Идентификация и классификация рисков в деятельности аудиторских организаций как основа методологии практического применения риск-ориентированного подхода при осуществлении внешнего контроля

Теория аудита,...

Автор:
Источник: Журнал “АУДИТОР” №4-2019
Опубликовано: 17 Мая 2019

В статье раскрывается проблема отсутствия практической реализации подходов к осуществле­нию внешнего контроля качества деятельности аудиторских организаций на основе анализа потенциаль­ных рисков. В исследовании определены факторы, формирующие пространство рисков аудиторской деятель­ности. Предлагается методика балльной оценки рисков аудиторской деятельности, применение которой позволит осуществлять выбор контрольной стратегии, подходов к эффективному реагированию на воз­никающие риски.

В условиях развития информационного обеспечения устойчивого развития эко­номики возрастает роль аудиторских органи­заций как одной из гарантий качества и до­стоверности отчетной и иной информации и эффективных инструментов оценки качества их деятельности. Ключевым методом обеспе­чения качества аудиторской деятельности яв­ляется контроль.

Проводимые сегодня мероприятия внеш­него контроля качества работы аудиторских организаций не в полной мере обеспечивают исполнение поставленных задач. Остро стоит вопрос выработки инструментов совершен­ствования подходов, развития методологий и стандартизации ключевых этапов конт­роля.

В современных условиях крайне важны четыре аспекта развития контрольного блока в сфере аудита:

  • использование новых, перспективных и актуальных методик контроля, отвечающих современным требованиям;
  • смещение акцента на высокорисковые области профессиональной деятельности;
  • повышение персональной ответствен­ности и построение системы эффективных мер воздействия на основе оценки последствий недобросовестных действий конкретных ис­полнителей;
  • совершенствование и расширение тре­бований к отчетным данным в отношении контрольных органов.

Важным направлением развития внешнего контроля на аудиторском рынке является трансформация всей системы контрольной деятельности и практическое внедрение риск-ориентированного контроля как основной актуальной тенденции развития института контроля в России.

Федеральным законом «О защите прав юри­дических лиц и индивидуальных предприни­мателей при осуществлении государственного контроля (надзора) и муниципального контро­ля» определено понятие риск-ориентированного подхода как метода организации и осуществ­ления государственного контроля (надзора), при котором выбор интенсивности (формы, продолжительности, периодичности) прове­дения мероприятий по контролю, мероприятий по профилактике нарушений обязательных требований определяется отнесением деятель­ности юридического лица, к определенной ка­тегории риска либо определенному классу (ка­тегории) опасности [1].

Законодательно определено, что планиро­вание контрольной работы уполномоченного государственного органа в сфере аудиторской деятельности осуществляется с применением риск-ориентированного подхода, однако от­сутствие единой методологии такого приме­нения не позволяет в полной мере выполнять установленные требования и эффективно планировать контрольную деятельность.

В рамках развития риск-ориентированного подхода в первую очередь необходимо скон­центрировать внимание на выявлении и по­пытке стандартизации ключевых рисков, воз­никающих в деятельности аудиторских фирм.

В общем виде под риском понимается со­четание вероятности и последствий недостижения экономическим субъектом целей дея­тельности. Сущность понятия «риск» раскры­вается в государственных стандартах. Между­народные подходы к управлению рисками отражены в следующих наиболее известных документах:

  • интегрированная модель управления ри­сками (модель COSO-ERM);
  • стандарт управления рисками (FERMA);
  • стандарт в сфере управления рисками — закон Сарбейнса — Оксли.

В качестве примера понимания сущности понятия «риск» приведем определение, со­держащееся в глоссарии ключевых терминов документа «Управление рисками организации» COSO ERM 2017 [3]. Риск — это возможность того, что произойдут события, которые окажут влияние на реализацию стратегии и достижение целей. Иными словами, демон­стрируется способность достижения установ­ленных целевых показателей.

В научной литературе [4] приводятся обос­нования разницы в трактовке понятий «угроза», «уязвимость», «риск», «опасность» в условиях существующей практики. Рассматривая рынок аудиторских услуг, наиболее верным представ­ляется применение понятий «риск деятель­ности» и «угроза последствий» как наиболее емко отражающих функционал и особенности вида деятельности той или иной организации. Проявление рисков можно обозначить на уровне фактической деятельности, происходящих со­бытий («риск деятельности») и на уровне ин­формации, получаемой и создаваемой в про­цессе аудиторской деятельности («угроза по­следствий»). Основные факторы, создающие неопределенность и, соответственно, область риска, отражены на рис. 1.


Рис. 1. Факторы, формирующие пространство риска

Представленные на рис. 1 обстоятельства, свидетельства явля­ются в некотором роде характеристиками, формирующими пространство, область риска в деятельности на рынке представления ауди­торских услуг.

При разработке подходов к эффективной контрольной деятельности, следует акценти­ровать внимание на оценке вероятности на­ступления разного рода условий и событий, затрудняющих достижение заданных целевых установок, тем самым дать комплексную оценку уровня возможного риска, разработать «меры управляющего воздействия» на выяв­ляемые риски и в результате распределить соответствующие контрольные ресурсы.

При классическом подходе, при управлении рисками бизнеса основные цели бизнес-про­цессов, цели деятельности заранее определены и очевидны (например, определенная величи­на прибыли, снижение затрат и пр.). Специфи­ка аудиторского бизнеса состоит в том, что в дополнение к его приоритетной цели как вида предпринимательской деятельности, важ­нейшей целью является также удовлетворение информационных потребностей заказчиков услуг и неограниченного числа заинтересо­ванных субъектов, являющихся пользовате­лями результатов профессиональной деятель­ности аудиторов. Данный факт в определенной степени усложняет процесс построения еди­ного структурного основания, описывающего все возможные риски в деятельности ауди­торских организаций и предложение обще­применимой методики контрольной работы.

А.В. Липунцова в своем исследовании [5] обосновывает, что разработке предложений по оценке и классификации рисков в целях контрольной работы способствует анализ правоприменительной практики. Функцио­нирование института внешнего контроля ка­чества на рынке аудита в России имеет до­статочно большую практику, на основании которой важно развитие инструментов при­менения риск-ориентированного подхода при планировании и проведении контрольных мероприятий.

На первом этапе развития данного под­хода требуется, опираясь на практику кон­трольной деятельности, выделение и описание возможных рисков, позволяющих на основе некой классификации дать оценку деятель­ности подконтрольных субъектов. В Инфор­мационном письме Минфина России [2] опре­делено, что процесс описания риска включает три мероприятия:

  • указание на потенциальное неблагопри­ятное событие (обстоятельство), порождающее риск;
  • определение причины и вероятности его возникновения;
  • оценка возможных негативных послед­ствий.

Используя за базу данные государственных стандартов по управлению рисками и концеп­туальные основы менеджмента рисков COSO-ERM, автором предлагается рассматривать пять основных стадий управления рисками при построении эффективной системы внеш­него контроля качества работы аудиторских организаций:

  • определение рисков, которые оказывают влияние на достижение важнейших целей де­ятельности;
  • формирование базы данных по рискам;
  • анализ рисков, структурирование рисков по областям и категориям;
  • оценка конкретных рисков по возмож­ности возникновения и их последствиям;
  • выделение ресурсов на контроль риско­вых областей.

Основными принципами контрольной работы при проверке аудиторских организа­ций в контексте ориентации на рисковые про­странства их деятельности определены следу­ющие:

  • риск-ориентированный контроль в боль­шей степени способствует достижению целей контроля и улучшению качественных харак­теристик контролируемой сферы;
  • оценка рисков является неотъемлемой частью всех этапов контроля;
  • управление рисками — часть процесса принятия решений по обеспечению контроль­ной деятельности и определению приоритетов;
  • построение системы рисков основано на сведениях, полученных от заинтересован­ных сторон, на опыте контрольной деятель­ности и актуальных требованиях рынка, про­гнозах, наблюдениях, экспертных оценках;
  • крайняя важность усиления информа­ционного взаимодействия контрольных субъ­ектов в вопросах управления рисками;
  • использование риск-ориентированного подхода должно учитывать возможности, вос­приятия и намерения людей при осуществле­нии профессиональной деятельности;
  • необходимость отслеживания изменений и реагирования на них;
  • снижение административной нагрузки на организации, которым присущи низкие риски;
  • концентрация ограниченных ресурсов в зонах повышенного риска.

На основании изложенного на первом этапе выявляются основные факторы риска в дея­тельности аудиторских организаций с учетом оценки вероятности наступления негативных последствий как для непосредственных поль­зователей аудиторских услуг, так и для эконо­мики в целом.

Выявление риск-факторов в сфере ауди­торской деятельности предлагается осуществ­лять в разрезе двух интегральных критериев (рис. 2).


Рис. 2. Критерии риска в сфере аудиторской деятельности

На втором этапе исследования на основе оценки влияния рисков на деятельность и ре­зультаты деятельности подконтрольных субъ­ектов автором предлагается вероятностная модель рисков в сфере деятельности аудитор­ских фирм (табл. 1), содержащая данные о балльной оценке значимости конкретных рисков (от 0,5 до 2,0) в рамках общей оценки.

В таблице 1 обобщены индикаторы, которые предлагается использовать в целях оценки риска деятельности аудиторских фирм на раз­личных этапах деятельности контрольных органов (на этапе подготовки плана контроль­ной работы — левый столбец в большей части), в ходе проведения контрольных проверок в целях обеспечения репрезентативности выборки аудиторских заданий для контроля (соответственно правый столбец).

Таблица 1

Критерии рисков в деятельности аудиторских фирм*


*Разработано автором

Оценка предложенных показателей ввиду особенностей аудиторской сферы носит несколько субъективный характер, главным фак­тором при этом будет являться профессиональ­ное суждение контролеров исходя из конкрет­ной ситуации и исходных параметров. Выделив основные, применимые критерии рисков, на третьем этапе риск-ориентированного подхода требуется определить приоритетность рисков в каждом конкретном случае.

Приоритетность рисков определяется на основе заранее определенных критериев (например, адаптивность к риску, сложность риска, скорость воздействия риска, устойчи­вость влияния риска, восстановление после реализации риска).

Далее на основании рассмотрения и оценки количества и значимости выявленных рисков на четвертом этапе определяются общие показатели оценки рисков: вероятность со­бытия (риск несоблюдения требований) и ве­роятность последствий (риск вероятных не­гативных последствий) по каждому предло­женному критерию (индикатору) (табл. 2).

Иными словами, каждому предлагаемому критерию присваивается определенная балль­ная оценка рисков. При этом часть критериев обусловливает повышение балльной оценки рисков, другая часть — снижение.

В предлагаемой автором методике бальной оценки рисков предполагается использование 22 критериев, оцениваемых по уровню тяже­сти вероятных негативных последствий, и 19 критериев, оцениваемых по вероятности несоблюдения обязательных требований Со­ответственно, максимальная оценка риска составит 25 баллов и 21 балл. С целью устра­нения в расчетах отрицательных величин за базовый уровень риска принимаются зна­чения, представленные в табл. 3.

Таблица 2

Определение балльной оценки рисков

Вероятность события

Риск

Индикатор

Низкий (предполага­ет уменьшение балльной оценки)

Ранее нарушения отсутствовали Вероятность нарушений мала

Возможности маловероятны с точки зрения существующего менеджмента

Средний (балльная оценка не изменяет­ся)

Существует вероятность нарушений требований

Сложность осуществления контроля в силу влияния многих факторов Существует история нарушения обязательных требований

Возможности нарушения существуют, при четком и рациональном руководстве могут быть устранены

Высокий (предпола­гает увеличение балльной оценки)

Высокая вероятность несоблюдения требований в случае применения существу­ющих бизнес-процессов

Четкая и определенная возможность нарушений обязательных требований

Вероятность последствий

Риск

Индикатор

Низкий (предполага­ет уменьшение бальной оценки)

Последствия маловероятны

Слабое влияние на стратегическое развитие и деятельность организации Слабая обеспокоенность заинтересованных лиц

Средний (балльная оценка не изменяет­ся)

Возможны финансовые, административные, судебные последствия Умеренное влияние на стратегическое развитие и деятельность организации Умеренная обеспокоенность заинтересованных лиц

Высокий (предпола­гает увеличение балльной оценки)

Ожидаются финансовые, административные, судебные последствия Существенное влияние на стратегическое развитие и деятельность организации Существенная обеспокоенность заинтересованных лиц

Таблица 3

Базовый уровень риска


По тяжести последствий

По вероятности несоблюдения обязательных требований

Базовый уровень

25

21

Диапазон балльной оценки

от 0 до 50

от 0 до 42

Для формирования системы оценки в раз­резе категорий рисков автором были проведе­ны расчеты на примере деятельности ряда оте­чественных аудиторских организаций. Наи­более рациональными представляются балль­ные оценки рисков в разрезе категоризации по уровням риска, представленные в табл. 4.

При планировании контрольной работы оправдано и необходимо оценивать наличие рисков в деятельности аудиторских организа­ций на основании критериев по тяжести веро­ятных негативных последствий в связи с тем, что значительную часть информации можно получить из общедоступных источников. По ре­зультатам контрольных мероприятий, исполь­зуя полный функционал методики, предлага­ется давать оценку объекту контроля в целях их дальнейшего ранжирования.

Матрица интегрального риска для класси­фикации подконтрольных субъектов пред­ставлена на рис. 3.

На пятом этапе оценки предлагается деление критериев рисков на шесть категорий, исходя из данных о количестве полученных баллов. Для удобства использования элементов оценки к ка­тегориям риска по тяжести последствий при­меняются буквенные обозначения от А до Б, к категориям рисков по критерию вероятности несоблюдения требований — числа от 1 до 6. Таким образом, интегральные показатели риска (А1, В1, С1 и т.д.) распределены на шесть зон (табл. 5).

Таблица 4

Балльная оценка рисков


Рис. 3. Матрица интегральных рисков


Таблица 5

Категории рисков

Показатель интегрального риска

Категория риска

А1, В1

чрезвычайно высокий

А2, В2, С2, Б2, С1, Б1

высокий

А3, В3, С3, Б3, Е2, Б2, Е1, Б1

значительный

А4, В4, С4, Б4, Е3, Б3

средний

А6,В6, А5, В5, С5, Б5, Е4, Б4

умеренный

С6, Б6, Е6, Б6, Е5, Б5

низкий

Определение рисков и управление ими пред­полагает прогнозный характер. Контрольным органом на основании данных, характеризую­щих деятельность объектов контроля и имею­щихся в открытых источниках, определяется балльная оценка риска их деятельности. Оце­нивая таким образом деятельность аудиторских организаций и ранжируя их, контролирующим органом определяются контрольная стратегия,

подходы к реагированию на возникающие риски с учетом конкретных условий деятель­ности аудиторских организаций, ожиданий, соотношения расходов и выгод и главное — существенности выявленных рисковых обла­стей. Используя такой подход, предполагается различная периодичность контрольных про­верок качества деятельности аудиторских ор­ганизаций, планирование оптимального переч­ня необходимых контрольных мероприятий, закрепляемых в программе проверки, масшта­ба таких проверок. Таким образом, риск-ориентированный подход будет способствовать использованию модели управления рисками, обеспечивающей дифференцированный подход к выбору объектов, форм и этапов внешнего контроля качества деятельности аудиторских компаний.

Совершенно очевидно, что переход к риск-ориентированной концепции контроля за де­ятельностью аудиторских организаций на прак­тике предполагает необходимость внесения соответствующих изменений в нормативные акты. На современном этапе крайне важно за­крепление единых риск-факторов, используе­мых в рамках балльной оценки, концептуаль­ных элементов применяемой методологии. Необходимо определение единых принципов управления рисками, а также вопросов, которые следует принимать во внимание при оценке риск-факторов. Например, исследование ус­ловий функционирования организации, при­менение единой политики управления риска­ми, ресурсы, взаимодействие с внешними структурами и пользователями, механизмы передачи отчетных данных.

Важно уделить внимание внутреннему по­строению системы обмена информацией и от­четности между субъектами контроля с тем, чтобы способствовать распределению ответ­ственности и полномочий в рамках управления рисками. Система должна включать описание процессов сбора информации о рисках из раз­личных источников, возможные подходы к проверке данных источников информации.

В целом система внешнего контроля каче­ства, основанная на оценке рисковых областей, представлена на рис. 4.


Заключение

Предполагается в рамках развития инстру­ментов цифровизации и применения инфор­мационных ресурсов автоматизированное риск-категорирование субъектов контроля, т.е. автоматизированное структурирование всех субъектов рынка аудиторских услуг в си­стеме дифференцирования с отнесением к раз­личным уровням риска как вероятности на­рушения законодательных требований.

Применение описанного риск-ориенти­рованного подхода оценки рисков позволит:

  • сконцентрировать ресурсы выездных контрольных мероприятий на объектах с по­вышенным риском;
  • определять периодичность внешних про­верок исходя из уровня рисков деятельности аудиторских организаций;
  • строить выборку аудиторских заданий в рамках контрольной работы исходя из мас­штабов деятельности и предварительной оценки рисков, присущих деятельности ауди­торских организаций;
  • внедрять процедуры непрерывного мо­ниторинга за деятельностью аудиторских ор­ганизаций с недостаточным уровнем внутрен­него контроля, выдвигать предложения по со­вершенствованию деятельности аудиторских организаций;
  • устанавливать объем запрашиваемой и проверяемой документации на основе пред­варительного анализа показателей деятель­ности аудиторских организаций;
  • оптимизировать контрольно-надзорный функционал.

Литература

  1. О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля [Электронный ресурс]: Федер. закон от 26.12.2008 № 294-ФЗ, ред. от 27.12.20. — URL: http://www.consultant.ru/cons/cgi/online. cgi?req=doc&base=LAW&n=303516. (дата обращения: 06.02.2019)
  2. Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности [Электронный ресурс]: информация Минфина России от 25.12.2013 № ПЗ-11/2013. — URL: http://base.garant.ru/70551270. (дата обращения: 05.02.2019)
  3. Управление рисками организации. Интеграция со стратегией и эффективностью деятельности: международный стандарт COSO ERM
  4. Авдийский В.И., Безденежных В.М., Катаева Е.Г. Управление рисками как ключевой элемент обеспечения реализации риск-ориентированного подхода в деятельности хозяйствующих субъектах // Экономика. Налоги. Право. — 2017. — №. 6. — С. 6-15
  5. Липунцова А.В. Теоретико-правовые аспекты перехода на риск-ориентированный подход в кон­трольно-надзорной деятельности государства // Ученые записки Тамбовского отделения РоСМУ. — 2018. — № 9. — С. 130-133

Автор:

Теги: аудиторские организации  риск-ориентированный подход  внешний контроль  классификация рисков  аудиторская деятельность  достоверность отчетности  COSO-ERM  FERMA  Сарбейнса-Оксли  управление рисками  оценка рисков