"Методические рекомендации по оценке рисков при проведении аудита эффективности" (утв. Коллегией Счетной палаты РФ, протокол от 19.07.2022 N 49К (1574)) (вместе с "Примерным запросом объекту аудита (контроля)") (ред. от 05.12.2023)

СЧЕТНАЯ ПАЛАТА РОССИЙСКОЙ ФЕДЕРАЦИИ

Утверждены

Коллегией Счетной палаты

Российской Федерации

протокол

от 19 июля 2022 г. N 49К (1574)

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

ПО ОЦЕНКЕ РИСКОВ ПРИ ПРОВЕДЕНИИ АУДИТА ЭФФЕКТИВНОСТИ

(с изменениями, утвержденными Коллегией Счетной палаты

Российской Федерации, протокол от 05.12.2023 N 71К (1676))

Общие сведения

1. РАЗРАБОТАНЫ Департаментом исследований и методологии аппарата Счетной палаты Российской Федерации.

2. ДАТА ВСТУПЛЕНИЯ В СИЛУ: 19 июля 2022 года.

3. РАЗРАБОТАНЫ ВПЕРВЫЕ.

1. Общие положения

1.1. Методические рекомендации по оценке рисков при проведении аудита эффективности (далее - Методические рекомендации) разработаны для определения методов и описания процедур оценки рисков при проведении контрольных и экспертно-аналитических мероприятий с применением аудита эффективности (далее - мероприятия).

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

1.2. Задачами Методических рекомендаций являются:

описание предмета аудита (контроля), предполагающего оценку риска;

определение особенностей рисков объектов аудита (контроля) и области рисков <1>;

--------------------------------

<1> Под областью риска понимается область в сфере социально-экономического развития Российской Федерации и (или) в сфере деятельности объектов аудита (контроля), в границах которой тенденции, процессы, прочие явления характеризуются наличием одного риска или нескольких рисков.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

описание процедуры оценки рисков при проведении мероприятий;

определение методов оценки рисков и особенностей их применения;

определение порядка документирования результатов оценки рисков;

описание общих подходов к формулированию предложений (рекомендаций) по управлению рисками в адрес объектов аудита (контроля) и заинтересованных сторон <2>, подготавливаемых по итогам мероприятий, предусматривающих оценку рисков.

--------------------------------

<2> Под заинтересованными сторонами в соответствии с пунктом 7 раздела 2 Концепции риск-ориентированного подхода в Счетной палате Российской Федерации понимаются физические или юридические лица, государственные и иные органы, организации, которые активно влияют или могут влиять на деятельность объекта аудита (контроля), области рисков и (или) интересы (цели) которых затрагиваются или могут быть затронуты (с точки зрения выгод или потерь) в ходе деятельности объекта аудита (контроля) или под воздействием рисков из областей рисков.

1.3. Методические рекомендации разработаны в соответствии с Федеральным законом от 5 апреля 2013 г. N 41-ФЗ "О Счетной палате Российской Федерации" (далее - Федеральный закон N 41-ФЗ, Счетная палата), Федеральным законом от 28 июня 2014 г. N 172-ФЗ "О стратегическом планировании в Российской Федерации", Основами государственной политики в сфере стратегического планирования в Российской Федерации, утвержденными Указом Президента Российской Федерации от 8 ноября 2021 г. N 633, Концепцией риск-ориентированного подхода в Счетной палате Российской Федерации, утвержденной решением Коллегии Счетной палаты (протокол от 22 июня 2021 г. N 44К (1487), стандартом внешнего государственного аудита (контроля) СГА 101 "Общие правила проведения контрольного мероприятия", стандартом внешнего государственного аудита (контроля) СГА 102 "Общие правила проведения экспертно-аналитических мероприятий", стандартом внешнего государственного аудита (контроля) СГА 104 "Аудит эффективности" (далее - СГА 104), а также с учетом профессиональных документов ИНТОСАИ <3> и государственных стандартов <4>.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

--------------------------------

<3> ISSAI 100 "Основополагающие принципы аудита государственного сектора", GUID 9020 "Руководство по оценке государственных политик", GUID 3910 "Основные концепции аудита достижения результатов", с использованием ISSAI 300 "Основополагающие принципы аудита достижения результатов", ISSAI 3000 "Стандарт аудита достижения результатов", GUID 3920 "Процесс аудита достижения результатов".

<4> ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска", ГОСТ Р 51897-2021 "Менеджмент риска. Термины и определения".

1.4. Методические рекомендации предназначены для использования членами Коллегии Счетной палаты, участниками мероприятий и иными сотрудниками Счетной палаты.

2. Термины и определения

Для целей Методических рекомендаций используются следующие термины и определения:

1) идентификация риска - процесс выявления и описания рисков, способных оказать влияние на достижение запланированных результатов деятельности объекта аудита (контроля);

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

2) анализ риска - исследование причин, факторов, источников риска и последствий реализации риска, средств контроля, мер по управлению риском и результатов таких мер;

3) оценивание рисков - определение рейтинга <5> и значимости <6> рисков путем определения вероятности, влияния и управляемости риска;

--------------------------------

<5> Под рейтингом рисков в соответствии с пунктом 12 раздела 2 Концепции риск-ориентированного подхода в Счетной палате Российской Федерации понимается определение места отдельного оцененного риска, в том числе агрегированного, объектов аудита (контроля) или областей риска относительно иных рисков.

<6> См. пункт 5.4.1 Методических рекомендаций.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

4) событие - возникновение или изменение специфического набора условий, которые могут оказать потенциальное влияние на достижение запланированных результатов объекта аудита (контроля) и привести к определенным последствиям. Опасное событие - событие, которое в случае наступления оказывает негативное влияние на достижение запланированных результатов объекта аудита (контроля);

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

5) реестр рисков - табличная форма представления информации об идентифицированных рисках (приложение N 1 к Методическим рекомендациям);

6) управляемые риски - риски, на факторы которых может повлиять объект аудита (контроля) или заинтересованные стороны;

7) неуправляемые риски - риски, факторы которых напрямую не находятся в сфере влияния объекта аудита (контроля), заинтересованных сторон <7>;

--------------------------------

<7> Неуправляемые риски, идентифицируемые в процессе оценки рисков, также необходимо вносить в формируемый в ходе проведения мероприятия реестр рисков в целях их дальнейшего анализа и последующего мониторинга.

8) вероятность риска - характеристика возможности реализации риска;

9) влияние риска - характеристика величины возможных потерь, связанных с возникновением препятствий для достижения запланированных результатов, в случае реализации риска;

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

10) управляемость риска - характеристика возможности воздействовать на факторы риска со стороны объекта аудита (контроля) и (или) заинтересованных сторон;

11) подходы (стратегии) управления рисками - способы реагирования на риск, при необходимости направленные на доведение рейтинга оцененных рисков до приемлемых для объекта аудита (контроля) значений (характеристик) <8>;

--------------------------------

<8> В случае установления объектом аудита (контроля) лимита по риску значения характеристик влияния и вероятности риска предусматриваются в пределах установленного лимита.

12) матрица оценки рисков - инструмент графического представления оцененных рисков;

13) качественное оценивание рисков - анализ идентифицированных рисков в разрезе критериев вероятности и влияния и (или) значимости и управляемости с применением качественных методов оценки рисков;

14) количественное оценивание рисков - численное определение рейтинга отдельного риска и (или) агрегированного риска.

3. Сущность и принадлежность риска, особенности предмета

аудита (контроля), предполагающего оценку рисков

3.1. Объекты аудита (контроля) находятся под влиянием множества воздействующих на них обстоятельств, причем это одинаково актуально как для постоянно функционирующих органов и организаций, например, министерств, государственных корпораций, отдельных компаний, так и временных органов, например, ведомственных проектных офисов, формируемых для организации проектной деятельности <9>.

--------------------------------

<9> В соответствии с пунктом 8 Положения об организации проектной деятельности в Правительстве Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 31 октября 2018 г. N 1288.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

3.2. Управление программами <10>, проектами <11>, комплексами процессных мероприятий (далее - процессы) <12> без управления рисками ставит под угрозу достижение результатов, а в случае реализации рисков приводит к необходимости нести дополнительные затраты на устранение или компенсацию последствий. Оценка рисков позволяет учитывать, в какой степени обстоятельства могут оказать влияние на достижение результатов объектами аудита (контроля), на основании чего заблаговременно принять меры, чтобы снизить вероятность, влияние рисков и (или) смягчить последствия реализации рисков.

--------------------------------

<10> Под программами понимаются государственные программы Российской Федерации, указанные в пункте 3 Положения о системе управления государственными программами Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 26 мая 2021 г. N 786.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

<11> Под проектом в соответствии с пунктом 5 Положения об организации проектной деятельности в Правительстве Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 31 октября 2018 г. N 1288, понимается комплекс взаимосвязанных мероприятий, направленных на получение уникальных результатов в условиях временных и ресурсных ограничений (национальный проект, федеральный проект, ведомственный проект, региональный проект).

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

<12> В соответствии с пунктом 25 Методических рекомендаций по разработке и реализации государственных программ Российской Федерации, утвержденных приказом Минэкономразвития России от 17 августа 2021 г. N 500, комплекс процессных мероприятий представляет собой группу скоординированных мероприятий (результатов), имеющих общую целевую ориентацию и направленных на выполнение функций и решение текущих задач федеральных органов исполнительной власти или иных государственных органов, организаций, соответствующих положениям (уставам, законам) о таких федеральных органах исполнительной власти или иных государственных органах, организациях.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

3.3. Управление ресурсами <13> также может находиться под риском. В целях поддержания или повышения эффективности использования ресурсов объектам аудита (контроля) необходимо стремиться к тому, чтобы внутриорганизационные процессы предусматривали мониторинг и оценку рисков неэкономного и (или) нерезультативного использования <14> ресурсов.

--------------------------------

<13> Под ресурсами понимаются федеральные и иные ресурсы. Согласно разделу 1.2 СГА 104 к федеральным ресурсам относятся средства федерального бюджета, бюджетов государственных внебюджетных фондов Российской Федерации, федеральная собственность, а к иным ресурсам - ресурсы (за исключением федеральных ресурсов), обеспечивающие социально-экономическое развитие Российской Федерации, в отношении которых Счетная палата в пределах своей компетенции осуществляет внешний государственный аудит (контроль) порядка формирования, управления и распоряжения. К иным ресурсам, в частности, относятся финансовые средства, имущество, трудовые, временные и другие ресурсы, используемые объектами аудита (контроля) для достижения непосредственных, конечных результатов и (или) итоговых эффектов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

<14> Согласно статье 34 Бюджетного кодекса Российской Федерации участники бюджетного процесса в рамках установленных им бюджетных полномочий должны исходить из необходимости достижения заданных результатов с использованием наименьшего объема средств (экономности) и (или) достижения наилучшего результата с использованием определенного бюджетом объема средств (результативности).

Риск - это следствие влияния неопределенности на достижение результатов.

(в ред. Протока заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его вероятности и последствий. Реализация риска как возможного события в будущем характеризуется вероятностью. Реализовавшиеся риски также препятствуют достижению плановых значений ожидаемых результатов (индикаторов, показателей) объектов аудита (контроля).

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Факторами риска могут быть:

условия, события и (или) обстоятельства, наблюдаемые во внешней и внутренней среде объекта аудита (контроля);

следствие деятельности и (или) бездействия объекта аудита (контроля) и (или) заинтересованных сторон (вместе - источники риска).

Факторы риска как по отдельности, так и во взаимосвязи способны привести к возникновению риска, изменению вероятности риска и (или) влияния риска на результат и могут стать причиной реализации риска.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Рисунок 1. Схема идентификации рисков.

Под результатами, относительно которых проводится оценка рисков, понимаются результаты предоставления субсидий, результаты реализации отдельных мер государственной политики, результаты закупок товаров, работ, услуг в рамках законодательства о контрактной системе в сфере закупок, иные результаты.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Под результатами реализации программ, проектов и процессов, относительно которых проводится оценка рисков, понимаются результаты в виде непосредственных результатов <16>, конечных результатов <17> и итоговых эффектов <18>.

--------------------------------

<16> В соответствии с абзацем седьмым раздела 1.2 СГА 104 к непосредственным результатам отнесены конкретные продукты (финансовое состояние, события), формируемые (наступающие) вследствие деятельности объектов аудита (контроля) по использованию федеральных и иных ресурсов и возможные для использования выгодоприобретателями.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

<17> В соответствии с абзацем восьмым раздела 1.2 СГА 104 к конечным результатам отнесена совокупность значимых изменений, возникающих у выгодоприобретателей после использования непосредственных результатов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

<18> В соответствии с абзацем девятым раздела 1.2 СГА 104 к итоговым эффектам отнесены средне- и долгосрочные социально-экономические изменения.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

4. Определение особенностей рисков объектов аудита

(контроля) и области рисков

По характеру принадлежности выделяются две категории рисков - риски объекта аудита (контроля) и риски области рисков.

К рискам объекта аудита (контроля) относятся риски недостижения результатов деятельности одного или нескольких объектов аудита (контроля), в том числе по выполнению им (ими) соответствующих задач, функций и полномочий, определенных законодательством Российской Федерации и иными правовыми актами, реализации программ, планов, проектов, процессов, отдельных мер, в том числе действий, связанных с использованием ресурсов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Для целей Методических рекомендаций в рамках оценки рисков объектов аудита (контроля) в том числе анализируются риски органов управления проектной деятельностью, сформированных в составе объектов аудита (контроля) или заинтересованных сторон, в отношении которых Счетная палата вправе осуществлять внешний государственный аудит (контроль), в пределах своих полномочий, установленных законодательством Российской Федерации.

К рискам областей рисков относятся риски в различных сферах социально-экономического развития (внешнеэкономическая, энергетическая, макроэкономическая, демографическая и др.) Российской Федерации, не имеющих непосредственного отношения к конкретным объектам аудита (контроля) и потенциально затрагивающих интересы широкого круга заинтересованных сторон.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Область рисков может входить в сферу деятельности одного или нескольких государственных органов или не входить в сферу деятельности ни одного из них <19>.

--------------------------------

<19> Оценка рисков областей рисков осуществляется для обоснования предложений о включении мероприятий в план работы Счетной палаты на очередной год в процессе планирования деятельности Счетной палаты.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

К рискам, которые могут быть выявлены при планировании и в ходе аудита эффективности, относятся риски достижения результатов, в том числе:

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

риски достижения результатов программы, проекта, одного или нескольких мероприятий программы или проекта (включая конечные результаты и итоговые эффекты);

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

риски реализации мер государственной политики, не предусмотренных в качестве инструмента реализации проекта или программы.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

При планировании и проведении аудита эффективности необходимо учитывать особенности методологии применения данного вида аудита, в частности, то, что оценка (анализ, проверка) эффективности использования ресурсов - это оценка (анализ, проверка) на определенный момент времени. Постепенно достигаемые результаты и затрачиваемые на такие результаты ресурсы могут накапливаться в течение некоторого периода времени. В этой связи к рискам в рамках аудита эффективности относятся риски, приводящие к снижению эффективности использования ресурсов, направляемых на:

получение непосредственных результатов (например, при осуществлении закупки товаров, работ (услуг) и (или) конечных результатов;

реализацию отдельных мер государственной политики;

реализацию комплекса мер, образующих систему управления ресурсами.

Пример идентификации риска по отношению к результату

Результат:

Закупка программного обеспечения (ПО) для специфических задач

Факторы риска:

Низкая квалификация заказчика

Конкуренция на рынке программного обеспечения

Деятельность поставщиков ПО в условиях санкционных ограничений

Требования регулирующих органов к:

поставщикам ПО

квалификации заказчика закупок ПО

особенностям процедур проведения закупок ПО

Причины риска:

Отсутствие знаний рынка ПО, условий приобретения за аналогичную или меньшую стоимость альтернативного программного обеспечения, а также стоимости услуг по сопровождению ПО

Риск:

Приобретение ПО, не соответствующего специфическим задачам (с ненадлежащими характеристиками), по завышенной стоимости

Последствия:

Увеличение бюджетных расходов на закупку и обслуживание ПО

Недостижение непосредственного результата по автоматизации

Отдельные процедура и методы оценки рисков, определенные в Методических рекомендациях, также могут применяться при планировании и проведении аудита соответствия.

(абзац введен Протоколом заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

5. Процедура оценки рисков при проведении мероприятий

Оценка рисков позволяет идентифицировать риски, факторы, причины и источники рисков, проанализировать их и провести оценивание рисков, осуществить ранжирование рисков по степени влияния на запланированные результаты. Также оценка рисков позволяет приоритизировать аудиторские процедуры и планируемые трудозатраты на основании рейтинга рисков путем концентрации временных и иных ресурсов мероприятия на наиболее существенных вопросах аудита (при выборе объектов аудита (контроля), предмета аудита (контроля) или его отдельных аспектов).

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Проведение оценки рисков нацелено на получение и структурирование информации в отношении:

достижения запланированных результатов с учетом рисков;

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

факторов риска, их взаимосвязи (включая слабые стороны в деятельности объекта аудита (контроля);

управляемости риска со стороны объекта аудита (контроля) и (или) заинтересованных сторон в части разработки и выполнения проактивных и реактивных мер по управлению риском (см. подраздел 5.3 Методических рекомендаций).

Оценка рисков способствует комплексному пониманию вероятности получения результатов через указание на возможные факторы, источники, причины и последствия рисков.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Проведение оценки риска может потребовать междисциплинарных знаний, так как риски могут иметь широкий диапазон факторов, источников, причин и последствий, требующих всестороннего изучения. Получение таких знаний может быть организовано в том числе путем привлечения экспертов.

Оценка рисков объектов аудита (контроля) и областей рисков при проведении аудита эффективности включает выполнение следующих последовательных шагов:

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

1) оценка системы управления рисками объекта аудита (контроля);

2) идентификация рисков;

3) анализ идентифицированных рисков, определение источников рисков, установление факторов риска, их возможных причин и последствий;

4) качественное и количественное оценивание рисков.

5.1. Оценка системы управления рисками объекта

аудита (контроля)

Под системой управления рисками (далее - СУР) понимается комплекс принципов, методологий, правил, документов, структур управления и мероприятий по оценке рисков, воздействию на риски, а также по мониторингу и контролю их уровня.

Оценка СУР объекта аудита (контроля) проводится в ходе подготовительного и (или) основного этапа мероприятия посредством исследования процессов, характеризующих уровень организационной зрелости и качества управления в объекте аудита (контроля). Зрелость СУР объекта аудита (контроля) определяется наличием и подтверждением функционирования процессов по управлению рисками достижения результатов, эффективного использования ресурсов <20>.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

--------------------------------

<20> Частью 9 статьи 7 Федерального закона от 28 июня 2014 г. N 172-ФЗ "О стратегическом планировании в Российской Федерации" определен принцип реалистичности стратегического планирования, означающий, что при определении целей и задач социально-экономического развития и обеспечения национальной безопасности Российской Федерации участники стратегического планирования должны исходить из возможности достижения целей и решения задач в установленные сроки, в том числе с учетом рисков.

Согласно пункту 61 Положения о системе управления государственными программами Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 26 мая 2021 г. N 786, контроль за реализацией государственных программ представляет собой комплекс мероприятий по измерению их фактических параметров, а также по выявлению и минимизации рисков недостижения плановых параметров государственных программ.

Согласно пункту 87 Положения об организации проектной деятельности в Правительстве Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 31 октября 2018 г. N 1288, в отчет о ходе реализации национального проекта, отчет о ходе реализации федерального проекта, отчет о ходе реализации ведомственного проекта, информацию о реализации региональных проектов включается достоверная информация о реализации проектов, в том числе информация о рисках реализации проектов и мерах реагирования, направленных на их устранение (минимизацию).

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

В приложении N 6 к Методическим рекомендациям приведена шкала оценки уровня зрелости СУР от нулевого (0) до интеллектуального уровня (4).

При нулевом уровне зрелости СУР объекта аудита (контроля), подтверждаемом отсутствием документов, регламентирующих функционирование СУР, рекомендуется провести оценку рисков в соответствии с Методическими рекомендациями, а также сформулировать по итогам мероприятия при необходимости предложения (рекомендации) о целесообразности разработки программы развития СУР.

Необходимость подготовки предложений (рекомендаций) о целесообразности разработки программы развития СУР оценивается участником мероприятия на основе профессионального суждения, основанного на оценке характера деятельности объекта аудита (контроля), предполагающего, что затраты на создание СУР не будут превышать возможные потери от реализации рисков объекта аудита (контроля), выявленных в ходе проведения мероприятия.

В зависимости от уровня зрелости СУР подготавливаются предложения (рекомендации) объекту аудита (контроля) по совершенствованию СУР с указанием на конкретные проблемы в функционировании СУР, подтверждаемые результатами оценки рисков и актуального уровня зрелости СУР.

5.2. Идентификация рисков

Идентификация рисков осуществляется на подготовительном и (или) основном этапе (этапах) мероприятия и заключается в выявлении и описании участниками мероприятия рисков достижения результатов. Идентификация рисков предполагает определение содержания и характеристик рисков.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

При необходимости для идентификации, определения характеристик рисков и последующего формирования реестра рисков (примерная форма реестра рисков приведена в приложении N 1 к Методическим рекомендациям) в рамках проводимых мероприятий могут привлекаться эксперты, а также представители заинтересованных сторон.

При идентификации рисков изучаются только возможные (вероятные) опасные события в деятельности объектов аудита (контроля) или во внешней среде, которые в случае их наступления приведут к последствиям, влияющим на достижение результатов, например:

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

приведут к недостижению запланированных результатов и (или) невыполнению показателей (индикаторов) программы (проекта, процесса);

приведут к потерям (например, финансовым, имущественным, кадровым и т.д.);

приведут к неэффективному использованию ресурсов (или снижению эффективности использования ресурсов);

приведут к ухудшению инвестиционной привлекательности <21> и (или) нарушат финансовую устойчивость объекта аудита (контроля).

--------------------------------

<21> Например, в ходе аудита государственных компаний, в т.ч. публичных акционерных обществ с государственным участием.

Рисками не являются следующие события:

события, которые уже произошли, происходят на момент идентификации рисков;

события, которые произойдут со стопроцентной вероятностью;

события, последствия которых не влияют на достижение ожидаемых результатов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Проблемные ситуации или негативные события, которые произошли, происходят или произойдут со стопроцентной вероятностью, могут быть:

факторами возникновения новых рисков (необходимо анализировать проблемы и события, которые могут указать на источники и (или) стать фактором, причиной нового риска);

последствиями реализации рисков (необходимо проводить анализ последствий для предотвращения реализации рисков в будущем).

В качестве основы для изучения факторов рисков может использоваться накопленная и обобщенная информация о нарушениях и недостатках системного характера, выявленных у объектов аудита (контроля), а также об их причинах.

5.2.1. Анализ внешней и внутренней среды объекта аудита

(контроля), анализ области риска

Идентификацию рисков и последующую оценку рисков рекомендуется начать с анализа внешней и внутренней среды объекта аудита (контроля), позволяющего определить круг основных источников рисков и охарактеризовать риски, которые могут оказать влияние на достижение результатов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Анализ внешней среды объекта аудита (контроля) предполагает изучение окружающей среды, в которой функционирует объект аудита (контроля), осуществляющий свою деятельность, в т.ч. по реализации проекта и (или) программы, а также изучение социальных, культурных, политических, правовых, финансовых, технологических, экономических и экологических факторов на международном, федеральном, региональном или местном уровнях, а также существующих взаимосвязей с заинтересованными сторонами.

Анализ внутренней среды объекта аудита (контроля) предполагает изучение совокупности его внутренних элементов, позволяющее выявить слабые и сильные стороны объекта аудита (контроля), в том числе предполагает изучение проводимой государственной политики в области деятельности объекта аудита (контроля), бизнес-процессов, а также стандартов, методик и внутренних нормативных документов, принятых объектом аудита (контроля) и заинтересованными сторонами, характера деятельности объекта аудита (контроля), его организационной структуры и т.д.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

При анализе внешней среды рекомендуется применять методы "PESTEL-анализа" для выявления и оценки факторов внешней среды и "ABC-анализа" для определения значимых факторов. При анализе внутренней среды рекомендуется применять методы "SWOT-анализа", "SNW-анализа" и анализа процессов.

Общая схема анализа с применением указанных методов приведена на рисунке 2.

Рисунок 2. Схема применения "PESTEL-анализа", "SNW-анализа", анализа процессов, "ABC-анализа" и "SWOT-анализа".

Методы анализа внешней и внутренней среды ("PESTEL-анализа", "ABC-анализа", "SNW-анализа", "SWOT-анализа", анализа процессов (картирования процессов), а также ретроспективного анализа похожих проблем, анализа "разрывов") и примеры их применения приведены в приложении N 3 к Методическим рекомендациям.

Анализ области риска. Некоторые риски могут выпадать из поля зрения объектов аудита (контроля) по разным причинам. К таким причинам могут относиться, например, незакрепление за ведомствами (нечеткое закрепление или распределение между ведомствами) конкретных функций и полномочий по выработке и реализации государственной политики в отдельной сфере (специфической области риска), недостаточность нормативно-правового регулирования. К областям риска могут относиться, например, кибербезопасность, управление государственным имуществом, управление человеческими ресурсами на государственной службе и другие. Анализ и изучение содержания изменений в таких областях риска способствует более объективному пониманию факторов риска во внешней среде, влияющих на достижение результатов, обеспечение эффективного использования ресурсов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

5.2.2. Процесс идентификации рисков

Идентификация рисков проводится на основе результатов анализа внешней и внутренней среды объекта аудита (контроля). Задача идентификации рисков заключается в определении событий, которые могут негативно повлиять на достижение результатов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Для идентификации рисков в ходе мероприятия могут применяться разные методы идентификации рисков в зависимости от специфики предмета мероприятия <22>.

--------------------------------

<22> В ГОСТ Р 58771-2019 "Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска" описаны и классифицированы технологии (методы) оценки рисков в соответствии с их основным применением при оценке рисков.

К базовым методам идентификации рисков относятся: анализ документов, качественные методы идентификации рисков, включающие структурированные и полуструктурированные интервью, анкетирование экспертов, метод "Дельфи", направленный "мозговой штурм" (риск-сессия), аналитические отчеты, анализ ответов на структурированные запросы, контрольные листы.

Структурированные запросы представляют собой направление объектам аудита (контроля) и заинтересованным сторонам запросов информации с перечислением вопросов, ответы на которые позволяют получить информацию, например, о системе управления рисками, методиках расчета рисков, а также результатов оценки рисков объектом аудита (контроля).

Пример типового запроса объектам аудита (контроля) приведен в приложении N 7 к Методическим рекомендациям.

Подробное описание методов идентификации рисков и примеры их применения приведены в приложении N 4 к Методическим рекомендациям.

5.3. Анализ идентифицированных рисков, определение

источников рисков, установление факторов риска, их возможных

причин и последствий

Анализ идентифицированного риска направлен на углубленное изучение риска, определение факторов, причин и источников рисков. Декомпозиция риска на причины и последствия позволяет детализированно оценить вероятность/влияние и ожидаемые потери (последствия) от реализации риска, а также обнаружить взаимозависимости между рисками, между факторами рисков. Ожидаемые последствия риска могут быть также представлены, как произведение вероятности реализации риска и его влияния (то есть величины отклонения или, например, потери (убытка) при реализации риска).

В качестве базового метода визуализации причинно-следственных связей риска от причин до последствий с учетом проактивных и реактивных мер используется метод "галстук-бабочка".

Общая схема анализа риска с применением данного метода на рисунке 3.

Рисунок 3. Общая схема анализа риска на основе

метода "галстук-бабочка".

Для построения диаграммы "галстук-бабочка" в центре диаграммы указывается название риска, слева от риска - причины и источники (при необходимости) указанного риска, а справа от риска - возможные последствия в случае реализации риска. На диаграмме также рекомендуется разместить проактивные и реактивные меры. Проактивные меры предназначены для снижения вероятности реализации риска и указываются в левой части диаграммы. Реактивные меры предназначены для снижения тяжести последствий в случае реализации риска и указываются в правой части диаграммы. Как правило, определение проактивных и реактивных мер проводится на риск-сессиях (направленных "мозговых штурмах" (см. раздел 2 приложения N 4 к Методическим рекомендациям).

Для более детального анализа идентифицированных рисков рекомендуется использовать модифицированную диаграмму "галстук-бабочка" (рисунок 4), где

ИР - источники рисков;

Р - результаты;

П - плановые значения показателей результатов.

Рисунок 4. Схема анализа риска первого и второго уровня на основе метода "галстук-бабочка".

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Риск первого уровня - риск, особенностями которого может являться описание вероятного масштабного опасного события, вызывающего последствия, негативно влияющие на достижение целей и результатов, что отражается в недостижении плановых значений показателей таких результатов.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Риск второго уровня - риск, особенностями которого может являться описание опасного события, которое либо может стать причиной риска первого уровня, либо способно усилить его влияние. Риски второго уровня выступают риск-факторами к рискам первого уровня.

Последствия, негативно влияющие на достижение результатов, отражаются в недостижении их показателей.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Входными данными для метода "галстук-бабочка" являются идентифицируемые риски первого уровня, а также связанная с ними информация о рисках второго уровня, источниках и последствиях опасных событий, проактивных и реактивных мерах и ключевых индикаторах рисков.

Ключевые индикаторы рисков (КИР) <23> используются для оценки изменения вероятности реализации риска.

--------------------------------

<23> Под ключевыми индикаторами риска в соответствии с пунктом 8 раздела 2 Концепции риск-ориентированного подхода в Счетной палате Российской Федерации понимаются показатели, которые позволяют надлежащим образом измерить риски и (или) дают возможность отслеживать уровни рисков и прогнозировать вероятность реализации рисков и (или) возможные последствия от реализации рисков.

Пример формулировки индикаторов риска по отношению к фактору риска

Риск: снижение обеспеченности квалифицированными кадрами в медицинских учреждениях.

Фактор риска: нехватка необходимых компетенций у медицинских работников и низкий уровень подготовки кадров в медицинских учреждениях.

Индикаторы риска (единицы измерения) по отношению к фактору риска:

1) результаты оценки наличия необходимых компетенций (доля персонала, который соответствует требованиям по необходимым компетенциям, %);

2) закрытие вакансий по плану подбора персонала с требуемыми компетенциями (доля закрытых вакансий по плану подбора персонала, %);

3) разработка и реализация плана повышения квалификации и получения новых компетенций (доля сотрудников, освоивших программы повышения квалификации, %).

В зависимости от конкретного мероприятия руководителем мероприятия может быть принято решение увеличить количество уровней рисков до трех и более. Каждый следующий уровень рисков в этом случае выступает риск-фактором для рисков более высокого уровня. Однако такой подход усложнит анализ идентифицированных рисков.

В отдельных случаях руководителем мероприятия может быть принято решение проводить анализ только рисков первого уровня. В этом случае диаграмма "галстук-бабочка" упрощается:

Рисунок 5. Схема анализа риска первого уровня на основе метода "галстук-бабочка".

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Метод "галстук-бабочка" применяется для анализа рисков на риск-сессиях (направленных "мозговых штурмах"). Процедура применения метода "галстук-бабочка" приводится в разделе 3 приложения N 4 к Методическим рекомендациям.

5.4. Качественное и количественное оценивание рисков

Оценивание рисков включает в себя:

оценку вероятности реализации риска;

оценку влияния риска на результаты;

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

оценку управляемости риска;

обобщение результатов оценивания риска.

При оценке вероятности реализации риска и влияния риска на результаты могут применяться качественный и (или) количественный подходы.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Выбор подхода к оцениванию рисков зависит от доступности и надежности располагаемых данных, зрелости СУР, профессиональной компетентности и навыков участников мероприятия и иных сотрудников Счетной палаты, задействованных в процессе оценки и управления рисками в объекте аудита (контроля).

В рамках отдельных мероприятий в отношении объектов аудита (контроля), СУР которых предусматривает необходимость применения методов количественной оценки рисков (например, государственные компании или корпорации, уставные цели которых предусматривают в т.ч. извлечение прибыли), при оценивании рисков и оценки уровня зрелости СУР могут учитываться показатели емкости риска, "риск-аппетита" и лимиты рисков (см. приложение N 8 к Методическим рекомендациям).

5.4.1. Качественное оценивание рисков

Качественное оценивание рисков представляет собой анализ идентифицированных рисков в разрезе вероятности, влияния и управляемости рисков. При этом качественная оценка:

проводится при первичном оценивании рисков и позволяет быстро приоритизировать риски ("отсеять" незначимые риски и выделить наиболее значимые риски);

используется в качестве ключевого инструмента при отсутствии количественной статистики по рискам.

Качественное оценивание рисков может проводиться путем проведения риск-сессии с участниками мероприятия и при необходимости привлеченными экспертами в целях:

1) оценки вероятности реализации риска (с применением балльной оценки);

2) оценки влияния рисков на результаты (с применением балльной оценки);

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

3) определения рейтинга рисков, а также значимости риска, рассчитываемой путем перемножения балльных оценок вероятности и влияния риска, а также ранжирования рисков;

4) оценки управляемости риска (с применением балльной оценки).

Качественная оценка рисков при одноуровневом и двухуровневом анализе рисков несколько отличается. Оценка при многоуровневом анализе рисков состоит из следующих этапов:

На первом этапе осуществляется оценка значимости и управляемости рисков первого уровня.

На втором этапе осуществляется оценка значимости и управляемости рисков второго уровня. Цель оценки - выделить наиболее значимые факторы для рисков первого уровня. Эти значимые факторы далее используются в качестве независимых переменных при количественной оценке рисков. Незначимые факторы рисков из дальнейшей оценки рисков исключаются.

При одноуровневой оценке выполняется только первый этап.

По результатам качественного оценивания рисков разрабатываются предложения (рекомендации) объектам аудита (контроля) относительно дальнейших методов воздействия на риск. Результаты качественной оценки отображаются в картах рисков (матрица "вероятность/влияние" и матрица "значимость/управляемость") и документируются в реестре рисков, которые входят в рабочую документацию мероприятия.

Матрица оценки рисков "вероятность/влияние"

Вероятность реализации риска оценивается в соответствии с уровнями вероятности по 5-балльной шкале (1 - очень низкая, 2 - низкая, 3 - средняя, 4 - высокая, 5 - очень высокая). Результаты оценки вероятности риска сопоставляются с диапазонами шкалы оценки и в зависимости от этого вероятности риска присваивается балльная оценка. Границы диапазонов шкалы оценки вероятности определяются с учетом "риск-аппетита", а также характеристик и масштабов деятельности, временного горизонта анализа. Также принимается во внимание степень изменчивости внутренней и внешней среды объекта аудита (контроля). В таблице ниже приведен пример балльной шкалы оценки уровней вероятности реализации рисков.

Пример шкалы экспертной оценки уровней вероятности риска <24> для процесса (производственного, любого иного), основанного на частоте реализации риска.

--------------------------------

<24> Шкала экспертной оценки вероятности события риска может разрабатываться не только для экспертной оценки на основе анализа ранее реализовавшихся событий рисков, т.е. участник мероприятия, иной сотрудник Счетной палаты либо эксперт может выражать мнение, которое не обязательно основано на событиях рисков в прошлом.

--------------------------------

<*> Под горизонтом риска (временным горизонтом риска) понимается временная характеристика удаленности реализации события риска от даты идентификации/оценки/актуализации.

Уровень влияния рисков оценивается в соответствии с 5-балльной шкалой (1 - очень низкая, 2 - низкая, 3 - средняя, 4 - высокая, 5 - очень высокая). Результаты оценки уровня влияния риска сопоставляются с диапазонами шкалы оценки. В зависимости от этого уровню влияния риска присваивается балльная оценка. Точно также, как и для определения вероятности риска, границы диапазонов шкалы оценки влияния определяются с учетом "риск-аппетита", характеристик и масштабов деятельности объекта аудита (контроля), временного горизонта анализа, а также степени изменчивости внутренней и внешней среды объекта аудита (контроля). Ниже приведены примеры интерпретации балльной шкалы оценки уровней влияния рисков.

Примеры

Пример N 1 - шкала экспертной оценки влияния риска <25>.

--------------------------------

<25> Шкала экспертной оценки вероятности риска может разрабатываться не только для экспертной оценки на основе анализа именно ранее реализовавшихся рисков, т.е. участник мероприятия, иной сотрудник Счетной палаты либо эксперт может выражать мнение, которое не обязательно основано на событиях рисков в прошлом.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Пример N 2 - Интерпретация уровней влияния рисков.

--------------------------------

<*> Последствия зависят от масштаба и специфики деятельности объекта аудита (контроля). Значения и характеристики, приведенные в таблице, являются примерными.

По результатам оценки вероятности реализации риска и влияния риска на результаты определяется рейтинг риска и соответственно значимость риска путем перемножения баллов вероятности и влияния,

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

RR = PQ * MQ

где RR - рейтинг риска (используется в матрице рисков),

PQ - балльная оценка вероятности реализации рисков,

MQ - балльная оценка влияния рисков.

Пример вычисления рейтинга риска

Риск: загрязнение окружающей среды выше установленных норм.

На риск-сессии эксперты оценили вероятность реализации идентифицированного риска как высокий (4 балла), а влияние как очень высокое (5 баллов).

PQ = 4 балла

MQ = 5 баллов

RR = PQ * MQ = 4 * 5 = 20

Таким образом, рейтинг идентифицированного риска равен 20

Значимость рисков графически отображается в виде матрицы оценки рисков "вероятность/влияние".

Матрица оценки рисков "вероятность/влияние"

где

Полученные оценки вероятности реализации рисков и влияния рисков на запланированные результаты, а также значимость рисков документируются в реестре рисков в разделе "качественное оценивание риска".

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Пример оценки вероятности и влияния на риск и определения значимости риска.

В ходе оценки рисков достижения результатов федерального проекта (далее - ФП) в рамках экспертно-аналитического мероприятия участником мероприятия установлены следующие предпосылки для оценки рисков:

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

риск N 1 является наименее вероятным из всех и его влияние оценивается как "среднее";

риск N 2 является частым, но ожидается что риск не реализуется в будущем. Ожидаемые последствия риска также оцениваются чуть ниже среднего;

риск N 3 является постоянным, однако оказывающим наименьшее влияние на достижение плановых значений ФП;

риск N 4 наименее вероятен, однако его влияние на достижение плановых значений ФП существенно;

риск N 5 является частым и наиболее ожидаемым из всех. Его влияние на достижение плановых значений ФП также оценивается как максимальное.

В ходе мероприятия были присвоены следующие баллы вероятности и влияния для идентифицированных рисков.

Риски отображаются на матрице "вероятность/влияние" следующим образом:

После оценки значимости рисков и соответственно определения рейтинга рисков участник мероприятия переходит к оценке управляемости рисков, необходимой для разработки рекомендации объекту аудита (контроля).

Матрица оценки рисков "значимость/управляемость"

Матрица оценки рисков "значимость/управляемость" позволяет определить подходы (стратегии) и первоочередность мер по управлению рисками, поэтому является ключевым инструментом в ходе мероприятия для разработки предложений (рекомендаций) по управлению рисками в адрес объектов аудита (контроля).

Управляемость риском оценивается в соответствии с трехбалльной шкалой (1 - низкая управляемость, 2 - средняя управляемость, 3 - высокая управляемость). Ниже приведен пример интерпретации балльной шкалы оценки уровней управляемости рисков.

Пример шкалы экспертной оценки уровней управляемости рисков.

По результатам комбинации оценки управляемости и значимости рисков (полученной ранее) определяются приоритетные подходы (стратегии) управления рисками, направленные на изменение рейтинга риска и уровня остаточного риска. Под остаточным риском понимается уровень риска, оставшийся по итогам принятых мер по управлению риском.

Результаты оценки управляемости и значимости рисков графически отображаются в матрице оценки рисков "значимость/управляемость".

Матрица оценки рисков "значимость/управляемость"

В зависимости от подхода (стратегии) управления рисками, представленного в матрице оценки рисков "значимость/управляемость", при разработке предложений (рекомендаций) объекта аудита (контроля) участники мероприятия могут руководствоваться таблицей, приведенной ниже.

Подход (стратегия) управления рисками определяется объектом аудита (контроля). Участник мероприятия может сделать свой выбор подхода (стратегии) управления в отношении конкретного риска объекта аудита (контроля) и сравнить с выбором, который сделал объект аудита (контроля). В случае расхождения выбора участнику мероприятия необходимо обосновать свой выбор в отчете по итогам мероприятия.

Пример оценки управляемости рисков и определения подхода

(стратегии) управления рисками.

В ходе оценки рисков достижения результатов ФП в рамках экспертно-аналитического мероприятия участником мероприятия установлены следующие предпосылки для оценки рисков:

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

риск N 1 является наименее вероятным из всех и его влияние оценивается как "среднее". Также риск N 1 является наименее управляемым и находится вне сферы влияния объекта аудита (контроля);

риск N 2 является частым, но ожидается, что риск не реализуется в будущем. Ожидаемые последствия риска также оцениваются чуть ниже среднего. Риск со средней управляемостью;

риск N 3 является постоянным, однако оказывающим наименьшее влияние. Риск со средней управляемостью;

риск N 4 наименее вероятен, однако его влияние на проект существенно. Риск полностью управляемый;

риск N 5 является частым и его влияние на проект оценивается как максимальное. Прошлые мероприятия продемонстрировали его среднюю, близкую к низкой управляемость.

В ходе мероприятия были присвоены следующие баллы вероятности и влияния для идентифицированных рисков, а также определена управляемость рисками.

Риски отображаются на матрице оценки риска "значимость/управляемость" следующим образом:

На основании полученных оценок рейтингов рисков участник мероприятия может сформулировать рекомендации по управлению выявленными рисками.

Выбор подхода (стратегии) управления рисками и подготовка предложений (рекомендаций) в адрес объектов аудита (контроля) и заинтересованных сторон проводится на заключительном этапе мероприятия в процессе подготовки отчета по итогам мероприятия. Предложения (рекомендации) необходимо подготовить в отношении рисков, у которых значимость определена как "критический" и "существенный".

5.4.2. Количественное оценивание рисков

Количественное оценивание риска позволяет численно оценить риск, например, в виде математического ожидания потери ("ожидаемые потери"), среднеквадратического отклонения показателей объекта аудита (контроля) от плановых либо в виде функции распределения возможных значений показателей объекта аудита (контроля). Например, оценка ожидаемых потерь может быть сделана в случае реализации отдельного риска. Для расчета ожидаемых потерь в случае реализации отдельного риска используется следующее базовое соотношение:

где EL - ожидаемые потери в количественном выражении;

P - вероятность реализации риска (или частота реализации неблагоприятного события);

Lj - потери по видам в стоимостном выражении (финансовые, юридические, репутационные и т.п.);

j - виды потерь;

Pj - резервы по виду потерь или иные смягчающие обстоятельства.

Методы количественной оценки рисков могут включать:

1. Статистические методы, в соответствии с которыми оценка вероятности реализации случайного события и объема потерь происходит исходя из относительной частоты появлений данного события в серии наблюдений, а также величины произошедших потерь за период.

2. Расчетно-аналитические методы, позволяющие строить эконометрические модели изучаемых рисков и проводить теоретические оценки отклонений результатов от запланированных. К числу таких методов относят регрессионные модели, метод "Монте-Карло" и другие.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

3. Экспертные методы. В этом случае величины составляющих формул, приведенных в пункте 5.4.2 Методических рекомендаций, определяются с помощью экспертных оценок. К числу таких методов относят метод "дерево событий" (включающий применение метода "галстук-бабочка" с наложением "дерева событий") и другие.

Описание отдельных методов количественной оценки рисков и примеров их применения приводится в приложении N 5 к Методическим рекомендациям.

6. Документирование результатов оценки рисков

6.1. Результаты оценки рисков объектов аудита (контроля) и областей рисков при проведении аудита эффективности включаются в состав рабочей документации мероприятия, разрабатываемой в соответствии с методическим документом Счетной палаты по формированию рабочей документации.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

6.2. Типовые шаблоны (формы) рабочей документации, включающие форму запроса информации, опросного листа, а также электронные преднастроенные формы для выполнения расчетов по оценке рисков с примерами их заполнения, разрабатываются и актуализируются Департаментом исследований и методологии и размещаются по ссылке <26>.

--------------------------------

<26> https://cloud.ach.gov.ru/s/xe35RcrdGcKwNmk

7. Общие подходы к формулированию предложений

(рекомендаций) по управлению рисками в адрес объектов аудита

(контроля) и заинтересованных сторон

В отчет о результатах мероприятия включаются итоги оценки рисков, системы управления рисками, обоснованные выводы и предложения (рекомендации) в адрес объектов аудита (контроля) и заинтересованных сторон.

По итогам оценки рисков вырабатываются необходимые предложения (рекомендации) в адрес объектов аудита (контроля), иных органов и организаций, к полномочиям и ответственности которых относится достижение запланированных результатов, относительно которых проводится оценка рисков. Предложения (рекомендации) формулируются исходя из необходимости учета факторов риска, управления риском, совершенствования системы управления рисками и (или) оптимизации расходов на выполнение мероприятий по управлению рисками, воздействия на источники риска.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

При формулировании предложений (рекомендаций) целесообразно обращать внимание на наиболее значимые риски, то есть на те риски, которые существенно влияют на результаты и характеризуются высоким влиянием и высокой вероятностью реализации. Также возможно, что в фокус внимания могут попасть и иные риски, например, связанные с повышенной опасностью для целевых групп граждан и организаций.

(в ред. Протокола заседания Коллегии Счетной палаты РФ от 05.12.2023 N 71К (1676))

Приложение N 1

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

Реестр рисков (примерная форма)

Приложение N 2

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

ПЕРЕЧЕНЬ МЕТОДОВ ИДЕНТИФИКАЦИИ И АНАЛИЗА РИСКОВ

Приложение N 3

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

МЕТОДЫ АНАЛИЗА ВНЕШНЕЙ И ВНУТРЕННЕЙ СРЕДЫ

1. Методика проведения "PESTEL-анализ" для выявления

и оценки факторов внешней среды

"PESTEL-анализ" - метод, позволяющий выявить и оценить факторы внешней среды по шести категориям: политические <1> (P), экономические (E), социальные (S), технологические (T), экологические (E) и правовые (L).

--------------------------------

<1> К политическим факторам, рассматриваемым для оценки рисков достижения результатов, относится выработка и реализация уполномоченными федеральными органами исполнительной власти и иными государственными органами государственной политики в соответствующей сфере деятельности, а также выработка и реализация денежно-кредитной политики Банком России. Оценка политических факторов с применением Методических рекомендаций проводится с учетом ограничений, определенных частью 4 статьи 24 Федерального закона от 5 апреля 2013 г. N 41-ФЗ "О Счетной палате Российской Федерации".

"PESTEL-анализ" проводится в целях оценки и ранжирования факторов риска во внешней среде по степени воздействия на достижение результатов и представляет собой процесс заполнения таблицы, в которой последовательно рассматриваются все выявляемые факторы риска.

"PESTEL-анализ" рекомендуется проводить посредством "мозгового штурма <2>" на специально организуемой риск-сессии по выявлению и составлению списка факторов риска. Риск-сессии рекомендуется проводить с участием экспертов в рассматриваемой предметной области.

--------------------------------

<2> "Мозговой штурм" основывается на генерировании участниками риск-сессии максимального числа возможных идей и проблем по рассматриваемой проблематике. После того как все варианты озвучены, участники риск-сессии путем голосования выбирают те из них, которые, по их мнению, наиболее удачны и релевантны. Подробнее в разделе 2 приложения N 3 к Методическим рекомендациям.

Последовательность шагов для проведения "PESTEL-анализа":

На первом шаге определяются факторы, которые могут повлиять на достижение результатов, в каждой из шести категорий факторов риска. Выявленные факторы отражаются в таблице.

На втором шаге оценивается степень влияния каждого фактора риска на запланированные результаты и степень изменения фактора риска во времени (в случае, например, если фактор на момент оценки является неактивным или возможно изменение состояния фактора в ближайшие 3 - 5 лет).

Оценка степени влияния каждого фактора на запланированные результаты проводится экспертно с применением следующей шкалы.

Оценка степени изменения фактора риска во времени проводится экспертно с применением следующей шкалы.

На третьем шаге оценивается:

1) значимость каждого фактора риска как произведение степени воздействия фактора риска и степени изменения фактора риска во времени;

2) взвешенное влияние каждого фактора как частное (выраженное в процентах) значимости каждого фактора от общей суммы оценок значимости всех выявленных факторов.

Оценка значимости каждого фактора (Ci) определяется как произведение степени воздействия фактора (Bi) на степень изменения фактора риска во времени (Oi):

Ci = Bi * Oi

Затем вычисляется оценка взвешенного воздействия каждого фактора (BCi) как частное (выраженное в процентах) от значимости фактора от общей суммы оценок значимости всех выявленных факторов:

На четвертом шаге приоритизируются факторы рисков по степени значимости в зависимости от полученных оценок взвешенного влияния факторов. Для этого может быть использован "ABC-анализ".

При дальнейшей идентификации рисков внимание фокусируется только на событиях из приоритетных областей факторов риска.

В дополнение к определению факторов (проблемных областей) внешней среды для объектов аудита (контроля) или областей риска рекомендуется определить возможности, которые будут способствовать достижению результатов. В этом случае методика "PESTEL-анализа" используется не для факторов (проблемных областей), а для возможностей (отрицательные отклонения от запланированных результатов в этом случае заменяются на положительные).

2. Методика проведения "ABC-анализ" для классификации

факторов внешней или внутренней среды

"ABC-анализ" - метод, который классифицирует факторы внешней и внутренней среды на три категории:

(A) наиболее значимые (важные);

(B) со средней значимостью (промежуточные);

(C) наименее значимые.

В рамках "ABC-анализ":

На первом шаге факторы риска ранжируются по степени взвешенного влияния (от факторов риска с наибольшим влиянием до факторов риска с наименьшим влиянием).

На втором шаге отбираются 20% факторов общего числа факторов риска, обладающих наиболее высокими значениями взвешенного влияния (например, из 25 факторов отбираются 5 с наибольшей величиной влияния), - это наиболее значимые факторы (A), а также следующие 20% факторов общего числа факторов по степени влияния ("промежуточная область") - факторы со средней значимостью (B).

Результаты ранжирования заносятся в таблицу.

На третьем шаге отобранные наиболее значимые факторы используются для дальнейшего анализа в целях уточнения и детализации факторов рисков. При этом факторы из промежуточной области "B" могут использоваться для анализа при профессиональном суждении о том, что среди них могут быть новые или развивающиеся факторы рисков. Факторы из области "C" (60% общего числа факторов с наименьшей величиной влияния) далее не анализируются.

3. Методика анализа внутренней среды ("SNW-анализ")

Для анализа внутренней среды рекомендуется применять "SNW-анализ", позволяющий оценить характеристики внутренней среды организации объекта аудита (контроля) в трех проекциях:

Сильные стороны объекта аудита (контроля) - характеристики внутренней среды, которые способны обеспечить устойчивость достижения результатов по отношению к негативным внешним воздействиям (например, из числа факторов риска, выявленных в ходе выполнения "PESTEL-анализа") и создают предпосылки для компенсации влияния факторов риска.

Нейтральные стороны объекта аудита (контроля) - характеристики внутренней среды объекта аудита (контроля), которые полностью соответствуют регуляторным и законодательным нормам (требованиям), а также операционным стандартам деятельности.

Слабые стороны объекта аудита (контроля) - характеристики внутренней среды, которые являются слабыми и узкими для объекта аудита (контроля), могут препятствовать достижению результатов, операционным стандартам деятельности. В случае реализации негативных внешних воздействий, в том числе выявленных в результате "PESTEL-анализа", эти характеристики объекта аудита (контроля) могут быть подвержены отрицательному влиянию в первую очередь и, возможно, усугубят влияние внешних воздействий на объект аудита (контроля), что, в свою очередь, увеличит масштаб отрицательных отклонений от запланированных результатов.

"SNW-анализ" концентрируется на анализе именно внутренних характеристик, включающих организационные, кадровые, технические, технологические и прочие условия работы, и представляет собой результат принятия управленческих решений объектом аудита (контроля).

В дополнение к оценке "проблемных" характеристик внутренней среды объекта аудита (контроля), "SNW-анализ" позволяет решить следующие задачи:

а) определить баланс между сильными и слабыми сторонами объекта аудита (контроля);

б) сформулировать возможные предложения (рекомендации) объекту аудита (контроля) по сохранению его сильных сторон и их дополнительному усилению, либо по устранению слабых сторон и переводу их в нейтральные стороны;

в) оценить возможности превращения нейтральных сторон в слабые стороны в случае возникновения во внешней среде новых и развивающихся рисков.

"SNW-анализ" также может быть дополнен "ABC-анализом" для ранжирования слабых сторон объекта аудита (контроля) и выявления наиболее значимых (важных) из них. В этом случае при дальнейшей идентификации факторов риска, связанных с внутренней средой объекта аудита (контроля), рекомендуется определять их только среди слабых сторон, попавших в перечень наиболее значимых (важных).

"SNW-анализ" осуществляется в следующей последовательности:

На первом шаге определяется перечень основных характеристик внутренней среды объекта аудита (контроля), которые необходимы для достижения им результатов.

На втором шаге выявленные характеристики внутренней среды объекта аудита (контроля) заносятся в таблицу. Для каждой характеристики осуществляется экспертная оценка на предмет сильной, нейтральной или слабой сторон объекта аудита (контроля).

На третьем шаге для слабых сторон проводится экспертная оценка степени их влияния на достижение результатов по шкале от 1 до 5 (CCi).

На четвертом шаге оценки степени влияния слабых сторон объекта аудита (контроля) на достижение и запланированных результатов могут быть скорректированы в меньшую сторону за счет возможного компенсирующего влияния сильных сторон (с указанием какие именно сильные стороны будут способствовать этому).

На пятом шаге так же, как и при применении метода "PESTEL-анализа", вычисляется оценка взвешенного влияния каждой слабой стороны (BCCi) как частное степени влияния с учетом компенсирующего влияния каждого фактора от общей суммы оценок степени влияния всех выявленных характеристик внутренней среды:

Для документирования результатов "SNW-анализа" используется следующая таблица.

Так же, как и в случае применения "PESTEL-анализа", "SNW-анализ" может быть дополнен "ABC-анализом" для ранжирования слабых сторон и выявления наиболее значимых (важных) из них. В этом случае при дальнейшей идентификации факторов рисков, связанных с внутренней средой объекта аудита (контроля), участнику мероприятия рекомендуется определять их только среди слабых сторон, попавших в перечень наиболее значимых (важных).

4. Методика систематизации факторов внутренней и внешней

среды ("SWOT-анализ")

Для упрощения идентификации рисков и разработки возможных предложений (рекомендаций) объектам аудита (контроля) рекомендуется использовать "SWOT-анализ", который объединяет в себе результаты "PESTEL-анализа" (анализа факторов риска и возможностей) и "SNW-анализ" (анализа сильных и слабых сторон), а также "ABC-анализ".

"SWOT-анализ" нацелен на систематизацию факторов внутренней и внешней среды объекта аудита (контроля).

Так, в рамках "SWOT-анализ" систематизируются:

сильные стороны внутренней среды (S) - по результатам "SNW-анализ";

слабые стороны внутренней среды (W) - по результатам "SNW-анализ";

возможности во внешней среде (O) - по результатам "PESTEL-анализ" возможностей;

угрозы (факторы риска) во внешней среде (T) - по результатам "PESTEL-анализ" факторов риска.

Для проведения "SWOT-анализ" используется следующая последовательность шагов.

На первом шаге систематизируются S, W, O, T компоненты, полученные в результате "PESTEL-анализ", "SNW-анализ" и "ABC-анализ".

На втором шаге по результатам применения "ABC-анализ" оставляются только компоненты, признанные наиболее значимыми, также могут быть добавлены отдельные компоненты, обладающие средней значимостью.

На третьем шаге заполняется матрица "SWOT-анализ".

На четвертом шаге по результатам данной систематизации определяется перечень наиболее значимых факторов рисков, обусловленных текущим состоянием внутренней и внешней среды объекта аудита (контроля)/проекта и динамикой ее изменений, в рамках которых должны быть идентифицированы риски. Также по итогам формируется понимание участником мероприятия сильных сторон и возможностей объекта аудита (контроля), которые способны компенсировать ограничивающие факторы.

На пятом шаге по результатам систематизации факторов внутренней и внешней среды формулируются возможные предложения (рекомендации) объектам аудита (контроля).

5. Анализ процессов (картирование процессов)

Анализ процессов представляет собой идентификацию и оценку процессов как основы для достижения результатов (например, картирование процессов, анализ времени выполнения, анализ потерь, возникающих при выполнении процесса, анализ потенциала цифровизации процесса и т.д.).

6. Способы выявления факторов внешней и внутренней среды

Ретроспективный анализ похожих проблем. Для проведения анализа используются отчеты по итогам мероприятий (по проверяемым объектам аудита (контроля), по схожим или близким тематикам), где, как правило, раскрываются как факторы внешней среды, так и слабые стороны объектов аудита (контроля).

Также анализ отчетов позволяет:

определить уже реализовавшиеся риски на объектах аудита (контроля) и в областях рисков;

оценить для них степень влияния на достижение результатов, а также причины возникновения этих рисков;

проанализировать реализацию предложений (рекомендаций), направленных объектам аудита (контроля).

Метод анализ "разрывов" представляет собой анализ различий между фактическим и плановым значениями показателей достижения результатов.

Учет выявленных "разрывов" при оценке достигнутых результатов, использованных ресурсов с позиции оценки рисков нерезультативности и (или) неэкономности в будущем:

при выявлении по результатам проведения аудита эффективности недостижения результатов (запланированных и (или) лучших), неэкономности необходимо определить нарушения и (или) недостатки, послужившие причиной такого недостижения (обнаруженные факторы рисков). Выявленные нарушения и недостатки могут быть также использованы при оценке рисков нерезультативности, неэкономности в будущем, которая может проводиться в рамках аудита эффективности.

Такая оценка может проводиться в том числе путем выстраивания модели оценок (т.е. "быстрых" оценок) с использованием в том числе экспертных оценок, математико-статистических методов. Применение таких моделей призвано в основном подтвердить уже имеющиеся гипотезы в части риска в будущем недостаточных объемов и (или) состава мероприятий для достижения запланированных и лучших результатов (т.е. результативности), неэкономности мероприятий, недостаточности ресурсного обеспечения и пр.

Выявление разрывов в логике проектов и программ:

на основании паспортов проектов и программ, а также иной проектной документации разрабатывается экономико-математическая модель, выполняется описание проекта и программы, производится построение теории изменений, содержащее алгоритмы преобразования ресурсов в конечные результаты и итоговые эффекты ("как есть");

с привлечением экспертов составляется теория изменений проекта и программы, соответствующая лучшим международным и национальным практикам ("как могло бы быть");

выявляются пробелы, препятствующие достижению состояния "как могло бы быть";

выявленные расхождения классифицируются в "разрывы", которые используются для идентификации рисков объекта аудита (контроля) или областей рисков неэффективного использования ресурсов.

Приложение N 4

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

МЕТОДЫ ИДЕНТИФИКАЦИИ РИСКОВ

1. Анализ документов

Анализ документов - это метод идентификации рисков, который, как правило, предшествует всем остальным методам идентификации рисков. В ходе анализа документов изучается документация (например, паспорта национальных и федеральных проектов, отчеты об исполнении национальных и федеральных проектов, протоколы проектных комитетов и иные документы) в целях:

1) тестирования на предмет расхождений (противоречий) в документах;

2) поиска слабых сторон внутренней среды объекта аудита (контроля);

3) анализа отклонений плановых и фактических значений показателей результатов;

4) определения реализовавшихся рисков;

5) оценки зрелости системы управления рисками (далее - СУР) и системы внутреннего контроля объекта аудита (контроля);

6) оценки выявленной неэффективности использования ресурсов в ходе ранее проведенных мероприятий у объекта аудита (контроля);

7) оценки согласованности результатов, показателей государственных программ, федеральных проектов и иных документов между собой.

В случае возникновения вопросов по итогам анализа документов могут быть составлены и направлены запросы в адрес объектов аудита (контроля).

Ниже представлен пример подхода к анализу документации в рамках федерального проекта.

2. Экспертные методы идентификации рисков

Экспертные методы идентификации рисков подразделяются на индивидуальные и групповые:

к индивидуальным относятся интервью, аналитические отчеты (предполагают полностью независимую работу каждого из экспертов над решением поставленной проблемы);

к групповым относятся риск-сессии (направленный "мозговой штурм"), метод "Дельфи".

Структурированные или полуструктурированные интервью (риск-интервью).

Структурированные или полуструктурированные интервью проводятся с представителями объекта аудита (контроля) на основе подготовленного перечня вопросов для получения информации, помогающей идентифицировать риски, и дальнейшее проведение интервью на основе данного перечня.

При проведении интервью с представителями объекта аудита (контроля) рекомендуется избегать прямых вопросов о том, какие риски характерны для зоны ответственности конкретного сотрудника, так как неподготовленный в плане риск-менеджмента сотрудник может отчасти даже бессознательно искажать информацию о рисках.

В качестве основных принципов построения риск-интервью предлагается принять следующие:

метод интервью с руководителем, ответственным за проблемную зону/область риска;

учет при интервью знаний руководителя по вопросам управления рисками, а также учет его склонности к рискам;

возможность выявления причин и источников рисков;

гибкая подстройка под особенности каждого опрашиваемого, а также объекта аудита (контроля).

Для оценки сложившейся (в объекте аудита (контроля) практики управления рисками целесообразно предварительно направить опросный лист руководителям подразделений объекта аудита (контроля), содержащие вопросы по самооценке использования СУР, оценке интеграции СУР в бизнес-процессы, оценке практики принятия решений руководителем с учетом рисков.

Процедуру риск-интервью рекомендуется проводить в три стадии:

На первой стадии - выявление основных этапов работы подразделения, процесса или проектной деятельности, за реализацию которой ответственность несет опрашиваемый сотрудник. Также эту стадию рекомендуется проводить для анализа разрывов, то есть для проверки соответствия формального описания процесса (проекта) и его представления руководителями внутри объекта аудита (контроля).

На второй стадии готовится опросный лист и проводятся интервью.

Основным инструментом интервью является опросный лист, который должен содержать темы обсуждения и вопросы. Каждый элемент (блок) процесса, выделенный на первой стадии, является основой для вопросов по следующей схеме. По итогам подготовки опросного листа рекомендуется проконсультироваться по содержанию опросного листа с сотрудниками Департамента исследований и методологии.

Вопросы должны позволять выявить следующее:

1. Какие потенциальные риски существуют в проверяемой области?

2. Каковы источники, причины и факторы этих рисков?

3. Каковы последствия реализации этих рисков (включая стоимостные)?

4. Какие существуют возможные методы управления рисками? Как сейчас происходит управление рисками?

5. Кто ответственен за предотвращение, управление и ликвидацию последствия рисков?

6. Возможно ли предотвратить риски? Какие меры профилактики следует использовать? Какие контрольные процедуры внедрены и кто ответственен за их выполнение и проверку?

7. С какой частотой реализуются риски?

8. Как информация о рисках и их последствиях распространяется (транслируется) внутри объекта аудита (контроля)?

На третьей стадии интервьюер должен агрегировать полученную информацию по первой и второй стадии в виде логической схемы с указанием возможных рисков, их причин и источников.

Опрос экспертов

Опрос - письменный (анкетирование) или устный опрос, в ходе которого респондентами являются эксперты. Метод предполагает подбор компетентных специалистов по тематике проверяемой области в качестве экспертов. Опросы экспертов, как правило, проводятся в виде анкетирования (запроса) или интервьюирования.

При интервьюировании эксперты опрашиваются по специально разработанному опросному листу.

Вопросы должны уточняться под конкретное мероприятие.

Модифицированный метод "Дельфи"

Метод "Дельфи" предполагает формирование обобщенного мнения группы экспертов, при этом данный процесс включает интерактивные обсуждения мнений, при которых эксперты выражают свое мнение индивидуально и анонимно, но имеют при этом возможность узнать мнения других экспертов.

В практике государственного аудита может использоваться модифицированный метод "Дельфи", предполагающий анализ рисков и составляющих рисков "с чистого листа".

Метод "Дельфи" предполагает следующую последовательность действий.

На первом этапе основная задача заключается в том, чтобы выработать структуру опросной анкеты, которая впоследствии будет использоваться для проведения экспертизы. Для этого экспертам сообщается тема мероприятия, а задачей экспертов является указание областей внешней и внутренней среды, в которых могут возникать опасные события для объекта аудита (контроля). Заполненные анкеты с перечислением выделенных областей внешней и внутренней среды поступают к участникам мероприятия, которые формируют окончательные области определения рисков и разрабатывают уже вторую, количественную анкету как показано в примере выше.

На втором этапе экспертам направляют анкеты, требующие ответа.

Заполненные экспертами анкеты подвергаются тщательному анализу.

В первую очередь, формируются статистические ряды и вычисляются медианы и квартили. Напомним, что за медиану принимается "средний" член ряда, по отношению к которому число оценок с начала и конца ряда будет одинаковым; квартилями называют интервалы упорядоченного ряда, содержащие по 25% значений этого ряда. Два крайних интервала называют соответственно нижним и верхним квартилями, а два серединных интервала (квартиля) образуют наиболее предпочтительную область. Полученные значения принимают за характеристики распределения оценок (медиана служит показателем группового ответа, а наиболее предпочтительная область - показателем разброса индивидуальных оценок) и сообщают экспертам.

Эксперты, чьи оценки оказались в крайних квартилях, дают обоснования причин расхождения с групповым мнением. Они вправе приводить любые аргументы в свою защиту или пересмотреть свое мнение и исправить оценку. С полученными обоснованиями знакомят всех членов экспертной группы. При этом, поскольку все перечисленные действия анонимны, никому не известно, кто и как обосновал или изменил свою первоначальную позицию. Такая процедура позволяет всем экспертам принять в расчет обстоятельства, которые они могли случайно пропустить или которыми могли пренебречь в начале текущего тура опроса.

На третьем этапе вновь перерабатывается опросная анкета. В нее, кроме первоначального перечня вопросов, включаются медианные значения по группе ключевых характеристик исследуемого явления. Членов экспертной группы просят рассмотреть аргументы и дать новую оценку содержащихся в анкете вопросов. Если их новая оценка не попадает в наиболее предпочтительную область, сформированную в предыдущем туре, то их опять просят обосновать свою точку зрения и прокомментировать противоположную позицию, которой придерживается большинство группы. После того, как пересмотренные оценки и новые аргументы возвратились к экспертной группе, она снова проводит их статистико-аналитическую обработку и готовит новое приложение к опросной анкете для очередного тура.

На четвертом этапе участникам экспертизы вновь передают опросную анкету, статистическое описание оценок группы и аргументы обеих сторон. Эксперты должны принять во внимание аргументацию своих коллег и их критические замечания, касающиеся группового мнения, полученного в предыдущем туре, и на этой основе дать новую оценку. Эта оценка опять подвергается статистической обработке и, поскольку этот тур является последним, ее результаты принимаются в качестве результата всей экспертизы.

На практике может применяться также сокращенная программа метода "Дельфи", при которой опрос заканчивается во втором туре, если между экспертами нет существенных расхождений. Если расхождения все же есть, то проводят третий тур, который считается последним.

Направленный "мозговой штурм" (риск-сессия)

Направленный "мозговой штурм" (риск-сессия) - процесс генерации максимального количества идей без ограничений с последующим их обсуждением с внешними экспертами, участниками мероприятия и иными сотрудниками Счетной палаты Российской Федерации, систематизацией и экспертной оценкой предложенных идей. В процессе "мозгового штурма" формируется подробный перечень рисков достижения запланированных результатов. Направленный "мозговой штурм", как правило, проводится в виде риск-сессий с привлечением экспертов.

При проведении мероприятия наиболее эффективным подходом является применение методики "SWIFT" (что, если?) - это систематизированный метод проведения "мозгового штурма", в котором используют набор слов или фраз-подсказок, помогающих в процессе риск-сессии идентифицировать опасные события и строить сценарии их развития. Ведущий и группа, используя стандартные фразы "что, если" в сочетании с подсказками, исследуют, как повлияют опасные события на запланированные результаты объекта аудита (контроля).

Анкетирование экспертов. Анкетирование представляет собой опрос экспертов в письменной форме с помощью предварительно разработанной структурным подразделением, ответственным за проведение мероприятия, анкеты. Методологическую поддержку при разработке анкеты осуществляет Департамент исследований и методологии. При этом анкетирование проводится без непосредственного контакта с респондентом, то есть участник мероприятия при рассылке анкет теряет контроль над опросом. В связи с этим особую важность имеет преамбула анкеты с пояснением, зачем проводится опрос, необходимые комментарии и инструкции для респондента по работе с анкетой, а также непосредственно состав вопросов анкеты. Также разработка анкеты требует предварительной работы, например, предварительных интервью или сбора материалов, которые позволят задать конкретные вопросы и сформулировать работающие варианты ответов. Кроме того, необходимо учитывать, что в анкете не должно быть большого количества вопросов открытого типа (без вариантов ответа), поскольку на них может быть небольшое число ответов.

Аналитические отчеты

Метод аналитических отчетов включает в себя самостоятельную работу участников мероприятия с возможным привлечением экспертов по изучению поставленных вопросов перед участниками мероприятия. Результатом его работы является экспертное заключение с обоснованием возможности проявления неблагоприятных событий рисков и их последствий (например, нанесения ущерба), принимая во внимание факторы, источники и причины риска.

В качестве модификации аналитического экспертного отчета можно рассмотреть математическое или сценарное моделирование. Оно может быть выполнено в трех аспектах:

1. Математическое моделирование последствий негативного события.

2. Оценки ключевых факторов, влияющих на достижение результатов объекта аудита (контроля).

3. Экспертное описание сценария зарождения и развития неблагоприятного события, ведущего к отклонению от запланированных результатов объекта аудита (контроля).

3. Процедура применения метода "галстук-бабочка"

на риск-сессии

1. Для проведения риск-сессии необходимо определить модератора риск-сессии с задачей организации процесса проведения риск-сессии. При этом при подготовке риск-сессии рекомендуется проконсультироваться с сотрудниками Департамента исследований и методологии.

2. Состав участников риск-сессии определяется из числа участников мероприятия и иных сотрудников Счетной палаты Российской Федерации и экспертов, чья профессиональная экспертиза необходима для оценки или анализа рисков.

3. Участники мероприятия определяют и объявляют риск первого уровня, выбранный для анализа. Данный риск отображается в качестве центрального узла "галстука-бабочки".

4. В ходе обсуждения определяются последствия реализации риска первого уровня и прослеживается влияние этих последствий на достижение результатов.

5. Определяется механизм развития опасного события, идентифицируются риски второго уровня и их причины, а также связи как между ними, так и с риском первого уровня. Определяются уже используемые объектом аудита (контроля) управления рисками и ключевые индикаторы рисков. На схеме "галстук-бабочка" графически отражаются указанные элементы и их связи между собой.

6. Проводится окончательный анализ получившейся диаграммы "галстук-бабочка". На этом этапе определяется степень управляемости и неуправляемости каждого риска и принимается решение о необходимости его дальнейшей оценки, в том числе с применением количественных методов.

7. Полученные в ходе анализа элементы (формулировки причин, рисков, последствий реализации рисков) заносятся в реестр рисков, после чего осуществляется переход к оцениванию рисков.

4. Контрольные листы (контрольные списки)

Контрольные листы представляют собой списки типовых факторов риска (типовых рисков), специфичных для определенной области. Контрольные листы составляются на основе факторов рисков (рисков), выявленных в ходе ранее проведенных мероприятий в соответствующей области, и позволяют при проведении нового мероприятия в этой области осуществлять выбор факторов рисков (рисков) по итогам прошлых мероприятий.

Механизм работы с контрольными листами:

1. Участники мероприятия с использованием сводной и обобщенной информации по результатам прошлых мероприятий и при необходимости с привлечением экспертов анализируют уже имеющуюся информацию об объекте аудита (контроля) и его результатах. Затем на основании этого анализа составляются списки типовых рисков и их источников по проблемным областям.

2. Списки типовых рисков согласуются с руководителем мероприятия и формируются контрольные листы для руководителей объектов аудита (контроля).

3. Контрольные листы заполняются руководителями объектов аудита (контроля) - владельцами рисков.

4. Участники мероприятия анализируют заполненные листы и агрегируют полученную информацию для выявления потенциально опасных, а также существующих источников риска в деятельности объекта аудита (контроля).

Примечание: метод контрольных листов хорошо подходит для идентификации "типичных" рисков в таких областях, как охрана труда, финансы, экология.

Приложение N 5

к Методическим рекомендациям

по оценке рисков при проведении аудита

эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

ОТДЕЛЬНЫЕ МЕТОДЫ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ РИСКОВ

1. Подходы к оценке вероятностей рисков в объектах аудита

(контроля) со сложной организационной структурой

При оценке рисков объекта аудита (контроля) со сложной структурой организационных элементов или систем (в случае структурно подчиненных организаций, подразделений и т.д.) анализ проводится по отдельным структурным элементам.

Если риски каждого элемента независимы друг от друга, деятельность этих элементов осуществляется независимо и параллельно, при этом к реализации риска всего объекта аудита (контроля) приводит только наступление нежелательных событий сразу во всех элементах, то вероятность реализации рисков для объекта аудита (контроля) целиком определяется по следующей формуле:

Пример - оценка риска объекта аудита (контроля), состоящего из независимых, параллельно действующих структурных элементов.

В состав объекта аудита (контроля) входят три структурных элемента с независимыми друг от друга рисками. Вероятности данных рисков экспертно были оценены как p1 = 0,2; p2 = 0,3; p3 = 0,1. Возможные потери в случае реализации рисков во всех элементах составляют 50 млрд. рублей. Ожидаемые потери составляют:

EL = 50 * 0.2 * 0.3 * 0.1 = 0.3 млрд. рублей

Когда элементы объекта аудита (контроля) действуют независимо и последовательно, при этом к реализации риска всего объекта аудита (контроля) приводит нежелательное событие в любом элементе, вероятность реализации рисков для объекта аудита (контроля) целиком определяется по следующей формуле:

Если ожидаемые убытки для каждого элемента различны, то:

Пример - оценка риска объекта аудита (контроля), состоящего из независимых, последовательно действующих структурных элементов

В состав объекта аудита (контроля) входят три структурных элемента с независимыми друг от друга рисками. Вероятности данных рисков экспертно были оценены как p1 = 0.2; p2 = 0.3; p3 = 0.1. Возможные потери в случае наступления опасного события в первом структурном элементе составляют 50 млрд. рублей, во втором элементе 30 млрд. рублей, в третьем элементе 70 млрд. рублей. Ожидаемые потери на уровне объекта аудита (контроля):

EL = 50 * 0.2 + 0.3 * 30 + 0.1 * 70 = 26 млрд. рублей

В общем случае, когда элементы объекта аудита (контроля) действуют последовательно, но негативные события, происходящие в них, не являются независимыми, а демонстрируют корреляцию между собой. В этом случае ожидаемые потери на уровне всего объекта аудита (контроля) рассчитываются с помощью метода "Монте-Карло".

В практике анализа рисков (особенно в случае применения метода "галстук-бабочка") встречаются ситуации, когда результирующая (апостериорная) оценка вероятности события зависит от реализации целого ряда предпосылок (рассмотренных выше факторов рисков), обозначенных как H1, ..., HF. При этом указанные предпосылки являются взаимоисключающими (непересекающимися) событиями и образуют полную группу событий, то есть любой элементарный исход обязательно попадет в одно из событий Hi, и при этом:

Тогда условная вероятность того, что имело место событие Hf, если в результате произошло событие A, может быть вычислена по формуле Байеса:

Пример - оценка вероятности реализации опасного события, зависящего от факторов риска

Анализируются причины реализации негативного события, предпосылками (причинами) которого может быть одно из четырех событий (H1, H2, H3, H4) с известными вероятностями реализации:

P (H1) = 0.2

P (H2) = 0.4

P (H3) = 0.3

P (H4) = 0.1

При этом события H1, H2, H3, H4 в совокупности составляют полную группу взаимоисключающих (непересекающихся) событий.

Вероятность реализации события A при реализации каждой из предпосылок равна:

P(A|H1) = 0.9

P(A|H2) = 0

P(A|H3) = 0.2

P(A|H4) = 0.3

Вероятность того, что негативное событие A произошло именно по причине H1:

2. Эконометрические методы оценки влияния рисков

Для анализа рисков могут быть использованы эконометрические модели, которые позволяют выявить зависимости (включая нелинейного характера) между факторами и причинами рисков и отдельными показателями объекта аудита (контроля) на основе анализа данных.

Пример - применение эконометрических моделей в оценке рисков

Участники мероприятия получили статистические данные о значениях четырех показателей в разрезе 80 субъектов Российской Федерации (ежегодные данные):

1. Поступление налогов, сборов и иных обязательных платежей в консолидированный бюджет Российской Федерации за 2010 - 2019 годы (млн. рублей) по каждому из регионов (Yit, i - это номер региона, t - год).

2. Объем розничной торговли в субъекте Российской Федерации за 2010 - 2019 годы, млн. рублей. (X1,it)

3. Объем отгруженных товаров собственного производства, выполненных работ и оказанных услуг собственными силами по виду экономической деятельности "Обрабатывающие производства" в субъекте Российской Федерации за 2010 - 2019 годы, млн. рублей. (X2,it)

4. Численность обслуживаемого населения в субъекте Российской Федерации за 2010 - 2019 годы, тыс. чел. (X3,it)

Предполагается, что показатели X1, X2, X3 являются главными факторами, определяющими поступление налогов в бюджет.

Задачей является оценка рисков уменьшения поступлений налогов в бюджет в случае негативных изменений производстве и предоставлении услуг.

Для этого была построена модель множественной регрессии следующего вида:

Yit = a0 + a1X1,it + a2X2,it + a3X3,it + eit,

где a0, a1, a2, a3 - неизвестные параметры, которые нужно найти, eit - случайные ошибки.

После оценки получено уравнение

Y = 3226.44 + 0.72X1 + 0.06X2 + 0.31X3.

Все коэффициенты регрессии являются значимыми для уровня значимости 5%. Уравнение регрессии также является значимым согласно критерию Фишера (F-критерию) для уровня значимости 5%. Коэффициент детерминации (R2) оказался равен 0.73, что означает, что вариация объясняющих переменных, входящих в уравнение регрессии, на 73% обусловила вариацию результативной переменной.

Примечание: представленная выше модель является упрощенной и может применяться на ранних стадиях зрелости оценки рисков. При наличии достаточного количества данных необходимо включить в модель дополнительные данные, например, по объему продукции сельского хозяйства, по объему платных услуг населению, по грузообороту и пассажирообороту на транспорте и т.д. Кроме того, в данном случае лучше применять методы анализа панельных данных с фиксированными эффектами.

3. Статистические методы классификации объектов

аудита (контроля)

Для определения объектов аудита (контроля) с высоким уровнем риска могут быть использованы методы классификации или кластеризации.

Методы классификации относятся к алгоритмам машинного обучения с учителем. Машинное обучение с учителем - набор методов математической статистики, в которых в ходе анализа используются переменные с уже известными (реализовавшимися) значениями - зависимая переменная и независимые (объясняющие) переменные. Сам анализ состоит в том, что при помощи методов математической статистики выявляется статистическая взаимосвязь между зависимой и независимыми переменными. В случае когда набор данных содержит в себе признаки (риск-факторы) и ответы (уровень рисков объектов аудита (контроля) - например, "низкий", "средний", "высокий"), то есть представляет собой размеченный набор данных, алгоритм машинного обучения с учителем позволяет предсказывать уровень риска для объектов аудита (контроля), по которым есть данные о риск-факторах, но нет данных об уровне риска. "Учителем" в этом случае выступает исходный, полностью размеченный набор объектов, на котором модель обучается.

Ограничение применимости методов машинного обучения с учителем состоит в том, что для них требуется большой набор достоверно размеченных данных.

4. Метод "Монте-Карло"

Метод "Монте-Карло" может быть применен для оценки неопределенности финансовых прогнозов, результатов от реализации проектов, при прогнозировании стоимости и графика выполнения проектов и т.п.

Данный метод применяют в ситуациях, когда результаты не могут быть получены аналитическими методами, например, если проект является многоуровневым с большим количеством внутренних связей между этапами, а каждый этап характеризуется некоторой величиной, имеющей вероятностную природу с высокой неопределенностью.

Входными данными для моделирования методом "Монте-Карло" является логическая модель проекта или деятельности объекта аудита (контроля). Модель должна полностью связывать допущения (входные данные) и отдельные показатели (выходные данные). Входные данные и соответствующую им неопределенность рассматривают в виде случайных переменных с соответствующими распределениями. Часто для этих целей используют равномерные, треугольные, нормальные и логарифмически нормальные распределения.

Процесс моделирования включает в себя следующие этапы:

1. Построение модели, которая наиболее точно описывает исследуемый процесс (финансовую модель, деятельность объекта аудита (контроля) и т.п.). Модель должна содержать все необходимые допущения и описывать их связь с выходными данными.

2. Многократная симуляция результирующих (выходных) данных модели. В ходе симуляции генерируются разные наборы исходных данных на основе их вероятностных распределений. Для каждой отдельной генерации вычисляются показатели эффективности (выходные данные).

Симуляция производится многократно от нескольких десятков до сотен тысяч раз в зависимости от сложности модели. Полученный набор значений показателей эффективности (выходные данные) может быть обработан с помощью статистических методов для получения оценок среднего, стандартного отклонения и доверительных интервалов.

Приложение N 6

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

ОЦЕНКА

УРОВНЯ ЗРЕЛОСТИ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ ОБЪЕКТА

АУДИТА (КОНТРОЛЯ)

Приложение N 7

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

ПРИМЕРНЫЙ ЗАПРОС ОБЪЕКТУ АУДИТА (КОНТРОЛЯ)

Перечень документов и вопросов, направляемых в адрес объекта аудита (контроля) в целях оценки рисков

1) Реестр рисков, влияющих на достижение результатов национального проекта <наименование национального проекта>, входящих в его состав федеральных проектов (при наличии)/федерального проекта <наименование федерального проекта>, не входящего в состав национального проекта/государственной программы <наименование государственной программы>;

2) протоколы Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам, проектного комитета, протокол совещания у куратора или руководителя проекта, иные документы, определяющие порядок пересмотра показателей национальных, федеральных проектов, в том числе на случай реализации рисков;

3) наличие количественных моделей для анализа и контроля показателей в соответствии с методиками, применялись ли методы распределения рисков; протоколы Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам, проектного комитета, протокол совещания у куратора или руководителя проекта, иные документы, по вопросам рисков достижения показателей;

4) протоколы совещаний руководителя или куратора проекта по вопросам рисков достижения показателей (при наличии); поручения, заявления применять риск-ориентированный подход при реализации национальных проектов (при наличии), федеральных проектов, государственной программы;

5) протоколы совещаний руководителя проекта по вопросам планирования и исполнения показателей, сроков или бюджета проекта в связи с наличием значимых рисков (при наличии);

6) как руководитель или куратор проекта определяет уровень риска по национальному и федеральному проекту/государственной программы, который нельзя принять (с учетом правовых актов и ведомственных практик при управлении национальными проектами);

7) ведет ли руководитель национального, федерального проекта/государственной программы контроль за применением риск-ориентированного подхода, проводилась ли оценка уровня (качества) системы управления рисками (направить результаты оценки, протоколы совещаний, подтверждающий контроль за качеством системы управления рисками - при наличии);

8) имеется ли в ведомстве подразделение (внутренний аудит), в обязанности которого входит оценка системы управления рисками, направить штатное расписание, положение (при наличии);

9) имеется ли в ведомстве подразделение (ведомственный проектный офис, риск-офис), в обязанности которого входит внедрение и развитие системы управления рисками, направить штатное расписание, положение (при наличии);

10) является ли применение риск-ориентированного подхода обязательной практикой, и как в таком случае информируются участники национальных и федеральных проектов об обязанности следовать процессам оценки рисков (кем, в какой срок, по каким каналам или с помощью каких документов);

11) привлекаются ли эксперты для оценки рисков и консультаций по развитию риск-ориентированного подхода, направить заключения или оценки экспертов (при наличии);

12) предъявляются ли требования к руководителю федерального проекта, участника федерального проекта к знаниям в области риск-ориентированного подхода, как формализованы эти требования (например, матрица компетенций для участия в национальных проектах, сертификация и т.п.);

13) протоколы совещаний руководителя или куратора проекта по вопросам рисков достижения показателей, информация СМИ (при наличии), также поручения, заявления о необходимости применять риск-ориентированный подход при реализации национальных проектов (при наличии);

14) применяются ли практики регулярного поиска рисков при анализе внутренней и внешней среды при оценке рисков национальных проектов;

15) (1) материальные и нематериальные источники риска; (2) причины и события; (3) угрозы и возможности; (4) уязвимости и способности; (5) изменения внешней и внутренней среды; (6) индикаторы возникающих рисков; (7) последствия и их влияние на результаты; (8) факторы, связанные со временем; (9) предубеждения, допущения и убеждения вовлеченных лиц;

16) каким образом проводится анализ рисков: оценивается ли уровень вероятности и влияния, как применяются методы управления риском;

17) документы, подтверждающие наличие мер по управлению рисками;

18) применяются ли в практике мониторинга рисков, специально разработанные показатели рисков, которые свидетельствуют о росте или снижении вероятности риска;

19) применяются ли в практике анализа данных, современные методы их обработки, включая искусственный интеллект и методы работы с большими данными (примеры);

20) применяются ли в практике автоматизированные методы сбора и обработки данных по наиболее опасным рискам;

21) имеются ли специальные механизмы информирования заинтересованных сторон о ходе проекта (сайты, информационные каналы, социальные сети, системы делопроизводства, иные системы обмена информацией).

Приложение N 8

к Методическим рекомендациям

по оценке рисков при проведении

аудита эффективности, утвержденным

Коллегией Счетной палаты

Российской Федерации

(протокол от 19 июля 2022 г. N 49К (1574)

(в ред. Протокола заседания

Коллегии Счетной палаты РФ

от 05.12.2023 N 71К (1676))

ЕМКОСТЬ РИСКА, "РИСК-АППЕТИТ", ЛИМИТ РИСКА

Под емкостью риска понимается максимальный суммарный риск, который объект аудита (контроля) может вынести без потери целевой функциональности (например, вынужденного ухода в состояние ликвидации и т.п.).

Под "риск-аппетитом" (приемлемый уровень риска) понимается уровень консолидированного риска присущего объекту аудита (контроля), который воспринимается объектом аудита (контроля) как в целом приемлемый для достижения поставленных результатов. "Риск-аппетит" может выражаться количественными и качественными показателями деятельности объекта аудита (контроля). "Риск-аппетит" не должен превышать емкость риска. В случае если "риск-аппетит" равен или больше емкости риска следует сделать вывод о некорректности расчета "риск-аппетита" и/или емкости риска и рекомендовать объекту аудита (контроля) выполнить переоценку этих показателей.

Лимит риска (допустимый уровень риска) характеризует готовность к принятию объектом аудита (контроля) уровня конкретного риска в пределах определенного уровня (лимита) для достижения запланированных результатов. Риски в рамках лимита находятся под мониторингом, меры по управлению такими рисками не обязательны и могут быть инициализированы в случае превышения актуального уровня риска над лимитом. Сумма лимитов всех рисков объекта аудита (контроля) не должна превышать "риск-аппетит". В случае если сумма лимитов рисков больше или равна "риск-аппетиту", необходимо рекомендовать объекту аудита (контроля) актуализировать состояние рисков и предусмотреть меры по управлению рисками, которые вносят наибольший вклад в превышение суммы лимитов рисков над "риск-аппетитом".

Схема определения отношения к риску в объекте аудита (контроля).

"Риск-аппетит":

1) представляет собой агрегированный уровень всех рисков, которые объект аудита (контроля) готов принять для достижения результатов;

2) отражает отношение руководства объекта аудита (контроля) к рискам и (или) тот уровень рисков, который руководство готово принять для достижения результатов;

3) отражает ожидания заинтересованных сторон.

Уровень "риск-аппетита" определяется объектом аудита (контроля) самостоятельно и формализуется в политике по управлению рисками (нормативно-методической документации СУР) <30>. Также для объектов аудита (контроля) приемлемый уровень риска может быть ограничен нормативными или иными требованиями.

--------------------------------

<30> Например, Методика оценки рисков Государственной корпорации "Агентство по страхованию вкладов" (утверждена решением Правления ГК "Агентство по страхованию вкладов" от 4 сентября 2017 г., протокол N 107) определяет механизм определения "риск-аппетита" с учетом уровня риска. Уставом открытого акционерного общества "Российские железные дороги", утвержденным постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1838, к функциям совета директоров отнесено утверждение приемлемой величины рисков ("риск-аппетита") для общества, включая подход к ее определению.

Для оценки "риск-аппетита" используются количественный, качественный или смешанный подходы.

При количественном подходе приемлемый уровень риска задается посредством комбинации установления пороговых показателей допустимых отклонений по группе количественных показателей результата.

Далее, зная оценку вероятности реализации рисков, "риск-аппетит" определяется с помощью качественно-количественного метода.

При качественном подходе "риск-аппетит" задается посредством формулирования утверждения, выражающего желаемый уровень принятия рисков. "Риск-аппетит" по качественным показателям может задаваться с помощью балльной шкалы в рамках "системы светофоров".

Таблица 1 - Балльная оценка риск-аппетита и интерпретация операции (действия) объекта аудита (контроля)

При количественно-качественном подходе на основании значения "риск-аппетита" устанавливаются следующие пороги:

Значение рейтинга риска (RRmin, порог существенности риска), ниже которого опасное событие считается несущественным с точки зрения критериев "вероятность-влияние" риска. Эффект от управления такими рисками превосходит затраты по управлению, поэтому активное управление ими нецелесообразно. Объекту аудита (контроля) следует осуществлять периодический (при значениях RR существенно ниже порога значимости риска) или непрерывный (при значениях RR близких порогу значимости риска) мониторинг таких рисков и быть готовым переходить к активному управлению риском в случае превышения данного порога.

Значение рейтинга риска (RRcr, порог критических рисков), выше которого опасное событие превышает "риск-аппетит" и могут иметь место катастрофические последствия для объекта аудита (контроля). Для таких рисков должны быть в кратчайшие сроки предприняты действия по их снижению до приемлемого уровня (до уровня рейтинга ниже RRcr). Также этот порог используется при принятии решений руководителями объекта аудита (контроля) для одобрения (в случае RR < RRcr) или отказа (RR > RRcr) от совершения действий, сопряженных с возникновением опасного события.

Значение рейтинга риска (RRтол < RRcr, порог высоких рисков), выше которого опасные события могут нанести значительный ущерб объекту аудита (контроля). Такими рисками нужно управлять в первую очередь в целях снижения до умеренного уровня (до уровня рейтинга ниже RRтол).