Риск-менеджмент с точки зрения аудитора


Печать	Рассылка

Software Отрывки из книг Авторские разделы Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Вареня Вячеслав Алексеевич Видеоинтервью и вебинары Анвар Алимжанович Бакиев Партнерам Ольга Овчаренко Эксперты Московской коллегии адвокатов «ГРАД» Андрей Лукашов Корпоративные финансы Инвестиции Станислав Воронин Российский бухучет Аудит Внутренний аудит и внутренний контроль Аудиторские компании Deloitte BDO СТЕК Ernst & Young Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Управленческий учет Управленческий учет в контексте стратегического менеджмента Бюджетирование Практика Зарубежный опыт Предприятие как система создания ценности Идеология Контроллинг Инвестиции Инвестиционные проекты и предложения Личные финансы Российский опыт Зарубежный опыт Другие вопросы Отрывки из книг IPO: стратегия, перспективы и опыт российских компаний Прямые и венчурные частные инвестиции в России Практическое пособие по IPO (первоначальное публичное предложение) Оценка стоимости в венчурном инвестировании и при выходе на рынок IPO Информационный бюллетень Корпоративные финансы Анализ финансовых отчетов Финансовый менеджмент Финансовый Анализ Международные стандарты оценки - International Valuation Standards (IVS) Оценка бизнеса Финансовая математика/статистика Лизинг Базовый курс по информативности отчетов о движении денежных средств Рынок ценных бумаг. IPO, ICO, IEO Интервью, материалы прессы Сбалансированная система показателей Отрывки из книг Статьи Коротко о главном Слияния и поглощения Менеджмент Корпоративное право Управление рисками Управление качеством Корпоративное управление Корпоративные рейтинги Стратегическое управление Кадровый менеджмент Практика Коротко о важном GAAP & IAS Сравнительный учет: IAS & US GAAP МСФО по-украински: официальный перевод международных стандартов Нефтегазодобывающая отрасль МСФО для добывающей отрасли UK GAAP Что такое GERMAN GAAP (Немецкий учет)? Немецкое балансоведение IPSAS - международные стандарты для госорганов Переход на МСФО в других странах мира Азиатская модель Расширенная корпоративная отчетность. Отчетность устойчивого развития Сравнительный учет: МСФО и Российский учет IAS 23 Затраты по займам IAS 36 Обесценение активов IFRS 3 Объединения бизнесов Подготовка международной отчетности IAS 16 Учет и отчетность по пенсионным планам IAS 12 Налоги на прибыль IFRS 16 Аренда IAS 24 Раскрытие информации о связанных сторонах IAS 37 Оценочные обязательства, условные обязательства и условные активы IFRS 5 Долгосрочные активы, предназначенные для продажи, и прекращенная деятельность Разработка законодательство по МСФО IAS 31 Участие в совместном предпринимательстве IAS 14 Сегментная отчетность IFRS 14 Счета отложенных тарифных разниц IAS 27 Консолидированная и отдельная финансовая отчетность IAS 38 Нематериальные активы IFRS 6 Разработка и оценка минеральных ресурсов МСФО в некоммерческих организациях IAS 1 Представление финансовой отчетности IAS 37 Резервы, условные обязательства и условные активы IAS 16 Основные средства IAS 28 Инвестиции в ассоциированные и совместные предприятия IAS 39 Финансовые инструменты: признание и оценка IFRS 7 Финансовые инструменты: раскрытие информации Аудит. Управленческий учет. Статистика IAS 2 Запасы IFRS 4 / IFRS 17 Договоры страхования IAS 17 Аренда IAS 29 Финансовая отчетность в гиперинфляционной экономике IAS 40 Инвестиционное имущество IFRS 8 Операционные сегменты IFRS 9 Финансовые инструменты IFRS 6 Разработка и оценка минеральных ресурсов Разъяснения и Интерпретации к МСФО IAS 18 Выручка IAS 32 Финансовые инструменты: раскрытие и представление информации IAS 41 Сельское хозяйство МСФО для страхового сектора IFRS 10 Консолидированная финансовая отчетность IAS 7 Отчеты о движении денежных средств IFRS 13 Оценка справедливой стоимости IAS 19 Вознаграждения работникам IAS 33 Прибыль на акцию IFRS 1 Первое применение Международных Стандартов Финансовой Отчетности Трансформация отчетности по МСФО IFRS 11 Совместная деятельность IAS 8 Учетная политика, изменения в расчетных оценках и ошибки IAS 26 Учет и отчетность по пенсионным планам IAS 20 Учет государственных субсидий и раскрытие информации о государственной помощи IAS 34 Промежуточная финансовая отчетность IFRS 2 Выплаты на основе долевых инструментов Обзор МСФО IAS 10 События после окончания отчетного периода IAS 11 Договоры на строительство IFRS 15 Выручка по договорам с клиентами IAS 21 Влияние изменений валютных курсов Активы Учебные пособия по МСФО Руководство по трансформации на МСФО (новый план счетов РБ) Вводный курс по МСФО Реформа бухгалтерского учета и отчетности II Экзамен DipIFR-Rus (2012) Работа с финансовыми отчетами по МСФО Системы профессионального образования в России, Великобритании и в мире Разработка стратегии поддержки российских предприятий при их переходе на МСФО Экзамен DipIFR-Rus (2013) МСФО, редакция 2001г. Курс по методике IAB/Основы бухгалтерского учета по МСФО Учебное пособие по МСФО и их использования в рамках проекта ТАСИС "Водные пути России" Идеологические статьи по МСФО IAS: искусство иллюзии Идеология МСФО и US GAAP Революция в корпоративной отчетности Особенности учета на постсоветском пространстве Особенности банковской отчетности Банковский бизнес в России и зарубежом Учебные пособия по МСФО в рамках проекта "Реформа бухгалтерского учета и отчетности II" Что такое ГААП США (US GAAP) ? US GAAP: Перевод отчетности в иностранной валюте Изучение GAAP: основы основ. Курс лекций Как я изучал GAAP Сравнительный учет: US GAAP & Российский учет Учетная политика Налогообложение Налоговые отношения с участием иностранных организаций в РФ, оффшоры Практические советы Налоговый учет Статьи и аналитические материалы по Налогам Статьи	Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Вареня Вячеслав Алексеевич Видеоинтервью и вебинары Анвар Алимжанович Бакиев Партнерам Ольга Овчаренко Эксперты Московской коллегии адвокатов «ГРАД» Андрей Лукашов Корпоративные финансы Инвестиции Станислав Воронин Авторские разделы	Анвар Алимжанович Бакиев

Опубликовано: 12 Мая 2009

Роль аудитора в риск -менеджменте

С момента принятия Международных стандартов аудита в качестве основы для проведения аудита, понятие аудита субъекта было существенно расширено и перестало ограничиваться исключительно проверкой бухгалтерских записей и налоговой отчётности аудируемого субъекта. Аудит стал многопрофильным мероприятием, включающим проведение анализа финансовой деятельности, изучение системы внутреннего контроля, изучение законодательной и регулирующей среды предприятия, изучения присущих субъекту рисков и их влияния на финансовую отчётность и на возможность субъекта действовать непрерывно и т.д.. Такое расширение повлекло необходимость в повышении квалификации аудиторов, в получении новых знаний, разработке новых методик и приобретение новой практики в аудите.

Не смотря на то, что цель аудита – это выражение уверенности о финансовой отчётности субъекта, как показала мировая практика, и что нашло выражение в Международных стандартах аудита, невозможно выразить какую-либо разумную уверенность о финансовой отчётности, не изучив деятельность аудируемого субъекта и не оценив, связанные с деятельностью риски. При этом, достаточно разумный является подход в изучении рисков, связанных только с финансовой отчётностью, однако наряду с такими рисками, аудитор всё-таки должен изучать и операционные и прочие риски, с тем, чтобы изучить возможность субъекта действовать в обозримом будущем, оценивать степень влияния нефинансовых рисков на некоторые элементы финансовой отчётности, такие как резервы, оценку активов и другие.

В настоящей статье, мы хотим показать понимание аудитора процесса риск менеджмента и дать несколько простых рекомендаций по внедрению риск менеджмента малых и средних субъектах. В виду обширности вопроса управления рисками, мы рассмотрим систему управления рисками, способными повлечь существенные искажения в финансовой отчётности.

Актуальность данного вопроса возникла из требования одного из Международных стандартов аудита об изучении рисков и процесса риск менеджмента в аудируемом субъекте. Понимание рисков субъекта исходит из понимания целей и стратегий субъекта и служит для определения возможных искажений в финансовой отчётности, а понимание процесса управления рисками служит пониманием системы внутреннего контроля, что также может послужить определением рисков существенных искажений в финансовой отчётности и получением понимания отношения руководства к внутреннему контролю.

Хочется отметить, что при назначении и проведении аудита, вопрос управления рисками будет изучаться аудиторской командой, по крайней мере, должен изучаться и не должен рассматриваться, как неуместная деятельность аудиторов. Скорее всего, отсутствие формального управления рисками в компании не скажется на результатах аудиторского отчёта. Однако в случаях наличия существенных слабостей или полного отсутствия процесса управления рисками, руководство субъекта получит информацию о таких слабостях, а также, возможно получит рекомендации по вопросам управления рисками. Таким образом, хочется ещё раз заострить внимание заказчиков аудиторских услуг на хорошем понимании деятельности аудиторов и самого процесса и сути аудита финансовой отчётности.

Для чего необходимо управлять рисками?

С точки зрения аудитора, налаженный процесс управления рисками в аудируемом субъекте, может снизить время на изучение рисков, путём использования информации, произведённой самим субъекта, получить уверенность в надёжности некоторых компонентов внутреннего контроля, снизить масштаб аудиторских процедур.

С точки зрение субъекта выгоды от внедрения риск менеджмента могут составлять:

Поддержка стратегических и бизнес планов;
Избежание убытков, неоправданных расходов, мошенничества внутри субъекта.
Эффективное распределение ресурсов;
Улучшение эффективности бизнес процессов;
Предотвращение появления неожиданных сюрпризов;
Быстрое принятие и использование новых и благоприятных возможностей;
Улучшение систем внутреннего контроля;

Что такое риск-менеджмент?

Управление рисками организации – это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации¹.

При этом хотелось бы отметить, что управление рисками стало лучшей практикой² в организациях любого размера, с той лишь разницей, что в небольших субъектах процесс управления рисками носит менее формальный характер. На наш взгляд внедрение риск менеджмента в нашей стране встречает основополагающие проблемы, тормозящие интеграции мирового бизнес опыта и создающие реальные угрозы бизнесу.

Показать всю таблицу

Проблема	Результат	Практика
Руководство считает экономически нецелесообразным внедрение риск менеджмента.	Отсутствие адекватно разработанной системы внутреннего контроля. Высокая вероятность возникновения непредвиденных событий. Нерациональное использование ресурсов.	Одним из основных постулатов Концептуальной основы Управления рисками организаций, изданной комитетом спонсорских организаций комиссии Дж. Трэдуэя, является соотнесение затрат и выгод, связанных с принятыми решениями, в т.ч. относящиеся к деятельности по реагированию на риск. Другими словами степень управления рисками рассматривается исключительно в свете экономической целесообразности.
Отсутствие практического опыта и методологической базы.	Система внутреннего контроля разработана неадекватно и функционирует неэффективно. Неправильное распределение ресурсов и упущение возможностей. По-прежнему высокая вероятность возникновения непредвиденных событий.	Выведение управления бизнес рисками на аутсорсинг, наём или обучение собственного персонала, внедрение простых систем управления рисками, соответствующих международным стандартам Риск менеджмента, в частности, упомянутой выше Концептуальной основе.

Внедрение процесса управления рисками.

Любая система управления рисками будет базироваться на следующих принципах

Непрерывность процесса управления рисками, охватывающего всю деятельность субъекта;
Участие всего персонала субъекта в процессе;
Взаимосвязь со стратегией и целями субъекта;
Применимость на каждом уровне и подразделении субъекта, включая анализ портфеля рисков на уровне организации;
Нацеленность на определённые события, которые могут влиять на субъект и управление рисками таким образом, чтобы они не превышали готовности субъект идти на риск (риск-аппетит);
Создание гарантий достижения целей субъекта;

Процесс управления рисками должен состоять из действий, вытекающих друг из друга или пересекающихся друг с другом и непосредственно друг на друга влияющих. Необходимо иметь в виду, что управление рисками не линейный, но циклический процесс. Ниже мы представим развёрнутый процесс управления рисками, а в дальнейшем предложим упрощённую схему управления рисками для «новичков» в риск менеджменте.

Показать всю таблицу

Действия	Комментарии
Установление внутренней среды.	Внутренняя среда может рассматривать не только как компонент управления рисками, но и как важный компонент системы внутреннего контроля. Внутренняя среда включает в себя: Философию управления рисками; Риск-аппетит; Внедрение честности и этических ценностей; Среду субъекта, в т.ч. вопросы компетентности персонала, организационную структуру, делегирование полномочий и ответственности, управление человеческими ресурсами,
Постановка целей.	Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей. Процесс управления рисками обеспечивает «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учесть уровень ее риск-аппетита.
Определение событий.	События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее. Определение событий заключается в выявлении потенциальных событий, имеющих внутренний или внешний источник по отношению к организации и оказывающих влияние на достижение поставленных организацией целей. Это подразумевает выделение среди этих событий рисков, возможностей и событий, имеющих смешанное влияние. Существующие возможности будут учитываться руководством в процессе формирования стратегии и постановки целей.
Оценка рисков.	Выявленные риски анализируются с целью определения действий, которые следует предпринять. При этом могут быть затронуты цели, связанные с теми или иными рисками. Риски оцениваются с точки зрения присущего и остаточного риска с учетом вероятности их возникновения и степени влияния. Аудитор будет оценивать риски, связанные с искажениями в финансовой отчётности.
Реагирование на риски.	Персонал организации определяет и оценивает возможные виды реагирования на риски, включая возможность уклонения от риска, принятия его, сокращения или перераспределения риска. А руководство выбирает конкретные мероприятия, которые позволяют привести выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-аппетита организации.
Средства контроля.	Разработаны и функционируют политики и процедуры, обеспечивающие «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск.
Информация и коммуникация.	Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Информация требуется на всех уровнях организации для выявления, оценки и снижения рисков. Также осуществляется эффективный обмен информацией в рамках организации в более широком смысле: по вертикали сверху вниз и снизу вверх, а также по горизонтали. Сотрудники получают четкую информацию в отношении своих функций и обязанностей.
Мониторинг.	Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется. Соответственно, он динамичен и может изменяться в соответствии с требованиями обстоятельств. Мониторинг осуществляется в ходе непрерывной контролирующей деятельности руководства, путем отдельных проверок процесса управления рисками организации или же на основе сочетания этих двух видов деятельности.

Каждый компонент процесса управления рисками включает в себя несколько субкомпонентов, превращаясь таким образом в специализированную отрасль менеджмента. Для простоты понимания и для целей использования небольшими субъектами, предлагаем процесс управления рисками, основанный на 6 компонентах:

Оценка риск аппетита и постановка целей;
Определение событий и рисков;
Оценка рисков;
Реагирование на риски;
Разработка и внедрение средств контроля;
Мониторинг.

Оценка риск аппетита и постановка целей.

Первым шагом в построении системы риск менеджмента будет определение риск аппетита субъекта.

Риск аппетит, другими словами можно назвать масштабом приемлемого риска, это мера риска, которую субъект считает допустимой для себя. На уровень риск аппетита будет влиять стретагия субъекта, а уровень риск аппетита будет влиять на степень разработки всех иных компонентов процесса управления рисками. Образно можно представить себе обратную пропорцию между величиной риск аппетита и надёжностью и детализацией иных компонентов процесса управления рисками. Так чем выше будет риск аппетит, тем менее детальные и надёжные будут процессы управления рисками. Но это не означает, что установление высокого риск аппетита нежелательно для субъекта. Всё будет зависеть от экономической целесообразности затрат ресурсов на внедрение процессов управления рисками и возможными потерями в случае возникновения рисков.

Риск аппетит может быть оценён как в качественном выражение (высокий, средний, низкий), так и в количественном выражении, отражающем уровень роста и доходности субъекта.

После того, как риск аппетит установлен, субъект может определить соответствующие для него цели. Категории целей, затрагивающие различные аспекты деятельности указаны ниже.

Показать всю таблицу

Цели	Описание
Стратегические	Цели высокого уровня, определяющие смысл существования субъекта и основные виды его деятельности.
Операционные цели	Операционные цели ставятся для обеспечения производительности и эффективности субъекта, а также для сохранения активов. Сохранение активов очень важная часть управления рисками и включает в себя предотвращение потерь, хищений, пренебрежение руководством контролей, неэффективного использования ресурсов, плохих бизнес решений.
Цели в области подготовки отчетности	Эти цели направлены на обеспечение процесса достоверности составляемой, как финансовой, так и нефинансовой отчётности.
Цели в области соответствия законодательным и регулирующим требованиям	Такие цели связаны с соблюдение законодательных и нормативных актов. В некоторых случаях существуют жёсткие рамки регулирования, например, для лицензируемой или антимонопольной деятельности. Обеспечение таких целей покрывает множество рисков, связанных с деятельностью субъекта.
Лучше всего, чтобы субъект установил измеримые показатели достижения целей. Это поможет отслеживать достижение целей и предпринимать корректирующие действия.

Определение событий и рисков

Второй шаг заключается в рассмотрении событий, которые могут помешать выполнению целей. Определение таких событий является критическим шагом и требует хорошего понимания бизнеса субъекта, его целей и его среды.

Примерный перечень событий, которые могут оказать влияние на субъект выглядит следующим образом.

ВНЕШНИЕ ФАКОТОРЫ

ВНУТРЕННИЕ ФАКТОРЫ

События, способные оказать влияние на субъект, а тем более последствия возникновения этих событий всегда строго индивидуальны и могут время от времени изменяться. В дополнение к определению неблагоприятных событий, субъект может определять для себя и благоприятные события.

Оценка рисков

Определив риски, субъект должен определить последствия наступления таких рисков и дать оценку рискам.

Последствие наступления рисков определяется путём ответа на вопрос «Итак, что может пойти не так?». Например, субъект определил для себя риск внутренний риск мошенничества и вытекающие из него риски хищения со складов, взяточничества старшего персонала, фиктивные расходы. Таким образом аудитор будет оценивать уже конкретный риск, конкретное неблагоприятное воздействие.

Оценка рисков может выражаться, как в качественном выражении (высокий, средний, низки), так и в количественном, например, от 1 до 5 и включает в себя:

Оценку вероятности возникновения; и
Оценку степени влияния на субъект.

Вероятность представляет собой возможность того, что данное событие произойдет, в то время как влияние отражает его последствия. Общая величина риска будет равнять произведению этих величин.

Реагирование на риски

Реагирование на риски предполагает собой различные варианты управления рисками. Субъект выбирает сначала самые значительные риски, оценённые по самой высокой шкале, при этом необходимо помнить, что не необходимости рассматривать те риски, распределение ресурсов на которые превысит величину неблагоприятных последствий.

Ниже указаны способы управления рисками.

Риски могут быть:

Смягчены

Это самый частый ответ на риск и часто принимает форму контролей. Другое смягчение рисков может включать пересмотр политик и процедур, изменения организации, наём дополнительного персонала и инвестирование в новые технологии.

Разделены

Риск может быть разделен с другими субъектами, например путём формирования совместных предприятий.

Ограничены

Это может быть достигнуто снижением или остановкой деятельности или поиском альтернативных путей для достижения желаемого выхода.

Повышены

Это применимо к рискам с выходом, который очень желателен. Такие риски нуждаются в эксплуатации – не контроле. Ответом на такие риски будет поиск путей максимизации выгоды.

Обменены

Это включает аутсорсинг или другие контрактные соглашения с третьими сторонами и покупку страховых полисов.

Приняты

Это означает непринятие каких-либо действий в отношении риска. Такие риски признаются приемлемыми.

Разработка и внедрение средств контроля

Определив виды реагирования на риск, субъект должен определить средства контроля, необходимые для обеспечения надлежащего и своевременного реагирования на риски. Субъект должен:

Сформулировать что требуется сделать, кем и когда будут выполняться конкретные действия;
Рассмотреть взаимодействие рисков и разработать средства контроля в отношении главных областей рисков или наборов рисков;
Назначить лиц, ответственных за управление рисками;
Утвердить планы управления рисками.

Мониторинг результатов

Мониторинг результатов необходим в виду того, что в субъекте могут изменяться цели и соответственно риски и процедуры управления рисками.

Мониторинг может осуществляться как в ходе текущей деятельности, так и путем проведения
дополнительных периодических проверок. Средства мониторинга могут включать в себя:

Обзор ключевых индикаторов;
Сравнение процессов и продуктов с бюджетом;
Пересмотр целей, рисков и процедур управления рисками и т.д.

Таким образом, субъект может установить простейшую процедуру управления рисками, которая может оказать действенный эффект на его деятельность. Со стороны аудитора, в любом случае, будет ли в субъекте какая-либо формальная процедура управления рисками или не будет, аудитор в любом случае изучит цели, риски и средства управления рисками в субъекте и на основе такого понимания, оценит эффективность средств контроля в субъекте и влияния рисков на финансовую отчётность.

¹Управление рисками организаций. Основа Комитета спонсорских организаций комиссии Дж. Тредуэя

²Под «лучшей практикой» понимается формализация уникального успешного практического опыта. Согласно идее лучшей практики, в любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. Определение «лучшей практики» взято из материалов Википедии.

Топ 5 статей
Публикации по теме:«Анвар Алимжанович Бакиев...»

Горящие семинары

Все семинары
на edu.GAAP.RU

События

Все события

Риск-менеджмент с точки зрения аудитора

Горящие семинары

События

Уважаемый пользователь!