© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Оценка риска Хосе Виегас Рибейро IGF, Португалия SIGMA Семинар PEM PAL Львов, 8/9 октября 2012г. 1

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Содержание 1. Почему оценка риска 2. Оценка риска на макро уровне (на министерство) – ключевой инструмент для планирования аудита в Португалии 3. Оценка риска на микро уровне (на организацию) - ключевой инструмент для проведения аудита внутренних систем контроля

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Оценка риска – Почему ? Основа стратегии аудита Планирование работы по аудиту (план на основе риска) Приоритезации работы по аудиту, в соответствии с целями организации Срочное уменьшение рисков Увеличение эффективности аудита/упор на области риска Учет ожиданий высшего руководств, совета директоров и других заинтересованных лиц ц3ц3

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Почему оценка риска – ISA 315 и 330 ISA 315 представляет общий обзор процедур, которым должен следовать аудитор, чтобы получить достаточное понимание, чтобы оценить риски аудита, и эти риски надо учитывать при разработке планов аудита. Особенно важно, как для ISA 315 так и для ISA 330, признание того, что оценка рисков является ключевой в процессе аудита, и эти два ISA определяют тот факт, что аудитор должен понимать ключевые риски (иногда описываемые как значительные риски) относящиеся к финансовым отчетам. 4

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Стандарты аудита ISA 315 – определение и оценка рисков существенного искажения путем понимания организации и ее окружения ISA 330 – Реакция аудитора на оцененные риски IASB стандарт качества работы Планирование

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA A- Оценка рисков на макро уровне (министерство) – ключевой инструмент для планирования аудита в Португалии Этапы: 1 – Понимание организаций и их функций, бизнеса и окружения; сбор информации (также используя внутреннюю информацию и имеющиеся последние данные) 2 – Перечень оценки рисков (по каждой организации каждого министерства) 3 – Оценка результатов (по каждой организации каждого министерства) 4 – Установление приоритетов в плане ежегодного аудита

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 1й этап – понять организацию и ее бизнес/окружение и собрать информацию ISA 315 дает детальную инструкцию по поводу требуемого понимания организации и окружения аудиторами, включая внутреннюю систему контроля организации. Понимание организации и ее окружения важно для аудитора, чтобы помочь определить риски, обеспечить основу для разработки и внедрения реакции на оцененные риски (см. также ISA 330, Реакция аудиторов на выявленные риски), и обеспечить, чтобы было собрано достаточно свидетельских доказательств по аудиту.

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 2й этап – Перечень оценок рисков Оценка рисков Сводная таблица с ключевыми факторами рисков Оценка рисков Детальная таблица (разбивка факторов риска)

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 2й этап – Сводная таблица оценки рисков количественная оценка ФАКТОРЫ РИСКА Максимальные баллы F1Характер управления/подразделения2 F2Материальность3 F3Структура расходов10 F4Собственные ресурсы10 F5Финансирование Евросоюза8 F6Управление долгом7 F7Финансовые и экономические показатели10 F8Внутренний контроль28 F9Результаты предыдущих аудитов22 МАКСИМАЛЬНОЕ КОЛИЧЕСТВО БАЛЛОВ100

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 2й этап – контрольный список оценки рисков Контрольный список – это часть журнала по аудиту Контрольный список, детально представляющий каждый фактор риска, с максимальным баллом за фактор (пример контрольного списка показан в отдельном файле) Применим к каждой организации каждого министерства (напр., генеральные директораты, агентства, управления) Вклад со стороны высшего руководства (напр., собеседования или просмотр документации руководства) Основа для приоритетов аудита и ежегодное планирование

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 2й этап – Оценка риска (включена в баллы фактора F8) Оценка вероятности Уровень Не подтверждено во время предыдущих аудитов1Случайный Подтверждено в 5% затрат в предыдущие аудиты2Возможный Подтверждено в более, чем 5% расходований в предыдущий аудит3Частый Оценка влиянияУровень Не влияет на расходование1Низкий Не влияет на расходование в материальном смысле2Умеренный Влияет на расходование в материальном смысле3Высокий

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 3й этап – Результаты оценки рисков из количественной и качественной оценки ОценкаНижний пределВысокий предел Очень низкая2036 Низкая3652 Средняя5268 Высокая6884 Очень высокая84100

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 3й этап – Результаты оценки рисков

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Выполняемые верификации должны дать возможность аудитору опубликовать окончательное аудиторское мнение по поводу внутренней системы контроля Хорошо работает : если правильно решен вопрос рисков при результативной работе контролирующих подразделений Работает, но есть необходимость в небольших улучшениях: если ключевые риски правильно учитываются при результативной работе контролирующих подразделений с небольшими исключениями Работает, но необходимы серьезные улучшения : если на некоторые риски обращают внимание органы контроля, которые в соответствующих ситуациях слабы и не работают результативно Не работает : самым значительным ключевым рискам не уделяют внимание контролирующие органы и /или ключевые органы контроля не работают результативно 14 3й этап – Результаты оценки рисков еще один метод – окончательная оценка системы аудита Европейской комиссии

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA B – Оценка рисков на микро уровне (по организациям) ключевой инструмент для аудита систем внутреннего контроля 1 – упор на ключевые области внутреннего контроля (на основе COSO) 2 – Контрольный список внутреннего контроля (ключевой контроль) 3 – инструкция для аудиторов – как использовать 4 – окончательная оценка результатов (четкое указание на области высокого риска внутреннего контроля – важна для руководства, совета директоров и объекта аудита)

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Техническое задание Ключевые принципы системы внутреннего контроля Четкое распределение ролей и обязанностей Соответствую щее разделение функций Надежный бухгалтер руководитель и информацион ные системы Ключевой контроль над операциями и транзакциями 16

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Контрольная среда Понимание руководством важности внутреннего контроля Оценка риска Оценка риска, присущего организации Процедуры внутреннего контроля Процедуры, принятые руководством для решения вопросов риска и его снижение Информация и коммуникации Информационные системы, помогающие осуществлять результативный внутренний контроль Мониторинг Постоянная процедура оценки качества внутреннего контроля 17 Техническое задание – компоненты внутреннего контроля

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Организационная структура Разделение функций Ключевой контроль над операциями Бухгалтерский и финансовый контроль Архив документов в порядке Квалифицированные и ответственные сотрудники Четкие процедуры предоставления полномочий и одобрения Физический контроль Первоначальный контроль руководства Подход на основе выгод и затрат Документирование 18 Техническое задание – элементы внутреннего контроля

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 19 Упор на внутренний контроль Пример контрольного списка

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA 20 Упор на внутренний контроль Пример детального контрольного списка внутреннего контроля (ключевой контроль)

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Окончательная таблица оценки пример для области внутреннего контроля 21 0 – не существует 1 – очень плохой 2 – плохой 3 – достаточный 4 – Хороший 5 – отличный Среда контроля Организационная структура Подготовка и исполнение бюджета Управление казначейством Управление активами Доходыs Приобретения и закупки Управление персоналом Информационные системы Ежегодные счета

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Область оценки рисков (RA), которым надо следовать и улучшать - I RA это ключ для аудитора – необходимо иметь глубокое и всестороннее понимание бизнеса и окружение объектов аудита (аудитор не должен чувствовать, что он заблудился в лесу,а идет прямо к правильным деревьям) Без прочной RA невозможно иметь хорошее планирование, а без хорошего планирования трудно иметь эффективный и ценный отчет по аудиту Необходимо улучшать надежность оценки неотъемлемого риска, особенно в организациях со сложными финансовыми транзакциями и несколькими источниками финансирования

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Область оценки рисков (RA), которым надо следовать и улучшать - II Пример операций данного характера, которые часто трудны для аудиторов – проекты приносящие доход, разработка финансово- кредитных инструментов, государственная помощь Также трудны для RA (присущий риск и риск системы контроля) вопросы государственных закупок, концессии и ГЧП с большой материальной ответственностью и сложностью, требующие специальных знаний и точной настройки RA Примером самых общих результатов, требующих опытных аудиторов являются дополнительные работы, модификация физического объекта по контракту и искусственное разделение контрактов

© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Σ SIGMA Область оценки рисков (RA), которым надо следовать и улучшать - III По нашему опыту, государственные закупки, концессии и ГЧП отвечают за самые важные материальные результаты аудита (а также за ошибки и отклонения) Соответственно, мы решили улучшить оценку риска, а также разработать отдельный очень детальный контрольный список, чтобы проводить аудит государственных закупок, концессий и ГЧП (который включен в приложение к инструкции по аудиту – другие области высокого риска будут также иметь свои контрольные списки) Информационные системы для управления аудитом, работающие на сложных платформах ИТ (даже если аудит не касается ИТ, возможности ИТ оказываются полезными).