Риск-менеджмент с точки зрения аудитора

Анвар Алимжанович Бакиев
Опубликовано: 12 мая 2009

Роль аудитора в риск -менеджменте

С момента принятия Международных стандартов аудита в качестве основы для проведения аудита, понятие аудита субъекта было существенно расширено и перестало ограничиваться исключительно проверкой бухгалтерских записей и налоговой отчётности аудируемого субъекта. Аудит стал многопрофильным мероприятием, включающим проведение анализа финансовой деятельности, изучение системы внутреннего контроля, изучение законодательной и регулирующей среды предприятия, изучения присущих субъекту рисков и их влияния на финансовую отчётность и на возможность субъекта действовать непрерывно и т.д.. Такое расширение повлекло необходимость в повышении квалификации аудиторов, в получении новых знаний, разработке новых методик и приобретение новой практики в аудите.

Не смотря на то, что цель аудита – это выражение уверенности о финансовой отчётности субъекта, как показала мировая практика, и что нашло выражение в Международных стандартах аудита, невозможно выразить какую-либо разумную уверенность о финансовой отчётности, не изучив деятельность аудируемого субъекта и не оценив, связанные с деятельностью риски. При этом, достаточно разумный является подход в изучении рисков, связанных только с финансовой отчётностью, однако наряду с такими рисками, аудитор всё-таки должен изучать и операционные и прочие риски, с тем, чтобы изучить возможность субъекта действовать в обозримом будущем, оценивать степень влияния нефинансовых рисков на некоторые элементы финансовой отчётности, такие как резервы, оценку активов и другие.

В настоящей статье, мы хотим показать понимание аудитора процесса риск менеджмента и дать несколько простых рекомендаций по внедрению риск менеджмента малых и средних субъектах. В виду обширности вопроса управления рисками, мы рассмотрим систему управления рисками, способными повлечь существенные искажения в финансовой отчётности.

Актуальность данного вопроса возникла из требования одного из Международных стандартов аудита об изучении рисков и процесса риск менеджмента в аудируемом субъекте. Понимание рисков субъекта исходит из понимания целей и стратегий субъекта и служит для определения возможных искажений в финансовой отчётности, а понимание процесса управления рисками служит пониманием системы внутреннего контроля, что также может послужить определением рисков существенных искажений в финансовой отчётности и получением понимания отношения руководства к внутреннему контролю.

Хочется отметить, что при назначении и проведении аудита, вопрос управления рисками будет изучаться аудиторской командой, по крайней мере, должен изучаться и не должен рассматриваться, как неуместная деятельность аудиторов. Скорее всего, отсутствие формального управления рисками в компании не скажется на результатах аудиторского отчёта. Однако в случаях наличия существенных слабостей или полного отсутствия процесса управления рисками, руководство субъекта получит информацию о таких слабостях, а также, возможно получит рекомендации по вопросам управления рисками. Таким образом, хочется ещё раз заострить внимание заказчиков аудиторских услуг на хорошем понимании деятельности аудиторов и самого процесса и сути аудита финансовой отчётности.

Для чего необходимо управлять рисками?

С точки зрения аудитора, налаженный процесс управления рисками в аудируемом субъекте, может снизить время на изучение рисков, путём использования информации, произведённой самим субъекта, получить уверенность в надёжности некоторых компонентов внутреннего контроля, снизить масштаб аудиторских процедур.

С точки зрение субъекта выгоды от внедрения риск менеджмента могут составлять:

  1. Поддержка стратегических и бизнес планов;
  2. Избежание убытков, неоправданных расходов, мошенничества внутри субъекта.
  3. Эффективное распределение ресурсов;
  4. Улучшение эффективности бизнес процессов;
  5. Предотвращение появления неожиданных сюрпризов;
  6. Быстрое принятие и использование новых и благоприятных возможностей;
  7. Улучшение систем внутреннего контроля;

Что такое риск-менеджмент?

Управление рисками организации – это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации1.

При этом хотелось бы отметить, что управление рисками стало лучшей практикой2 в организациях любого размера, с той лишь разницей, что в небольших субъектах процесс управления рисками носит менее формальный характер. На наш взгляд внедрение риск менеджмента в нашей стране встречает основополагающие проблемы, тормозящие интеграции мирового бизнес опыта и создающие реальные угрозы бизнесу.

Проблема

Результат

Практика

Руководство считает экономически нецелесообразным внедрение риск менеджмента.

Отсутствие адекватно разработанной системы внутреннего контроля. Высокая вероятность возникновения непредвиденных событий. Нерациональное использование ресурсов.

Одним из основных постулатов Концептуальной основы Управления рисками организаций, изданной комитетом спонсорских организаций комиссии Дж. Трэдуэя, является соотнесение затрат и выгод, связанных с принятыми решениями, в т.ч. относящиеся к деятельности по реагированию на риск. Другими словами степень управления рисками рассматривается исключительно в свете экономической целесообразности.

Отсутствие практического опыта и методологической базы.

Система внутреннего контроля разработана неадекватно и функционирует неэффективно. Неправильное распределение ресурсов и упущение возможностей. По-прежнему высокая вероятность возникновения непредвиденных событий.

Выведение управления бизнес рисками на аутсорсинг, наём или обучение собственного персонала, внедрение простых систем управления рисками, соответствующих международным стандартам Риск менеджмента, в частности, упомянутой выше Концептуальной основе.

Внедрение процесса управления рисками.

Любая система управления рисками будет базироваться на следующих принципах

  1. Непрерывность процесса управления рисками, охватывающего всю деятельность субъекта;
  2. Участие всего персонала субъекта в процессе;
  3. Взаимосвязь со стратегией и целями субъекта;
  4.  Применимость на каждом уровне и подразделении субъекта, включая анализ портфеля рисков на уровне организации;
  5. Нацеленность на определённые события, которые могут влиять на субъект и управление рисками таким образом, чтобы они не превышали готовности субъект идти на риск (риск-аппетит);
  6. Создание гарантий достижения целей субъекта;

Процесс управления рисками должен состоять из действий, вытекающих друг из друга или пересекающихся друг с другом и непосредственно друг на друга влияющих. Необходимо иметь в виду, что управление рисками не линейный, но циклический процесс. Ниже мы представим развёрнутый процесс управления рисками, а в дальнейшем предложим упрощённую схему управления рисками для «новичков» в риск менеджменте.

Действия

Комментарии

Установление внутренней среды.

Внутренняя среда может рассматривать не только как компонент управления рисками, но и как важный компонент системы внутреннего контроля.
Внутренняя среда включает в себя:

  • Философию управления рисками;
  • Риск-аппетит;
  • Внедрение честности и этических ценностей;
  • Среду субъекта, в т.ч. вопросы компетентности персонала, организационную структуру, делегирование полномочий и ответственности, управление человеческими ресурсами,

Постановка целей.

Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей. Процесс управления рисками обеспечивает «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учесть уровень ее риск-аппетита.

Определение событий.

События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее. Определение событий заключается в выявлении потенциальных событий, имеющих внутренний или внешний источник по отношению к организации и оказывающих влияние на достижение поставленных организацией целей. Это подразумевает выделение среди этих событий рисков, возможностей и событий, имеющих смешанное влияние.

Существующие возможности будут учитываться руководством в процессе формирования стратегии и постановки целей.

Оценка рисков.

Выявленные риски анализируются с целью определения действий, которые следует предпринять. При этом могут быть затронуты цели, связанные с теми или иными рисками. Риски оцениваются с точки зрения присущего и остаточного риска с учетом вероятности их возникновения и степени влияния.

Аудитор будет оценивать риски, связанные с искажениями в финансовой отчётности.

Реагирование на риски.

Персонал организации определяет и оценивает возможные виды реагирования на риски, включая возможность уклонения от риска, принятия его, сокращения или перераспределения риска. А руководство выбирает конкретные мероприятия, которые позволяют привести выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-аппетита организации.

Средства контроля.

Разработаны и функционируют политики и процедуры, обеспечивающие «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск.

Информация и коммуникация.

Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Информация требуется на всех уровнях организации для выявления, оценки и снижения рисков. Также осуществляется эффективный обмен информацией в рамках организации в более широком смысле: по вертикали сверху вниз и снизу вверх, а также по горизонтали. Сотрудники получают четкую информацию в отношении своих функций и обязанностей.

Мониторинг.

Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется. Соответственно, он динамичен и может изменяться в соответствии с требованиями обстоятельств. Мониторинг осуществляется в ходе непрерывной контролирующей деятельности руководства, путем отдельных проверок процесса управления рисками организации или же на основе сочетания этих двух видов деятельности.

Каждый компонент процесса управления рисками включает в себя несколько субкомпонентов, превращаясь таким образом в специализированную отрасль менеджмента. Для простоты понимания и для целей использования небольшими субъектами, предлагаем процесс управления рисками, основанный на 6 компонентах:

  1. Оценка риск аппетита и постановка целей;
  2. Определение событий и рисков;
  3. Оценка рисков;
  4. Реагирование на риски;
  5. Разработка и внедрение средств контроля;
  6. Мониторинг.

Оценка риск аппетита и постановка целей.

Первым шагом в построении системы риск менеджмента будет определение риск аппетита субъекта.

Риск аппетит, другими словами можно назвать масштабом приемлемого риска, это мера риска, которую субъект считает допустимой для себя. На уровень риск аппетита будет влиять стретагия субъекта, а уровень риск аппетита будет влиять на степень разработки всех иных компонентов процесса управления рисками. Образно можно представить себе обратную пропорцию между величиной риск аппетита и надёжностью и детализацией иных компонентов процесса управления рисками. Так чем выше будет риск аппетит, тем менее детальные и надёжные будут процессы управления рисками. Но это не означает, что установление высокого риск аппетита нежелательно для субъекта. Всё будет зависеть от экономической целесообразности затрат ресурсов на внедрение процессов управления рисками и возможными потерями в случае возникновения рисков.

Риск аппетит может быть оценён как в качественном выражение (высокий, средний, низкий), так и в количественном выражении, отражающем уровень роста и доходности субъекта.

После того, как риск аппетит установлен, субъект может определить соответствующие для него цели. Категории целей, затрагивающие различные аспекты деятельности указаны ниже.

Цели

Описание

Стратегические

Цели высокого уровня, определяющие смысл существования субъекта и основные виды его деятельности.

Операционные цели

Операционные цели ставятся для обеспечения производительности и эффективности субъекта, а также для сохранения активов. Сохранение активов очень важная часть управления рисками и включает в себя предотвращение потерь, хищений, пренебрежение руководством контролей, неэффективного использования ресурсов, плохих бизнес решений.

Цели  в  области  подготовки  отчетности

Эти цели направлены на обеспечение процесса достоверности составляемой, как финансовой, так и нефинансовой отчётности.

Цели в области соответствия законодательным и регулирующим требованиям

Такие цели связаны с соблюдение законодательных и нормативных актов. В некоторых случаях существуют жёсткие рамки регулирования, например, для лицензируемой или антимонопольной деятельности. Обеспечение таких целей покрывает множество рисков, связанных с деятельностью субъекта.

Лучше всего, чтобы субъект установил измеримые показатели достижения целей. Это поможет отслеживать достижение целей и предпринимать корректирующие действия.

Определение событий и рисков

Второй шаг заключается в рассмотрении событий, которые могут помешать выполнению целей. Определение таких событий является критическим шагом и требует хорошего понимания бизнеса субъекта, его целей и его среды.

Примерный перечень событий, которые могут оказать влияние на субъект выглядит следующим образом.

ВНЕШНИЕ ФАКОТОРЫ

 

ВНУТРЕННИЕ ФАКТОРЫ 

События, способные оказать влияние на субъект, а тем более последствия возникновения этих событий всегда строго индивидуальны и могут время от времени изменяться. В дополнение к определению неблагоприятных событий, субъект может определять для себя и благоприятные события.

Оценка рисков

Определив риски, субъект должен определить последствия наступления таких рисков и дать оценку рискам.

Последствие наступления рисков определяется путём ответа на вопрос «Итак, что может пойти не так?». Например, субъект определил для себя  риск внутренний риск мошенничества и вытекающие из него риски хищения со складов, взяточничества старшего персонала, фиктивные расходы. Таким образом аудитор будет оценивать уже конкретный риск, конкретное неблагоприятное воздействие.

Оценка рисков может выражаться, как в качественном выражении (высокий, средний, низки), так и в количественном, например, от 1 до 5 и включает в себя:

  1. Оценку вероятности возникновения; и
  2. Оценку степени влияния на субъект.

Вероятность  представляет  собой  возможность  того,  что  данное событие  произойдет,  в  то  время  как  влияние  отражает  его  последствия. Общая величина риска будет равнять произведению этих величин.

Реагирование на риски

Реагирование на риски предполагает собой различные варианты управления рисками. Субъект выбирает сначала самые значительные риски, оценённые по самой высокой шкале, при этом необходимо помнить, что не необходимости рассматривать те риски, распределение ресурсов на которые превысит величину неблагоприятных последствий.

Ниже указаны способы управления рисками.

Риски могут быть:

  • Смягчены

Это самый частый ответ на риск и часто принимает форму контролей. Другое смягчение рисков может включать пересмотр политик и процедур, изменения организации, наём дополнительного персонала и инвестирование в новые технологии.

  • Разделены

Риск может быть разделен с другими субъектами, например путём формирования совместных предприятий.

  • Ограничены

Это может быть достигнуто снижением или остановкой деятельности или поиском альтернативных путей для достижения желаемого выхода.

  • Повышены

Это применимо к рискам с выходом, который очень желателен. Такие риски нуждаются в эксплуатации – не контроле. Ответом на такие риски будет поиск путей максимизации выгоды.

  • Обменены

Это включает аутсорсинг или другие контрактные соглашения с третьими сторонами и покупку страховых полисов.

  • Приняты

Это означает непринятие каких-либо действий в отношении риска. Такие риски признаются приемлемыми.

Разработка и внедрение средств контроля

Определив виды реагирования на риск, субъект должен определить средства контроля, необходимые для обеспечения надлежащего и своевременного реагирования на риски. Субъект должен:

  1. Сформулировать что требуется сделать, кем и когда будут выполняться конкретные действия;
  2. Рассмотреть взаимодействие рисков и разработать средства контроля в отношении главных областей рисков или наборов рисков;
  3. Назначить лиц, ответственных за управление рисками;
  4. Утвердить планы управления рисками.

Мониторинг результатов

Мониторинг результатов необходим в виду того, что в субъекте могут изменяться цели и соответственно риски и процедуры управления рисками.

Мониторинг  может  осуществляться  как  в  ходе  текущей  деятельности,  так  и  путем  проведения
дополнительных  периодических  проверок. Средства мониторинга могут включать в себя:

  • Обзор ключевых индикаторов;
  • Сравнение процессов и продуктов с бюджетом;
  • Пересмотр целей, рисков и процедур управления рисками и т.д.

Таким образом, субъект может установить простейшую процедуру управления рисками, которая может оказать действенный эффект на его деятельность. Со стороны аудитора, в любом случае, будет ли в субъекте какая-либо формальная процедура управления рисками или не будет, аудитор в любом случае изучит цели, риски и средства управления рисками в субъекте и на основе такого понимания, оценит эффективность средств контроля в субъекте и влияния рисков на финансовую отчётность.

1Управление рисками организаций. Основа Комитета спонсорских организаций комиссии Дж. Тредуэя

2Под «лучшей практикой» понимается формализация уникального успешного практического опыта. Согласно идее лучшей практики, в любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. Определение «лучшей практики» взято из материалов Википедии.