МІНІСТЕРСТВО ОБОРОНИ УКРАЇНИ

НАКАЗ

02.04.2019 № 145

Про затверджена Порядку організації в системі Міністерства оборони України внутрішнього контролю та управління ризиками

Відповідно до Основних засад здійснення внутрішнього контролю розпорядниками бюджетних коштів, затверджених постановою Кабінету Міністрів України від 12 грудня 2018 року № 1062, з метою здійснення внутрішнього контролю та управління ризиками в системі. Міністерства оборони України наказую:

1. Затвердити Порядок організації в Системі Міністерства оборони України внутрішнього контролю та управління ризиками, що додається.

2. Цей наказ набирає чинності з 01 липня 2019 року.

3. Наказ розіслати до окремої військової частини.

Міністр оборони України

С. Полторак

ЗАТВЕРДЖЕНО
Наказ Міністерства оборони України
02 квітня 2019 року № 145

ПОРЯДОК
організації в системі Міністерства оборони України внутрішнього контролю
та управління ризиками

1. Загальні положення

1.1. Цей Порядок визначає механізм організації і функціонування внутрішнього контролю та управління ризиками в системі Міністерства оборони України, а саме: у структурних підрозділах апарату Міністерства оборони України, у Генеральному штабі Збройних Сил України та його структурних підрозділах, у Державній спеціальній службі транспорту, органах військового управління , з єднаннях, військових частинах, військових навчальних закладах та інших установах і організаціях (далі – установи), що утримуються за рахунок коштів Державного бюджету України.

1.2. Визначення термінів:

– база даних з управління ризиками ~ інформаційний ресурс, створений установою, який об’єднує актуальні результати аналізу ризиків та прийнятих в установі рішень щодо реагування на ризики;

– відповідальні за діяльність – структурні підрозділи Міністерства оборони України (далі – Міноборони) та Генерального штабу Збройних Сил України (далі — Генеральний штаб), органи військового управління, військові частини (установи), які наказами Міноборони визначені відповідальними за реалізацію політики у відповідній сфері, забезпечення військ (сил) відповідною номенклатурою майна в мирний час та особливий період, а також виконують завдання з функціонального управління об’єктами державної власності;

– залишковий ризик – це ймовірна подія, яка може залишати вплив на досягнення визначених цілей, виконання установою функцій, процесів і операцій або мати негативні наслідки після впровадження заходу впливу до попередньо ідентифікованого ризику;

_____________________________________________________________________________

^{У цьому Порядку під органом військового управління слід розуміти органи військового управління, визначені відповідно до Закону України “Про оборону України”, структурні підрозділи Міністерства оборони України та Генерального штабу Збройних Сил України, а також військові частини, організації та установи, які мають у своєму підпорядкуванні інші установи.}

– звіт про стан функціонування системи внутрішнього контролю – щорічний звіт керівника установи про забезпечення достатньої впевненості в досягненні мети внутрішнього контролю, у тому числі в підпорядкованих військових частинах, установах та організаціях;

– координатор внутрішнього контролю — підрозділ внутрішнього контролю органу військового управління, який здійснює координацію роботи з питань функціонування внутрішнього контролю в підпорядкованих військових частинах, установах та організаціях;

– менеджер внутрішнього контролю – посадова особа установи, відповідальна за координацію управління ризиками, здійснення моніторингу та оцінку функціонування системи внутрішнього контролю в установі, яка призначається з числа осіб, безпосередньо підпорядкованих та підзвітних керівнику установи та влада яких розповсюджується на весь особовий склад установи;

– підрозділ координації внутрішнього контролю в Міноборони – структурний підрозділ Міноборони, відповідальний за організацію заходів з удосконалення внутрішнього контролю та координацію управління ризиками в Міноборони;

– підрозділ координації внутрішнього контролю у Збройних Силах України (далі — Збройні Сили) – структурний підрозділ Генерального штабу, відповідальний за координацію внутрішнього контролю та управління ризиками у Збройних Силах;

– план моніторингу внутрішнього контролю – це комплекс заходів моніторингу за відповідністю внутрішнього контролю встановленим вимогам, фактичного виконання визначеним особовим складом заходів контролю та усунення недоліків, виявлених у ході контрольних та аудиторських заходів в установі;

– план управління ризиками – систематизований перелік заходів на відповідний період, який містить ризики в досягненні установою цілей, заходи реагування на ризики, строки їх виконання, відповідальних осіб, обсяги необхідних ресурсів, очікувані та кінцеві результати управління ризиками;

– процес — завершена, з точки зору змісту, хронологічної і логічної черговості, послідовність операцій, необхідних для виконання визначених положенням про установу функцій та завдань;

– реєстр ризиків – документ, що включає опис ідентифікованих ризиків та їх оцінку;

– робоча група з оцінки ризиків — група осіб з числа особового складу установи з достатнім рівнем компетенції у відповідному напрямі діяльності, які здатні ідентифікувати ризики, оцінити ймовірність їх виникнення та вплив на досягнення визначених цілей;

– систематичний ризик – ризик, який притаманний діяльності декількох установ та потребує вжиття заходів щодо реагування на нього на рівні органу військового управління або відповідального за діяльність;

– функції – основні напрями діяльності установи, її структурних підрозділів, в яких відображаються та конкретизуються завдання, визначаються їх сутність та призначення.

Термін “внутрішній контроль” вживається у значенні, що застосовується в Бюджетному кодексі України; терміни “ідентифікація ризиків”, “ризик”, “система внутрішнього контролю”, “внутрішнє середовище”, “управління ризиками”, “заходи контролю”, “інформація та комунікація”, “моніторинг” вживаються у значенні, наведеному в Основних засадах здійснення внутрішнього контролю розпорядниками бюджетних коштів, затверджених постановою Кабінету Міністрів України від 12 грудня 2018 року №1062 (далі – Основні засади); термін “спроможність” вживається у значенні, наведеному в Порядку проведення оборонного огляду Міністерством оборони, затвердженому постановою Кабінету Міністрів України від 31 жовтня 2018 року № 941.

1.3. Відповідальність за організацію внутрішнього контролю та управління ризиками покладається на керівників установ.

Керівник установи організовує та забезпечує здійснення внутрішнього контролю відповідно до цього Порядку, Основних засад та актів законодавства, що регулюють питання планування діяльності установи, бюджетного процесу, управління бюджетними коштами, об’єктами державної власності та іншими ресурсами, організації та ведення бухгалтерського обліку, складення та подання звітності, надання адміністративних послуг, здійснення контрольно-наглядових функцій, здійснення закупівель товарів, робіт і послуг, проведення правової роботи, роботи з персоналом, діяльності із запобігання та виявлення корупції, забезпечення режиму секретності та інформаційної безпеки, захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, організації документообігу, у тому числі електронного, та управління інформаційними потоками, взаємодії із засобами масової інформації та громадськістю, вирішення інших питань, пов’язаних із функціонуванням установи.

1.4. Цілі внутрішнього контролю та управління ризиками:

• дотримання законів, інших нормативно-правових актів, регламентів, правил та процедур, установлених у Міноборони та Збройних Силах;

• забезпечення виконання визначених завдань у найбільш ефективний, результативний та економний спосіб;

• забезпечення оптимального використання ресурсів та збереження їх від втрат, псування, незаконного або неефективного використання;

• попередження потенційних подій, які негативно впливають на досягнення цілей та розвиток спроможностей;

• вчасне використання створених обставинами можливостей щодо покращення процесів та розвитку спроможностей;

• забезпечення достовірності та своєчасності фінансової, статистичної і управлінської звітності та іншої інформації, яка використовується для прийняття управлінських рішень.

1.5. Внутрішній контроль ґрунтується на принципах:

• безперервності – політики, правила та заходи, спрямовані на досягнення визначеної мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності установи, мінімізацію впливу ризиків. Застосовується постійно для своєчасного реагування на зміни, які стосуються діяльності установи;

• об’єктивності – прийняття управлінських рішень на підставі повної та достовірної інформації, що ґрунтується на документальних та фактичних даних і виключає вплив суб’єктивних факторів;

• делегування повноважень – розподіл повноважень та чітке визначення обов’язків керівництва та особового складу установи, надання їм відповідних прав та ресурсів, необхідних для виконання посадових обов’язків;

• відповідальності – керівництво та особовий склад установи несуть відповідальність за свої рішення, дії та виконання завдань у рамках посадових обов’язків;

• превентивності – своєчасне здійснення заходів контролю для запобігання виникненню відхилень від установлених норм;

• розмежування внутрішнього контролю та внутрішнього аудиту – внутрішній аудит здійснюється для оцінки функціонування системи внутрішнього контролю, надання рекомендацій щодо її поліпшення без безпосереднього здійснення заходів з організації внутрішнього контролю, управління ризиками і прийняття управлінських рішень про управління фінансовими та Іншими ресурсами;

• відкритості – запровадження механізмів зворотного зв’язку та забезпечення необхідного ступеня прозорості під час проведення оцінки системи внутрішнього контролю.

1.6. Повноваження керівників та особового складу з питань внутрішнього контролю та управління ризиками:

– Міністр оборони України організовує внутрішній контроль в апараті Міноборони та забезпечує його здійснення в системі Міноборони;

– начальник Генерального штабу – Головнокомандувач Збройних Сил України організовує внутрішній контроль та управління ризиками у Збройних Силах;

– Головний інспектор Міністерства оборони України координує управління ризиками в апараті Міноборони, організовує заходи з удосконалення внутрішнього контролю та здійснює оцінку стану організації та функціонування системи внутрішнього контролю в цілому та/або окремих його елементів у ході інспекційних заходів у системі Міноборони;

– керівники органів військового управління здійснюють координацію, нагляд та оцінку функціонування внутрішнього контролю та управління ризиками в підпорядкованих установах, організовують та забезпечують функціонування внутрішнього контролю та управління ризиками у своїх органах військового управління;

– відповідальні за діяльність здійснюють координацію та нагляд за функціонуванням внутрішнього контролю та управління ризиками у сфері своєї відповідальності;

– керівники установ організовують та забезпечують функціонування внутрішнього контролю у своїх установах;

– особовий склад установ виконує покладені на них завдання з внутрішнього контролю та управління ризиками, відповідно до актів законодавства та затверджених у встановленому порядку посадових інструкцій (функціональних обов’язків).

1.7. Система внутрішнього контролю в установі складається з таких елементів:

• внутрішнє середовище;

• управління ризиками;

• заходи контролю;

• інформація та комунікація;

• моніторинг.

Елементи внутрішнього контролю взаємопов’язані, стосуються всієї діяльності та фінансових і нефінансових процесів установи.

Керівник установи забезпечує належне функціонування та зв’язок усіх елементів внутрішнього контролю.

2. Внутрішнє середовище

2.1. Внутрішнє середовище установи складається з:

• мети (місії), стратегічних та Інших цілей;

• організаційної структури, повноважень, відповідальності та підзвітності керівництва та особового складу установи;

• відповідальності і контролю керівництва за дотриманням законодавства, бюджетної дисципліни та внутрішніх порядків і процедур установи;

• встановлених завдань та функцій, їх розподілу та закріплення за виконавцями (співвиконавцями);

• планування діяльності;

• правил етичної поведінки та додержання особовим складом вимог законодавства у сфері запобігання і виявлення корупції;

• звітності про результати діяльності (порядок запровадження управлінської відповідальності та підзвітності, включаючи показники, досягнуті під час виконання поставлених завдань та заходів, рівні, форми та строки звітування).

2.2. З метою документального відображення окремих елементів, які визначають внутрішнє середовище на етапі запровадження внутрішнього контролю та управління ризиками в установі, здійснюється опис зазначеного середовища.

Опис внутрішнього середовища включає в себе список завдань, функцій (спроможностей), актів законодавства та інших нормативно-правових актів, інструкцій, регламентів, планів, які визначають порядок їх виконання, правил та принципів управління особовим складом, а також визначає розподіл повноважень щодо виконання кожного завдання, функцій та процесів між структурними підрозділами та особовим складом установи.

Опис внутрішнього середовища здійснюється під час запровадження внутрішнього контролю та управління ризиками. До зазначеного опису вносяться періодичні зміни, у разі змін законодавства, визначення нових цілей, завдань та функцій (спроможностей), а також реалізації завдань у рамках затверджених планів діяльності установи. Форма опису внутрішнього середовища наведена в додатку 1 до цього Порядку.

2.3. Опис процесів здійснюється за напрямами діяльності та виконуваними функціями в текстовій та графічній формі шляхом розроблення регламентів, які забезпечують повноту та наочність відображення діяльності структурних підрозділів та особового складу установи.

Регламенти розробляються з метою:

• уніфікації виконання однотипних процесів;

• уникнення дублювання виконання одних і тих самих процесів різними установами, структурними підрозділами, особовим складом;

• чіткого визначення обов’язків та відповідальності кожного виконавця у ході виконання функцій, процесів, операцій.

Рішення щодо розроблення регламентів та доведення їх до заінтересованих установ приймаються відповідальними за діяльність, у межах їх повноважень та сфер відповідальності. Алгоритм складання регламентів наведено в додатку 2 до цього Порядку.

У разі відсутності в установі затверджених відповідальними за діяльність регламентів вони можуть розроблятися самостійно, у першу чергу на процеси, в яких у ході контрольних заходів було виявлено суттєві порушення та ризики зловживань (шахрайства) з матеріальними, фінансовими та іншими ресурсами.

2.4. Визначення цілей

Структурними підрозділами апарату Міноборони, Генерального штабу, органами військового управління всіх рівнів стратегічні цілі діяльності визначаються виходячи з вимог законодавства та інших нормативно-правових актів з питань розвитку сектору оборони та безпеки держави, планів діяльності, завдань щодо набуття (підтримання, позбавлення) відповідних спроможностей.

Установи, які не є органами військового управління, визначають цілі діяльності виходячи з завдань щодо набуття (підтримання, позбавлення) спроможностей та завдань, визначених для них органами військового управління в положеннях про установу.

3. Управління ризиками

3.1. Управління ризиками здійснюється з метою визначення (ідентифікації) та оцінки ризиків для найбільш раннього виявлення можливих порушень та недоліків, неефективного використання ресурсів під час виконання установами функцій, процесів та операцій.

3.2. Управління ризиками здійснюється за принципами:

• безперервності (ідентифікація та оцінка ризиків здійснюються безперервно);

• економності та ефективності (витрати на управління ризиками не повинні перевищувати можливі витрати під час прийняття ризику);

• інтеграції (виявлення ризиків забезпечують усі учасники процесів установи);

• постійного моніторингу (моніторинг рівня ризиків та контроль за результатами виконання заходів з управління такими ризиками здійснюються постійно);

• повноти характеристики (аналіз явищ, пов’язаних з управлінням ризиками, проводиться всебічно);

• історизму (забезпечення ефективності системи управління ризиками здійснюється шляхом використання результатів порівняльно-історичного аналізу);

• системності (достатність і достовірність інформаційного забезпечення управління ризиками; урахування всіх можливих джерел виникнення ризиків та використання способів впливу на них; розроблення заходів, необхідних для уникнення ризику).

3.3. Класифікація ризиків

3.3.1. 3а категоріями ризики поділяються на:

• зовнішні – ризики, імовірність виникнення яких не пов’язана з виконанням організацією функцій і завдань;

• внутрішні — ризики, імовірність виникнення яких безпосередньо пов’язана з виконанням структурними підрозділами та особовим складом покладених на неї функцій та завдань.

3.3.2. За видами ризики поділяються на:

• кадрові – ризики, пов’язані з професійною підготовкою особового складу, якістю виконання ним функціональних обов’язків (посадових інструкцій), у тому числі ризики, пов’язані зі зниженням вмотивованості, станом їхнього здоров’я;

• корупційні – це сукупність правових, організаційних та інших факторів і причин, які заохочують (стимулюють) осіб до скоєння корупційних правопорушень під час виконання ними функцій держави;

• нормативно-правові — це ризики, що виникають у зв’язку з відсутністю, суперечністю або нечіткою регламентацією в законодавстві виконання функцій та завдань;

• операційно-технологічні – ризики, пов’язані з порушенням визначеного порядку виконання функцій та завдань;

• програмно-технічні – ризики, імовірність виникнення яких пов’язана із неналежною роботою технічних засобів та прикладного програмного забезпечення, внесенням до них змін, відповідно до законодавства або їх відсутністю;

• ризики інформаційної безпеки – ризики, пов’язані із впливом на інформаційні системи, які використовуються установою, наслідком яких є порушення конфіденційності, цілісності, автентичності або доступності інформаційних ресурсів;

• репутаційні – дії або події, які можуть негативно вплинути на репутацію установи чи її керівника;

• фінансові — ризики, пов’язані з імовірністю втрат фінансових ресурсів (грошових коштів);

• фінансово-господарські – ризики, пов’язані з неналежним ресурсним, матеріальним забезпеченням тощо;

• інші ризики.

3.4. Ідентифікація та оцінка ризиків

3.4.1. Ідентифікація ризиків полягає у визначенні загрозливих для цілей установи чинників та причин їх виникнення. Ідентифікація здійснюється шляхом аналізу подій, які можуть потенційно вплинути (чи вже впливали) на виконання процесів, частоти їх виникнення та їх впливу на досягнення кінцевого результату (у грошовому або іншому вимірі).

Об’єктом ідентифікації ризиків є управлінські, фінансово-господарські, технологічні та інші процеси, здійснення яких забезпечується структурними підрозділами та особовим складом установи, у межах визначених повноважень та відповідальності, а також системи планування, обліку та звітності, які забезпечують підтримку керівництва в ефективному, результативному та законному використанні ресурсів та активів для досягнення визначених цілей.

3.4.2. Ідентифікація та оцінка ризиків здійснюються визначеними керівником установи членами робочої групи з оцінки ризиків, а також іншим особовим складом, який має належну фахову підготовку у сфері діяльності, щодо якої оцінюються ризики.

3.4.3. Оцінка ризиків за імовірністю виникнення та впливу на здатність установою досягати визначених цілей здійснюється відповідно до Матриці оцінки ризиків, наведеної в додатку 3 до цього Порядку.

Загальний показник ризику визначається як числове значення ймовірності, помножене на числове значення рівня впливу ризику.

Орієнтовні критерії оцінки ризиків наведені; в додатку 4 до цього Порядку. Наведені критерії використовуються установою з урахуванням специфіки та напрямків діяльності, про що зазначається в Положенні про внутрішній контроль установи.

3.4.4. Отримані за результатами ідентифікації та оцінки ризиків дані обробляються робочою групою з оцінки ризиків (визначеним особовим складом) та надаються менеджеру внутрішнього контролю установи у формі Реєстру ризиків, наведеного в додатку 5 до цього Порядку.

Під час формування Реєстру ризиків не допускається:

– включення ризиків, які не впливають на досягнення цілей;

– надання визначень ризиків, які є зворотним формулюванням цілей, завдань та функцій, покладених на установу.

Реєстр ризиків є робочим документом з планування управління ризиками, до якого керівником установи та менеджером внутрішнього контролю вносяться робочі правки та коментарі стосовно обраних способів реагування на ризик, обраних заходів контролю, визначення відповідальних осіб та підрозділів, відповідальних за здійснення заходів контролю.

Реєстр ризиків погоджується та доводиться до заінтересованих керівників структурних підрозділів та особового складу установи в частині, що стосується.

На підставі сформованого робочою групою з оцінки ризиків Реєстру ризиків менеджер внутрішнього контролю готує керівнику установи пропозиції щодо способів реагування: на ідентифіковані та оцінені ризики.

3.4.5. Визначення способів реагування на ідентифіковані та оцінені ризики полягає в прийнятті керівником установи рішення щодо зменшення, прийняття, розділення чи уникнення ризику.

Уникнення ризику означає призупинення (припинення) діяльності, яка призводить до підвищення ризику.

Зменшення ризику означає вжиття заходів, які сприяють зменшенню ймовірності виникнення ризику та/або його впливу.

Розподіл (передача) ризику означає перенесення або розподіл частини ризику.

Прийняття ризику означає, що жодних дій до нього не застосовується. Такий спосіб реагування використовується у випадках:

– якщо за результатами оцінки ризику визначено, що його вплив на діяльність буде мінімальним і суттєво не позначиться на досягненні мети і цілей установи;

– якщо обсяг витрат на заходи контролю перевищує вигоди від зменшення ризику чи ймовірні негативні наслідки від настання ризику;

– якщо можливі способи реагування створюють додаткові суттєві ризики; якщо установа не може вплинути на ризик.

Рішення щодо реагування на ризики приймаються з урахуванням визначеного допустимого рівня ризику. Визначення допустимого рівня ризику є суб’єктивним процесом, однак є важливим аспектом управління ризиками.

Під час прийняття рішення щодо способу реагування на ризик керівники установ звертають увагу на:

– оцінку ймовірності та впливу ризику;

– витрати, пов’язані з реагуванням на ризик, порівняно з отриманою вигодою від його зменшення;

– те, чи не створює обраний спосіб реагування на ризик додаткових ризиків.

3.4.6. Враховуючи результати оцінки ризиків, керівник установи приймає рішення, в якій формі реагувати на ризики.

Під час прийняття рішення щодо реагування на ризики керівник установи повинен врахувати необхідність включення до Плану управління ризиками установи найбільш суттєвих ризиків, які мають визначальний вплив на досягнення цілей та ефективне управління ресурсами.

До Плану управління ризиками установи включається, як правило, не більше 7 ризиків на рік. Прийняті керівником рішення оформлюються у вигляді Плану управління ризиками установи на відповідний рік, за формою, визначеною в додатку 6 до цього Порядку.

План управління ризиками установи на наступний рік затверджується її керівником не пізніше 31 грудня.

Управління іншими ризиками, які не внесені до Плану управління ризиками установи на відповідний рік, здійснюється керівниками та особовим складом структурних підрозділів на підставі витягів з реєстру ризиків установи, доведених до них в частині, що їх стосується.

3.4.7 Для автоматизації процесу управління ризиками керівник установи приймає рішення щодо доцільності створення та ведення бази даних з управління ризиками.

База даних з управління ризиками є допоміжним інструментом підтримки процесу внутрішнього контролю та управління ризиками. Рішення щодо її формування приймається в залежності від кількості покладених на конкретну установу функцій (спроможностей) та складності завдань та виконуваних процесів. Структура бази даних наведена в додатку 7 до цього Порядку.

3.4.8 Підтримка в актуальному стані бази даних з управління ризиками, реєстру ризиків та робочої документації з внутрішнього контролю та управління ризиками доручається одному з членів робочої групи з оцінки ризиків, про що зазначається в положенні про внутрішній контроль установи.

3.5. Процес управління ризиками має вертикальну структуру та здійснюється з урахуванням розподілу ризиків на зовнішні та внутрішні, а також з урахуванням спроможності установи реагувати на відповідні ризики, у межах наданих повноважень та компетенції:

– внутрішні ризики, які оцінено в числових значеннях від 1 до 7, потребують прийняття рішень та/або вжиття заходів контролю безпосередньо в установі, в якій ідентифіковано ризики;

– внутрішні ризики, які оцінено в числових значеннях від 8 до 14, потребують прийняття рішень та/або вжиття заходів контролю на рівні органів військового управління, у разі неможливості їх вирішення – на рівні керівництва установи, в якій ідентифіковано ризик;

– внутрішні ризики, які оцінено в числових значеннях від 15 до 25, потребують розгляду та оцінки їх на рівні органу військового управління на предмет можливого їх систематичного характеру та вироблення способів реагування на такі ризики, а за неможливості реагування – ініціювання питання розроблення відповідальними за діяльність регламентів, або вироблення інших способів реагування;

– зовнішні ризики, які оцінено в числових значеннях від 1 до 16, потребують прийняття рішень та вжиття заходів контролю на рівні відповідних органів військового управління до виду Збройних Сил включно та відповідальних за діяльність;

– зовнішні ризики, які оцінено в числових значеннях від 20 до 25, потребують прийняття рішень та/або вжиття заходів контролю на рівні керівництва Генерального штабу та Міноборони.

3.6. Внесення змін до реєстру ризиків та плану управління ризиками

3.6.1. За результатами моніторингу внутрішнього контролю, аналізу управлінської інформації та звітних документів щодо досягнення встановлених результатів діяльності, рекомендацій підрозділу внутрішнього аудиту менеджером внутрішнього контролю та робочою групою з оцінки ризиків здійснюється перегляд ризиків, готуються пропозиції щодо внесення змін до реєстру ризиків та плану управління ризиків на предмет уточнення, вилучення, доповнення їх інформацією стосовно окремих ризиків, а також уточнення заходів контролю і осіб, відповідальних за їх здійснення.

3.6.2. По завершенні контрольних заходів, внутрішніх аудитів та наданих за їх результатами рекомендацій (пропозицій) керівнику установи та керівникам структурних підрозділів менеджером внутрішнього контролю спільно з робочою групою з оцінки ризиків аналізуються слабкі місця внутрішнього контролю, здійснюється перегляд неефективних заходів контролю, складаються плани усунення недоліків, вносяться зміни до реєстру ризиків та плану управління ризиками, уточнюється план моніторингу внутрішнього контролю.

3.6.3. Періодичність перегляду ризиків встановлюється не рідше ніж один раз на рік, а позаплановий перегляд ризиків здійснюється у разі суттєвих змін у внутрішньому середовищі, зміни законодавства, виявлення фактів порушень законодавства (у тому числі шахрайства, корупційних правопорушень чи порушень, пов’язаних з корупцією) та (або) завершення контрольних (аудиторських) заходів.

3.7. Ефективне управління ризиками в установі передбачає:

– обробку, систематизацію та аналіз інформації щодо ідентифікації та оцінки ризиків за всіма напрямами діяльності;

– підтримку в актуальному стані реєстру ризиків;

– визначення можливого часу настання ризиків для якісного планування строків виконання заходів щодо реагування на них;

– визначення ресурсів, необхідних для управління ризиками та включення відповідних заходів до проектів бюджетів, кошторисів установи;

– визначення прогнозованого ефекту (якщо це можливо у грошовому вимірі) від виконання заходів реагування на ризики та рівня залишкового ризику;

– розробку, затвердження та виконання Плану управління ризиками на відповідний рік і своєчасне внесення змін до нього (за необхідності);

– систематичне здійснення заходів контролю визначеним особовим складом установи;

– інформування, за підпорядкованістю координаторів внутрішнього контролю органів військового управління, щодо систематичних ризиків та ризиків, які потребують вирішення на їх рівні управління та на рівні відповідальних за діяльність;

– контроль за виконанням плану управління ризиками.

4. Заходи контролю

4.1. Для забезпечення результативності запроваджених заходів контролю та впливу на ризики вони повинні відповідати таким умовам:

• доцільності “ відповідні заходи контролю у відповідному місці та відповідно до ризику, якого це стосується;

• послідовності та періодичності ~ особовий склад повинен постійно дотримуватися вимог законодавства та керівних документів,: регламентів та процедур тощо і не порушувати їх;

• економічності — ресурси, необхідні для здійснення контролю, не повинні перевищувати очікуваний ефект;

• повноти, обґрунтованості та безпосереднього відношення до цілей контролю.

4.2. Заходи контролю поділяються за часом здійснення, характером контрольних дій, повнотою охоплення, способами перевірки та періодичністю.

4.2.1. За часом здійснення заходи контролю поділяються на:

• попередні – які призначені для запобігання відхиленням, помилкам і зловживанням, які виконуються до фактичного початку процесу (операції) та спрямовані на обмеження можливості виникнення ризику;

• поточні – які призначені для своєчасного виявлення і негайного відвернення чи усунення відхилень, помилок і зловживань під час виконання операцій, вбудованих у процеси, які здійснюються в режимі реального часу;

• подальші – які призначені для виявлення і усунення (коригування) відхилень, помилок і зловживань (небажаних результатів) після завершення процесу (операції, процедури).

4.2.2. За характером дій заходи контролю поділяються на:

превентивні — які спрямовані на обмеження можливості виникнення ризику, помилок, відхилень чи інших небажаних наслідків, що досягається шляхом ретельного підбору особового складу на посади з матеріальною відповідальністю, виконанням процедур візування, погодження та затвердження;

директивні – які впливають на поведінку особового складу для забезпечення досягнення конкретного результату, що забезпечується чітким розподілом обов’язків та повноважень, встановленням режиму доступу до активів та матеріальних цінностей, інформаційних ресурсів;

виявляючі — які перевіряють результати після виконання управлінського рішення, операції чи виникнення події, у тому числі виявляють відхилення чи небажані наслідки, та здійснюються шляхом інвентаризацій, перевірок ведення складського обліку, дотримання порядку прийому та зберігання матеріальних цінностей на складах тощо;

коригуючі – які призначені для усунення відхилень чи небажаних наслідків, зменшення ризиків помилок та втрат, що досягається шляхом ротації особового складу, захистом приміщень від несанкціонованого доступу до активів і бухгалтерських записів санкціонуванням доступу до інформаційних систем.

4.2.3. За повнотою охоплення заходи контролю поділяються на:

• суцільні – які охоплюють усі без винятку операції;

• вибіркові – під час яких перевіряються окремі операції;

• наскрізний – які супроводжують здійснення всіх процесів від початку до завершення.

4.2.4. За способом перевірки заходи контролю поділяються на:

• документальні – які засновані на перевірці документів та бухгалтерських записів;

• фактичні – які здійснюються шляхом вимірювання, зважування, перерахунку та інших аналогічних процедур, з метою встановлення дійсного кількісно-якісного стану об’єктів перевірки.

4.2.5. За періодичністю заходи контролю поділяються на:

• постійні — які здійснюються безперервно;

• періодичні – які здійснюються через визначені проміжки часу;

• раптові — строки проведення яких не повинні бути відомі зацікавленим особам.

4.3. Заходи контролю здійснюються на всіх рівнях діяльності установи щодо всіх функцій І завдань та включають типові правила і процедури контролю.

4.3.1. Процедури контролю включають у себе політику і процедури, розроблені для досягнення конкретних цілей установою.

До процедур належать: арифметична перевірка, перевірка і підтвердження результатів звірянь; контроль за інформаційними системами та доступом до них; візування документів; контроль за виконанням документів; порівняння внутрішніх даних з зовнішніми джерелами; порівняння результатів інвентаризації з даними обліку; обмеження прямого фізичного доступу до активів і записів тощо.

4.3.2. Типові правила і процедури контролю:

• авторизація та підтвердження, які передбачають погодження і затвердження операцій та дій до їх фактичного виконання;

• розподіл обов’язків та повноважень, який запроваджується з метою зменшення кількості ризиків помилок чи втрат, протиправних порушень, виявлення можливих проблем;

• подвійний контроль, який полягає в дотриманні правила “двох рук” під час здійснення операцій, підготовці пропозицій щодо прийняття рішень з питань управління ресурсами та відповідно до якого здійснення та облік операцій не може належати до повноважень однієї особи;

• контроль за доступом до ресурсів та облікових записів, а також закріплення відповідальності за збереження і використання ресурсів, що зменшує ризик їх втрати чи неправильного (незаконного) використання;

• контроль за достовірністю проведених операцій, перевірка процесів та операцій до та після їх проведення, звірка облікових даних з фактичними;

• оцінка загальних результатів діяльності установи, окремих функцій та завдань на підставі визначених для цих установ ключових показників ефективності;

• систематичний нагляд за роботою кожного структурного підрозділу та всього особового складу установи;

• нагляд, який забезпечує оцінку досягнення поставлених цілей або показників, повноти та своєчасності облікових операцій, обґрунтованості кошторисів та розрахунків, повноти та своєчасності звітності;

• інші правила та процедури, у тому числі визначені регламентами, затвердженими в установленому порядку, механізмами контролю за порядком та своєчасністю виконання документів та правилами внутрішнього розпорядку тощо.

Для цілей запобігання зловживанням найбільш ефективними процедурами внутрішнього контролю є санкціонування (авторизація) операцій, у тому числі господарських, розподіл повноважень та ротація обов’язків, контроль фактичної наявності та стану об’єктів, ресурсів та активів, а також проведення періодичних інвентаризацій військового майна.

5. Організація інформаційного та комунікаційного обміну

5.1. Інформаційний та комунікаційний обмін повинен гарантувати керівникам усіх рівнів наявність інформації, необхідної для прийняття рішень Із виконання покладених на них завдань та функцій (досягнення визначених спроможностей).

5.2. Інформація, необхідна для прийняття рішення керівником, може бути фінансового і нефінансового характеру та потребувати аналізу і пояснення.

5.3. За основними вимогами інформація повинна бути:

– доцільною, що передбачає наявність лише необхідної інформації;

– своєчасною, що передбачає отримання інформації у визначений час; актуальною, тобто інформація не повинна застаріти до її отримання; чіткою, тобто правильною та достатньо деталізованою;

– доступною, що передбачає вільний доступ до інформації зацікавленим учасникам процесу.

5.4. Для забезпечення отримання інформації необхідно, щоб усі операції, важливі події та процедури контролю були повно, своєчасно та достовірно задокументовані. Якщо інформація є необхідною для прийняття рішень керівництвом, відповідні операції та події повинні бути зафіксовані, оброблені та передані негайно після їх настання.

5.5. Комунікація (процес обміну Інформацією) повинна проходити в усіх напрямах діяльності установи через усі її структурні підрозділи та доводитися до всього особового складу, у межах визначених повноважень та відповідальності. Комунікація повинна здійснюватися як від керівництва установи до особового складу, так і у зворотному напрямку, а також між усіма структурними підрозділами, посадовими особами установи і зовнішніми зацікавленими сторонами у ході виконання завдань, функцій та процесів.

5.5.1. Керівництво установи:

– має бути обізнаним про виконання функцій, завдань, досягнення, ризики та функціонування системи внутрішнього контролю, а також про інші необхідні для прийняття рішення події та питання;

– зобов’язане інформувати особовий склад про свої інформаційні потреби та надавати йому необхідну інформацію і вказівки;

– повинно надавати особовому складу специфічну та спрямовану інформацію щодо своїх очікувань у всіх аспектах діяльності;

– має забезпечити адекватні засоби комунікації із зовнішніми сторонами, а також засоби для отримання інформації від них (зовнішні сторони можуть надати інформацію, яка матиме суттєвий вплив на те, якою мірою установа досягатиме поставлених цілей).

5.5.2. Особовий склад установи повинен:

– знати про відповідальність щодо виконання конкретних заходів контролю;

– розуміти свою роль у системі внутрішнього контролю, а також як їх особиста діяльність співвідноситься з роботою інших посадових (службових) осіб.

5.5.3. Комунікація можлива лише у разі представлення інформації своєчасно та у формі, зрозумілій для користувача інформації.

5.5.4. Для реалізації внутрішнього контролю і процесу управління ризиками використовуються такі джерела інформації:

• фінансова та управлінська звітність;

• статистична та історична інформація;

• схеми матеріальних та інформаційних потоків;

• затверджені правила та процедури;

• стандартизовані опитувальні листи;

• робочі наради;

• нормативно-правові акти, стратегічні та операційні плани діяльності, у тому числі щодо внутрішнього середовища установи.

У залежності від специфіки діяльності установи представлений перелік може бути розширений до необхідних обсягів.

5.6. Для забезпечення ефективного функціонування внутрішнього контролю та управління ризиками на всіх рівнях управління установи щороку за підпорядкованістю подають до органів військового управління вищого рівня інформацію, згруповану за напрямами відповідальних за діяльність щодо ризиків, які потребують вжиття заходів на вищому рівні, у тому числі шляхом розроблення актів законодавства, регламентів та вироблення інших заходів реагування.

Органи військового управління аналізують надану інформацію, визначають наявність ризиків системного характеру та приймають рішення щодо способів реагування на такі ризики на своєму рівні або щодо надання відповідної інформації до органів управління вищого рівня та відповідальних за діяльність.

Відповідальні за діяльність, у межах повноважень, аналізують отриману інформацію, визначають систематичні ризики та приймають рішення щодо способів реагування на них шляхом включення їх до своїх реєстрів ризиків та/або планів управління ризиками (внесення змін до них), розроблення регламентів, нормативно-правових актів тощо.

У разі неможливості впливу на ризики на рівні органів військового управління та відповідальних за діяльність інформація щодо таких ризиків подається за належністю до підрозділів координації внутрішнього контролю Генерального штабу та Міноборони для включення відповідних заходів до Плану управління ризиками Збройних Сил, Плану управління ризиками Міноборони.

5.7. Надання пропозицій щодо управління ризиками, які потребують вирішення на вищому рівні

5.7.1. Структурні підрозділи апарату Міноборони та Генерального штабу, командування видів Збройних Сил, окремих родів військ (сил), органи військового управління, військові частини, установи та організації, безпосередньо підпорядковані Генеральному штабу та Міноборони, на підставі проведеного аналізу пропозицій підпорядкованих установ до 30 листопада подають на адресу координаторів внутрішнього контролю Збройних Сил та Міноборони за належністю:

• пропозиції до планів управління ризиками Збройних Сил та Міноборони;

• перелік систематичних ризиків, які потребують врегулювання на рівні відповідальних за діяльність.

5.7.2. Порядок та терміни подання пропозицій до планів управління ризиками іншими установами встановлюються органами управління, яким вони підпорядковані, з урахуванням часу, необхідного на якісне опрацювання наданих пропозицій та подальшого їх надання за належністю.

5.7.3. Підрозділ координації внутрішнього контролю у Збройних Силах пропозиції до проекту Плану управління ризиками Міноборони на наступний рік щодо ризиків, які потребують реагування на рівні керівництва Міноборони та відповідальних за діяльність, які йому підпорядковані, надає до підрозділу координації внутрішнього контролю в Міноборони не пізніше 15 грудня.

6. Моніторинг внутрішнього контролю

6.1. Моніторинг здійснюється як постійний процес проведення оцінки якості функціонування системи внутрішнього контролю та управління ризиками. Інформація про недоліки функціонування внутрішнього контролю надається керівництву відповідного рівня. Моніторинг забезпечує повне виконання рекомендацій і пропозицій для усунення наявних та попередження можливих недоліків системи внутрішнього контролю.

6.2. Постійний моніторинг здійснюється у ході щоденної діяльності установи та передбачає управлінські, наглядові та інші дії керівників усіх рівнів та особового складу для визначення І коригування відхилень від встановленого порядку здійснення заходів внутрішнього контролю.

6.2.1. Для впровадження належного рівня моніторингу визначаються:

• ключові заходи контролю, які підлягають моніторингу;

• процедури моніторингу, які потрібно застосувати;

• періодичність використання заходів моніторингу.

6.2.2. Ефективність системи моніторингу досягається дотриманням основних чотирьох вимог:

• визначенням пріоритетів ризиків залежно від їх впливу на досягнення цілей установи;

• визначенням заходів контролю, необхідних для управління пріоритетними (ключовими) ризиками;

• визначенням інформації, що підтверджує ефективність реалізації заходів контролю;

• розробкою та виконанням Плану моніторингу внутрішнього контролю.

6.3. Окремі оцінки (періодичні оцінки) передбачають проведення оцінки виконання окремих функцій, завдань, заходів контролю на періодичній основі та здійснюються особовим складом, який не несе відповідальності за їх реалізацію.

6.4. Моніторинг за функціонуванням внутрішнього контролю та управління ризиками в установах та підпорядкованих військових частинах, установах (організаціях) покладається на координаторів внутрішнього контролю та менеджерів внутрішнього контролю в межах наданих повноважень.

6.5. План моніторингу внутрішнього контролю

6.5.1. З метою повного та своєчасного виконання процедур внутрішнього контролю керівник установи організовує розроблення Плану моніторингу внутрішнього контролю за формою, наведеною в додатку 8 до цього Порядку.

Вихідними даними для формування зазначеного плану є інформація з Реєстру ризиків (бази даних з управління ризиками), Плану управління ризиками, рекомендації та пропозиції, надані за результатами внутрішніх аудитів та контрольних заходів, та прийняті рішення щодо способів реагування на ризики, установлені заходи контролю.

6.5.2. Окремий розділ плану моніторингу внутрішнього контролю повинен передбачати щоквартальний моніторинг усунення порушень та виконання пропозицій (рекомендацій), внесених керівнику установи та керівникам структурних підрозділів установи, у ході контрольних заходів, проведених уповноваженими органами військового управління, Головною інспекцією Міністерства оборони України (далі – Головна інспекція), підрозділами внутрішнього аудиту та органами державного фінансового контролю. Зазначений моніторинг здійснюється в установі до повного усунення виявлених порушень та виконання пропозицій та аудиторських рекомендацій.

6.5.3. Безпосереднє виконання плану моніторингу внутрішнього контролю покладається на менеджера внутрішнього контролю, а нагляд за їх виконанням у підпорядкованих установах здійснюється координаторами внутрішнього контролю органів військового управління.

6.5.4. За результатами виконання заходів плану моніторингу внутрішнього контролю менеджер внутрішнього контролю надає доручення (вказівки) щодо усунення виявлених недоліків функціонування внутрішнього контролю керівникам відповідних підрозділів, служб за напрямами діяльності або окремим виконавцям не пізніше наступного дня після завершення відповідного заходу моніторингу.

6.5.5. За результатами виконання плану моніторингу внутрішнього контролю та виявлених недоліків керівником установи приймаються рішення щодо перегляду окремих неефективних заходів контролю, уточнення Плану управління ризиками, а також (за необхідності) надаються пропозиції координаторам внутрішнього контролю за підпорядкованістю щодо необхідності реагування на ризики, які перебувають у компетенції органів військового управління, у тому числі щодо систематичних ризиків.

6.6. Моніторинг виконання плану управління ризиками здійснюється:

• в апараті Міноборони – підрозділом координації внутрішнього контролю у Міноборони;

• у Збройних Силах – підрозділом координації внутрішнього контролю у Збройних Силах;

• в органах військового управління – відповідними координаторами внутрішнього контролю;

• в інших установах – менеджерами внутрішнього контролю.

7. Самооцінка та оцінка внутрішнього контролю

7.1. Самооцінка внутрішнього контролю в установі здійснюється в рамках виконання щорічного плану моніторингу внутрішнього контролю.

7.2. Окремі самооцінки діяльності структурних підрозділів установи можуть проводитися під час виконання планових та позапланових перевірок (інвентаризацій, контролю якості та інших заходів контролю) комісіями, робочими групами та окремими особами, з числа тих, які не залучені до діяльності, що оцінюється (перевіряється). Ініціювати таку перевірку може як керівник установи, так і керівник органу військового управління вищого рівня або керівник, відповідальний за діяльність.

7.3. Оцінка стану організації внутрішнього контролю та управління ризиками в системі Міноборони здійснюється Головною інспекцією, Генеральним штабом, органами військового управління, відповідальними за діяльність, під час здійснення ними контрольно-наглядових функцій у межах установлених повноважень та сфер відповідальності.

7.4. Оцінка ефективності системи внутрішнього контролю здійснюється підрозділами внутрішнього аудиту.

7.5. Оцінка стану організації внутрішнього контролю включає:

• оцінку відповідності створеної системи внутрішнього контролю законодавству та цьому Порядку;

• оцінку фактичного виконання запроваджених системою внутрішнього контролю процедур.

7.6. Для оцінки стану організації внутрішнього контролю застосовуються:

• опитування особового складу установи для оцінювання їх знань та кваліфікації, а також отримання інформації про порядок фактичного виконання заходів з управління ресурсами і майном та здійснення внутрішнього контролю;

• спостереження за управлінням ресурсами та майном і виконанням процедур внутрішнього контролю;

• перевірка документальних доказів функціонування системи внутрішнього контролю.

7.7. За результатами самооцінок та оцінок вживаються такі заходи: аналізуються характер та причини виявлених недоліків;

• визначаються пріоритети і складаються плани усунення недоліків, у яких відображаються:

• недоліки внутрішнього контролю та супутні їм ризики;

• описуються дії, які необхідно виконати для усунення недоліків;

• визначаються відповідальні за усунення недоліків та строки їх усунення, у які проводиться повторна оцінка відповідності системи внутрішнього контролю та її ефективності;

• уточнюються робочі документи з управління ризиками (реєстр ризиків, база даних з управління ризиками) та за необхідності вносяться зміни до плану управління ризиками.

8. Координатори та менеджери внутрішнього контролю

8.1. Менеджер внутрішнього контролю

8.1.1 До повноважень менеджера внутрішнього контролю належать:

• інформування керівника установи про процеси, на які необхідно розробити регламенти;

• проведення, у рамках виконання плану моніторингу внутрішнього контролю, перевірок діяльності підрозділів установи та його особового складу щодо виконання ними визначених заходів контролю;

• залучення за рішенням керівника установи до самооцінки стану внутрішнього контролю членів внутрішньої перевірочної комісії та підкомісій за напрямами діяльності, а також інших представників особового складу установи, які не задіяні до виконання обов’язків за напрямами, що підлягають перевірці;

• організація розроблення, подання для затвердження, періодичне оновлення та контроль за виконанням документів із внутрішнього контролю та управління ризиками;

• контроль за виконанням плану управління ризиками;

• організація взаємодії з органам військового управління вищого рівня з питань внутрішнього контролю та подання йому необхідної інформації та звітності з зазначених питань;

• сприяння проведенню перевірок стану організації внутрішнього контролю та управління ризиками уповноваженими представниками Міноборони, Збройних Сил, інших державних органів, які відповідно до чинного законодавства уповноважені на здійснення аудиторських, ревізійних та інспекційних заходів;

• взаємодія з підрозділом внутрішнього аудиту з питань внутрішнього контролю та управління ризиками, запобігання необґрунтованому втручанню в діяльність підрозділу внутрішнього аудиту та його особового складу;

• організація підготовки звіту про стан функціонування системи внутрішнього контролю;

• виконання інших завдань відповідно до законодавства та внутрішніх документів установи з питань внутрішнього контролю та управління ризиками.

8.1.2. Менеджери внутрішнього контролю інформують органи військового управління за підпорядкованістю про виконання плану моніторингу внутрішнього контролю та заходи, вжиті для його надійного функціонування, а також щодо повноти виконання пропозицій (рекомендацій), наданих за результатами контрольних заходів та внутрішнього аудиту.

Терміни та періодичність інформування з зазначених питань встановлюються органами військового управління.

8.1.3. Менеджер внутрішнього контролю несе відповідальність за інформування керівника установи про стан функціонування внутрішнього контролю та управління ризиками в установі, виконання плану моніторингу внутрішнього контролю, підготовку звітних документів із внутрішнього контролю, а також за інформування координатора внутрішнього контролю органу військового управління з питань внутрішнього контролю та управління ризиками.

8.1.4. У командуваннях видів Збройних Сил, окремих родах військ (сил), оперативних (повітряних) командуваннях менеджер внутрішнього контролю спрямовує та координує діяльність підрозділу внутрішнього контролю органу військового управління.

8.2. Координатор внутрішнього контролю

8.2.1. До повноважень координатора внутрішнього контролю належать: координація діяльності менеджерів внутрішнього контролю підпорядкованих установ;

– нагляд за належною роботою менеджерів внутрішнього контролю підпорядкованих установ та оцінка результатів діяльності з внутрішнього контролю зазначених установ;

– впровадження в роботу підзвітних менеджерів внутрішнього контролю кращих практик внутрішнього контролю та управління ризиками;

– установлення строків та порядку інформування та подання звітності підпорядкованими установами про стан функціонування внутрішнього контролю та виконання ними планів моніторингу внутрішнього контролю;

– контроль за виконанням плану управління ризиками органу військового управління;

– узагальнення та підготовка звітних документів із внутрішнього контролю за орган військового управління та підпорядковані установи, згідно з вимогами розділу 10 цього Порядку;

– підготовка інформації керівнику органу військового управління з питань внутрішнього контролю та управління ризиками;

– аналіз пропозицій, наданих підпорядкованими установами, до планів управління ризиками органів військового управління вищого рівня щодо реагування на систематичні ризики;

– організація періодичних перевірок стану організації внутрішнього контролю та управління ризиками в підпорядкованих установах та структурних підрозділах органу військового управління;

– взаємодія з підрозділом внутрішнього аудиту з питань внутрішнього контролю та управління ризиками.

8.2.2. Координатор внутрішнього контролю організовує взаємодію з координатором внутрішнього контролю органу військового управління вищого рівня та з відповідальними за діяльність з питань, що належать до їх повноважень.

8.2.3. Координатор внутрішнього контролю своєчасно організовує збір та аналіз інформаційних і звітних матеріалів з питань внутрішнього контролю підпорядкованих установ, підготовку звітів із внутрішнього контролю за орган військового управління.

За результатами розгляду звітів керівником органу військового управління приймаються рішення щодо напрямків підвищення ефективності внутрішнього контролю, які доводяться до підпорядкованих установ та структурних підрозділів органу військового управління.

8.2.4. В органах військового управління, за відсутності в них штатних підрозділів внутрішнього контролю, повноваження координатора внутрішнього контролю покладаються керівником органу військового управління на посадову особу, яка визначена менеджером внутрішнього контролю.

9. Вимоги, що засвідчують запровадження та організацію установою внутрішнього контролю і управління ризиками

9.1. З метою належної організації внутрішнього контролю та управління ризиками керівник установи повинен визначити:

– менеджера (координатора) внутрішнього контролю;

– конкретних осіб з числа особового складу, відповідальних за здійснення заходів внутрішнього контролю та управління ризиками, та організувати уточнення посадових інструкцій (функціональних обов’язків) таких осіб, передбачивши відповідальність за здійснення заходів контролю.

9.2. Установи для належного функціонування системи внутрішнього контролю та управління ризиками повинні забезпечити розробку та затвердження організаційних та поточних документів.

9.2.1. Організаційні документи розробляються під час запровадження внутрішнього контролю. Зміни до них вносяться за необхідності. До організаційних документів належать положення про внутрішній контроль та опис внутрішнього середовища, які враховують специфіку установи.

У положенні про внутрішній контроль визначається механізм здійснення внутрішнього контролю, регламентуються питання управління ризиками в установі, здійснюється розподіл відповідальності між посадовими особами установи щодо належного функціонування системи внутрішнього контролю, встановлюються вимоги до обміну інформацією та комунікації, строки та порядок моніторингу і звітування з питань внутрішнього контролю, з урахуванням вимог органу військового управління вищого рівня.

Вимоги до оформлення положення про внутрішній контроль наведені в додатку 9 до цього Порядку.

9.2.2. Поточні документи, які щорічно розробляються:

• реєстр ризиків;

• план управління ризиками;

• план моніторингу внутрішнього контролю;

• звітні документи з внутрішнього контролю.

10. Звітні документи з внутрішнього контролю

10.1. Звіт про стан функціонування системи внутрішнього контролю

10.1.1. Установи в обов’язковому порядку щорічно складають звіт про стан функціонування системи внутрішнього контролю та надають такі звіти до органів військового управління вищого рівня. Форма звіту наведена в додатку 10 до цього Порядку.

У зазначеному звіті відображається інформація щодо: здійснення діяльності відповідно до визначених мети (місії) та етичних принципів; досягнення цілей, виконання завдань та взятих зобов’язань; вжитих заходів для забезпечення економії коштів, ефективності й результативності діяльності; достовірності фінансової, статистичної, управлінської звітності; забезпечення збереження ресурсів від втрат, псування, незаконного чи неефективного їх використання; дотримання законодавства та інших керівних документів, регламентів, правил та процедур, установлених у Міноборони та Збройних Силах. Звіт повинен містити опис кожного суттєвого недоліку, виявленого в ході інспекцій, перевірок, аудиторських заходів та під час виконання плану моніторингу внутрішнього контролю, з коротким викладом заходів, спрямованих на його усунення, із зазначенням заходів, які вже перебувають у стадії виконання.

Звіт повинен містити об’єктивну оцінку стану впровадженої системи внутрішнього контролю, а також визначати один із чотирьох рівнів стану функціонування системи внутрішнього контролю:

• належний рівень;

• достатній рівень;

• недостатній рівень;

• незадовільний рівень.

10.1.2. Належний рівень функціонування системи внутрішнього контролю свідчить про повну гарантію дієвості внутрішнього контролю. Такий звіт повинен містити обґрунтовані докази того, що заходи внутрішнього контролю є ефективними і не мають будь-яких суттєвих недоліків, або ж потрібно вказати, що виконання функцій установою відповідає вимогам законодавства.

Подання звіту за таким рівнем функціонування внутрішнього контролю здійснюється у разі, якщо у звітному році: установою досягнуто визначені цілі, виконано завдання і зобов’язання; не було допущено порушень, що призвели до втрат чи збитків, інших фінансових та нефінансових порушень, неефективного використання фінансових, матеріальних чи інших ресурсів; незначні і несистемні порушення чи недоліки в діяльності були виявлені установою самостійно та усунуті в повному обсязі.

10.1.3. Достатній рівень функціонування системи внутрішнього контролю свідчить про достатню гарантію дієвості внутрішнього контролю. Такий звіт повинен містити обґрунтовані докази того, що заходи внутрішнього контролю є ефективними, за винятком одного — трьох суттєвих недоліків, які впливають на виконання завдань, функцій і зобов’язань, направлених на досягнення мети і цілей установи, або ж вказує, за якими саме напрямами система управління має недоліки, пов’язані з управлінням ресурсами, недотриманням вимог законодавства та нормативних документів. Звіт цього рівня повинен вказувати на наявність недоліків у системі управління, які унеможливлюють подання звіту про належний рівень функціонування системи внутрішнього контролю.

Подання звіту за таким рівнем функціонування внутрішнього контролю здійснюється у разі, коли обсяги порушень в установі, які призвели до збитків, протягом звітного року сукупно не перевищили 50 прожиткових мінімумів, установлених для працездатних осіб на 1 січня звітного року.

10.1.4. Недостатній рівень функціонування системи внутрішнього контролю, який свідчить про обмежену гарантію системи, відсутність позитивних результатів від функціонування існуючої системи внутрішнього контролю, що підтверджується суттєвими недоліками в багатьох процесах, значною кількістю порушень законодавства, а результати інвентаризацій, внутрішніх аудитів засвідчують порушення в обліку та втрати ресурсів. Суттєві недоліки звіту про недостатній рівень функціонування системи внутрішнього контролю подаються за кожною виконуваною функцією.

Подання звіту за таким рівнем функціонування внутрішнього контролю здійснюється у разі, якщо у звітному році установою визначені цілі та завдання виконано не в повному обсязі та/або обсяги порушень, які призвели до збитків, протягом звітного року, сукупно становили від 50 до 250 прожиткових мінімумів, установлених для працездатних осіб на 1 січня звітного року.

10.1.5. Незадовільний рівень функціонування системи внутрішнього контролю, який свідчить про відсутність гарантії системи, відсутність позитивних результатів від функціонування існуючої системи внутрішнього контролю, через значні недоліки у виконанні багатьох функцій, наявні системні порушення нормативно-правових актів, а результати інвентаризацій, аудитів, ревізій та перевірок засвідчили суттєві порушення в обліку, втрату ресурсів та нанесення збитків. Кожний суттєвий недолік звіту про незадовільний рівень функціонування системи внутрішнього контролю подається в розрізі виконуваних функцій.

Подання звіту за таким рівнем функціонування внутрішнього контролю здійснюється в разі, якщо у звітному році установою не досягнуто більшості визначених цілей, не виконано більшість завдань та/або обсяги порушень, що призвели до збитків, виявлених протягом звітного року, сукупно становили більше 250 прожиткових мінімумів, установлених для працездатних осіб на 1 січня звітного року.

10.1.6. Органи військового управління під час підготовки звіту про стан функціонування системи внутрішнього контролю та визначення його рівня повинні врахувати звіти підпорядкованих установ.

Рівень функціонування системи внутрішнього контролю для органів військового управління не може бути визначений вище ніж:

достатній – якщо кількість підпорядкованих установ, в яких встановлено недостатній та незадовільний рівень функціонування системи внутрішнього контролю, становить від 10% до 25% загальної кількості підпорядкованих установ;

недостатній – якщо кількість підпорядкованих установ, в яких встановлено недостатній та незадовільний рівень функціонування системи внутрішнього контролю, становить від 25% до 50% загальної кількості підпорядкованих установ;

незадовільний – якщо кількість підпорядкованих установ, в яких встановлено недостатній та незадовільний рівень функціонування системи внутрішнього контролю, становить 50% і більше загальної кількості підпорядкованих установ.

10.1.7. Відповідальні за діяльність в обов’язковому порядку у звітах про стан функціонування внутрішнього контролю зазначають про вжиті заходи щодо реагування на систематичні ризики та ризики, які впливають на належне функціонування напряму діяльності, за який вони відповідають, у цілому у Міноборони та Збройних Силах. Зазначаються розроблені та затверджені у звітному періоді законодавчі та інші нормативно-правові акти, регламенти, а також заходи, вжиті для посилення управлінської підзвітності та відповідальності.

10.1.8. Звіти про стан функціонування системи внутрішнього контролю структурними підрозділами апарату Міноборони та Генерального штабу, командуваннями видів Збройних Сил, окремих родів військ (сил), а також органами військового управління та установами, безпосередньо підпорядкованими Міноборони та Генеральному штабу, подаються за належністю до підрозділів координації внутрішнього контролю у Збройних Силах та в Міноборони не пізніше 01 січня року, наступного за звітним.

Порядок та терміни звітності інших установ визначаються органами військового управління відповідного рівня з урахуванням часу, необхідного на обробку звітів підпорядкованих установ.

10.2. Звіт про стан організації та здійснення внутрішнього контролю у розрізі елементів внутрішнього контролю

10.2.1. Структурні підрозділи апарату Міноборони та Генерального штабу, командування видів Збройних Сил, окремих родів військ (сил), а також органи військового управління та установи, безпосередньо підпорядковані Міноборони та Генеральному штабу, не пізніше 01 січня року, наступного за звітним, подають за належністю до підрозділів координації внутрішнього контролю у Збройних Силах та в Міноборони звіт про стан організації та здійснення внутрішнього контролю у розрізі елементів внутрішнього контролю.

10.2.2. Підрозділ координації внутрішнього контролю у Збройних Силах не пізніше 10 січня року, наступного за звітним, подає до підрозділу координації внутрішнього контролю в Міноборони звіт про стан організації та здійснення внутрішнього контролю у Збройних Силах у розрізі елементів внутрішнього контролю.

10.2.3. Форма та зміст звіту про стан організації та здійснення внутрішнього контролю у розрізі елементів внутрішнього контролю визначається Міністерством фінансів України.

10.3. Підрозділ координації внутрішнього контролю в Міноборони, ураховуючи надані звіти, до 25 січня готує та подає на підпис Міністру оборони України звіт про стан організації та здійснення внутрішнього контролю в системі Міноборони у розрізі елементів внутрішнього контролю та проект супровідного листа до Міністерства фінансів України.

Головний інспектор Міністерства оборони України генерал-лейтенант

Р. Хомчак

Додаток 1
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками
(пункт 2.2)

ОПИС ВНУТРІШНЬОГО СЕРЕДОВИЩА _________________________________ (назва установи)

І. Розподіл завдань та функцій між підрозділами

Таблиця 1

№ з/п	Завдання	Функція	Нормативно-правові та керівні документи	Назва структурного підрозділу 1, окремої посади 1	Назва структурного підрозділу К
					назва підрозділу 1	…	назва підрозділу N
1	2	3	4	5	6	…	Z
1. Завдання та функції відповідно до положення
2. Додаткові завдання та (функції, що виконуються згідно з нормативно-правовими актами

II. Розподіл процесів між особовим складом ___________________________________ (назва підрозділу установи)

Таблиця 2

№ з/п	Функція	Нормативно-правові акти, накази, інструкції, плани, правила, регламенти	Процес	Назва посади 1	Назва посади 2	…	Назва посади К
1	2	3	4	5	6	…	N

Пояснення щодо оформлення додатка 1

I. Розподіл завдань та функцій між підрозділами установи (таблиця 1)

1. У графі 1 зазначаються порядкові номери завдань, визначених установі.

2. У графі 2 вказуються для розділу 1 назви завдань відповідно до положення про установу та для розділу 2 назви додаткових завдань відповідно до інших нормативно-правових актів (з урахуванням вимоги пункту 8 Основних засад).

3. У графі 3 вказуються назви функцій, що виконуються в рамках завдання.

4. У графі 4 зазначається перелік нормативно-правових актів та керівних документів, відповідно до яких установою виконується функція (тобто документи, якими на конкретну установу покладено виконання конкретної функції).

5. У заголовках графи 5 та наступних вказуються назви окремих структурних підрозділів установи або окремих посад (заступник, помічник тощо), структурні підрозділи, які у своєму складі мають лінійні підрозділи, вказують у назві графи назви цих підрозділів. У таблиці робляться позначки: • – для головних виконавців та □ – для співвиконавців функцій, що виконуються.

ІІ. Розподіл процесів між особовим складом структурного підрозділу установи (таблиця 2)

Розділ II оформлюється окремою таблицею за кожний структурний підрозділ установи.

1. У графі 1 зазначаються порядкові номери функцій, визначених підрозділу.

2. У графі 2 вказуються назви функцій, що виконуються в рамках завдання.

3. У графі 3 зазначається перелік нормативно-правових актів, наказів, інструкцій та регламентів, які визначають порядок виконання процесів у рамках функції.

4. У графі 4 вказуються назви процесів, які виконуються в рамках конкретної функції.

5. У заголовках графи 5 та наступних вказуються назви посад підрозділу установи. У таблиці робляться позначки: • – для головних виконавців та □ – для співвиконавців процесів, що виконуються.

Додаток 2
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 2.3)

Алгоритм складання регламенту

I. Загальні положення

1.1. Цей Алгоритм визначає послідовність складання регламентів спрямованих на виконання установами визначених законодавством функцій.

1.2. Регламенти формуються окремо за кожним процесом функції і складаються з таких розділів:

• основні поняття;

• блок-схема процесу;

• короткий опис процесу.

Також регламент повинен містити “Технологічну карту”, “Список прийнятих скорочень”.

II. Основні поняття

2.1. У розділі “Основні поняття” регламентів зазначаються підпункти “Визначення цілей”, “Учасники процесу”, “Документообіг”, “Прикладне програмне забезпечення”.

2.2. У підпункті регламенту “Визначення цілей” визначаються стратегічні цілі, яких необхідно досягти за результатами реалізації відповідного процесу.

2.3. У підпункті регламенту “Учасники процесу” зазначається перелік учасників, діяльність яких відноситься до процесу.

Учасники процесу можуть бути:

• внутрішніми учасниками – установи;

• зовнішніми учасниками ~ органи державної влади, підприємства, установи та організації, з якими установи взаємодіють з метою реалізації відповідного процесу.

2.4. У підпункті регламенту “Нормативно-правові акти, які регламентують виконання процесу” у табличній формі наводиться перелік нормативно-правових актів, з урахуванням яких був розроблений регламент, а саме:

№ з/п	Нормативно-правовий акт

2.5. У підпункті регламенту “Документообіг” у табличній формі наводиться перелік документів, у тому числі електронних, які складаються або опрацьовуються під час виконання відповідного процесу, та нормативно- правових актів, які регламентують їх форму і склад показників, а саме:

№ з/п	Документ	Нормативно-правовий акт	Посилання на положення нормативно-правового акта

Перелік документів формується на підставі складених блок-схеми та технологічної карти відповідного процесу.

2.6. У підпункті регламенту “Прикладне програмне забезпечення” у табличній формі зазначається перелік прикладного програмного забезпечення, яке застосовується під час виконання відповідного процесу, та опис автоматизованих операцій у рамках виконання такого процесу, а саме:

Найменування прикладного програмного забезпечення	Автоматизовані операції

Перелік автоматизованих операцій формується на підставі складених блок-схеми та технологічної карти відповідного процесу.

III. Блок-схема процесу

3.1. Метою формування блок-схеми процесу є графічне представлення послідовності виконання операцій та взаємозв’язків між різними учасниками відповідного процесу. У разі якщо виконання функції забезпечується виконанням декількох процесів, відповідні блок-схеми формуються на кожний процес.

3.2. Блок-схема процесу складається відповідно до системи умовних позначень для моделювання бізнес-процесів BPMN і містить інформацію щодо:

• операцій, з яких складається процес;

• учасників процесу;

• потоків документів між учасниками процесу;

• послідовності виконання операцій шляхом зазначення їх порядкового номера;

• умов виконання операцій.

Приклад позначень наведено в пункті 3.3 цього Алгоритму.

3.3. Список позначень, які можуть використовуватися під час підготовки блок-схеми процесу

IV. Короткий опис процесу

4.1. У розділі “Короткий опис процесу” наводиться стисла інформація щодо процесу шляхом послідовного опису операцій із зазначенням посилань на їх номери у відповідній діаграмі, умов виконання, дій учасників процесу та результатів виконання процесу.

4.2. У разі якщо виконання функції забезпечується виконанням декількох процесів, у цьому розділі наводиться стислий опис кожного процесу.

V. Технологічна карта

Технологічна карта формується в розрізі всіх операцій, з яких складається процес, за встановленою цим пунктом формою. У разі якщо виконання функції забезпечується виконанням декількох процесів, технологічна карта складається за кожним процесом.

Технологічна карта

Функція ___________________________ (назва функції)

Процес ___________________________ (назва функції)

№ з/п	Операція			Відповідальний виконавець		Вхідний документ				Вихідний документ				Прикладне програмне забезпечення
	найменування	умова виконання	строк виконання	назва структурного підрозділу, посади виконавця або установи	стислий опис виконуваної роботи	найменування документа	назва учасника процесу	формат документа		Найменування документа	назва учасника процесу	формат документа
								паперовий	електронний			паперовий	електронний
1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
1
2

5.2. Технологічна карта заповнюється з урахуванням наведених нижче вимог

№ з/п	Назва графи	Порядок заповнення
1	Номер операції	Зазначається порядковий номер операції (порядковий номер операції повинен відповідати номеру операції у блок-схемі процесу)
Операція
2	Найменування	Зазначається найменування операції (найменування операції повинне відповідати найменуванню операції у блок-схемі процесу)
3	Умова виконання	Зазначається перелік умов виконання відповідної операції (наприклад, отримання від учасника процесу певного документа або отримання результату попередньо виконаних операцій)
4	Строк виконання	Зазначається граничний строк виконання операції або варіанти строків виконання у разі настання певних умов
Відповідальний виконавець
5	Назва установи	Зазначається назва установи, відповідальної за виконання операції. У разі виконання операції декількома установами зазначається перелік таких установ з урахуванням послідовності виконання такої операції
6	Стислий опис виконуваної роботи	Коротко викладається суть виконуваної роботи
Вхідний документ
7	Найменування документа	Зазначається назва вхідного по відношенню до операції документа
8	Назва учасника процесу	Зазначається назва внутрішнього або зовнішнього учасника процесу, від якого повинен надійти відповідний документ
9	Формат документа: електронний, паперовий	Зазначається формат кожного вхідного по відношенню до операції документа: паперовий або електронний
Вихідний документ
10	Найменування документа	Зазначається перелік вихідних по відношенню до операції документів (результатів операції)
11	Назва учасника процесу	Зазначається назва внутрішнього або зовнішнього учасника процесу, якому передається відповідний документ (результат операції)
12	Формат документа: електронний, паперовий	Зазначається формат кожного вхідного по відношенню до операції документа: паперовий або електронний
13	Прикладне програмне забезпечення	Зазначається найменування прикладного програмного забезпечення, яке автоматизує виконання операції. У разі якщо операція не автоматизована, зазначається “не автоматизована”

VI. Список прийнятих скорочень

Список прийнятих скорочень оформлюється в табличній формі та містить розшифровку використовуваних у регламенті абревіатур і скорочень

Абревіатура/скорочення	Розшифровка

Додаток 3
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 3.4.3)

МАТРИЦЯ ОЦІНКИ РИЗИКІВ

За впливом ризиків на спроможність установ досягати поставлені цілі		За імовірністю виникнення ризику
Критерій впливу ризику	Числове значення	Дуже низька	Низька	Середня	Висока	Дуже висока
		1	2	3	4	5
Катастрофічний	5	5* (їх 5) (зелена зона)	10* (2 х 5) (жовта зона)	15* (3×5) (червона зона)	20* (4 х 5) (червона зона)	25* (5 х 5) (червона зона)
Суттєвий	4	4* (1 х 4) (зелена зона)	8* (2 х 4) (жовта зона)	12* (3 х 4) (жовта зона)	16* (4×4) (червона зона)	20* (5×4) (червона зона)
Помірний	3	3*(1х3) (зелена зона)	6* (2×3) (зелена зона)	9* (3 х 3) (жовта зона)	12* (4×3) (жовта зона)	15* (5×3) (червона зона)
Низький	2	2* (їх 2) (зелена зона)	4* (2×2) (зелена зона)	6* (3 X 2) (зелена зона)	8* (4×2) (жовта зона)	10* (5 х 2) (жовта зона)
Дуже низький	1	1*(1х1) (зелена зона)	2* (2×1) (зелена зона)	3*(3х 1) (зелена зона)	4* (4×1) (зелена зона)	5* (5×1) (зелена зона)

Додаток 4
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 3.4.3)

ОРІЄНТОВНІ КРИТЕРІЇ ОЦІНКИ РИЗИКІВ

Імовірність
1 Дуже низька	2 Низька	3 Середня	4 Висока	5 Дуже висока
Практично відсутня імовірність настання події	25-відсоткова імовірність або настання події 1-2 рази за останні 5 років	50-відсоткова імовірність або настання події 1 -2 рази за останні 2 роки	75-відсоткова імовірність або настання події 1-2 рази за останній рік	100-відсоткова імовірність або регулярне настання події протягом останнього року

Наслідки*
Критерії впливу ризику’	Ресурсні	Репутаційні	Що впливають на безперервність роботи	Для безпеки життєдіяльності	Що впливають на дотримання нормативно- правових актів
5 Катастрофічні	Втрати більше 10% виділеного ресурсу нарік	Тривала недоброзичлива увага з боку світових ЗМІ	Повна зупинка роботи на довгий час	Жертви, серйозна інвалідність, смертельна загроза здоров’ю	Розрив відносин 3 міжнародними організаціями
4 Суттєві	Втрати в межах від 5% до 10% виділеного ресурсу на рік	Тривала недоброзичлива увага з боку державних ЗМІ	Масштабні проблеми функціонування організації	Серйозна інвалідність, смертельна загроза здоров’ю	Важке правопорушення з серйозними наслідками (суттєвим штрафом)
3 Помірні	Втрати в межах від 1% до 5% виділеного ресурсу нарік	Тривала недоброзичлива увага з боку місцевих ЗМІ	Суттєві проблеми в певних сферах функціонування організації	Травми з тимчасовою втратою працездатності, непоправна шкода здоров’ю	Порушення, що карається притягненням до адміністративної відповідальності
2 Низькі	Втрати в межах від 0,5% до 1% виділеного ресурсу на рік	Внутрішня справа	Незначні проблеми в окремих напрямках функціонування організації	Легкі травми, незначна шкода здоров’ю, обмеження працездатності	Порушення, що потребує відшкодування збитків
1 Дуже низькі	Втрати менше 0,5% виділеного ресурсу на рік	Проблеми особового складу	Незначні проблеми в окремих структурних підрозділах	Легкі травми (ліквідуються засобами першої допомоги)	Порушення, що призводять до дисциплінарної відповідальності

* Зазначений перелік наслідків не є вичерпним. Наслідки ризиків та подій можуть мати також інші форми проявів для установи.

Додаток 5
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 3.4.4)

РЕЄСТР РИЗИКІВ

_______________________________________________ (назва установи)

Функція	Процес	Категорія ризику	Вид ризику	Назва ризику	Імовірність ризику	Ступінь впливу	Загальний показник ризику (ст.6 * ст.7)	Пропозиції щодо заходу контролю*	Пропозиції щодо відповідального за виконання заходу контролю
1	2	3	4	5	6	7	8	9	10

* Зазначається у разі прийняття керівником установи рішення щодо реагування на ризик.

Менеджер (координатор) внутрішнього контролю установи __________ _____________________

(підпис) (ініціал, прізвище)

Додаток 6
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 3.4.6)

ЗАТВЕРДЖУЮ
Керівник установи
_____________ ______________________
(підпис) (ініціал, прізвище)
«_______» ______________ 20_ рік

 

ПЛАН
УПРАВЛІННЯ РИЗИКАМИ НА 20___РІК
________________________________________________________________ (назва установи)

Функція	Процес	Назва ризику	Назва заходу контролю	Відповідальний виконавець (підрозділ, служба, особа)	Термін виконання	Очікуваний результат
1	2	3	4	5	6	7

Менеджер (координатор) внутрішнього контролю установи ____________ _______________________

(підпис) (ініціал, прізвище)

Додаток 7
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 3.4.7)

 

СТРУКТУРА БАЗИ ДАНИХ З УПРАВЛІННЯ РИЗИКАМИ

Назва установи

Функція

Процес

Категорія ризику

Вид ризику

Назва ризику

Імовірність ризику

Ступінь впливу ризику

Загальний показник ризику

Причина ризику

Назва заходу контролю

Відповідальний за виконання заходу

Термін виконання

Очікуваний результат

Імовірність (після обробки ризику)

Ступінь впливу (після обробки ризику)

Залишковий ризик (ст. 16*ст. 17)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

Текстове поле*

*- Формати полів даних, які використовуються табличним процесором Excel пакета офісних програм Microsoft Office

Додаток 8
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 6.5.1)

ПЛАН МОНІТОРИНГУ ВНУТРІШНЬОГО КОНТРОЛЮ на 20___ РІК

____________________________________________________________ (назва установи)

І. Моніторинг відповідності та виконання заходів внутрішнього контролю

Дата проведення	Назва підрозділу (служби)	Ризик, щодо якого здійснюється моніторинг	Назва заходу контролю	Особа, яка відповідає за виконання заходу контролю	Інформація щодо наявності регламенту на процес	Метод перевірки виконання контрольних процедур	Оцінка виконання контрольної процедури (ефективна, неефективна, дублююча, відсутня)	Стисла інформація щодо результату проведеного моніторингу	Надані рекомендації	Відмітка керівника підрозділу (служби) про усунення виявленого недоліку
1	2	4	5	6	7	8	9	10	11	12

II. Моніторинг усунення порушень*

Назва контрольного (аудиторського) заходу	Дата завершення заходу	Назва пропозиції (рекомендації)	Грошовий вимір пропозиції, рекомендації (гри.)	Відповідальний за виконання	Кінцевий термін виконання	Вжиті заходи				Відмітка про повне виконання пропозиції
						1 квартал	2 квартал	3 квартал	4 квартал
1	2	3	4	5	6	7	8	9	10	11

*Заповнюється за наявності порушень, виявлених у ході контрольних, інспекційних чи аудиторських заходів.

Менеджер (координатор) внутрішнього контролю установи ____________ _______________________

(підпис) (ініціал, прізвище)

Додаток 9
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 9.2.1)

ОСНОВНІ ВИМОГИ ДО ОФОРМЛЕННЯ ПОЛОЖЕННЯ ПРО ВНУТРІШНІЙ КОНТРОЛЬ

I. Проект Положення про внутрішній контроль (далі – Положення) розробляється визначеними керівником установи посадовими (службовими) особами.

II. Текст Положення включає такі розділи:

1. Загальні положення

Розділ містить інформацію щодо мети та сфери застосування внутрішнього контролю.

У розділі мають бути чітко сформульовані основні завдання внутрішнього контролю.

В окремому пункті цього розділу наводяться основні законодавчі та нормативні акти, якими необхідно керуватися в процесі здійснення внутрішнього контролю. При цьому перелічуються не лише законодавчі та загальнодержавні документи, а також організаційні та розпорядчі документи установи.

Розділ має містити інформацію про порядок призначення координатора, менеджера (відповідальної особи) внутрішнього контролю, робочої групи з оцінки ризиків (чисельність та склад (не персональний)).

2. Внутрішнє середовище

Розділ має містити інформацію щодо алгоритму дій особового складу під час підготовки опису внутрішнього середовища, визначає строки його підготовки та порядок внесення змін до нього.

3. Управління ризиками

Розділ повинен містити інформацію щодо:

– порядку здійснення ідентифікації ризиків в установі та в кожному структурному підрозділі;

– визначення порядку та підходів до оцінювання ідентифікованих ризиків за імовірністю їх виникнення та суттєвістю впливу на здатність установи виконувати визначені актами законодавства завдання і функції для досягнення визначених мети, цілей діяльності установи;

– обрання способів реагування на ідентифіковані та оцінені ризики (зменшення, прийняття, розділення чи уникнення);

– визначення порядку інформування керівництва установи про проведену оцінку ризиків установи для прийняття рішення щодо вжиття заходів контролю;

– розробки і подання на затвердження керівнику установи Плану управління ризиками;

– встановлення періодичності здійснення перегляду ідентифікованих та оцінених ризиків для виявлення нових та таких, що зазнали змін;

– документування управління ризиками.

4. Здійснення інформаційного обміну

Розділ повинен встановити вимоги щодо порядку та термінів звітування:

– установою перед органами управління вищого рівня;

– підпорядкованими установами.

5. Здійснення моніторингу

Розділ повинен містити інформацію щодо порядку здійснення моніторингу під час поточної діяльності установи.

Крім того, цей розділ повинен містити інформацію щодо строків і порядку:

– розробки плану моніторингу внутрішнього контролю;

– здійснення моніторингу внутрішнього контролю та стану усунення недоліків виявлених у ході контрольних, інспекційних та аудиторських заходів;

– інформування менеджера внутрішнього контролю про ризики (події), які можуть виникнути під час діяльності установи, виявлені в ході виконання повсякденної діяльності;

– інформування керівника установи про результати моніторингу внутрішнього контролю.

III. Положення підлягає затвердженню наказом керівника установи.

Додаток 10
до Порядку організації в системі
Міністерства оборони України
внутрішнього контролю та
управління ризиками (пункт 10.1.1)

ЗВІТ ПРО СТАН ФУНКЦІОНУВАННЯ СИСТЕМИ ВНУТРІШНЬОГО КОНТРОЛЮ

(належний рівень)

у __________________________________________________________________________ (назва установи)

Внутрішній контроль організовано відповідно до вимог внутрішніх документів та забезпечує виконання функцій І завдань.

Заходи внутрішнього контролю є ефективними і не мають будь-яких суттєвих недоліків, відповідають вимогам законодавства та внутрішніх нормативних документів.

Фінансові порушення, які призвели до збитків у звітному періоді, відсутні.

Належний рівень внутрішнього контролю забезпечувався виконанням особовим складом функцій, процесів та операцій у межах повноважень та відповідальності, визначених посадовими інструкціями, затвердженими в установленому порядку, запровадженням дієвої системи внутрішнього контролю, розробкою та виконанням регламентів за основними функціями та їх виконанням, ефективним використанням ресурсів, прозорою системою закупівель, ідентифікацією, оцінкою та управлінням ризиками. План управління ризиками та План моніторингу внутрішнього контролю (далі — План моніторингу) затверджені керівником “__”_______20_ р. Плани виконано.

Висновок зроблено за результатами виконання Плану моніторингу.

Зазначене підтверджено відсутністю недоліків під час виконання основних функцій і завдань, відсутністю втрат майна та ресурсів, результатами зовнішніх (внутрішніх) перевірок/аудитів та відповідно наданими позитивними/умовно-позитивними висновками. Крім того, результати діяльності та ключові показники ефективності відповідають визначеним значенням.

Перевірки та аудиторські заходи у діяльності суттєвих недоліків не виявили.

№ з/п	Назва заходу та назва органу, що його здійснював	Висновок за результатами заходу та дії, вжиті керівником

Діяльність у наступному бюджетному році буде направлено на удосконалення/покращення системи внутрішнього контролю та усунення недоліків відповідно до Плану заходів з усунення недоліків і за такими напрямами:

№ з/п	Напрями діяльності, на які будуть спрямовані заходи щодо покращення внутрішнього контролю

Керівник ____________________________________

 

ЗВІТ ПРО СТАН ФУНКЦІОНУВАННЯ СИСТЕМИ ВНУТРІШНЬОГО КОНТРОЛЮ

(достатній рівень)

у _______________________________________________________________________ (назва установи)

Внутрішній контроль організовано відповідно до вимог внутрішніх документів та в цілому забезпечує виконання функцій та завдань.

Заходи внутрішнього контролю в цілому є ефективними, водночас мають місце недоліки, які впливають на виконання функцій та завдань:

№ з/п	Назва функції (завдання)	Недоліки, які впливають на виконання функції (завдання)

Це підтверджується недоліками, виявленими під час проведення контрольних заходів та виконання плану моніторингу внутрішнього контролю.

Обсяги порушень, які призвели до збитків у звітному періоді, становили грн., що не перевищує граничну межу для даного рівня стану внутрішнього контролю.

Зазначене стало можливим у зв’язку з (зазначається перелік обґрунтованих причин (наприклад: недостатній рівень виконання особовим складом своїх посадових інструкцій (функціональних обов’язків), неналежне управління ризиками, відсутність регламентів тощо)).

План управління ризиками та План моніторингу внутрішнього контролю (далі – План моніторингу) затверджені керівником “__”_________20__ р. Плани виконано/не виконано (зазначаються причини невиконання).

Перевірки та аудиторські заходи щодо діяльності виявили такі недоліки:

№ з/п	Назва заходу та назва органу, що його здійснював	Недолік (висновок) за результатами заходу

За результатами аналізу та оцінки стану функціонування системи внутрішнього контролю складено План заходів з усунення недоліків, що додається.

Діяльність у наступному році буде направлено на удосконалення/покращення системи внутрішнього контролю та усунення недоліків відповідно до Плану заходів з усунення недоліків і за такими напрямами:

№ з/п	Напрями діяльності, на які будуть спрямовані заходи щодо покращення внутрішнього контролю

Додаток: План заходів з усунення недоліків на арк.

Керівник ____________________________________

ЗВІТ ПРО СТАН ФУНКЦІОНУВАННЯ СИСТЕМИ ВНУТРІШНЬОГО КОНТРОЛЮ

(недостатній рівень)

у _________________________________________________________________________ (назва установи)

Організація внутрішнього контролю не відповідає вимогам керівних документів та не забезпечує виконання функцій І завдань, наявні недоліки під час здійснення основних функцій, система управління не відповідає вимогам нормативно-правових актів.

Це підтверджується недоліками, виявленими під час проведення контрольних заходів та виконання Плану моніторингу внутрішнього контролю.

Обсяги порушень, які призвели до збитків у звітному періоді, становили грн., що не перевищує граничну межу для даного рівня стану внутрішнього контролю.

Виявлені недоліки впливають на такі функції та завдання:

№ з/п	Назва функції (завдання)	Недоліки, які впливають на виконання функції (завдання)

Зазначене стало можливим у зв’язку з (зазначається перелік обґрунтованих причин (наприклад, недостатній рівень кваліфікації особового складу,), неналежне управління ризиками, недоліки в обліку ресурсів тощо)).

План управління ризиками та План моніторингу внутрішнього контролю затверджені керівником “__”_________20__ р. Плани виконано/не виконано (зазначаються причини невиконання).

Перевірки та аудиторські заходи щодо діяльності виявили такі недоліки:

№ з/п	Назва заходу та назва органу, що його здійснював	Недолік (висновок) за результатами заходу

За результатами аналізу недоліків та рекомендацій, виявлених під час контрольних заходів, оцінки функціонування внутрішнього контролю, було складено План заходів з усунення недоліків (додається) із зазначенням недоліків, які усунуто, та тих, робота щодо яких буде продовжена в наступному році.

Діяльність у наступному році буде направлено на усунення існуючих недоліків та покращення системи внутрішнього контролю відповідно до Плану заходів з усунення недоліків і за такими напрямами:

№ з/п	Напрями діяльності, на які будуть спрямовані заходи щодо покращення внутрішнього контролю

Додаток: План заходів з усунення недоліків на арк.

Керівник ____________________________________

ЗВІТ ПРО СТАН ФУНКЦІОНУВАННЯ СИСТЕМИ ВНУТРІШНЬОГО КОНТРОЛЮ

(незадовільний рівень)

у _________________________________________________________________________ (назва установи)

Організація внутрішнього контролю не відповідає вимогам керівних документів та не забезпечує виконання функцій і завдань, наявні системні недоліки під час здійснення основних функцій, система управління не відповідає вимогам нормативно-правових актів.

Це підтверджується недоліками, виявленими під час проведення контрольних (аудиторських) заходів та виконання Плану моніторингу внутрішнього контролю.

Обсяги порушень, які призвели до збитків у звітному періоді, становили грн., що перевищує граничну межу, для даного рівня внутрішнього контролю.

Виявлені недоліки впливають на такі функції та завдання:

№ з/п	Назва функції (завдання)	Недоліки, які впливають на виконання функції (завдання)

Зазначене стало можливим у зв’язку з (зазначається перелік обґрунтованих причин, які призвели до створення передумов відсутності внутрішнього контролю).

План управління ризиками та План моніторингу внутрішнього контролю (далі — План моніторингу) затверджені керівником від “__”_________20__ р. Плани виконано/не виконано (зазначаються причини невиконання).

Перевірки та аудиторські заходи щодо діяльності виявили такі недоліки.

№ з/п	Назва заходу та назва органу, що його здійснював	Недолік (висновок) за результатами заходу

За результатами аналізу недоліків, зауважень та рекомендацій, виявлених під час перевірок і аудиторських заходів, оцінки функціонування внутрішнього контролю, було складено План заходів з усунення недоліків (додається) із зазначенням недоліків, які усунуто, та тих, робота щодо яких буде продовжена в наступному році.

Діяльність у наступному бюджетному році буде направлено на відновлення внутрішнього контролю згідно з Планом заходів з усунення недоліків і за такими напрямами:

№ з/п	Напрями діяльності, на які будуть спрямовані заходи щодо покращення внутрішнього контролю

Додаток: План заходів з усунення недоліків на арк.

Керівник ____________________________________