МІНІСТЕРСТВО ЕКОНОМІКИ, ДОВКІЛЛЯ ТА СІЛЬСЬКОГО ГОСПОДАРСТВА УКРАЇНИ
НАКАЗ
30.04.2026 № 5484
Про затвердження Методичних рекомендацій щодо організації системи внутрішнього контролю на державних унітарних підприємствах та в господарських товариствах, у статутному капіталі яких більше 50 відсотків акцій (часток) належать державі
Відповідно до підпункту 2 пункту 4 розпорядження Кабінету Міністрів України від 13 листопада 2025 року № 1223 "Питання комплексного аналізу діяльності деяких суб’єктів господарювання державного сектору економіки" НАКАЗУЮ:
1. Затвердити Методичні рекомендації щодо організації системи внутрішнього контролю на державних унітарних підприємствах та в господарських товариствах, у статутному капіталі яких більше 50 відсотків акцій (часток) належать державі, що додаються.
2. Контроль за виконанням цього наказу покласти на заступника Міністра економіки, довкілля та сільського господарства України згідно з розподілом обов’язків.
| Міністр | Олексій СОБОЛЕВ |
ЗАТВЕРДЖЕНО
Наказ Мінекономіки
30 квітня 2026 року № 5484
МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
щодо організації системи внутрішнього контролю на державних унітарних підприємствах та в господарських товариствах, у статутному капіталі яких більше 50 відсотків акцій (часток) належать державі
I. Загальні положення
1.1. Методичні рекомендації щодо організації системи внутрішнього контролю на державних унітарних підприємствах та в господарських товариствах, у статутному капіталі яких більше 50 відсотків акцій (часток) належать державі (далі – Методичні рекомендації), розроблено з метою:
надання державним унітарним підприємствам та господарським товариствам, у статутному капіталі яких більше 50 відсотків акцій (часток) належать державі (далі – підприємство), практичних інструкцій щодо організації системи внутрішнього контролю (далі – СВК), у тому числі для впровадження найкращих світових практик, які доповнюють та деталізують установлені законодавством вимоги щодо СВК;
забезпечення єдиних підходів до побудови СВК, узгоджених із вимогами законодавства, Політикою державної власності, затвердженою постановою Кабінету Міністрів України від 29.11.2024 № 1369, міжнародними стандартами та кращими практиками щодо СВК;
підвищення ефективності управління державними активами та зменшення ризиків їх втрат, неефективного використання підприємствами фінансових ресурсів, порушень законодавства в частині СВК, зокрема корупційних правопорушень.
1.2. Методичні рекомендації можуть використовуватися:
підприємствами – під час розроблення власних положень, політик та методик для побудови дієвої, зрозумілої та орієнтованої на практичне застосування СВК, яка буде забезпечувати стабільність, прозорість і підзвітність їх діяльності;
внутрішнім аудитом та зовнішніми аудиторами / консультантами – під час незалежних оцінок СВК та підготуванні планів удосконалення СВК.
1.3. У Методичних рекомендаціях терміни вживаються в такому значенні:
антикорупційна програма – комплекс правил, стандартів і процедур щодо виявлення, протидії та запобігання корупції в діяльності підприємства;
антикорупційна функція СВК – дотримання вимог законодавства, регуляторів, внутрішніх політик та стандартів у сфері запобігання корупції;
виконавчий орган підприємства – одноосібний (директор, генеральний директор) або колегіальний (правління, дирекція), рада директорів, керівник державного унітарного підприємства, відповідальні за впровадження СВК;
вищий орган управління – уповноважений орган управління державного унітарного підприємства, загальні збори акціонерів (учасників) господарського товариства, у статутному капіталі якого більше 50 відсотків акцій (часток) належать державі;
внутрішній аудит – незалежна, об’єктивна діяльність з надання впевненості та консультування, спрямована на підвищення цінності та вдосконалення діяльності підприємства;
комітет з питань аудиту – комітет наглядової ради / ради директорів підприємства, який здійснює попередній розгляд питань фінансової звітності підприємства, внутрішнього контролю, управління ризиками, внутрішнього та зовнішнього аудиту підприємства;
комплаєнс – дотримання підприємством вимог законодавства, регуляторів, внутрішніх політик та стандартів;
модель зрілості СВК – це інструмент оцінки СВК, який визначає ефективність, системність та зрілість функціонування процедури контролю на підприємстві;
модель "трьох ліній" – розмежування повноважень органів управління та підрозділів підприємства, на які покладено функцію СВК, на три функціональні категорії;
наглядова рада / рада директорів підприємства – орган, що здійснює загальний нагляд за діяльністю підприємства та контролює виконання функцій СВК;
підзвітність – звітування структурними підрозділами підприємства, які виконують функції СВК, наглядовій раді / раді директорів підприємства про діяльність та її результати;
ризик – імовірність виникнення збитків підприємств або додаткових втрат, або недоотримання доходів, або невиконання стороною договірних зобов’язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;
система внутрішнього контролю (СВК) – сукупність організаційної структури, політик, процедур, процесів, заходів контролю, інформаційних систем, ролей та відповідальності, що забезпечують впевненість у досягненні цілей підприємства;
схильність до ризику (ризик-апетит) – граничні межі допустимих ризиків (у кількісному та якісному вимірах), які підприємство готове прийняти для досягнення своїх стратегічних цілей;
функція протидії шахрайству СВК – дотримання вимог законодавства, регуляторів, внутрішніх політик та стандартів у сфері виявлення та запобігання шахрайства.
1.4. Методичні рекомендації можуть бути використані під час розроблення:
типового (модельного) положення підприємства про СВК;
положень підприємств про підрозділи (служби) комплаєнсу, управління ризиками, внутрішнього аудиту, а також внутрішніх методик оцінки зрілості СВК.
Підходи, викладені в Методичних рекомендаціях, рекомендується відображати у внутрішніх документах підприємства та/або рішеннях органів управління підприємства (у межах компетенції).
1.5. Підприємству необхідно створювати комплексну та ефективну СВК, яка включає функції комплаєнсу, управління ризиками та внутрішнього аудиту, а також рекомендується включати систему запобігання та врегулювання конфлікту інтересів, систему запобігання корупції та протидії шахрайству, систему повідомлень про порушення з урахуванням особливостей його діяльності, характеру та обсягів відповідних операцій, а також притаманних його діяльності ризиків (ризик-орієнтований підхід).
1.6. Підприємству відповідно до Закону України "Про акціонерні товариства", Закону України "Про управління об’єктами державної власності", Закону України "Про товариства з обмеженою та додатковою відповідальністю" рекомендується визначити (утворити) підрозділи (служби) СВК, зокрема: внутрішнього аудиту, управління ризиками, комплаєнсу, з виконання антикорупційної функції та функції протидії шахрайству, а також механізми внутрішнього контролю у бізнес-процесах (контрольні процедури першої лінії).
У разі утворення наглядової ради / ради директорів відповідні функції СВК, зокрема внутрішнього аудиту, управління ризиками, запобігання корупції та протидії шахрайству, а також етики, забезпечуються відповідно до встановлених вимог відповідними структурними підрозділами підприємства, підзвітними наглядовій раді / раді директорів.
1.7. Під час організації СВК підприємства керуються:
Законом України "Про управління об’єктами державної власності";
Законом України "Про акціонерні товариства" (у частині структури органів управління, повноважень наглядової ради / ради директорів, комітетів, внутрішнього аудиту, корпоративного секретаря, вимог до розкриття інформації про СВК);
Законом України "Про запобігання корупції" (зокрема, статтею 13-1 щодо функціонування уповноважених підрозділів (уповноважених осіб) з питань запобігання та виявлення корупції, статтями 61–64 щодо загальних засад запобігання корупції на підприємствах, антикорупційних програм та осіб, відповідальних за їх реалізацію);
постановою Кабінету Міністрів України від 29.11.2024 № 1369 "Деякі питання Політики державної власності";
постановою Кабінету Міністрів України від 05.02.2026 № 165 "Про затвердження Порядку утворення, організації діяльності та ліквідації наглядової ради державного унітарного підприємства (крім підприємств оборонно-промислового комплексу) та її комітетів" (у частині обов’язкових комітетів наглядової ради, зокрема комітету з питань аудиту);
Типовим положенням про уповноважений підрозділ (уповноважену особу) з питань запобігання та виявлення корупції, затвердженим наказом Національного агентства з питань запобігання корупції від 27.05.2021 № 277/21, зареєстрованим у Міністерстві юстиції України 14.07.2021 за № 914/36536, у випадку утворення (визначення) уповноваженого підрозділу (уповноваженої особи) з питань запобігання та виявлення корупції на підставі статті 131 Закону України "Про запобігання корупції";
Типовою антикорупційною програмою юридичної особи, затвердженою наказом Національного агентства з питань запобігання корупції від 10.12.2021 № 794/21, зареєстрованим в Міністерстві юстиції України 31.12.2021 за № 1702/37324, у випадку відповідності підприємства одному з критеріїв, визначеному в частині другій статті 62 Закону України "Про запобігання корупції";
Методологією управління корупційними ризиками, затвердженою наказом Національного агентства з питань запобігання корупції від 28.12.2021 № 830/21, зареєстрованим у Міністерстві юстиції України 17.02.2022 за № 219/37555, під час оцінки корупційних ризиків;
іншими спеціальними законами, що регулюють діяльність відповідних підприємств (фінансових, енергетичних, інфраструктурних тощо);
міжнародними рамками (як орієнтирами / бенчмарками належної практики):
керівними принципами та рекомендаціями Організації економічного співробітництва та розвитку (ОЕСР) з корпоративного управління підприємствами державної форми власності, запобігання корупції та дотримання доброчесності на таких підприємствах, упровадження внутрішніх контролів, етичних та комплаєнс програм;
Принципами корпоративного управління ОЕСР/G20;
INTOSAI GUID 9100 (Рекомендації щодо стандартів внутрішнього контролю для державного сектору);
концепцією COSO Internal Control та COSO Enterprise Risk Management (ERM);
ISO 31000 (управління ризиками);
глобальними стандартами внутрішнього аудиту (IIA, 2024).
До системи внутрішнього контролю та комплаєнсу підлягають застосуванню такі стандарти:
COSO;
ISO 31000;
ISO 19600;
ISO 37001;
ISO 27001;
OECD SOE Guidelines;
IPPF.
До системи внутрішнього аудиту підлягають застосуванню такі стандарти:
GIAS;
IPPF;
ISO 19011;
OECD SOE Guidelines.
До корпоративної доброчесності та системи боротьби із шахрайством та корупцією підлягають застосуванню такі стандарти:
ACFE;
ISO 37001;
OECD ACI Guidelines;
UNAC.
До системи контролю за закупівлями підлягають застосуванню такі стандарти:
OECD Recommendation on Public Procurement;
ISO 37001;
ACFE.
1.8. Підприємству доцільно враховувати практику та обов’язкові вимоги регуляторних органів (зокрема у сферах фінансових послуг, енергетики, транспорту, зв’язку, оборонної промисловості тощо) під час організації СВК, а також приводити внутрішні документи відповідно до таких вимог у разі їх застосування.
II. Принципи побудови СВК
2.1. Під час організаціі підприємством СВК рекомендується враховувати INTOSAI GUID 9100 та COSO Internal Control (принципи / компоненти внутрішнього контролю), а також рекомендації ОЕСР щодо корпоративного управління підприємствами державного сектору.
2.2. СВК на підприємстві має відповідати таким принципам:
інтегрованість – передбачає, що СВК є невід’ємною частиною системи управління підприємством та інтегрується у формування та виконання бюджетів, бізнес-планування, кредитні операції, закупівельні процеси, ІТ та кібербезпека управління активами та основними засобами;
ризик-орієнтованість – передбачає надання пріоритету ресурсів (управлінської уваги, внутрішнього аудиту, контролю) процесам і напрямам з найбільшими ризиками;
пропорційність – передбачає, що глибина та формалізація СВК відповідає масштабам діяльності підприємства, складності операцій та профілю ризиків;
безперервність – передбачає, що СВК функціонує на постійній основі, забезпечуючи регулярний моніторинг, перегляд ризиків, оновлення реєстрів та планів реагування;
розподіл обов’язків – передбачає чітке розмежування повноважень між наглядовою радою підприємства та виконавчим органом підприємства (або між виконавчими та невиконавчими директорами ради директорів) та іншими відповідальними особами у сфері СВК з метою забезпечення виконання функцій авторизації, зберігання активів, обліку та звірки різними структурними підрозділами та посадовими особами підприємства;
підзвітність і розподіл відповідальності – передбачає чітко визначені повноваження органів управління, керівників підрозділів, функцій другої та третьої ліній, працівників;
прозорість і документування – ключові елементи СВК (політики, реєстри ризиків, карти ризиків, рішення, звіти) документуються, стандартизуються, оцифровуються, відстежуються через аудиторський слід та зберігаються в установленому порядку;
незалежна оцінка – ефективність СВК підлягає регулярній незалежній оцінці внутрішнім та в разі потреби зовнішнім аудитом;
превентивність – передбачає спроможність СВК забезпечувати виявлення потенційно можливих загроз негативного впливу на діяльність підприємства раніше, ніж такі загрози фактично виникнуть.
2.3. Підприємству рекомендується розробити систему розподілу повноважень під час прийняття управлінських рішень у сфері СВК, яка включає порядок погодження рішень відповідно до переліку критеріїв (грошові ліміти витрат / операцій, характер витрат / операції, ризиковий профіль тощо). Така система має переглядатися щонайменше один раз на рік, зокрема на основі аналізу недоліків процесу прийняття управлінських рішень.
III. Організація та впровадження СВК (модель "трьох ліній")
3.1. Організацію та впровадження СВК рекомендується формувати на моделі "трьох ліній", яка передбачає чітке розмежування повноважень органів управління та підрозділів підприємства, на які покладено функцію СВК, а саме: перша лінія (виконавчий орган підприємства), друга лінія (підрозділи (служби), до компетенції яких належить управління ризиками, комплаєнс, запобігання корупції, протидія шахрайству, а також координація / методологічна підтримка внутрішнього контролю у бізнес-процесах), третя лінія (служба внутрішнього аудиту).
3.2. Під час розмежування повноважень у СВК необхідно враховувати Закон України "Про управління об’єктами державної власності" (зокрема статтю 11-4), Політику державної власності, затверджену постановою Кабінету Міністрів України від 12.11.2024 № 1369, а також глобальні стандарти внутрішнього аудиту (IIA, 2024), модель трьох ліній інституту внутрішніх аудиторів: оновлення моделі трьох ліній захисту (IIA, 2020) і рекомендації ОЕСР.
3.3. Вищий орган управління відповідно до законодавства:
формує очікування щодо результативності, ефективності й стійкості підприємства;
включає положення щодо СВК до статуту підприємства (положень про органи управління, служби внутрішнього аудиту, комплаєнсу, ризик-менеджменту, антикорупційні програми), контролює створення та функціонування комплексної СВК підприємства.
3.4. Наглядова рада / рада директорів підприємства відповідно до законодавства:
затверджує правила ділової етики, положення про СВК, програму управління ризиками, положення про комплаєнс-функцію, антикорупційну програму, положення про протидію шахрайству, положення про службу внутрішнього аудиту, порядок проведення внутрішнього аудиту та надання звітів за його результатами (форми, строки, показники), декларацію схильності до ризиків;
формує антикорупційну політику та здійснює системний нагляд за її дотриманням;
попередньо розглядає (погоджує) проєкт антикорупційної програми юридичної особи до її затвердження керівником підприємства;
не менше ніж один раз на рік (для підприємств, які впроваджують елементи СВК уперше, або якщо після їх упровадження минуло менше двох років, – не менше, ніж один раз на шість місяців) здійснює контроль функціонування СВК шляхом розгляду реєстру ризиків і карти ризиків; розгляду звітів виконавчого органу, ризик-менеджменту, комплаєнсу, внутрішнього аудиту; розгляду результатів зовнішніх аудитів, перевірок, регуляторних заходів; здійснення моніторингу реалізації антикорупційної політики, а також виконання антикорупційної програми (за наявності);
оцінює адекватність та ефективність СВК та вживає заходів для її вдосконалення за результатами такої оцінки;
забезпечує ефективну діяльність комітетів (зокрема комітету з питань аудиту), які здійснюють: щонайменше щорічний перегляд ефективності внутрішнього аудиту та систем управління ризиками; готують пропозиції (висновки) для рішення наглядової ради щодо призначення / звільнення керівника підрозділу внутрішнього аудиту;
надає рекомендації щодо призначення / звільнення керівників структурних підрозділів підприємства (служба управління ризиками, комплаєнсу, з виконання антикорупційної функції та функції протидії шахрайству), умов трудових договорів (контрактів) із ними;
затверджує річну заяву наглядової ради (розділ звіту) про стан і ефективність СВК;
створює підрозділ внутрішнього аудиту, забезпечує утворення та належне функціонування внутрішнього аудиту (підрозділу або посади внутрішнього аудитора) відповідно до законодавства;
призначає та припиняє повноваження керівника підрозділу внутрішнього аудиту (внутрішнього аудитора), затверджує умови трудових договорів (контрактів) із працівниками підрозділу внутрішнього аудиту та визначає їх винагороду – у межах компетенції, визначеної законодавством;
затверджує бюджет (кошторис) та вживає заходів для забезпечення необхідними коштами для проведення внутрішнього аудиту та ключових комплаєнс / антикорупційних заходів (або мінімальні гарантії ресурсного забезпечення таких функцій) з метою забезпечення їх організаційної та фактичної незалежності від виконавчого органу;
призначає на посаду та припиняє повноваження керівника підприємства, затверджує умови контракту з керівником та здійснює контроль за дотриманням ним умов контракту, приймає рішення про розірвання з ним контракту;
затверджує політику викриття неправомірних дій, яка встановлює правила та процедури для забезпечення захисту викривачів, визначає порядок повідомлення про неправомірні дії без ризику для викривачів, а також процес розгляду відповідних повідомлень.
Незалежну оцінку ефективності СВК доцільно забезпечувати внутрішнім аудитом або іншою незалежною оцінкою (у тому числі зовнішньою), а не покладати виключно на керівника підприємства.
3.5. Виконавчому органу підприємства (перша лінія моделі "трьох ліній") рекомендується:
організовувати процес ідентифікації, оцінки, реагування та моніторингу ризиків;
забезпечувати інтеграцію управління ризиками в бізнес-планування, бюджети, кредитні рішення, закупівлі, управління активами, управління персоналом, ІТ та безпекою;
затверджувати реєстр ризиків, перелік ключових контрольних процедур, плани реагування на ризики;
затверджувати антикорупційну програму та забезпечувати її виконання;
забезпечувати належне ресурсне забезпечення функцій другої лінії (ризик-менеджмент, комплаєнс, внутрішній контроль) та третьої лінії (внутрішній аудит) моделі "трьох ліній";
готувати та подавати на розгляд наглядовій раді або вищому органу управління підприємства регулярні звіти про стан ризиків, СВК та виконання планів удосконалення СВК.
3.6. Керівникам структурних підрозділів та відповідальним особам бізнес-процесів підприємства рекомендується:
забезпечувати ідентифікацію та оцінку ризиків у відповідних процесах;
упроваджувати і виконувати контрольні процедури, передбачені реєстром контролів;
забезпечувати належне документування виконання контрольних процедур щодо СВК (журнали, акти, звіти);
інформувати керівництво, службу управління ризиками, службу з питань комплаєнсу, підрозділи з виконання антикорупційної функції та функції протидії шахрайству про суттєві зміни в рівні ризиків та про інциденти в діяльності підприємства (порушення, відхилення, випадки шахрайства та корупції).
3.7. Підрозділам (службам), до компетенції яких належить управління ризиками, комплаєнс, запобігання корупції, протидія шахрайству, а також координація / методологічна підтримка внутрішнього контролю у бізнес-процесах (друга лінія моделі "трьох ліній"), рекомендується виконувати такі функції:
1) функція управління ризиками:
розроблення та оновлення Програми управління ризиками, методики оцінки та класифікації ризиків, форми реєстрів і звітів;
організація і координація процесу ідентифікації та оцінки ризиків на рівні підприємства;
ведення консолідованого реєстру ризиків і карти ризиків;
підготування періодичних звітів про ризики для виконавчого органу підприємства та наглядової ради.
2) комплаєнс-функція:
розроблення та впровадження комплаєнс-політики (санкційної політики, політики взаємодії з контрагентами);
здійснення моніторингу дотримання законодавства та внутрішніх політик;
розроблення та впровадження політики викриття неправомірних дій, координація розгляду повідомлень про порушення, крім порушень, пов’язаних із корупцією та конфліктом інтересів, розслідування комплаєнс-інцидентів;
здійснення комплаєнс-перевірки ключових операцій (кредити, значні правочини, закупівлі, кадрові призначення на ключові посади).
3) функція запобігання корупції:
розроблення та впровадження антикорупційної програми, а також регулярний перегляд її положень на відповідність актуальним законодавчим вимогам;
уживання заходів з виявлення конфлікту інтересів та сприяння його врегулюванню;
оцінка корупційних ризиків у діяльності підприємства та розроблення заходів щодо їх мінімізації;
забезпечення функціонування каналів повідомлень про корупційні правопорушення та забезпечення захисту викривачів;
навчання та заходи з поширення інформації щодо програм антикорупційного спрямування;
моніторинг, оцінки виконання та періодичний перегляд антикорупційної програми;
здійснення антикорупційної перевірки контрагентів та кандидатів на посади, пов’язані з високим корупційним ризиком;
координація роботи з декларування (якщо застосовно) та моніторинг дотримання обмежень щодо подарунків і гостинності.
4) функція протидії шахрайству:
розроблення Стратегії протидії шахрайству та відповідних внутрішніх процедур;
упровадження системи індикаторів ризику шахрайства у ключових бізнес-процесах (закупівля, логістика, продажі);
проведення внутрішніх розслідувань за фактами виявленого шахрайства, розкрадань або зловживань;
оцінка ефективності наявних контрольних процедур щодо їх здатності запобігати спробам обходу контролю;
формування культури нульової толерантності до шахрайства та проведення тренінгів для персоналу щодо методів виявлення махінацій;
розроблення планів реагування на інциденти шахрайства та вжиття заходів щодо відшкодування завданих збитків.
5) функція внутрішнього контролю:
узагальнення та координація виконання контрольних процедур у бізнес-процесах;
підтримка і актуалізація реєстру контрольних процедур;
проведення періодичних перевірок виконання контрольних процедур (без дублювання ролі внутрішнього аудиту).
Відповідно до пункту 124 Політики державної власності, затвердженої постановою Кабінету Міністрів України від 29.11.2024 № 1369, особи, які забезпечують керівництво функціями комплаєнсу та управління ризиками на підприємстві, можуть бути підзвітними одночасно наглядовій раді та виконавчому органу з питань, що належать до компетенції відповідних органів, з правом виносити будь-які питання, включаючи ті, в яких вони підзвітні виконавчому органу, безпосередньо на розгляд наглядової ради. Незалежно від такої підзвітності наглядова рада здійснює контроль за функціонуванням функцій комплаєнсу та управління ризиками.
3.8. Служба внутрішнього аудиту (внутрішній аудитор) (третя лінія моделі "трьох ліній"):
створюється відповідно до Закону України "Про акціонерні товариства" та інших актів законодавства, рішень наглядової ради / ради директорів або вищого органу управління (у разі коли наглядова рада (рада директорів) не передбачена статутом);
підпорядкована та підзвітна наглядовій раді та голові комітету з питань аудиту (у разі утворення) відповідно до Закону України "Про акціонерні товариства";
здійснює незалежну оцінку адекватності побудови СВК;
надає рекомендації щодо вдосконалення СВК, здійснює моніторинг виконання рекомендацій;
планує свою діяльність на основі ризик-орієнтованого підходу, узгодженого з Глобальними стандартами внутрішнього аудиту.
3.9. Працівники підприємства:
дотримуються законодавства, правил ділової етики, внутрішніх політик і процедур;
у межах своїх повноважень виконують контрольні дії з метою ефективного і своєчасного реагування на ризики;
відповідальні та підзвітні за виконання покладених на них повноважень, завдань і обов’язків, зокрема з питань використання публічних коштів та управління ресурсами; запобігання виникненню відхилень, корупційних правопорушень, шахрайства або зловживань службовим становищем; забезпечення функціонування внутрішнього контролю та управління ризиками; реагування на відхилення;
повідомляють відповідні структурні підрозділи підприємства та/або посадових осіб про факти порушень, відхилень, конфлікт інтересів, підозрілі ситуації.
3.10. До всіх посадових осіб, відповідальних за впровадження елементів СВК, має бути доведена інформація про їхню роль та відповідальність у межах СВК. Керівнику підприємства рекомендується визначити особу, відповідальну за забезпечення навчальних і комунікаційних заходів, що підтримують функціонування СВК, включаючи:
регулярне (щонайменше щорічне) навчання з використанням відповідних комунікаційних та навчальних інструментів (презентації, аналітичні записки з ключових аспектів стандартів та найкращих практик, аналіз прикладів складних управлінських рішень у сфері СВК тощо), залученням третіх осіб для спеціалізованих тренінгів тощо, а також доступ до навчальних матеріалів;
перевірку знань членів наглядової ради, посадових осіб виконавчого органу та працівників щодо ключових елементів СВК, їх повноважень і відповідальності;
документування навчальних заходів (ведення журналів навчання, матриць компетенцій тощо).
IV. Процес управління ризиками
4.1. Під час формування системи управління ризиками на підприємстві рекомендується враховувати ISO 31000 (управління ризиками) та COSO Enterprise Risk Management (ERM), а також положення Методології управління корупційними ризиками, затвердженої наказом Національного агентства з питань запобігання корупції від 28.12.2021 № 830/21.
4.2. Систему управління ризиками підприємства рекомендується формувати як безперервний процес, який включає такі етапи: дослідження середовища підприємства, ідентифікація ризиків, оцінка ризиків, визначення та реалізація заходів реагування, моніторинг і перегляд, документування управління ризиками.
4.3. Дослідження середовища підприємства включає такі складові:
аналіз зовнішнього середовища (ринкового, регуляторного, політичного, макроекономічного, технологічного, а також воєнні / безпекові фактори);
аналіз внутрішнього середовища (організаційної структури, процесів, ресурсів, інформаційних систем, кадрового потенціалу);
уточнення цілей підприємства (стратегічні, фінансові, операційні, нефінансові);
установлення критеріїв ризику (шкал імовірності та впливу, часові горизонти, порогові значення);
визначення підходу до схильності до ризику (на рівні підприємства та окремих напрямів).
Результатом є документований опис середовища управління ризиками.
4.4. Ідентифікація ризиків включає системне виявлення ризиків, зокрема:
аналіз бізнес-процесів;
контрольні списки (check-lists);
аналіз причин і наслідків (cause–effect);
SWOT-аналіз;
аналіз інцидентів минулих періодів;
експертні опитування, робочі сесії з керівниками підрозділів;
у технічних / виробничих сферах – спеціалізовані методи (FMEA, HAZOP, Bow-Tie тощо).
Ризики класифікуються за категоріями (стратегічні, фінансові, операційні, комплаєнс, корупційні, ІТ та кібербезпека, ESG, репутаційні тощо). Для кожного ризику визначаються власник, опис, джерела, пов’язані цілі, наявні контролі. Результатом цього етапу є сформований реєстр ризиків.
4.5. До оцінки ризиків належать:
оцінка ймовірності настання події;
оцінка можливих наслідків (фінансових, операційних, юридичних, репутаційних, соціальних);
визначення рівня ризику за матрицею "імовірність та вплив" (наприклад, шкала 1–3 або 1–5);
зіставлення рівня ризику з установленим у декларації схильності до ризиків і толерантністю.
Результатом етапу є карта ризиків, яка відображає пріоритети для управління ризиками.
4.6. Підприємство визначає спосіб реагування на істотні ризики:
уникнення – відмова від діяльності або операцій з надмірно високим ризиком;
зменшення – упровадження або посилення контрольних процедур, диверсифікація, страхування, зміна умов;
передання – передання частини ризику третім особам (страховикам, партнерам);
прийняття – усвідомлене прийняття ризику в межах декларації схильності до ризиків.
За результатами етапу розробляються плани реагування з визначенням заходів, відповідальних, строків виконання та очікуваного результату.
4.7. Моніторинг і перегляд управління ризиками передбачає:
регулярний перегляд реєстру ризиків і карт ризиків (наприклад, щокварталу);
оцінку ефективності виконаних заходів реагування;
виявлення нових ризиків у зв’язку зі змінами зовнішнього та внутрішнього середовища;
підготування звітів про ризики для керівництва, наглядової ради, вищого органу управління підприємства.
4.8. Документування управління ризиками підприємства рекомендується здійснювати, зокрема, шляхом затвердження таких основних документів системи управління ризиками:
програми управління ризиками;
декларації схильності до ризиків;
регламенту / процедури управління ризиками;
реєстру ризиків;
карти (карт) ризиків;
планів реагування;
регулярних звітів з ризиків.
V. Інтеграція управління корупційними ризиками до загальної СВК
5.1. Під час управління корупційними ризиками в СВК підприємство керується Законом України "Про запобігання корупції", Типовою антикорупційною програмою юридичної особи, затвердженою наказом Національного агентства з питань запобігання корупції від 10.12.2021 № 794/21, Методологією управління корупційними ризиками, затвердженою наказом Національного агентства з питань запобігання корупції від 28.12.2021 № 830/21, а також рекомендаціями ОЕСР щодо доброчесності та комплаєнсу.
5.2. Управління корупційними ризиками є елементом СВК.
5.3. Підприємству рекомендується інтегрувати управління корупційними ризиками до загальної СВК, що забезпечує їх системну ідентифікацію, оцінку, визначення та реалізацію заходів реагування, моніторинг і перегляд, а також узгодженість між стратегічними цілями, операційною діяльністю та системою внутрішнього контролю.
5.4. З метою забезпечення узгодженості підходів, уникнення дублювання процесів, ресурсів, а також підвищення ефективності управлінських рішень підприємства, оцінювання корупційних ризиків рекомендується проводити одночасно з оцінюванням інших типів ризиків – у межах єдиного процесу оцінювання ризиків.
5.5. Корупційні ризики можуть включатися до загального переліку ризиків підприємства як окрема категорія.
VI. Інтеграція управління ризиками в ключові процеси
6.1. Під час організації управління ризиками рекомендується враховувати COSO Internal Control (контрольні заходи / контрольна діяльність), ISO 31000 та принципи ОЕСР щодо належного управління державними підприємствами.
6.2. Підприємству рекомендується інтегрувати управління ризиками в основні процеси, такі як бізнес-планування, бюджетування, кредитні операції, закупівлі, управління активами, ІТ та кібербезпека.
1) Бізнес-планування.
Стратегія підприємства супроводжується аналізом стратегічних ризиків.
Для ключових стратегічних цілей можуть визначатися відповідні ризики, показники ризику (KRI) та заходи реагування.
2) Кредитні операції.
Техніко-економічні обґрунтування та кредитні договори можуть включати розділ "Ризики та заходи їх управління".
Рішення щодо значних кредитів рекомендується приймати з урахуванням висновків risk-менеджменту та комплаєнс-функції.
3) Закупівлі.
Рекомендується визначати ризики у сфері закупівель (змова, завищення очікуваної вартості, зриви постачання, недобросовісні контрагенти, корупційні схеми).
Рекомендується впроваджувати такі контрольні процедури:
планування і обґрунтування закупівель;
перевірка контрагентів;
аналіз ринку і цін;
погодження нестандартних умов з визначенням у внутрішніх документах порогів погодження / затвердження (наприклад наступні етапи погодження: відповідальний менеджер / керівник підрозділу, фінансовий директор / комплаєнс, керівник підприємства, комітет з аудиту / наглядова рада), залежно від суми, строку, відхилення від типової форми договору та/або рівня ризику.
Підприємству доцільно закріпити матрицю повноважень (delegation of authority) для закупівельних рішень та нестандартних умов у положенні про закупівлі / договірній роботі або в корпоративних політиках.
4) Управління активами.
Рекомендується враховувати ризики знецінення, простою, неефективного або нецільового використання активів.
Прийняття рішень щодо списання, передання, оренди, приватизації активів рекомендується здійснювати за результатами оцінки ризиків та відповідних заходів контролю.
5) ІТ та кібербезпека.
Рекомендується формувати окремий реєстр ІТ- та кібер-ризиків, а також визначати і впроваджувати заходи щодо захисту інформаційних систем, даних, критичної інфраструктури.
VII. Документи СВК
7.1. Під час розроблення та впровадження документів у СВК рекомендується враховувати COSO Internal Control (документування компонентів СВК), глобальні стандарти внутрішнього аудиту (IIA, 2024) та Типову антикорупційну програму юридичної особи, затверджену наказом Національного агентства з питань запобігання корупції від 10.12.2021 № 794/21.
7.2. Для функціонування СВК підприємству рекомендується забезпечити наявність щонайменше такого пакета документів:
положення про систему внутрішнього контролю (з обов’язковим розподілом повноважень (з урахуванням обов’язків і функції) між структурними підрозділами підприємства у системі трьох ліній захисту);
програма управління ризиками;
регламент (процедура) управління ризиками;
політика викриття неправомірних дій;
реєстр ризиків і карти ризиків;
реєстр контрольних процедур;
положення про комплаєнс-функцію (включно з антикорупційною);
антикорупційна програма;
положення про протидію шахрайству;
положення про службу внутрішнього аудиту;
кодекс етики та поведінки;
положення про наглядову раду / раду директорів підприємства, у тому числі про комітети з питань аудиту, винагород, призначень;
положення про корпоративного секретаря підприємства (у разі утворення на підприємстві посади корпоративного секретаря);
регламенти звітування про СВК і комплаєнс до наглядової ради та вищого органу управління.
7.3. Для підприємств, на яких утворено наглядові ради, у статутах і внутрішніх положеннях рекомендується зазначати:
структуру органів управління (однорівнева / дворівнева);
створення комітетів наглядової ради (з аудиту, винагород, призначень);
створення служби внутрішнього аудиту, підрозділів комплаєнсу, запобігання корупції та ризик-менеджменту;
функції корпоративного секретаря (за наявності обов’язку або доцільності);
порядок затвердження і контролю виконання антикорупційної програми.
VIII. Модель зрілості СВК
8.1. Під час побудови моделі зрілості СВК рекомендується враховувати підходи COSO (безперервне вдосконалення / моніторинг) і орієнтири ОЕСР щодо розвитку систем управління та контролю, а також Політику державної власності, затверджену постановою Кабінету Міністрів України від 12.11.2024 № 1369.
8.2. Підприємству рекомендується проводити самооцінку та в разі потреби незалежну оцінку для визначення рівня зрілості СВК на основі щонайменше таких чотирьох рівнів:
Рівень 1 – фрагментарний:
- контрольні процедури існують як окремі практики, не систематизовані;
- реєстр ризиків відсутній або охоплює лише окремі напрями;
- внутрішній аудит, комплаєнс, ризик-менеджмент або відсутні, або формальні.
Рівень 2 – формалізований:
- існують базові документи: Положення про СВК, Програма управління ризиками, реєстр ризиків;
- відповідальність розподілена, але виконання процедур нерівномірне;
- наглядова рада (вищий орган управління підприємства) періодично розглядає інформацію про ризики.
Рівень 3 – інтегрований:
- СВК інтегровані у планування, бюджетування, інвестиційні рішення, закупівлі;
- ризики враховуються під час установлення KPI та системи винагород;
- внутрішній аудит регулярно оцінює ефективність СВК; рекомендації системно впроваджуються.
Рівень 4 – проактивний (передовий):
- СВК використовується як інструмент стратегічного управління та створення цінності;
- підприємство активно враховує ESG-фактори, довгострокову стійкість, сценарне планування;
- для вищого органу управління ризики портфеля підприємств оцінюються в інтегрованому вигляді, застосовується аналітика даних.
8.3. Модель зрілості може бути оформлена відповідно до додатка (матриця / анкета самооцінки) до положення про СВК підприємства, який може використовуватися для щорічної самодіагностики та планування розвитку СВК.
8.4. Усім підприємствам рекомендується досягти принаймні рівня 3 (інтегрований) моделі зрілості СВК.
IX. Оцінка ефективності СВК і роль внутрішнього аудиту
9.1. Оцінку ефективності СВК рекомендується проводити з урахуванням глобальних стандартів внутрішнього аудиту (IIA, 2024) та COSO Internal Control (компонент моніторингу) щодо оцінки ефективності СВК.
9.2. Підприємству рекомендується:
проводити щорічну самооцінку ефективності СВК за узгодженою моделлю зрілості;
залучати внутрішній аудит до оцінки побудови й операційної ефективності контрольних процедур, оцінки процесу управління ризиками та його інтеграції в ключові процеси, оцінки комплаєнс- та антикорупційних механізмів;
включати результати внутрішнього аудиту й самооцінки до щорічного звітування перед наглядовою радою та вищим органом управління;
розробляти плани вдосконалення СВК із чіткими термінами їх реалізації.
X. Поетапне впровадження СВК
10.1. Під час упровадження СВК рекомендується враховувати рекомендації ОЕСР щодо поетапного впровадження практик корпоративного управління та логіку рамок COSO/ISO 31000 щодо інтеграції контролів у процеси СВК.
10.2. Рекомендований порядок дій:
оцінка поточного стану СВК, зокрема аналіз наявних документів, структур, процесів, практик контролю, а також первинна самооцінка зрілості СВК;
розроблення дорожньої карти: формування плану розвитку СВК (перелік заходів, строки), затвердження наглядовою радою / радою директорів;
оновлення статутних та внутрішніх документів: приведення статутів і положень про СВК відповідно до Закону України "Про акціонерні товариства", Закону України "Про управління об’єктами державної власності", Закону України "Про товариства з обмеженою та додатковою відповідальністю", вимог регуляторів і кращих практик (структура органів, комітети, служби внутрішнього аудиту, комплаєнсу, ризик-менеджменту, корпсекретар) та з урахуванням цих Методичних рекомендацій;
розроблення та затвердження документів СВК: положення про СВК; програма управління ризиками і регламент управління ризиками; положення про комплаєнс; положення про службу внутрішнього аудиту; форми реєстрів ризиків і контрольних процедур;
навчання та комунікація: навчання членів наглядової ради, посадових осіб виконавчого органу підприємства, ключових працівників; інформування всіх працівників про ключові елементи СВК та їх роль;
моніторинг, оцінка і вдосконалення: регулярний моніторинг ризиків; щорічна самооцінка зрілості; використання результатів внутрішнього аудиту, перевірок і аналізу інцидентів для подальшого розвитку СВК.
( Текст Наказу додано до Листа Міністерства економіки, довкілля та сільського господарства України № 4202-09/41473-01 від 01.05.2026 )
