В условиях развития информационного обеспечения устойчивого развития экономики возрастает роль аудиторских организаций как одной из гарантий качества и достоверности отчетной и иной информации и эффективных инструментов оценки качества их деятельности. Ключевым методом обеспечения качества аудиторской деятельности является контроль.
Проводимые сегодня мероприятия внешнего контроля качества работы аудиторских организаций не в полной мере обеспечивают исполнение поставленных задач. Остро стоит вопрос выработки инструментов совершенствования подходов, развития методологий и стандартизации ключевых этапов контроля.
В современных условиях крайне важны четыре аспекта развития контрольного блока в сфере аудита:
- использование новых, перспективных и актуальных методик контроля, отвечающих современным требованиям;
- смещение акцента на высокорисковые области профессиональной деятельности;
- повышение персональной ответственности и построение системы эффективных мер воздействия на основе оценки последствий недобросовестных действий конкретных исполнителей;
- совершенствование и расширение требований к отчетным данным в отношении контрольных органов.
Важным направлением развития внешнего контроля на аудиторском рынке является трансформация всей системы контрольной деятельности и практическое внедрение риск-ориентированного контроля как основной актуальной тенденции развития института контроля в России.
Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» определено понятие риск-ориентированного подхода как метода организации и осуществления государственного контроля (надзора), при котором выбор интенсивности (формы, продолжительности, периодичности) проведения мероприятий по контролю, мероприятий по профилактике нарушений обязательных требований определяется отнесением деятельности юридического лица, к определенной категории риска либо определенному классу (категории) опасности [1].
Законодательно определено, что планирование контрольной работы уполномоченного государственного органа в сфере аудиторской деятельности осуществляется с применением риск-ориентированного подхода, однако отсутствие единой методологии такого применения не позволяет в полной мере выполнять установленные требования и эффективно планировать контрольную деятельность.
В рамках развития риск-ориентированного подхода в первую очередь необходимо сконцентрировать внимание на выявлении и попытке стандартизации ключевых рисков, возникающих в деятельности аудиторских фирм.
В общем виде под риском понимается сочетание вероятности и последствий недостижения экономическим субъектом целей деятельности. Сущность понятия «риск» раскрывается в государственных стандартах. Международные подходы к управлению рисками отражены в следующих наиболее известных документах:
- интегрированная модель управления рисками (модель COSO-ERM);
- стандарт управления рисками (FERMA);
- стандарт в сфере управления рисками — закон Сарбейнса — Оксли.
В качестве примера понимания сущности понятия «риск» приведем определение, содержащееся в глоссарии ключевых терминов документа «Управление рисками организации» COSO ERM 2017 [3]. Риск — это возможность того, что произойдут события, которые окажут влияние на реализацию стратегии и достижение целей. Иными словами, демонстрируется способность достижения установленных целевых показателей.
В научной литературе [4] приводятся обоснования разницы в трактовке понятий «угроза», «уязвимость», «риск», «опасность» в условиях существующей практики. Рассматривая рынок аудиторских услуг, наиболее верным представляется применение понятий «риск деятельности» и «угроза последствий» как наиболее емко отражающих функционал и особенности вида деятельности той или иной организации. Проявление рисков можно обозначить на уровне фактической деятельности, происходящих событий («риск деятельности») и на уровне информации, получаемой и создаваемой в процессе аудиторской деятельности («угроза последствий»). Основные факторы, создающие неопределенность и, соответственно, область риска, отражены на рис. 1.
Рис. 1. Факторы, формирующие пространство риска
Представленные на рис. 1 обстоятельства, свидетельства являются в некотором роде характеристиками, формирующими пространство, область риска в деятельности на рынке представления аудиторских услуг.
При разработке подходов к эффективной контрольной деятельности, следует акцентировать внимание на оценке вероятности наступления разного рода условий и событий, затрудняющих достижение заданных целевых установок, тем самым дать комплексную оценку уровня возможного риска, разработать «меры управляющего воздействия» на выявляемые риски и в результате распределить соответствующие контрольные ресурсы.
При классическом подходе, при управлении рисками бизнеса основные цели бизнес-процессов, цели деятельности заранее определены и очевидны (например, определенная величина прибыли, снижение затрат и пр.). Специфика аудиторского бизнеса состоит в том, что в дополнение к его приоритетной цели как вида предпринимательской деятельности, важнейшей целью является также удовлетворение информационных потребностей заказчиков услуг и неограниченного числа заинтересованных субъектов, являющихся пользователями результатов профессиональной деятельности аудиторов. Данный факт в определенной степени усложняет процесс построения единого структурного основания, описывающего все возможные риски в деятельности аудиторских организаций и предложение общеприменимой методики контрольной работы.
А.В. Липунцова в своем исследовании [5] обосновывает, что разработке предложений по оценке и классификации рисков в целях контрольной работы способствует анализ правоприменительной практики. Функционирование института внешнего контроля качества на рынке аудита в России имеет достаточно большую практику, на основании которой важно развитие инструментов применения риск-ориентированного подхода при планировании и проведении контрольных мероприятий.
На первом этапе развития данного подхода требуется, опираясь на практику контрольной деятельности, выделение и описание возможных рисков, позволяющих на основе некой классификации дать оценку деятельности подконтрольных субъектов. В Информационном письме Минфина России [2] определено, что процесс описания риска включает три мероприятия:
- указание на потенциальное неблагоприятное событие (обстоятельство), порождающее риск;
- определение причины и вероятности его возникновения;
- оценка возможных негативных последствий.
Используя за базу данные государственных стандартов по управлению рисками и концептуальные основы менеджмента рисков COSO-ERM, автором предлагается рассматривать пять основных стадий управления рисками при построении эффективной системы внешнего контроля качества работы аудиторских организаций:
- определение рисков, которые оказывают влияние на достижение важнейших целей деятельности;
- формирование базы данных по рискам;
- анализ рисков, структурирование рисков по областям и категориям;
- оценка конкретных рисков по возможности возникновения и их последствиям;
- выделение ресурсов на контроль рисковых областей.
Основными принципами контрольной работы при проверке аудиторских организаций в контексте ориентации на рисковые пространства их деятельности определены следующие:
- риск-ориентированный контроль в большей степени способствует достижению целей контроля и улучшению качественных характеристик контролируемой сферы;
- оценка рисков является неотъемлемой частью всех этапов контроля;
- управление рисками — часть процесса принятия решений по обеспечению контрольной деятельности и определению приоритетов;
- построение системы рисков основано на сведениях, полученных от заинтересованных сторон, на опыте контрольной деятельности и актуальных требованиях рынка, прогнозах, наблюдениях, экспертных оценках;
- крайняя важность усиления информационного взаимодействия контрольных субъектов в вопросах управления рисками;
- использование риск-ориентированного подхода должно учитывать возможности, восприятия и намерения людей при осуществлении профессиональной деятельности;
- необходимость отслеживания изменений и реагирования на них;
- снижение административной нагрузки на организации, которым присущи низкие риски;
- концентрация ограниченных ресурсов в зонах повышенного риска.
На основании изложенного на первом этапе выявляются основные факторы риска в деятельности аудиторских организаций с учетом оценки вероятности наступления негативных последствий как для непосредственных пользователей аудиторских услуг, так и для экономики в целом.
Выявление риск-факторов в сфере аудиторской деятельности предлагается осуществлять в разрезе двух интегральных критериев (рис. 2).
Рис. 2. Критерии риска в сфере аудиторской деятельности
На втором этапе исследования на основе оценки влияния рисков на деятельность и результаты деятельности подконтрольных субъектов автором предлагается вероятностная модель рисков в сфере деятельности аудиторских фирм (табл. 1), содержащая данные о балльной оценке значимости конкретных рисков (от 0,5 до 2,0) в рамках общей оценки.
В таблице 1 обобщены индикаторы, которые предлагается использовать в целях оценки риска деятельности аудиторских фирм на различных этапах деятельности контрольных органов (на этапе подготовки плана контрольной работы — левый столбец в большей части), в ходе проведения контрольных проверок в целях обеспечения репрезентативности выборки аудиторских заданий для контроля (соответственно правый столбец).
Таблица 1
Критерии рисков в деятельности аудиторских фирм*
*Разработано автором
Оценка предложенных показателей ввиду особенностей аудиторской сферы носит несколько субъективный характер, главным фактором при этом будет являться профессиональное суждение контролеров исходя из конкретной ситуации и исходных параметров. Выделив основные, применимые критерии рисков, на третьем этапе риск-ориентированного подхода требуется определить приоритетность рисков в каждом конкретном случае.
Приоритетность рисков определяется на основе заранее определенных критериев (например, адаптивность к риску, сложность риска, скорость воздействия риска, устойчивость влияния риска, восстановление после реализации риска).
Далее на основании рассмотрения и оценки количества и значимости выявленных рисков на четвертом этапе определяются общие показатели оценки рисков: вероятность события (риск несоблюдения требований) и вероятность последствий (риск вероятных негативных последствий) по каждому предложенному критерию (индикатору) (табл. 2).
Иными словами, каждому предлагаемому критерию присваивается определенная балльная оценка рисков. При этом часть критериев обусловливает повышение балльной оценки рисков, другая часть — снижение.
В предлагаемой автором методике бальной оценки рисков предполагается использование 22 критериев, оцениваемых по уровню тяжести вероятных негативных последствий, и 19 критериев, оцениваемых по вероятности несоблюдения обязательных требований Соответственно, максимальная оценка риска составит 25 баллов и 21 балл. С целью устранения в расчетах отрицательных величин за базовый уровень риска принимаются значения, представленные в табл. 3.
Таблица 2
Определение балльной оценки рисков
Вероятность события |
|
Риск |
Индикатор |
Низкий (предполагает уменьшение балльной оценки) |
Ранее нарушения отсутствовали Вероятность нарушений мала Возможности маловероятны с точки зрения существующего менеджмента |
Средний (балльная оценка не изменяется) |
Существует вероятность нарушений требований Сложность осуществления контроля в силу влияния многих факторов Существует история нарушения обязательных требований Возможности нарушения существуют, при четком и рациональном руководстве могут быть устранены |
Высокий (предполагает увеличение балльной оценки) |
Высокая вероятность несоблюдения требований в случае применения существующих бизнес-процессов Четкая и определенная возможность нарушений обязательных требований |
Вероятность последствий |
|
Риск |
Индикатор |
Низкий (предполагает уменьшение бальной оценки) |
Последствия маловероятны Слабое влияние на стратегическое развитие и деятельность организации Слабая обеспокоенность заинтересованных лиц |
Средний (балльная оценка не изменяется) |
Возможны финансовые, административные, судебные последствия Умеренное влияние на стратегическое развитие и деятельность организации Умеренная обеспокоенность заинтересованных лиц |
Высокий (предполагает увеличение балльной оценки) |
Ожидаются финансовые, административные, судебные последствия Существенное влияние на стратегическое развитие и деятельность организации Существенная обеспокоенность заинтересованных лиц |
Таблица 3
Базовый уровень риска
|
По тяжести последствий |
По вероятности несоблюдения обязательных требований |
Базовый уровень |
25 |
21 |
Диапазон балльной оценки |
от 0 до 50 |
от 0 до 42 |
Для формирования системы оценки в разрезе категорий рисков автором были проведены расчеты на примере деятельности ряда отечественных аудиторских организаций. Наиболее рациональными представляются балльные оценки рисков в разрезе категоризации по уровням риска, представленные в табл. 4.
При планировании контрольной работы оправдано и необходимо оценивать наличие рисков в деятельности аудиторских организаций на основании критериев по тяжести вероятных негативных последствий в связи с тем, что значительную часть информации можно получить из общедоступных источников. По результатам контрольных мероприятий, используя полный функционал методики, предлагается давать оценку объекту контроля в целях их дальнейшего ранжирования.
Матрица интегрального риска для классификации подконтрольных субъектов представлена на рис. 3.
На пятом этапе оценки предлагается деление критериев рисков на шесть категорий, исходя из данных о количестве полученных баллов. Для удобства использования элементов оценки к категориям риска по тяжести последствий применяются буквенные обозначения от А до Б, к категориям рисков по критерию вероятности несоблюдения требований — числа от 1 до 6. Таким образом, интегральные показатели риска (А1, В1, С1 и т.д.) распределены на шесть зон (табл. 5).
Таблица 4
Балльная оценка рисков
Рис. 3. Матрица интегральных рисков
Таблица 5
Категории рисков
Показатель интегрального риска |
Категория риска |
А1, В1 |
чрезвычайно высокий |
А2, В2, С2, Б2, С1, Б1 |
высокий |
А3, В3, С3, Б3, Е2, Б2, Е1, Б1 |
значительный |
А4, В4, С4, Б4, Е3, Б3 |
средний |
А6,В6, А5, В5, С5, Б5, Е4, Б4 |
умеренный |
С6, Б6, Е6, Б6, Е5, Б5 |
низкий |
Определение рисков и управление ими предполагает прогнозный характер. Контрольным органом на основании данных, характеризующих деятельность объектов контроля и имеющихся в открытых источниках, определяется балльная оценка риска их деятельности. Оценивая таким образом деятельность аудиторских организаций и ранжируя их, контролирующим органом определяются контрольная стратегия,
подходы к реагированию на возникающие риски с учетом конкретных условий деятельности аудиторских организаций, ожиданий, соотношения расходов и выгод и главное — существенности выявленных рисковых областей. Используя такой подход, предполагается различная периодичность контрольных проверок качества деятельности аудиторских организаций, планирование оптимального перечня необходимых контрольных мероприятий, закрепляемых в программе проверки, масштаба таких проверок. Таким образом, риск-ориентированный подход будет способствовать использованию модели управления рисками, обеспечивающей дифференцированный подход к выбору объектов, форм и этапов внешнего контроля качества деятельности аудиторских компаний.
Совершенно очевидно, что переход к риск-ориентированной концепции контроля за деятельностью аудиторских организаций на практике предполагает необходимость внесения соответствующих изменений в нормативные акты. На современном этапе крайне важно закрепление единых риск-факторов, используемых в рамках балльной оценки, концептуальных элементов применяемой методологии. Необходимо определение единых принципов управления рисками, а также вопросов, которые следует принимать во внимание при оценке риск-факторов. Например, исследование условий функционирования организации, применение единой политики управления рисками, ресурсы, взаимодействие с внешними структурами и пользователями, механизмы передачи отчетных данных.
Важно уделить внимание внутреннему построению системы обмена информацией и отчетности между субъектами контроля с тем, чтобы способствовать распределению ответственности и полномочий в рамках управления рисками. Система должна включать описание процессов сбора информации о рисках из различных источников, возможные подходы к проверке данных источников информации.
В целом система внешнего контроля качества, основанная на оценке рисковых областей, представлена на рис. 4.
Заключение
Предполагается в рамках развития инструментов цифровизации и применения информационных ресурсов автоматизированное риск-категорирование субъектов контроля, т.е. автоматизированное структурирование всех субъектов рынка аудиторских услуг в системе дифференцирования с отнесением к различным уровням риска как вероятности нарушения законодательных требований.
Применение описанного риск-ориентированного подхода оценки рисков позволит:
- сконцентрировать ресурсы выездных контрольных мероприятий на объектах с повышенным риском;
- определять периодичность внешних проверок исходя из уровня рисков деятельности аудиторских организаций;
- строить выборку аудиторских заданий в рамках контрольной работы исходя из масштабов деятельности и предварительной оценки рисков, присущих деятельности аудиторских организаций;
- внедрять процедуры непрерывного мониторинга за деятельностью аудиторских организаций с недостаточным уровнем внутреннего контроля, выдвигать предложения по совершенствованию деятельности аудиторских организаций;
- устанавливать объем запрашиваемой и проверяемой документации на основе предварительного анализа показателей деятельности аудиторских организаций;
- оптимизировать контрольно-надзорный функционал.
Литература
- О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля [Электронный ресурс]: Федер. закон от 26.12.2008 № 294-ФЗ, ред. от 27.12.20. — URL: http://www.consultant.ru/cons/cgi/online. cgi?req=doc&base=LAW&n=303516. (дата обращения: 06.02.2019)
- Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности [Электронный ресурс]: информация Минфина России от 25.12.2013 № ПЗ-11/2013. — URL: http://base.garant.ru/70551270. (дата обращения: 05.02.2019)
- Управление рисками организации. Интеграция со стратегией и эффективностью деятельности: международный стандарт COSO ERM
- Авдийский В.И., Безденежных В.М., Катаева Е.Г. Управление рисками как ключевой элемент обеспечения реализации риск-ориентированного подхода в деятельности хозяйствующих субъектах // Экономика. Налоги. Право. — 2017. — №. 6. — С. 6-15
- Липунцова А.В. Теоретико-правовые аспекты перехода на риск-ориентированный подход в контрольно-надзорной деятельности государства // Ученые записки Тамбовского отделения РоСМУ. — 2018. — № 9. — С. 130-133