"Методические рекомендации по оценке рисков при проведении аудита эффективности"
СЧЕТНАЯ ПАЛАТА РОССИЙСКОЙ ФЕДЕРАЦИИ
Утверждены
Коллегией Счетной палаты
Российской Федерации
протокол
от 19 июля 2022 г. N 49К (1574)
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОЦЕНКЕ РИСКОВ ПРИ ПРОВЕДЕНИИ АУДИТА ЭФФЕКТИВНОСТИ
(с изменениями, утвержденными Коллегией Счетной палаты
Российской Федерации, протокол от 05.12.2023 N 71К (1676))
Общие сведения
1. РАЗРАБОТАНЫ Департаментом исследований и методологии аппарата Счетной палаты Российской Федерации.
2. ДАТА ВСТУПЛЕНИЯ В СИЛУ: 19 июля 2022 года.
3. РАЗРАБОТАНЫ ВПЕРВЫЕ.
1. Общие положения
1.1. Методические рекомендации по оценке рисков при проведении аудита эффективности (далее - Методические рекомендации) разработаны для определения методов и описания процедур оценки рисков при проведении контрольных и экспертно-аналитических мероприятий с применением аудита эффективности (далее - мероприятия).
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
1.2. Задачами Методических рекомендаций являются:
описание предмета аудита (контроля), предполагающего оценку риска;
определение особенностей рисков объектов аудита (контроля) и области рисков <1>;
--------------------------------
<1> Под областью риска понимается область в сфере социально-экономического развития Российской Федерации и (или) в сфере деятельности объектов аудита (контроля), в границах которой тенденции, процессы, прочие явления характеризуются наличием одного риска или нескольких рисков.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
описание процедуры оценки рисков при проведении мероприятий;
определение методов оценки рисков и особенностей их применения;
определение порядка документирования результатов оценки рисков;
описание общих подходов к формулированию предложений (рекомендаций) по управлению рисками в адрес объектов аудита (контроля) и заинтересованных сторон <2>, подготавливаемых по итогам мероприятий, предусматривающих оценку рисков.
--------------------------------
<2> Под заинтересованными сторонами в соответствии с пунктом 7 раздела 2 Концепции риск-ориентированного подхода в Счетной палате Российской Федерации понимаются физические или юридические лица, государственные и иные органы, организации, которые активно влияют или могут влиять на деятельность объекта аудита (контроля), области рисков и (или) интересы (цели) которых затрагиваются или могут быть затронуты (с точки зрения выгод или потерь) в ходе деятельности объекта аудита (контроля) или под воздействием рисков из областей рисков.
1.3. Методические рекомендации разработаны в соответствии с Федеральным законом от 5 апреля 2013 г. N 41-ФЗ "О Счетной палате Российской Федерации" (далее - Федеральный закон N 41-ФЗ, Счетная палата), Федеральным законом от 28 июня 2014 г. N 172-ФЗ "О стратегическом планировании в Российской Федерации", Основами государственной политики в сфере стратегического планирования в Российской Федерации, утвержденными Указом Президента Российской Федерации от 8 ноября 2021 г. N 633, Концепцией риск-ориентированного подхода в Счетной палате Российской Федерации, утвержденной решением Коллегии Счетной палаты (протокол от 22 июня 2021 г. N 44К (1487), стандартом внешнего государственного аудита (контроля) СГА 101 "Общие правила проведения контрольного мероприятия", стандартом внешнего государственного аудита (контроля) СГА 102 "Общие правила проведения экспертно-аналитических мероприятий", стандартом внешнего государственного аудита (контроля) СГА 104 "Аудит эффективности" (далее - СГА 104), а также с учетом профессиональных документов ИНТОСАИ <3> и государственных стандартов <4>.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
--------------------------------
<3> ISSAI 100 "Основополагающие принципы аудита государственного сектора", GUID 9020 "Руководство по оценке государственных политик", GUID 3910 "Основные концепции аудита достижения результатов", с использованием ISSAI 300 "Основополагающие принципы аудита достижения результатов", ISSAI 3000 "Стандарт аудита достижения результатов", GUID 3920 "Процесс аудита достижения результатов".
<4> ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска", ГОСТ Р 51897-2021 "Менеджмент риска. Термины и определения".
1.4. Методические рекомендации предназначены для использования членами Коллегии Счетной палаты, участниками мероприятий и иными сотрудниками Счетной палаты.
2. Термины и определения
Для целей Методических рекомендаций используются следующие термины и определения:
1) идентификация риска - процесс выявления и описания рисков, способных оказать влияние на достижение запланированных результатов деятельности объекта аудита (контроля);
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
2) анализ риска - исследование причин, факторов, источников риска и последствий реализации риска, средств контроля, мер по управлению риском и результатов таких мер;
3) оценивание рисков - определение рейтинга <5> и значимости <6> рисков путем определения вероятности, влияния и управляемости риска;
--------------------------------
<5> Под рейтингом рисков в соответствии с пунктом 12 раздела 2 Концепции риск-ориентированного подхода в Счетной палате Российской Федерации понимается определение места отдельного оцененного риска, в том числе агрегированного, объектов аудита (контроля) или областей риска относительно иных рисков.
<6> См. пункт 5.4.1 Методических рекомендаций.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
4) событие - возникновение или изменение специфического набора условий, которые могут оказать потенциальное влияние на достижение запланированных результатов объекта аудита (контроля) и привести к определенным последствиям. Опасное событие - событие, которое в случае наступления оказывает негативное влияние на достижение запланированных результатов объекта аудита (контроля);
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
5) реестр рисков - табличная форма представления информации об идентифицированных рисках (приложение N 1 к Методическим рекомендациям);
6) управляемые риски - риски, на факторы которых может повлиять объект аудита (контроля) или заинтересованные стороны;
7) неуправляемые риски - риски, факторы которых напрямую не находятся в сфере влияния объекта аудита (контроля), заинтересованных сторон <7>;
--------------------------------
<7> Неуправляемые риски, идентифицируемые в процессе оценки рисков, также необходимо вносить в формируемый в ходе проведения мероприятия реестр рисков в целях их дальнейшего анализа и последующего мониторинга.
8) вероятность риска - характеристика возможности реализации риска;
9) влияние риска - характеристика величины возможных потерь, связанных с возникновением препятствий для достижения запланированных результатов, в случае реализации риска;
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
10) управляемость риска - характеристика возможности воздействовать на факторы риска со стороны объекта аудита (контроля) и (или) заинтересованных сторон;
11) подходы (стратегии) управления рисками - способы реагирования на риск, при необходимости направленные на доведение рейтинга оцененных рисков до приемлемых для объекта аудита (контроля) значений (характеристик) <8>;
--------------------------------
<8> В случае установления объектом аудита (контроля) лимита по риску значения характеристик влияния и вероятности риска предусматриваются в пределах установленного лимита.
12) матрица оценки рисков - инструмент графического представления оцененных рисков;
13) качественное оценивание рисков - анализ идентифицированных рисков в разрезе критериев вероятности и влияния и (или) значимости и управляемости с применением качественных методов оценки рисков;
14) количественное оценивание рисков - численное определение рейтинга отдельного риска и (или) агрегированного риска.
3. Сущность и принадлежность риска, особенности предмета
аудита (контроля), предполагающего оценку рисков
3.1. Объекты аудита (контроля) находятся под влиянием множества воздействующих на них обстоятельств, причем это одинаково актуально как для постоянно функционирующих органов и организаций, например, министерств, государственных корпораций, отдельных компаний, так и временных органов, например, ведомственных проектных офисов, формируемых для организации проектной деятельности <9>.
--------------------------------
<9> В соответствии с пунктом 8 Положения об организации проектной деятельности в Правительстве Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 31 октября 2018 г. N 1288.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
3.2. Управление программами <10>, проектами <11>, комплексами процессных мероприятий (далее - процессы) <12> без управления рисками ставит под угрозу достижение результатов, а в случае реализации рисков приводит к необходимости нести дополнительные затраты на устранение или компенсацию последствий. Оценка рисков позволяет учитывать, в какой степени обстоятельства могут оказать влияние на достижение результатов объектами аудита (контроля), на основании чего заблаговременно принять меры, чтобы снизить вероятность, влияние рисков и (или) смягчить последствия реализации рисков.
--------------------------------
<10> Под программами понимаются государственные программы Российской Федерации, указанные в пункте 3 Положения о системе управления государственными программами Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 26 мая 2021 г. N 786.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
<11> Под проектом в соответствии с пунктом 5 Положения об организации проектной деятельности в Правительстве Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 31 октября 2018 г. N 1288, понимается комплекс взаимосвязанных мероприятий, направленных на получение уникальных результатов в условиях временных и ресурсных ограничений (национальный проект, федеральный проект, ведомственный проект, региональный проект).
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
<12> В соответствии с пунктом 25 Методических рекомендаций по разработке и реализации государственных программ Российской Федерации, утвержденных приказом Минэкономразвития России от 17 августа 2021 г. N 500, комплекс процессных мероприятий представляет собой группу скоординированных мероприятий (результатов), имеющих общую целевую ориентацию и направленных на выполнение функций и решение текущих задач федеральных органов исполнительной власти или иных государственных органов, организаций, соответствующих положениям (уставам, законам) о таких федеральных органах исполнительной власти или иных государственных органах, организациях.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
3.3. Управление ресурсами <13> также может находиться под риском. В целях поддержания или повышения эффективности использования ресурсов объектам аудита (контроля) необходимо стремиться к тому, чтобы внутриорганизационные процессы предусматривали мониторинг и оценку рисков неэкономного и (или) нерезультативного использования <14> ресурсов.
--------------------------------
<13> Под ресурсами понимаются федеральные и иные ресурсы. Согласно разделу 1.2 СГА 104 к федеральным ресурсам относятся средства федерального бюджета, бюджетов государственных внебюджетных фондов Российской Федерации, федеральная собственность, а к иным ресурсам - ресурсы (за исключением федеральных ресурсов), обеспечивающие социально-экономическое развитие Российской Федерации, в отношении которых Счетная палата в пределах своей компетенции осуществляет внешний государственный аудит (контроль) порядка формирования, управления и распоряжения. К иным ресурсам, в частности, относятся финансовые средства, имущество, трудовые, временные и другие ресурсы, используемые объектами аудита (контроля) для достижения непосредственных, конечных результатов и (или) итоговых эффектов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
<14> Согласно статье 34 Бюджетного кодекса Российской Федерации участники бюджетного процесса в рамках установленных им бюджетных полномочий должны исходить из необходимости достижения заданных результатов с использованием наименьшего объема средств (экономности) и (или) достижения наилучшего результата с использованием определенного бюджетом объема средств (результативности).
Риск - это следствие влияния неопределенности на достижение результатов.
(в ред. Протока заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его вероятности и последствий. Реализация риска как возможного события в будущем характеризуется вероятностью. Реализовавшиеся риски также препятствуют достижению плановых значений ожидаемых результатов (индикаторов, показателей) объектов аудита (контроля).
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Факторами риска могут быть:
условия, события и (или) обстоятельства, наблюдаемые во внешней и внутренней среде объекта аудита (контроля);
следствие деятельности и (или) бездействия объекта аудита (контроля) и (или) заинтересованных сторон (вместе - источники риска).
Факторы риска как по отдельности, так и во взаимосвязи способны привести к возникновению риска, изменению вероятности риска и (или) влияния риска на результат и могут стать причиной реализации риска.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Рисунок 1. Схема идентификации рисков.
Под результатами, относительно которых проводится оценка рисков, понимаются результаты предоставления субсидий, результаты реализации отдельных мер государственной политики, результаты закупок товаров, работ, услуг в рамках законодательства о контрактной системе в сфере закупок, иные результаты.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Под результатами реализации программ, проектов и процессов, относительно которых проводится оценка рисков, понимаются результаты в виде непосредственных результатов <16>, конечных результатов <17> и итоговых эффектов <18>.
--------------------------------
<16> В соответствии с абзацем седьмым раздела 1.2 СГА 104 к непосредственным результатам отнесены конкретные продукты (финансовое состояние, события), формируемые (наступающие) вследствие деятельности объектов аудита (контроля) по использованию федеральных и иных ресурсов и возможные для использования выгодоприобретателями.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
<17> В соответствии с абзацем восьмым раздела 1.2 СГА 104 к конечным результатам отнесена совокупность значимых изменений, возникающих у выгодоприобретателей после использования непосредственных результатов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
<18> В соответствии с абзацем девятым раздела 1.2 СГА 104 к итоговым эффектам отнесены средне- и долгосрочные социально-экономические изменения.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
4. Определение особенностей рисков объектов аудита
(контроля) и области рисков
По характеру принадлежности выделяются две категории рисков - риски объекта аудита (контроля) и риски области рисков.
К рискам объекта аудита (контроля) относятся риски недостижения результатов деятельности одного или нескольких объектов аудита (контроля), в том числе по выполнению им (ими) соответствующих задач, функций и полномочий, определенных законодательством Российской Федерации и иными правовыми актами, реализации программ, планов, проектов, процессов, отдельных мер, в том числе действий, связанных с использованием ресурсов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Для целей Методических рекомендаций в рамках оценки рисков объектов аудита (контроля) в том числе анализируются риски органов управления проектной деятельностью, сформированных в составе объектов аудита (контроля) или заинтересованных сторон, в отношении которых Счетная палата вправе осуществлять внешний государственный аудит (контроль), в пределах своих полномочий, установленных законодательством Российской Федерации.
К рискам областей рисков относятся риски в различных сферах социально-экономического развития (внешнеэкономическая, энергетическая, макроэкономическая, демографическая и др.) Российской Федерации, не имеющих непосредственного отношения к конкретным объектам аудита (контроля) и потенциально затрагивающих интересы широкого круга заинтересованных сторон.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Область рисков может входить в сферу деятельности одного или нескольких государственных органов или не входить в сферу деятельности ни одного из них <19>.
--------------------------------
<19> Оценка рисков областей рисков осуществляется для обоснования предложений о включении мероприятий в план работы Счетной палаты на очередной год в процессе планирования деятельности Счетной палаты.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
К рискам, которые могут быть выявлены при планировании и в ходе аудита эффективности, относятся риски достижения результатов, в том числе:
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
риски достижения результатов программы, проекта, одного или нескольких мероприятий программы или проекта (включая конечные результаты и итоговые эффекты);
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
риски реализации мер государственной политики, не предусмотренных в качестве инструмента реализации проекта или программы.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
При планировании и проведении аудита эффективности необходимо учитывать особенности методологии применения данного вида аудита, в частности, то, что оценка (анализ, проверка) эффективности использования ресурсов - это оценка (анализ, проверка) на определенный момент времени. Постепенно достигаемые результаты и затрачиваемые на такие результаты ресурсы могут накапливаться в течение некоторого периода времени. В этой связи к рискам в рамках аудита эффективности относятся риски, приводящие к снижению эффективности использования ресурсов, направляемых на:
получение непосредственных результатов (например, при осуществлении закупки товаров, работ (услуг) и (или) конечных результатов;
реализацию отдельных мер государственной политики;
реализацию комплекса мер, образующих систему управления ресурсами.
Пример идентификации риска по отношению к результату
Результат:
Закупка программного обеспечения (ПО) для специфических задач
Факторы риска:
Низкая квалификация заказчика
Конкуренция на рынке программного обеспечения
Деятельность поставщиков ПО в условиях санкционных ограничений
Требования регулирующих органов к:
поставщикам ПО
квалификации заказчика закупок ПО
особенностям процедур проведения закупок ПО
Причины риска:
Отсутствие знаний рынка ПО, условий приобретения за аналогичную или меньшую стоимость альтернативного программного обеспечения, а также стоимости услуг по сопровождению ПО
Риск:
Приобретение ПО, не соответствующего специфическим задачам (с ненадлежащими характеристиками), по завышенной стоимости
Последствия:
Увеличение бюджетных расходов на закупку и обслуживание ПО
Недостижение непосредственного результата по автоматизации
Отдельные процедура и методы оценки рисков, определенные в Методических рекомендациях, также могут применяться при планировании и проведении аудита соответствия.
(абзац введен Протоколом заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
5. Процедура оценки рисков при проведении мероприятий
Оценка рисков позволяет идентифицировать риски, факторы, причины и источники рисков, проанализировать их и провести оценивание рисков, осуществить ранжирование рисков по степени влияния на запланированные результаты. Также оценка рисков позволяет приоритизировать аудиторские процедуры и планируемые трудозатраты на основании рейтинга рисков путем концентрации временных и иных ресурсов мероприятия на наиболее существенных вопросах аудита (при выборе объектов аудита (контроля), предмета аудита (контроля) или его отдельных аспектов).
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Проведение оценки рисков нацелено на получение и структурирование информации в отношении:
достижения запланированных результатов с учетом рисков;
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
факторов риска, их взаимосвязи (включая слабые стороны в деятельности объекта аудита (контроля);
управляемости риска со стороны объекта аудита (контроля) и (или) заинтересованных сторон в части разработки и выполнения проактивных и реактивных мер по управлению риском (см. подраздел 5.3 Методических рекомендаций).
Оценка рисков способствует комплексному пониманию вероятности получения результатов через указание на возможные факторы, источники, причины и последствия рисков.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Проведение оценки риска может потребовать междисциплинарных знаний, так как риски могут иметь широкий диапазон факторов, источников, причин и последствий, требующих всестороннего изучения. Получение таких знаний может быть организовано в том числе путем привлечения экспертов.
Оценка рисков объектов аудита (контроля) и областей рисков при проведении аудита эффективности включает выполнение следующих последовательных шагов:
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
1) оценка системы управления рисками объекта аудита (контроля);
2) идентификация рисков;
3) анализ идентифицированных рисков, определение источников рисков, установление факторов риска, их возможных причин и последствий;
4) качественное и количественное оценивание рисков.
5.1. Оценка системы управления рисками объекта
аудита (контроля)
Под системой управления рисками (далее - СУР) понимается комплекс принципов, методологий, правил, документов, структур управления и мероприятий по оценке рисков, воздействию на риски, а также по мониторингу и контролю их уровня.
Оценка СУР объекта аудита (контроля) проводится в ходе подготовительного и (или) основного этапа мероприятия посредством исследования процессов, характеризующих уровень организационной зрелости и качества управления в объекте аудита (контроля). Зрелость СУР объекта аудита (контроля) определяется наличием и подтверждением функционирования процессов по управлению рисками достижения результатов, эффективного использования ресурсов <20>.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
--------------------------------
<20> Частью 9 статьи 7 Федерального закона от 28 июня 2014 г. N 172-ФЗ "О стратегическом планировании в Российской Федерации" определен принцип реалистичности стратегического планирования, означающий, что при определении целей и задач социально-экономического развития и обеспечения национальной безопасности Российской Федерации участники стратегического планирования должны исходить из возможности достижения целей и решения задач в установленные сроки, в том числе с учетом рисков.
Согласно пункту 61 Положения о системе управления государственными программами Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 26 мая 2021 г. N 786, контроль за реализацией государственных программ представляет собой комплекс мероприятий по измерению их фактических параметров, а также по выявлению и минимизации рисков недостижения плановых параметров государственных программ.
Согласно пункту 87 Положения об организации проектной деятельности в Правительстве Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 31 октября 2018 г. N 1288, в отчет о ходе реализации национального проекта, отчет о ходе реализации федерального проекта, отчет о ходе реализации ведомственного проекта, информацию о реализации региональных проектов включается достоверная информация о реализации проектов, в том числе информация о рисках реализации проектов и мерах реагирования, направленных на их устранение (минимизацию).
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
В приложении N 6 к Методическим рекомендациям приведена шкала оценки уровня зрелости СУР от нулевого (0) до интеллектуального уровня (4).
При нулевом уровне зрелости СУР объекта аудита (контроля), подтверждаемом отсутствием документов, регламентирующих функционирование СУР, рекомендуется провести оценку рисков в соответствии с Методическими рекомендациями, а также сформулировать по итогам мероприятия при необходимости предложения (рекомендации) о целесообразности разработки программы развития СУР.
Необходимость подготовки предложений (рекомендаций) о целесообразности разработки программы развития СУР оценивается участником мероприятия на основе профессионального суждения, основанного на оценке характера деятельности объекта аудита (контроля), предполагающего, что затраты на создание СУР не будут превышать возможные потери от реализации рисков объекта аудита (контроля), выявленных в ходе проведения мероприятия.
В зависимости от уровня зрелости СУР подготавливаются предложения (рекомендации) объекту аудита (контроля) по совершенствованию СУР с указанием на конкретные проблемы в функционировании СУР, подтверждаемые результатами оценки рисков и актуального уровня зрелости СУР.
5.2. Идентификация рисков
Идентификация рисков осуществляется на подготовительном и (или) основном этапе (этапах) мероприятия и заключается в выявлении и описании участниками мероприятия рисков достижения результатов. Идентификация рисков предполагает определение содержания и характеристик рисков.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
При необходимости для идентификации, определения характеристик рисков и последующего формирования реестра рисков (примерная форма реестра рисков приведена в приложении N 1 к Методическим рекомендациям) в рамках проводимых мероприятий могут привлекаться эксперты, а также представители заинтересованных сторон.
При идентификации рисков изучаются только возможные (вероятные) опасные события в деятельности объектов аудита (контроля) или во внешней среде, которые в случае их наступления приведут к последствиям, влияющим на достижение результатов, например:
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
приведут к недостижению запланированных результатов и (или) невыполнению показателей (индикаторов) программы (проекта, процесса);
приведут к потерям (например, финансовым, имущественным, кадровым и т.д.);
приведут к неэффективному использованию ресурсов (или снижению эффективности использования ресурсов);
приведут к ухудшению инвестиционной привлекательности <21> и (или) нарушат финансовую устойчивость объекта аудита (контроля).
--------------------------------
<21> Например, в ходе аудита государственных компаний, в т.ч. публичных акционерных обществ с государственным участием.
Рисками не являются следующие события:
события, которые уже произошли, происходят на момент идентификации рисков;
события, которые произойдут со стопроцентной вероятностью;
события, последствия которых не влияют на достижение ожидаемых результатов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Проблемные ситуации или негативные события, которые произошли, происходят или произойдут со стопроцентной вероятностью, могут быть:
факторами возникновения новых рисков (необходимо анализировать проблемы и события, которые могут указать на источники и (или) стать фактором, причиной нового риска);
последствиями реализации рисков (необходимо проводить анализ последствий для предотвращения реализации рисков в будущем).
В качестве основы для изучения факторов рисков может использоваться накопленная и обобщенная информация о нарушениях и недостатках системного характера, выявленных у объектов аудита (контроля), а также об их причинах.
5.2.1. Анализ внешней и внутренней среды объекта аудита
(контроля), анализ области риска
Идентификацию рисков и последующую оценку рисков рекомендуется начать с анализа внешней и внутренней среды объекта аудита (контроля), позволяющего определить круг основных источников рисков и охарактеризовать риски, которые могут оказать влияние на достижение результатов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Анализ внешней среды объекта аудита (контроля) предполагает изучение окружающей среды, в которой функционирует объект аудита (контроля), осуществляющий свою деятельность, в т.ч. по реализации проекта и (или) программы, а также изучение социальных, культурных, политических, правовых, финансовых, технологических, экономических и экологических факторов на международном, федеральном, региональном или местном уровнях, а также существующих взаимосвязей с заинтересованными сторонами.
Анализ внутренней среды объекта аудита (контроля) предполагает изучение совокупности его внутренних элементов, позволяющее выявить слабые и сильные стороны объекта аудита (контроля), в том числе предполагает изучение проводимой государственной политики в области деятельности объекта аудита (контроля), бизнес-процессов, а также стандартов, методик и внутренних нормативных документов, принятых объектом аудита (контроля) и заинтересованными сторонами, характера деятельности объекта аудита (контроля), его организационной структуры и т.д.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
При анализе внешней среды рекомендуется применять методы "PESTEL-анализа" для выявления и оценки факторов внешней среды и "ABC-анализа" для определения значимых факторов. При анализе внутренней среды рекомендуется применять методы "SWOT-анализа", "SNW-анализа" и анализа процессов.
Общая схема анализа с применением указанных методов приведена на рисунке 2.
Рисунок 2. Схема применения "PESTEL-анализа", "SNW-анализа", анализа процессов, "ABC-анализа" и "SWOT-анализа".
Методы анализа внешней и внутренней среды ("PESTEL-анализа", "ABC-анализа", "SNW-анализа", "SWOT-анализа", анализа процессов (картирования процессов), а также ретроспективного анализа похожих проблем, анализа "разрывов") и примеры их применения приведены в приложении N 3 к Методическим рекомендациям.
Анализ области риска. Некоторые риски могут выпадать из поля зрения объектов аудита (контроля) по разным причинам. К таким причинам могут относиться, например, незакрепление за ведомствами (нечеткое закрепление или распределение между ведомствами) конкретных функций и полномочий по выработке и реализации государственной политики в отдельной сфере (специфической области риска), недостаточность нормативно-правового регулирования. К областям риска могут относиться, например, кибербезопасность, управление государственным имуществом, управление человеческими ресурсами на государственной службе и другие. Анализ и изучение содержания изменений в таких областях риска способствует более объективному пониманию факторов риска во внешней среде, влияющих на достижение результатов, обеспечение эффективного использования ресурсов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
5.2.2. Процесс идентификации рисков
Идентификация рисков проводится на основе результатов анализа внешней и внутренней среды объекта аудита (контроля). Задача идентификации рисков заключается в определении событий, которые могут негативно повлиять на достижение результатов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Для идентификации рисков в ходе мероприятия могут применяться разные методы идентификации рисков в зависимости от специфики предмета мероприятия <22>.
--------------------------------
<22> В ГОСТ Р 58771-2019 "Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска" описаны и классифицированы технологии (методы) оценки рисков в соответствии с их основным применением при оценке рисков.
К базовым методам идентификации рисков относятся: анализ документов, качественные методы идентификации рисков, включающие структурированные и полуструктурированные интервью, анкетирование экспертов, метод "Дельфи", направленный "мозговой штурм" (риск-сессия), аналитические отчеты, анализ ответов на структурированные запросы, контрольные листы.
Структурированные запросы представляют собой направление объектам аудита (контроля) и заинтересованным сторонам запросов информации с перечислением вопросов, ответы на которые позволяют получить информацию, например, о системе управления рисками, методиках расчета рисков, а также результатов оценки рисков объектом аудита (контроля).
Пример типового запроса объектам аудита (контроля) приведен в приложении N 7 к Методическим рекомендациям.
Подробное описание методов идентификации рисков и примеры их применения приведены в приложении N 4 к Методическим рекомендациям.
5.3. Анализ идентифицированных рисков, определение
источников рисков, установление факторов риска, их возможных
причин и последствий
Анализ идентифицированного риска направлен на углубленное изучение риска, определение факторов, причин и источников рисков. Декомпозиция риска на причины и последствия позволяет детализированно оценить вероятность/влияние и ожидаемые потери (последствия) от реализации риска, а также обнаружить взаимозависимости между рисками, между факторами рисков. Ожидаемые последствия риска могут быть также представлены, как произведение вероятности реализации риска и его влияния (то есть величины отклонения или, например, потери (убытка) при реализации риска).
В качестве базового метода визуализации причинно-следственных связей риска от причин до последствий с учетом проактивных и реактивных мер используется метод "галстук-бабочка".
Общая схема анализа риска с применением данного метода на рисунке 3.
Рисунок 3. Общая схема анализа риска на основе
метода "галстук-бабочка".
Для построения диаграммы "галстук-бабочка" в центре диаграммы указывается название риска, слева от риска - причины и источники (при необходимости) указанного риска, а справа от риска - возможные последствия в случае реализации риска. На диаграмме также рекомендуется разместить проактивные и реактивные меры. Проактивные меры предназначены для снижения вероятности реализации риска и указываются в левой части диаграммы. Реактивные меры предназначены для снижения тяжести последствий в случае реализации риска и указываются в правой части диаграммы. Как правило, определение проактивных и реактивных мер проводится на риск-сессиях (направленных "мозговых штурмах" (см. раздел 2 приложения N 4 к Методическим рекомендациям).
Для более детального анализа идентифицированных рисков рекомендуется использовать модифицированную диаграмму "галстук-бабочка" (рисунок 4), где
ИР - источники рисков;
Р - результаты;
П - плановые значения показателей результатов.
Рисунок 4. Схема анализа риска первого и второго уровня на основе метода "галстук-бабочка".
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Риск первого уровня - риск, особенностями которого может являться описание вероятного масштабного опасного события, вызывающего последствия, негативно влияющие на достижение целей и результатов, что отражается в недостижении плановых значений показателей таких результатов.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Риск второго уровня - риск, особенностями которого может являться описание опасного события, которое либо может стать причиной риска первого уровня, либо способно усилить его влияние. Риски второго уровня выступают риск-факторами к рискам первого уровня.
Последствия, негативно влияющие на достижение результатов, отражаются в недостижении их показателей.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Входными данными для метода "галстук-бабочка" являются идентифицируемые риски первого уровня, а также связанная с ними информация о рисках второго уровня, источниках и последствиях опасных событий, проактивных и реактивных мерах и ключевых индикаторах рисков.
Ключевые индикаторы рисков (КИР) <23> используются для оценки изменения вероятности реализации риска.
--------------------------------
<23> Под ключевыми индикаторами риска в соответствии с пунктом 8 раздела 2 Концепции риск-ориентированного подхода в Счетной палате Российской Федерации понимаются показатели, которые позволяют надлежащим образом измерить риски и (или) дают возможность отслеживать уровни рисков и прогнозировать вероятность реализации рисков и (или) возможные последствия от реализации рисков.
Пример формулировки индикаторов риска по отношению к фактору риска
Риск: снижение обеспеченности квалифицированными кадрами в медицинских учреждениях.
Фактор риска: нехватка необходимых компетенций у медицинских работников и низкий уровень подготовки кадров в медицинских учреждениях.
Индикаторы риска (единицы измерения) по отношению к фактору риска:
1) результаты оценки наличия необходимых компетенций (доля персонала, который соответствует требованиям по необходимым компетенциям, %);
2) закрытие вакансий по плану подбора персонала с требуемыми компетенциями (доля закрытых вакансий по плану подбора персонала, %);
3) разработка и реализация плана повышения квалификации и получения новых компетенций (доля сотрудников, освоивших программы повышения квалификации, %).
В зависимости от конкретного мероприятия руководителем мероприятия может быть принято решение увеличить количество уровней рисков до трех и более. Каждый следующий уровень рисков в этом случае выступает риск-фактором для рисков более высокого уровня. Однако такой подход усложнит анализ идентифицированных рисков.
В отдельных случаях руководителем мероприятия может быть принято решение проводить анализ только рисков первого уровня. В этом случае диаграмма "галстук-бабочка" упрощается:
Рисунок 5. Схема анализа риска первого уровня на основе метода "галстук-бабочка".
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Метод "галстук-бабочка" применяется для анализа рисков на риск-сессиях (направленных "мозговых штурмах"). Процедура применения метода "галстук-бабочка" приводится в разделе 3 приложения N 4 к Методическим рекомендациям.
5.4. Качественное и количественное оценивание рисков
Оценивание рисков включает в себя:
оценку вероятности реализации риска;
оценку влияния риска на результаты;
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
оценку управляемости риска;
обобщение результатов оценивания риска.
При оценке вероятности реализации риска и влияния риска на результаты могут применяться качественный и (или) количественный подходы.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Выбор подхода к оцениванию рисков зависит от доступности и надежности располагаемых данных, зрелости СУР, профессиональной компетентности и навыков участников мероприятия и иных сотрудников Счетной палаты, задействованных в процессе оценки и управления рисками в объекте аудита (контроля).
В рамках отдельных мероприятий в отношении объектов аудита (контроля), СУР которых предусматривает необходимость применения методов количественной оценки рисков (например, государственные компании или корпорации, уставные цели которых предусматривают в т.ч. извлечение прибыли), при оценивании рисков и оценки уровня зрелости СУР могут учитываться показатели емкости риска, "риск-аппетита" и лимиты рисков (см. приложение N 8 к Методическим рекомендациям).
5.4.1. Качественное оценивание рисков
Качественное оценивание рисков представляет собой анализ идентифицированных рисков в разрезе вероятности, влияния и управляемости рисков. При этом качественная оценка:
проводится при первичном оценивании рисков и позволяет быстро приоритизировать риски ("отсеять" незначимые риски и выделить наиболее значимые риски);
используется в качестве ключевого инструмента при отсутствии количественной статистики по рискам.
Качественное оценивание рисков может проводиться путем проведения риск-сессии с участниками мероприятия и при необходимости привлеченными экспертами в целях:
1) оценки вероятности реализации риска (с применением балльной оценки);
2) оценки влияния рисков на результаты (с применением балльной оценки);
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
3) определения рейтинга рисков, а также значимости риска, рассчитываемой путем перемножения балльных оценок вероятности и влияния риска, а также ранжирования рисков;
4) оценки управляемости риска (с применением балльной оценки).
Качественная оценка рисков при одноуровневом и двухуровневом анализе рисков несколько отличается. Оценка при многоуровневом анализе рисков состоит из следующих этапов:
На первом этапе осуществляется оценка значимости и управляемости рисков первого уровня.
На втором этапе осуществляется оценка значимости и управляемости рисков второго уровня. Цель оценки - выделить наиболее значимые факторы для рисков первого уровня. Эти значимые факторы далее используются в качестве независимых переменных при количественной оценке рисков. Незначимые факторы рисков из дальнейшей оценки рисков исключаются.
При одноуровневой оценке выполняется только первый этап.
По результатам качественного оценивания рисков разрабатываются предложения (рекомендации) объектам аудита (контроля) относительно дальнейших методов воздействия на риск. Результаты качественной оценки отображаются в картах рисков (матрица "вероятность/влияние" и матрица "значимость/управляемость") и документируются в реестре рисков, которые входят в рабочую документацию мероприятия.
Матрица оценки рисков "вероятность/влияние"
Вероятность реализации риска оценивается в соответствии с уровнями вероятности по 5-балльной шкале (1 - очень низкая, 2 - низкая, 3 - средняя, 4 - высокая, 5 - очень высокая). Результаты оценки вероятности риска сопоставляются с диапазонами шкалы оценки и в зависимости от этого вероятности риска присваивается балльная оценка. Границы диапазонов шкалы оценки вероятности определяются с учетом "риск-аппетита", а также характеристик и масштабов деятельности, временного горизонта анализа. Также принимается во внимание степень изменчивости внутренней и внешней среды объекта аудита (контроля). В таблице ниже приведен пример балльной шкалы оценки уровней вероятности реализации рисков.
Пример шкалы экспертной оценки уровней вероятности риска <24> для процесса (производственного, любого иного), основанного на частоте реализации риска.
--------------------------------
<24> Шкала экспертной оценки вероятности события риска может разрабатываться не только для экспертной оценки на основе анализа ранее реализовавшихся событий рисков, т.е. участник мероприятия, иной сотрудник Счетной палаты либо эксперт может выражать мнение, которое не обязательно основано на событиях рисков в прошлом.
Баллы
Уровень вероятности реализации риска в течение горизонта риска <*>
Частота реализации в рамках горизонта риска
Процентная оценка вероятности
Интерпретация условий реализации
1
Очень низкая
Событие не происходило
Менее 6%
Уникальное событие
2
Низкая
Редко (например, 1 - 2 раза в год)
6% - 20%
Событие скорее не произойдет, чем произойдет
3
Средняя
Умеренно (например, 2 - 4 раза в год)
21% - 50%
Событие может как произойти, так и не произойти
4
Высокая
Часто (например, 5 - 10 раз в год)
51% - 80%
Событие скорее произойдет, чем не произойдет
5
Очень высокая
Очень часто (например, более 10 раз в год)
Более 80%
Событие практически точно произойдет
--------------------------------
<*> Под горизонтом риска (временным горизонтом риска) понимается временная характеристика удаленности реализации события риска от даты идентификации/оценки/актуализации.
Уровень влияния рисков оценивается в соответствии с 5-балльной шкалой (1 - очень низкая, 2 - низкая, 3 - средняя, 4 - высокая, 5 - очень высокая). Результаты оценки уровня влияния риска сопоставляются с диапазонами шкалы оценки. В зависимости от этого уровню влияния риска присваивается балльная оценка. Точно также, как и для определения вероятности риска, границы диапазонов шкалы оценки влияния определяются с учетом "риск-аппетита", характеристик и масштабов деятельности объекта аудита (контроля), временного горизонта анализа, а также степени изменчивости внутренней и внешней среды объекта аудита (контроля). Ниже приведены примеры интерпретации балльной шкалы оценки уровней влияния рисков.
Примеры
Пример N 1 - шкала экспертной оценки влияния риска <25>.
--------------------------------
<25> Шкала экспертной оценки вероятности риска может разрабатываться не только для экспертной оценки на основе анализа именно ранее реализовавшихся рисков, т.е. участник мероприятия, иной сотрудник Счетной палаты либо эксперт может выражать мнение, которое не обязательно основано на событиях рисков в прошлом.
Баллы
Уровень влияния рисков
Интерпретация влияния рисков
1
Очень низкая
Последствия реализации риска вызывают отклонение от плановых значений показателя результата до 5% включительно
2
Низкая
Последствия реализации риска вызывают отклонение от плановых значений показателя результата свыше 5% до 10% включительно
3
Средняя
Последствия реализации риска вызывают отклонение от плановых значений показателя результата свыше 10% до 15% включительно
4
Высокая
Последствия реализации риска вызывают отклонение от плановых значений показателя результата свыше 15% до 20% включительно
5
Очень высокая
Последствия реализации риска вызывают отклонение от плановых значений показателя результата свыше 25% включительно
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Пример N 2 - Интерпретация уровней влияния рисков.
Балл
Возможные последствия реализации риска в различных областях <*>
Уровень влияния
Финансовые последствия
Регуляторные последствия
Охрана труда и социальный климат
Окружающая среда
1
Очень низкое
менее 1 млн. рублей
Административное предупреждения
Снижение лояльности персонала
Незначительный ущерб окружающей среде
2
Низкое
от 1 до 10 млн. рублей
Уплата штрафов
Получение работниками травм, не опасных для жизни
Ограниченное воздействие на прилегающие территории
3
Среднее
от 10 до 100 млн. рублей
Проведение внеплановых проверок
Недовольство и жалобы местного населения
Неоднократное нарушение установленных нормативов
4
Высокое
от 100 до 500 млн. рублей
Инициирование уголовного расследования
Остановка производства из-за забастовки более чем на сутки
Значительный ущерб окружающей среде
5
Очень высокое
более 500 млн. рублей
Остановка деятельности в соответствии с решениями надзорных органов
Человеческие жертвы в результате производственной аварии
Долговременное (более 72 часов) нарушение требований к составу воздуха (превышение предельно допустимой концентрации вредных веществ)
--------------------------------
<*> Последствия зависят от масштаба и специфики деятельности объекта аудита (контроля). Значения и характеристики, приведенные в таблице, являются примерными.
По результатам оценки вероятности реализации риска и влияния риска на результаты определяется рейтинг риска и соответственно значимость риска путем перемножения баллов вероятности и влияния,
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
RR = PQ * MQ
где RR - рейтинг риска (используется в матрице рисков),
PQ - балльная оценка вероятности реализации рисков,
MQ - балльная оценка влияния рисков.
Пример вычисления рейтинга риска
Риск: загрязнение окружающей среды выше установленных норм.
На риск-сессии эксперты оценили вероятность реализации идентифицированного риска как высокий (4 балла), а влияние как очень высокое (5 баллов).
PQ = 4 балла
MQ = 5 баллов
RR = PQ * MQ = 4 * 5 = 20
Таким образом, рейтинг идентифицированного риска равен 20
Значимость рисков графически отображается в виде матрицы оценки рисков "вероятность/влияние".
Матрица оценки рисков "вероятность/влияние"
Вероятность
Рейтинг риска
5
5
10
15
20
25
4
4
8
12
16
20
3
3
6
9
12
15
2
2
4
6
8
10
1
1
2
3
4
5
Влияние
1
2
3
4
5
где
- умеренная значимость риска
- существенная значимость риска
- критическая значимость риска
Полученные оценки вероятности реализации рисков и влияния рисков на запланированные результаты, а также значимость рисков документируются в реестре рисков в разделе "качественное оценивание риска".
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Пример оценки вероятности и влияния на риск и определения значимости риска.
В ходе оценки рисков достижения результатов федерального проекта (далее - ФП) в рамках экспертно-аналитического мероприятия участником мероприятия установлены следующие предпосылки для оценки рисков:
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
риск N 1 является наименее вероятным из всех и его влияние оценивается как "среднее";
риск N 2 является частым, но ожидается что риск не реализуется в будущем. Ожидаемые последствия риска также оцениваются чуть ниже среднего;
риск N 3 является постоянным, однако оказывающим наименьшее влияние на достижение плановых значений ФП;
риск N 4 наименее вероятен, однако его влияние на достижение плановых значений ФП существенно;
риск N 5 является частым и наиболее ожидаемым из всех. Его влияние на достижение плановых значений ФП также оценивается как максимальное.
В ходе мероприятия были присвоены следующие баллы вероятности и влияния для идентифицированных рисков.
N
Описание риска
Вероятность риска (PQ)
Влияние риска (MQ)
Рейтинг риска (RR)
Значимость риска
1
Возникновение ЧС природного характера
1
4
4
Умеренный
2
Снижение темпов производства основных видов сельхозпродукции
3
4
12
Существенный
3
Несоответствие продукции ожиданиям потребителей
3
3
9
Существенный
4
Снижение качества и безопасности сельхозпродукции.
1
5
5
Существенный
5
Загрязнение окружающей среды выше установленных норм
4
5
20
Критический
Риски отображаются на матрице "вероятность/влияние" следующим образом:
Вероятность
Рейтинг риска
5
4
3
Несоответствие продукции ожиданиям потребителей
Снижение темпов производства основных видов сельхозпродукции
Загрязнение окружающей среды выше установленных норм
2
1
Возникновение ЧС природного характера
Снижение качества и безопасности сельхозпродукции.
Влияние
1
2
3
4
5
После оценки значимости рисков и соответственно определения рейтинга рисков участник мероприятия переходит к оценке управляемости рисков, необходимой для разработки рекомендации объекту аудита (контроля).
Матрица оценки рисков "значимость/управляемость"
Матрица оценки рисков "значимость/управляемость" позволяет определить подходы (стратегии) и первоочередность мер по управлению рисками, поэтому является ключевым инструментом в ходе мероприятия для разработки предложений (рекомендаций) по управлению рисками в адрес объектов аудита (контроля).
Управляемость риском оценивается в соответствии с трехбалльной шкалой (1 - низкая управляемость, 2 - средняя управляемость, 3 - высокая управляемость). Ниже приведен пример интерпретации балльной шкалы оценки уровней управляемости рисков.
Пример шкалы экспертной оценки уровней управляемости рисков.
Балл шкалы
Интерпретация экспертной оценки определения балла
Низкая управляемость (1)
Риск находится вне сферы влияния руководства объекта аудита (контроля).
Воздействовать на факторы и причины рисков руководство объекта аудита (контроля) не может.
По результатам прошлых мероприятий более 70% предложений (рекомендаций) по управлению риском были неуспешны и неэффективны.
Средняя управляемость (2)
Риск находится в пределах сферы влияния руководства объекта аудита (контроля).
Можно судить о возможности воздействия на факторы и причины риска "скорее да, чем нет", "50 на 50 и даже больше".
По результатам прошлых мероприятий более 50% предложений (рекомендаций) по воздействию на факторы и причины рисков в целом успешно исполнялись и были эффективными.
Высокая управляемость (3)
Риск полностью управляется руководством объекта аудита (контроля).
Должностные лица на объектах аудита (контроля) несут ответственность за причины рисков и могут управлять факторами рисков.
По результатам прошлых мероприятий все предложения (рекомендации) по управлению риском были исполнены и были эффективны.
По результатам комбинации оценки управляемости и значимости рисков (полученной ранее) определяются приоритетные подходы (стратегии) управления рисками, направленные на изменение рейтинга риска и уровня остаточного риска. Под остаточным риском понимается уровень риска, оставшийся по итогам принятых мер по управлению риском.
Результаты оценки управляемости и значимости рисков графически отображаются в матрице оценки рисков "значимость/управляемость".
Матрица оценки рисков "значимость/управляемость"
Значимость риска
Выбор подхода (стратегии) к управлению риском
Критическая
Уклонение от риска или передача риска
Снижение риска или передача риска
Немедленное снижение риска
Существенная
Принятие риска или передача риска
Снижение риска или передача риска
Снижение риска
Умеренная
Принятие риска
Принятие риска
Принятие риска или снижение риска
Управляемость
Низкая
Средняя
Высокая
В зависимости от подхода (стратегии) управления рисками, представленного в матрице оценки рисков "значимость/управляемость", при разработке предложений (рекомендаций) объекта аудита (контроля) участники мероприятия могут руководствоваться таблицей, приведенной ниже.
Подход
(стратегия)
Направление действий объекта аудита (контроля) в рекомендациях
Уклонение
Изменение в действиях объекта аудита (контроля) и (или) внесение изменений во внутренние нормативные документы объекта аудита (контроля), при которых рассматриваемый риск будет исключен. Например, исключение мероприятий, влекущих за собой опасное событие.
Снижение
Корректировка программ, планов, соответствующих нормативных документов и бюджета, которая позволит снизить вероятность или существенность опасного события до приемлемого уровня.
Передача
Корректировка действий, программ, планов, соответствующих нормативных документов, бюджета и т.п., при которых тяжесть всех или части последствий реализации риска будут переложены на третьих лиц (путем страхования, соглашения о перераспределении прибылей и убытков между участниками, соглашений о государственно-частном партнерстве, концессионных соглашений, проектного финансирования и т.п.).
Принятие
Принятие объектом аудита (контроля) риска в том случае, когда любые иные подходы (стратегии) неприменимы. Такой подход применяется, когда мероприятия по снижению риска будут более затратными, чем эффект от снижения риска. В лучших практиках государственного аудита используется подход "активного принятия" с разработкой предложений (рекомендаций) объекту аудита (контроля) повысить эффективность системы управления рисками, внутреннего контроля, усилить ревизионную функцию (внутренний аудит) и в обязательном порядке повысить качество планов действий по ликвидации последствий и восстановлению деятельности в случае реализации риска.
Подход (стратегия) управления рисками определяется объектом аудита (контроля). Участник мероприятия может сделать свой выбор подхода (стратегии) управления в отношении конкретного риска объекта аудита (контроля) и сравнить с выбором, который сделал объект аудита (контроля). В случае расхождения выбора участнику мероприятия необходимо обосновать свой выбор в отчете по итогам мероприятия.
Пример оценки управляемости рисков и определения подхода
(стратегии) управления рисками.
В ходе оценки рисков достижения результатов ФП в рамках экспертно-аналитического мероприятия участником мероприятия установлены следующие предпосылки для оценки рисков:
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
риск N 1 является наименее вероятным из всех и его влияние оценивается как "среднее". Также риск N 1 является наименее управляемым и находится вне сферы влияния объекта аудита (контроля);
риск N 2 является частым, но ожидается, что риск не реализуется в будущем. Ожидаемые последствия риска также оцениваются чуть ниже среднего. Риск со средней управляемостью;
риск N 3 является постоянным, однако оказывающим наименьшее влияние. Риск со средней управляемостью;
риск N 4 наименее вероятен, однако его влияние на проект существенно. Риск полностью управляемый;
риск N 5 является частым и его влияние на проект оценивается как максимальное. Прошлые мероприятия продемонстрировали его среднюю, близкую к низкой управляемость.
В ходе мероприятия были присвоены следующие баллы вероятности и влияния для идентифицированных рисков, а также определена управляемость рисками.
N
Описание риска
Рейтинг риска
Значимость риска
Управляемость
Подход (стратегия)
1
Возникновение ЧС природного характера
4
Умеренный
Низкая
Принятие
2
Снижение темпов производства основных видов сельхозпродукции
12
Существенный
Средняя
Снижение, постоянный мониторинг
3
Несоответствие продукции ожиданиям потребителей
9
Существенный
Средняя
Снижение, постоянный мониторинг
4
Снижение качества и безопасности сельхозпродукции.
5
Существенный
Высокая
Снижение, постоянный мониторинг
5
Загрязнение окружающей среды выше установленных норм
20
Критический
Средняя, но ближе к низкой
Передача
Риски отображаются на матрице оценки риска "значимость/управляемость" следующим образом:
Значимость риска
Подходы (стратегии) управления рисками
Критическая
Загрязнение окружающей среды выше установленных норм
Существенная
Снижение темпов производства основных видов сельхозпродукции
Несоответствие продукции ожиданиям потребителей
Снижение качества и безопасности сельхозпродукции
Умеренная
Возникновение ЧС природного характера
Управляемость
Низкая
Средняя
Высокая
На основании полученных оценок рейтингов рисков участник мероприятия может сформулировать рекомендации по управлению выявленными рисками.
Выбор подхода (стратегии) управления рисками и подготовка предложений (рекомендаций) в адрес объектов аудита (контроля) и заинтересованных сторон проводится на заключительном этапе мероприятия в процессе подготовки отчета по итогам мероприятия. Предложения (рекомендации) необходимо подготовить в отношении рисков, у которых значимость определена как "критический" и "существенный".
5.4.2. Количественное оценивание рисков
Количественное оценивание риска позволяет численно оценить риск, например, в виде математического ожидания потери ("ожидаемые потери"), среднеквадратического отклонения показателей объекта аудита (контроля) от плановых либо в виде функции распределения возможных значений показателей объекта аудита (контроля). Например, оценка ожидаемых потерь может быть сделана в случае реализации отдельного риска. Для расчета ожидаемых потерь в случае реализации отдельного риска используется следующее базовое соотношение:
где EL - ожидаемые потери в количественном выражении;
P - вероятность реализации риска (или частота реализации неблагоприятного события);
Lj - потери по видам в стоимостном выражении (финансовые, юридические, репутационные и т.п.);
j - виды потерь;
Pj - резервы по виду потерь или иные смягчающие обстоятельства.
Методы количественной оценки рисков могут включать:
1. Статистические методы, в соответствии с которыми оценка вероятности реализации случайного события и объема потерь происходит исходя из относительной частоты появлений данного события в серии наблюдений, а также величины произошедших потерь за период.
2. Расчетно-аналитические методы, позволяющие строить эконометрические модели изучаемых рисков и проводить теоретические оценки отклонений результатов от запланированных. К числу таких методов относят регрессионные модели, метод "Монте-Карло" и другие.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
3. Экспертные методы. В этом случае величины составляющих формул, приведенных в пункте 5.4.2 Методических рекомендаций, определяются с помощью экспертных оценок. К числу таких методов относят метод "дерево событий" (включающий применение метода "галстук-бабочка" с наложением "дерева событий") и другие.
Описание отдельных методов количественной оценки рисков и примеров их применения приводится в приложении N 5 к Методическим рекомендациям.
6. Документирование результатов оценки рисков
6.1. Результаты оценки рисков объектов аудита (контроля) и областей рисков при проведении аудита эффективности включаются в состав рабочей документации мероприятия, разрабатываемой в соответствии с методическим документом Счетной палаты по формированию рабочей документации.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
6.2. Типовые шаблоны (формы) рабочей документации, включающие форму запроса информации, опросного листа, а также электронные преднастроенные формы для выполнения расчетов по оценке рисков с примерами их заполнения, разрабатываются и актуализируются Департаментом исследований и методологии и размещаются по ссылке <26>.
--------------------------------
<26> https://cloud.ach.gov.ru/s/xe35RcrdGcKwNmk
7. Общие подходы к формулированию предложений
(рекомендаций) по управлению рисками в адрес объектов аудита
(контроля) и заинтересованных сторон
В отчет о результатах мероприятия включаются итоги оценки рисков, системы управления рисками, обоснованные выводы и предложения (рекомендации) в адрес объектов аудита (контроля) и заинтересованных сторон.
По итогам оценки рисков вырабатываются необходимые предложения (рекомендации) в адрес объектов аудита (контроля), иных органов и организаций, к полномочиям и ответственности которых относится достижение запланированных результатов, относительно которых проводится оценка рисков. Предложения (рекомендации) формулируются исходя из необходимости учета факторов риска, управления риском, совершенствования системы управления рисками и (или) оптимизации расходов на выполнение мероприятий по управлению рисками, воздействия на источники риска.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
При формулировании предложений (рекомендаций) целесообразно обращать внимание на наиболее значимые риски, то есть на те риски, которые существенно влияют на результаты и характеризуются высоким влиянием и высокой вероятностью реализации. Также возможно, что в фокус внимания могут попасть и иные риски, например, связанные с повышенной опасностью для целевых групп граждан и организаций.
(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))
Приложение N 1
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
Реестр рисков (примерная форма)
Дата актуальности реестра
Направление деятельности
Департамент
Запланированный результат, относительно которой/которого проводится оценка рисков
N п/п
Анализ рисков
Качественное оценивание рисков
Управление рисками
Риск (формулировка)
Уровень риска
(1 или 2)
Причины/факторы/источники риска
Последствия реализации риска (описание)
Вероятность
Влияние
Управляемость
Значимость
Подход (стратегия) управления риском
Мероприятия по управлению рисками
1
2
3
4
5
6
7
8
9
10
11
Приложение N 2
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
ПЕРЕЧЕНЬ МЕТОДОВ ИДЕНТИФИКАЦИИ И АНАЛИЗА РИСКОВ
N
п/п
Метод
Применение
Краткое описание
1
"PESTEL-анализ"
Анализ внешней среды
Метод, позволяющий выявить и оценить факторы внешней среды по шести категориям: политические (P), экономические (E), социальные (S), технологические (T), экологические (E) и правовые (L). Проводится в целях оценки и ранжирования факторов риска во внешней среде по степени воздействия на достижение результатов и представляет собой процесс заполнения таблицы, в которой последовательно рассматриваются все выявляемые факторы риска
2
"ABC-анализ"
Анализ внешней и внутренней среды
Метод, который классифицирует факторы внешней и внутренней среды на три категории: (A) наиболее значимые (важные); (B) со средней ценностью (промежуточные); (C) наименее значимые
3
"SNW-анализ"
Анализ внутренней среды
Метод, позволяющий оценить характеристики внутренней среды объекта аудита (контроля) в трех проекциях: сильные стороны, нейтральные стороны и слабые стороны объекта аудита (контроля)
4
"SWOT-анализ"
Анализ внешней и внутренней среды
SWOT-анализ нацелен на систематизацию факторов внутренней и внешней среды. Так, в рамках SWOT-анализа систематизируются: сильные и слабые стороны внутренней среды, возможности и угрозы во внешней среде
5
Анализ процессов
Анализ внешней и внутренней среды
Идентификация и оценка процессов как основа для достижения результатов (например, картирование процессов, анализ времени выполнения, анализ потерь, возникающих при выполнении процесса, анализ потенциала цифровизации процесса и т.д.)
6
Ретроспективный анализ похожих проблем
Анализ внешней и внутренней среды
Анализ данных с учетом изменения во времени, начиная от текущего момента времени к какому-либо прошедшему периоду времени
7
Анализ "разрывов"
Анализ внешней и внутренней среды
Анализ причин разницы между фактическим и планируемым значением целевых показателей
8
Анализ документов
Идентификация рисков
Изучение документации (например, паспорта национальных и федеральных проектов, отчеты об исполнении национальных и федеральных проектов, протоколы проектных комитетов и иные документы)
9
Структурированные интервью
Идентификация рисков
Моделируемая исследователем (интервьюером) беседа, которая проводится на основе стандартизированного опросного листа, когда порядок и формулировки вопросов остаются неизменными для всех интервью
10
Полуструктурированные интервью
Идентификация рисков
Моделируемая исследователем (интервьюером) беседа, которая предполагает наличие опросного листа, состоящего из тематических блоков вопросов. Однако конкретные формулировки и порядок обсуждения тех или иных тем могут меняться в зависимости от хода конкретного интервью
11
Опрос экспертов
Идентификация рисков
Письменный (в виде анкетирования) или устный опрос, респондентами которого являются эксперты. Метод предполагает подбор компетентных специалистов по тематике проверяемой области в качестве экспертов.
12
Модифицированный метод "Дельфи"
Идентификация рисков
Метод использования суждений экспертов, предполагающий проведение многократного анкетирования с обработкой и трансляцией результатов каждого этапа опроса экспертам
13
Направленный мозговой штурм (риск-сессия)
Идентификация рисков
Процесс генерации всевозможных идей без ограничений с последующим их обсуждением с участниками мероприятий и иными сотрудниками Счетной палаты, систематизацией и экспертной оценкой предложенных идей
14
Анкетирование экспертов
Идентификация рисков
Опрос экспертов в письменной форме с помощью предварительно разработанной анкеты
15
Аналитические отчеты
Идентификация рисков
Самостоятельная работа эксперта по изучению поставленных перед ним вопросов. Результатом его работы является экспертное заключение с обоснованием возможности проявления неблагоприятных событий и их последствий (например, нанесения ущерба), принимая во внимание факторы, источники и причины риска
16
Метод "галстук-бабочка"
Анализ рисков
Базовый метод для графического представления пути развития опасного события от причин до последствий с учетом мер контроля используется
17
Контрольные листы (контрольные списки)
Идентификация рисков
Списки типовых факторов риска/типовых рисков, специфичных для определенной области
Приложение N 3
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
МЕТОДЫ АНАЛИЗА ВНЕШНЕЙ И ВНУТРЕННЕЙ СРЕДЫ
1. Методика проведения "PESTEL-анализ" для выявления
и оценки факторов внешней среды
"PESTEL-анализ" - метод, позволяющий выявить и оценить факторы внешней среды по шести категориям: политические <1> (P), экономические (E), социальные (S), технологические (T), экологические (E) и правовые (L).
--------------------------------
<1> К политическим факторам, рассматриваемым для оценки рисков достижения результатов, относится выработка и реализация уполномоченными федеральными органами исполнительной власти и иными государственными органами государственной политики в соответствующей сфере деятельности, а также выработка и реализация денежно-кредитной политики Банком России. Оценка политических факторов с применением Методических рекомендаций проводится с учетом ограничений, определенных частью 4 статьи 24 Федерального закона от 5 апреля 2013 г. N 41-ФЗ "О Счетной палате Российской Федерации".
"PESTEL-анализ" проводится в целях оценки и ранжирования факторов риска во внешней среде по степени воздействия на достижение результатов и представляет собой процесс заполнения таблицы, в которой последовательно рассматриваются все выявляемые факторы риска.
"PESTEL-анализ" рекомендуется проводить посредством "мозгового штурма <2>" на специально организуемой риск-сессии по выявлению и составлению списка факторов риска. Риск-сессии рекомендуется проводить с участием экспертов в рассматриваемой предметной области.
--------------------------------
<2> "Мозговой штурм" основывается на генерировании участниками риск-сессии максимального числа возможных идей и проблем по рассматриваемой проблематике. После того как все варианты озвучены, участники риск-сессии путем голосования выбирают те из них, которые, по их мнению, наиболее удачны и релевантны. Подробнее в разделе 2 приложения N 3 к Методическим рекомендациям.
Последовательность шагов для проведения "PESTEL-анализа":
На первом шаге определяются факторы, которые могут повлиять на достижение результатов, в каждой из шести категорий факторов риска. Выявленные факторы отражаются в таблице.
На втором шаге оценивается степень влияния каждого фактора риска на запланированные результаты и степень изменения фактора риска во времени (в случае, например, если фактор на момент оценки является неактивным или возможно изменение состояния фактора в ближайшие 3 - 5 лет).
Оценка степени влияния каждого фактора на запланированные результаты проводится экспертно с применением следующей шкалы.
Степень влияния фактора
Описание
1
Влияние фактора низкое, возможная реализация риска вследствие этого фактора либо не приводит, либо может привести к негативным отклонениям от запланированного результата объекта аудита (контроля), составляющим менее 25% уровня существенности
2
Влияние фактора умеренное, возможная реализация риска вследствие этого фактора может привести к негативным отклонениям от запланированного результата объекта аудита (контроля), составляющим 25 - 50% уровня существенности
3
Влияние фактора существенное, возможная реализация риска вследствие этого фактора может привести к негативным отклонениям от запланированного результата объекта аудита (контроля), составляющим 50 - 75% уровня существенности
4
Влияние фактора высокое, возможная реализация риска вследствие этого фактора может привести к негативным отклонениям от запланированного результата объекта аудита (контроля), составляющим 75 - 100% уровня существенности
5
Влияние фактора критическое, возможная реализация риска вследствие этого фактора приводит к негативным отклонениям от запланированного результата объекта аудита (контроля), превышающим уровни существенности, и (или) фактор угрожает существованию объекта аудита (контроля)
Оценка степени изменения фактора риска во времени проводится экспертно с применением следующей шкалы.
Степень изменения фактора риска во времени
Описание
0
В будущем фактор перестанет существовать
0,5
В будущем влияние фактора снизится более, чем на 50%
1
В будущем влияние фактора не изменится или снизится менее, чем на 50%
1,5
В будущем фактор усилится, но менее чем в 1,5 раза от текущего уровня
2
В будущем фактор усилится в 2 раза или более от текущего уровня
На третьем шаге оценивается:
1) значимость каждого фактора риска как произведение степени воздействия фактора риска и степени изменения фактора риска во времени;
2) взвешенное влияние каждого фактора как частное (выраженное в процентах) значимости каждого фактора от общей суммы оценок значимости всех выявленных факторов.
Оценка значимости каждого фактора (Ci) определяется как произведение степени воздействия фактора (Bi) на степень изменения фактора риска во времени (Oi):
Ci = Bi * Oi
Затем вычисляется оценка взвешенного воздействия каждого фактора (BCi) как частное (выраженное в процентах) от значимости фактора от общей суммы оценок значимости всех выявленных факторов:
На четвертом шаге приоритизируются факторы рисков по степени значимости в зависимости от полученных оценок взвешенного влияния факторов. Для этого может быть использован "ABC-анализ".
При дальнейшей идентификации рисков внимание фокусируется только на событиях из приоритетных областей факторов риска.
В дополнение к определению факторов (проблемных областей) внешней среды для объектов аудита (контроля) или областей риска рекомендуется определить возможности, которые будут способствовать достижению результатов. В этом случае методика "PESTEL-анализа" используется не для факторов (проблемных областей), а для возможностей (отрицательные отклонения от запланированных результатов в этом случае заменяются на положительные).
2. Методика проведения "ABC-анализ" для классификации
факторов внешней или внутренней среды
"ABC-анализ" - метод, который классифицирует факторы внешней и внутренней среды на три категории:
(A) наиболее значимые (важные);
(B) со средней значимостью (промежуточные);
(C) наименее значимые.
В рамках "ABC-анализ":
На первом шаге факторы риска ранжируются по степени взвешенного влияния (от факторов риска с наибольшим влиянием до факторов риска с наименьшим влиянием).
На втором шаге отбираются 20% факторов общего числа факторов риска, обладающих наиболее высокими значениями взвешенного влияния (например, из 25 факторов отбираются 5 с наибольшей величиной влияния), - это наиболее значимые факторы (A), а также следующие 20% факторов общего числа факторов по степени влияния ("промежуточная область") - факторы со средней значимостью (B).
Результаты ранжирования заносятся в таблицу.
На третьем шаге отобранные наиболее значимые факторы используются для дальнейшего анализа в целях уточнения и детализации факторов рисков. При этом факторы из промежуточной области "B" могут использоваться для анализа при профессиональном суждении о том, что среди них могут быть новые или развивающиеся факторы рисков. Факторы из области "C" (60% общего числа факторов с наименьшей величиной влияния) далее не анализируются.
3. Методика анализа внутренней среды ("SNW-анализ")
Для анализа внутренней среды рекомендуется применять "SNW-анализ", позволяющий оценить характеристики внутренней среды организации объекта аудита (контроля) в трех проекциях:
Сильные стороны объекта аудита (контроля) - характеристики внутренней среды, которые способны обеспечить устойчивость достижения результатов по отношению к негативным внешним воздействиям (например, из числа факторов риска, выявленных в ходе выполнения "PESTEL-анализа") и создают предпосылки для компенсации влияния факторов риска.
Нейтральные стороны объекта аудита (контроля) - характеристики внутренней среды объекта аудита (контроля), которые полностью соответствуют регуляторным и законодательным нормам (требованиям), а также операционным стандартам деятельности.
Слабые стороны объекта аудита (контроля) - характеристики внутренней среды, которые являются слабыми и узкими для объекта аудита (контроля), могут препятствовать достижению результатов, операционным стандартам деятельности. В случае реализации негативных внешних воздействий, в том числе выявленных в результате "PESTEL-анализа", эти характеристики объекта аудита (контроля) могут быть подвержены отрицательному влиянию в первую очередь и, возможно, усугубят влияние внешних воздействий на объект аудита (контроля), что, в свою очередь, увеличит масштаб отрицательных отклонений от запланированных результатов.
"SNW-анализ" концентрируется на анализе именно внутренних характеристик, включающих организационные, кадровые, технические, технологические и прочие условия работы, и представляет собой результат принятия управленческих решений объектом аудита (контроля).
В дополнение к оценке "проблемных" характеристик внутренней среды объекта аудита (контроля), "SNW-анализ" позволяет решить следующие задачи:
а) определить баланс между сильными и слабыми сторонами объекта аудита (контроля);
б) сформулировать возможные предложения (рекомендации) объекту аудита (контроля) по сохранению его сильных сторон и их дополнительному усилению, либо по устранению слабых сторон и переводу их в нейтральные стороны;
в) оценить возможности превращения нейтральных сторон в слабые стороны в случае возникновения во внешней среде новых и развивающихся рисков.
"SNW-анализ" также может быть дополнен "ABC-анализом" для ранжирования слабых сторон объекта аудита (контроля) и выявления наиболее значимых (важных) из них. В этом случае при дальнейшей идентификации факторов риска, связанных с внутренней средой объекта аудита (контроля), рекомендуется определять их только среди слабых сторон, попавших в перечень наиболее значимых (важных).
"SNW-анализ" осуществляется в следующей последовательности:
На первом шаге определяется перечень основных характеристик внутренней среды объекта аудита (контроля), которые необходимы для достижения им результатов.
На втором шаге выявленные характеристики внутренней среды объекта аудита (контроля) заносятся в таблицу. Для каждой характеристики осуществляется экспертная оценка на предмет сильной, нейтральной или слабой сторон объекта аудита (контроля).
На третьем шаге для слабых сторон проводится экспертная оценка степени их влияния на достижение результатов по шкале от 1 до 5 (CCi).
Степень влияния фактора риска
Описание
1
Низкая степень влияния фактора риска на способность достигать результаты
2
Умеренная степень влияния проблемы на способность достигать результаты
3
Существенная степень влияния проблемы на способность достигать результаты
4
Высокая степень влияния проблемы на способность достигать результаты
5
Слабая сторона приводит к невозможности достигать результаты
На четвертом шаге оценки степени влияния слабых сторон объекта аудита (контроля) на достижение и запланированных результатов могут быть скорректированы в меньшую сторону за счет возможного компенсирующего влияния сильных сторон (с указанием какие именно сильные стороны будут способствовать этому).
На пятом шаге так же, как и при применении метода "PESTEL-анализа", вычисляется оценка взвешенного влияния каждой слабой стороны (BCCi) как частное степени влияния с учетом компенсирующего влияния каждого фактора от общей суммы оценок степени влияния всех выявленных характеристик внутренней среды:
Для документирования результатов "SNW-анализа" используется следующая таблица.
Характеристики внутренней среды
Сильная сторона (+ при наличии)
Нейтральная сторона (+ при наличии)
Слабая сторона (+ при наличии)
Степень влияния слабой стороны
Компенсирующие сильные стороны
Степень влияния с учетом компенсирующего влияния (CCi)
Взвешенная оценка влияния (BCCi)
Фактор 1
Фактор 2
Фактор 3
...
Фактор n
Так же, как и в случае применения "PESTEL-анализа", "SNW-анализ" может быть дополнен "ABC-анализом" для ранжирования слабых сторон и выявления наиболее значимых (важных) из них. В этом случае при дальнейшей идентификации факторов рисков, связанных с внутренней средой объекта аудита (контроля), участнику мероприятия рекомендуется определять их только среди слабых сторон, попавших в перечень наиболее значимых (важных).
4. Методика систематизации факторов внутренней и внешней
среды ("SWOT-анализ")
Для упрощения идентификации рисков и разработки возможных предложений (рекомендаций) объектам аудита (контроля) рекомендуется использовать "SWOT-анализ", который объединяет в себе результаты "PESTEL-анализа" (анализа факторов риска и возможностей) и "SNW-анализ" (анализа сильных и слабых сторон), а также "ABC-анализ".
"SWOT-анализ" нацелен на систематизацию факторов внутренней и внешней среды объекта аудита (контроля).
Так, в рамках "SWOT-анализ" систематизируются:
сильные стороны внутренней среды (S) - по результатам "SNW-анализ";
слабые стороны внутренней среды (W) - по результатам "SNW-анализ";
возможности во внешней среде (O) - по результатам "PESTEL-анализ" возможностей;
угрозы (факторы риска) во внешней среде (T) - по результатам "PESTEL-анализ" факторов риска.
Для проведения "SWOT-анализ" используется следующая последовательность шагов.
На первом шаге систематизируются S, W, O, T компоненты, полученные в результате "PESTEL-анализ", "SNW-анализ" и "ABC-анализ".
На втором шаге по результатам применения "ABC-анализ" оставляются только компоненты, признанные наиболее значимыми, также могут быть добавлены отдельные компоненты, обладающие средней значимостью.
На третьем шаге заполняется матрица "SWOT-анализ".
Способствующие факторы
Ограничивающие факторы
Факторы внутренней среды
Сильные стороны (S-факторы)
Слабые стороны (W-факторы)
Факторы внешней среды
Возможности (O-факторы)
Угрозы (T-факторы)
На четвертом шаге по результатам данной систематизации определяется перечень наиболее значимых факторов рисков, обусловленных текущим состоянием внутренней и внешней среды объекта аудита (контроля)/проекта и динамикой ее изменений, в рамках которых должны быть идентифицированы риски. Также по итогам формируется понимание участником мероприятия сильных сторон и возможностей объекта аудита (контроля), которые способны компенсировать ограничивающие факторы.
На пятом шаге по результатам систематизации факторов внутренней и внешней среды формулируются возможные предложения (рекомендации) объектам аудита (контроля).
Предложения (рекомендации), направленные на использование возможностей
Предложения (рекомендации), направленные на снижение факторов риска
Сильные стороны
Направлены на усиление сильных сторон за счет открывающихся внешних возможностей
Направлены на устранение внешних угроз за счет сильных сторон
Слабые стороны
Направлены на преодоление слабых сторон за счет внешних возможностей
Направлены на скорейшее устранение слабых сторон в свете надвигающихся угроз
5. Анализ процессов (картирование процессов)
Анализ процессов представляет собой идентификацию и оценку процессов как основы для достижения результатов (например, картирование процессов, анализ времени выполнения, анализ потерь, возникающих при выполнении процесса, анализ потенциала цифровизации процесса и т.д.).
6. Способы выявления факторов внешней и внутренней среды
Ретроспективный анализ похожих проблем. Для проведения анализа используются отчеты по итогам мероприятий (по проверяемым объектам аудита (контроля), по схожим или близким тематикам), где, как правило, раскрываются как факторы внешней среды, так и слабые стороны объектов аудита (контроля).
Также анализ отчетов позволяет:
определить уже реализовавшиеся риски на объектах аудита (контроля) и в областях рисков;
оценить для них степень влияния на достижение результатов, а также причины возникновения этих рисков;
проанализировать реализацию предложений (рекомендаций), направленных объектам аудита (контроля).
Метод анализ "разрывов" представляет собой анализ различий между фактическим и плановым значениями показателей достижения результатов.
Учет выявленных "разрывов" при оценке достигнутых результатов, использованных ресурсов с позиции оценки рисков нерезультативности и (или) неэкономности в будущем:
при выявлении по результатам проведения аудита эффективности недостижения результатов (запланированных и (или) лучших), неэкономности необходимо определить нарушения и (или) недостатки, послужившие причиной такого недостижения (обнаруженные факторы рисков). Выявленные нарушения и недостатки могут быть также использованы при оценке рисков нерезультативности, неэкономности в будущем, которая может проводиться в рамках аудита эффективности.
Такая оценка может проводиться в том числе путем выстраивания модели оценок (т.е. "быстрых" оценок) с использованием в том числе экспертных оценок, математико-статистических методов. Применение таких моделей призвано в основном подтвердить уже имеющиеся гипотезы в части риска в будущем недостаточных объемов и (или) состава мероприятий для достижения запланированных и лучших результатов (т.е. результативности), неэкономности мероприятий, недостаточности ресурсного обеспечения и пр.
Выявление разрывов в логике проектов и программ:
на основании паспортов проектов и программ, а также иной проектной документации разрабатывается экономико-математическая модель, выполняется описание проекта и программы, производится построение теории изменений, содержащее алгоритмы преобразования ресурсов в конечные результаты и итоговые эффекты ("как есть");
с привлечением экспертов составляется теория изменений проекта и программы, соответствующая лучшим международным и национальным практикам ("как могло бы быть");
выявляются пробелы, препятствующие достижению состояния "как могло бы быть";
выявленные расхождения классифицируются в "разрывы", которые используются для идентификации рисков объекта аудита (контроля) или областей рисков неэффективного использования ресурсов.
Приложение N 4
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
МЕТОДЫ ИДЕНТИФИКАЦИИ РИСКОВ
1. Анализ документов
Анализ документов - это метод идентификации рисков, который, как правило, предшествует всем остальным методам идентификации рисков. В ходе анализа документов изучается документация (например, паспорта национальных и федеральных проектов, отчеты об исполнении национальных и федеральных проектов, протоколы проектных комитетов и иные документы) в целях:
1) тестирования на предмет расхождений (противоречий) в документах;
2) поиска слабых сторон внутренней среды объекта аудита (контроля);
3) анализа отклонений плановых и фактических значений показателей результатов;
4) определения реализовавшихся рисков;
5) оценки зрелости системы управления рисками (далее - СУР) и системы внутреннего контроля объекта аудита (контроля);
6) оценки выявленной неэффективности использования ресурсов в ходе ранее проведенных мероприятий у объекта аудита (контроля);
7) оценки согласованности результатов, показателей государственных программ, федеральных проектов и иных документов между собой.
В случае возникновения вопросов по итогам анализа документов могут быть составлены и направлены запросы в адрес объектов аудита (контроля).
Ниже представлен пример подхода к анализу документации в рамках федерального проекта.
2. Экспертные методы идентификации рисков
Экспертные методы идентификации рисков подразделяются на индивидуальные и групповые:
к индивидуальным относятся интервью, аналитические отчеты (предполагают полностью независимую работу каждого из экспертов над решением поставленной проблемы);
к групповым относятся риск-сессии (направленный "мозговой штурм"), метод "Дельфи".
Структурированные или полуструктурированные интервью (риск-интервью).
Структурированные или полуструктурированные интервью проводятся с представителями объекта аудита (контроля) на основе подготовленного перечня вопросов для получения информации, помогающей идентифицировать риски, и дальнейшее проведение интервью на основе данного перечня.
При проведении интервью с представителями объекта аудита (контроля) рекомендуется избегать прямых вопросов о том, какие риски характерны для зоны ответственности конкретного сотрудника, так как неподготовленный в плане риск-менеджмента сотрудник может отчасти даже бессознательно искажать информацию о рисках.
В качестве основных принципов построения риск-интервью предлагается принять следующие:
метод интервью с руководителем, ответственным за проблемную зону/область риска;
учет при интервью знаний руководителя по вопросам управления рисками, а также учет его склонности к рискам;
возможность выявления причин и источников рисков;
гибкая подстройка под особенности каждого опрашиваемого, а также объекта аудита (контроля).
Для оценки сложившейся (в объекте аудита (контроля) практики управления рисками целесообразно предварительно направить опросный лист руководителям подразделений объекта аудита (контроля), содержащие вопросы по самооценке использования СУР, оценке интеграции СУР в бизнес-процессы, оценке практики принятия решений руководителем с учетом рисков.
Процедуру риск-интервью рекомендуется проводить в три стадии:
На первой стадии - выявление основных этапов работы подразделения, процесса или проектной деятельности, за реализацию которой ответственность несет опрашиваемый сотрудник. Также эту стадию рекомендуется проводить для анализа разрывов, то есть для проверки соответствия формального описания процесса (проекта) и его представления руководителями внутри объекта аудита (контроля).
На второй стадии готовится опросный лист и проводятся интервью.
Основным инструментом интервью является опросный лист, который должен содержать темы обсуждения и вопросы. Каждый элемент (блок) процесса, выделенный на первой стадии, является основой для вопросов по следующей схеме. По итогам подготовки опросного листа рекомендуется проконсультироваться по содержанию опросного листа с сотрудниками Департамента исследований и методологии.
Вопросы должны позволять выявить следующее:
1. Какие потенциальные риски существуют в проверяемой области?
2. Каковы источники, причины и факторы этих рисков?
3. Каковы последствия реализации этих рисков (включая стоимостные)?
4. Какие существуют возможные методы управления рисками? Как сейчас происходит управление рисками?
5. Кто ответственен за предотвращение, управление и ликвидацию последствия рисков?
6. Возможно ли предотвратить риски? Какие меры профилактики следует использовать? Какие контрольные процедуры внедрены и кто ответственен за их выполнение и проверку?
7. С какой частотой реализуются риски?
8. Как информация о рисках и их последствиях распространяется (транслируется) внутри объекта аудита (контроля)?
На третьей стадии интервьюер должен агрегировать полученную информацию по первой и второй стадии в виде логической схемы с указанием возможных рисков, их причин и источников.
Опрос экспертов
Опрос - письменный (анкетирование) или устный опрос, в ходе которого респондентами являются эксперты. Метод предполагает подбор компетентных специалистов по тематике проверяемой области в качестве экспертов. Опросы экспертов, как правило, проводятся в виде анкетирования (запроса) или интервьюирования.
При интервьюировании эксперты опрашиваются по специально разработанному опросному листу.
Вопросы должны уточняться под конкретное мероприятие.
Модифицированный метод "Дельфи"
Метод "Дельфи" предполагает формирование обобщенного мнения группы экспертов, при этом данный процесс включает интерактивные обсуждения мнений, при которых эксперты выражают свое мнение индивидуально и анонимно, но имеют при этом возможность узнать мнения других экспертов.
В практике государственного аудита может использоваться модифицированный метод "Дельфи", предполагающий анализ рисков и составляющих рисков "с чистого листа".
Метод "Дельфи" предполагает следующую последовательность действий.
На первом этапе основная задача заключается в том, чтобы выработать структуру опросной анкеты, которая впоследствии будет использоваться для проведения экспертизы. Для этого экспертам сообщается тема мероприятия, а задачей экспертов является указание областей внешней и внутренней среды, в которых могут возникать опасные события для объекта аудита (контроля). Заполненные анкеты с перечислением выделенных областей внешней и внутренней среды поступают к участникам мероприятия, которые формируют окончательные области определения рисков и разрабатывают уже вторую, количественную анкету как показано в примере выше.
На втором этапе экспертам направляют анкеты, требующие ответа.
Заполненные экспертами анкеты подвергаются тщательному анализу.
В первую очередь, формируются статистические ряды и вычисляются медианы и квартили. Напомним, что за медиану принимается "средний" член ряда, по отношению к которому число оценок с начала и конца ряда будет одинаковым; квартилями называют интервалы упорядоченного ряда, содержащие по 25% значений этого ряда. Два крайних интервала называют соответственно нижним и верхним квартилями, а два серединных интервала (квартиля) образуют наиболее предпочтительную область. Полученные значения принимают за характеристики распределения оценок (медиана служит показателем группового ответа, а наиболее предпочтительная область - показателем разброса индивидуальных оценок) и сообщают экспертам.
Эксперты, чьи оценки оказались в крайних квартилях, дают обоснования причин расхождения с групповым мнением. Они вправе приводить любые аргументы в свою защиту или пересмотреть свое мнение и исправить оценку. С полученными обоснованиями знакомят всех членов экспертной группы. При этом, поскольку все перечисленные действия анонимны, никому не известно, кто и как обосновал или изменил свою первоначальную позицию. Такая процедура позволяет всем экспертам принять в расчет обстоятельства, которые они могли случайно пропустить или которыми могли пренебречь в начале текущего тура опроса.
На третьем этапе вновь перерабатывается опросная анкета. В нее, кроме первоначального перечня вопросов, включаются медианные значения по группе ключевых характеристик исследуемого явления. Членов экспертной группы просят рассмотреть аргументы и дать новую оценку содержащихся в анкете вопросов. Если их новая оценка не попадает в наиболее предпочтительную область, сформированную в предыдущем туре, то их опять просят обосновать свою точку зрения и прокомментировать противоположную позицию, которой придерживается большинство группы. После того, как пересмотренные оценки и новые аргументы возвратились к экспертной группе, она снова проводит их статистико-аналитическую обработку и готовит новое приложение к опросной анкете для очередного тура.
На четвертом этапе участникам экспертизы вновь передают опросную анкету, статистическое описание оценок группы и аргументы обеих сторон. Эксперты должны принять во внимание аргументацию своих коллег и их критические замечания, касающиеся группового мнения, полученного в предыдущем туре, и на этой основе дать новую оценку. Эта оценка опять подвергается статистической обработке и, поскольку этот тур является последним, ее результаты принимаются в качестве результата всей экспертизы.
На практике может применяться также сокращенная программа метода "Дельфи", при которой опрос заканчивается во втором туре, если между экспертами нет существенных расхождений. Если расхождения все же есть, то проводят третий тур, который считается последним.
Направленный "мозговой штурм" (риск-сессия)
Направленный "мозговой штурм" (риск-сессия) - процесс генерации максимального количества идей без ограничений с последующим их обсуждением с внешними экспертами, участниками мероприятия и иными сотрудниками Счетной палаты Российской Федерации, систематизацией и экспертной оценкой предложенных идей. В процессе "мозгового штурма" формируется подробный перечень рисков достижения запланированных результатов. Направленный "мозговой штурм", как правило, проводится в виде риск-сессий с привлечением экспертов.
При проведении мероприятия наиболее эффективным подходом является применение методики "SWIFT" (что, если?) - это систематизированный метод проведения "мозгового штурма", в котором используют набор слов или фраз-подсказок, помогающих в процессе риск-сессии идентифицировать опасные события и строить сценарии их развития. Ведущий и группа, используя стандартные фразы "что, если" в сочетании с подсказками, исследуют, как повлияют опасные события на запланированные результаты объекта аудита (контроля).
Анкетирование экспертов. Анкетирование представляет собой опрос экспертов в письменной форме с помощью предварительно разработанной структурным подразделением, ответственным за проведение мероприятия, анкеты. Методологическую поддержку при разработке анкеты осуществляет Департамент исследований и методологии. При этом анкетирование проводится без непосредственного контакта с респондентом, то есть участник мероприятия при рассылке анкет теряет контроль над опросом. В связи с этим особую важность имеет преамбула анкеты с пояснением, зачем проводится опрос, необходимые комментарии и инструкции для респондента по работе с анкетой, а также непосредственно состав вопросов анкеты. Также разработка анкеты требует предварительной работы, например, предварительных интервью или сбора материалов, которые позволят задать конкретные вопросы и сформулировать работающие варианты ответов. Кроме того, необходимо учитывать, что в анкете не должно быть большого количества вопросов открытого типа (без вариантов ответа), поскольку на них может быть небольшое число ответов.
Аналитические отчеты
Метод аналитических отчетов включает в себя самостоятельную работу участников мероприятия с возможным привлечением экспертов по изучению поставленных вопросов перед участниками мероприятия. Результатом его работы является экспертное заключение с обоснованием возможности проявления неблагоприятных событий рисков и их последствий (например, нанесения ущерба), принимая во внимание факторы, источники и причины риска.
В качестве модификации аналитического экспертного отчета можно рассмотреть математическое или сценарное моделирование. Оно может быть выполнено в трех аспектах:
1. Математическое моделирование последствий негативного события.
2. Оценки ключевых факторов, влияющих на достижение результатов объекта аудита (контроля).
3. Экспертное описание сценария зарождения и развития неблагоприятного события, ведущего к отклонению от запланированных результатов объекта аудита (контроля).
3. Процедура применения метода "галстук-бабочка"
на риск-сессии
1. Для проведения риск-сессии необходимо определить модератора риск-сессии с задачей организации процесса проведения риск-сессии. При этом при подготовке риск-сессии рекомендуется проконсультироваться с сотрудниками Департамента исследований и методологии.
2. Состав участников риск-сессии определяется из числа участников мероприятия и иных сотрудников Счетной палаты Российской Федерации и экспертов, чья профессиональная экспертиза необходима для оценки или анализа рисков.
3. Участники мероприятия определяют и объявляют риск первого уровня, выбранный для анализа. Данный риск отображается в качестве центрального узла "галстука-бабочки".
4. В ходе обсуждения определяются последствия реализации риска первого уровня и прослеживается влияние этих последствий на достижение результатов.
5. Определяется механизм развития опасного события, идентифицируются риски второго уровня и их причины, а также связи как между ними, так и с риском первого уровня. Определяются уже используемые объектом аудита (контроля) управления рисками и ключевые индикаторы рисков. На схеме "галстук-бабочка" графически отражаются указанные элементы и их связи между собой.
6. Проводится окончательный анализ получившейся диаграммы "галстук-бабочка". На этом этапе определяется степень управляемости и неуправляемости каждого риска и принимается решение о необходимости его дальнейшей оценки, в том числе с применением количественных методов.
7. Полученные в ходе анализа элементы (формулировки причин, рисков, последствий реализации рисков) заносятся в реестр рисков, после чего осуществляется переход к оцениванию рисков.
4. Контрольные листы (контрольные списки)
Контрольные листы представляют собой списки типовых факторов риска (типовых рисков), специфичных для определенной области. Контрольные листы составляются на основе факторов рисков (рисков), выявленных в ходе ранее проведенных мероприятий в соответствующей области, и позволяют при проведении нового мероприятия в этой области осуществлять выбор факторов рисков (рисков) по итогам прошлых мероприятий.
Механизм работы с контрольными листами:
1. Участники мероприятия с использованием сводной и обобщенной информации по результатам прошлых мероприятий и при необходимости с привлечением экспертов анализируют уже имеющуюся информацию об объекте аудита (контроля) и его результатах. Затем на основании этого анализа составляются списки типовых рисков и их источников по проблемным областям.
2. Списки типовых рисков согласуются с руководителем мероприятия и формируются контрольные листы для руководителей объектов аудита (контроля).
3. Контрольные листы заполняются руководителями объектов аудита (контроля) - владельцами рисков.
4. Участники мероприятия анализируют заполненные листы и агрегируют полученную информацию для выявления потенциально опасных, а также существующих источников риска в деятельности объекта аудита (контроля).
Примечание: метод контрольных листов хорошо подходит для идентификации "типичных" рисков в таких областях, как охрана труда, финансы, экология.
Приложение N 5
к Методическим рекомендациям
по оценке рисков при проведении аудита
эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
ОТДЕЛЬНЫЕ МЕТОДЫ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ РИСКОВ
1. Подходы к оценке вероятностей рисков в объектах аудита
(контроля) со сложной организационной структурой
При оценке рисков объекта аудита (контроля) со сложной структурой организационных элементов или систем (в случае структурно подчиненных организаций, подразделений и т.д.) анализ проводится по отдельным структурным элементам.
Если риски каждого элемента независимы друг от друга, деятельность этих элементов осуществляется независимо и параллельно, при этом к реализации риска всего объекта аудита (контроля) приводит только наступление нежелательных событий сразу во всех элементах, то вероятность реализации рисков для объекта аудита (контроля) целиком определяется по следующей формуле:
Пример - оценка риска объекта аудита (контроля), состоящего из независимых, параллельно действующих структурных элементов.
В состав объекта аудита (контроля) входят три структурных элемента с независимыми друг от друга рисками. Вероятности данных рисков экспертно были оценены как p1 = 0,2; p2 = 0,3; p3 = 0,1. Возможные потери в случае реализации рисков во всех элементах составляют 50 млрд. рублей. Ожидаемые потери составляют:
EL = 50 * 0.2 * 0.3 * 0.1 = 0.3 млрд. рублей
Когда элементы объекта аудита (контроля) действуют независимо и последовательно, при этом к реализации риска всего объекта аудита (контроля) приводит нежелательное событие в любом элементе, вероятность реализации рисков для объекта аудита (контроля) целиком определяется по следующей формуле:
Если ожидаемые убытки для каждого элемента различны, то:
Пример - оценка риска объекта аудита (контроля), состоящего из независимых, последовательно действующих структурных элементов
В состав объекта аудита (контроля) входят три структурных элемента с независимыми друг от друга рисками. Вероятности данных рисков экспертно были оценены как p1 = 0.2; p2 = 0.3; p3 = 0.1. Возможные потери в случае наступления опасного события в первом структурном элементе составляют 50 млрд. рублей, во втором элементе 30 млрд. рублей, в третьем элементе 70 млрд. рублей. Ожидаемые потери на уровне объекта аудита (контроля):
EL = 50 * 0.2 + 0.3 * 30 + 0.1 * 70 = 26 млрд. рублей
В общем случае, когда элементы объекта аудита (контроля) действуют последовательно, но негативные события, происходящие в них, не являются независимыми, а демонстрируют корреляцию между собой. В этом случае ожидаемые потери на уровне всего объекта аудита (контроля) рассчитываются с помощью метода "Монте-Карло".
В практике анализа рисков (особенно в случае применения метода "галстук-бабочка") встречаются ситуации, когда результирующая (апостериорная) оценка вероятности события зависит от реализации целого ряда предпосылок (рассмотренных выше факторов рисков), обозначенных как H1, ..., HF. При этом указанные предпосылки являются взаимоисключающими (непересекающимися) событиями и образуют полную группу событий, то есть любой элементарный исход обязательно попадет в одно из событий Hi, и при этом:
Тогда условная вероятность того, что имело место событие Hf, если в результате произошло событие A, может быть вычислена по формуле Байеса:
Пример - оценка вероятности реализации опасного события, зависящего от факторов риска
Анализируются причины реализации негативного события, предпосылками (причинами) которого может быть одно из четырех событий (H1, H2, H3, H4) с известными вероятностями реализации:
P (H1) = 0.2
P (H2) = 0.4
P (H3) = 0.3
P (H4) = 0.1
При этом события H1, H2, H3, H4 в совокупности составляют полную группу взаимоисключающих (непересекающихся) событий.
Вероятность реализации события A при реализации каждой из предпосылок равна:
P(A|H1) = 0.9
P(A|H2) = 0
P(A|H3) = 0.2
P(A|H4) = 0.3
Вероятность того, что негативное событие A произошло именно по причине H1:
2. Эконометрические методы оценки влияния рисков
Для анализа рисков могут быть использованы эконометрические модели, которые позволяют выявить зависимости (включая нелинейного характера) между факторами и причинами рисков и отдельными показателями объекта аудита (контроля) на основе анализа данных.
Пример - применение эконометрических моделей в оценке рисков
Участники мероприятия получили статистические данные о значениях четырех показателей в разрезе 80 субъектов Российской Федерации (ежегодные данные):
1. Поступление налогов, сборов и иных обязательных платежей в консолидированный бюджет Российской Федерации за 2010 - 2019 годы (млн. рублей) по каждому из регионов (Yit, i - это номер региона, t - год).
2. Объем розничной торговли в субъекте Российской Федерации за 2010 - 2019 годы, млн. рублей. (X1,it)
3. Объем отгруженных товаров собственного производства, выполненных работ и оказанных услуг собственными силами по виду экономической деятельности "Обрабатывающие производства" в субъекте Российской Федерации за 2010 - 2019 годы, млн. рублей. (X2,it)
4. Численность обслуживаемого населения в субъекте Российской Федерации за 2010 - 2019 годы, тыс. чел. (X3,it)
Предполагается, что показатели X1, X2, X3 являются главными факторами, определяющими поступление налогов в бюджет.
Задачей является оценка рисков уменьшения поступлений налогов в бюджет в случае негативных изменений производстве и предоставлении услуг.
Для этого была построена модель множественной регрессии следующего вида:
Yit = a0 + a1X1,it + a2X2,it + a3X3,it + eit,
где a0, a1, a2, a3 - неизвестные параметры, которые нужно найти, eit - случайные ошибки.
После оценки получено уравнение
Y = 3226.44 + 0.72X1 + 0.06X2 + 0.31X3.
Все коэффициенты регрессии являются значимыми для уровня значимости 5%. Уравнение регрессии также является значимым согласно критерию Фишера (F-критерию) для уровня значимости 5%. Коэффициент детерминации (R2) оказался равен 0.73, что означает, что вариация объясняющих переменных, входящих в уравнение регрессии, на 73% обусловила вариацию результативной переменной.
Примечание: представленная выше модель является упрощенной и может применяться на ранних стадиях зрелости оценки рисков. При наличии достаточного количества данных необходимо включить в модель дополнительные данные, например, по объему продукции сельского хозяйства, по объему платных услуг населению, по грузообороту и пассажирообороту на транспорте и т.д. Кроме того, в данном случае лучше применять методы анализа панельных данных с фиксированными эффектами.
3. Статистические методы классификации объектов
аудита (контроля)
Для определения объектов аудита (контроля) с высоким уровнем риска могут быть использованы методы классификации или кластеризации.
Методы классификации относятся к алгоритмам машинного обучения с учителем. Машинное обучение с учителем - набор методов математической статистики, в которых в ходе анализа используются переменные с уже известными (реализовавшимися) значениями - зависимая переменная и независимые (объясняющие) переменные. Сам анализ состоит в том, что при помощи методов математической статистики выявляется статистическая взаимосвязь между зависимой и независимыми переменными. В случае когда набор данных содержит в себе признаки (риск-факторы) и ответы (уровень рисков объектов аудита (контроля) - например, "низкий", "средний", "высокий"), то есть представляет собой размеченный набор данных, алгоритм машинного обучения с учителем позволяет предсказывать уровень риска для объектов аудита (контроля), по которым есть данные о риск-факторах, но нет данных об уровне риска. "Учителем" в этом случае выступает исходный, полностью размеченный набор объектов, на котором модель обучается.
Ограничение применимости методов машинного обучения с учителем состоит в том, что для них требуется большой набор достоверно размеченных данных.
4. Метод "Монте-Карло"
Метод "Монте-Карло" может быть применен для оценки неопределенности финансовых прогнозов, результатов от реализации проектов, при прогнозировании стоимости и графика выполнения проектов и т.п.
Данный метод применяют в ситуациях, когда результаты не могут быть получены аналитическими методами, например, если проект является многоуровневым с большим количеством внутренних связей между этапами, а каждый этап характеризуется некоторой величиной, имеющей вероятностную природу с высокой неопределенностью.
Входными данными для моделирования методом "Монте-Карло" является логическая модель проекта или деятельности объекта аудита (контроля). Модель должна полностью связывать допущения (входные данные) и отдельные показатели (выходные данные). Входные данные и соответствующую им неопределенность рассматривают в виде случайных переменных с соответствующими распределениями. Часто для этих целей используют равномерные, треугольные, нормальные и логарифмически нормальные распределения.
Процесс моделирования включает в себя следующие этапы:
1. Построение модели, которая наиболее точно описывает исследуемый процесс (финансовую модель, деятельность объекта аудита (контроля) и т.п.). Модель должна содержать все необходимые допущения и описывать их связь с выходными данными.
2. Многократная симуляция результирующих (выходных) данных модели. В ходе симуляции генерируются разные наборы исходных данных на основе их вероятностных распределений. Для каждой отдельной генерации вычисляются показатели эффективности (выходные данные).
Симуляция производится многократно от нескольких десятков до сотен тысяч раз в зависимости от сложности модели. Полученный набор значений показателей эффективности (выходные данные) может быть обработан с помощью статистических методов для получения оценок среднего, стандартного отклонения и доверительных интервалов.
Приложение N 6
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
ОЦЕНКА
УРОВНЯ ЗРЕЛОСТИ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ ОБЪЕКТА
АУДИТА (КОНТРОЛЯ)
НУЛЕВОЙ
НАЧАЛЬНЫЙ
ФРАГМЕНТАРНЫЙ
СИСТЕМНЫЙ
ИНТЕЛЛЕКТУАЛЬНЫЙ
0
1
2
3
4
отсутствует формальный процесс СУР;
отсутствует коммуникация о рисках и мониторинг рисков;
последствия рисков устраняются по мере их возникновения;
организация не предвидит потенциальных рисков
определены роли и обязанности по управлению рисками, описаны некоторые процедуры;
выявлены и оценены некоторые риски;
непредвиденные события выявляются редко, организация редко к ним хорошо подготовлена
программа внедрения и развития СУР одобрена руководством;
для некоторых видов деятельности определена политика и процессы по управлению рисками;
риски распределяются между разрозненными структурами;
организация эпизодически хорошо подготовлена к непредвиденным событиям
программа внедрения и развития СУР признается всей организацией;
для всех видов деятельности определены политика и процессы управления рисками;
риски выявлены и с надлежащим качеством оценены;
организация периодически хорошо подготовлена к непредвиденным событиям
обсуждение рисков встроено в планирование, бюджетный процесс, другие процессы, включая процесс принятия решений;
создана система раннего предупреждения для уведомления руководства о рисках, уровни которых превышают установленные пороговые значения;
организация регулярно хорошо подготовлена к непредвиденным событиям и извлекает уроки из прошлых событий для улучшения процессов
Дополнительно оценивается.
(для объектов аудита (контроля) - государственных компаний, уставными целями которых среди прочего является извлечение прибыли)
Во внутренних нормативных и методических документах объекта аудита (контроля) (далее - НМД) нет определений:
1) лимит риска,
2) "риск-аппетит",
3) емкость риска
В НМД введены определения:
1) лимит риска,
2) "риск-аппетит",
3) емкость риска, но не описана методология их определения применительно объекту аудита (контроля)
В НМД введены определения:
1) лимит риска,
2) "риск-аппетит",
3) емкость риска, описана методология их определения применительно объекту аудита (контроля), но нет их фактических расчетных значений
В НМД введены определения:
1) лимит риска,
2) "риск-аппетит",
3) емкость риска, описана методология их определения применительно объекту аудита (контроля), есть фактические расчетные значения минимум за 1 год
В НМД введены определения:
1) лимит риска,
2) "риск-аппетит",
3) емкость риска, описана методология их определения применительно объекту аудита (контроля), есть фактические расчетные значения за 3 года, лимит риска, "риск-аппетит" и емкость риска используются при планировании и принятии решений
Приложение N 7
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
ПРИМЕРНЫЙ ЗАПРОС ОБЪЕКТУ АУДИТА (КОНТРОЛЯ)
Перечень документов и вопросов, направляемых в адрес объекта аудита (контроля) в целях оценки рисков
1) Реестр рисков, влияющих на достижение результатов национального проекта <наименование национального проекта>, входящих в его состав федеральных проектов (при наличии)/федерального проекта <наименование федерального проекта>, не входящего в состав национального проекта/государственной программы <наименование государственной программы>;
2) протоколы Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам, проектного комитета, протокол совещания у куратора или руководителя проекта, иные документы, определяющие порядок пересмотра показателей национальных, федеральных проектов, в том числе на случай реализации рисков;
3) наличие количественных моделей для анализа и контроля показателей в соответствии с методиками, применялись ли методы распределения рисков; протоколы Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам, проектного комитета, протокол совещания у куратора или руководителя проекта, иные документы, по вопросам рисков достижения показателей;
4) протоколы совещаний руководителя или куратора проекта по вопросам рисков достижения показателей (при наличии); поручения, заявления применять риск-ориентированный подход при реализации национальных проектов (при наличии), федеральных проектов, государственной программы;
5) протоколы совещаний руководителя проекта по вопросам планирования и исполнения показателей, сроков или бюджета проекта в связи с наличием значимых рисков (при наличии);
6) как руководитель или куратор проекта определяет уровень риска по национальному и федеральному проекту/государственной программы, который нельзя принять (с учетом правовых актов и ведомственных практик при управлении национальными проектами);
7) ведет ли руководитель национального, федерального проекта/государственной программы контроль за применением риск-ориентированного подхода, проводилась ли оценка уровня (качества) системы управления рисками (направить результаты оценки, протоколы совещаний, подтверждающий контроль за качеством системы управления рисками - при наличии);
8) имеется ли в ведомстве подразделение (внутренний аудит), в обязанности которого входит оценка системы управления рисками, направить штатное расписание, положение (при наличии);
9) имеется ли в ведомстве подразделение (ведомственный проектный офис, риск-офис), в обязанности которого входит внедрение и развитие системы управления рисками, направить штатное расписание, положение (при наличии);
10) является ли применение риск-ориентированного подхода обязательной практикой, и как в таком случае информируются участники национальных и федеральных проектов об обязанности следовать процессам оценки рисков (кем, в какой срок, по каким каналам или с помощью каких документов);
11) привлекаются ли эксперты для оценки рисков и консультаций по развитию риск-ориентированного подхода, направить заключения или оценки экспертов (при наличии);
12) предъявляются ли требования к руководителю федерального проекта, участника федерального проекта к знаниям в области риск-ориентированного подхода, как формализованы эти требования (например, матрица компетенций для участия в национальных проектах, сертификация и т.п.);
13) протоколы совещаний руководителя или куратора проекта по вопросам рисков достижения показателей, информация СМИ (при наличии), также поручения, заявления о необходимости применять риск-ориентированный подход при реализации национальных проектов (при наличии);
14) применяются ли практики регулярного поиска рисков при анализе внутренней и внешней среды при оценке рисков национальных проектов;
15) (1) материальные и нематериальные источники риска; (2) причины и события; (3) угрозы и возможности; (4) уязвимости и способности; (5) изменения внешней и внутренней среды; (6) индикаторы возникающих рисков; (7) последствия и их влияние на результаты; (8) факторы, связанные со временем; (9) предубеждения, допущения и убеждения вовлеченных лиц;
16) каким образом проводится анализ рисков: оценивается ли уровень вероятности и влияния, как применяются методы управления риском;
17) документы, подтверждающие наличие мер по управлению рисками;
18) применяются ли в практике мониторинга рисков, специально разработанные показатели рисков, которые свидетельствуют о росте или снижении вероятности риска;
19) применяются ли в практике анализа данных, современные методы их обработки, включая искусственный интеллект и методы работы с большими данными (примеры);
20) применяются ли в практике автоматизированные методы сбора и обработки данных по наиболее опасным рискам;
21) имеются ли специальные механизмы информирования заинтересованных сторон о ходе проекта (сайты, информационные каналы, социальные сети, системы делопроизводства, иные системы обмена информацией).
Приложение N 8
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676))
ЕМКОСТЬ РИСКА, "РИСК-АППЕТИТ", ЛИМИТ РИСКА
Под емкостью риска понимается максимальный суммарный риск, который объект аудита (контроля) может вынести без потери целевой функциональности (например, вынужденного ухода в состояние ликвидации и т.п.).
Под "риск-аппетитом" (приемлемый уровень риска) понимается уровень консолидированного риска присущего объекту аудита (контроля), который воспринимается объектом аудита (контроля) как в целом приемлемый для достижения поставленных результатов. "Риск-аппетит" может выражаться количественными и качественными показателями деятельности объекта аудита (контроля). "Риск-аппетит" не должен превышать емкость риска. В случае если "риск-аппетит" равен или больше емкости риска следует сделать вывод о некорректности расчета "риск-аппетита" и/или емкости риска и рекомендовать объекту аудита (контроля) выполнить переоценку этих показателей.
Лимит риска (допустимый уровень риска) характеризует готовность к принятию объектом аудита (контроля) уровня конкретного риска в пределах определенного уровня (лимита) для достижения запланированных результатов. Риски в рамках лимита находятся под мониторингом, меры по управлению такими рисками не обязательны и могут быть инициализированы в случае превышения актуального уровня риска над лимитом. Сумма лимитов всех рисков объекта аудита (контроля) не должна превышать "риск-аппетит". В случае если сумма лимитов рисков больше или равна "риск-аппетиту", необходимо рекомендовать объекту аудита (контроля) актуализировать состояние рисков и предусмотреть меры по управлению рисками, которые вносят наибольший вклад в превышение суммы лимитов рисков над "риск-аппетитом".
Схема определения отношения к риску в объекте аудита (контроля).
"Риск-аппетит":
1) представляет собой агрегированный уровень всех рисков, которые объект аудита (контроля) готов принять для достижения результатов;
2) отражает отношение руководства объекта аудита (контроля) к рискам и (или) тот уровень рисков, который руководство готово принять для достижения результатов;
3) отражает ожидания заинтересованных сторон.
Уровень "риск-аппетита" определяется объектом аудита (контроля) самостоятельно и формализуется в политике по управлению рисками (нормативно-методической документации СУР) <30>. Также для объектов аудита (контроля) приемлемый уровень риска может быть ограничен нормативными или иными требованиями.
--------------------------------
<30> Например, Методика оценки рисков Государственной корпорации "Агентство по страхованию вкладов" (утверждена решением Правления ГК "Агентство по страхованию вкладов" от 4 сентября 2017 г., протокол N 107) определяет механизм определения "риск-аппетита" с учетом уровня риска. Уставом открытого акционерного общества "Российские железные дороги", утвержденным постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1838, к функциям совета директоров отнесено утверждение приемлемой величины рисков ("риск-аппетита") для общества, включая подход к ее определению.
Для оценки "риск-аппетита" используются количественный, качественный или смешанный подходы.
При количественном подходе приемлемый уровень риска задается посредством комбинации установления пороговых показателей допустимых отклонений по группе количественных показателей результата.
Далее, зная оценку вероятности реализации рисков, "риск-аппетит" определяется с помощью качественно-количественного метода.
При качественном подходе "риск-аппетит" задается посредством формулирования утверждения, выражающего желаемый уровень принятия рисков. "Риск-аппетит" по качественным показателям может задаваться с помощью балльной шкалы в рамках "системы светофоров".
Таблица 1 - Балльная оценка риск-аппетита и интерпретация операции (действия) объекта аудита (контроля)
Уровень риск-аппетита
Цвет светофора
Операции (действия) объекта аудита (контроля)
Очень низкий
Перечисляются операции (действия), выполнение которых строго запрещено при любых обстоятельствах
Низкий
Перечисляются операции (действия), выполнение которых запрещено. Разрешение на их осуществление может быть получено только в крайнем случае при условии одобрения вышестоящим органом объекта аудита (контроля) соответствии с механизмом эскалации принятия решений
Средний
Операции (действия), обладающие повышенным риском. Могут выполняться только при заданных условиях при условии одобрения вышестоящим руководителем соответствующего уровня в рамках матрицы распределения полномочий и действующего механизма эскалации принятия решений
Высокий
Операции (действия), обладающие умеренным риском. Могут выполняться в рамках нормальной операционной деятельности в рамках установленных лимитов при условии одобрения руководителем соответствующего уровня в рамках матрицы распределения полномочий и действующего механизма эскалации принятия решений
Очень высокий
Операции (действия), обладающие низким риском. Могут выполняться при условии одобрения непосредственным руководителем
При количественно-качественном подходе на основании значения "риск-аппетита" устанавливаются следующие пороги:
Значение рейтинга риска (RRmin, порог существенности риска), ниже которого опасное событие считается несущественным с точки зрения критериев "вероятность-влияние" риска. Эффект от управления такими рисками превосходит затраты по управлению, поэтому активное управление ими нецелесообразно. Объекту аудита (контроля) следует осуществлять периодический (при значениях RR существенно ниже порога значимости риска) или непрерывный (при значениях RR близких порогу значимости риска) мониторинг таких рисков и быть готовым переходить к активному управлению риском в случае превышения данного порога.
Значение рейтинга риска (RRcr, порог критических рисков), выше которого опасное событие превышает "риск-аппетит" и могут иметь место катастрофические последствия для объекта аудита (контроля). Для таких рисков должны быть в кратчайшие сроки предприняты действия по их снижению до приемлемого уровня (до уровня рейтинга ниже RRcr). Также этот порог используется при принятии решений руководителями объекта аудита (контроля) для одобрения (в случае RR < RRcr) или отказа (RR > RRcr) от совершения действий, сопряженных с возникновением опасного события.
Значение рейтинга риска (RRтол < RRcr, порог высоких рисков), выше которого опасные события могут нанести значительный ущерб объекту аудита (контроля). Такими рисками нужно управлять в первую очередь в целях снижения до умеренного уровня (до уровня рейтинга ниже RRтол).