Один из важнейших инструментов внутреннего финансового аудитора — реестр бюджетных рисков. Что он из себя представляет, мы рассказали в прошлом номере журнала «Бюджет» (№ 1/2022). Теперь рассмотрим, как работать непосредственно с рисками.
Станислав Сергеевич БЫЧКОВ, действительный государственный советник РФ
Елена Олеговна МЕТЕЛЬКОВА, государственный советник РФ
Описание бюджетных рисков
При выполнении любых действий и операций возможно допущение как недостатков, так и нарушений. По своей сути риски являются контрольными точками, отмечающими слабые места операций, в которых возможны ошибки, которыми в своей деятельности могут пользоваться субъекты бюджетных процедур. Для аудитора же важно, что сами риски определяют вопросы аудиторского мероприятия. Для описания бюджетных рисков также можно выделить два основных подхода, отличных по предмету влияния на бюджетную процедуру в целом или на каждую операцию в отдельности.
1 На бюджетную процедуру в целом влияют события, когда операции, составляющие эту бюджетную процедуру, совершаются с нарушениями (недостатками). Такие негативные события можно условно разделить на четыре основных типа:
- несвоевременное формирование документа;
- несоблюдение требований к формированию документа;
- некорректность показателей (расхождение показателей, используемых для формирования разных документов);
- неполнота формирования документов.
Неполноту формирования можно объединить с несвоевременностью, так как отсутствие документа в необходимый срок и отсутствие документа как такового оказывают схожее влияние на результат бюджетной процедуры. Конечно, все риски определяются во взаимосвязи с операциями, чем обусловлено возникновение иных специфических рисков (например, бюджетный риск отсутствия мер по взысканию в доход федерального бюджета неиспользованных остатков иных межбюджетных трансфертов, имеющих целевое назначение).
Очевидное преимущество подхода к определению рисков через влияние на результат выполнения бюджетной процедуры в целом заключается в отсутствии ограничений к определению причин возникновения риска. Причины могут быть как системными (недостатки средств автоматизации), так и разовыми (недостаточный внутренний финансовый контроль при осуществлении операции отдельным исполнителем). Главный минус же заключается в возможных упущениях при анализе причин возникновения риска, в необходимости выявить первоначальную причину, не подменив ее следствием. В этом случае предложенная мера по устранению (минимизации) такой причины может оказаться неэффективной, устраняя лишь последствия, или просто избыточной.
Событие, приведшее к недостаткам или нарушениям, которое может произойти, а может и не произойти, — это и есть бюджетный риск.
2 Второй подход к определению бюджетных рисков на основе влияния на результат операции заключается в формировании неоднородных узкоспециализированных рисков (например, бюджетный риск несвоевременной передачи запроса на исполнение ответственному лицу). Главный плюс такого подхода заключается в детальности изучения каждой операции. Из недостатков можно отметить вероятность упущения причин, выходящих за детализацию по рискам или определение нескольких рисков с идентичными причинами, а также отсутствие единой логики идентификации рисков, наличие возможности определения неограниченного перечня рисков. Последнее обстоятельство исходит из того, что риск — это вероятность. Событие, влекущее негативные последствия, возможность наступления которых стремится к нулю, тем не менее остается по определению риском.
Отдельно стоит выделить бюджетные риски двух типов. Первые относятся к бюджетной процедуре ведения бюджетного учета, составления бюджетной отчетности и утверждения бюджетной отчетности. Такие риски также связаны с достоверностью бюджетной отчетности, то есть с искажением ее показателей (например, бюджетный риск недостижения целей и несоблюдения порядка проведения инвентаризации объектов бюджетного учета, проводимой перед составлением годовой бюджетной отчетности). Второй тип относится к определению рисков результативности, адресности и целевого характера использования бюджетных средств, характерных для бюджетных процедур по исполнению расходов бюджета, в том числе:
- предоставления межбюджетных трансфертов;
- осуществления социального обеспечения и иных выплат населению;
- организации и осуществления закупок товаров, работ, услуг и других, например бюджетные риски увеличения доли неиспользованных бюджетных ассигнований (лимитов бюджетных обязательств);
- недостижения показателей, установленных соглашениями о предоставлении субсидий.
Каждое вероятностное событие имеет характеристики, которые и определяют необходимость принятия мер по их устранению. Оценка бюджетного риска основывается на двух критериях: вероятности и степени влияния.
Вероятность, то есть оценка самой возможности наступления события, определяется исходя из условий реализации бюджетного риска. Так, причины его наступления являются основой для определения оценки вероятности. В то же время вероятность зависит и от других условий осуществления операции, в том числе от смены владельцев риска, проведения мероприятий по повышению квалификации, а также обеспеченности материально-техническими ресурсами. Вероятность оценивается на базе профессионального суждения аудитора с учетом этих условий. Однако что делать, если аудиторские мероприятия в отношении этого риска никогда не проводились, а информация субъектов бюджетных процедур не может быть оценена как достоверная (например, по причине того, что соответствующая операция является частью новых, ранее отсутствовавших бюджетных полномочий)?
В качестве маркера вероятности могут быть введены дополнительные графы со справочной информацией об изменении оценки качества финансового менеджмента, выявленных органами государственного (муниципального) финансового контроля нарушениях или о недостижении целей организации, которые в итоге и являются последствиями наступления бюджетного риска. Таким образом, информация о вероятности аккумулируется из разных источников, а также основывается на предыдущем опыте осуществления операций.
Причины наступления бюджетных рисков
Причины наступления бюджетных рисков являются основным элементом реестра бюджетных рисков, необходимым для проведения аудиторских мероприятий. С опорой на них производится мониторинг и переоценка бюджетных рисков, выявляются аспекты, обязательные к последующему анализу в рамках аудиторских мероприятий. Кроме того, именно причины требуют постоянной актуализации, не только по результатам деятельности аудитора и субъектов бюджетных процедур, но и в связи с изменением законодательства или нормативно-правовых актов.
Среди наиболее часто встречающихся причин стоит выделить следующие:
- недостаточный внутренний финансовый контроль при осуществлении действий;
- несоответствие локальных актов учреждения требованиям нормативных правовых актов;
- введение новых требований к формированию документов;
- отсутствие установленного порядка представления структурными подразделениями учреждения информации для составления единого документа по учреждению.
Перечень причин наступления бюджетных рисков, конечно, не ограничен и может включать не только состав локальных актов, способы автоматизации процессов и достаточность контрольных действий должностных лиц (работников) учреждения.
В национальном стандарте Российской Федерации «Менеджмент качества. Удовлетворенность потребителей. Руководящие указания по мониторингу и измерению» (ГОСТ Р ИСО
Если вероятность связана с причинами, то степень влияния оценивается на базе возможных последствий. Условно возможные последствия можно разделить на четыре основные группы.
1 Первая группа — это снижение показателей качества финансового менеджмента. Стоит признать, что не все операции имеют соответствующие показатели качества финансового менеджмента, что, например, касается бюджетных процедур в части источников финансирования дефицита бюджета или составления и ведения реестра расходных обязательств. В то же время осуществление отдельных операций сказывается на показателях, отражающих, к примеру, состояние исполнения закона о бюджете. Один из таких показателей — своевременность принятия бюджетных обязательств. Как видно из формулы его расчета, показатель определяет долю принятых бюджетных обязательств в объеме лимитов бюджетных обязательств, то есть поквартальный показатель полноты исполнения доведенных лимитов бюджетных обязательств. Полнота исполнения, соответственно, зависит от объема доведенных лимитов бюджетных обязательств, которые в свою очередь зависят от объема доведенных бюджетных ассигнований. Таким образом, своевременность и полнота представления предложений по внесению изменений в бюджетную роспись также скажется на оценке показателя своевременности принятия бюджетных обязательств.
2 Вторая группа — результаты деятельности органов государственного (муниципального) финансового контроля. Как же выделить те риски, в отношении которых могут быть выявлены факты нарушения, то есть определить возможные последствия? Деятельность органов государственного (муниципального) финансового контроля регламентирована. Есть стандарты осуществления контрольной деятельности, которые также могут описывать вопросы проведения отдельных контрольных мероприятий (например, стандарт внешнего государственного аудита (контроля) «Последующий контроль за исполнением федерального бюджета»). Также определить вопросы проверок можно исходя из предыдущего опыта. По сути, если проводится проверка какой-то операции, то возможное выявление органом госфинконтроля в отношении нее нарушений автоматически является возможным последствием.
3Третья группа включает возможные меры административной ответственности. Определять их в первую очередь стоит на основе положений Кодекса об административных правонарушениях. Конечно, здесь стоит отметить, что большая часть административной ответственности ложится на должностных лиц. Каковы же последствия для учреждения? Наложение административных штрафов на сотрудников учреждения приводит к репутационным последствиям для учреждения, но также и к последствиям в виде снижения мотивации сотрудников.
4 Последней, но не менее важной группой являются последствия в части недостижения целей организации. Здесь подразумеваются не только конкретные задачи учреждения, утвержденные тем или иным документом стратегического планирования, но также и более общие цели организации, в частности:
- недопущение увеличения расходов на уплату неустойки (пеней и штрафов) по неисполненным бюджетным обязательствам;
- обеспеченность организации кадровыми, материально-техническими ресурсами (например, обеспеченность сотрудников программно-техническими средствами в рамках осуществления операций в части закупок товаров, работ, услуг);
- влияние на другие операции (например, своевременность формирования обоснований (расчетов) плановых сметных показателей сказывается на своевременности формирования обоснований бюджетных ассигнований).
Значимый риск не значит плохой, значимый — требующий особого наблюдения. Значимость определяет две вещи: какова вероятность ошибки и какой ущерб будет нанесен.
Возможные последствия в отличие от причин наступления бюджетных рисков можно типизировать. Они мало изменчивы с течением времени, вследствие чего могут быть оценены в балльной системе. Такой подход (выставление определенного количества баллов за наличие последствий по одной из групп) более практичен с точки зрения трудозатрат, чем формирование профессионального суждения по каждой отдельной операции. Тем не менее, конечно, этот подход является лишь одним из примеров оценки.
Оценка значимости (уровня) бюджетного риска установлена федеральными стандартами внутреннего финансового аудита однозначно, в связи с чем оценке критериев вероятности и степени влияния должно быть уделено особое внимание.
В реестр включаются значимые и незначимые бюджетные риски. Зачем это делается? Для системного анализа бюджетных процедур в первую очередь. Без указания незначимых рисков мониторинг перехода незначимых бюджетных рисков в значимые привел бы к постоянному введению и исключению бюджетных рисков, что может сказаться не только на однородности реестра, но и на его полноте.
Незначимые бюджетные риски, как и значимые, требуют определения мер по минимизации, хотя бы с точки зрения сокращения трудозатрат. При этом значимость (вероятность и степень влияния) риска может учитываться при определении объема аудиторских процедур и необходимых доказательств (МСА 330 «Аудиторские процедуры в ответ на оцененные риски»).
Определение владельца риска
В оценке бюджетного риска принимает участие не только аудитор, но и владелец этого бюджетного риска, обладающий полной и актуальной информацией о его состоянии. Федеральные стандарты определяют владельца бюджетного риска как субъект бюджетной процедуры, а субъект бюджетной процедуры, в свою очередь, как руководителя, его заместителей и должностных лиц (работников) структурных подразделений организации.
Структурное подразделение — часть организации, не являющаяся самостоятельным хозяйствующим субъектом. Можно ли посчитать отдел структурным подразделением? В отдельных случаях да. Отдел может являться как самостоятельным структурным подразделением, так и составной частью структурного подразделения. Однозначно определить это возможно, исходя из положения или иного документа, регламентирующего деятельность отдела.
При этом национальным стандартом Российской Федерации «Системы менеджмента качества. Руководство по применению ИСО 9001:2015» (ГОСТ Р 57189-2016/ISO/TS 9002:2016) отмечается, что распределение ответственности за осуществление операций может иногда не совпадать с организационной структурой. Так, определение владельцев рисков стоит осуществлять не только на основе положений о структурных подразделениях и отделах, но и во взаимодействии с ними.
Концепция реестра бюджетных рисков включает также руководство организации в перечень владельцев рисков. Так, при определении операций и рисков учитываются такие события, как сроки подписания документов, которые ранее находились за пределами рисков, включаемых в карты контроля.
Описание владельцев бюджетных рисков в реестре федеральными стандартами однозначно не регламентируется. Мы видим как минимум три способа. Указание конкретных фамилий (с указанием должности или без) позволит более четко распределить ответственность. Тем не менее в таком случае актуализация реестра потребуется в том числе в случаях перераспределения полномочий или увольнения сотрудников. Другой вариант — указание должностей сотрудников, который нивелирует потребность актуализации данных в связи с увольнением, сменой фамилии и другими обстоятельствами. Однако в отдельных случаях по одному риску количество владельцев является значительным (например, в рамках описания рисков по операциям формирования обоснований бюджетных ассигнований), и реестр существенно увеличивается, становясь неудобным для использования. При этом в федеральных стандартах внутреннего финансового аудита не запрещено в качестве владельцев рисков указать, что ими являются руководитель, его заместители, а также все должностные лица конкретных структурных подразделений (с перечислением каких именно).
Описание владельцев бюджетных рисков имеет одно основное ограничение — должны быть указаны должностные лица, но как именно — остается на решение организации. При этом владельцы бюджетных рисков отвечают не только за выполнение (результаты выполнения) бюджетных процедур и операций, но и за реализацию мер по минимизации (устранению) рисков.
Такие меры, согласно федеральным стандартам, должны быть конкретными, измеримыми и иметь срок выполнения, что исключает возможность определения в качестве меры указание на усиление внутреннего финансового контроля, если не обозначен срок, когда это должно быть сделано, не конкретизировано, что должно быть сделано, или нельзя измерить результат такого усиления. В то же время в целях минимизации рисков может применяться введение дополнительных контрольных действий. Меры в первую очередь должны устранять или минимизировать причины бюджетных рисков. При этом, на наш взгляд, меры также могут способствовать сокращению времени или трудозатрат на выполнение операций.
При этом, как отмечено в ISO 31000:2018 Risk management — Guidelines, осуществляемое воздействие на риск (в том числе устранение источника риска, принятие решения не исполнять действия, приводящие к риску и др.), те же меры по минимизации (устранению) бюджетного риска могут не привести к планируемому результату. В связи с чем в том числе проводится мониторинг реализации мер по минимизации (устранению) бюджетных рисков.
Приоритетность мер по устранению бюджетного риска
Количество применяемых мер по устранению бюджетного риска не ограничено, в связи с чем возникает вопрос приоритетности их выполнения. Параметры приоритетности мер также не регламентированы, учреждение определяет их самостоятельно. Например, приоритетность может выставляться, исходя из:
- наибольшего влияния на устранение причин;
- порядка осуществления на основе возможности реализации.
Как это отмечается в национальном стандарте Российской Федерации «Системы менеджмента качества. Требования» (ГОСТ Р ИСО
О пользе реестра
Первичное составление реестра требует значительных трудозатрат. Однако полное и корректное заполнение облегчает его последующую актуализацию, упрощает деятельность аудитора. Реестр бюджетных рисков может стать удобным инструментом для управления рисками, в том числе в части обеспечения включения способов управления ими в локальные акты и другие акты и документы учреждения.
Перечень возможностей не ограничен и определяется также в рамках ведения реестра бюджетных рисков. Меры могут быть направлены на изменение локальных актов, автоматизацию процессов, организацию просветительных мероприятий и повышения квалификации и т. д. При этом саму меру могут исполнять не все владельцы рисков. Так, за издание локальных актов обычно отвечает одно структурное подразделение учреждения. Указание владельцев рисков в качестве справочной информации вносит ясность в разграничение ответственности за реализацию таких мер.
Также в качестве справочной графы могут быть определены сроки исполнения мер, что уменьшит трудозатраты на мониторинг их реализации. При выполнении мер причины возникновения рисков устраняются (минимизируются), следовательно, уменьшается вероятность их наступления, что ведет к необходимости переоценки значимости риска.
Несмотря на значительную пользу дополнительных граф, это также увеличивает объем реестра бюджетных рисков, что делает его громоздким и мешает его актуализации или использованию. Именно поэтому дополнительные графы остаются на усмотрение организации в зависимости от ее потребностей.