Оценка риска - натурально-вещественный и стоимостный анализ всех рисковых обстоятельств, характеризующих параметры риска4.
Характер, сроки и объем выполняемых процедур оценки риска зависят от масштаба и сложности деятельности аудируемого лица (пункт 20 Правила (стандарта) № 8).
Существуют различные подходы к измерению и представлению риска. Количественные подходы связаны с измерением риска в виде денежных (финансовых) потерь, качественные - с измерением риска в качественных показателях, заданных в виде шкалы или метода ранжирования.
Управление риском преследует две цели: измерение (оценку) риска и выбор адекватных мер и средств минимизации риска.
Как правило, инспектор в процессе проведения аудита эффективности оценивает риски, используя разнообразные факторы, включая такие аспекты, как:
диверсификация, устойчивость, ясность целей и задач объекта проверки. Если задачи объекта проверки неясны, возрастает риск того, что работники не будут эти задачи понимать и эффективность деятельности аудиторов (инспекторов) не будет достигнута;
комплексность действий (операций). С усложнением деятельности объекта проверки достижение эффективности деятельности аудиторов (инспекторов) также усложняется;
комплексность и качество систем управления и контроля. Комплексные, сложные системы управления и контроля сложнее создавать, расширять и поддерживать, что может привести к снижению эффективности контроля самого объекта проверки. Пользователи отчетных данных при принятии управленческих решений, опираясь на неадекватную, неверную или неполную информацию, могут принимать решения, приводящие к потере эффективности работы организации;
суть и степень внешних и внутренних изменений объекта проверки. Количество и направления изменений могут повлиять на деятельность объекта проверки, систему внутреннего контроля, понимание целей, задач и политики объекта проверки, что в конечном итоге может негативно сказаться на эффективности его деятельности;
природа (виды) операций. Большие объемы денежных средств, а также сложность сделок и методов реализации программ и задач объектом проверки могут увеличить риск недостижения эффективности деятельности.
Следует отметить, что проверяющие также должны учитывать риски, которые не связаны с деятельностью проверяемого объекта, но могут повлиять на процесс проведения аудита.
Уменьшение риска предполагает проверку или определение приемлемости риска (низкий уровень, умеренный уровень, высокий уровень). Возможны два варианта решения задачи минимизации риска: дополнительные расходы в целях снижения уровня риска; принятие решения о неприемлемости риска, так как затраты, связанные с осуществлением мер и средств снижения риска, слишком велики (могут превзойти сумму возможных потерь). На рисунке 1 представлен алгоритм управления риском.
 |
Рис. 1. Алгоритм управления риском
Выявление рисков применительно к теме и объекту проверки - процесс творческий. Например, уже достаточно долго существует, и не раз проявил себя, риск падения цен на нефть (внешний риск), безусловно, возможная угроза при его реализации отрицательно скажется на всем государственном секторе. Вместе с тем тратить время и ресурсы, просчитывая эти последствия для результатов мероприятий в области охраны редких животных, не совсем рационально.
Еще один пример, возникновение риска административно-политического характера, имеющего место при контроле за эффективностью использования государственных ресурсов. Такой риск увеличивается при движении по цепи, звеньями которой являются политические решения на различных уровнях: ведомственная административная политика - правительственная политика (поддержание отдельных программ и условий) - налоговая политика - конкретные политические решения - основные цели законодательно-бюджетных программ - цели национальной политики. Аудит на уровне ведомства в случае расхождения интересов имеет минимальный уровень риска для положения аудиторов по сравнению с расхождениями в целях бюджетных программ. Риск в данном случае может быть связан с вовлечением аудиторов в политическую борьбу, что невозможно, поскольку противоречит уставам организаций ИНТОСАИ и ЕВРОСАИ, в которые входит Россия. Аудиторы могут столкнуться с положением, когда политически ориентированные решения ведут к большим затратам и снижению продуктивности, но могут оказаться целесообразными с точки зрения долгосрочной перспективы. В этом случае необходимо получить информацию и выяснить, какой анализ предшествовал выбору между краткосрочными и долгосрочными целями (хотя это и трудная задача).
Рассмотрим процедуру оценки рисков на этапах проведения аудита эффективности.
1. В процессе предварительного изучения уже выбранных тем и объектов проверки необходимо дать общую оценку наличия и степени рисков эффективного использования государственных средств.
На данном этапе следует установить:
· существует ли вероятность негативного воздействия в данной сфере на проверяемый объект каких-либо факторов (действий или событий), то есть само наличие рисков;
· какова возможная степень такого воздействия;
· какие могут быть отклонения в функционировании данной сферы или в работе проверяемой организации в результате такого воздействия.
Примерами возможных рисков являются:
· недостижение намеченных целей;
· значительные недостачи или перерасход средств;
· внезапные внеплановые расходы, внезапное внедрение программы;
· недоброжелательное отношение руководства министерства, ведомства или организации к критической оценке их деятельности в средствах массовой информации;
· бездеятельность администрации в отношении недостатков, выявленных контролирующими органами;
· частые структурные изменения и смена руководителей, высокая текучесть кадров;
· высокая сложность и неопределенность системы управления (например, пересекающееся или неясное разделение обязанностей);
· противоречивые дискуссии в средствах массовой информации по данной теме или о деятельности данного объекта.
Знания о характере рисков, их идентификация по видам и базовым признакам позволяют разрабатывать мероприятия по снижению рисков в экономической и финансовой деятельности, особенно пр.] проведении аудита эффективности.
| СПРАВОЧНО. Генеральный аудитор Норвегии принял решение о проверке соответствия экологической политики страны условиям международной конвенции О SPAR в сферах промышленности, контроля над сточными водами и сельского хозяйства (The Office of the Auditor General's investigation of Norway's compliance with the О SPAR Convention within industry, waste water management and agriculture). Эта конвенция, подписанная в 1992 г., объединяет 15 государств (включая Россию), и целью ее является борьба с загрязнением морской акватории в северо-восточной части Атлантического океана. Данная тема представляет большой интерес как с точки зрения норвежского общества (тема активно дискутируется в СМИ, в парламенте есть представители партии «зеленых»), так и с точки зрения международной политики (Норвегия - автор ряда международных экологических инициатив). Учитывая серьезность экологических проблем в современном мире, высокий уровень развития промышленности и сельского хозяйства в Норвегии (что неизбежно приводит к появлению большого количества отходов, загрязняющих окружающую среду), а также большую протяженность морской границы государства, обусловливающую большую площадь стока вод в океан, выбор объекта аудита представляется полностью обоснованным и целесообразным. В рамках своих полномочий управление Генерального аудитора Норвегии приняло решение о проведении проверки, целью которой являлось исследование эффективности функционирования государственных органов с точки зрения соответствия условиям данной конвенции. С учетом широты и многоплановости мероприятий по охране окружающей среды, проводимых в Норвегии, а также цели проверки на начальном этапе планирования были выбраны в качестве объектов проверки три наиболее крупных и значимых сферы деятельности: промышленность, контроль над сточными водами и сельское хозяйство (учитывая масштабы страны и размер населения, норвежцы могли выбрать объекты проверки таким образом). На этапе сбора и анализа материалов были обнаружены некоторые доказательства следующих рисков: недостаточно жесткая реакция государственных органов на случаи выявления нарушений (применение большей частью письменных предупреждений вместо штрафов и привлечения к уголовной ответственности); нечеткое распределение обязанностей в сфере, касающейся целей проверки, между муниципальными властями и центральными органами; недостижение намеченных в конвенции показателей (снизить наполовину уровень загрязнения фосфорными смесями и нитратами у. не вполне эффективное распределение государственных средств, выделенных на различные цели в данной сфере (гранты на внедрение альтернативных методов обработки и рекультивации земель). |
2. Подготовка плана и программы аудита - очень важная часть процесса аудита эффективности, и является заключительным этапом стадии планирования.
При формировании плана и программы аудита эффективности необходимо предусмотреть вероятность возникновения следующих рисков:
· неотъемлемый риск;
· риск системы внутреннего контроля объекта проверки;
· риск необнаружения нарушений и недостатков в деятельности объекта контроля.
Неотъемлемый риск оценивается на основе профессионального суждения проверяющего о следующих факторах:
· компетентность и добросовестность администрации проверяемого объекта;
· наличие обстоятельств, оказывающих давление на руководство проверяемого объекта (например, необходимость освоить выделенные ассигнования не позднее определенного срока, прямые указания вышестоящей организации осуществить те или иные расходы и др.);
· сфера деятельности проверяемой организации (например, деятельность регулируется несовершенными законодательными актами);
· подверженность активов потерям (работа с ликвидными видами, например лекарствами);
· наличие необычных и сложных финансовых и материальных операций (например, операции мены, принятие неденежных обязательств и др.).
Под оценкой риска системы контроля понимается оценка действующих процедур системы внутреннего контроля на объекте.
Для примера оценку методов и процедур внутреннего контроля (вариант GAO США) для целей аудита эффективности представим в виде таблицы:
Таблица 1
| Методы и процедуры | Характеристика методов и процедур |
| Вводные замечания | Вследствие недостаточности принятия каких-то управленческих решений в деятельности государственных органов, в результате изменений в составе выборных органов возрастает необходимость в эффективном внутреннем контроле, аудиторы должны определить значимость внутреннего контроля, исходя из целей аудита, и ответить на вопрос - были ли специфические процедуры внутреннего контроля должным образом разработаны и практически применены. Также авторы должны поставить перед собой вопрос - будут ли они модифицировать содержание, время проведения или объем выполнения процедур аудита. основанные на их оценке эффективности внутреннего контроля. В этом случае аудиторы должны провести специфические тесты эффективности внутреннего контроля и учесть их результаты при разработке процедур аудита. Ответственность за эффективность внутреннего контроля несут должностные лица объекта. Объектом аудита являются государственные органы, организации, программы, виды деятельности и функции, в которых проявится аудит |
| Методы и процедуры оценки эффективности использования ресурсов и результативности деятельности органов управления объекта аудита | Управление объектом аудита включает стратегии, процессы и виды деятельности, используемые органами управления объекта аудита для преобразования задействованных ресурсов в результаты, представленные абсолютными или относительными показателями. Управление объектами аудита представляет собой совокупность методов и процедур, применяемых органами управления для приемлемого обеспечения функционирования объекта в целях достижения поставленных целей и предотвращения нежелательных последствий |
| Методы и процедуры оценки достоверности и надежности данных | Контроль за достоверностью и надежностью данных включает методы и процедуры, применяемые должностными лицами аудируемого объекта для получения этих данных, их сохранения и беспристрастного приведения в отчетах. Такой контроль помогает убедить руководство в непрерывном получении достоверной и надежной информации о надлежащем (ненадлежащем) функционировании объекта. Понимание механизма контроля может помочь аудиторам: оценить риск того, что данные, собранные должностными лицами аудируемого объекта, могут быть недостоверными или ненадежными: разработать надлежащие тесты для этих данных |
| Методы и процедуры обеспечения соблюдения законов, подзаконных актов. условий контрактов или условий соглашений о субсидиях. Контроль за сохранностью ресурсов | Контроль включает методы и процедуры, используемые должностными лицами аудируемого объекта для приемлемого обеспечения соответствия функционирования и условий соглашений. Понимание механизма контроля может существенно помочь аудитору в выявлении их нарушений. Контроль включает методы и процедуры несанкционированного приобретения, использования или распоряжения ресурсами |
Подриском необнаружения понимается вероятность того, что применяемые в ходе проверки контрольные процедуры не позволят обнаружить реально существующие нарушения и недостатки в деятельности объекта контроля, имеющие существенный характер по отдельности либо в совокупности.
Риск необнаружения связан со следующими факторами:
· характером аудиторских процедур и источниками аудиторских доказательств (например, при невысоком уровне работы системы внутреннего контроля необходимо ориентироваться на независимые источники информации);
· сроками выполнения проверки;
· объемом процедур.
| СПРАВОЧНО. Пример опыта работы Управления Генерального аудитора Канады (ОГА) в области планирования и управления аудиторскими рисками. Главную роль в деятельности Генерального аудитора Канады играет управление такими рисками, которые могут подорвать доверие. Многие из этих рисков неизбежны при практическом применении аудиторских стандартов, тогда как другие связаны с самой деятельностью государства. Как правило, в своей работе аудитор определяет 5-7 направлений деятельности, имеющих наибольший общественный резонанс. В функции ОГА входит вынесение итогов контрольного мероприятия на рассмотрение парламента и широкое оповещение населения страны о его результатах. В ходе исследовательской работы тщательно изучается проверяемая организация или программа, определяется, где могут существовать проблемы, какие направления деятельности могут стать предметом проверки. Стратегия выбора области аудита включает: определение тех видов деятельности аудиторской организации, которые применимы при всех аудиторских проверках, выбор учреждений и организаций, функциональных областей и секторов, подлежащих с течением времени проверке, выбор программ или видов деятельности для проверки. Невозможно проверить все аспекты деятельности сложного объекта, поэтому необходим четкий процесс отбора самых важных из них. Выбор приоритетных направлений аудита эффективности использования средств - это чрезвычайно важный этап подготовительной работы, так как он обеспечивает усиление внимания ОГА к определенным текущим и перспективным направлениям, а также к основным темам аудита. Приоритетные направления основываются на широком обзоре деятельности, цель которого выявить назревающие проблемы, основные изменения в программах, административных системах и уровнях расходования средств, возможности совершенствования, риски и текущие заботы общества и экономики страны. Кроме того, на данном этапе дается предварительная оценка существующих рисков. И только когда проблема предварительно изучена и есть понимание, что ее рассмотрение отвечает интересам аудиторов, составляется и утверждается программа проверки. В ходе контрольного мероприятия изучаются возможные риски реализации программы, деятельность органов управления по минимизации этих рисков, работа соответствующих подсистем управления: информационной, кадровой и т.д. Именно выводы проверяющих о деятельности соответствующих государственных органов при реализации программ, осуществлении проектов являются наиболее востребованными парламентом Канады, и в этой связи особые требования предъявляются к отчетам, направляемым в парламент. Чтобы прийти к заключению о том, стоит ли в ближайшем будущем проводить аудиторскую проверку, целесообразно экспертно оценить объем ресурсов, необходимых для проведения предполагаемого аудита. На этапе стратегического планирования нельзя составить точный бюджет для каждой аудиторской проверки. Однако можно получить оценку затрат на проведение аудита, включая транспортные и консультационные издержки. Необходимо также принимать во внимание риск аудита как часть стоимостной оценки. Это предполагает учет таких рисков, как задержки по вине аудиторской организации, неуместность аудита ввиду того, что программа проверки претерпевает серьезные изменения, и отсутствие основного персонала, который должен проводить аудиторскую проверку. Поэтому должны быть предусмотрены меры по снижению таких рисков. Представители ОГА признали существование аудиторских рисков в течение нескольких последних лет. В связи с этим был разработан ряд стратегий по смягчению этих рисков. В документе «Основная стратегическая деятельность ОГА», впервые опубликованном в 1993 г. (в 1995, 1998 гг. в него были внесены некоторые поправки), определены шесть ключевых позиций, способствующих укреплению доверия ОГА и его эффективной деятельности: персонал, планирование, профессиональная практика, передача информации и подотчетность, эффективное управление, избирательность и финансирование. Результатом постоянных усилий в укреплении этих позиций является смягчение рисков. Так как относительная важность рисков со временем изменяется, представители ОГА тщательно их отслеживают и, если необходимо, меняют стратегию управления рисками. В марте 2000 г. в ОГА был одобрен план действий по укреплению критического подхода к его деятельности. Он включает планирование, отчет о произведенных действиях, финансовую систему, аудиторскую практику и управление человеческими ресурсами. План был обновлен в январе 2001 г. Установленные в нем меры совершенствуют и укрепляют стратегии управления рисками. |
В таблице 2, кратко сформулированы меры, направленные на укрепление стратегий управления рисками.
Таблица 2
| Риски | Стратегии |
| Кадры: отсутствие нужных людей в нужном месте в нужное время | Применение объединяющей штат системы и четкое следование плану. Развитие программ по привлечению, обучению и переквалификации будущего персонала |
| Планирование: несоответствие нуждам и интересам парламента и других пользователей аудиторской информации, неэффективный аудит | Определить и оценить сущность аудиторских рисков в планировании любых аудиторских результатов. Рационализировать процессы планирования |
| Профессиональная практика: утрата безупречности работы | Определить и постоянно обновлять аудиторские методы и применяемые инструменты аудита. Улучшать возможности по получению знаний и делиться ими с коллегами по аудиту эффективности. Готовить внешние отчеты об аудиторской деятельности |
| Отчетность и предоставление информации: возможность двусмысленного толкования | Расширение возможностей предоставления информации |
| Эффективное управление: несогласованная работа | Применение новой финансовой информационной системы |
| Неэффективное использование ресурсов, отсутствие учета деятельности | Развитие механизма обратной связи с клиентом. Применение измеримости деятельности и определение структуры отчетности |
| Избирательность и финансирование: несоответствие изменениям в правительстве | Обзор процессов финансирования совместно с правительством. Пересмотр правомерности текущего мандата |
| В официальном отчете Генерального аудитора Канады (Ш. Фрейзер) за 2001 г. основные риски и стратегии их минимизации сформулированы следующим образом: «Кадры: многие из программ вовлекают различные отделы и разнообразную юрисдикцию. Мои предшественники гарантировали, что ОГА способен соответствовать требованиям, предъявленным ревизионной структуре. Они признали, что наш единственный, самый важный актив - объединенный талант и знание людей, которые работают здесь. Качество работы и репутация ОГА зависят непосредственно от их творческого потенциала, их профессионализма и их посвещения. |
Необходимо обратить внимание на то, что в отличие от аудита эффективности в регламентирующих актах Счетной палаты Российской Федерации, в частности в методических рекомендациях по оценке существенности и рисков при проведении контрольного мероприятия, выделены следующие риски:
· внутрихозяйственный риск;
· риск средств контроля.
Под внутрихозяйственным риском понимается вероятность наличия существенных ошибок и искажений в бухгалтерском учете и финансовой отчетности, нарушений и недостатков в хозяйственной деятельности объекта контроля.
Внутрихозяйственный риск характеризует степень подверженности финансово-хозяйственной деятельности объекта контроля нарушениям и недостаткам вследствие влияния внутренних и внешних факторов.
При оценке уровня внутрихозяйственного риска необходимо анализировать и учитывать следующие аспекты финансово-хозяйственной деятельности объекта контроля: особенности функционирования и текущего экономического положения сферы деятельности объекта контроля:
· специфические особенности осуществляемой объектом деятельности;
· наличие так называемых нестандартных и сложно учитываемых хозяйственных операций и т.д.
Под риском средств контроля понимается вероятность того, что существуют искажения или ошибки в бухгалтерской (финансовой) отчетности, нарушения или недостатки в хозяйственной деятельности объекта контроля, которые не способна своевременно предотвращать или обнаруживать система бухгалтерского учета и система внутреннего контроля объекта контроля.
Риск средств контроля характеризует степень надежности системы бухгалтерского учета и системы внутреннего контроля объекта контроля.
Результаты проверки средств контроля используются при планировании контрольных процедур в соответствии с вопросами проверки, установленными в программе контрольного мероприятия.
Как уже отмечалось, в федеральных правилах (стандартах) аудиторской деятельности, утвержденных постановлением Правительства Российской Федерации от 23 сентября 2002 г. № 696, рекомендуется оценивать риск хозяйственной деятельности и риск существенного искажения информации.
Нужная цитата
Риск хозяйственной деятельности может возникнуть вследствие каких-либо изменений ти возникших сложностей в деятельности, в то же время неспособность распознать необходимость внесения изменения в деятельность может также привести к риску. Изменение в деятельности может произойти, в частности, в результате разработки нового вида продукции, которая может оказаться неудачной, непредсказуемой реакции рынка, даже если разработан удачный вид продукции, а также упущений, которые приведут к возникновению обязательств и риску ухудшения репутации.
Большинство рисков хозяйственной деятельности будут с большой вероятностью иметь финансовые последствия и, следовательно, оказывать влияние на финансовую (бухгалтерскую) отчетность, хотя не все риски хозяйственной деятельности обязательно ведут к рискам ее существенного искажения. Следствием риска хозяйственной деятельности может стать риск существенного искажения однотипных операций, остатков по счетам бухгалтерского учета и случаев раскрытия информации на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности и финансовой (бухгалтерской) отчетности в целом.
Риск хозяйственной деятельности, обусловленный сокращением числа клиентов, возникшим в результате произошедших слияний организаций отрасли, может повысить риск искажения оценки дебиторской задолженности. Однако тот же самый риск в сочетании со снижением спроса (потребностей рынка) может привести к более серьезным последствиям риску непрерывности деятельности аудируемого лица. Суждение аудитора о том, может ли риск хозяйственной деятельности привести к существенному искажению отчетности, выносится с учетом знания аудитором обстоятельств, в которых находится аудируемое лицо.
Примеры условий и событий, которые могут указывать на наличие рисков существенного искажения информации.
1. Операции в регионах, которые являются экономически нестабильными, например, в странах со значительной девальвацией валюты или экономикой с высоким уровнем инфляции.
2. Высокий уровень сложности нормативного регулирования.
3. Вопросы, связанные с непрерывностью деятельности и ликвидностью, например, в случае потери аудируемым лицом важных клиентов.
4. Ограничения возможностей аудируемого лица по привлечению средств.
5. Изменения в отрасли, в которой осуществляет свою деятельность аудируемое лицо.
6. Изменения в сети поставщиков.
7. Разработка или предложение новых видов товаров, работ или услуг либо освоение новых видов деятельности.
8. Такие изменения в деятельности аудируемого лица, как крупные приобретения или реорганизация и т.д.
См.: Правило (стандарт) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» (в редакции постановления Правительства Российской Федерации от 19 ноября 2008 г. № 863).
3. Как отмечалось в модуле 8 настоящего учебника, получение аудиторских доказательств является основной стадией этапа выполнения аудита эффективности. Именно на этом этапе возникает риск получения информации с существенным искажением. При оценке достаточности доказательств (информации и фактических данных) необходимо принимать во внимание следующие факторы:
· качество полученных доказательств;
· уровень существенности или значимости выявленных данных;
· убедительность аудиторских доказательств, сделанных на основе собранной информации;
· затраты на получение доказательств по сравнению с пользой, которая получена от них при их использовании для подкрепления полученных сведений.
Описанные факторы указывают на степень риска, связанного:
· с ошибочностью составленного мнения о результативности деятельности проверяемого объекта;
· с составлением неверного заключения по результатам аудита эффективности.
При высокой степени риска может оказаться более целесообразным проведение нового аудита эффективности, который будет включать в себя проверку выполнения предложений предыдущего аудита.
Поэтому при сборе аудиторских доказательств аудитор должен в первую очередь обращать внимание на то, каким образом аудируемый объект предупреждает, обнаруживает и исправляет существенные искажения при выполнении контролируемых аудитором операций.
При оценке рисков необходимо определить, какие из выявленных рисков, по профессиональному суждению проверяющего, являются рисками, требующими специального аудиторского рассмотрения. Такие риски определяются как «значимые риски»5. Вероятность возникновения значимых рисков низка при осуществлении типовых и несложных хозяйственных операций, поскольку им присущи более низкие неотъемлемые риски. Значимые риски, как правило, имеют отношение к нетипичным хозяйственным операциям, а также к числовым показателям, требующим от учетного персонала специальных знаний. На риски существенного искажения информации могут указывать следующие условия и события6:
1 Операции в регионах, которые являются экономически нестабильными.
2 Операции, зависящие от неустойчивых рынков, например, фьючерсная торговля.
3 Высокий уровень сложности нормативного регулирования.
4 Вопросы, связанные с непрерывностью деятельности и ликвидностью, например, в случае потери аудируемым лицом важных клиентов.
5 Ограничения возможностей аудируемого лица по привлечению средств.
6 Перемещение хозяйственной деятельности в новые регионы.
7 Такие изменения в деятельности аудируемого лица, как крупные приобретения или реорганизация.
8 Предполагаемые продажи хозяйственных или географических сегментов деятельности.
9 Сложные схемы объединения или совместной деятельности.
10 Нехватка персонала с надлежащими навыками ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности.
11 Изменения, связанные с основным управленческим персоналом, включая увольнение руководителей.
12 Изменения в информационных системах.
13 Искажения, допущенные в предыдущие периоды, значительный объем корректировок в конце отчетного периода.
Перечень данных примеров может быть существенно расширен.