Приложение 8. "Методические рекомендации по оценке рисков при проведении аудита эффективности" (утв. Коллегией Счетной палаты РФ, протокол от 19.07.2022 N 49К (1574)) (вместе с "Примерным запросом объекту аудита (контроля)") (ред. от 05.12.2023)
Приложение 8. ЕМКОСТЬ РИСКА, "РИСК-АППЕТИТ", ЛИМИТ РИСКА
Приложение N 8
к Методическим рекомендациям
по оценке рисков при проведении
аудита эффективности, утвержденным
Коллегией Счетной палаты
Российской Федерации
(протокол от 19 июля 2022 г. N 49К (1574)
(в ред. Протокола заседания
Коллегии Счетной палаты РФ
от 05.12.2023 N 71К (1676)) 
ЕМКОСТЬ РИСКА, "РИСК-АППЕТИТ", ЛИМИТ РИСКА
Под емкостью риска понимается максимальный суммарный риск, который объект аудита (контроля) может вынести без потери целевой функциональности (например, вынужденного ухода в состояние ликвидации и т.п.).
Под "риск-аппетитом" (приемлемый уровень риска) понимается уровень консолидированного риска присущего объекту аудита (контроля), который воспринимается объектом аудита (контроля) как в целом приемлемый для достижения поставленных результатов. "Риск-аппетит" может выражаться количественными и качественными показателями деятельности объекта аудита (контроля). "Риск-аппетит" не должен превышать емкость риска. В случае если "риск-аппетит" равен или больше емкости риска следует сделать вывод о некорректности расчета "риск-аппетита" и/или емкости риска и рекомендовать объекту аудита (контроля) выполнить переоценку этих показателей.
Лимит риска (допустимый уровень риска) характеризует готовность к принятию объектом аудита (контроля) уровня конкретного риска в пределах определенного уровня (лимита) для достижения запланированных результатов. Риски в рамках лимита находятся под мониторингом, меры по управлению такими рисками не обязательны и могут быть инициализированы в случае превышения актуального уровня риска над лимитом. Сумма лимитов всех рисков объекта аудита (контроля) не должна превышать "риск-аппетит". В случае если сумма лимитов рисков больше или равна "риск-аппетиту", необходимо рекомендовать объекту аудита (контроля) актуализировать состояние рисков и предусмотреть меры по управлению рисками, которые вносят наибольший вклад в превышение суммы лимитов рисков над "риск-аппетитом".
Схема определения отношения к риску в объекте аудита (контроля).
"Риск-аппетит":
1) представляет собой агрегированный уровень всех рисков, которые объект аудита (контроля) готов принять для достижения результатов;
2) отражает отношение руководства объекта аудита (контроля) к рискам и (или) тот уровень рисков, который руководство готово принять для достижения результатов;
3) отражает ожидания заинтересованных сторон.
Уровень "риск-аппетита" определяется объектом аудита (контроля) самостоятельно и формализуется в политике по управлению рисками (нормативно-методической документации СУР) <30>. Также для объектов аудита (контроля) приемлемый уровень риска может быть ограничен нормативными или иными требованиями.
--------------------------------
<30> Например, Методика оценки рисков Государственной корпорации "Агентство по страхованию вкладов" (утверждена решением Правления ГК "Агентство по страхованию вкладов" от 4 сентября 2017 г., протокол N 107) определяет механизм определения "риск-аппетита" с учетом уровня риска. Уставом открытого акционерного общества "Российские железные дороги", утвержденным постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1838, к функциям совета директоров отнесено утверждение приемлемой величины рисков ("риск-аппетита") для общества, включая подход к ее определению.
Для оценки "риск-аппетита" используются количественный, качественный или смешанный подходы.
При количественном подходе приемлемый уровень риска задается посредством комбинации установления пороговых показателей допустимых отклонений по группе количественных показателей результата.
Далее, зная оценку вероятности реализации рисков, "риск-аппетит" определяется с помощью качественно-количественного метода.
При качественном подходе "риск-аппетит" задается посредством формулирования утверждения, выражающего желаемый уровень принятия рисков. "Риск-аппетит" по качественным показателям может задаваться с помощью балльной шкалы в рамках "системы светофоров".
Таблица 1 - Балльная оценка риск-аппетита и интерпретация операции (действия) объекта аудита (контроля)
|
Уровень риск-аппетита
|
Цвет светофора
|
Операции (действия) объекта аудита (контроля)
|
|
Очень низкий
|
Перечисляются операции (действия), выполнение которых строго запрещено при любых обстоятельствах
|
|
|
Низкий
|
Перечисляются операции (действия), выполнение которых запрещено. Разрешение на их осуществление может быть получено только в крайнем случае при условии одобрения вышестоящим органом объекта аудита (контроля) соответствии с механизмом эскалации принятия решений
|
|
|
Средний
|
Операции (действия), обладающие повышенным риском. Могут выполняться только при заданных условиях при условии одобрения вышестоящим руководителем соответствующего уровня в рамках матрицы распределения полномочий и действующего механизма эскалации принятия решений
|
|
|
Высокий
|
Операции (действия), обладающие умеренным риском. Могут выполняться в рамках нормальной операционной деятельности в рамках установленных лимитов при условии одобрения руководителем соответствующего уровня в рамках матрицы распределения полномочий и действующего механизма эскалации принятия решений
|
|
|
Очень высокий
|
Операции (действия), обладающие низким риском. Могут выполняться при условии одобрения непосредственным руководителем
|
При количественно-качественном подходе на основании значения "риск-аппетита" устанавливаются следующие пороги:
Значение рейтинга риска (RRmin, порог существенности риска), ниже которого опасное событие считается несущественным с точки зрения критериев "вероятность-влияние" риска. Эффект от управления такими рисками превосходит затраты по управлению, поэтому активное управление ими нецелесообразно. Объекту аудита (контроля) следует осуществлять периодический (при значениях RR существенно ниже порога значимости риска) или непрерывный (при значениях RR близких порогу значимости риска) мониторинг таких рисков и быть готовым переходить к активному управлению риском в случае превышения данного порога.
Значение рейтинга риска (RRcr, порог критических рисков), выше которого опасное событие превышает "риск-аппетит" и могут иметь место катастрофические последствия для объекта аудита (контроля). Для таких рисков должны быть в кратчайшие сроки предприняты действия по их снижению до приемлемого уровня (до уровня рейтинга ниже RRcr). Также этот порог используется при принятии решений руководителями объекта аудита (контроля) для одобрения (в случае RR < RRcr) или отказа (RR > RRcr) от совершения действий, сопряженных с возникновением опасного события.
Значение рейтинга риска (RRтол < RRcr, порог высоких рисков), выше которого опасные события могут нанести значительный ущерб объекту аудита (контроля). Такими рисками нужно управлять в первую очередь в целях снижения до умеренного уровня (до уровня рейтинга ниже RRтол).