"Методические рекомендации по оценке рисков при проведении аудита эффективности" (утв. Коллегией Счетной палаты РФ, протокол от 19.07.2022 N 49К (1574)) (вместе с "Примерным запросом объекту аудита (контроля)") (ред. от 05.12.2023)

"Риск-аппетит"

"Риск-аппетит":

1) представляет собой агрегированный уровень всех рисков, которые объект аудита (контроля) готов принять для достижения результатов;

2) отражает отношение руководства объекта аудита (контроля) к рискам и (или) тот уровень рисков, который руководство готово принять для достижения результатов;

3) отражает ожидания заинтересованных сторон.

Уровень "риск-аппетита" определяется объектом аудита (контроля) самостоятельно и формализуется в политике по управлению рисками (нормативно-методической документации СУР) <30>. Также для объектов аудита (контроля) приемлемый уровень риска может быть ограничен нормативными или иными требованиями.

--------------------------------

<30> Например, Методика оценки рисков Государственной корпорации "Агентство по страхованию вкладов" (утверждена решением Правления ГК "Агентство по страхованию вкладов" от 4 сентября 2017 г., протокол N 107) определяет механизм определения "риск-аппетита" с учетом уровня риска. Уставом открытого акционерного общества "Российские железные дороги", утвержденным постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1838, к функциям совета директоров отнесено утверждение приемлемой величины рисков ("риск-аппетита") для общества, включая подход к ее определению.

Для оценки "риск-аппетита" используются количественный, качественный или смешанный подходы.

При количественном подходе приемлемый уровень риска задается посредством комбинации установления пороговых показателей допустимых отклонений по группе количественных показателей результата.

Далее, зная оценку вероятности реализации рисков, "риск-аппетит" определяется с помощью качественно-количественного метода.

При качественном подходе "риск-аппетит" задается посредством формулирования утверждения, выражающего желаемый уровень принятия рисков. "Риск-аппетит" по качественным показателям может задаваться с помощью балльной шкалы в рамках "системы светофоров".

Таблица 1 - Балльная оценка риск-аппетита и интерпретация операции (действия) объекта аудита (контроля)

Уровень риск-аппетита	Цвет светофора	Операции (действия) объекта аудита (контроля)
Очень низкий		Перечисляются операции (действия), выполнение которых строго запрещено при любых обстоятельствах
Низкий		Перечисляются операции (действия), выполнение которых запрещено. Разрешение на их осуществление может быть получено только в крайнем случае при условии одобрения вышестоящим органом объекта аудита (контроля) соответствии с механизмом эскалации принятия решений
Средний		Операции (действия), обладающие повышенным риском. Могут выполняться только при заданных условиях при условии одобрения вышестоящим руководителем соответствующего уровня в рамках матрицы распределения полномочий и действующего механизма эскалации принятия решений
Высокий		Операции (действия), обладающие умеренным риском. Могут выполняться в рамках нормальной операционной деятельности в рамках установленных лимитов при условии одобрения руководителем соответствующего уровня в рамках матрицы распределения полномочий и действующего механизма эскалации принятия решений
Очень высокий		Операции (действия), обладающие низким риском. Могут выполняться при условии одобрения непосредственным руководителем

При количественно-качественном подходе на основании значения "риск-аппетита" устанавливаются следующие пороги:

Значение рейтинга риска (RR_min, порог существенности риска), ниже которого опасное событие считается несущественным с точки зрения критериев "вероятность-влияние" риска. Эффект от управления такими рисками превосходит затраты по управлению, поэтому активное управление ими нецелесообразно. Объекту аудита (контроля) следует осуществлять периодический (при значениях RR существенно ниже порога значимости риска) или непрерывный (при значениях RR близких порогу значимости риска) мониторинг таких рисков и быть готовым переходить к активному управлению риском в случае превышения данного порога.

Значение рейтинга риска (RR_cr, порог критических рисков), выше которого опасное событие превышает "риск-аппетит" и могут иметь место катастрофические последствия для объекта аудита (контроля). Для таких рисков должны быть в кратчайшие сроки предприняты действия по их снижению до приемлемого уровня (до уровня рейтинга ниже RR_cr). Также этот порог используется при принятии решений руководителями объекта аудита (контроля) для одобрения (в случае RR < RR_cr) или отказа (RR > RR_cr) от совершения действий, сопряженных с возникновением опасного события.

Значение рейтинга риска (RR_тол < RR_cr, порог высоких рисков), выше которого опасные события могут нанести значительный ущерб объекту аудита (контроля). Такими рисками нужно управлять в первую очередь в целях снижения до умеренного уровня (до уровня рейтинга ниже RR_тол).

Приложение N 8. Емкость риска, "риск-аппетит", лимит риска