Risk assessment in risk-oriented audits by internal audit units.pdf В настоящее время принципы менеджмента риска признаются в мировом сообществе и России передовыми для ведения деятельности организаций. Данные принципы раскрыты в международных стандартах, а также в национальных стандартах РФ [1-3]. Но существуют проблемы перевода англоязычных международных стандартов, изученные в научных работах российских специалистов [4]. К таким проблемам при переводе международных стандартов могут относиться: неточности перевода, включение в текст «собственных» дополнительных положений и (или) исключение из текста положений оригинала, неполный и (или) неточный смысловой перевод или перевод, противоречащий положениям оригинала. Также они не содержат конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации. Данные проблемы существенно затрудняют практическое внедрение принципов менеджмента риска организациями в свою деятельность и тем более их использование при проведении внешних и внутренних аудитов. В РФ действуют международные стандарты аудита, но данные стандарты регулируют деятельность аудиторских организаций при проведении внешних аудитов, основной целью которых является только выражение мнения о достоверности бухгалтерской (финансовой) отчетности организации [5]. Более детально сущность риска рассмотрена в нормативных документах органов исполнительной власти [6, 7], но данные нормативные документы в первую очередь направлены на обеспечение предотвращения или выявление отклонений от установленных правил и процедур, а также искажений данных бухгалтерского учета, бухгалтерской (финансовой) и иной отчетности. В настоящее время некоммерческим партнерством «Институт внутренних аудиторов», объединяющим внутренних аудиторов в РФ, переведены и применяются международные стандарты внутреннего аудита, в которых изложены только основные правила организации подразделения внутреннего аудита, методологические основы осуществления внутреннего аудита и вопросы обеспечения качества его работы. Резюмируя вышеизложенное, можно сделать вывод о том, что в России отсутствуют нормативные и иные документы, позволяющие наиболее эффективно проводить внутренний аудит с применением риск-ориенти-рованного подхода. При проведении внутренних аудиторских проверок риски устанавливаются внутренними аудиторами исходя из организации объектом провер-131 Финансы /Finance ки бизнес-процесса и на основе данных об их фактической реализации в организации или во внешней среде. Согласно п. 3.5.1 ГОСТ Р 51897-2011 для идентификации риска необходимо описать четыре элемента риска (источники риска, события, их причины и возможные последствия). По нашему мнению, при проведении аудиторских проверок в целях точной оценки уровня выявленного риска, разработки полных и достаточных мероприятий по управлению рисками можно установить три элемента риска: источник риска, событие и последствие. Скоррелированность элементов рисков при идентификации рисков представлена на рис. 1. Рис. 1. Схема скоррелированности элементов рисков при идентификации рисков Выявление всех трех элементов риска обязательно для эффективного управления рисками, позволяет произвести оценку риска, определить мероприятия по управлению рисками, владельцев рисков и распределить между ними роли по управлению рисками. Рассмотрим более подробно каждый из элементов риска и их скоррели-рованность при идентификации рисков. Согласно п. 3.5.1.2 ГОСТ Р 51897-2011 источником риска является объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска. Источник риска может быть материальным или нематериальным. Проанализировав сущность данного элемента риска и его скоррелиро-ванность с другими, мы пришли к выводу, что более точным в целях проведения аудита будет следующее определение: Источник риска - событие, которое возникло при осуществлении деятельности организации и являющееся причиной возникновения одного или нескольких событий, или цепочки взаимосвязанных событий в одном или нескольких бизнес-процессах. На основе анализа результатов аудиторских проверок и идентификации выявленных рисков выделяются типичные источники рисков, представленные в табл. 1. 132 Земцов Т.А., Сорокин М.А. Оценка рисков в риск-ориентированных проверках Таблица 1. Типичные источники риска 1 Отсутствие регламентации контрольной процедуры 2 Отсутствие детальной регламентации процесса/бизнес-процесса 3 Противоречия между локальными нормативными документами 4 Несоответствие локальных нормативных документов законодательству РФ, нормативным документам головной организации 5 Несоответствие штатной структуры масштабам деятельности 6 Недобросовестные действия сотрудников 7 Дублирование функций 8 Неэффективное распределение обязанностей, в т.ч. отсутствие дублеров 9 Допущение к работам и операциям исполнителей несоответствующей квалификации Установление источников риска, действительно влияющих на возникновение и реализацию событий, и определение оптимальных мероприятий по реагированию на риск в зависимости от установленных источников риска является одной из основных задач, решаемых при проведении рискориентированной проверки. Решение даже всех промежуточных проблем, без воздействия на источник риска, приведет к повторным сбоям в бизнес-процессе(-ах). Вторым рассматриваемым нами элементом риска является событие. Согласно п. 3.5.1.3 ГОСТ Р 51897-2011 «Событие: возникновение или изменение специфического набора условий. Примечание 1. Событие может быть единичным или многократным и может иметь несколько причин. Примечание 2. Событие может быть определенным или неопределенным. Примечание 3. Событие может быть названо терминами «инцидент», «опасное событие» или «несчастный случай». Примечание 4. Событие без последствий может также быть названо терминами «угроза возникновения опасного события», «угроза инцидента», «угроза поражения» или «угроза возникновения аварийной ситуации». Проанализировав сущность данного элемента риска и его скоррелиро-ванность с другими, мы пришли к выводу, что более точным в целях проведения аудита будет следующее определение: событие - событие, которое возникло на момент проверки или может возникнуть при реализации бизнес-процесса, наступление которого может привести к возникновению нескольких событий в одном или нескольких бизнес-процессах, к реализации Риска или увеличению вероятности возникновения последствий. Событием являются: - невыполнение контрольной процедуры или отсутствие в регламентирующих документах организации контрольной процедуры, необходимой для достижения целей бизнес-процесса; - негативное событие, возникшее в результате невыполнения или отсутствия контрольной процедуры. Событие может оказать несколько воздействий различной значимости, повлиять на достижение нескольких целей [8, 9]. 133 Финансы /Finance Исходя из этого, в ходе проверок при анализе выявленных событий и определении их скоррелированности с другими элементами риска следует учитывать следующее: - одно событие может быть следствием нескольких не взаимосвязанных Источников риска, находящихся в зоне деятельности одного или нескольких бизнес-процессов; - каждое событие может привести к возникновению нескольких Событий в одном или нескольких бизнес-процессах; - одно событие может привести к реализации нескольких последствий в одном или нескольких бизнес-процессах; - одно событие может входить в состав различных групп событий; - группа событий может состоять как из нескольких событий, одновременное наступление которых однозначно приведет к реализации риска, так и из одного события. По каждому выявленному событию устанавливается наличие достаточной системы контрольных процедур, способствующих исключению (снижению) вероятности наступления событий и предотвращению (смягчению) негативных последствий, возникающих вследствие реализации события. Вероятность реализации риска на основании анализа событий оценивается следующими методами, не описываемыми стандартами: - установление средней вероятности наступления события; - установление совокупности событий, при одновременном наступлении которых реализуется риск. Метод оценки средней вероятности наступления события является более точным по сравнению со вторым рассматриваемым методом оценки -вероятность реализации риска, но одновременно является и более трудозатратным. Данный метод заключается в следующем. Аудиторами определяется группа событий, контролируемых (в отношении которых организация имеет соответствующий комплекс контрольных процедур) и не контролируемых организацией. Не контролируемые организацией события включают в группу, если влияние их на реализацию риска может быть признано существенным и вероятность наступления события очень высока в течение ближайших 6 месяцев или имела место в предшествующие 6 месяцев, или наступление события очень распространено во внешней среде. Оценка вероятности наступления каждого события в составе группы осуществляется в соответствии с критериями табл. 2. Для оценки средней вероятности определяется среднеарифметический показатель от всех определенных значений вероятности наступления событий. Пример оценки средней вероятности представлен на рис. 2. При выявлении нескольких групп событий по каждой из групп определяется событие с минимальным показателем вероятности его наступления. Данное значение будет представлять собой степень вероятности наступления негативных последствий для группы в целом. Пример определения вероятности наступления негативных последствий для группы событий представлен на рис. 3. 134 Земцов Т.А., Сорокин М.А. Оценка рисков в риск-ориентированных проверках Таблица 2. Критерии оценки вероятности наступления события Рис. 2. Пример оценки средней вероятности наступления негативных последствий в целом для риска Вероятность реализации риска Критерии оценки История наступления аналогичных событий (при наличии достоверной информации) Прогнозная оценка вероятности (при отсутствии достоверной информации) Минимальная (до 10,00%) Событие не наступало в прошлом Скорее всего, не произойдет, или произойдет реже чем 1 раз в 10 лет Низкая (10,01-20,00%) Событие редко наступало в течение последних 5 лет Возможно, произойдет с частотой не чаще чем 1 раз в 6 лет и не реже чем 1 раз в 10 лет Средняя (или 20,01-40,00%) Событие редко наступало в течение последних 2 лет Вероятно, произойдет с частотой не чаще чем 1 раз в 2 года и не реже чем 1 раз в 3 года Существенная (или 40,0175,00%) Событие периодически наступало в течение последних 2 лет Возможно, произойдет с частотой не чаще чем 1 раз в 1 год и не реже чем 1 раз в 2 года Высокая (или 75,01% и выше) Событие периодически наступало в течение последних 12 месяцев Очень вероятно произойдет в течение 12 месяцев По результатам оценки выбирают группу с наиболее высоким показателем вероятности, которая и будет представлять собой среднюю вероятность наступления негативных последствий для групп событий в целом. Пример определения вероятности наступления негативных последствий для групп событий представлен на рис. 4. 135 Финансы /Finance Сооытия рисковое сооытие рисковое событие рисковое сооытие Вероятность наступления последствии 25 % 1(1 % f Вероятность \\ наступления группы событий % Рис. 3. Пример определения вероятности наступления негативных последствий для группы Событий Рис. 4. Пример определения вероятности наступления негативных последствий для групп Событий Определение вероятности реализации риска путем установления совокупности событий, при одновременном наступлении которых реализуется риск, осуществляется в соответствии с критериями табл. 3. Рассматриваемый метод менее точный, чем первый, но позволяет с наименьшими трудозатратами провести оценку вероятности реализации риска и детально раскрыть механизм реализации риска и причинноследственную связь между элементами риска. 136 Земцов Т.А., Сорокин М.А. Оценка рисков в риск-ориентированных проверках Таблица 3. Критерии оценки вероятности реализации риска Вероятность реализации риска Критерии оценки Минимальная (до 10,00%) Реализация риска возможна при одновременном и последовательном наступлении более 4 событий Низкая (10,00-20,00%) Реализация риска при одновременном и последовательном наступлении 4 событий Средняя (20,01-40,00%) Реализация риска при одновременном и последовательном наступлении 3 событий Существенная (40,01-75,00%) Реализация риска при одновременном и последовательном наступлении 2 событий Высокая (75,01% и выше) Реализация риска зависит только от выявления факта нарушения надзорными и контролирующими органами либо с высокой долей уверенности может привести к ним в течение ближайших 2 календарных кварталов Следующим элементом риска является последствие. Согласно п. 3.6.1.3 ГОСТ Р 51897-2011 «Последствие: результат воздействия события на объект. Примечание 1 - Результатом воздействия события может быть одно или несколько последствий. Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных. Примечание 3 - Последствия могут быть выражены качественно или количественно. Примечание 4 - Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу “домино”». Проанализировав сущность данного элемента риска и его скоррелиро-ванность с другими, мы пришли к выводу, что более точным в целях проведения аудита будет следующее определение: последствие - это финансовые и нефинансовые выгоды или потери организации в количественном или качественном выражении. В связи с тем, что в ходе внутренних аудиторских проверок наиболее часто выявляются негативные события, рассмотрим в настоящей статье именно негативные последствия.Укрупненными видами негативных последствий являются финансовые и нефинансовые потери. Финансовые потери представляют собой количественно измеримые расходы / убытки / недополученные доходы, такие как: - снижение размера капитала организации; - убытки, списания за счет расходов, прибыли или сформированных резервов; - утрата актива, снижение его стоимости, ущерб физическим активам, потеря потребительских качеств физических активов; - штрафы, пени; - компенсации, неустойки контрагентам; - судебные издержки, выплаты по решению суда; 137 Финансы /Finance - дополнительные затраты на создание/ увеличение резервов, восстановление нормальной деятельности подразделений и процессов, устранение последствий ошибок, аварий, стихийных бедствий и пр.; - недополученный доход, незапланированное снижение доходов, тенденция к увеличению расходов; - прочие незапланированные расходы и убытки в явном виде. Финансовые потери различного характера суммируются при определении уровня риска. В связи с тем, что аудиторские проверки осуществляются выборочным способом, при оценке величины финансовых потерь от реализации риска необходимо осуществлять экстраполяцию результатов проверки на основании информации о проверенной генеральной совокупности. Нефинансовые потери представляют собой трудноизмеримые и (или) труднопрогнозируемые в денежном выражении потери организации, но легко оцениваемые с помощью качественных оценок, определенных в организации. Как правило, нефинансовые потери при продолжительном действии события имеют свойство реализовываться в финансовые потери при отсутствии корректирующих мероприятий. К нефинансовым потерям относятся: - репутационный ущерб - к данной категории потерь можно отнести снижение рейтинговых оценок, репутационные издержки для организации и акционера, негативную информацию в средствах массовой информации, утрату ключевых контрагентов и пр.; - санкции надзорных и контролирующих органов; - остановка, перерыв в деятельности - к данной категории потерь можно отнести остановку деятельности организации, отдельных структурных подразделений, перерыв в работе или остановку процессов, снижение темпов реализации и функционирования процессов. Определение значимости финансовых и нефинансовых последствий реализации риска осуществляется в соответствии с критериями табл. 4. В организациях, осуществляющих свою деятельность на опасных производственных объектах, целесообразно дополнительно разрабатывать критерии значимости нефинансовых последствий по таким показателям, как «угроза жизни и здоровью людей», «негативное влияние на окружающую среду». Вероятность реализации риска на основании имеющейся из достоверных внутренних и внешних источников информации о наступлении негативных последствий в прошедших периодах оценивается по критериям, изложенным в табл. 5. По результатам оценки значимости последствий и вероятности реализации риска производится оценка уровня риска с применением матрицы определения уровня риска (табл. 6). 138 Земцов Т.А., Сорокин М.А. Оценка рисков в риск-ориентированных проверках Таблица 4. Критерии определения значимости последствий реализации риска Очень низкий Низкий Средний Высокий Очень высокий 1. Финансовые последствия 1.1. Прямые финансовые потери в % от стоимости актива/статьи отчетности/валюты _баланса/лимита капитальных вложений/ ^ вознаграждения ^ Агента_ Менее 1% 1-3% 4-5% 6-10% Более 10% _1.2. Прямые финансовые потери в абсолютных показателях_ Менее 5 млн руб. | 5-10 млн руб. | 10-30 млн руб. | 30-50 млн руб. | Более 50 млн руб. 2. Нефинансовые последствия 2.1. Репутационный ущерб Единичные случаи перерывов в деятельности одного или нескольких структурных подразделений 2.2. Санкции надзорных и контролирующих органов 2.3. Остановка, перерыв (простой) в деятельности Появление негативных сообщений в международных средствах массовой информации Ограничение деятельности организации Прекращение работы организации по основному направлению ключевого структурного подразделения Факты негативных сообщений в средствах массовой информации отсутствуют Нарушение нормативных актов при отсутствии (в т.ч. потенциально) мер воздействия со стороны надзорных и контролирующих органов Появление негативных сообщений в местных средствах массовой информации Потенциальное применение мер воздействия (вне зависимости от их существенности) со стороны надзорных и контролирующих органов Периодические перебои в деятельности обеспечивающих подразделений Появление негативных сообщений в региональных средствах массовой информации Ограничение деятельности отдельного подразделения (филиала) организации Незапланированное снижение темпов и сокращение масштабов проведения отдельных процессов Появление негативных сообщений в федеральных средствах массовой информации Ограничение деятельности отдельного бизнеспроцесса организации Незапланированный перерыв (простой) в деятельности бизнеспроцесса Таблица 5. Критерии оценки вероятности наступления негативных последствий Вероятность реализации риска История наступления негативных последствий (при наличии достоверной информации) Минимальная (0-10,00%) Негативные последствия не наступали в прошлом Низкая (10,01-20,00%) Негативные последствия редко наступали в течение последних 10 лет Средняя (20,01-40,00%) Негативные последствия редко наступали в течение последних 5 лет Существенная (40,01-75,00%) Негативные последствия эпизодически наступали в течение последних 2 лет при отсутствии изменений внутренних и внешних условий Высокая (75,01-100,00%) Негативные последствия периодически наступали в течение 12 месяцев 139 Финансы /Finance Таблица 6. Матрица определения уровня риска Последствия (степень влияния реализации риска) Вероятность реализации риска Минимальная (10,00% и ниже) Низкая (10,01 20,00%) Средняя (20,01 40,00%) Существен ная (40,01 75,00%) Высокая (75,01% и выше) Очень высокие Существен ный Существен ный Критический Критический Критический Высокие Существен ный Существен ный Существен ный Критический Критический Средние Несуще ственный Существен ный Существен ный Существен ный Критический Низкие Несуще ственный Несуще ственный Существен ный Существен ный Существен ный Очень низкие Несуще ственный Несуще ственный Несуще ственный Существен ный Существен ный В последнее время в крупных российских организациях прослеживается тенденция внедрения в деятельность внутреннего аудита принципов непрерывного аудита и индустрии 4.0 в виде автоматизированного анализа баз данных. Для практической реализации данных принципов организациям необходимо в первую очередь обеспечивать отражение данных событий в учетных системах организации, не ограничиваясь системами, обеспечивающими осуществление бухгалтерского, управленческого и налогового учетов или реализуя в данных системах возможность отражения информации, необходимой для учета параметров событий, влекущих существенные риски. Подразделениям внутреннего аудита, в свою очередь, необходимо учтенные события закладывать в алгоритмы автоматической проверки баз данных. Для установления элементов риска при проведении аудиторских проверок осуществляются аналитические процедуры с использованием дедуктивного и индуктивного методов. При дедуктивном методе целью в первую очередь служит обнаружение источников риска и только затем выявление событий, являющихся следствием источников риска и последующим определением возможных или наступивших негативных последствий. Пример применения дедуктивного метода представлен на рис. 5. Рис. 5. Пример применения дедуктивного метода Например, первоначально внутренними аудиторами изучаются и сопо-ставляюся законодательство и регламентирующие документы организации для выявления несоответствий и противоречий, отсутствия регламентации 140 Земцов Т.А., Сорокин М.А. Оценка рисков в риск-ориентированных проверках отдельных контрольных процедур. По результатам выявляют события путем проведения аудиторских процедур, определяют возможные или наступившие негативные последствия. При индуктивном методе объект проверки изучается, постепенно переходя от частного к общему. Общие положения при этом основываются на многочисленных наблюдениях, локальных выводах, обобщениях. В рамках риск-ориентированной проверки сущность данного метода заключается в первоначальном выявлении событий, наступивших негативных последствий и дальнейшем выявлении источников риска. Пример применения индуктивного метода представлен на рис. 6. Рис. 6. Пример применения индуктивного метода Например, рассмотрим ситуацию, когда аудиторами выявлено случайное уничтожение или повреждение в ходе строительства созданного контрагентом объекта (но на момент гибели не переданного заказчику (агенту) (1-е событие). Второе - у контрагента отсутствует финансовая возможность восстановить объект за счет собственных средств и возместить убытки заказчика (агента) (2-е событие). Вследствие этого заказчик (агент) не имеет возможности выполнить свои обязательства перед принципалом по реализации инвестиционного проекта в полном объеме и в установленные сроки. Следовательно, принципал на основе соответствующих положений агентского договора имеет право не выплачивать агентское вознаграждение (негативное последствие в размере невыплаченного агентского вознаграждения). При анализе данной ситуации аудиторы могут выявить следующие источники риска: - невыполнение заказчиком (агентом) условия агентского договора о том, что в договорах подряда, заключаемых заказчиком (агентом) с контрагентами, необходимо предусматривать условие об обязанности Контрагентов застраховать риск случайной гибели или случайного повреждения объекта до момента передачи принципалу результатов соответствующих работ; - отсутствие контроля со стороны заказчика (агента) за исполнением контрагентом вышеуказанного условия договора подряда о страховании объекта. Исходя из выявленных источников риска, аудиторы могут выявить дополнительные негативные последствия в виде предъявления принципалом предусмотренных условиями агентского договора требований об уплате 141 Финансы /Finance неустойки (штрафа) за необеспечение в договорах подряда обязательных условий по страхованию объектов строительства. Следует отметить, что для выявления внутренними аудиторами риска возможно одновременное применение обоих методов, дедуктивного и индуктивного. Пример применения дедуктивного и индуктивного методов представлен на рис. 7. Рис. 7. Пример применения дедуктивного и индуктивного методов Например, в ходе проверки аудиторы выявили использование неактуальной формы документа. Применяя индуктивный метод, внутренние аудиторы установили, что причиной данного недостатка являлось отсутствие ознакомления исполнителя с приказом, которым была актуализирована форма документа. В подобных ситуациях аудиторам необходимо дополнительно применить дедуктивный метод. Внутренними аудиторами за отправную точку берется отсутствие ознакомления исполнителя с приказом. Если приказ не только актуализировал форму документа, но и внес другие существенные изменения в процедуры бизнес-процесса, в которых задействован исполнитель, то внутреннему аудитору, применяя дедуктивный метод, необходимо проверить, каким образом реализуются данным исполнителем другие требования приказа, неисполнение которых может привести к возникновению иных рисков. Вклад авторов: все авторы сделали эквивалентный вклад в подготовку публикации. Авторы заявляют об отсутствии конфликта интересов.

Скачать электронную версию публикации