РОП ВО ВНУТРЕННЕМ КОНТРОЛЕ АВТОНОМНЫХ УЧРЕЖДЕНИЙ.
В силу ст. 19 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» автономные учреждения, как и иные экономические субъекты, обязаны организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. При этом АУ могут проводить внутренний контроль, используя модель РОП, что повысит эффективность работы службы внутреннего контроля за счет более правильного отбора объектов контроля. Опуская повторное перечисление достоинств РОП, заострим внимание на двух факторах, которые усиливают значимость РОП во внутреннем контроле автономного учреждения.
Во-первых, с учетом заявленной государственной политики в области надзора РОП выглядит более предпочтительным вариантом по сравнению с традиционной моделью контроля. Надзорные органы, применяя РОП, включают в критерии оценки рисков качество внутреннего контроля проверяемой организации. Если модели контроля совпадают, контролирующему органу проще убедиться в том, что перед ним добросовестный хозяйствующий субъект. В свою очередь, формирование мнения со стороны надзорных органов об АУ как добросовестном лице принесет учреждению снижение административной нагрузки.
Во-вторых, РОП оправдан для крупных многопрофильных автономных учреждений и (или) тех, которые обладают разветвленной филиальной сетью. Традиционный подход предполагает, что подразделения и филиалы будут проверены друг за другом в порядке очередности. Нерегулярность проверок трудно обосновать в рамках обычной модели контроля, в результате повышенный контроль применяется уже по факту происшествия (например, авария, кража, санкция от надзорного органа). РОП позволяет сформировать критерии частоты и глубины проверки, обнародовать их для своих структурных единиц и осуществить контроль преимущественно по отношению к неблагополучным филиалам, одновременно снижая внимание к образцовым подразделениям и не вызывая при этом обвинений в предвзятости.
При составлении плана проверки филиалов (подразделений) на основе РОП может быть использована «тепловая» карта рисков. Это наглядный, формируемый в виде матрицы инструмент для выявления зон повышенных (пониженных) рисков. Низкие риски отражаются в «холодной» зоне (обычно показывается зеленым цветом), средние риски – в «теплой» желтой зоне, высокие риски – в «горячей» красной зоне.
Для примера построим карту рисков, взяв за основу два показателя: уровень потенциальных угроз и качество предупредительных мер. На первом этапе специалист службы внутреннего контроля выявляет угрозы и ранжирует их в зависимости от степени опасности (одним из критериев может служить размер потенциального ущерба в рублях). Далее оценивается качество предупредительных мер, на что, в частности, влияют профессионализм персонала, техника безопасности, наличие страховки. Затем заполняется тепловая карта риска. Если у учреждения есть крупный филиал с низким качеством менеджмента, он будет занесен в зону 3D (особый контроль), маленький благополучный филиал, соответственно, поместится в зоне 1A (отсутствие контроля).
Потенциальная угроза | Качество превентивных мер | |||
A (высокое) | B (умеренно высокое) | C (умеренно низкое) | D (низкое) | |
3 (высокая) | 3A | 3B | 3C | 3D |
2 (средняя) | 2A | 2B | 2C | 2D |
1 (низкая) | 1A | 1B | 1C | 1D |
Примечание. При оформлении тепловой карты рисков выбрана иная цветовая шкала, однако градацию, соответствующую холодной, теплой и горячей зонам, карта тоже имеет.
Как видим, на тепловой карте выделены следующие зоны:
- высокого риска – 3D, 3C, 2D;
- среднего риска – 3A, 3B, 2B, 2C, 1C, 1D;
- низкого риска – 1A, 2A, 1B.
Режимы контроля деятельности филиалов на основании тепловой карты рисков варьируются в диапазоне от незначительного вмешательства (зоны 3A, 3B, 2B, 2C, 1C, 1D) до срочного вмешательства, когда используются все возможные меры для снижения риска (зоны 3D, 3C, 2D). Филиалы, входящие в категории с пониженным риском (зоны 1A, 2A, 1B), проверяются либо по мере наступления соответствующих обстоятельств, либо в случаях, когда включены в выборочный тематический анализ.
СУЩНОСТЬ РОП.
Основная задача риск-ориентированного подхода вне зависимости от области его применения состоит в достижении поставленных целей за счет снижения рисков. Высокую популярность РОП (по сравнению с традиционным контролем) обеспечивает его сосредоточенность на зонах повышенного риска, что позволяет вовремя принять превентивные меры, выявить и устранить слабые места и тем самым избежать негативных последствий реализации риска. РОП опирается на несколько принципов.
Принцип РОП | Характер проявления |
Распределение ресурсов | Ресурсы распределяются не равномерно, а с учетом размера риска (это касается как частоты, так и глубины проверки) |
Соразмерность | Принимаемые контролером меры адекватны рассчитанному риску |
Гибкость | Регулярная переоценка риска исходя из новых факторов и угроз |
Законность | Действие (бездействие) контролера основано на документально зафиксированной системе оценки рисков |
Открытость | Критерии оценки и классы риска открыты для подконтрольных лиц |
Базой РОП является оценка рисков, призванная обеспечить понимание контролером уязвимости к риску проверяемого объекта. Как отмечалось выше, оценить риски не обязательно сложно (с применением электронных систем), но в любом случае оценка должна быть адекватной характеру и объему деятельности проверяемой организации (подразделения, участка работы). Например, РОП в государственном контроле проявится в том, что в отношении небольшого по размеру автономного учреждения надзорный орган при проверке может ограничиться самой простой процедурой оценки рисков. И напротив: к многофилиальному АУ будет применена более сложная, комплексная процедура оценки рисков.
Ниже в табличном виде дана примерная характеристика усиленной (ослабленной) проверки в зависимости от уровня риска.
Оценка рисков | Уровень риска | |
Повышенный | Пониженный | |
Характер мониторинга | Ежедневный мониторинг, мониторинг «вручную», частый анализ информации, выявление настораживающих признаков, доведение результатов мониторинга до руководства | Установление пороговых значений, меньшая частота мониторинга, использование автоматизированных систем |
Характер проверки | Получение и изучение дополнительной информации, использование ее для оценки риска | Получение меньшего объема информации и (или) проведение менее глубокой проверки, более поздняя по времени проверка |
ИСТОРИЯ ВОЗНИКНОВЕНИЯ РОП.
Своим рождением система управления рисками обязана финансовому сектору, который (в отличие от прочих областей хозяйства) регулярно принимает на себя риски с целью получения вознаграждения за их несение. Подобная специфика деятельности побуждает банки, страховщиков, управляющие компании инвестиционных фондов не избегать рисков, минимизировать их, а управлять ими и измерять для установления адекватных цен на свои финансовые услуги (что влияет на ставки по кредитам, стоимость ценных бумаг, размер страховых премий). Профессиональной оценкой рисков в финансовых компаниях занимаются специализированные подразделения, чьей задачей является исключительно риск-менеджмент.
Схожесть работы отделов по управлению рисками и служб внутреннего аудита (внутреннего контроля) привела к тому, что постепенно РОП проник в традиционный аудит, а оттуда и в прочие виды контроля и надзора, включая государственный. Параллельно (поскольку в сфере контроля (надзора) точные методы измерения оказались явно избыточными) произошло упрощение методов оценки рисков, переориентация с экономико-математических моделей на другие (например, экспертные), доступные большинству специалистов. Так, если точность оценки риска профессиональными финансистами доходит до десятых, сотых долей процента, в обычном контроле (надзоре) достаточно проранжировать риски по группам (например, высокая, средняя или низкая степень риска). В некотором смысле произошла «десакрализация» знаний о рисках, что позволило им проникнуть во все сферы контроля.