана внутреннего аудита отражаются во внутренних нормативных документах подразделения: Положение о внутреннем аудите, Порядок планирования деятельности внутреннего аудита.

Плановым периодом для внутреннего аудита в большинстве компаний является календарный год, отчетным периодом – квартал или полугодие.

 

Изучение деятельности компании, выявление и оценка рисков. разработка и обновление модели внутреннего аудита

Основой для риск-ориентированного планирования деятельности и ресурсов внутреннего аудита является модель внутреннего аудита – перечень объектов внутреннего аудита (бизнес-процессы, виды деятельности, проекты, подразделения, бизнес-единицы, центры ответственности).

Основными принципами формирования модели внутреннего аудита:

  • разумная достаточность – степень детализации объектов аудита должна обеспечивать достижение целей внутреннего аудита при эффективном использовании ресурсов;
  • соизмеримость объектов внутреннего аудита – включенные в план задания должны быть соизмеримы, содержать информацию одного уровня детализации;
  • полнота покрытия объектов внутреннего аудита – модель внутреннего аудита должна учитывать все направления деятельности, бизнес-процессы, подразделения.

Модель внутреннего аудита компании, имеющей дочерние и зависимые общества, может включать дочерние и зависимые компании в качестве отдельных объектов аудита.

При наличии в компании региональных подразделений модель внутреннего аудита может дополняться информацией о принадлежности объектов внутреннего аудита к региону.

Модель внутреннего аудита формируется и актуализируется при планировании деятельности на предстоящий плановый период. Модель внутреннего аудита также может уточняться при возникновении существенных изменений в деятельности компании.

При составлении модели внутреннего аудита для планирования работы внутреннего аудита используются следующие источники информации о рисках:

  • стратегия компании;
  • организационная структура, информация об основных подразделениях, отделах и проектах;
  • перечень основных бизнес-процессов и функций;
  • информация об основных контрагентах;
  • информационные системы;
  • нормативные требования;
  • финансовая и нефинансовая отчетность.

Стратегия компании может быть сформирована в виде отдельного публичного или непубличного документа. Стратегия компании фактически может отражаться в ее бюджете, долгосрочных и краткосрочных планах, принятых решениях органов управления по основным направлениям деятельности Общества.

Аудитом выявляются основные бизнес-процессы организации, риски и контрольные процедуры, изучаются имеющихся данные систем мониторинга рисков и отчетности.

При проведении оценки рисков внутренний аудит в соответствии со стандартом 1100 «Независимость и объективность» должен самостоятельно убедиться в полноте выявления, документирования и корректности оценки рисков.

Оценка рисков, присущих деятельности компании, производится как количественными, так качественными методами.

Выявление, документирование и оценку рисков производят, исходя их подхода, основанного на конкретных рисках либо процессного подход, при которых производится оценка отдельных бизнес-процессов или проверяемых единиц и подход.

Фактор риска – свойственная какому-либо процессу (виду деятельности, объекту) потенциальная способность оказывать влияние на результат хозяйственной деятельности.

Для проведения комплексной оценки рисков в масштабах компании определяются присущие для всех проверяемых элементов факторы рисков, влияющие на способность организации достигать поставленных целей. Факторы риска определяются на основе анализа производственной, коммерческой, финансовой, инвестиционной и других сфер хозяйственной деятельности предприятия.

При проведении оценки рисков бизнес-процессов и проверяемых единиц проводится анализ совокупности рисков, характерных для процессов и подразделений с последующей группировкой.

Риск-факторный анализ, как правило, включает наименование риск-факторов (критериев), принципы ранжирования и шкалу измерения, коэффициенты влияния риск-факторов на общее значение рисков.

По результатам оценки и ранжирования риск-факторов формируются группы объектов с высоким, средним и низком уровнем риска.

Ранжирование объектов внутреннего аудита можно проводить коллегиально, группой квалифицированных специалистов.

В процессе оценки рисков внутренние аудиторы оценивают как присущий риск, который бы существовал без средств контроля, так и остаточный риск. Аудитом производится оценка эффективности стратегии управления рисками, процессов и мероприятий по управлению рисками.

 

Актуальные акценты риск-ориентированного планирования

При планировании необходимо обратить внимание на важные акценты и риск-факторы, установленные стандартами:

2110.А1 Внутренний аудит должен оценивать дизайн, реализацию и эффективность целей, программ и деятельности организации в вопросах, связанных с этикой;

2110.А2 Внутренний аудит должен оценить, соответствует ли система управления информационными технологиями стратегии и целям организации;

2210.А1 Внутренний аудитор должен провести предварительную оценку рисков, относящихся к объекту аудита. Цели аудиторского задания должны соответствовать результатам этой оценки;

2210.А2 Определяя цели аудиторского задания, внутренние аудиторы должны учитывать вероятность существенных ошибок, мошенничества, несоблюдения процедур и другие риски.

Для оценки соответствия системы управления информационными технологиями стратегии и целям организации изучаются руководство информационными технологиями, организационная структура и основные процессы ИТ-обеспечения.

Стратегия компании в области информационного обеспечения должна соответствовать текущей конфигурации бизнес-процессов и поддерживать возможность их трансформации, обеспечивать обнаружение рисков и реагирование на угрозы кибербезопасности.

В данное время растет количество компаний, реализующих в своей деятельности принципы устойчивого развития, предполагающие принятие компанией экологической, социальной и управленческой ответственности.

Несоблюдение требований природоохранного законодательства, влечет за собой претензии со стороны регулирующих органов и репутационные риски.

Социальная ответственность бизнеса распространяется на взаимодействие с поставщиками и клиентами, сотрудниками компании, общественными институтами.

При наличии существенного влияния на деятельность компании сторонних поставщиков необходимо оценить риски, связанные с взаимодействием с третьими лицами.

Оценка рисков мошенничества должна проводиться в соответствии со стандартами 2210.А1 и 2210.А2 при выполнении всех заданий по предоставлению гарантий. Помимо этого, с учетом актуальности задач по предотвращению коррупции и мошенничества, предотвращению легализации доходов, полученных преступным путем возможно проведение аудитом комплексной оценки рисков мошенничества.

Руководитель внутреннего аудита определяет периодичность включения различных областей в план проверок, исходя из ценности результатов проверок для достижения целей компании, существенности рисков, а также имеющихся ресурсов.

В некоторых областях (например, финансовые услуги) либо для некоторых организаций (акционерные общества с участием государства) нормативными актами установлена определенная периодичность проведения аудиторских проверок организаций или бизнес-процессов.

Данные обязательные задания могут вступать в конфликт приоритетов с заданиями, определенными на основании оценки уровня рисков.

Для балансирования объема обязательных и риск-ориентированных заданий в плане внутреннего используются следующие варианты:

  • сокращение объема обязательных задания и выделение для их выполнения минимального объема ресурсов;
  • проведение регулярной оценки рисков и корректировки планов внутреннего аудита для включения в него на основании риск-ориентированного подхода наиболее актуальных и приоритетных рисков;
  • координирование действий внутреннего аудита с другими поставщиками гарантий.

 

Оценка ресурсов, взаимодействие с другими поставщиками гарантий

Для координации деятельности аудита с руководителями и подразделениями первой и второй линий защиты в части контроля и предоставлении гарантий в ходе планирования изучаются документы, относящиеся к деятельности высшего исполнительного руководства, операционного руководства, комитетов при совете директоров.

Для выяснения ожиданий исполнительного руководства руководитель внутреннего аудита проводит консультации с заинтересованными сторонами, присутствует на заседаниях совета директоров и комитетов при аудите при совете директоров, а также проводит встречи с членами совета директоров, высшим исполнительным руководством, руководителями наиболее важных сегментов бизнеса и ключевыми сотрудниками. Аналогичное взаимодействие с бизнесом осуществляется сотрудниками внутреннего аудита.

При взаимодействии с заинтересованными странами в форме личных встреч, телефонного общения, интервью необходимо обеспечить независимость и объективность внутренних аудиторов (Стандарты 1100 «Независимость и объективность», 1130 «Факторы, отрицательно влияющие на независимость»), используя, например, чередование внутренних аудиторов при выполнении заданий по аудиту и предоставлению консультаций.

В процессе разработки плана внутренний аудит осуществляет непрерывное взаимодействие с заинтересованными сторонами, учитывает имеющиеся у них оценки рисков, а также степень информированности руководителей и сотрудников подразделений-владельцев рисков. В зависимости от степени информированности владельцев рисков о рисках и мерах реагирований может корректироваться оценка рисков для целей составления плана внутреннего аудита.

Для определения необходимого объема и качества ресурсов внутреннего аудита проводится оценка количества необходимого рабочего времени сотрудников и трудоемкости, наличия у сотрудников необходимых навыков, обеспеченности финансированием, инструментами, возможности применения методов аудита.

В соответствии с рекомендациями стандарта 2030 «Управление ресурсами» руководитель внутреннего аудита должен обеспечить наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.

Термин «соответствующий» предполагает сочетание знаний, навыков и других компетенций, необходимых для выполнения плана. Термин «достаточный» относится к количеству ресурсов, необходимых для выполнения плана. Ресурсы используются эффективно, если выполнение утвержденного плана достигается оптимальным образом.

При составлении плана внутреннего аудита руководитель внутреннего аудита актуализирует перечень навыков и знаний сотрудников, необходимых для выполнения плана. Для поддержания необходимого уровня квалификации и компетенций сотрудников руководитель внутреннего аудита включает в программу гарантий и повышения качества мероприятия по оценке навыков и непрерывному профессиональному развитию сотрудников подразделения внутреннего аудита.

В случае отсутствия необходимых знаний и навыков у сотрудников внутреннего аудита руководителем внутреннего аудита может привлечь внутреннего или внешнего эксперта. На стадии составлении плана необходимо оценить затраты на привлечение экспертов.

Для оптимального использования ресурсов внутреннего аудита необходима координация с другими поставщиками гарантий, например, внутренним контролем и управления рисками, внешними аудиторами. Использование результатов работы других поставщиков гарантий позволяет сократить дублирование функций, повысить эффективность оказываемых аудитом услуг.

Стандарт 2050 «Координация деятельности» предусматривает, что в целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего аудита следует обмениваться информацией и координировать деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и консультаций.

Для систематизации информации о рисках и предоставляемых гарантиях, выявления недостаточного покрытия рисков или избыточных гарантий используется такой инструмент, как карта рисков.

Карта рисков представляет собой графическое и текстовое отображение классификации рисков по степени их значимости и вероятности реализации. Карта рисков показывает вероятность возникновения и оценку рисков, содержит меры реагирования на риски.

 

Подготовка проекта плана работ внутреннего аудита

После идентификации основных целей и рисков, актуализации модели аудита, составляется перечень направлений, подлежащих проверке, производится оценка рисков на плановый и отчетный период, определяется общий и доступный фонд рабочего времени работников подразделения внутреннего аудита.

С учетом увеличения потребности руководства компаний и комитетов по аудиту в предоставлении консультаций и рекомендаций по областям, предварительно не включенным в перечень приоритетных, целесообразно выделять в отдельную часть плана выполнение заданий по консультированию, а также заданий, оперативное выполнение которых может быть запрошено до актуализации плана.

Разработанный проект плана внутреннего аудита включает следующие основные направления:

  • плановые внутренние аудиторские проверки;
  • внеплановые внутренние аудиторские проверки;
  • мониторинг выполнения планов мероприятий по устранению выявленных нарушений;
  • оценка необходимых ресурсов, помимо основных направлений деятельности, производится также по процессам, обеспечивающим функционирование внутреннего аудита:
  • планирование и анализ деятельности внутреннего аудита;
  • информационное и методологическое обеспечение деятельности внутреннего аудита;
  • подготовка кадров и повышение профессионального уровня.

Направляемый для обсуждения с руководством компании для обсуждения и получения комментариев комплект документов по проекту плана внутреннего аудита может включать следующие разделы:

  • обзор ключевых моментов плана в части существенных рисков, основных мероприятий, графика, штатного расписания;
  • информация о применяемых политиках и процессах внутреннего аудита, подходах к планированию, методах оценки рисков;
  • выводы по результатам оценки рисков;
  • информация о заданиях, включенных в план. По каждому из заданий плана указывается, является ли задание обеспечением гарантий или предоставлением консультаций, предварительные масштабы и цели задания, сроки выполнения;
  • информация о покрытии рисков заданиями плана внутреннего аудита и имеющихся исключениях. Если исключения затрагивают области высокого риска, необходимо привести информацию об их причинах (например, ресурсные ограничения) и принятых либо рекомендуемых мероприятиях по получению гарантий, например, посредством привлечения внешних соисполнителей;
  • ресурсный план, содержащий типы и количество необходимых ресурсов.
  • финансовый план;
  • результаты согласования заинтересованными сторонами.

В большинстве компаний согласование и утверждение плана внутреннего аудита проводится на плановый период, не превышающий год. Вместе с тем, для учета покрытия мероприятиями плана всех существенных направлений деятельности, процессов и рисков с учетом имеющихся ресурсных ограничений на периодической основе рекомендуется составление рабочего варианта проекта плана внутреннего аудита на трёхлетний период, с возможностью изменения заданий второго и третьего года планирования по результатам оценки рисков.

 

Получение обратной связи от руководства и комитета по аудиту

После разработки риск-ориентированного плана работы внутреннего аудита руководитель внутреннего аудита обсуждает план с высшим исполнительным руководством компании, при необходимости проводит консультации с комитетами при Совете директоров, владельцами бизнес-процессов для обсуждения объема и сроков выполнения заданий плана.

В ходе обсуждения с менеджментом анализируются полнота включения в план рисков и ключевых элементов, наличие предстоящих изменений в компании, не учтенных при планировании, корреляция плана с целями компании и существенными рисками, планируемые результаты выполнения заданий, включенных в план, оценивается предполагаемый эффект от выполнения заданий плана, проводится оценка сроков выполнения заданий, распределения ресурсов, для покрытия гарантиями проверяемых областей.

Сообщая о планах подразделения внутреннего аудита и потребности в ресурсах, руководитель внутреннего аудита должен привлечь внимание к областям с высоким риском, у которых не будет достаточного покрытия гарантиями вследствие имеющихся бюджетных ограничений и запросить при необходимости дополнительные ресурсы.

По результатам анализа обратной связи от высшего исполнительного руководства проводятся необходимые корректировки и уточнения плана внутреннего аудита.

 

Утверждение плана работ внутреннего аудита

Проект плана внутреннего аудита направляется на утверждение советом директоров. В зависимости от установленных уставом компании полномочий комитета по аудиту при совете директоров возможны следующие варианты утверждения:

  • предварительное рассмотрение комитетом по аудиту при совете директоров, утверждение советом директоров;
  • утверждение комитетом по аудиту при совете директоров.

Утвержденный советом директоров (комитетом по аудиту) план внутреннего аудита доводится до генерального директора компании.

В течение планового периода в план внутреннего аудита при необходимости могут вноситься изменения, в том числе по результатам переоценки рисков владельцами бизнес-процессов. Порядок согласования и утверждения документов с учетом изменений аналогичен процедуре первоначального согласования и утверждения.

 

Контроль реализации плана

По итогам планового либо отчетного периода составляется отчет о результатах деятельности внутреннего аудита, включающий, в том числе, информацию о состоянии и результатах выполнении всех мероприятий плана внутреннего аудита, а также иных заданий и поручений.

Отчет о результатах деятельности внутреннего аудита направляется совету директоров (комитет по аудиту при совете директоров), иные органы управления компании с установленной периодичностью, но не реже одного раза в год по итогам отчётного периода.

 

Заключение

Результатом риск-ориентированного планирования работы подразделения внутреннего аудита является план работы, содержащий области, подлежащие аудиту, информацию о рисках, задействованных процессах, проектах и подразделениях, приоритетности направлений проверок, календарный график реализации проектов.

Итоговый план позволяет максимально эффективно задействовать имеющиеся ресурсы внутреннего аудита для решения стоящих перед компанией задач, организовать взаимодействие аудита с руководством, комитетом по аудиту, другими заинтересованными лицами.

Содержащаяся по каждой из строк плана информация о проектах внутреннего аудита используется для составления аудиторских заданий по проверкам.

Матричная структура плана обеспечивает возможность его актуализации в течение планового периода при изменении карты рисков либо возникновении новых стратегических направлений.


Библиографический список

  1. Парамонова, Л.А. Риск-ориентированный подход к организации внутреннего аудита экономического субъекта // Гуманитарные Балканские исследования, 2017, №1. С.35-37.
  2. Модель Трех линий ИВА. Обновление Модели Трех линий защиты. Международный Институт внутренних аудиторов (IIA), 2020, https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
  3. Международные основы профессиональной практики внутреннего аудита (ред. 2016 г.), https://www.iia-ru.ru/
  4. Исследование текущего состояния и тенденций развития внутреннего аудита в России, 2019, Делойт и Туш СНГ совместно с Институтом внутренних аудиторов. https://www.iia-ru.ru/contact/Исследование%20текущего%20состояния%20и%20тенденций%20развития%20внутреннего%20аудита%20в%20России%202019.pdf
  5. Письмо Банка России от 01.10.2020 № ИН-06-28/143 «Информационное письмо о рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах».
  6. Доклад «Внутренний контроль: интегрированный подход» (COSO), Комитет спонсорских организаций Комиссии Трэдуэя (the Committee of Sponsoring Organizations of the Treadway Commission’s Internal control — Integrated Framework). https://www.coso.org/
  7. Управление рисками организаций. Интегрированная модель.
    Краткое изложение. Концептуальные основы. 2004. 2017. COSO, https://www.coso.org/
  8. Глобальное исследование по рискам 2020 года. PwC. 2020. // Режим доступа: https://www.pwc.ru/ru/publications/2020-global-risk-study/global-risk-study-2020.pdf. https://www.pwc.ru/ru/publications/2020-global-risk-study.html
  9. Практическое руководство «Разработка риск-ориентированного плана внутреннего аудита» (PG: Developing a Risk-based Internal Audit Plan) от мая 2020 года., Институт внутренних аудиторов; https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Developing-a-Risk-based-Internal-Audit-Plan.aspx
  10. Приказ Минфина России от 09.01.2019 № 2н «О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу некоторых приказов Министерства финансов Российской Федерации» (с изменениями и дополнениями).