Про затвердження Порядку організації системи внутрішнього контролю у виконавчому органі Київської міської ради (Київській міській державній адміністрації), районних в місті Києві державних адміністраціях, підприємствах, установах і організаціях комунальної власності територіальної громади міста Києва та внесення змін до розпорядження виконавчого органу Київської міської ради (Київської міської державної адміністрації) від 11 вересня 2009 року N 1036 "Про деякі питання функціонування Інформаційно-аналітичної системи інтернет-порталу "Київаудит"

Відповідно до статті 26 Бюджетного кодексу України, Основних засад здійснення внутрішнього контролю розпорядниками бюджетних коштів, затверджених постановою Кабінету Міністрів України від 12 грудня 2018 року N 1062, Методичних рекомендацій з організації внутрішнього контролю розпорядниками бюджетних коштів у своїх закладах та у підвідомчих бюджетних установах, затверджених наказом Міністерства фінансів України від 14 вересня 2012 року N 995, Положення про Департамент внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації), затвердженого рішенням Київської міської ради від 18 вересня 2014 року N 151/151 (в редакції рішення Київської міської ради від 17 травня 2018 року N 817/4881 ), з метою організації системи внутрішнього контролю та управління ризиками у виконавчому органі Київської міської ради (Київській міській державній адміністрації), районних в місті Києві державних адміністраціях, підприємствах, установах і організаціях комунальної власності територіальної громади міста Києва:

1. Затвердити Порядок організації системи внутрішнього контролю у виконавчому органі Київської міської ради (Київській міській державній адміністрації), районних в місті Києві державних адміністраціях, підприємствах, установах і організаціях комунальної власності територіальної громади міста Києва, що додається.

2. Керівникам структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністрацій, підприємств, установ та організацій, що належать до комунальної власності територіальної громади міста Києва, забезпечити:

2.1. Інформування Департаменту внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації) щодо:

покладання повноважень уповноваженого з питань внутрішнього контролю структурного підрозділу виконавчого органу Київської міської ради (Київської міської державної адміністрації), районної в місті Києві державної адміністрації та її структурного підрозділу, підприємства, установи, організації комунальної власності територіальної громади міста Києва;

припинення повноважень уповноваженого з питань внутрішнього контролю структурного підрозділу виконавчого органу Київської міської ради (Київської міської державної адміністрації), районної в місті Києві державної адміністрації та її структурного підрозділу, підприємства, установи, організації комунальної власності територіальної громади міста Києва.

2.2. Здійснення координації роботи спільно з уповноваженим з питань внутрішнього контролю структурного підрозділу виконавчого органу Київської міської ради (Київської міської державної адміністрації), районної в місті Києві державної адміністрації та її структурного підрозділу, підприємства, установи, організації комунальної власності територіальної громади міста Києва з Департаментом внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації).

2.3. Розгляд звітів, рекомендацій за результатами внутрішнього контролю, притягнення до відповідальності осіб, винних у порушеннях, виявлених за результатами внутрішнього контролю.

2.4. Виконання законних вимог уповноваженого з питань внутрішнього контролю структурного підрозділу виконавчого органу Київської міської ради (Київської міської державної адміністрації), районної в місті Києві державної адміністрації та її структурного підрозділу, підприємства, установи, організації комунальної власності територіальної громади міста Києва, та рекомендацій, наданих за результатами внутрішніх контролів.

3. Унести до розпорядження виконавчого органу Київської міської ради (Київської міської державної адміністрації) від 11 вересня 2009 року N 1036 "Про деякі питання функціонування Інформаційно-аналітичної системи інтернет-порталу "Київаудит" такі зміни:

3.1. Підпункт 1.4 пункту 1 виключити.

У зв'язку з цим підпункт 1.5 вважати пунктом 1.4.

3.2. Пункт 2.1 викласти у такій редакції:

"2.1. Договори про закупівлю та зміни до них, документи, що підтверджують виконання таких договорів, візуються відповідно до додатка 2 до цього розпорядження керівниками головних розпорядників коштів, яким підпорядковані підприємства, установи чи організації, в залежності від лімітів сум правочинів, що встановлюється для підприємств, установ та організацій Київським міським головою за поданням директора Департаменту внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації)."

3.3. У пункті 3:

підпункт 3.1 викласти у такій редакції:

"3.1. Вивчення середньоринкових цін на товари, роботи та послуги, на базі яких визначається (з врахуванням очікуваних цін, які використовувались при підготовці відповідних бюджетних запитів) допустимий рівень ціни (очікувана вартість), що має бути зазначеною в обґрунтуванні доцільності закупівлі, її обсягів, якісних характеристик, тендерній документації тощо.";

підпункт 3.4 викласти у такій редакції:

"3.4. Врахування зауважень, наданих відповідно до пункту 4 цього розпорядження, Департаментом внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації) та власними підрозділами внутрішнього аудиту (відповідальними особами з внутрішнього аудиту), та вжиття необхідних заходів щодо їх виконання."

3.4. Пункт 4 викласти у такій редакції:

"4. Керівникам підприємств, установ та організацій:

4.1. За десять робочих днів до оприлюднення інформації про проведення процедури закупівлі надавати Департаменту внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації) обґрунтування доцільності закупівлі, її обсягів, якісних характеристик, допустимого рівня та очікуваної ціни, вартості закупівлі, тендерну документацію для вивчення та, у разі необхідності, необхідного реагування.

Протягом п'яти робочих днів після оприлюднення інформації про проведення процедури закупівлі надавати Департаменту внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації) ідентифікатор закупівлі (N оголошення про проведення закупівлі в ЦБД електронної системи публічних закупівель ProZorro).

Оприлюднення інформації про проведення процедури закупівлі здійснювати у разі відсутності зауважень Департаменту внутрішнього фінансового контролю та аудиту Київської міської ради (Київської міської державної адміністрації) після закінчення десяти робочих днів з дня надання до Департаменту внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації) документів, зазначених у абзаці першому цього підпункту.

4.2. В межах штатної (граничної) чисельності працівників визначити осіб, відповідальних за моніторинг моніторингового порталу публічних закупівель DoZorro, підготовку та надання відповідних коментарів на відгуки щодо закупівель."

3.5. Пункт 5 викласти у такій редакції:

"5. Структурним підрозділам виконавчого органу Київської міської ради (Київської міської державної адміністрації) забезпечувати внесення до установчих документів (статутів, положень) підпорядкованих підприємств, установ та організацій, умов, якими передбачити персональну відповідальність керівників підприємств, установ та організацій за недотримання вимог цього розпорядження, а також допущення неефективних господарських операцій, правочинів, прийняття неефективних управлінських рішень в установленому порядку."

3.6. У пункті 6:

у підпункті 6.3 слова "заступника голови Київської міської державної адміністрації згідно з розподілом обов'язків" замінити словами "Київського міського голову";

доповнити новим підпунктом 6.4 такого змісту:

"6.4. Вибірковий аналіз документів, зазначених у абзаці першому підпункту 4.1 пункту 4 цього розпорядження, та інших документів, розміщених на веб-порталі Уповноваженого органу з питань закупівель.".

3.7. Додаток 1 викласти у новій редакції, що додається.

3.8. Додаток 2 викласти у новій редакції, що додається.

4. Контроль за виконанням розпорядження залишаю за собою.

1.1. Порядок організації системи внутрішнього контролю у виконавчому органі Київської міської ради (Київській міській державній адміністрації), районних в місті Києві державних адміністраціях, підприємствах, установах і організаціях комунальної власності територіальної громади міста Києва (далі - Порядок) розроблено відповідно до статті 26 Бюджетного кодексу України, Порядку здійснення внутрішнього аудиту та утворення підрозділів внутрішнього аудиту, затвердженого постановою Кабінету Міністрів України від 28 вересня 2011 року N 1001, Основних засад здійснення внутрішнього контролю розпорядниками бюджетних коштів, затверджених постановою Кабінету Міністрів України від 12 грудня 2018 року N 1062, Методичних рекомендацій з організації внутрішнього контролю розпорядниками бюджетних коштів у своїх закладах та у підвідомчих бюджетних установах, затверджених наказом Міністерства фінансів України від 14 вересня 2012 року N 995, рішення Національного агентства з питань запобігання корупції від 02 грудня 2016 року N 126 "Про затвердження Методології оцінювання корупційних ризиків у діяльності органів влади", Стратегії розвитку міста Києва до 2025 року, затвердженої рішенням Київської міської ради від 15 грудня 2011 року N 824/7060 , розпорядження виконавчого органу Київської міської ради (Київської міської державної адміністрації) від 22 жовтня 2018 року N 1893 "Про організацію діяльності з внутрішнього аудиту у виконавчому органі Київської міської ради (Київській міській державній адміністрації), районних в місті Києві державних адміністраціях, підприємствах, установах і організаціях комунальної власності територіальної громади міста Києва", Посібника зі стандартів внутрішнього контролю для державного сектору, розробленого Комітетом з внутрішнього контролю Міжнародної організації вищих контролюючих органів (INTOSAI) та Концептуальних основ управління ризиками організацій (ERM COSO) в частині, що не суперечить законодавству України.

1.2. У Порядку наведені нижче терміни та поняття вживаються в такому значенні:

Вище керівництво:

для структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації) та районних в місті Києві державних адміністрацій - Київський міський голова, перший заступник голови Київської міської державної адміністрації та заступники голови Київської міської державної адміністрації згідно з розподілом обов'язків;

для підприємств, установ і організацій комунальної власності територіальної громади міста Києва, що підпорядковані структурним підрозділам виконавчого органу Київської міської ради (Київської міської державної адміністрації) чи належать до сфери управління районних в місті Києві державних адміністрацій - керівники відповідних структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації) та голови районних в місті Києві державних адміністрацій.

Власник процесу - особа, яка наділена відповідними повноваженнями та має у своєму розпорядженні ресурси (кадрові, фінансові, технічні тощо), планує, управляє процесом, несе відповідальність за його результат і ефективність, забезпечує взаємодію всіх учасників процесу (заступники керівника, керівники структурних підрозділів Організації тощо).

Властивий ризик - це вірогідність настання ризику з припущенням, що до нього не застосовувалися заходи внутрішнього контролю Організації. Властивий ризик притаманний кожній Організації та полягає в тому, що в результаті її діяльності можуть бути допущені помилки та невідповідності.

Внутрішні зацікавлені сторони - це учасники СВК, які безпосередньо задіяні в процесах та мають безпосередній вплив на процеси Організації.

Залишковий ризик - це ризик, що залишається від властивого ризику після впровадження Організацією заходів контролю.

Замовники процесу - фізичні та юридичні особи, в інтересах яких здійснюється процес.

Заходи контролю - сукупність запроваджених в Організації управлінських дій, які здійснюють керівник та уповноважені працівники Організації для впливу на ризики з метою досягнення Організацією визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності Організації.

Зовнішні зацікавлені сторони - це юридичні та фізичні особи, в інтересах яких функціонує Організація, а також юридичні та фізичні особи, від яких безпосередньо чи опосередковано залежна Організація під час провадження своєї діяльності, а також фізичні та юридичні особи вертикального підпорядкування та горизонтальних взаємовідносин тощо (органи державної та місцевої влади, органи місцевого самоврядування, підприємства, установи та організації, що належать до комунальної власності територіальної громади міста Києва, громадські об'єднання, засоби масової інформації, постачальники товарів, робіт, послуг, фізичні особи тощо).

Інформаційно-аналітична система інтернет-порталу "Київаудит" - автоматизована система (портал внутрішнього контролю "Київаудит" / WEB-портал "Київаудит"), що належить територіальній громаді міста Києва.

Інформаційно-аналітична система "Система внутрішнього контролю" (далі - ІАС СВК) - підсистема Інформаційно-аналітичної системи інтернет-порталу "Київаудит".

Комісія з оцінки ризиків - дорадчий орган, що створюється керівником Організації для забезпечення процесу управління ризиками.

Координатор:

для структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації) та районних в місті Києві державних адміністрацій - Департамент внутрішнього фінансового контролю та аудиту виконавчого органу Київської міської ради (Київської міської державної адміністрації);

для підприємств, установ і організацій комунальної власності територіальної громади міста Києва, що підпорядковані структурним підрозділам виконавчого органу Київської міської ради (Київської міської державної адміністрації) чи належать до сфери управління районних в місті Києві державних адміністрацій - Уповноважений з питань внутрішнього контролю в структурному підрозділі виконавчого органу Київської міської ради (Київської міської державної адміністрації) або районній в місті Києві державній адміністрації.

Корупційний ризик (корупційна складова ризику) - ймовірність того, що відбудеться подія корупційного правопорушення чи правопорушення, пов'язаного з корупцією, яка негативно вплине на досягнення визначених цілей та завдань Організації.

Моніторинг - відстеження стану організації та функціонування системи внутрішнього контролю в цілому та/або окремих його елементів.

Операції - окремі частини процесу, які здійснюються учасниками СВК у визначеній послідовності під час його виконання.

Організація - структурний підрозділ виконавчого органу Київської міської ради (Київської міської державної адміністрації), районна в місті Києві державна адміністрація, підприємство, установа, організація комунальної власності територіальної громади міста Києва.

Політика - комплекс заходів стосовно діяльності Організації з єдиними підходами, визначеними нормативно-правовими та розпорядчими документами, що регулюють діяльність Організації.

Процес - сукупність взаємопов'язаних операцій, яка забезпечує виконання відповідної функції Організації та досягнення визначених цілей.

Регламент процесу - це документ, що описує послідовність здійснення операцій, визначає учасників процесу та порядок їх взаємодії, відповідальність і порядок ухвалення рішення, а також межі процесу (вхід та вихід).

Ризик - це можливість настання події, яка в разі виникнення матиме вплив на здатність Організації виконувати її завдання, досягати визначеної мети та цілей діяльності Організації, матиме позитивний або негативний вплив на репутацію Організації, призведе до доходів або збитків.

Ризик-апетит (схильність до ризику) - величина ризику, який Організація готова прийняти перш ніж вжити відповідних заходів.

Система внутрішнього контролю (СВК) - впроваджені керівником Організації політики, правила і заходи, які забезпечують функціонування, взаємозв'язок та підтримку всіх елементів внутрішнього контролю і спрямовані на досягнення визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності Організації.

Уповноважений з питань внутрішнього контролю - керівник Організації, або уповноважений ним працівник, який забезпечує функціонування СВК Організації, та має достатні повноваження для виконання своїх функцій стосовно СВК. Діяльність Уповноваженого з питань внутрішнього контролю спрямована на забезпечення організації СВК та управління ризиками в Організації, дотримання вимог цього Порядку та комунікацію Координатора з іншими учасниками СВК Організації.

Учасники СВК:

Вище керівництво;

Власники процесів:

структурний підрозділ внутрішнього аудиту (відповідальна особа з внутрішнього аудиту) в Організації;

інші працівники Організації;

керівник Організації;

Комісія з оцінки ризиків;

Уповноважений з питань внутрішнього контролю.

Учасники процесу - фізичні та юридичні особи, діяльність яких відноситься до процесу або які є замовниками процесу.

Функція (функція Організації) - основний вид діяльності Організації, спрямований на виконання завдань та досягнення мети відповідно до статутних та розпорядчих документів, що регулюють діяльність Організації.

Інші терміни, порядок інформування та форми комунікацій вживаються у значеннях, що застосовуються в актах законодавства України.

1.3. Порядок розроблено з метою уніфікації підходів та заходів з організації СВК та управління ризиками у виконавчому органі Київської міської ради (Київській міській державній адміністрації), районних в місті Києві державних адміністраціях, підприємствах, установах і організаціях комунальної власності територіальної громади міста Києва, а також визначення базового рівня вимог щодо організації СВК та управління ризиками для Організацій.

1.4. СВК сприяє досягненню завдань, показників ефективності, а також запобігає неефективному використанню ресурсів, запобігає виникненню або зменшує вплив помилок і невизначеності. Процес управління ризиками забезпечує відповідність процесу складання фінансової та бюджетної звітності, достовірність та прозорість такої звітності, дотримання вимог законодавства, уникнення заподіяння шкоди репутації Організації та пов'язаних з цим наслідків.

2.1. СВК в Організації складається з таких елементів:

2.1.1. Внутрішнє середовище - це наявні в Організації процеси, операції, регламенти, структури та розподіл повноважень щодо їх виконання, правила, принципи управління людськими ресурсами, спрямовані на забезпечення виконання Організацією завдань і функцій та досягнення встановлених мети (місії), стратегічних та інших цілей, планів і вимог щодо діяльності Організації.

2.1.2. Управління ризиками - діяльність Вищого керівництва, керівника та працівників Організації з ідентифікації ризиків, проведення їх оцінки, визначення способів реагування на ідентифіковані та оцінені ризики, здійснення перегляду ідентифікованих та оцінених ризиків для виявлення нових та таких, що зазнали змін.

2.1.3. Заходи контролю - сукупність запроваджених в Організації управлінських дій, які здійснюють керівник та уповноважені працівники Організації для впливу на ризики з метою досягнення визначених мети (місії), стратегічних та інших цілей, завдань, планів і вимог щодо діяльності Організації.

2.1.4. Інформація та комунікація (інформаційний та комунікаційний обмін) - створення інформації, здійснення її збору, документування, проведення аналізу, передача інформації та користування нею Вищим керівництвом, керівником і працівниками Організації для виконання і оцінювання результатів виконання завдань та функцій.

2.1.5. Моніторинг - відстеження стану організації та функціонування СВК у цілому та/або окремих його елементів.

2.2. Елементи СВК взаємопов'язані, стосуються всієї діяльності та фінансових і нефінансових процесів в Організації.

Керівник Організації забезпечує належне функціонування та зв'язок усіх елементів СВК.

3.1. Внутрішнє середовище є основою для всіх інших елементів СВК, визначаючи їх характер та структуру.

3.2. Внутрішнє середовище включає такі елементи:

визначення мети (місії) та цілей;

політика управління ризиками;

ризик-апетит;

порядність та етичні цінності;

професійна компетентність працівників організації;

організаційна структура:

делегування повноважень та розподіл відповідальності;

політика управління людськими ресурсами.

3.2.1. Політика управління ризиками - це набір правил та норм, який визначає єдиний підхід для всіх структурних підрозділів Організації до управління ризиками, та яка реалізується через затверджені акти (накази, розпорядження тощо), доручення, регламенти, посадові інструкції, усні комунікації, що стосуються усієї сфери управління Організацією.

Порядок виконання в Організації процесів та операцій визначається Регламентами процесів. Порядок складання Регламентів процесів наведено в додатку 1 до цього Порядку.

Регламенти процесів розробляються з метою:

уніфікації виконання однотипних процесів та операцій;

уникнення дублювання виконання процесів та операцій;

чіткого визначення обов'язків та відповідальності кожного виконавця операцій.

Регламент процесу розробляється для кожного процесу в Організації.

Регламент процесу не обмежується організаційною структурою та положеннями про структурні підрозділи Організації. До реалізації процесу залучаються структурні підрозділи, що працюють для досягнення спільної мети. Регламент процесу визначає порядок діяльності усіх цих підрозділів та взаємодії між ними для досягнення цієї мети.

Перелік процесів визначає та затверджує керівник Організації за формою, наведеною в додатку 3 до цього Порядку. Керівник Організації відповідальний за повноту переліку процесів та забезпечення їх актуалізації.

Процеси групуються за такими видами:

управління - це процеси, які забезпечують управління та розвиток Організації в цілому (стратегічне та оперативне управління, фінансовий менеджмент тощо);

оперативні - це процеси, орієнтовані на виконання функцій Організації (зазвичай є цінними для зовнішніх зацікавлених сторін);

допоміжні - це процеси, які забезпечують безперервну діяльність Організації або підтримують основні процеси (бухгалтерський облік, інформаційне забезпечення, управління персоналом, юридичне забезпечення тощо).

Розподіл процесів між відповідальними особами (Власниками процесів) здійснюється на основі Матриці відповідальності за формою, визначеною додатком 2 до цього Порядку, що затверджує керівник Організації. Якщо до участі у процесі залучаються різні підрозділи Організації, то Власником процесу призначається особа, відповідальна за процес у цілому, незалежно від його приналежності до того чи іншого підрозділу.

Посадові інструкції та розподіл обов'язків між працівниками Організації повинні узгоджуватися з цим Порядком та Регламентами процесів відповідно до участі таких працівників у процесах Організації та СВК у цілому.

Регламенти процесів вносяться до ІАС СВК таким чином:

Уповноважений з питань внутрішнього контролю створює в ІАС СВК перелік процесів та вносить інформацію про Власників процесів відповідно до Матриці відповідальності;

Власники процесів вносять в ІАС СВК відповідну інформацію про власні процеси: регламент, опис тощо.

Відповідальним за повноту та відповідність наповнення ІАС СВК є Уповноважений з питань внутрішнього контролю.

Перелік процесів та Регламенти процесів можуть бути змінені. Підставами для внесення змін до переліку процесів та Регламентів процесів можуть бути:

прийняття нових та/або внесення змін до чинних актів законодавства, які змінюють порядок виконання функцій, процесів, операцій;

запровадження або внесення змін до прикладного програмного забезпечення, яке змінює порядок виконання функцій, процесів, операцій;

результати внутрішнього аудиту СВК;

затвердження Плану заходів з реагування на ризики та заходів їх моніторингу, відповідно до розділу IV цього Порядку, що передбачають розробку нових та/або внесення змін до діючих Регламентів процесів, тощо.

3.2.2. Ризик-апетит є відображенням політики управління ризиками. Він визначається відповідно від специфіки діяльності Організації. Визначений ризик-апетит враховується під час планування діяльності Організації та здійсненні операційної діяльності.

Ризик-апетит виражається в кількісному або якісному вимірі.

Відповідальними за визначення ризик-апетиту є Вище керівництво Організації. Ризик-апетит визначається нормативно-правовими та розпорядчими документами, що регулюють діяльність Організації (врегулювання порядку здійснення публічних закупівель, обмеження керівника Організації на здійснення господарських операцій, що перевищує визначену суму без погодження з Вищим керівництвом, обмеження кількості проєктів, що перебувають на незавершеній стадії, обмеження на ініціювання проєктів без наявності гарантій на фінансування визначеної частини проєкту, обмеження на придбання автомобілів вище визначеної вартості тощо).

3.2.3. Керівники усіх рівнів та працівники Організації повинні проявляти особисту та професійну чесність, дотримуватися етичних цінностей та стандартів етичної поведінки.

Вимоги щодо етичної поведінки державних службовців визначено законами України "Про запобігання корупції", "Про державну службу" та наказом Національного агентства України з питань державної служби від 05 серпня 2016 року N 158 "Про затвердження Загальних правил етичної поведінки державних службовців та посадових осіб місцевого самоврядування", зареєстрованим у Міністерстві юстиції України 31 серпня 2016 року за N 1203/29333.

3.2.4. Професійна компетентність працівників - здатність особи в межах визначених за посадою повноважень застосовувати спеціальні знання, уміння та навички, виявляти відповідні моральні та ділові якості для належного виконання встановлених завдань і обов'язків, навчання, професійного та особистісного розвитку.

Організація має здійснювати заходи для забезпечення необхідної професійної компетентності працівників та оцінювати результативність запроваджених заходів.

Керівники та працівники зобов'язані підтримувати рівень професійної компетентності, який дає можливість їм забезпечити належне виконання своїх обов'язків та досягнення загальних цілей Організації, а також підтримувати СВК у належному стані.

3.2.5. Керівник Організації має забезпечувати структуру Організації відповідно до її потреб (завдань, мети, функцій тощо), розподіл функціональних повноважень і відповідальності, встановлення рівнів підзвітності тощо.

Структура Організації визначається затвердженими в установленому порядку: структурою, штатним розписом, розподілом обов'язків, положенням про структурні підрозділи, посадовими інструкціями працівників тощо.

3.2.6. Керівник Організації забезпечує розподіл, делегування відповідальності та повноважень для працівників. Повноваження та відповідальність працівників мають бути чітко сформульованими, зрозумілими та доведеними до їх відома в установленому порядку. Повноваження та відповідальність мають бути закріплені в посадових інструкціях (розподілі обов'язків тощо) працівників Організації.

Делегування повноважень - передача керівником права прийняття відповідних рішень та відповідальності за їх прийняття підлеглими працівниками на найбільш доцільному рівні організаційної структури.

3.2.7. Політика управління людськими ресурсами визначається внутрішніми документами Організації, що стосуються питань роботи із працівниками, їх навчання та підвищення кваліфікації, оцінки, заохочення і просування по службі тощо.

Керівник Організації забезпечує визначення ключових показників результативності, ефективності та якості службової діяльності для працівників. Визначення ключових показників результативності, ефективності та якості службової діяльності для державних службовців здійснюється відповідно до Порядку проведення оцінювання результатів службової діяльності державних службовців, затвердженого постановою Кабінету Міністрів України від 23 серпня 2017 року N 640.

Керівник Організації зобов'язаний забезпечити безперервний розвиток (підвищення кваліфікації) працівників. Прийом в Організацію компетентних співробітників та їх разове навчання є недостатнім.

3.2.8. Мета (місія) та завдання Організації визначаються відповідно до установчих та/або інших розпорядчих документів, що регламентують діяльність Організації. Для досягнення визначеної мети (місії) Організація затверджує відповідні цілі.

За категоріями цілі поділяються на:

стратегічні цілі;

операційні цілі;

цілі щодо підготовки звітності;

цілі щодо дотримання законодавства.

Стратегічні цілі - це цілі, що відповідають функціям Організації та спрямовані на виконання завдань та досягнення мети (місії). Формування стратегічних цілей здійснюється з урахуванням загальної стратегії, визначеної відповідними нормативно-правовими та розпорядчими документами, що регулюють діяльність Організації.

Керівник Організації повинен визначити ризики, пов'язані з вибором стратегічних цілей, та розглянути їх наслідки.

Дії керівника Організації повинні бути спрямовані на те, щоб структура, кадрові ресурси, процеси та інфраструктура були узгоджені таким чином, аби сприяти успішній реалізації стратегічних цілей і дозволили Організації залишатися в межах прийнятного ризику.

Операційні цілі - це цілі, що детально розкривають стратегічні цілі, спрямовані на конкретний результат. Операційні цілі визначають критерії оцінки та показують, наскільки ефективно Організація провадить свою діяльність.

Цілі щодо підготовки звітності - цілі, пов'язані із забезпеченням достовірності звітності Організації. Вони охоплюють внутрішню і зовнішню звітність як фінансового, так і нефінансового характеру.

Цілі щодо дотримання законодавства - цілі, пов'язані з дотриманням відповідних законодавчих і нормативних актів.

3.2.8.1. Цілі Організації не повинні суперечити одна одній.

3.2.8.2. Визначення операційних цілей має здійснюватися за технологією SMART:

Specific - конкретна;

Measurable - вимірювана;

Achievable - досяжна;

Relevant - важлива, відповідна, актуальна;

Time-bound - обмежена в часі.

3.2.8.3. Керівник Організації відповідальний за визначення, затвердження, перегляд та досягнення цілей Організації. До 31 січня кожного року керівник Організації:

проводить аналіз досягнення цілей;

аналізує необхідність коригування стратегічних цілей;

планує та затверджує цілі Організації на наступний рік за формою, наведеною в додатку 4 до цього Порядку;

звітує Вищому керівництву про досягнення та затвердження цілей Організації.

3.2.8.4. Керівник Організації призначає осіб, відповідальних за досягнення визначених цілей Організації (заступники керівника, керівники структурних підрозділів, інші працівники, безпосередньо підпорядковані керівникові Організації).

3.2.8.5. Цілі Організації мають були сформульовані до того, як керівник Організації зможе виявити і оцінити ризики щодо їх досягнення, а також вжити необхідних заходів з управління ризиками.

4.1. Управління ризиками складається з таких елементів:

ідентифікація (визначення) та перегляд ризиків;

оцінка ризиків;

реагування на ризики.

4.2. Ідентифікація (визначення) та перегляд ризиків.

Управління ризиками направлене на визначення подій, які можуть виникати в результаті дій внутрішніх або зовнішніх факторів, що здійснюють вплив на здатність Організації досягати свої цілі. Події можуть здійснювати негативний, позитивний або змішаний вплив на Організацію.

4.2.1. Ідентифікація (визначення) та перегляд ризиків відбувається щорічно після затвердження цілей Організації, але не пізніше 31 січня. За ініціативою Вищого керівництва, Комісії з оцінки ризиків, Уповноваженого з питань внутрішнього контролю, Координатора або за власною ініціативою керівника Організації перелік ризиків може бути переглянуто достроково. Ризики обов'язково переглядаються при наявності змін у внутрішньому та зовнішньому середовищі Організації, а також при затвердженні нових та перегляді завдань та функцій, які покладені на Організацію.

У разі перегляду ризиків вносяться зміни до Опису визначених ризиків та додається обґрунтування щодо виключених/внесених ризиків за підписом керівника Організації.

4.2.2. Ідентифікація (визначення) та перегляд ризиків на рівні Організації включає наступні кроки:

підготовка до проведення оцінки ризиків;

дослідження Організації;

визначення ризиків;

опис ризиків.

4.2.3. Підготовка до проведення оцінки ризиків складається з таких елементів:

4.2.3.1. Формування Комісії з оцінки ризиків.

Керівник Організації визначає склад Комісії з оцінки ризиків, яка є відповідальною за визначення, оцінку ризиків та розробку Плану заходів з реагування на ризики за формою, наведеною в додатку 11 цього Порядку. Склад комісії, завдання, повноваження та терміни звітування про результати її роботи затверджуються розпорядчим документом керівника Організації.

Комісія повинна складатися щонайменше із 3-х членів в залежності від структури Організації. До складу Комісії з оцінки ризиків в обов'язковому порядку залучається Уповноважений з питань внутрішнього контролю та уповноважена особа з питань запобігання та протидії корупції.

Члени Комісії з оцінки ризиків повинні мати достатній рівень знань щодо методики проведення оцінки ризиків. Керівник Організації відповідальний за забезпечення належного кваліфікаційного рівня членів Комісії з оцінки ризиків.

4.2.3.2. Забезпечення достатнього рівня повноважень Комісії з оцінки ризиків.

Комісія з оцінки ризиків має право залучати, за необхідності, працівників Організації, які можуть надати необхідну інформацію для об'єктивної та якісної оцінки ризиків та розробки Плану заходів з реагування на ризики (додаток 11). Комісія з оцінки ризиків має право запитувати документи або інформацію, необхідні для виконання її завдань, проводити анкетування, опитування та інтерв'ювання працівників Організації.

4.2.4. Дослідження Організації дає змогу виявити ризики, які загрожують функціонуванню Організації. Це передбачає аналіз зовнішніх та внутрішніх зацікавлених сторін, а також внутрішнього та зовнішнього середовища Організації.

Комісія з оцінки ризиків повинна визначити внутрішні та зовнішні по відношенню до Організації зацікавлені сторони (треті сторони), їхні інтереси та взаємозв'язки, які можуть впливати на появу ризиків або можуть сприяти зменшенню ризиків. За результатами аналізу складається Перелік вимог та очікувань зацікавлених сторін відповідно до додатка 5 до цього Порядку, що затверджує керівник Організації.

Для дослідження факторів, що впливають на зміну ризиків, необхідно регулярно (не менше одного разу на рік) проводити оцінку зовнішнього та внутрішнього середовища Організації за допомогою моделі SWOT-аналізу.

SWOT-аналіз - інструмент для всебічного розуміння ситуації в Організації. Метод використовує 4 ключові елементи: сильні та слабкі сторони, можливості та загрози.

Внутрішнє середовище відображається в сильних та слабких сторонах Організації. Позиції Організації оцінюють за такими критеріями, як фізичні ресурси, людські ресурси, внутрішні процеси тощо.

Після розгляду та оцінки внутрішнього середовища здійснюється аналіз зовнішніх можливостей та загроз, що прямо та опосередковано здійснюють вплив на Організацію (відносини із зацікавленими сторонами, економічні та соціальні тенденції, політичні обмеження тощо). Під час оцінки зовнішнього середовища слід взяти до уваги, що Організація не здатна впливати на зовнішнє середовище, проте його вплив необхідно враховувати у своїй діяльності.

За результатами проведення аналізу середовища Організації складається Опис зовнішнього та внутрішнього середовища Організації (SWOT-аналіз) відповідно до додатка 6 до цього Порядку, що затверджує керівник Організації.

4.2.5. Визначення ризиків відбувається шляхом збору та аналізу відповідних джерел інформації. Ключовими джерелами інформації є:

цілі Організації;

Перелік вимог та очікувань зовнішніх та внутрішніх зацікавлених сторін, складений відповідно до підпункту 4.2.4 пункту 4.2 цього Порядку;

Опис зовнішнього та внутрішнього середовища Організації (SWOT-аналіз), складений відповідно до підпункту 4.2.4 пункту 4.2 цього Порядку;

скарги та зауваження зацікавлених сторін щодо діяльності Організації;

звіти Організації Вищому керівництву з відповідними дорученнями та резолюціями;

звіти органам державної влади та органам місцевого самоврядування з відповідними дорученнями та резолюціями;

звіти структурного підрозділу внутрішнього аудиту (відповідальної особи з внутрішнього аудиту) Організації щодо оцінки ефективності СВК Організації;

результати перевірок органів державної влади та органів місцевого самоврядування;

інші результати періодичних оцінок окремих завдань та функцій, передбачених підпунктом 7.3.2 пункту 7.3 та пунктом 7.5 цього Порядку;

звіти щодо процесів, складені відповідно до пункту 7.2 цього Порядку, інтерв'ювання, анкетування та опитування власників процесів та інших працівників, проведені відповідно до підпункту 4.2.3 пункту 4.2 цього Порядку;

Перелік виявлених недоліків та відхилень, складений відповідно до пункту 7.4 цього Порядку;

аналіз здійснених заходів щодо зменшення ризиків у попередніх періодах;

результати судових справ, у яких Організація є відповідачем або позивачем;

аналіз нормативно-правових та розпорядчих документів, що регламентують діяльність Організації;

аналіз повідомлень у засобах масової інформації та соціальних мережах про діяльність Організації;

інші джерела інформації.

За результатами аналізу джерел інформації Комісія з оцінки ризиків заповнює Анкету аналізу джерел інформації для визначення ризиків відповідно до додатка 7 до цього Порядку, яка підписується всіма членами комісії.

4.2.6. Для оцінки ризиків та визначення заходів реагування на ризики Комісія з оцінки ризиків здійснює опис ризиків: чинників (причин) виникнення ризику, наслідків та джерел інформації, а також визначає наявність корупційної складової ризику (корупційний ризик).

Опис чинників відбувається шляхом вибору відповідної категорії та детального опису можливих факторів та обставин. Категорії чинників (причин) ризику:

нормативно-правові - ризики, ймовірність яких пов'язана з відсутністю, суперечністю або нечіткою регламентацією виконання операції у відповідних нормативно-правових актах, законодавчими змінами тощо;

операційно-технологічні - ризики, ймовірність виникнення яких пов'язана з порушенням визначеного порядку виконання операції, зокрема термінів та формату подання документів, розподілу повноважень з виконання операції тощо;

програмно-технічні - ризики, ймовірність виникнення яких пов'язана з відсутністю прикладного програмного забезпечення або змін до нього відповідно до діючої нормативно-правової бази, неналежною роботою або відсутністю необхідних технічних засобів тощо;

кадрові - ризики, ймовірність виникнення яких пов'язана з неналежною професійною підготовкою працівників Організації, неналежним виконанням ними посадових інструкцій тощо;

фінансово-господарські - ризики, ймовірність виникнення яких пов'язана з фінансово-господарським станом Організації, зокрема неналежним ресурсним, матеріальним забезпеченням тощо;

інші ризики.

За результатами оцінки ризиків Комісія з оцінки ризиків складає Опис визначених ризиків відповідно до додатка 8 до цього Порядку, який затверджує керівник Організації.

Уповноважений з питань внутрішнього контролю доводить Опис визначених ризиків (додаток 8) до Власників процесів, їхніх керівників та інших працівників Організації в частині, що їх стосується.

4.3. Оцінка ризиків.

4.3.1. Ризики аналізуються з урахуванням ймовірності їх виникнення та впливу з метою виконання дій з реагування на ризики відповідно до пункту 4.4 цього Порядку.

4.3.2. Під час здійснення оцінки ризиків аналізується властивий та залишковий ризик. Оцінка властивого ризику здійснюється для аналізу ефективності існуючих заходів контролю. Для прийняття рішень щодо управління ризиками та документування (зокрема в ІАС СВК) використовується залишковий ризик.

4.3.3. Комісія з оцінки ризиків оцінює ризики за допомогою Матриці ризиків, наведеної в додатку 9 до цього Порядку, за ступенем ймовірності виникнення та рівня їх впливу на здатність Організацією досягати своїх цілей. Результати оцінки ризиків оформлюються за формою, наведеною в додатку 10 до цього Порядку, та затверджуються керівником Організації.

4.3.4. Ймовірність виникнення ризику - це можливість того, що певна подія відбудеться.

Під час оцінки ймовірності виникнення ризику та ступеня його впливу слід використовувати суб'єктивні оцінки та дані попередніх періодів про події, які виникали.

Оцінка ймовірності виникнення ризику визначається відповідно до частоти випадків настання подій з урахуванням часових меж.

Частота потенційної появи ризику визначається за такими рівнями:

напевно або майже напевно (високий рівень) - поява події очікується найближчим часом (до одного року) та може повторюватися регулярно (щомісяця, щотижня тощо);

інколи (середній рівень) - протягом останніх трьох років подія виникала один раз та існує ймовірність її вчинення протягом наступних трьох років;

ніколи (низький рівень) - у попередніх періодах певна подія не виникала, проте існує незначна вірогідність її настання.

Ймовірність виникнення ризику оцінюється за трибальною шкалою:

висока - 3 бали;

середня - 2 бали;

низька - 1 бал.

4.3.5. Ймовірний вплив визначається відповідно до ймовірного рівня наслідків, які Організація визначає самостійно.

Критерії визначення рівня ймовірного впливу:

високий - очікуються значні наслідки;

середній - наслідки ймовірні, проте незначні;

низький - наслідків не очікується.

Рівень впливу оцінюється за трибальною шкалою:

високий - 3 бали;

середній - 2 бали;

низький - 1 бал.

Ризики, внаслідок яких може бути перевищений ризик-апетит, завжди мають максимальний рівень впливу.

4.3.6. За результатами визначення оцінки ймовірності виникнення ризиків та рівня впливу розраховується пріоритетність (рівень) ризиків. Визначення пріоритетності здійснюється для більш ефективного розподілу ресурсів Організації та відповідного реагування на ризики.

Кількісне визначення рівня ризику вираховується простим множенням рівня ймовірності на рівень наслідків. Пріоритетність розподіляється за умовною шкалою:

високий - 6 - 9 балів;

середній - 3 - 4 бали;

низький - 1 - 2 бали.

4.4. Реагування на ризики.

4.4.1. Способи реагування керівником Організації на ризики розподіляються на такі категорії:

прийняття ризику - не вживає жодних заходів для зменшення ймовірності виникнення чи впливу ризику;

зменшення ризику - застосовує заходів щодо зменшення ймовірності виникнення чи впливу ризику;

перерозподіл ризику - зменшує ймовірність виникнення чи впливу ризику за рахунок перенесення чи розподілу ризику;

уникнення ризику - припиняє провадження діяльності, яка призводить до виникнення ризику.

Зменшення та перерозподіл ризику зменшує залишковий ризик до бажаного рівня допустимого ризику. Якщо залишковий ризик вище допустимого (прийнятного рівня), керівник Організації вживає заходів контролю для його зменшення.

Прийняття ризику передбачає, що ризик перебуває в межах допустимого рівня.

4.4.2. Для оцінки та визначення способів реагування на ризики, керівник Організації аналізує таку інформацію:

чи є запланований захід достатнім для зменшення залишкового ризику до прийнятного рівня;

чи не перевищують витрати, пов'язані з реагуванням на ризик, вигоду від його зменшення;

чи не створює результат реагування на ризик додаткових ризиків.

4.4.3. За результатами визначення способів реагування на ризики Комісія з оцінки ризиків готує дворічний План заходів з реагування на ризики або зміни до нього за формою, наведеною в додатку 11 до цього Порядку, який затверджує керівник Організації, та визначає:

заплановані заходи щодо усунення (зменшення) ризику;

відповідальних виконавців;

необхідні ресурси;

строк виконання заходів;

очікувані результати.

Якщо строк виконання заходу щодо усунення (зменшення) ризику перевищує один рік, необхідно визначити проміжні показники виконання на термін, що не перевищує одного року.

План заходів з реагування на ризики має бути доведено до Власників процесів, їхніх керівників та інших працівників Організації в частині, що їх стосується.

4.4.4. На підставі результатів визначення та оцінки ризиків відповідно до пунктів 4.2 та 4.3 цього Порядку керівник Організації приймає рішення про способи реагування на ризик шляхом затвердження Плану заходів з реагування на ризики (додаток 11).

4.4.5. Зведені результати з визначення, оцінки ризиків та відповідних заходів реагування вносяться Уповноваженим з питань внутрішнього контролю в таблицю "Карта ризиків" у форматі EXCEL за формою, наведеною в додатку 12 до цього Порядку.

4.4.6. Раз на два роки до 31 січня Організація передає дворічний План заходів з реагування на ризики (додаток 11) для погодження з Координатором разом з:

Анкетою аналізу джерел інформації для визначення ризиків (додаток 7);

Описом зовнішнього та внутрішнього середовища Організації (SWOT-аналіз) (додаток 6);

Переліком вимог та очікувань зацікавлених сторін (додаток 5);

Описом визначених ризиків (додаток 8);

Результатами оцінки ризиків (додаток 10);

Картою ризиків в форматі EXCEL (додаток 12).

4.4.7. Координатор до 01 березня погоджує або надає зауваження до Плану заходів з реагування на ризики (додаток 11) та/або документів, передбачених підпунктом 4.4.6 пункту 4.4 цього Порядку. У разі необхідності Координатор може призначити дату та/або час погоджувальної зустрічі, на яку зобов'язані з'явитися уповноважені члени Комісії з оцінки ризиків Організації.