Зарубежный опыт применения риск-ориентированного подхода в организациях бюджетной сферы

Управление рисками в зарубежных организациях бюджетной сферы направлено на минимизацию влияния рисков на достижение целей организации. Управление бюджетными рисками не обособлено, а является частью процесса управления всеми рисками организации бюджетной сферы.

Выбор стран для анализа применяемых за рубежом подходов осуществлялся исходя из наличия практического опыта по организации процесса управления рисками в организациях бюджетной сферы, в частности по распределению функций и обязанностей по оценке рисков; осуществления нормативно-правового регулирования в сфере управления рисками; а также возможности изучения актуальных нормативных правовых актов и иных документов по вопросам управления рисками, размещенных в открытом доступе.

С учетом соответствия приведенным критериям в целях разработки предложений по интеграции в оценку бюджетных рисков зарубежного опыта применения риск-ориентированного подхода в организациях бюджетной сферы проанализирован опыт таких стран, как: Республика

Болгария, Южно-Африканская Республика, Республика Хорватия, Республика Северная Македония, Республика Ирландия.

Республика Болгария

Основным документом, регулирующим обязанности руководителей организаций государственного сектора Республики Болгария (далее - Болгария) по управлению рисками, включая такой элемент процесса управления рисками, как оценка рисков, является Закон о финансовом менеджменте и контроле в государственном секторе, положения которого применяются в организациях государственного сектора.

Оценка рисков в соответствии с Законом о финансовом менеджменте и контроле в государственном секторе является элементом процесса управления рисками, включающего выявление, оценку и контроль потенциальных событий или ситуаций, которые могут негативно повлиять на достижение целей организации, и предназначенного для обеспечения разумной уверенности в том, что цели деятельности организации будут достигнуты.

Риск законодательно определяется как событие, которое повлияет на достижение целей организации. Риск измеряется его эффектом и вероятностью его возникновения.

Разумная уверенность - это удовлетворительный уровень уверенности в том, что цели деятельности организации будут достигнуты, который обеспечивается затратами на внутренний контроль, не превышающими ожидаемых выгод от него.

Управление рисками законодательно определено как обязательный элемент финансового менеджмента и контроля.

Руководитель организации, согласно Закону о финансовом менеджменте и контроле в государственном секторе, несет ответственность за определение целей организации, выявление рисков их недостижения и внедрение адекватных и эффективных систем финансового менеджмента и контроля, а также за управление рисками.

Для осуществления деятельности по управлению рисками руководители организаций государственного сектора утверждают стратегии управления рисками, которые обновляются каждые три года или при возникновении существенных изменений в рисковой среде. Контрольные мероприятия, направленные на снижение риска, анализируются и актуализируются не реже одного раза в год [1].

Большое внимание в стратегии уделяют управлению операционными рисками, с которыми организация сталкивается ежедневно и которые могут повлиять на выполнение операционных процессов и действий [2].

При разработке стратегий управления рисками организации включают в документ категоризацию областей рисков [2; 3].

Операционные риски:

• -    ежедневные сложности в реализации операционных процессов и мероприятий;

• -    текучесть и некомплектность кадрового состава;

• -    отсутствие подготовленных и обученных сотрудников для выполнения целей, задач и мероприятий;

• -    допущение ошибок из-за большой загруженности;

• -    некачественное осуществление деятельности одними структурными подразделениями, что приводит к затруднениям в деятельности других подразделений;

• -    технологические проблемы при осуществлении деятельности;

• -    выполнение проектов без необходимой оценки рисков.

Экономические и финансовые риски:

• -    непредоставление необходимых бюджетных средств;

• -    несоответствие планируемых бюджетных средств по размеру и периоду (трехлетнему, годовому, квартальному, месячному), виду деятельности;

• -    незастрахованные риски или неприемлемая стоимость страхования;

• -    ответственность за ущерб, причиненный третьим лицам;

• -    отсутствие актуализированной учетной политики, индивидуального (рабочего) плана счетов и внутренних нормативных документов;

• -    отсутствие обновленных правил и процедур внутреннего аудита.

Риски информационной безопасности:

• -    сбой в работе информационной системы;

• -    потеря, фальсификация или ненадлежащее управление данными;

• -    несанкционированный доступ;

• -    злоупотребление, умышленное, злонамеренное или непреднамеренное воздействие на физическую защищенность информационной базы, документов, регистров на бумажных или иных материальных носителях;

• -    хищение или неправомерное использование материальных активов или денежных средств.

Юридические/регуляторные риски -изменение законодательства, что в свою очередь может привести к изменению требований к осуществлению определенных видов деятельности.

Управленческие риски:

• -    неспособность руководства и персонала выполнять положения и внутренние правила;

• -    неудовлетворительный внутренний контроль;

• -    отсутствие квалифицированного персонала;

• -    отсутствие четких процедур коммуникации, отчетности и контроля за эффективностью;

• -    неадекватная кадровая политика;

• -    предоставление недостоверной информации от различных уровней в структуре организации, которое может привести к принятию неверных управленческих решений.

Контрактные риски:

• -    отсутствие гарантийных или других положений о возмещении убытков;

• -    нарушение правил государственных закупок;

• -    неправильная формулировка в договорах требований к подрядчику и его обязанностям;

• -    заключение договоров с компания-ми/организациями, которые не в состоянии их выполнить.

В организациях в целях построения процесса управления рисками применяется модель трех линий защиты. Первая линия защиты - руководитель организации, «владельцы» рисков, сотрудники организации. Вторая линия защиты - риск-менеджер, структура (рабочая группа) по управлению рисками. Третья линия защиты - внутренний аудит.

Участниками процесса управления рисками, включая оценку рисков, являются руководство и все сотрудники организации.

Процесс оценки рисков в организациях государственного сектора Болгарии проводится в следующем порядке. Все сотрудники организации осуществляют текущую идентификацию рисков. Каждый отдельный сотрудник имеет право и возможность информировать специалиста по оценке рисков о вероятных рисках для достижения целей организации или отдельного структурного подразделения, в котором он осуществляет свою деятельность. Специалист по оценке рисков рассматривает полученную информацию на предмет наличия оснований для информирования риск-менеджера (руководителя структуры по управлению рисками).

При выявлении рисков необходимо учитывать следующее:

• -    все взаимодействия учреждения с другими организациями, клиентами, СМИ и т.д.;

• -    все взаимодействия между структурными подразделениями в учреждении, уровень взаимодействия, уровень знаний, мотивацию и безопасность и т.д.;

• -    вероятности возникновения новых отношений или изменения существующих в процессе осуществления деятельности;

• -    изменения условий деятельности (общественные, социальные или политические отношения, изменение климата, катастрофы, аварии и т.п.) [4].

Риски могут быть выявлены такими методами, как анализ процессов и деятельности, анализ документов, инспекция на месте для выявления текущей проблемы в деятельности, анкеты и опросы сотрудников, получение данных о существующих рисках от сотрудников учреждения по их инициативе (вне рамок анкетирования и опросов) и иные способы по усмотрению руководителей подразделений.

Выявленные риски описываются формулой риск = причина + проблема + следствие. Каждый риск оценивают индивидуально в зависимости от вероятности его реализации и степени воздействия на достижение целей организации при реализации риска. Шкала оценки рисков выбирается организацией самостоятельно, как правило, используют трех- или пятибалльную шкалу для оценки вероятности и воздействия. Оценка самого риска может производиться по другой шкале, чем оценка вероятности и воздействия. Например, в Фонде сельского хозяйства вероятность и воздействие риска оценивают по пятибалльной шкале, а сам риск - по трехбалльной [4].

Оценку рисков осуществляют эксперты по оценке рисков с обязательным участием всех владельцев рисков. Сначала оценивают выявленные неотъемлемые риски, а затем остаточные.

Оценка выявленных неотъемлемых рисков осуществляется по методу Дельфи в два этапа - первоначальная оценка и повторная оценка. На первом этапе на основе перечня выявленных рисков каждый специалист по оценке рисков проводит независимую оценку, заполняя форму оценки потенциального воздействия каждого риска и вероятности его возникновения индивидуально. Оценку рисков производят также руководители структурных подразделений, специалисты по оценке рисков имеют доступ к этим оценкам [4].

После завершения этапа оценки рисков каждым из руководителей структурных подразделений и специалистами по оценке рисков поставленные оценки и дополнительные риски обсуждают на заседании структуры по управлению рисками.

Перечень рисков, общих для организации, может быть дополнен конкретными рисками, специфическими для деятельности каждого отдельного структурного подразделения организации.

На заседании структуры по управлению рисками может быть принято решение об изменении оценки риска. Принятые решения протоколируются.

Члены структуры по управлению рисками после получения полной и обобщенной информации о выявленных рисках проводят очередное заседание, в ходе которого принимается решение о том, какие из дополнительных рисков, выявленных специалистами по оценке рисков, необходимо оценить и включить в реестр рисков. Решение принимается после заполнения индивидуальной формы каждым участником в соответствии с порядком голосования, который устанавливается в стратегии управления рисками.

После принятия решения о включении рисков в реестр рисков члены структуры по управлению рисками производят индивидуальную оценку каждого из рисков, в результате которой или подтверждается оценка специалистов по оценке рисков, или принимается новая оценка. Решение, принятое каждым из членов структуры по управлению рисками, протоколируется.

По результатам оценки рисков руководитель структуры по управлению рисками определяет риски, в оценках которых разными участниками структуры по управлению рисками имеются расхождения.

Отдельно для каждого такого риска обсуждают расхождения в оценках по показателю «воздействие» и по показателю «вероятность». Если к единому мнению об оценке вероятности и (или) степени воздействия прийти не удалось, их оценивают по среднему значению представленных оценок [4].

После согласования оценок по каждому риску принимается окончательная оценка и риски, после подсчета средних арифметических значений вероятности и воздействия, ранжируют по степени важности, формируют реестр рисков, в котором регистрируют оценку неотъемлемого риска, оценку остаточного риска, а также меры, предпринимаемые для управления риском.

Реестр рисков, в состав которого входит план управления рисками, утверждается на заседании структуры по управлению рисками. Планы управления рисками включают результаты оценки рисков и содержат рекомендации для сотрудников организации по принятию мер по снижению рисков. Руководитель структуры по управлению рисками направляет результаты оценки рисков руководителю организации.

На основании отчетности о выявленных рисках и их оценке определяется реакция на риск, которая напрямую зависит от риск-аппетита. Риск-аппетит, которым, согласно Закону о финансовом менеджменте и контроле в государственном секторе, является риск, на который организация готова пойти, чтобы соответствовать своим стратегическим и операционным целям [1], определяется руководителем организации по предложению структуры по управлению рисками и - при необходимости - по согласованию со всеми специалистами по оценке риска.

Южно-Африканская Республика

В Южно-Африканской Республике (далее - ЮАР) в целях внедрения и поддержания эффективных, действенных и прозрачных систем управления рисками применяется документ «Концептуальные основы управления рисками в общественном секторе» (далее - Основы управления рисками) [5], в котором понятие «риск» определено как нежелательный результат, фак- тический или потенциальный, деятельности учреждения по предоставлению услуг и/или по достижению целей другой деятельности, вызванный наличием одного или более факторов риска [5].

Основы управления рисками разработаны в соответствии с требованиями Закона об управлении государственными финансами [6] и Закона об управлении муниципальными финансами [7], согласно которым создание и поддержка эффективных, действенных и прозрачных систем управления финансами и рисками и внутреннего контроля относятся, прежде всего, к основным обязанностям бухгалтера [6].

В зависимости от типа учреждения руководитель или совет директоров утверждают стратегию управления рисками, присущими целям деятельности учреждения, и разрабатывают в соответствии с утвержденной стратегией политику управления рисками.

Оценка рисков определена как систематический процесс количественной оценки или квалификации уровня риска, связанного с конкретной угрозой достижению целей деятельности учреждения или негативным событием, направленный на расширение доступной учреждению информации о рисках.

Поскольку от учреждения не ожидают, что оно будет способно справляться со всеми рисками в равной степени, основная цель процесса оценки рисков заключается в определении приоритетности (ранжировании) наиболее существенных рисков.

Оценка риска осуществляется на основе вероятности его возникновения и его влияния на достижение конкретной цели учреждения, подверженной этому влиянию [5].

Оценка рисков проводится в три этапа:

• 1)    оценка неотъемлемого риска, чтобы установить степень влияния риска при отсутствии действий, направленных на снижение влияния риска;

• 2)    оценка остаточного риска для определения фактического остаточного уровня риска после осуществления действий, смягчающих последствия влияния риска;

• 3)    сопоставление остаточного риска с риск-аппетитом учреждения для опреде-

• ления необходимости дальнейших действий по снижению влияния риска.

Политика управления рисками должна реализовываться в соответствии с принятой стратегией и содержать, в частности, подходы к управлению рисками в конкретном учреждении, перечень ключевых участников процесса с четко прописанными обязанностями каждого из них.

Республика Хорватия

В Республике Хорватия (далее – Хорватия) вопросы организации управления рисками в государственных учреждениях регулирует Закон Республики Хорватия от 19 декабря 2006 г. № 71-05-03/1-06-2 «О системе внутреннего финансового контроля в государственном секторе» [8] (далее – закон о внутреннем контроле).

Понятие «риск» определено в законе о внутреннем контроле как возможность возникновения событий, которые могут негативно повлиять на достижение целей.

Руководитель получателя бюджетных средств несет ответственность за определение и достижение организационных целей, управление рисками.

Для внедрения в деятельность учреждения процесса управления рисками руководитель учреждения должен принять стратегию управления рисками, ежегодно обновлять перечень рисков, значимых для всей деятельности. Контрольные мероприятия, направленные на снижение риска, необходимо анализировать и обновлять не реже одного раза в год [8].

Оценка рисков осуществляется по степени вероятности их возникновения и уровню их воздействия на результаты деятельности учреждения [9].

Анализ рекомендаций по оценке рисков, приведенных в руководстве по управлению рисками, позволяет сделать отдельные выводы о роли сотрудников учреждений в процессе оценки рисков [9]. Согласно рекомендациям для комплексной оценки рисков требуется сочетание двух подходов определения риска ‒ «сверху вниз» и «снизу вверх» ‒ без превалирования информации об операционных рисках над информацией о стратегических рисках. Такой подход предполагает информирова- ние руководителей об операционных рисках, которые могут повлиять на реализацию стратегических целей и приоритетов, то есть при их кумулятивном воздействии могут возникнуть стратегические риски или усилен их эффект.

Изначальную информацию о возможных операционных рисках получают из статистических показателей, финансовых отчетов, баз данных, таких как системы бухгалтерского учета, кадровый учет, учет имущества и тому подобное.

Для выявления риска чаще всего используют следующие методы:

• -    анализ данных/информации из плановых документов, отчетов, регламентов;

• -    анкеты для оценки риска;

• -    совместное обсуждение («воркшоп», «мозговой штурм») [9].

Информация о рисках должна обсуждаться коллективно с целью получения необходимой информации от сотрудников с разным опытом и знаниями. Обычно мозговой штурм проходит устно и поощряет творческий подход участников. При этом важно, чтобы участники учитывали установленные цели деятельности при выявлении рисков. Этот метод очень эффективен с точки зрения обмена информацией и мнениями между различными людьми и уровнями учреждения для достижения наилучших решений [9].

Помимо стратегических документов, источниками информации для определения стратегических рисков являются также отчеты о реализации стратегических документов, многолетние бюджеты / финансовые планы, отчеты о прогрессе Республики Хорватия, отчеты внешнего государственного аудита, поправки к национальным нормативным актам и директивам ЕС, касающиеся областей деятельности учреждения, документы и информация, указывающие на изменения/тенденции в областях, связанных с деятельностью учреждения, и тому подобное.

Операционные риски чаще всего выявляют при подготовке документов оперативного планирования годовых планов работ, планов инвестиций, планов закупок и заключения договоров, финансовых планов и т.д. [9].

Помимо документов оперативного планирования, источниками информации для определения операционных рисков также являются отчеты об исполнении планов, отчеты внешнего и внутреннего аудита, бюджетного контроля, информация о трудностях в деятельности аналогичных учреждений, информация из СМИ, анализ жалоб и судебных разбирательств, сообщения о нарушениях в деятельности учреждения, отчеты о результатах внедрения новых информационных систем, планы реорганизации деятельности, подготовленные проектные предложения и тому подобное [9].

Оценка риска должна основываться на анализе возможных причин и последствий риска, факторов риска и индикаторов риска. Отправной точкой для оценки риска является качественное описание риска, с установленными причинами и последствиями риска, дополненное информацией в виде анализа факторов и индикаторов риска.

Факторы риска - это события, обстоятельства, тенденции, относящиеся к учреждению, характеру и внешним условиям его деятельности, которые могут увеличивать вероятность возникновения и последствия рисков, хотя и не обязательно имеют прямую причинно-следственную связь с рисками.

Факторами риска, например, могут быть:

• -    факторы, связанные с финансовым положением (государственные закупки, контракты и инвестиционнодевелоперские проекты высокой стоимости; доходы и расходы, имеющие большую долю в бюджете/ финансовом плане; изменения крупных по величине статей финансовой отчетности; прогнозы больших по объемам будущих денежных потоков (поступлений и расходов) в связи с капитальными проектами или инвестициями);

• -    факторы, связанные со сложностью деятельности учреждения (реализация многолетних программ или проектов; про-граммы/проекты с большим количеством вовлеченных организационных единиц и/или подведомственных учреждений);

• -    репутационные факторы - наличие направлений деятельности с большим количеством заинтересованных конечных пользователей, СМИ, организаций гражданского общества, профессиональной общественности и т.д.;

• -    факторы, связанные с системой внутреннего контроля (направления деятельности с недостаточно развитыми системами внутреннего контроля; новые программы, проекты, виды деятельности, системы или процессы; выделение средств из национальных фондов и/или фондов ЕС внешним учреждениям с недостаточно развитыми системами управления);

• -    факторы, связанные с масштабными и (или) быстрыми изменениями в деятельности учреждения (нормативные изменения, изменения в информационных системах, значительная текучесть кадров);

• -    подверженность мошенничеству или нарушениям (государственные закупки, заключение контрактов с высокой стоимостью, государственно-частное партнерство и концессии, распределение средств посредством трансфертов и/или субсидий);

• -    время, прошедшее с момента последней проверки / независимого аудита (наличие программ, проектов, не прошедших аудит или независимую оценку в течение длительного периода времени; наличие подведомственных учреждений, которые не были проверены внешним аудитом);

• -    необходимость соблюдать нормативные требования (количество и сложность регламентов, регулирующих ту или иную сферу деятельности; штрафные санкции в случае несоблюдения установленных требований [9]).

Индикаторы риска указывают или предупреждают, что определенные ситуации являются рискованными, особенно для рисков мошенничества и нарушений. Большое количество индикаторов одного и того же риска указывает на повышение вероятности его реализации.

Воздействие риска чаще всего оценивают по трехбалльной шкале - слабое, умеренное и высокое. Учреждения, в зависимости от своей специфики и потребностей, могут более детально оценивать воз- действие риска, например, может быть использовано пять уровней: очень слабое, слабое, умеренное, высокое и очень высокое воздействие.

Выявленным уровням воздействия риска присваивают баллы (например, от одного до трех или до пяти, где один - слабое воздействие, а пять - очень высокое воздействие. Балльная шкала используется для целей расчета общей подверженности риску.

По возможности последствия риска должны быть выражены в денежных суммах, в этом случае балльная шкала привязывается к стоимостным величинам.

Вероятность также оценивают по трех-или пятибалльной шкале с присвоением аналогичной балльной оценки. Вероятность возникновения риска может быть выражена описательно или в процентах [9].

Подверженность риску представляет собой произведение расчетного уровня воздействия риска и расчетного уровня вероятности возникновения риска, т. е. произведение баллов, присвоенных расчетным уровням воздействия и вероятности риска.

Подверженность риску также выражается через определенные уровни, при этом чаще всего используют три уровня:

• -    низкий или приемлемый уровень подверженности риску;

• -    средний или допустимый уровень общей подверженности риску;

• -    высокий или неприемлемый уровень общей подверженности риску.

Общая подверженность риску может быть также выражена через пять уровней -незначительный уровень, допустимый уровень, значительный уровень, критический уровень, неприемлемый уровень [9].

В руководстве по управлению рисками установлена обязанность руководителей учреждений назначить на функциональном уровне координатора по стратегическим рискам и координатора по операционным рискам.

Республика Северная Македония

В Республике Северная Македония (далее - Македония) вопросы управления рисками в государственных учреждениях регулируются законом о государственном внутреннем финансовом контроле, согласно которому риск определен как вероятность наступления события, оказывающего негативное влияние на достижение целей субъекта, а управление рисками - это процесс определения и оценки внутренних и внешних рисков, которые могут негативно повлиять на достижение целей организации, и внедрение необходимых средств контроля для поддержания подверженности риску на приемлемом уровне или снижения последствий возможного риска до приемлемого уровня.

Руководитель организации несет ответственность за управление рисками и за установление подотчетности в соответствии с переданными полномочиями и обязанностями. Своим актом руководитель наделяет одного или нескольких руководителей, непосредственно подчиненных ему, полномочиями по управлению рисками.

В целях организации процесса управления рисками руководитель организации принимает стратегию управления рисками. Стратегия управления рисками обновляется каждые три года, а также в случаях существенного изменения риска [10].

Руководитель должен определить перечень задач, при выполнении которых в деятельности сотрудников могут возникнуть те или иные сложные ситуации, имеющие вероятность негативного влияния на управление финансами. Одновременно с разработкой такого перечня должны быть предусмотрены процедуры установления дополнительных мер по решению таких сложных ситуаций, о которых письменно уведомляют сотрудников.

Учреждение должно систематически, не реже одного раза в год, анализировать риски, связанные с деятельностью, разрабатывать соответствующие планы действий по ограничению возможных негативных последствий этих рисков и определять сотрудников, которые будут нести ответственность за выполнение принятых планов [11].

В принимаемые организациями стратегии управления рисками включена клас- сификация рисков, которые могут возникнуть в текущей деятельности организации.

К основными формам операционных рисков относятся [12]:

• -    регуляторные риски: неясные, неточные или недостаточно описанные в правовых нормах действия могут создать риск индивидуальных неправомерных или неэтичных действий сотрудников организации при выполнении ими своих задач и обязанностей;

• -    организационные риски: неадекватная, недостаточно комплексная или нефункциональная структура функциональных обязанностей и должностей в организации является риском для реализации целей и задач;

• -    кадровые риски: недостаточное количество персонала, недостаточные компетенции, квалификация, подготовка работников - риск некачественного, несвоевременного выполнения работ и поставленных задач;

• -    финансовые риски: ненадлежащее финансовое планирование, составление некачественного и нереалистичного бюджета, неприменение положений нормативных актов, регламентирующих учетнофинансовые операции бюджетополучателей, некачественные казначейские операции, несвоевременная оплата обязательств и другие риски для повседневной работы организации;

• -    коммуникационные и ИТ-риски: недостаточные защита оборудования и информации, несоответствие технологического оборудования требованиям и потребностям оперативной деятельности и т.п.;

• -    коррупционные риски.

В целях обеспечения эффективного управления рисками на всех уровнях организации команда менеджеров по управлению рисками совместно со всеми риск-менеджерами разрабатывает методические рекомендации, в которых более подробно определен порядок и установлены все формы документов, где регистрируют выявленные риски и их оценку.

Данные оценки рисков в указанных документах, полученных от всех риск-менеджеров, аккумулируются командой менеджеров по управлению рисками. Вме- сте со всеми риск-менеджерами команда менеджеров по управлению рисками обеспечивает постоянную оценку рисков, мониторинг уровней рисков в целях обновления реестра рисков.

В зависимости от характера риска команда менеджеров по управлению рисками предпринимает необходимые действия в отношении рисков, входящих в ее компетенцию:

• -    изучение форм оценки рисков и сбор дополнительной информации при необходимости;

• -    обобщение оценок рисков, полученных от риск-менеджеров;

• -    перенос записей из полученных форм оценки рисков в реестр рисков (картирование рисков).

Основную ответственность за управление рисками несут:

• -    руководитель организации;

• -    руководители различных уровней в соответствии с их полномочиями и обязанностями.

Республика Ирландия

В Республике Ирландия (далее - Ирландия) в целях оказания методологической помощи организациям сектора государственного управления (далее - организация) в построении эффективной системы управления рисками отделом государственного бухгалтерского учета Департамента государственных расходов и реформ разработано руководство по управлению рисками для государственных департаментов и ведомств [13] (далее - Руководство по управлению рисками).

В этом документе понятие «риск» определено как влияние той или иной неопределенности в виде внутренних и внешних факторов и событий, возникающих при осуществлении деятельности организации, на достижение ее целей.

Руководство по управлению рисками предписывает каждой организации в рамках своей структуры управления разработать стратегию управления рисками. Каждое структурное подразделение организации должно разрабатывать активную политику управления рисками как часть своей системы управления [13].

В организации должны быть определены структуры по управлению рисками c четким распределением обязанностей и ответственности. В соответствии с Законом об управлении государственной службой 1997 года [14] руководители организаций должны в рамках задач каждого структурного подразделения четко определить роли и обязанности соответствующих должностных лиц. При этом в крупных организациях могут быть созданы отдельные структуры по управлению рисками, а в небольших организациях функции и роли по управлению рисками могут совмещаться с другими функциональными обязанностями.

В Ирландии ответственность за управление рисками в каждой организации несет главный бухгалтер организации.

В Руководстве по управлению рисками организациям предлагается использовать для выработки ими собственного подхода к оценке рисков варианты, основанные на методе «картирования рисков» на основе двух критериев: влияние и вероятность.

Каждый сотрудник, являющийся владельцем риска, должен располагать достаточной информацией для правильной оценки своей роли при формировании реестра рисков. Он наделяется определенными полномочиями по внесению изменений в реестр рисков и по осуществлению контроля в процессе управления риском [13].

Каждое структурное подразделение ведет свой собственный реестр рисков. Этот документ используется в качестве основы для реализации и мониторинга деятельности по управлению рисками на уровне структурного подразделения.

На основе реестров рисков структурных подразделений формируется реестр рисков организации. В реестре рисков организации содержится перечень основных рисков и факторов неопределенности, с которыми сталкивается организация. Пересмотр реестров рисков осуществляется ежегодно.

Выводы по результатам анализа зарубежного опыта оценки рисков

Анализ зарубежного опыта управления рисками в организациях бюджетной сферы показал, что вопросы организации процесса управления рисками и ответственности за него во всех рассмотренных странах , кроме Ирландии, регулируют законы: о финансовом менеджменте и внутреннем финансовом контроле в государственном секторе (Республика Болгария [1], о внутреннем финансовом контроле в государственном секторе (Республика Хорватия [8], Республика Северная Македония [10]), об управлении государственными финансами и об управлении муниципальными финансами (ЮжноАфриканская Республика [6]).

Методическое обеспечение системы управления рисками в организациях государственного сектора осуществляют министерства финансов, которые приняли методические рекомендации, инструкции и руководства по управлению рисками. Действие указанных методических документов при этом распространяется на все риски, с которыми сталкиваются в своей деятельности организации государственного сектора, а не только на бюджетные риски.

В Ирландии ведущая роль и ответственность в управлении рисками отведена главному бухгалтеру (бухгалтеру) государственной организации.

Понятие «риск» во всех странах определено в неразрывной связи с достижением целей организации. Риск измеряется эффектом его влияния на достижение целей организации и вероятностью его возникновения.

Методические рекомендации во всех странах, опыт которых был рассмотрен, содержат указание на необходимость разработки в учреждении и утверждении стратегии управления рисками.

В таблице представлен перечень основных документов, регулирующих вопросы управления рисками в организациях бюджетной сферы, принятых в странах, опыт которых был рассмотрен.

Таблица. Основные документы по вопросам регулирования системы управления рис- ками в организациях бюджетной сферы

Страна	Законодательное регулирование вопросов управления рисками	Методическое обеспечение организации процесса управления рисками министерством финансов	Документ на уровне организации, регулирующий процесс управления рисками
Республика Болгария	Закон о финансовом менеджменте и контроле в государственном секторе	Методические указания по управлению рисками в организациях государственного сектора и Методические указания по элементам финансового менеджмента и контроля	Стратегия управления рисками
Южно Африканская Республика	Закон об управлении государственными финансами; Закон об управлении муниципальными финансами	Концептуальные основы управления рисками в общественном секторе	Стратегия управления рисками
Республика Хорватия	Закон о системе внутреннего финансового контроля в государственном секторе	Руководство по управлению рисками в деятельности учреждений государственного сектора	Стратегия управления рисками
Республика Северная Македония	Закон о государственном внутреннем финансовом контроле	Стандарты внутреннего контроля в государственном секторе	Стратегия управления рисками
Республика Ирландия		Руководство по управлению рисками для государственных ведомств и учреждений	Стратегия управления рисками

Во всех методических документах разъясняются основные принципы построения эффективной системы управления рисками:

• -    определение стратегических и операционных целей на соответствующий период как обязательное условие выявления рисков и принятия мер по управлению ими;

• -    неотъемлемость процесса управления рисками от деятельности организации в целом;

• -    установление организационной структуры управления рисками;

• -    участие в процессе управления рисками всех работников организации с четким распределением их ролей и обязанностей в процессе управления рисками;

• -    разработка информационного взаимодействия между работниками в процессе управления рисками.

Процедуры оценки рисков в рассмотренных странах заключаются в экспертной оценке вероятности реализации и воздействия риска участниками системы управления рисками с последующим обсуждением такой оценки и ее согласованием. Отправная точка для оценки риска - описание самого риска, его причин и последствий, а также событий и условий, которые увеличивают вероятность реализации риска и (или) усиливают его воздействие на организацию (факторов риска).

Для оценки вероятности, воздействия и самого риска используют трех- или пятибалльную шкалу.

Процедуры оценки рисков организациями документируются, например, в протоколах заседаний комитетов по риску, иных аналогичных структур, но такие документы организации не размещают в открытом доступе, как правило, с ними могут ознакомиться только участники структур по управлению рисками, руководители и внутренние аудиторы соответствующих организаций, органы государственного финансового контроля.

Критерии оценки вероятности и воздействия рисков (условия, при которых вероятность или воздействие оценивают как низкие, средние или высокие) каждая организация разрабатывает самостоятельно, такие критерии зависят от внешних и внутренних условий деятельности организации и могут изменяться в связи с изменениями этих условий. В рассмотренных документах, регулирующих управление рисками, а также стратегиях управления рисками критерии оценки рисков не приводятся.

Во всех странах управление рисками является одним из элементов финансового менеджмента и внутреннего контроля, для осуществления которого руководитель организации бюджетной сферы принимает стратегию управления рисками, устанавливающую в том числе и организационную структуру управления рисками. Распределение функций и полномочий в системе управления рисками, координация совместной работы всех подразделений в целях обеспечения их непрерывного взаимодействия и обмена информацией о выявленных рисках обеспечивает основу для совершенствования средств контроля, направленных на минимизацию риска, способствует повышению эффективности внутреннего контроля.

Руководитель организации непосредственно в процессе оценки рисков обычно не участвует, а выполняет управленческую и организаторскую роль в построении всей системы управления рисками, включая распределение ответственности за управление рисками в организации.

Оценка риска (включая выявление, определение значимости (уровня) риска с применением критериев вероятности и степени влияния в целях формирования и ведения реестра рисков) осуществляется в двух направлениях:

• -    «сверху вниз» - для рисков, влияющих на достижение стратегических целей организации;

• -    «снизу вверх» - для рисков, влияющих на достижение операционных целей деятельности.

Особое внимание в стратегиях организаций уделено управлению операционными рисками, с которыми организация сталкивается ежедневно и которые могут повлиять на выполнение операционных процессов и действий.

В Российской Федерации в настоящее время вопросы оценки бюджетных рисков в организациях бюджетной сферы регулируют федеральные стандарты внутреннего финансового аудита.

Оценка бюджетных рисков заключается в выявлении бюджетного риска и в определении его значимости (уровня) с применением критериев вероятности и степени влияния в целях формирования и ведения реестра бюджетных рисков.

Оценка бюджетных рисков и анализ способов их минимизации, а также анализ выявленных нарушений и (или) недостатков в целях ведения реестра бюджетных рисков и формирования предложений по его ведению бюджетных рисков являются обязанностями должностных лиц (работников) субъекта внутреннего финансового аудита и субъектов бюджетных процедур.

Порядок оценки бюджетных рисков, формирования и ведения реестра бюджетных рисков установлен федеральным стандартом внутреннего финансового аудита «Планирование и проведение внутреннего финансового аудита» и может быть конкретизирован ведомственными (внутренними) актами организаций бюджетной сферы по вопросам осуществления внутреннего финансового аудита.

В целях развития системы управления рисками в организациях бюджетной сферы необходимо, по нашему мнению, сформировать систему выявления и оценки рисков во взаимосвязи с целями национальных проектов, государственных (муниципальных) программ, в реализации которых принимает участие организация бюджетной сферы, других целей деятельности организаций бюджетной сферы и их отдельных подразделений. Для этого необходимо предусматривать описание рисков при подготовке документов оперативного (годового) планирования деятельности таких организаций (например, обоснований бюджетных ассигнований, планов финансово-хозяйственной деятельности). Это создаст основу для последующей оценки и управления такими рисками.

Кроме того, помимо владельцев бюджетных рисков, по возможности нужно привлекать к оценке рисков других специ- алистов организаций бюджетной сферы -квалифицированных должностных лиц других подразделений (кроме субъекта внутреннего финансового аудита). Это обеспечит более объективную оценку рисков и позволит должностным лицам субъекта внутреннего финансового аудита получить более полную информацию для ведения реестра бюджетных рисков.

При оценке вероятности и степени воздействия рисков необходимо учитывать как внутренние, так и внешние условия деятельности организации бюджетной сферы и возможности их изменения в плановом периоде (для операционных целей) и на долгосрочном горизонте (для стратегических целей), например, возможные изменения законодательства и иных регулятивных норм, изменения в объемах финансирования, изменения в используемом программном обеспечении, и т. п.

Для оценки степени влияния и вероятности реализации бюджетных рисков организации бюджетной сферы должны разработать критерии, в соответствии с которыми степень влияния и вероятность бюджетных рисков оценивают как «высокую», «среднюю» или «низкую». Такие критерии должны разрабатываться в соответствии с характером, целями и условиями деятельности организации бюджетной сферы. При существенном изменении характера, целей и (или) условий деятельности критерии должны также изменяться, но при отсутствии таких существенных изменений критерии оценки степени влияния и вероятности бюджетных рисков должны использоваться последовательно от периода к периоду.

Для оценки степени влияния рисков, последствия реализации которых могут быть оценены в денежном выражении, например, искажение бюджетной отчетности, ущерб, причиненный публичноправовому образованию, риск недостижения целевых показателей государственной (муниципальной) программы, выраженных в денежном измерении, возможно применять критерии, аналогичные используемым для оценки величины искажения информации в бюджетной отчетности в соответствии с пунктами 6 и 7 федерального стандарта внутреннего финансового аудита «Осуществление внутреннего финансового аудита в целях подтверждения достоверности бюджетной отчетности и соответствия порядка ведения бюджетного учета единой методологии бюджетного учета, составления, представления и утверждения бюджетной отчетности».

Оценку степени влияния рисков, последствия реализации которых выражаются не в стоимостном измерении, осуществляют через оценку их влияния на достижение целей деятельности организации бюджетной сферы, в том числе целей реализации национальных проектов, государственных (муниципальных) программ, других целей деятельности организации бюджетной сферы, ее отдельных структурных подразделений.

Если последствия реализации бюджетного риска по мнению должностных лиц, оценивающих этот риск, повлияют хотя бы на одну из целей деятельности организаций бюджетной сферы, ее структурных подразделений, степень влияния этого риска оценивают как высокую. Если не повлияют на достижение целей деятельности организации бюджетной сферы, ее структурных подразделений, то степень влияния этого риска оценивают как низкую. В остальных случаях последствия реализации бюджетного риска оценивают как средние.

Вероятность реализации подавляющего большинства рисков организаций бюджетной сферы в настоящее время возможно оценить только путем профессионального суждения (экспертной оценки, в том числе с использованием метода «мозгового штурма»). Для оценки вероятности реализации бюджетного риска организации бюджетной сферы устанавливают критерии (один или несколько) в соответствии с характером риска и факторами риска (условиями, которые повышают вероятность его реализации).

Например, для оценки вероятности реализации риска нарушения риска законодательства о государственных (муниципальных) закупках можно использовать следующие критерии:

‒ изменения законодательства о государственных (муниципальных) закупках;

‒ изменения в программном обеспечении, используемом для планирования государственных закупок;

‒ смена ключевых сотрудников контрактной службы (контрактного управляющего);

‒ наличие нарушений законодательства о государственных (муниципальных) закупках в предыдущих периодах;

‒ существенное предстоящее увеличение объема государственных (муниципальных) закупок.

Порядок оценки вероятности по установленным критериям организации бюджетной сферы определяют самостоятельно, например, она может оцениваться как средняя арифметическая оценки по нескольким критериям.

Для выявления, оценки и управления рисками целесообразно создать программный продукт, предусмотрев в нем возможность описания рисков при составлении документов годового планирования, актуализации реестра бюджетных рисков, возможность оценки вероятности и влияния рисков несколькими пользователями (владельцами бюджетных рисков, другими участниками системы управления рисков), непосредственных причин возможной реализации рисков и факторов, которые повышают вероятность их реализации, другой информации, необходимой в целях управления рисками.

В целях интеграции в оценку бюджетных рисков зарубежного опыта применения риск-ориентированного подхода в организациях бюджетной сферы предлагаем дополнить федеральные стандарты внутреннего финансового аудита «Права и обязанности должностных лиц (работников) при осуществлении внутреннего финансового аудита», «Планирование и проведение внутреннего финансового аудита», «Реализация результатов внутреннего финансового аудита», а также включить в проект методических рекомендаций по оценке бюджетных рисков положения, уточняющие:

‒ распределение ответственности при проведении оценки и минимизации бюд- жетных рисков (управлении бюджетными рисками);

‒ порядок информационного обмена при ведении реестра бюджетных рисков;

‒ порядок представления информации о результатах оценки и минимизации (устранения) бюджетных рисков.

В целях информирования руководителя главного администратора (администратора) бюджетных средств о бюджетных рисках предлагаем включать в заключение по результатам аудиторского мероприятия и годовую отчетность о результатах деятельности субъекта внутреннего финансового аудита информацию о значимых бюджетных рисках, которые не могут быть минимизированы (устранены) главным администратором (администратором) бюджетных средств (например, когда для минимизации таких бюджетных рисков необходимы изменения законодательства Российской Федерации).

В целях содействия организациям бюджетной сферы во внедрении в их деятельность процесса управления рисками необходимо разработать методические рекомендации по построению системы управления внутренними рисками во взаимосвязи с достижением результатов и целей деятельности организаций бюджетной сферы как части системы внутреннего финансового контроля. Такие методические рекомендации обеспечат единообразное понимание порядка организации, регулирования и осуществления процесса управления рисками, а также формирования отчетности о результатах управления рисками организациями бюджетной сферы.