Відповідно до Основних засад функціонування внутрішнього контролю у розпорядників бюджетних коштів, затверджених постановою Кабінету Міністрів України від 12 грудня 2018 року № 1062 «Про затвердження Основних засад функціонування внутрішнього контролю у розпорядників бюджетних коштів та внесення змін до постанови Кабінету Міністрів України від 28 вересня 2011 р. № 1001» (зі змінами, внесеними постановою Кабінету Міністрів України від 09 травня 2025 року № 531), з метою забезпечення належного функціонування елементів системи внутрішнього контролю в Бюро економічної безпеки України
НАКАЗУЮ:
1. Затвердити Інструкцію з організації та функціонування внутрішнього контролю в Бюро економічної безпеки України (далі – Інструкція), що додається.
2. Керівникам самостійних структурних підрозділів центрального апарату та керівникам територіальних управлінь Бюро економічної безпеки України забезпечити дотримання вимог Інструкції.
3. Визнати таким, що втратив чинність, наказ Бюро економічної безпеки України від 22 червня 2023 року № 197 «Про затвердження Інструкції з організації та здійснення внутрішнього контролю у Бюро економічної безпеки України».
4. Контроль за виконанням цього наказу залишаю за собою.
Директор Олександр ЦИВІНСЬКИЙ
ЗАТВЕРДЖЕНО
Наказ Бюро економічної безпеки України
03 жовтня 2025 року № 186
Інструкція з організації та функціонування внутрішнього контролю в Бюро економічної безпеки України
І. Загальні положення
1. Ця Інструкція визначає порядок організації та функціонування внутрішнього контролю й управління ризиками в центральному апараті та територіальних управліннях БЕБ.
2. Метою цієї Інструкції є забезпечення ефективної організації та функціонування внутрішнього контролю, управління ризиками, оптимізація управлінських процесів у частині забезпечення законності, результативності та ефективності діяльності БЕБ, запобігання виникненню помилок чи інших недоліків у діяльності БЕБ.
3. Цю Інструкцію розроблено з урахуванням вимог статті 26 Бюджетного кодексу України, законів України «Про Бюро економічної безпеки України», «Про запобігання корупції», постанов Кабінету Міністрів України від 06 жовтня 2021 року № 1068 «Деякі питання організації діяльності Бюро економічної безпеки України», від 12 грудня 2018 року № 1062 «Про затвердження Основних засад функціонування внутрішнього контролю у розпорядників бюджетних коштів та внесення змін до постанови Кабінету Міністрів України від 28 вересня 2011 р. № 1001», від 28 вересня 2011 року № 1001 «Деякі питання здійснення внутрішнього аудиту та утворення підрозділів внутрішнього аудиту» (зі змінами), інших нормативно-правових актів України та міжнародних стандартів у цій сфері.
4. У цій Інструкції терміни вживаються в такому значенні:
внутрішній аудит – діяльність, спрямована на вдосконалення системи управління, внутрішнього контролю, запобігання фактам незаконного, неефективного та нерезультативного використання бюджетних коштів, виникненню помилок чи інших недоліків у діяльності БЕБ як розпорядника бюджетних коштів і підприємств, установ та організацій, що належать до сфери його управління, яка передбачає надання незалежних висновків і рекомендацій. Для здійснення внутрішнього аудиту в БЕБ утворюється самостійний структурний підрозділ внутрішнього аудиту, підпорядкований і підзвітний безпосередньо Директору БЕБ;
внутрішній контроль – комплекс заходів, що ґрунтуються на управлінській відповідальності та підзвітності і застосовуються Директором БЕБ для забезпечення дотримання законності та ефективності використання бюджетних коштів, досягнення результатів відповідно до встановленої мети, завдань, планів і вимог щодо діяльності БЕБ як розпорядника бюджетних коштів і підприємств, установ та організацій, що належать до сфери його управління;
залишковий ризик – ризик, що залишається після заходів щодо зменшення впливу ризику та ймовірності настання негативних подій, у тому числі після заходів контролю з управління ризиками, яких вживають суб’єкти внутрішнього контролю;
ідентифікація ризиків – визначення ризиків за категоріями (зовнішні та внутрішні) та видами (нормативно-правові, операційно-технологічні, кадрові, програмно-технічні, фінансово-господарські тощо);
керівництво БЕБ – Директор БЕБ, перший заступник Директора БЕБ, заступник Директора БЕБ з питань цифрового розвитку, цифрових трансформацій і цифровізації, заступники Директора БЕБ, керівники територіальних управлінь БЕБ, керівники самостійних структурних підрозділів БЕБ;
об’єкти внутрішнього контролю – завдання та функції, які виконують суб’єкти внутрішнього контролю для досягнення встановлених цілей у межах визначених повноважень та відповідальності;
операції – окремі частини процесу, які здійснюють суб’єкти внутрішнього контролю у визначеній послідовності під час виконання завдань та функцій;
план реалізації заходів контролю щодо ідентифікованих ризиків – документ на відповідний період, який містить опис ризиків, які виникають перед суб’єктом внутрішнього контролю в процесі досягнення цілей, перелік заходів контролю з управління ризиками, строки їх виконання, інформацію про відповідальних виконавців та очікувані результати від впровадження заходів контролю;
процес – логічно структурований набір послідовних процедур, необхідних для реалізації функцій, виконання завдань, досягнення визначених цілей, під час яких використовуються ресурси й отримуються необхідні результати;
реєстр ідентифікованих ризиків – документ, що містить опис ризиків, їх оцінку, спосіб реагування на кожен ризик і захід контролю;
ресурси – матеріальні та нематеріальні, фінансові, трудові, інтелектуальні, інформаційні, технологічні, часові ресурси та інші засоби, джерела, можливості, які використовуються в діяльності БЕБ;
ризик – можливість настання події, обставини або їх сукупність, що матиме вплив на здатність суб’єкта внутрішнього контролю виконувати завдання і функції, досягати визначеної мети (місії), стратегічних й інших цілей діяльності, може спричинити або допустити виникнення відхилень, корупційних ризиків, шахрайства або зловживань службовим становищем, або матиме негативні фінансово-господарські, юридичні та/або інші наслідки;
система внутрішнього контролю – політики, правила і заходи, які впроваджує Директор БЕБ, що забезпечують функціонування, взаємозв’язок та підтримку всіх елементів внутрішнього контролю і спрямовані на досягнення визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності БЕБ;
суб’єкти внутрішнього контролю – керівництво БЕБ та структурні підрозділи БЕБ.
Інші терміни в цій Інструкції вживаються в значенні, наведеному в актах законодавства, які регулюють діяльність у межах компетенції БЕБ, у тому числі питання з фінансового управління і контролю.
ІІ. Організація внутрішнього контролю
1. Інтеграцію внутрішнього контролю в усі процеси за всіма напрямами (функціями) БЕБ здійснюють керівництво та працівники БЕБ згідно з організаційно-розпорядчими документами і відповідно до вимог актів законодавства.
2. Належна система внутрішнього контролю забезпечує ефективне і прозоре управління в БЕБ, орієнтоване на результат, посилення управлінської підзвітності, чіткого розподілу повноважень і відповідальності між суб’єктами внутрішнього контролю під час виконання завдань, функцій та процесів, недопущення в діяльності БЕБ корупційних правопорушень та правопорушень, пов’язаних із корупцією, шахрайських дій, зловживань, забезпечення обґрунтованості планування надходжень і витрат бюджету.
3. Внутрішній контроль ґрунтується на принципах:
безперервності – політики, правила та заходи, спрямовані на досягнення визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності БЕБ, мінімізацію впливу ризиків, застосовуються постійно для своєчасного реагування на зміни, які стосуються діяльності БЕБ;
інтегрованості – забезпечення здійснення внутрішнього контролю є невід’ємною складовою діяльності БЕБ на всіх її організаційних рівнях;
об’єктивності – прийняття управлінських рішень на підставі повної та достовірної інформації, що ґрунтується на документальних та фактичних даних і виключає вплив суб’єктивних факторів;
делегування повноважень – розподіл повноважень та чітке визначення обов’язків керівництва та працівників БЕБ, надання їм відповідних прав та ресурсів, необхідних для виконання посадових обов’язків;
відповідальності та підзвітності ‒ керівництво та працівники БЕБ відповідальні та підзвітні за свої рішення, дії, виконання завдань у межах посадових обов’язків і делегованих повноважень, реалізацію обов’язків, досягнуті результати відповідно до визначених мети, завдань, планів і вимог щодо діяльності БЕБ, стан управління бюджетними коштами, у тому числі такими, що спрямовуються на підготовку та реалізацію публічних інвестиційних проєктів, об’єктами державної (комунальної) власності та іншими ресурсами, функціонування внутрішнього контролю та управління ризиками, реагування на відхилення;
адекватності – впроваджена в БЕБ система внутрішнього контролю має враховувати особливості та сферу його діяльності, покладені на нього завдання і функції, забезпечуючи досягнення оптимального співвідношення витрат на впроваджені заходи та результатів, що вони приносять;
превентивності ‒ своєчасне здійснення заходів контролю для запобігання настанню ризиків, відхилень, корупційним правопорушенням, шахрайству або зловживанню службовим становищем;
розмежування внутрішнього контролю та внутрішнього аудиту – внутрішній аудит здійснюється для оцінки функціонування системи внутрішнього контролю в БЕБ, надання рекомендацій щодо її поліпшення без безпосереднього здійснення заходів з організації внутрішнього контролю, управління ризиками і прийняття управлінських рішень про управління фінансовими та іншими ресурсами;
відкритості – запровадження механізмів зворотного зв’язку та забезпечення необхідного ступеня прозорості під час проведення оцінки системи внутрішнього контролю.
4. Система внутрішнього контролю в БЕБ складається з таких елементів:
внутрішнє середовище (середовище контролю);
управління ризиками;
заходи контролю;
інформація та комунікація;
моніторинг.
Елементи внутрішнього контролю взаємопов’язані, стосуються всієї діяльності та фінансових і нефінансових процесів у БЕБ.
5. Організація та функціонування внутрішнього контролю в БЕБ забезпечується шляхом:
впровадження Директором БЕБ комплексу управлінських заходів, розроблення та затвердження внутрішніх документів, спрямованих на досягнення визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності БЕБ, ефективність, результативності та прозорості діяльності, запобігання порушенням та збиткам, відхиленням, корупційним правопорушенням, шахрайству або зловживанню службовим становищем, забезпечуючи застосування належних методів та заходів управління БЕБ, виконання зобов’язань щодо підзвітності на кожному рівні БЕБ та функціонування елементів внутрішнього контролю;
запровадження чітких систем (порядків) планування діяльності, контролю за їх виконанням та звітування про виконання планів, завдань і функцій, виявлені та усунуті відхилення, оцінки досягнутих результатів та в разі потреби своєчасного коригування планів діяльності БЕБ;
виконання керівництвом та працівниками БЕБ планів, завдань і функцій, визначених законодавством, та затверджених внутрішніх документів, інформування керівництва БЕБ про ризики, що виникають під час виконання покладених на них завдань і функцій, вжиття заходів контролю, здійснення моніторингу, обміну інформацією.
Під час організації та функціонування внутрішнього контролю забезпечується управлінська відповідальність і підзвітність керівників та працівників БЕБ, яка ґрунтується на вимогах законодавства і стосується всієї діяльності БЕБ.
III. Внутрішнє середовище
1. Внутрішнє середовище – це процеси, операції, процедури, структури та розподіл повноважень щодо їх виконання в БЕБ, правила та принципи управління людськими ресурсами, бюджетними коштами, об’єктами державної (комунальної) власності та іншими ресурсами, функціонування інформаційних (автоматизованих), електронних комунікаційних та інформаційно-комунікаційних систем, спрямовані на забезпечення виконання завдань і функцій БЕБ та досягнення визначених мети (місії), стратегічних та інших цілей, планів і вимог щодо діяльності БЕБ.
Внутрішнє середовище є основою для інших елементів внутрішнього контролю.
2. Складовими внутрішнього середовища є:
мета (місія) та стратегічні цілі діяльності БЕБ;
визначення організаційної структури, повноважень, відповідальності та підзвітності керівництва та працівників БЕБ;
визначення відповідальності та контролю керівництва БЕБ за дотриманням законодавства та внутрішніх порядків і процедур;
установлення переліку завдань та функцій, їх розподіл і закріплення за виконавцями (співвиконавцями);
планування діяльності;
опис процесів (операцій);
складання та подання звітності про результати діяльності (порядки запровадження управлінської відповідальності та підзвітності, включаючи показники, досягнуті під час виконання поставлених завдань та заходів, рівні, форми та строки звітування).
3. Внутрішнє середовище передбачає розподіл повноважень та відповідальності між суб’єктами внутрішнього контролю.
Працівники БЕБ виконують завдання та функції (процеси, операції) відповідно до актів законодавства, організаційно-розпорядчих документів БЕБ, посадових інструкцій.
4. З метою документального відображення складових елементів, які визначають внутрішнє середовище, самостійні структурні підрозділи БЕБ складають опис внутрішнього середовища за формою згідно з додатком 1 до цієї Інструкції та подають його щороку до 01 грудня структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ.
5. Внесення змін до опису внутрішнього середовища здійснюється в разі внесення змін до законодавства України, визначення нових цілей, завдань та функцій, реалізації нових завдань у межах актуалізованих планів діяльності БЕБ, а також у разі зміни розподілу обов’язків та повноважень між Директором БЕБ, першим заступником Директора БЕБ та заступниками Директора БЕБ.
6. Під час організації та функціонування внутрішнього контролю в БЕБ забезпечується розподіл повноважень, управлінська відповідальність і підзвітність керівника та працівників суб’єкта внутрішнього контролю (утворена на ієрархічній основі).
Директор БЕБ організовує та забезпечує ефективне функціонування системи внутрішнього контролю в БЕБ відповідно до повноважень та відповідальності, встановлених Законом України «Про Бюро економічної безпеки України».
Перший заступник Директора БЕБ, заступник Директора БЕБ з питань цифрового розвитку, цифрових трансформацій і цифровізації, заступники Директора БЕБ організовують внутрішній контроль у межах наданих їм повноважень та забезпечують дотримання принципів, визначених пунктом 3 розділу ІІ цієї Інструкції.
Керівники самостійних структурних підрозділів безпосередньо відповідальні за організацію та забезпечення функціонування внутрішнього контролю у підпорядкованих підрозділах з дотриманням вимог актів законодавства, організаційно-розпорядчих документів та несуть відповідальність за своєчасну підготовку, складання та подання документів з організації внутрішнього контролю.
7. Під час організації внутрішнього контролю керівники суб’єктів внутрішнього контролю в межах повноважень зобов’язані забезпечити:
розроблення організаційно-розпорядчих документів та іншої управлінської документації, перегляд їх на предмет актуальності;
складання опису внутрішнього середовища;
здійснення діяльності з управління ризиками;
здійснення заходів контролю;
здійснення моніторингу;
співпрацю / взаємодію, інформаційний та комунікаційний обмін між суб’єктами внутрішнього контролю.
8. Керівники самостійних структурних підрозділів БЕБ визначають із числа працівників, які безпосередньо їм підпорядковані, особу, відповідальну за своєчасну підготовку, складання та подання документів з організації внутрішнього контролю.
Відповідальна особа самостійного структурного підрозділу БЕБ забезпечує своєчасну підготовку, складання та подання документів з організації внутрішнього контролю, формує документи з управління ризиками, здійснює взаємодію з іншими суб’єктами внутрішнього контролю та відповідальною особою з питань внутрішнього контролю БЕБ, забезпечує виконання інших питань з внутрішнього контролю.
9. Працівники підрозділу внутрішнього аудиту / внутрішні аудитори не можуть бути визначені відповідальними з питань внутрішнього контролю, крім випадків, що стосуються їх основної (операційної) діяльності.
10. Структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ, яка визначена наказом БЕБ, здійснює координаційні заходи з організації внутрішнього контролю в БЕБ, надає суб’єктам внутрішнього контролю методологічну допомогу у визначенні порядку і підходів до управління ризиками, що можуть мати загальний вплив на виконання основних завдань чи досягнення визначених цілей, та відповідних способів реагування на ризики, аналізує і узагальнює інформацію про ідентифікацію та оцінку ризиків, формує план реалізації заходів контролю щодо ідентифікованих та оцінених ризиків, узагальнює інформацію про стан організації та здійснення внутрішнього контролю в БЕБ і включення її до щорічного звіту про стан організації та здійснення внутрішнього контролю в розрізі елементів внутрішнього контролю в БЕБ, подає на розгляд, погодження та затвердження Директору БЕБ відповідні документи.
11. У разі потреби розроблення (координації) заходів з оптимізації внутрішнього контролю в БЕБ, загального обговорення та узгодження оцінки ризиків із високим ступенем впливу та/або спільних для кількох самостійних структурних підрозділів БЕБ ризиків, узагальнення високих ризиків та відповідних заходів контролю щодо таких ризиків може утворюватися робоча група з управління ризиками.
IV. Управління ризиками
1. Управління ризиками – це діяльність керівництва та працівників БЕБ пов’язана з ідентифікацією, оцінкою ризиків, визначенням способів реагування на них, здійсненням перегляду ідентифікованих та оцінених ризиків для виявлення нових і таких, що зазнали змін.
Ідентифікація, оцінка ризиків, розроблення заходів реагування на ідентифіковані та оцінені ризики, а також їх впровадження, перегляд ідентифікованих та оцінених ризиків здійснюють самостійні структурні підрозділи центрального апарату та територіальні управління БЕБ відповідно до орієнтовних критеріїв оцінки ризиків (додаток 2 до цієї Інструкції).
2. Процес управління ризиками включає такі етапи:
визначення посадових осіб БЕБ, відповідальних за здійснення координації управління ризиками;
здійснення ідентифікації ризиків у БЕБ;
оцінювання ідентифікованих ризиків за ймовірністю їх виникнення та суттєвістю впливу на здатність БЕБ виконувати визначені актами законодавства завдання і функції для досягнення визначених мети (місії), стратегічних та інших цілей діяльності БЕБ;
обрання способів реагування на ідентифіковані та оцінені ризики (зменшення, прийняття, розділення чи уникнення);
інформування керівництва БЕБ про проведення оцінки ризиків, ризикові сфери діяльності БЕБ для прийняття рішення щодо вжиття заходів контролю;
здійснення перегляду ідентифікованих та оцінених ризиків для виявлення нових ризиків і таких, що зазнали змін;
документування управління ризиками.
3. Самостійні структурні підрозділи БЕБ щороку здійснюють ідентифікацію ризиків, що передбачає:
ідентифікацію ймовірних подій, їх розподіл на ризики, складання переліку ризиків, які можуть вплинути на виконання закріплених за відповідним самостійним структурним підрозділом БЕБ завдань та функцій або загалом на діяльність БЕБ;
класифікацію ризиків за категоріями та видами;
систематичний перегляд ідентифікованих ризиків з метою виявлення нових ризиків чи таких, що зазнали змін.
4. За категоріями ризики поділяються на:
зовнішні – події, які є зовнішніми та ймовірність виникнення яких не пов’язана з виконанням суб’єктами внутрішнього контролю відповідних процесів та операцій. До зовнішніх ризиків належать нормативно-правові, операційно-технологічні, програмно-технічні, фінансово-господарські, репутаційні тощо;
внутрішні – події, імовірність виникнення яких безпосередньо пов’язана з виконанням суб’єктами внутрішнього контролю відповідних процесів та операцій. До внутрішніх ризиків належать нормативно-правові, операційно-технологічні, програмно-технічні, кадрові, фінансово-господарські тощо.
5. За видами ризики поділяються на:
нормативно-правові – ризики, ймовірність виникнення яких пов’язана з відсутністю, суперечністю або нечіткою регламентацією виконання операцій у відповідних нормативно-правових актах, законодавчими змінами тощо;
операційно-технологічні – ризики, імовірність виникнення яких пов’язана з недотриманням визначеного порядку виконання процесу, зокрема строків та формату подання документів, наявності недоліків або помилок в організації відповідних внутрішніх процесів у БЕБ;
програмно-технічні – ризики, імовірність виникнення яких пов’язана з браком прикладного програмного забезпечення або його адаптації відповідно до вимог нормативно-правових актів, неналежною роботою або відсутністю необхідних технічних засобів тощо;
кадрові – ризики, імовірність виникнення яких пов’язана з нестачею працівників БЕБ, їх професійною підготовкою, неналежним виконанням посадових обов’язків, професійною деформацією чи професійним вигоранням;
фінансово-господарські – ризики, імовірність виникнення яких пов’язана з фінансово-господарським станом БЕБ, зокрема неналежним ресурсним, матеріальним забезпеченням тощо;
репутаційні – ризики, імовірність виникнення яких пов’язана з діяннями, які можуть негативно вплинути на репутацію БЕБ;
корупційні – ризики, імовірність виникнення яких пов’язана з правовими, організаційними та іншими факторами, у тому числі із заходами контролю, причинами або із сукупністю таких факторів і причин, які створюють суб’єктам внутрішнього контролю умови для скоєння корупційних правопорушень під час виконання покладених на них повноважень;
ризики інформаційної безпеки – ризики, пов’язані з впливом на інформаційні системи, що використовуються в БЕБ, наслідками яких є порушення конфіденційності, цілісності, автентичності або доступності інформаційних ресурсів.
Крім визначених у цьому пункті ризиків можуть бути визначені додаткові види ризиків з огляду на специфіку виконання завдань та функцій.
6. Під час перегляду ризиків враховуються зміни в економічному та нормативно-правовому середовищі, внутрішніх та зовнішніх умовах діяльності БЕБ, а також нові або переглянуті завдання чи цілі діяльності БЕБ.
7. Ідентифікація ризиків може здійснюватися із застосуванням методів визначення ризиків на рівні БЕБ (метод «згори донизу») та на рівні конкретних операцій / ділянки роботи (метод «знизу догори»). Визначення ризиків методом «згори донизу» здійснюється з метою виявлення вразливих до ризиків сфер діяльності, окремих функцій та завдань БЕБ.
Визначення ризиків на рівні конкретних операцій / ділянки роботи методом «знизу догори» здійснюється в кожному структурному підрозділі БЕБ.
Для кращого визначення ризиків у БЕБ можуть одночасно використовуватися обидва зазначені в цьому пункті методи визначення ризиків.
8. Оцінка ризиків – це визначення ступеня ризиків за критеріями ймовірності виникнення ризиків та їх впливу на спроможність структурних підрозділів БЕБ виконувати покладені на них завдання і повноваження для досягнення мети (місії) та стратегічних цілей БЕБ.
9. Оцінка ризиків здійснюється за такими критеріями:
імовірність ризику – вірогідність / можливість виникнення події в певний проміжок часу, що може негативно вплинути на досягнення цілей БЕБ;
вплив ризику – вплив такої події в разі її виникнення на виконання покладених на самостійні структурні підрозділи БЕБ завдань та функцій або діяльність БЕБ загалом.
10. За ймовірністю виникнення ризики оцінюються за такими критеріями:
низька ймовірність – ризики, які ніколи не виникали, виникнення яких може відбутися дуже рідко / майже неможливо або ймовірність виникнення яких досить низька;
середня ймовірність – ризики, які, ймовірно, можуть рідко виникнути в майбутньому, найближчим часом, або події, які відбувалися в діяльності БЕБ;
висока ймовірність – ризики, ймовірність виникнення яких становить близько 100 %, або такі події, які виникли в діяльності БЕБ відносно нещодавно.
11. За рівнем впливу на спроможність самостійних структурних підрозділів БЕБ виконувати покладені на них завдання та функції, а також реалізувати визначені операційні цілі для досягнення стратегічних за впливом цілей БЕБ ризики оцінюються за такими критеріями:
низького рівня впливу – вплив ризику призводить до обмеженого або мінімального зниження спроможності, що може заважати подальшому досягненню цілей, виконанню завдань і функцій, процесів та операцій за основними напрямами діяльності, відсутній / несуттєвий вплив на досягнення запланованих показників чи реалізацію відповідного процесу;
середнього рівня впливу – вплив ризику призводить до суттєвого зниження спроможності, що може заважати подальшому досягненню цілей, виконанню завдань і функцій, процесів та операцій за основним напрямом діяльності, реалізації відповідних процесів, чи хід досягнення запланованих показників можливо скоректувати / відновити протягом незначного періоду часу;
високого рівня впливу – ризики, вплив яких призводить до суттєвої втрати спроможності, можливості далі в установлені порядок і спосіб досягати цілей, виконувати завдання та функції, процеси та операції за основним напрямом діяльності, неможливе / повільне коректування / відновлення реалізації відповідних процесів чи досягнення цілей.
12. Загальна оцінка ризиків здійснюється відповідно до Матриці оцінки ризиків, наведеної в додатку 3 до цієї Інструкції.
13. Найбільш суттєвими є ризики з високим рівнем впливу на спроможність реалізувати визначені операційні цілі для досягнення стратегічних цілей БЕБ. Найменш суттєвими є ризики, які мають низький рівень впливу.
14. Структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ, інформує керівництво БЕБ про сфери діяльності з високим рівнем впливу для прийняття рішення щодо вжиття заходів контролю з метою запобігання виникненню чи обмеження таких ризиків.
15. Рішення щодо способів реагування та вжиття заходів контролю стосовно ризиків із низьким рівнем впливу можуть приймати керівники структурних підрозділів БЕБ у межах їхніх повноважень та компетенції.
У разі потреби керівництво БЕБ інформується про такі рішення.
16. Визначення способів реагування на ідентифіковані та оцінені ризики полягає у прийнятті рішення керівництва БЕБ щодо зменшення, прийняття, розділення чи уникнення ризику.
17. Зменшення ризику означає вжиття певних заходів, які сприяють зменшенню або повному усуненню ймовірності виникнення ризиків та/або їх впливу, і включає низку операційних рішень, що приймаються щоденно.
18. Прийняття ризику передбачає відсутність заходів реагування щодо такого ризику, тобто жодні дії для впливу на такий ризик не здійснюються. Такий спосіб реагування використовується, якщо за результатами оцінки ризику встановлено, що його вплив на діяльність буде мінімальним (ризик із низьким ступенем впливу, витрати на заходи контролю будуть надто високими, немає засобів впливу щодо запобігання настанню негативних подій).
19. Розділення (передача) ризику означає зменшення ймовірності або впливу ризику шляхом поділу цього ризику з іншими заінтересованими сторонами чи перенесення частини ризику.
20. Уникнення ризику означає призупинення (припинення) діяльності (функції, процесу, операції), що призводить до підвищення ризику (вирішення питання доцільності продовження певного проєкту).
21. Рішення щодо реагування на ризики приймаються з урахуванням допустимого рівня ризику, який суб’єкти внутрішнього контролю відповідно до своїх повноважень можуть прийняти, не вживаючи жодних заходів контролю. Визначення допустимого рівня ризику є суб’єктивним процесом, важливим аспектом управління ризиками.
22. Під час прийняття рішення щодо способу реагування на ризик враховуються:
результати оцінки ймовірності його виникнення та впливу, тобто його значення (високе, середнє або низьке);
витрати, пов’язані із заходами реагування, порівняно з отриманою вигодою від його зменшення;
можливість виникнення додаткових ризиків унаслідок застосування обраного способу реагування на ризик.
23. У разі наявності залишкових ризиків керівництво БЕБ здійснює аналіз їх можливого впливу порівняно з оптимально допустимим (прийнятим) рівнем конкретного ризику й обирає шляхи управління такими ризиками: вжиття інших заходів для зменшення суттєвості впливу ризиків на здатність суб’єкта внутрішнього контролю виконувати функції, процеси, операції та досягати визначених цілей і мети або прийняття залишкових ризиків.
24. Ризики, які відповідно до Матриці оцінки ризиків оцінюються в числових значеннях 1 та 2, є «низькими» (зелена зона) і на цьому рівні, як правило, вважаються прийнятними.
Керівники самостійних структурних підрозділів БЕБ розробляють і здійснюють відповідні заходи контролю самостійно.
Самостійний структурний підрозділ БЕБ повинен періодично переглядати ризики з низьким рівнем впливу для підтвердження актуальності початкових припущень щодо їх критеріїв, результативності та ефективності обраних заходів контролю щодо них. У разі зміни критерію ризику переглядаються його значення, способи реагування та заходи контролю.
25. Ризики, які відповідно до Матриці оцінки ризиків оцінено в числових значеннях 3 та 4, є «середніми» (жовта зона) і потребують прийняття рішень про способи реагування на ризики та вжиття заходів контролю на рівні керівників самостійних структурних підрозділів БЕБ, у яких ідентифіковано ризики.
Якщо самостійні структурні підрозділи БЕБ не мають змоги самостійно вжити заходів реагування на ризики, вони подають керівництву БЕБ пропозиції щодо заходів контролю для прийняття рішення.
26. Ризики, які відповідно до Матриці оцінки ризиків оцінено в числових значеннях від 6 до 9, є «високими» (червона зона) і потребують прийняття рішень та вжиття заходів контролю на рівні керівництва БЕБ.
У такому випадку самостійні структурні підрозділи БЕБ подають керівництву БЕБ пропозиції щодо впровадження заходів контролю стосовно ризиків, які оцінено як «високі».
27. Керівники самостійних структурних підрозділів БЕБ запроваджують і підтримують ефективні заходи контролю для впливу на досягнення БЕБ установлених мети (місії), цілей, завдань, виконання функцій, процесів.
28. Керівники самостійних структурних підрозділів БЕБ щороку здійснюють ідентифікацію та оцінку ризиків, що матимуть негативний вплив на діяльність у межах повноважень відповідного самостійного структурного підрозділу БЕБ, враховуючи інформацію минулих періодів і поточну інформацію.
29. За результатами визначення ідентифікованих та оцінених ризиків керівники самостійних структурних підрозділів БЕБ готують пропозиції щодо способів реагування та заходів контролю на ідентифіковані та оцінені ризики, після чого формується інформація (документи) з управління ризиками у вигляді таких таблиць:
Реєстр ідентифікованих ризиків – за формою, наведеною в додатку 4 до цієї Інструкції;
пропозиції до Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ – за формою, наведеною в додатку 5 до цієї Інструкції.
30. Під час формування Реєстру ідентифікованих ризиків необхідно:
уникати визначення ризиків, які не впливають на досягнення цілей, реалізацію завдань;
уникати визначення ризиків, які є зворотним формулюванням цілей, завдань та функцій, покладених на БЕБ;
не визначати ризики як наслідки подій;
формулювати ризики в причинно-наслідковому зв’язку.
31. Під час прийняття рішення щодо способу реагування на ризики керівники самостійних структурних підрозділів БЕБ повинні враховувати необхідність включення до Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ найбільш суттєвих ризиків, які мають визначальний вплив на досягнення цілей, виконання завдань (функцій) та ефективне управління ресурсами в БЕБ.
32. У разі потреби до Реєстру ідентифікованих ризиків впродовж року можуть вноситися зміни.
33. Самостійні структурні підрозділи БЕБ надають щороку до 25 листопада структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ, такі документи на наступний рік:
Реєстр ідентифікованих ризиків;
пропозиції до Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ.
Структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ:
узагальнює до 25 грудня поточного року інформацію, зазначену в реєстрах ідентифікованих ризиків та планах реалізації заходів контролю щодо ідентифікованих ризиків, отриманих від самостійних структурних підрозділів БЕБ, формує зведений Реєстр ідентифікованих ризиків у БЕБ за формою, наведеною в додатку 6 до цієї Інструкції, та План реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ за формою, наведеною в додатку 7 до цієї Інструкції;
подає до 31 грудня поточного року Директору БЕБ зведений Реєстр ідентифікованих ризиків у БЕБ – на погодження, а План реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ – на затвердження;
доводить до відома керівників самостійних структурних підрозділів БЕБ до 10 січня наступного року погоджений Реєстр ідентифікованих ризиків у БЕБ, затверджений План реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ.
34. У разі наявності зауважень структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ, повертає суб’єктам внутрішнього контролю отриману інформацію з управління ризиками на доопрацювання.
35. Самостійні структурні підрозділи БЕБ щороку до 10 січня надають структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ, інформацію про виконання Плану впровадження заходів контролю з управління ризиками та моніторингу їх результативності у БЕБ, а також Моніторинг виконання Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ за формами, наведеними в додатках 8, 9 до цієї Інструкції.
Структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ:
узагальнює до 20 січня інформацію про виконання Плану впровадження заходів контролю з управління ризиками та моніторингу їх результативності у БЕБ, а також Моніторинг виконання Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ за минулий календарний рік, яку надали самостійні структурні підрозділи БЕБ;
аналізує отриману інформацію та до 25 січня подає Директору БЕБ узагальнений звіт про стан виконання Плану впровадження заходів контролю з управління ризиками та моніторингу їх результативності у БЕБ, а також Моніторинг виконання Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ.
36. Контроль за виконанням Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ здійснюють керівники самостійних структурних підрозділів БЕБ (головні виконавці заходів контролю) у межах компетенції.
37. Перегляд діяльності з управління ризиками здійснюється з метою:
оцінки того, чи не змінилося їх значення;
підтвердження її ефективності та результативності;
визначення необхідності подальших заходів реагування.
38. За результатами моніторингу змін у нормативно-правовому та економічному середовищі, а також змін внутрішніх і зовнішніх умов функціонування БЕБ, аналізу управлінської інформації та звітних документів про досягнення встановлених результатів діяльності, рекомендацій підрозділу внутрішнього аудиту БЕБ, у разі виявлення нових ризиків і таких, що зазнали змін, самостійні структурні підрозділи БЕБ протягом року, але не рідше ніж один раз на рік:
здійснюють перегляд ідентифікованих ризиків на предмет уточнення, вилучення / доповнення окремих ризиків, а також уточнюють способи реагування;
вносять відповідні зміни до Реєстру ідентифікованих ризиків і Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ.
V. Заходи контролю
1. Заходи контролю – це сукупність запроваджених у БЕБ управлінських дій, які здійснюють керівництво та працівники БЕБ для впливу на ризики з метою досягнення визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності БЕБ.
2. Заходи контролю щодо всіх повноважень і завдань БЕБ, що включають відповідні правила і процедури, здійснюються на всіх рівнях діяльності БЕБ.
3. Найбільш типовими заходами контролю в БЕБ є:
установлення процедур авторизації та підтвердження (зокрема, отримання дозволу відповідальних посадових осіб БЕБ на виконання операцій шляхом візування, погодження, затвердження документів);
розмежування обов’язків між працівниками БЕБ для зниження ризиків вчинення помилок чи протиправних дій та своєчасного виявлення таких дій;
здійснення контролю за доступом до матеріальних і нематеріальних ресурсів, облікових записів тощо;
забезпечення захисту інформаційних (автоматизованих), електронних комунікаційних та інформаційно-комунікаційних систем;
визначення правил і вимог до здійснення операцій та контролю за законністю їх виконання;
звіряння облікових даних із фактичними;
оцінювання загальних результатів діяльності БЕБ;
здійснення систематичного перегляду роботи кожного працівника БЕБ для визначення якості виконання поставлених завдань;
організація контролю за виконанням документів.
4. Основні заходи контролю в БЕБ з метою реагування на ризики та відповідальні виконавці процесу управління ризиками визначаються в Плані реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ, що формується відповідно до положень розділу ІV цієї Інструкції.
5. Для забезпечення результативності впроваджених у БЕБ заходів контролю та впливу на ризики вони повинні відповідати таким умовам:
доцільності – відповідні заходи контролю у відповідному місці та відповідно до ризику, якого це стосується;
послідовності та періодичності – усі працівники БЕБ повинні постійно дотримуватися вимог актів законодавства, організаційно-розпорядчих документів тощо і не порушувати їх;
економічності – ресурси, необхідні для здійснення заходів контролю, не повинні перевищувати очікуваного ефекту;
повноти, обґрунтованості та безпосереднього стосунку до цілей контролю.
VI. Інформація та комунікації
1. Інформація та комунікація (інформаційний та комунікаційний обмін) – це створення інформації, її збирання, документування, здійснення її аналізу, передача інформації та використання її в діяльності керівництва та працівників БЕБ для виконання й оцінювання результатів виконання покладених на них завдань та функцій.
Ефективна система інформаційного та комунікаційного обміну гарантує керівникам усіх рівнів та працівникам БЕБ наявність інформації, необхідної для прийняття рішень щодо виконання покладених на них завдань і функцій.
2. За основними вимогами інформація повинна бути:
доцільною, що передбачає наявність лише необхідної інформації;
своєчасною, що передбачає отримання інформації у визначений час;
актуальною, тобто інформація не повинна застаріти до її отримання;
чіткою, тобто правильною та достатньо деталізованою;
доступною, що передбачає вільний доступ до інформації зацікавленим учасникам процесу.
3. Здійснення інформаційного та комунікаційного обміну:
установлення порядку обміну інформацією всередині БЕБ та із зовнішніми користувачами (процедури, форми, обсяги, строки, перелік надавачів та отримувачів інформації, вимоги до інформації фінансового і нефінансового характеру, збереження інформації);
організація та забезпечення доступу до інформації;
організація документообігу та роботи з документами;
установлення порядку та графіків складання і подання звітності;
оприлюднення інформації про діяльність БЕБ.
Запроваджений у БЕБ інформаційний та комунікаційний обмін повинен забезпечувати надання керівництву та працівникам БЕБ повної, своєчасної та достовірної інформації, необхідної для виконання покладених на них завдань та функцій.
5. Ефективна система інформаційного та комунікаційного обміну передбачає надання повної, своєчасної та достовірної інформації:
керівництву БЕБ щодо виконання завдань, ідентифікації та оцінки ризиків, стану реалізації заходів контролю та моніторингу, впровадження їх результатів, впровадження рекомендацій за результатами внутрішніх аудитів та обов’язкових вимог контрольних заходів зовнішніх контролюючих органів для прийняття відповідних управлінських рішень;
працівникам центрального апарату та територіальних управлінь БЕБ для належного забезпечення реалізації завдань та повноважень, покладених на структурні підрозділи центрального апарату та територіальних управлінь БЕБ.
6. Налагодження в БЕБ інформаційного та комунікаційного обміну сприятиме ефективному виконанню завдань і функцій БЕБ, що забезпечить досягнення стратегічних пріоритетів та цілей і виконання визначеної місії.
VII. Моніторинг
1. Моніторинг у системі внутрішнього контролю спрямований на забезпечення ефективного виконання заходів контролю, своєчасне виявлення та усунення відхилень, а також підвищення якості управління ризиками в БЕБ.
Моніторинг здійснюють суб’єкти внутрішнього контролю шляхом постійного відстеження результатів виконання завдань, планів роботи, впровадження заходів контролю з управління ризиками і періодичної оцінки стану організації та функціонування системи внутрішнього контролю в цілому та/або окремих його елементів з метою виявлення відхилень чи недоліків, вжиття заходів для їх усунення.
2. Здійснення моніторингу передбачає:
постійне відстеження поточної діяльності БЕБ з метою виявлення змін, прогресу або будь-яких інших аспектів, що заслуговують на увагу (управлінські та наглядові заходи керівників та працівників БЕБ під час виконання своїх обов’язків для визначення та коригування відхилень);
проведення періодичної оцінки виконання окремих завдань та функцій для здійснення аналізу результативності системи внутрішнього контролю;
інформування керівництва БЕБ про недоліки в системі внутрішнього контролю, виявлені за результатами здійснення моніторингу.
3. Структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ, здійснює контроль та організацію заходів щодо проведення щоквартального моніторингу Плану впровадження заходів контролю з управління ризиками та моніторингу їх результативності в БЕБ, а також інших моніторингових заходів у межах повноважень.
За результатами моніторингу Плану впровадження заходів контролю з управління ризиками та моніторингу їх результативності в БЕБ, а також Моніторингу виконання Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ у разі потреби приймаються рішення щодо перегляду окремих неефективних заходів контролю, а також перегляду ідентифікованих та оцінених ризиків.
Інформація про результати моніторингу, виявлені недоліки та прийняті рішення щодо коригування заходів контролю та управління ризиками подається на розгляд Директора БЕБ.
4. У разі встановлення за результатами моніторингу настання ризику у відповідному структурному підрозділі, а також невиконання або неефективності запроваджених заходів контролю, передбачених Планом реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ, відповідний структурний підрозділ зобов’язаний протягом трьох робочих днів з дати завершення моніторингу:
подати структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ, план заходів з усунення або мінімізації ризику у вигляді таблиці, наведеної в додатку 10 до цієї Інструкції;
надати інформацію про причини, що призвели до настання ризику або порушення;
визначити відповідальних осіб, строки виконання та очікувані результати стосовно вжитих заходів.
5. Запроваджений у БЕБ моніторинг повинен забезпечувати виявлення та оцінку відхилень у функціонуванні внутрішнього контролю та/або окремих його елементів і вжиття заходів для усунення таких відхилень, а саме:
більшу контрольованість за здійснюваними процесами, своєчасне реагування на зміни;
актуалізацію ідентифікованих та оцінених ризиків, ефективність і релевантність впроваджених заходів контролю;
своєчасне реагування на відхилення (недоліки) для коригування заходів контролю, а також сприяння досягненню визначених цілей і виконанню завдань.
VIIІ. Звіт про стан організації та здійснення внутрішнього контролю в розрізі елементів внутрішнього контролю
1. Самостійні структурні підрозділи БЕБ надають щороку до 05 січня структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ, інформацію в межах своєї компетенції про стан організації та здійснення внутрішнього контролю (у частині, що їх стосується) у розрізі елементів внутрішнього контролю за формою, визначеною Міністерством фінансів України.
2. Структурний підрозділ БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особа, відповідальна за здійснення внутрішнього контролю в БЕБ, формує на підставі інформації, яку надали самостійні структурні підрозділи БЕБ, і подає на підпис Директору БЕБ декларацію керівника з внутрішнього контролю разом із Звітом про стан організації та здійснення внутрішнього контролю за формами, встановленими Міністерством фінансів України, а також забезпечує подання їх щороку до 01 лютого Міністерству фінансів України.
IX. Взаємодія з територіальними управліннями БЕБ
1. Територіальні управління БЕБ підзвітні перед вищим керівництвом БЕБ за виконання завдань, досягнення цілей, фінансове управління і контроль (у тому числі управління ризиками) за відповідними напрямами діяльності (функціями) в цілому або з окремих питань (процесів).
Керівники територіальних управлінь БЕБ організовують внутрішній контроль та забезпечують його здійснення в територіальних управліннях БЕБ з урахуванням вимог постанови Кабінету Міністрів України від 12 грудня 2018 року № 1062 «Про затвердження Основних засад функціонування внутрішнього контролю у розпорядників бюджетних коштів та внесення змін до постанови Кабінету Міністрів України від 28 вересня 2011 р. № 1001» та цієї Інструкції.
Керівники територіальних управлінь БЕБ безпосередньо забезпечують функціонування внутрішнього контролю у відповідних територіальних управліннях БЕБ.
2. Особи, відповідальні за здійснення внутрішнього контролю в територіальних управліннях БЕБ, надають щороку до 15 грудня структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ, Зведений реєстр ідентифікованих ризиків територіального управління БЕБ (обов’язково з високим ступенем впливу, із середнім та низьким ступенями в разі потреби / за дорученням) за формою, наведеною в додатку 6 до цієї Інструкції, та План реалізації заходів контролю щодо ідентифікованих ризиків згідно з формою, наведеною в додатку 7 до цієї Інструкції.
У разі потреби ідентифіковані ризики територіального управління БЕБ включаються до зведеного Реєстру ідентифікованих ризиків у БЕБ та Плану реалізації заходів контролю щодо ідентифікованих ризиків у БЕБ.
3. Територіальні управління БЕБ подають щороку до 15 січня структурному підрозділу БЕБ, який здійснює координацію системи внутрішнього контролю в БЕБ, або особі, відповідальній за здійснення внутрішнього контролю в БЕБ, декларацію керівника з внутрішнього контролю разом із Звітом про стан організації та здійснення внутрішнього контролю в територіальному управлінні БЕБ у розрізі елементів внутрішнього контролю за формами, визначеними Міністерством фінансів України.
Керівник Департаменту Олексій ДРОЗД
Додаток 1
до Інструкції з організації та функціонування внутрішнього контролю в Бюро економічної безпеки України
(пункт 4 розділу ІІІ)
Опис внутрішнього середовища
_________________________________________________
(найменування самостійного структурного підрозділу)
I. Завдання та функції самостійного структурного підрозділу
№ з/п | Завдання (відповідно до Положення про самостійний структурний підрозділ) | Функція (відповідно до завдання) | Нормативно-правові акти, організаційно-розпорядчі документи | Найменування структурного підрозділу в складі самостійного структурного підрозділу, на який покладено виконання функції |
1 | 2 | 3 | 4 | 5 |
___________________________________________________________________
(найменування структурного підрозділу в складі самостійного структурного підрозділу)