Мониторинг и оценка рисков внутреннего финансового аудита в государственных (муниципальных) учреждениях

Выявление и классификация рисков внутреннего финансового аудита при проверке бюджетных процедур

Внутренний аудит должен иметь предупреждающий, прогнозный характер, направленный на выявление возможного риска.

Основными объектами внимания риск-ориентированного внутреннего аудита должны стать элементы системы управления - системы внутреннего контроля и управления рисками по функциональным направлениям деятельности. Одной из основных функций риск- ориентированного внутреннего аудита является подготовка обоснованных рекомендаций по повышению эффективности системы управления.

Риск - любое событие или действие в будущем, которое может как неблагоприятно, так и положительно отразиться на достижении компанией её деловых целей.

В условиях объективного существования различных рисков в бизнес-среде организаций, связанных с ними вероятности различного рода потерь (финансовых, моральных) или возможности получения дополнительной прибыли, возникает потребность в определённом механизме, который позволил бы наилучшим из возможных способов с точки зрения поставленных компанией деловых целей, учитывать риски при принятии и реализации хозяйственных решений.

Таким механизмом является риск-менеджмент организации - система управления рисками и экономическими (прежде всего финансовыми) отношениями, возникающими в процессе этого управления.

Риск-менеджмент должен включать разработку стратегии и тактики управления. Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками. Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно: а) вероятность; б) сила воздействия; в) управляемость;

г) взаимосвязанность (цепочки причинно-следственных связей).

Вероятность. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отметим, что последнее обстоятельство довольно часто упускается при оценке рисков. Регулярно сталкиваемся со следующим вариантом формулировки вероятности риска - вероятность столько-то процентов (например, «вероятность 20%»). Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. Указание «срока годности» вероятности крайне важно, поскольку со временем величина вероятности подавляющей части рисков меняется.

В отношении использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими (начиная с того, о чем говорит эксперт - об исходном или остаточном риске). Например, эксперт говорит, что вероятность риска аварии в организации составляет 10%. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие (в отсутствие пояснений) могут посчитать, что речь идет о риске в целом. Также эксперт мог получить итоговый показатель 10 процентов путем деления количества аварийных ситуаций в организации на общее количество работников по итогам прошлого года. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности.

В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода (например, конкретный риск может реализоваться как минимум один раз в год). Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем.

Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений (например, Crystal Ball, использующее моделирование методом Монте- Карло). Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс - сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области риск-менеджмента (или хотя бы в области определения и оценки рисков) можно добиться относительно качественной и полной оценки существенных рисков

Сила воздействия. Все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность организации (владельца риска). Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы - формы, обладающие качественными характеристиками (потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т.д.), и формы, обладающие количественными характеристиками (утрата доли рынка, финансовые потери, штрафные санкции и т.д.). В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния организации, т.е., другими словами, к потере денег. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария, организация тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время (расходы на восстановление, возможно уплата штрафов, социальные выплаты и т.д.). А если, например, резкое снижение качества услуг организации повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу.

С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь (интегрированная оценка). Поэтому все качественные оценки (и количественные тоже) в идеале следует приводить к интегрированной оценке.

Управляемость. Любая организация может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы - риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями организации (управляемые риски), и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить (неуправляемые риски). Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств, особенно связанных со стихийными бедствиями (землетрясения, наводнения, штормы, торнадо и т.д.). Единственное, что можно сделать в случае реализации неуправляемого риска, - это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта (например, строительство сейсмоустойчивых зданий в сейсмоопасной зоне), во-вторых, за счет использования скорости наступления негативного эффекта (например, план эвакуации при пожаре). Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными.

Взаимосвязанность. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любой организации к детерминировано-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки. Не исключено, что изначальной причиной многих крупных негативных событий являлась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одну организацию, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов (которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино).

Взаимосвязь риска и бизнес-процесса. Любой, даже самый мелкий и незначительный бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса мы не получим ничего либо получим не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.

Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск - это событие, причем во многих случаях такое, которое может и не произойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск- ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.

Суть риск-ориентированного подхода. Деятельность любой организации подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие - только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов организации. Система процессов всегда имеет одну цель - выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого организации - увеличения своей стоимости. Анализируя факторы риска в привязке к процессам, в которых они зарождаются и (или) на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту - понять, что в первую очередь мешает организации достичь цели, и найти наилучший способ нивелирования негативного воздействия.

В рамках риск-ориентированного подхода можно выделить два базовых метода, а именно: а) упрощенный метод; б) продвинутый метод.

Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали.

При использовании упрощенного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство - его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легко доказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая организация имеет свою специфику (разумеется, какие-то факторы являются общими для большинства организаций). Единственный критерий отбора- это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей.

При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:

  • 1) количество факторов риска ничем не ограничено. Встречаются перечни из 10-15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;
  • 2) рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) - факторы риска;
  • 3) системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т.д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);
  • 4) методика формирования рейтинга процессов, в любом случае, должна обсуждаться с руководителем организации (по-хитрому, как и положено внутреннему аудитору, сначала приватно с каждым руководителем, а потом со всеми вместе). Понимание и, хотя бы частичное согласие с методикой обеспечит более позитивное восприятие результатов ее использования.

Перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:

  • 1) практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);
  • 2) широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);
  • 3) сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);
  • 4) сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);
  • 5) текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);
  • 6) децентрализованные процессы (довольно часто дают пору- лить тому, кто-либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);
  • 7) объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);
  • 8) мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);
  • 9) нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например, технологического характера или рисками неадекватного состояния имущества);
  • 10) нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);
  • 11) государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т.д.);
  • 12) изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);
  • 13) амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);
  • 14) отсутствие нормативов (когда не установлен формально верх или низ, или иные рамки, работает принцип «будет так, как я хочу»);
  • 15) низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам - как к перекосам, так и к эффективности, однако перекосы случаются чаще);
  • 16) отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации).

Формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита.

Методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с руководителем организации. Это не означает, что при планировании внутреннего аудита необходимо спрашивать разрешения на использование методики. Однако внутренний аудитор должен провести разъяснительную работу, максимально учесть мнения и пожелания, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь руководство организации в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >