Формирование карты рисков, используемой внутренним аудитом при планировании

Опубликовано в 14/06/2024 - аудит, статьи - метки:

Авторы — члены Ассоциации «Институт внутренних аудиторов»[1]:

Степан Левин, директор департамента внутреннего аудита

Олег Свиридов, начальник отдела внутреннего аудита

Николай Белых, директор по внутреннему контролю и аудиту

Введение

Для внутреннего аудита актуальным является вопрос эффективного распределения ресурсов, грамотного выбора процесса или объекта предоставления независимых гарантий в условиях ограниченности ресурсов и для покрытия существенных рисков. Планирование внутреннего аудита должно носить системный характер, т.е. это постоянный подпроцесс функции внутреннего аудита, основанный на выявлении и приоритезации тем аудита на основе риск-ориентированного подхода в соответствии с Международными профессиональными стандартами внутреннего аудита (МПСВА):

2010

Планирование

Руководитель внутреннего аудита должен составить риск-ориентированный план, определяющий приоритеты внутреннего аудита в соответствии с целями организации.

2010 А1

План работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой по крайней мере один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и Совета.

2010 А2

Руководитель внутреннего аудита должен выяснить и учесть ожидания высшего исполнительного руководства, Совета и других заинтересованных сторон касательно выражения мнения, и формирования выводов внутреннего аудита.

Для решения данной задачи могут использоваться различные инструменты. Одним из таких инструментов является формирование службой внутреннего аудита карт рисков.

Следует отметить, что в структуре компании может существовать подразделение по управлению рисками, которое на постоянной основе формирует перечень ключевых рисков, совместно с владельцами этих рисков осуществляет их мониторинг по соответствующим ключевым показателям и разрабатывает методы управления рисками. Вместе с тем, по нашему мнению, наличие такой деятельности не снимает с внутреннего аудита обязанности по проведению формализованной оценки рисков компании, тем более что при составлении карты рисков внутренний аудит использует иные процедуры, о которых и пойдет речь ниже.

Процедуры формирования карты рисков

Карта рисков во внутреннем аудите – это наглядная визуализация существующих рисков компании с учетом вероятности и существенности, применяется чтобы:

  • выявить рисковые зоны организации;

  • сопоставить риски с процессами и объектами;

  • зафиксировать выявленные риски;

  • использовать для формирования программ внутреннего аудита;

  • использовать в риск-ориентированном планировании деятельности внутреннего аудита и др.

В целях реализации риск-ориентированного подхода к планированию и заполнения карты рисков можно использовать различные процедуры.

Непрерывный мониторинг операционной и инвестиционной деятельности организации и бизнес-направлений 

1. На основе анализа информации, получаемой в ходе оперативных совещаний, заседаний различных коллегиальных органов (стратегических и управляющих советов, комитетов и комиссий по функциональным направлениям и т.п.), ежегодных исследований ожиданий топ-менеджмента относительно деятельности внутреннего аудита, индивидуальных встреч руководителя службы внутреннего аудита с высшим руководством организации, из презентационных материалов функций, данных информационных систем, отчетов об исполнении инвестиционных программ, программ капитального строительства, материалов консалтинговой деятельности, материалов проверок внешних надзорных органов и др.[2], проводится описание выявленных проблем, рисков по проблемам, формулируются предложения о проведении контрольных мероприятий, данные могут агрегироваться в рабочей форме. Примерные поля такой формы приведены ниже:

  • проблема/риск;

  • организация (применительно к группам компаний);

  • функция/подразделение (функция/подразделение – источник риска);

  • описание проблемы/риска;

  • источник информации;

  • возможные последствия;

  • возможный заказчик;

  • критический риск;

  • влияние на стратегические параметры;

  • влияние на значимые проекты.

2. «Тепловые карты» организаций и бизнес-направлений, составленные по результатам ранее проведенных внутренних аудитов и экспертно-аналитических мероприятий.

Пример заполнения «тепловой карты»:

Коммуникации с владельцами ключевых рисков организации

Для более полного наполнения карты рисков стоит также использовать обратную связь со стороны владельцев процессов по проблемам и рискам, выявленным службой внутреннего аудита, а также дополнительную информацию владельцев рисков, направляемую по запросу службы внутреннего аудита. Важно отметить, что запрашивать такую информацию необходимо на систематической основе, с периодичностью не реже одного раза в полугодие.

Пример формы такой обратной связи приведен ниже:

№ п/п

Наименование объекта контроля (организация, структурное подразделение, процесс)

Тематика проверки (вопросы, подлежащие проверке)

Период

Обоснование необходимости проведения проверочного мероприятия

Ключевые риски*

Оценка риска**

Рекомендуемые сроки проверки

1

 

 

 

 

 

 

 

2

 

 

 

 

 

 

 

3

 

 

 

 

 

 

 

Ключевые риски:

  • Риск снижения валютных доходов

  • Риск снижения внутрироссийских доходов

  • Инвестиционные риски

  • Риск ликвидности

  • Риск управления запасами

  • Риск закупочной деятельности

  • Финансовые риски

  • Риски персонала

  • Репутационные риски

  • Риски управления и делегирования

  • Риски снижения генерации электроэнергии в результате простоя оборудования

  • Товарные риски

  • Риски технологии и инноваций

  • Социально-политические и регуляторные риски

  • Риски утраты активов

** Оценка риска:

3 – существенный риск

2 – средний риск

1 – низкий риск

Обязательно учитываемые риски

При планировании и составлении карты рисков службе внутреннего аудита стоит выделить ряд критичных рисков, которые присутствуют постоянно. У каждой компании будет свой набор таких рисков. В список могут быть включены риски разного характера, которые зависят в том числе и от отраслевой специфики, например:

  • различные ключевые комплаенс-риски;

  • риски с низким шансом реализации, но с катастрофичными для компании последствиями;

  • риски с высоким шансом реализации, которые, реализовавшись поодиночке, возможно, не принесут ощутимого вреда, однако в сумме дадут серьезный ущерб.

В нашей практике при формировании карты рисков в обязательном порядке учитываются:

  • риски с нулевой готовностью (неприемлемые риски, риск-аппетит по которым не устанавливается,  например, недопустимость снижения индекса доверия атомной отрасли, недопустимость коррупционных проявлений и нанесения ущерба активам,  недопустимость нарушения принципов Глобального договора Организации Объединённых Наций в области соблюдения прав человека и трудовых отношений и в области охраны окружающей среды, недопустимость снижения научно-технологического потенциала в виде людей и процессов научного и технологического поиска, недопустимость невыполнения социальных обязательств и др.)  

  • риски достижения целей устойчивого развития;

  • критические риски достижения стратегических целей;

  • риски в области реализации значимых проектов.

Ниже приведены области устойчивого развития для оценки рисков и включения в карту рисков организации:

Области устойчивого развития

Описание

Окружающая среда:

Энергопотребление

Потребление энергетических ресурсов в атомной отрасли (в сопоставимых условиях), энергосбережение и энергоэффективность

Управление климатическим воздействием

Процессы организации, направленные на управление влиянием организации на климат, содействие борьбе с изменением климата на национальном и глобальном уровнях, в том числе через стремление к использованию в своей деятельности лучших российских и международных природоохранных практик

Экологический менеджмент

Часть системы управления организации, направленная на реализацию положений экологической политики организации

Предотвращение загрязнения окружающей среды

Деятельность организации в области предотвращения и управления авариями и загрязнениями, связанными с операциями, которые воздействуют на окружающую среду.

Биоразнообразие

Деятельность организации, оказывающая влияние на разнообразие жизни во всех её проявлениях, а также показатель сложности биологической системы, разнокачественности её компонентов.

Водопотребление

Управление как своим потреблением воды, так и своими выбросами в водные источники

Выбросы в атмосферу

Деятельность организации, связанная с выбросами в атмосферу (помимо тех, которые связаны с потреблением энергии)

Управление отходами

Управление опасными и неопасными отходами, образующимися в процессе производства, в том числе использование и утилизация продукции.

Социальная сфера:

Реорганизация (соц. ответственность)

Сохранение занятости и социальных гарантий работников при проведении реорганизации

Охрана труда

Предотвращение нарушения условий труда для здоровья и безопасности сотрудников

Трудовые отношения

Процессы в области взаимодействия работника и работодателя, основанные на соглашении между работником и работодателем о личном выполнении работником трудовой функции за заработную плату (в рамках требований трудового законодательства)

Обучение и развитие

Процессы, направленные на формирование у сотрудников специальных знаний, умений и навыков, которые позволяют повышать результативность и производительность трудовой деятельности, максимально качественно выполнять функциональные обязанности, осваивать новые виды деятельности с целью достижения стратегических целей организации.

Недопущение дискриминации

Предотвращение гендерной дискриминации на рабочем месте, а также другие виды дискриминации, которые касаются условий труда, профессиональной подготовки, продвижения по службе, оплаты труда и других льгот

Права человека

Соблюдение прав человека, закрепленных во 2 главе Конституции РФ, во Всеобщей декларации прав человека (право на жизнь, право на свободу и личную неприкосновенность, право на неприкосновенность частной жизни, право на свободу передвижения и выбора места пребывания и жительства и др.)

Права трудящихся

Соблюдение прав сотрудников в области свободы ассоциации/ объединений и права на ведение коллективных переговоров (соблюдение требований коллективного договора)

Управление:

Антикоррупционные практики

Анализ построения процессов в компаниях для недопущения любых форм коррупции (взятки, легализация незаконных доходов, политические пожертвования, вымогательства, хищение имущества, мошенничество, платежи за упрощение формальностей и пр.)

Управление цепочкой поставок, закупочные процессы

Анализ включения в контрактные условия: экологических требований, опросы поставщиков/анкеты для поставщиков, поддержки поставщиками в применении системы экологического менеджмента; обучения / повышения информированности сотрудников, отвечающих за закупки; процедуры реагирования на несоблюдение требований поставщиками (повторные аудиты, повторное обучение, возможное расторжение договора); социальных стандартов в цепочке поставок

Недобросовестная конкуренция

Любые действия хозяйствующих субъектов (группы лиц), которые направлены на получение преимуществ при осуществлении предпринимательской деятельности, противоречат законодательству РФ, обычаям делового оборота, требованиям добропорядочности, разумности и справедливости и причинили или могут причинить убытки другим хозяйствующим субъектам — конкурентам либо нанесли или могут нанести вред их деловой репутации.

Безопасность продукции

Реализация единой отраслевой политики ГК в области промышленной безопасности, реализация гос. политики в области обеспечения безопасности при использовании атомной энергии. Управление безопасностью в атомной отрасли. Предупреждение чрезвычайных ситуаций, ликвидация последствий аварий, обеспечение аварийной готовности и гражданская оборона

Соблюдение деловой этики

Анализ предупреждения рисков, возникающих в связи с нарушением законодательства и этических принципов поведения, принятых в Корпорации, укрепления деловой репутации и внедрения ценностей Росатом, которые отражены в Кодексе этики и служебного поведения работников ГК.

Управление рисками

Процесс принятия и реализации управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь проекта, вызванных его реализацией.
Управление рисками в целях УР оценивается по управлению рисками в области КСО.

Система вознаграждения

Процессы материальной мотивации руководителей. В рамках УР важны вопросы предоставления компанией прозрачной отчетности и обоснованности вознаграждения руководителей (как долгосрочного, так и краткосрочного)

Налогообложение

Соблюдение организацией требований налогового законодательства (в том числе управление эффективной налоговой ставкой и ее устойчивость в долгосрочной перспективе), подхода к управлению налоговому обязательствам, учет запросов и мнения заинтересованных сторон (прозрачности)

Пример реализации непрерывного мониторинга деятельности организации для формирования карты рисков

Одним из удобных и практичных способов сбора информации для формирования карты рисков является использование функциональных возможностей многофункционального сервиса для автоматизации бизнес-процессов – Битрикс 24.

Для этого с помощью программистов организации (или собственными силами, при наличии соответствующих компетенций) на основе Битрикс 24 формируется база данных отклонений и рисков. Эта база предназначена для обеспечения ведения на портале службы внутреннего аудита, посредством универсального списка, единой базы информации о проблемах/ рисках/ отклонениях, выявленных в результате регулярного мониторинга деятельности организации/ направлений деятельности.

Для того чтобы наполнить базу данных по каждому значимому отклонению/ риску необходимо заполнить вкладку, которая в дальнейшем переносится в итоговый отчет:

Ниже приведено описание основных полей для заполнения:

  • Название: Заполняется значимое короткое описание проблемы (3 – 7 слов).

  • Экспертное направление: Указывается направление/организация по которым выявлена проблема/риск.

  • Связь с организацией: Из выпадающего перечня выбирается наименование организации(й), на деятельность которых может влиять выявленная проблема/риск или деятельность которых создает риск.

  • Отраслевая функция: Из выпадающего перечня выбирается функция, в рамках реализации которой возникла выявленная проблема/ риск.

  • Описание проблемы: Указывается выявленная проблема. Описание по схеме: где возникла (подразделение, процесс, направление деятельности)? что является индикатором проблемы? С деятельность каких ответственных лиц связано (предварительная оценка)?

  • Источник информации указывается конкретный источник получения данных (документ, интервью, сообщение и т.д.).

  • Возможные последствия: Указываются потенциальные негативные последствия (риски), связанные с выявленной проблемой. На какие показатели эффективности деятельности предприятия оказывает влияние и как? На достижение целей конкретных проектов/ программ и как?

  • Возможный заказчик: Из выпадающего списка выбирается должностное лицо, которое заинтересовано в решении проблемы и может выступить заказчиком контрольного мероприятия.

  • Новый актив: Из выпадающего списка выбирается ответ «Да», в случае, если проблема связана с новым бизнесом – новая организация или работой нового производства/ участка/ оборудования, (введены в эксплуатацию на не более 3-х лет назад.

  • Выявление критических зон: Из выпадающего списка выбирается ответ «Да», в случае, если выявленная проблема связана с критическими рисками достижения страт. целей /условий деятельности /ключевых направлений деятельности (существенные риски невыполнения целевых показателей проектов) в зоне ответственности организации

  • Описание критических зон: Приводится описание критических зон с описанием такого влияния: какая страт. цель, страт. программа, условие деятельности, риски с нулевой готовностью и т.д. Поле обязательно к заполнению, если в поле «Описание критических зон» выбрано значение «Да».

  • Влияние на стратегические параметры. Из выпадающего списка выбирается ответ «Да», в случае, если выявленная проблема связана с влиянием на стратегические цели /ключевые проекты /стратегические программы

  • Контроль реализации значимых проектов: Из выпадающего списка выбирается ответ «Да», в случае, если выявленная проблема связана с реализацией значимых проектов

Для типизации заносимой информации необходимо использовать вспомогательные списки. Вспомогательные списки – это система преднастроенных списков, выступающих в качестве источника для заполнения основного списка или выполняющих функцию распределения прав.

Перечень вспомогательных списков:

  • Классификатор процессов содержит перечень функций, которые необходимо выбирать при заполнении основной формы.

  • Экспертное направление содержит информацию о закреплении экспертов за направлением.

  • Организации – организация, входящая в контур управления.

В результате системного внесения информации можно сделать выгрузку итогового отчета для формирования карты рисков:

№ записи

Этап

Кем создан

Дата

Экспертное направление

Текущий статус

Автоматически присваивается порядковый номер записи

Проект/ Согласование/ Итог

Указывается автор записи

Указывается дата внесения информации

Указывается процесс или направление

На рассмотрении/ Принято в работу

Продолжение таблицы 

Связь с организацией

Описание проблемы

Возможные последствия

Возможный заказчик

Комментарий к полю заказчик

Новый актив

Указывается организация – объект проверки

 

 

Указывается заказчик, его электронная почта

 

Да /Нет

Продолжение таблицы

Описание актива

Выявление критических зон

Описание критических зон

Влияние на стратегические параметры

Описание влияния

Контроль реализации значимых проектов

Значимый проект

 

Да / Нет

 

Да / Нет

 

Да / Нет

 

Заключение

Карты рисков, сформированные на основе всестороннего анализа потока информации о деятельности организации в совокупности с постоянными коммуникациями с заинтересованными сторонами, являются эффективным инструментом при составлении службой внутреннего аудита риск-ориентированного плана. Карта рисков службы внутреннего аудита не должна быть статичной, а обновляться по мере поступления информации, чтобы оставаться эффективным механизмом как для планирования деятельности внутреннего аудита, так и для подготовки программы аудита и проведения оценки рисков непосредственно при аудите.

[1] Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

[2] Перечень источников данных для анализа не является закрытым и зависит от структуры корпоративного управления в конкретной организации.

Комментарии закрыты