Что понимается под термином увеличение риска
Что понимается под термином увеличение риска
ГОСТ Р 51897-2011/Руководство ИСО 73:2009
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Термины и определения
Risk management. Terms and definitions
— Примечание изготовителя базы данных.
Дата введения 2012-12-01
Предисловие
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»
Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Февраль 2019 г.
Введение
Настоящий стандарт содержит определения основных терминов в области менеджмента риска.
Применение менеджмента риска имеет прикладную направленность. Поэтому целесообразно при подготовке и пересмотре нормативной документации и стандартов, включающих аспекты менеджмента риска, не устанавливать термины и их определения, дополняющие терминологический словарь разрабатываемого документа, а приводить ссылку на настоящий стандарт. Если в нормативной документации или стандарте использованы термины, относящиеся к менеджменту риска, установленные настоящим стандартом, то обязательным требованием является приведение этих терминов без изменения.
Для снижения количества последствий опасных событий и достижения поставленных целей организации все чаще применяют процессы менеджмента риска и внедряют интегрированный подход к менеджменту риска, направленный на расширение и улучшение перспектив организации. Термины и определения, установленные в настоящем стандарте, имеют более широкое значение и применение, чем термины, установленные в Руководстве ИСО/МЭК 51*, ограниченные аспектами безопасности, т.е. его негативными последствиями. Настоящий стандарт охватывает различные виды и направления деятельности, что позволяет организациям использовать более широкий подход к менеджменту риска.
* Руководство ИСО/МЭК 51:1999 «Аспекты безопасности. Руководящие указания по включению их в стандарты».
Приведенные в стандарте термины ранжированы в следующем порядке:
— термины, относящиеся к риску;
— термины, относящиеся к менеджменту риска;
— термины, относящиеся к процессу менеджмента риска;
— термины, относящиеся к обмену информацией и консультациям в области риска;
— термины, относящиеся к целям и области применения;
— термины, относящиеся к оценке риска;
— термины, относящиеся к идентификации риска;
— термины, относящиеся к анализу риска;
— термины, относящиеся к сравнительной оценке риска;
— термины, относящиеся к обработке риска;
— термины, относящиеся к мониторингу и измерениям.
Область применения
Разделу не присвоен номер для сохранения идентичности стандарта.
Настоящий стандарт устанавливает основные термины в области менеджмента риска. Целью настоящего стандарта является обеспечение единого понимания и использования терминов в области менеджмента риска.
Настоящий стандарт предназначен для применения:
— лицами, участвующими в управлении риском;
— разработчиками межгосударственных стандартов и другой нормативной документации;
— разработчиками национальных стандартов, нормативных документов, процедур, правил и стандартов организации.
Основные принципы в области менеджмента риска установлены в стандарте ИСО 31000 [6].
1 Термины, относящиеся к риску
2 Термины, относящиеся к менеджменту риска
2.1 менеджмент риска: Скоординированные действия по руководству и управлению организацией в области риска (1.1).
management du risque
2.1.1 структура менеджмента риска: Взаимосвязанные элементы, которые обеспечивают реализацию принципов и организационные меры, применяемые при проектировании, разработке, внедрении, мониторинге (3.8.2.1), анализе и постоянном улучшении менеджмента риска (2.1) организации.
risk management framework
cadre organisationnel de management du risque
2.1.2 политика в области менеджмента риска: Заявление высшего руководства об общих намерениях, руководящих принципах и направлениях деятельности организации в области менеджмента риска (2.1).
risk management policy
politique de management du risque
2.1.3 план менеджмента риска: Краткое, схематичное описание деятельности и мероприятий в пределах структуры менеджмента риска (2.1.1), устанавливающих подход, элементы менеджмента и ресурсы, применяемые для менеджмента риска (2.1).
risk management plan
plan de management du risque
3 Термины, относящиеся к процессу менеджмента риска
3.1 процесс менеджмента риска: Взаимосвязанные действия по обмену информацией, консультациям, установлению целей, области применения, идентификации, исследованию, оценке, обработке, мониторингу (3.8.2.1) и анализу риска (3.6.1), выполняемые в соответствии с политикой, процедурами и методами менеджмента организации.
risk management process
processus de management du risque
3.2 Термины, относящиеся к обмену информацией и консультациям в области риска
3.2.1 обмен информацией и консультации: Непрерывные итеративные процессы, выполняемые организацией для обеспечения, распространения или получения информации и участия в диалоге с причастными сторонами (3.2.1.1) по вопросам, относящимся к менеджменту риска (2.1).
communication and consultation
— процесс, который способствует принятию решения на основе убеждения, а не под давлением;
— процесс, который предшествует процессу принятия решения, но не объединяется с ним.
communication et concertation
3.2.1.1 причастная сторона: Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска.
3.2.1.2 восприятие риска: Представления причастных сторон (3.2.1.1) о риске (1.1).
perception du risque
3.3 Термины, относящиеся к целям и области применения
3.3.1 установление области применения: Определение внешних и внутренних факторов, которые следует учитывать при управлении риском и установлении сферы применения критериев риска (3.3.1.3) и менеджмента риска, необходимых для определения политики в области менеджмента риска (2.1.2)
establishing the context
du context
3.3.1.1 внешняя область применения: Внешние условия, в которых организация работает и достигает своих целей.
— внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой на международном, национальном, региональном или местном уровне;
— ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации;
— взаимоотношения с внешними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон (3.2.1.1).
3.3.1.2 внутренняя область применения: Внутренние условия, в которых организация работает и достигает своих целей.
— управление, организационную структуру, обязанности и подотчетность;
— политику, цели и задачи, а также стратегию их достижения;
— возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
— информационные системы, информационные потоки и процессы принятия решений (формальные и неформальные);
— взаимоотношения с внутренними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон;
— стандарты, руководящие принципы и модели работы, принятые в организации;
— форму и объем договорных отношений.
3.3.1.3 критерий риска: Совокупность факторов, по сопоставлению с которыми оценивают значимость риска (1.1).
de risque
3.4 Термины, относящиеся к оценке риска
3.4.1 оценка риска: Процесс, охватывающий идентификацию риска (3.5.1), анализ риска (3.6.1) и сравнительную оценку риска (3.7.1).
du risque
3.5 Термины, относящиеся к идентификации риска
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Риск-ориентированный подход: приоритет реформы госконтроля
 |
| AndreyPopov / Depositphotos.com |
Методы оценки риска в целях снижения общей административной нагрузки на бизнес активно используются в мировой практике. Они положены в основу применяемого при организации и осуществлении контрольно-надзорной деятельности риск-ориентированного подхода, предполагающего зависимость интенсивности проведения мероприятий по контролю (надзору) от категории риска, к которой отнесена деятельность юрлица или ИП.
В России переход от всеобъемлющего контроля (надзора) к дифференцированному с учетом рисков начался несколько лет назад, но риск-ориентированный подход уже зарекомендовал себя как действенный механизм, не только повышающий уровень эффективности деятельности контрольно-надзорных органов за счет оптимального использования ими трудовых, материальных и финансовых ресурсов при проведении контроля (надзора), но и снижающий издержки для бизнеса.
Риск-ориентированный подход является ядром концепции реформирования системы госконтроля (надзора), муниципального контроля в РФ, поэтому его закрепление в недавно принятом Федеральном законе от 31 июля 2020 г. № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (далее – Закон о госконтроле) было закономерным. И хоть сам термин «риск-ориентированный подход» в документе не встречается, но базовые начала новой системы оценки рисков там прописаны.
Курс на внедрение риск-ориентированного подхода
До внедрения риск-ориентированного подхода модель контрольно-надзорной деятельности обязывала контрольно-надзорные органы осуществлять сплошную проверку подконтрольных объектов с определенной периодичностью, что часто приводило к неэффективному расходованию ресурсов. Вместе с тем количество подконтрольных объектов существенно превышало потенциальные возможности контрольно-надзорного органа по их проверке, что препятствовало обеспечению безопасности результатов деятельности подконтрольных субъектов путем госконтроля. Поэтому в целях снижения общей административной нагрузки на субъекты хозяйственной деятельности и повышения уровня эффективности контрольно-надзорной деятельности было принято решение о постепенном переходе на риск-ориентированную модель контроля (надзора) – от тотального контроля (надзора) к дифференцированному планированию проверок в зависимости от уровня риска причинения вреда охраняемым законом ценностям.
Первое упоминание о риск-ориентированном подходе на уровне федерального законодательства появилось в середине 2015 года. Именно тогда в Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» была включена ст. 8.1. «Применение риск-ориентированного подхода при организации государственного контроля (надзора)». Новая норма предусматривала применение с 1 января 2018 года органами государственного контроля (надзора) при организации отдельных видов госконтроля риск-ориентированного подхода как метода организации и проведения госконтроля (надзора), согласно которому выбор интенсивности (формы, продолжительности, периодичности) проведения контрольных мероприятий ставится в зависимость от отнесения деятельности юрлица, ИП и используемых ими при такой деятельности производственных объектов к определенной категории риска либо определенному классу опасности.
В целях реализации указанной нормы было принято Постановление Правительства РФ от 17 августа 2016 г. № 806 «О применении риск-ориентированного подхода при организации отдельных видов государственного контроля (надзора) и внесении изменений в некоторые акты Правительства Российской Федерации» (далее – Постановление Правительства РФ № 806). Им, в частности, предусматривалась апробация нового механизма до 2018 года на трех видах госнадзора – федеральном государственном надзоре в сфере связи, федеральном государственном санитарно-эпидемиологическом надзоре и федеральном государственном пожарном надзоре. Постепенно перечень видов федерального государственного контроля (надзора), в отношении которых применяется рассматриваемый подход, расширялся – в настоящее время он насчитывает 27 позиций.
Для понимания конечных результатов работы по внедрению риск-ориентированного подхода при осуществлении контрольно-надзорной деятельности целесообразно ознакомиться с основными ее направлениями и этапами, обозначенными в Паспорте приоритетной программы «Реформа контрольной и надзорной деятельности» (утв. президиумом Совета при Президенте РФ по стратегическому развитию и приоритетным проектам, протокол от 21 декабря 2016 г. № 12). Согласно Программе развитие ведомственных систем управления рисками в контрольно-надзорных органах предполагает несколько этапов, связанных с достижением каждого из четырех уровней зрелости ведомственных систем управления рисками, включая:
Работа в рамках указанных направлений активно ведется начиная с 2016 года. Но с принятием Закона о госконтроле она перешла на новый, более высокий уровень, предполагающий формирование единой федеральной системы оценки и управления рисками.
Основы новой системы оценки и управления рисками
Базовым правилам управления рисками причинения вреда (ущерба) охраняемым законом ценностям при осуществлении государственного контроля (надзора), муниципального контроля посвящена отдельная глава 5 Закона о госконтроле. Она содержит не только основы системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям, но и категории риска причинения вреда (ущерба) и индикаторы риска нарушения обязательных требований, включая порядок отнесения объектов госконтроля (надзора), муниципального контроля к таким категориям и выявления индикаторов риска нарушения обязательных требований, а также правила учета рисков причинения вреда (ущерба) охраняемым законом ценностям при проведении контрольных (надзорных) мероприятий.
Так, ст. 22 Закона о госконтроле предусматривает необходимость осуществления госконтроля (надзора), муниципального контроля на основе управления рисками причинения вреда (ущерба), определяющего выбор профилактических мероприятий и контрольных (надзорных) мероприятий, их содержание (в том числе объем проверяемых обязательных требований), интенсивность и результаты. Стоит отметить, что если из буквального толкования действующей редакции ст. 8.1 Закона № 294-ФЗ следует, что применение риск-ориентированного подхода предусмотрено как возможность, а не обязанность (употребляется конструкция «может применяться»), то в новом Законе соответствующая норма предполагает обязательное использование риск-ориентированного подхода при организации и осуществлении госконтроля (применяется формулировка «контроль (надзор) осуществляются»). Новый формат модели риск-ориентированного подхода будет пронизывать всю систему госконтроля (надзора), муниципального контроля, а не только влиять на частоту проведения плановых проверок.
Отметим, ранее систему управления рисками причинения вреда (ущерба) планировалось распространить только на государственный контроль (надзор) в РФ – упоминания в контексте применения такой системы о муниципальном контроле в первоначальной редакции Проекта Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (далее – Законопроект о госконтроле), который впоследствии стал Законом о госконтроле, не было. Но в процессе доработки текста документа было решено указать о применении системы оценки рисков и в отношении муниципального контроля, но с оговоркой, что в положении о виде муниципального контроля может быть установлено, что система оценки и управления рисками при осуществлении соответствующего вида муниципального контроля не применяется. Однако такое решение не должно противоречить федеральному закону о виде контроля, а также общим требованиям к организации и осуществлению данного вида муниципального контроля. «В этом случае плановые контрольные (надзорные) мероприятия и внеплановые контрольные (надзорные) мероприятия проводятся с учетом особенностей, установленных ст. 61 и 66 Закона о госконтроле», – указывается в ч. 7 ст. 22 Закона о госконтроле.
Кроме того, ст. 22 содержит определения понятий:
Контрольным (надзорным) органам предписано обеспечивать организацию постоянного мониторинга (сбора, обработки, анализа и учета) сведений, используемых для оценки и управления рисками причинения вреда (ущерба). А Правительству РФ – определить общие требования к порядку организации оценки риска причинения вреда (ущерба) при осуществлении госконтроля (надзора), муниципального контроля, включая требования к установлению критериев и категорий риска, порядку отнесения объектов контроля к категориям риска, установлению индикаторов риска нарушения обязательных требований, порядку их выявления, источникам сведений, используемых при оценке риска, и порядку их сбора, обработки, анализа и учета, порядку информирования контролируемых лиц об отнесении объектов контроля к категориям риска, периодичности проведения плановых контрольных (надзорных) мероприятий в зависимости от категории риска (ч. 6 ст. 22 Закона о госконтроле).
Категории и индикаторы риска
В Законе о госконтроле сохранена предусмотренная Постановлением Правительства РФ № 806 система категоризации рисков. Как и сейчас, с 1 июля 2021 года (именно с этой даты вступит в силу большинство норм Закона о госконтроле) будет выделяться шесть категорий риска причинения вреда (ущерба):
От отнесения объектов контроля к определенным категориям риска будут зависеть виды и периодичность проведения в отношении них плановых контрольных (надзорных) мероприятий. Категории риска будут определяться в положении о виде контроля соразмерно рискам причинения вреда (ущерба). Причем положением о виде контроля должно быть предусмотрено минимум три категории риска, одна из которых – категория низкого риска (ч. 2 ст. 23 Закона о госконтроле).
Заметим, в Законе о госконтроле не упоминается о классах (категориях) опасности, которые в настоящее время применяются наряду с категориями риска. Также нет зависимости периодичности проведения плановых проверок от уровня госконтроля (федеральный или региональный).
Общие ориентиры для установления периодичности плановых контрольных (надзорных) мероприятий в зависимости от категории риска отражены в таблице:
| Категории риска | Периодичность проведения плановых мероприятий | Учет рисков причинения вреда (ущерба) охраняемым законом ценностям при проведении контрольных (надзорных) мероприятий |
| Чрезвычайно высокий риск | Максимальная частота проведения плановых контрольных (надзорных) мероприятий – не менее одного, но не более двух контрольных (надзорных) мероприятий в год | |
| Высокий риск | Средняя частота проведения плановых контрольных (надзорных) мероприятий – не менее одного контрольного (надзорного) мероприятия в четыре года и не более одного контрольного (надзорного) мероприятия в два года | |
| Значительный риск | ||
| Средний риск | Минимальная частота проведения плановых контрольных (надзорных) мероприятий – не менее одного контрольного (надзорного) мероприятия в шесть лет и не более одного контрольного (надзорного) мероприятия в три года | |
| Умеренный риск | ||
| Низкий риск | Плановые контрольные (надзорные) мероприятия не проводятся |
Стоит отметить, что в первоначальной версии Законопроекта о госконтроле была предусмотрена иная периодичность плановых проверок: для объектов контроля из категории чрезвычайно высокого риска – не менее одного, но не более двух контрольно-надзорных мероприятий в год, если федеральным законом не предусмотрено установление режима постоянного государственного контроля (надзора); для объектов контроля, отнесенных к категориям высокого или значительного риска причинения вреда (ущерба), – не менее одного контрольно-надзорного мероприятия в четыре года и не более одного контрольно-надзорного мероприятия в год; для объектов контроля категорий среднего и умеренного риска – не менее одного контрольно-надзорного мероприятия в шесть лет и не более одного контрольно-надзорного мероприятия в два года. Но многие эксперты указывали на несовершенство исходного текста этих норм – в частности, Комитет Госдумы по безопасности и противодействию коррупции в своем заключении на проект отметил, что «такая правовая конструкция сама по себе нивелирует основы системы оценки и управления рисками и допускает возможность установить большую частоту проведения плановых контрольно-надзорных мероприятий для объектов с наименьшей категорией риска». В процессе доработки текста документа соответствующие положения были скорректированы.
Важным нововведением Закона о госконтроле является норма о возможности освобождения контролируемого лица от проведения плановых контрольных (надзорных) мероприятий в случае заключения договора страхования рисков причинения вреда (ущерба). Речь идет о договоре, объектом которого выступают имущественные интересы контролируемого лица, связанные с его обязанностью возместить вред (ущерб) охраняемым законом ценностям, причиненный вследствие нарушения контролируемым лицом обязательных требований. Но такая возможность будет доступна только в случае ее закрепления в федеральном законе о конкретном виде контроля (ч. 9 ст. 25 Закона о госконтроле).
Отметим, в первоначальной редакции Законопроекта о госконтроле страхованию рисков причинения вреда (ущерба) была отведена отдельная статья, которая помимо расшифровки сути договора страхования предусматривала, что заключение контролируемым лицом со страховой организацией такого договора не может быть основанием для освобождения контролируемого лица от уголовной или административной ответственности за нарушения обязательных требований. Кроме того, в ней содержался открытый перечень требований для страховых организаций, желающих осуществлять страхование рисков причинения вреда (ущерба) контролируемыми лицами (например, обязательное членство в профессиональном объединении страховщиков, наличие не менее чем трехлетнего опыта ведения операций по страхованию гражданской ответственности граждан и организаций и т. п.). Также была закреплена обязанность страховой организации информировать контрольно-надзорные органы о заключении с контролируемым лицом договора страхования рисков причинения вреда (ущерба). Но в окончательный текст Закона о госконтроле эти нормы не вошли.
В целом не все эксперты поддерживают установление в Законе о госконтроле возможности освобождения контролируемого лица от проведения контрольно-надзорных мероприятий в случае заключения договора страхования рисков причинения вреда. Например, представители Комитета Госдумы по федеративному устройству и вопросам местного самоуправления считают, что такое положение вызывает большие сомнения с точки зрения как равенства граждан и организаций (контролируемых лиц), так интересов обеспечения прав и законных интересов иных граждан и организаций. Они полагают, что это может препятствовать достижению заявленных целей Закона о госконтроле. С этим соглашаются и сотрудники Правового управления Аппарата Госдумы. «Неясно, как указанные проектируемые положения согласуются с целями государственного контроля (надзора), муниципального контроля по предупреждению и пресечению причинения вреда, а также их направленностью на достижение общественно значимых результатов, связанных с минимизацией риска причинения вреда (ущерба) охраняемым законом ценностям», – подчеркивалось в заключении Правового управления на Законопроект о госконтроле.
Что касается критериев риска, то в соответствии с Законом о госконтроле они должны учитывать:
Напомним, действующая в настоящее время модель определения критериев отнесения объектов государственного контроля (надзора) к категориям риска ориентируется только на тяжесть потенциальных негативных последствий возможного несоблюдения юрлицами и ИП установленных требований и вероятность их несоблюдения. О добросовестности в п. 6 Правил отнесения деятельности юридических лиц и индивидуальных предпринимателей и (или) используемых ими производственных объектов к определенной категории риска или определенному классу (категории) опасности, утв. постановлением Правительства РФ от 17 августа 2016 г. № 806, не упоминается.
По новым правилам, критерии риска, основанные на достоверных сведениях, характеризующих уровень риска причинения вреда (ущерба) в соответствующей сфере, а также практику соблюдения обязательных требований в рамках вида контроля, должны обеспечивать возможность контролируемому лицу самостоятельно оценивать правомерность отнесения его деятельности или принадлежащих ему иных объектов контроля к соответствующей категории риска.
Для принятия решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия будет необходима разработка индикаторов риска нарушения обязательных требований. Под последними понимается соответствие или отклонение от параметров объекта контроля, которые сами по себе не являются нарушениями обязательных требований, но с высокой степенью вероятности свидетельствуют о наличии таких нарушений и риска причинения вреда (ущерба) охраняемым законом ценностям. Перечень таких индикаторов по видам контроля, включая порядок их выявления, будет утверждать для вида федерального контроля – федеральный орган исполнительной власти и госкорпорация (по согласованию с федеральным органом исполнительной власти), для вида регионального контроля – высший исполнительный орган госвласти субъекта РФ, а для вида муниципального контроля – представительный орган муниципального образования.
Также в Законе о госконтроле прописан порядок отнесения объектов госконтроля (надзора), муниципального контроля к категориям риска и выявления индикаторов риска нарушения обязательных требований. Для этого контрольные (надзорные) органы смогут использовать сведения, характеризующие уровень рисков причинения вреда (ущерба), полученные с соблюдением требований законодательства РФ из любых источников, обеспечивающих их достоверность. Например, это могут быть сведения, собранные в ходе проведения профилактических мероприятий, контрольных (надзорных) мероприятий, использования специальных режимов госконтроля (надзора), полученные от госорганов, органов местного самоуправления и организаций в рамках межведомственного информационного взаимодействия, при реализации полномочий в рамках лицензирования и иной разрешительной деятельности, из представленной отчетности, по результатам предоставления государственных и муниципальных услуг, из обращений граждан и организаций (включая контролируемых лиц), из сообщений СМИ, а также сведения, содержащиеся в информресурсах, в том числе обеспечивающих маркировку, прослеживаемость, учет, автоматическую фиксацию информации. Перечень таких сведений об объектах контроля является открытым (ч. 1 ст. 24 Закона о госконтроле).
Замечания и предложения
В процессе общественного обсуждения Законопроекта о госконтроле, а также в ходе его рассмотрения в Госдуме были высказаны некоторые замечания и предложения относительно применения риск-ориентированного подхода в контрольно-надзорной деятельности. В частности, указывалось на то, что:
Кроме того, предлагалось четко прописать критерии и индикаторы риска, необходимые для изменения ранее присвоенной объекту категории риска. «Например, в настоящее время в ряде видов контроля (надзора) для повышения категории риска, а, значит, и ужесточения интенсивности проверок, достаточно совершить всего одно или два любых правонарушения. Такой подход не учитывает масштаб несоблюдения обязательных требований, существенность допущенных нарушений с точки зрения обеспечения защиты охраняемых законом ценностей. Повышение категории риска в указанном случае должно основываться на выявлении систематических и существенных нарушений», – подчеркивали эксперты.
Некоторые замечания были учтены при доработке текста документа, а остальные так и не нашли в нем отражения. Не исключено, что ряд вопросов будет дополнительно урегулирован в сопутствующих Закону о госконтроле федеральных законах и подзаконных нормативных актах.
***
В начале прошлой недели заместитель Председателя Правительства РФ Дмитрий Григоренко в ходе совещания Президента РФ с членами Правительства РФ указал в качестве одного из приоритетов новой системы госконтроля (надзора) обязательное введение риск-ориентированного подхода при назначении проверок. «Эта норма важна чем? Тем, что теперь все контрольно-надзорные органы в Российской Федерации будут обязаны вести риск-ориентированный подход. Соответственно, все причины нарушений и виды рисков попадут в реестр, и будет прозрачна и понятна причина назначения и проведения проверок. Тем самым, если исключаешь причину, то, естественно, исключаешь непосредственно саму проверку», – подчеркнул он.
Минэкономразвития России также считает создание полноценной системы анализа и учета рисков одним из ключевых положений Закона о госконтроле. По данным министерства, если сейчас риск-ориентированный подход применяется в 34 видах контроля, то после вступления в силу закона он будет распространяться более чем на 200 видов госконтроля.
Применение риск-ориентированного подхода к осуществлению контрольно-надзорной деятельности позволит не только увеличить охват потенциальных нарушителей обязательных требований, но и снизить нагрузку на подконтрольные субъекты, которые не представляют реальной угрозы причинения вреда таким ценностям. При этом и контрольно-надзорные органы смогут сосредоточить свои усилия и ресурсы на проведении контрольно-надзорных мероприятий на объектах, нарушение обязательных требований на которых несет наибольшую угрозу и опасность причинения ущерба.
Укоренение риск-ориентированного подхода в российском законодательстве и следование тем нормам, которые направлены на его реализацию, позволят создать благоприятные условия для оздоровления делового и инвестиционного климата в России.