Методология за оценка на риска и управление на риска във връзка с процедурите за вътрешен контрол на опрр І. Въведение



Дата12.06.2017
Размер202.55 Kb.
методология за оценка на риска и управление на риска във връзка с процедурите за вътрешен контрол на ОПРР

І. ВЪВЕДЕНИЕ
Управлението на риска е част от вътрешната система за контрол. Целта на управлението е да открие рисковете, поставящи под съмнение доброто функциониране на ОПРР, да ги оцени и да намали критичните рискове. Добре управляваното поемане на риск се разглежда като предпоставка за постигането на устойчиво подобрение на дейността на организацията.

По своята същност управлението на риска представлява съвкупност от процеси на идентифициране, оценка и контрол на рисковете, чрез които се осигурява изпълнението на целите на ОПРР и се постига ефективно управление.

Съгласно Общия регламент (ЕС) № 1083/11.07.2006 г. относно определянето на общи разпоредби за Европейския фонд за регионално развитие, Европейския социален фонд и Кохезионния фонд и за отмяна на Регламент (ЕО) № 1260/1999, Регламента на Комисията № 1828/08.12.2006 и националното законодателство, следва да бъдат създадени качествени системи за контрол на оперативните програми, което включва и настоящата методология за управление и оценка на риска.

ІІ. Определения

С оглед осъществяването на качествени процедури за оценка и контрол на риска, в настоящата методология следва да бъдат дадени следните определения:



  1. Риск означава функция на вероятността от неблагоприятно събитие, осуетяващо дейността на организацията и сериозността на този ефект, вследствие на наличието на опасност;




  1. Анализ на риска означава процес, състоящ се от три взаимосвързани компонента: оценка, управление и обмяна на информация за риска;




  1. Оценка на риска означава научно обоснован процес, състоящ се от четири етапа: определяне на опасност, охарактеризиране на опасността, оценка на въздействието при излагане на опасност и охарактеризиране на риска;




  1. Управление на риска означава процес на претегляне на алтернативни политики в консултации със заинтересованите страни, обсъждане на оценката на риска и други основателни фактори, а при необходимост и избор на подходящи възможности за превенция и контрол;




  1. Критерии за оценка на риска означава признаци, въз основа на които се прави преценка на установяването, функционирането и надеждността на предварителния контрол като елемент от системите за финансово управление и контрол.




  1. Обмяна на информация за риска означава интерактивната обмяна на информация и възможности в процеса на анализ на риска по отношение на рисковете и свързаните с риска фактори и възприятия сред лицата, които отговарят за оценката и управлението на риска, предприятията, и други заинтересовани страни, включително разясняване на заключенията от оценката на риска и мотивите за вземане на решения за неговото управление, с оглед обмен на добри практики;




  1. Мониторинг означава наблюдение, управление и контрол на определен вид дейност.




  1. План за управление на риска – документ, изготвян на Годишната работна среща относно риска, одобрен от ръководството на управляващия орган и съдържащ списък с критични рискове, процедури, които ще се прилагат за предотвратяване или намаляване на последиците от настъпване на критичните рискове, както и отговорни лица, за прилагане на процедурите




  1. План за ограничаване на риска - документ, изготвян на вътрешните срещи относно риска, одобрен от Ръководителят на Управляващия орган, включващ процедури по подробен контрол на дейностите по превенция на критичните рискове, чрез прилагане на конкретни мерки и отчет за изпълнение на дейностите за ограничаване на риска до минимални възможни нива


ІІІ. КРИТЕРИИ И МЕТОДИ ЗА ОЦЕНКА НА РИСКА

Управлението на риска е част от вътрешната система за контрол и по-точно от системата на предварителния контрол. Целта на управлението на риска е да установи рисковете, които заплашват постигането на целите на институцията, да оцени тези рискове, и да предотврати критичните рискове. Управляващият орган е отговорен за оценката на риска и вътрешните процедури по контрол. За да се направи преценка за установяването, функционирането и надеждността на предварителния контрол, следва да се проверяват и оценяват критерии, имащи отношение към присъщите рискове за дейността на обекта:

1. честота на структурни промени, имащи отношение към дейността на обекта - многобройните и съществени промени са показател за по-високо ниво на присъщия риск;

2. сложност и характер на извършваните от обекта сделки - по-сложните сделки са показател за по-висока степен на риска;

3. опит и компетентност на ръководството и персонала, ангажирани с функционирането на предварителния контрол - ограниченият опит и недоказаната компетентност са показател за по-висока степен на риска;

4. изпълнение на дадените препоръки и указания от управляващия орган, сертифициращия орган, оценителна комисия, комитета по наблюдение или Европейската Комисия, отнасящи се до предварителния контрол - наличието на много на брой и/или значителни разлики в препоръките е показател за по-високо ниво на присъщия риск;

5. други присъщи рискове, специфични за обекта.

С оглед тази преценка се проверява и оценява функционирането на следните видове контрол:

1. Организационен в рамките на управляващия орган - наличие на вътрешен акт, определящ и разпределящ отговорностите и идентифициращ отчитането на всички аспекти по отношение на предварителния контрол. Делегирането на правомощия и отговорности следва да бъде точно определено;

2. Аритметичен - проверка на аритметичната точност на количествата и сумите във връзка със счетоводното отчитане на операциите.

3. Административен надзор - осъществяване на наблюдение от страна на отговорни лица върху рутинни/обичайни сделки и тяхното записване.

4. Управленски контрол - осъществяване на специални процедури за контрол, упражняван от ръководството на обекта извън всекидневната дейност.

5. Контрол по разрешаване и одобряване - даване на разрешение и одобрение от оторизирани лица за поемане на задължения и/или извършване на разходи;

6. Контрол по подбор на персонала - наличие на процедури, осигуряващи съответствие между компетентностите на персонала и неговите отговорности.



ІV. оценка на риска
При оценката на риска Управляващият орган следва да вземе предвид:

  • Рисковете, които съществуват в неговата област на действие;

  • Възможните последствия и общия ефект при реализация на рисковете;

  • Ефективни методи за оценка и идентифициране на възможни рискове;

  • Вътрешни процедури по контрол за превенция и управление на риска;

  • Алтернативни действия, в случай на реализация на рискове.

Управлението на риска при дейностите на управляващия орган и регионалните отдели се осъществява чрез:



  • Годишна работна среща относно риска

  • Ограничаване на рисковете посредством система за вътрешен контрол

  • Контрол върху риска и продължителен мониторинг върху изпълнението на ограничаващи риска мерки

Годишната работна среща относно риска се провежда веднъж годишно, в 4-тото тримесечие и се осъществява на 3 етапа:

1. Идентифициране на риска

2. Оценка на риска

3. Анализи и интерпретация на резултатите от оценката

Ръководителят на управляващия орган инициира годишната работна среща и определя отговорните по различните области на риск оценители.

Събраните от вътрешни/външни одити данни се вземат предвид като допълнителна информация в процесите по идентифициране и оценка на риска.

Работната група по оценка на риска има следните задачи:

  1. Идентифицира рисковете на базата на целите на Управляващия орган, създавайки списъци от рискове в зависимост от етапите на програмното и проектно управление.

2.Преглежда и обсъжда резултатите от оценката  на рисковете, извършена от оценителите на риска.

3.Определя степента на толериране на рисковете на база на критичните рискове.

4.Анализира и интерпретира резултатите от оценката на рисковете.

5.Обсъжда принципните методи и мерки за отстраняване на критичните рискове.

6.Определя отговорни служители за изпълнение на ограничаващи риска мерки като им възлага изготвянето на план за отстраняването на критичните рискове.

7.Изработва годишен план за управление на риска и го предлага за одобрение на Ръководителя на Управляващия орган.

8.При съмнение, че проявата на риска представлява и нередност уведомява за това служителя по нередностите. 

  Дейността на Работната група по оценка на риска се ръководи от Председателя, който насрочва заседанията и определя дневния ред за провеждането им. Председателят свиква РГ веднъж годишно на сесия с писмена покана по електронен път, изпратена в срок най-малко 5 работни дни преди първото заседание, вкл. дневния ред и материалите към него, деня и мястото на провеждане. Заседанията на РГ се считат за редовни, ако на тях присъстват всички редовни членове или резервни при необходимост. Решенията на РГ се приемат с явно гласуване и с абсолютно мнозинство – повече от половината от членовете на РГ с право на глас.

За всяко заседание на РГ се съставя протокол, който се подписва от председателстващия на РГ. Протоколите и внесените за обсъждане материали по дневния ред и останалата документация, свързана с дейността на РГ, се съхраняват от експерт от отдел „Законодателство, оценка на риска и нередности”. Протоколите се предоставят на всички членове на РГ по електронна поща не по-късно от седем дни след подписването им. 




ІV.1. Идентифициране на риска в системата на управляващия орган и регионалните отдели


Рисковете се определят на базата на целите, които си е поставил Управляващия орган. Управляващият орган поставя целите за следващата календарна година преди започване на годишната работна среща.

Целта на този етап не е да се идентифицират всички възможни рискове, а акцентът трябва да бъде поставен върху сравнително малък брой ключови рискове, които е необходимо да бъдат управлявани.

По време на процеса за определяне на риска следва да се вземат предвид следните типове рискове:


  • външни рискове – рискове, свързани с външни обстоятелства /като например търгове, външни организации, медии и др./

  • вътрешни рискове – рискове, свързани с управляващия орган/ регионални отдели и процеса на работа /например рискове,свързани със системата за обмен на данни, проблеми, свързани с човешкия ресурс, промени в работните задачи, неефикасно управление и др./

Определянето на риска се извършва съвместно от оценителите на риска. Резултатът от този етап е Списък на рисковете.

ІV.2. Оценка на риска в структурата на управляващия орган


Оценката на риска е втората дейност, извършвана на годишната работна среща и се осъществява от оценителите на риска. На базата на Списъка с рискове, всеки оценител осъществява самостоятелна оценка. Оценката на риска се извършва на базата на двуфакторен модел, където оценяваните фактори са:

  • Възможност за реализация на риска;

  • Въздействие на събитието, в случай, че рискът се реализира;

Всеки индивидуален риск се оценява по скала от 1 до 5, както е посочено:


Оценка

Възможност/Вероятност

Въздействие

1

Почти невъзможен

Незначително въздействие

2

Не много вероятен

По-ниско от средното въздействие

3

Средна вероятност (50%)

Средно въздействие

4

Над средната вероятност

Над средното въздействие

5

определено, вече настъпило събитие или почти сигурно

Катастрофа

Таблица № 1



При оценяване на рисковете се изследват следните елементи:

  • Ниво на материална и финансова стабилност;

  • Сложност на законови норми и правила;

  • Минал опит и осъзнати грешки;

  • Ефективност на контрола;

  • Определяне на получените данни, в резултат от предишни одити, инспекции и контрол;

  • Промени в процедурите, структурите и т.н.;

  • Географски и политически фактори.

Председателят на годишната работна среща подготвя единен документ, основан на индивидуалните оценки, представени от оценителите на риска. В него оценката на всеки риск представлява средното аритметично число от оценките на всички оценители, представени поотделно за въздействието и вероятността. Таблицата по-долу илюстрира Списък от рискове /колони 1-3/ и резултатите от индивидуалните оценки на риска /колони 4-5/:





Цел на операция

Риск

Въздей-ствие

Вероятност

1

2

3

4

5

1.

Цел № 1

Риск 1.1.

3

3







Риск 1.2.

5

5







Риск 1.3.

няма

3

2.

Цел № 2 (и т.н.)

Риск 2.1.

5

4







Риск 2.2.

4

4

X

Цел № x....

Риск x

2

4

Таблица № 2 Пример за графично изразяване на рисковете и прага на търпимост/цифрите показват общите оценки на риска, означени в списъка с рискове

Графика № 1


ІV.3. Анализ и интерпертация на резултатите от оценката на риска


В третият етап на годишната работна среща по управление на рисковете оценителите на риска обръщат внимание на следното:

A. Преглед и обсъждане на резултатите от определянето и оценката на риска.

Б. Определяне на праг на търпимост на риска, основан на рискови приоритети (например граници, под които ограничаването на риска ще се окаже неприемливо за Управляващия орган);
В. Обсъждане на основните методи и мерки за ограничаване на най-критичните рискове;

Г. Определяне на отговорни експерти за прилагането на мерки за ограничаване на риска.


Списъкът с рискове се завършва въз основа на разясненията от резултатите при оценка на риска. Допълнителните решения на Управляващия орган ще бъдат основани на този списък.
А. Преглед и обсъждане на резултатите от идентифициране и оценка на риска


  • Въз основа на резултатите председателят на Годишната работна среща определя „рискове под въпрос”, които имат стандартно отклонение повече от 1 (оценителите прилагат различни начини на оценяване на риска). Стандартното отклонение се изчислява отделно за всеки риск, както за „въздействие”, така и за „вероятност”. Онези от рисковете със стандартно отклонение, които надхвърлят 1 (за „въздействие” или за „вероятност”) се смятат за „рискове под въпрос” и за тях се извършва повторна оценка.

  • Рисковете под въпрос се оценяват отново от оценителите, като се следва описаната процедура, която продължава до момента, в който се постигне консенсус.

  • След постигането на консенсус за всеки риск (стандартното отклонение на въздействието и вероятността са равни или по-малки от 1 и „общото въздействие” и „общата вероятност” са установени), двете цифри се умножават и се получава крайния сбор от оценяването.

  • Рисковете се подреждат по важност.

На Работната среща за риска трябва да бъдат представени резултатите на всички оценители, за да могат подробно да бъдат обсъдени и да се вземе решение кои от рисковете трябва да бъдат смятани като „критични”. Трябва да се има предвид, че не всички рискове с висока обща оценка могат да бъдат ограничени (например някои от рисковете могат да имат висока обща оценка, но е възможно да представляват външна опасност, поради което не могат да бъдат ограничени от Управляващия орган).


Б. Определяне на прага на търпимост на риска (т.е. граници, под които ограничаването на риска ще се окаже неоправдано за Управляващия орган)
Определянето на прага на търпимост на риска означава поставянето на разграничителна линия между рисковете, които изискват незабавно действие от страна на Управляващия орган и рискове, които могат да бъдат поставени под наблюдение. При определяне на прага на търпимост на риска се използва следната интерпретация на рисковите приоритети (виж фигурата по-долу):

Графика № 2


Приоритет 1 Критични рискове: това са рисковете, които притежават и двата фактора, оценени със стойност над или равна на 3. Обикновено това е група рискове, които изискват незабавното внимание и подробно разглеждане на дейностите, свързани с управление на риска.
Приоритет 2 Непредвидени рискове: тези рискове трябва да бъдат контролирани преди „системните рискове”, тъй като въздействието им може да бъде значително, въпреки че вероятността да се случат е по-малка отколкото при критичните рискове. За такива рискове обикновено се взимат предпазни мерки (например избухване на пожар).
Приоритет 3 Системни рискове: Тези рискове са с голяма вероятност да се случат, но въздействието им е сравнително ниско. За такива рискове обикновено се взимат предпазни мерки. По-скоро трябва да се има предвид ефектът на натрупването (например поредица от малки проблеми с голямо въздействие при натрупване или системно нарушение).
Приоритет 4 Ирелевантни рискове: Тук се отнасят рисковете, при които и двата фактора са оценени под 3. Основани на нивото рискова допустимост, тези рискове привличат вниманието или не. Това зависи от наличните ресурси и от изискванията на заинтересованите страни.

В. Обсъждане на основни методи и мерки за ограничаване на най-критичните рискове

Годишната работна среща на риска определя основните методи и мерки за ограничаване на най-критичните рискове.




Г. Определяне на отговорни експерти за прилагане на ограничаващи риска мерки


  • Началниците на отдели и ръководителят на Управляващия орган назначават съответните отговорни лица за прилагане на ограничаващи риска мерки.

  • Определените отговорни експерти за прилагане на ограничаващи риска мерки, следвайки инструкциите на ръководството на Управляващия орган, разработват/актуализират план за ограничаване на даден риск.

  • Крайният резултат от Годишната работната среща за риска е План за управление на риска.



Крайният резултат от Годишната работна среща за риска е Планът за управление на риска
Резултатите от оценката на риска предоставят насоки на Управляващия орган за предприемане на мерки за ограничаването на риска. Планът за управление на риска трябва да бъде официално одобрен от Управляващия орган.


V. ПРОЦЕДУРИ ЗА управление НА РИСКА
V.1. Ограничаване на риска
Персоналът, определен за изпълнението на мерки по ограничаване на риска, изпълнява Планове за ограничаване на риска по критичните рискове в конкретните райони за планиране, в съответствие с конкретната възложена отговорност. Плановете за ограничаване на риска включват:

-Подробен контрол на дейностите по превенция на всеки риск, чрез прилагане на конкретни мерките.

-Изпълняване на дейности за ограничаване на риска до минимални възможни нива.
По време на Годишната работна среща, се одобряват дейностите и методите, които са необходими за намаляването на риска. Те трябва да бъдат одобрени от ръководителя на Управляващия орган.

Възможни са различни методи за третиране на риска:


Избягване на риска: Реорганизиране на процеса или дейността, така че да се избегне напълно риска. Например: Ако частно предприятие е определено за бенефциент, рискът ще бъде изключен чрез осъществяване на засилен контрол от публичния орган по всички важни дейности по изпълнение на проекта, както и даване на задължителни указания на частноправния субект.

Диверсификация: Разпределянето и поделянето на рисковете между отделните дейности, организации и служители, дотолкова, че да се намали (ограничи) минимално нивото на риска.

Контролиране на риска: Развитието и осъществяването на контрол по превенция на риска откриване или коригиране (регулиране) на причините за риск, случаите на риск и техните последици. Например: Въвеждането на чек лист за предварително плащане и принципа двойния подпис.

Разпределяне на риска: Разпределянето на риска между партньорите, участниците (контрагенти) или различни договорни части на пазарния риск в схеми за публично-частни партньорства.

Прехвърляне на риска: Прехвърляне на риска на другия партньор. Например: ЕС прехвъля отговорностите по управлението на Евр. Фонд и на риска на страната членка.

Приемане на риска: Изключване на наличието на несъответстващи или незначителни рискове и използването на други техники на управление. Изборът на най-подходящият метод включва балансираност на разходите по изпълнението за всяка опция в съотношение към ползите, произтичащи от това. Например: Рискът служителите на Министерството да не могат да се справят със средносрочната оценка, поради липса на компетентност и опит, може да бъде игнориран, тъй като обучението на персонала е много скъпо и може да отнеме дълго време без сигурен резултат. Затова липсата на компетентност се игнорира и се търси друго решение.

В заключение, разхода по управление на риска трябва да бъде пропорционален на получените ползи. Предпочитаните методи са тези, при които голямото намаление на риска може да бъде постигнато с изключително малки разходи. Все пак подходът изисква да се вземат под внимание и рискове, които са по-малко вероятни, но с голяма степен на въздействие, което решение от тясно икономическа гледна точка не е оправдано.


В много случаи излиза, че използването само на един метод не е достатъчно за конктретен риск. Често е необходимо да се използва комбинация от методи, които да намалят риска.

V.2. Контрол на риска и наблюдение на процеса на ограничаване на риска в Управляващия орган / Регионалните отдели


Управлението на риска е продължителен процес. Въпреки, че редовните работни срещи за риска се провеждат веднъж годишно, оценителите на риска, също както и съставът на Управляващия орган трябва да се запознават периодично с резултатите по идентифициране и управление на рисковете и в случай на откриване на нов риск, да го представят на вътрешни срещи, както и да предлагат мерки за ограничаване. При идентифициране на нов риск, той се разглежда на вътрешна среща. Ако на вътрешната среща бъде решено, че за този риск следва да се предприемат мерки за ограничаването му, то за него няма да се прави оценка на риска както се прави на Годишната работна среща. Вътрешните срещи трябва да излъчат отговорник, който да подготви за конкретния риск план за намаляване на риска, както и да уведомят Председателят на Годишната работна среща за взетите решения. Председателят на Годишната работна среща получава копие от плана за намаляване на риска и добавя този план в Плана за управление на риска. Управляващият орган одобрява плана за управление на риска. Ограничаването на риска може да доведе до въвеждане на нови процедури на основата на принципите за ефективност, благоразумие, както и/или нови дейности.

С цел осигуряване на последователност в наблюдението на процеса за ограничаване на риска, както и последващо управление на риска, мерките са следните:



  • поддържане на база данни за риска;

  • осъществяване на тримесечни вътрешни срещи, на които се преразглеждат управлението и ограничаването на риска.


База данни на риска
Базата данни се състои се от 3 части:
1-ва част: Пълен списък на рисковете и резултати от идентифициране и оценка на риска;

2-ра част: План за управление на риска – списък на критичните рискове, за чието намаляване са определение хора;

3-та част: План за ограничаване на риска.
Базата данни за риска се поддържа от председателя на Годишната работна среща. Отговорните хора, които трябва да обновяват плана за ограничаване на риска трябва да изпратят в електронен вариант плановете на председателя преди тримесечната среща, който от своя страна е длъжен да обнови част 3 на базата данни за риска.
Тримесечни срещи за ограничаване на риска

На тримесечните вътрешни срещи се преразглеждат: класирането в пълния списък на рисковете (част 1 от базата данни за риска), тяхната критичност и вероятност. На всяка тримесечна среща отговорните лица подготвят обновен план за ограничаване на риска и за изпълнението на контрола на риска, както и преразглеждат процеса на ограничаване на риска.

Всички други рискове в списъка на рискове също се преразглеждат и решават, и ако е необходимо някой от тях се определя като “критичен”. Управляващият орган, след доклад от вътрешна работна среща, може да реши да приеме по-нататък конкретни мерки по отношение на този риск, като например: да добави новият критичен риск в плана за управление на риска и да избере отговорник, който да подготви план за неговото ограничаване.

Решенията на вътрешните срещи, включват и информация относно:



  • Наличие и достатъчност на мерки за управление на риска;

  • Необходимост от създаване на нови мерки за нови критични рискове;

  • Необходимост от промяна на мерките за управление на риска, където предприетите са се оказали недостатъчни;

  • Необходимост за намаляване на мерките за управление на риска, когато са ненужни;

  • Необходимост от определяне на крайните срокове и отговорности за осъществяване на горните дейности;

  • Информиране на звеното за вътрешен одит за предприетите дейности и подобряване на плановете за вътрешен одит, базирани на получената информация.

На тримесечни вътрешни срещи е необходимо да присъстват:

  • Представители от ръководството на управляващия орган и регионалните отдели;

  • Председателят на Годишната работна среща;

  • Отговорните лица за критичните рискове.

Други участници могат да бъдат определяни от управляващия орган.

VI. КООРДИНАЦИЯ И СЪТРУДНИЧЕСТВО СЪС ЗВЕНОТО ПО ВЪТРЕШЕН ОДИТ

Обмен на данни между Управляващия орган и звеното за вътрешен одит


Оценката и управлението на риска в рамките на Оперативната програма е задача на ръководството на управляващия орган. Управляващият орган приема свои собствени правила за оценка на риска и мерки за управлението му, включително като се ползват данни от вътрешни одити. Звеното за вътрешен одит може да използва данните от оценката на риска на управляващия орган, като първи етап от собствената си оценка на риска при планиране на одити. Заключенията и препоръките, формулирани в докладите за вътрешен одит, се ползват от управляващия орган за обновяване на базата данни на рискове и за подобряване на процеса по управление на риска. Забележки и препоръки могат да възникнат и като резултат от последващи заключения, след приключване на одити, докладвани от:

  • вътрешни одитори

  • външни одитори

  • данни в одитните доклади по отношение на съответствие с финансовите и счетоводните стандарти по EDIS (Анализи на липсите, Запълване на липсите, Одит за съответствие и Одит за потвърждаване)

Управляващият орган ще следва всички одитни препоръки и ще:

  • гарантира, че съответните корективни мерки са определени и съответстват на препоръките;

- изпълнява съответните корективни мерки чрез различни действия, между които изменения в Процедурният наръчник.

Важно е да се отбележи, че звеното за вътрешен одит, съгласно чл. 32 от Закона за вътрешния одит в публичния сектор, е длъжно да въведе процедурата за оценка на риска като основание за провеждане на процедурата за вътрешен одит, но няма да участва в дейността по управление и оценка на риска по оперативната програма. Тази дейност е задача на управляващия орган.


База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница