Для выполнения положений лит. b) ст.29 Закона о государственном внутреннем финансовом контроле № 229 от 23.09.2010 (Официальный монитор Республики Молдова, 2010, № 231-234, ст.730) ПРИКАЗЫВАЮ:
    1. Утвердить Национальные стандарты по внутреннему контролю в публичном секторе.
    2. Отменить Приказ министра финансов № 51 от 23 июня 2009 об утверждении Национальных стандартов по внутреннему контролю в публичном секторе (Официальный монитор Республики Молдова, 2009, № 107-109, ст.485).

    МИНИСТР ФИНАНСОВ                                       Анатол АРАПУ

    № 189. Кишинэу, 5 ноября 2015 г.

    1.1 Концепция
    1) Внутренний контроль – это система, организованная менеджером публичного субъекта и его персоналом, включая внутренний аудит и финансовый менеджмент и контроль, в целях обеспечения надлежащего управления, охватывающая совокупность политик, процедур, внутренних правил, процессов и деятельностей, осуществляемых в публичном субъекте для управления рисками и предоставления разумных гарантий для достижения поставленных задач и запланированных результатов.
    2) Согласно концепции Государственного внутреннего финансового контроля (в дальнейшем – ГВФК), проведенной Европейским Союзом, внутренний аудит является составной частью внутреннего контроля в качестве инструмента для оценки системы финансового менеджмента и контроля (в дальнейшем – ФМК). Внутренний аудит, имея функцию напрямую докладывать менеджеру публичного субъекта, играет важную роль в исследовании и отчетности об эффективности системы ФМК.
    3) ФМК – это система, внедряемая и реализуемая лицами, ответственными за управление и администрирование, а также иным персоналом в соответствии с нормативной базой и внутренними положениями для предоставления разумной гарантии законного, этичного, прозрачного, экономичного, эффективного и результативного использования публичных фондов публичным субъектом.
    Государственный внутренний финансовый контроль = внутренний аудит + финансовый менеджмент и контроль + центральное управление по гармонизации¹
    –––––––––––––––––––––––––––––––––––––––––––––
    ¹Центральное управление по гармонизации  является управлением по гармонизации государственного внутреннего финансового контроля Министерства финансов.

    Внутренний контроль = внутренний аудит + финансовый менеджмент и контроль
    4) Система ФМК имеет следующие общие цели:
    a) результативность и эффективность операций;
    b) соответствие нормативной базе и внутренним положениям;
    c) надежность и оптимизация активов и пассивов;
    d) надежность и целостность информации.
    К первой категории относятся основные задачи субъекта, в том числе задачи качественных характеристик. Вторая категория относится к соблюдению нормативной базы, регулирующей деятельность публичного субъекта. Третья категория относится к защите ресурсов против потерь, злоупотребления и ущербов, вызванных растратами, неумеренных употреблений, бесхозяйственности, ошибок, мошенничеств и неправомерностей. Четвертая категория относится к подготовке отчетов, в том числе финансовых, а также другой достоверной информации.
    1.2 Применение
    5) Национальные стандарты по внутреннему контролю в публичном секторе (в дальнейшем – НСВК) применимы ко всем субъектам публичного сектора, распоряжающимся средствами национального публичного бюджета.
    6) Система ФМК внедряется в публичном субъекте с помощью применения НСВК.
    7) НСВК устанавливают основные направления, требующие конкретных действий по внедрению системы ФМК.
    8) НСВК являются кодификацией общепринятых принципов, которые относятся к созданию эффективной системы ФМК. Стандарты предоставляют соответствующую базу для развития эффективной системы ФМК, в том числе разработку дополнительных инструкций по их применению².
    –––––––––––––––––––––––––––––––––––––––––––––
    ²Каждый публичный субъект или подразделение имеет право разрабатывать свои собственные инструкции для исполнения НСВК. В результате данные инструкции согласовываются с Министерством финансов, затем утверждаются руководством публичного субъекта.

    9) НСВК используются как менеджерами публичного субъекта в качестве примера определенной базы или системы прочного ФМК, так и внутренними аудиторами в качестве инструмента оценки данной системы.
    1.3 Основные компоненты ФМК:
    10) ФМК включает пять компонентов, связанных между собой:
    1) контрольная среда;
    2) менеджмент качественных характеристик и рисков;
    3) контрольные мероприятия;
    4) информация и коммуникация;
    5) мониторинг и оценка.
    Эти компоненты вытекают из метода, которым менеджер управляет деятельностью, и включены в управленческий процесс. Несмотря на то, что перечисленные компоненты применяются ко всем публичным субъектам, малые и средние³ субъекты могут их внедрить различным образом, в отличие от крупных субъектов. Несмотря на то, что контрольные мероприятия в малом субъекте могут быть менее формальными и структурированными, данный субъект может все-таки обладать результативной системой ФМК.
    –––––––––––––––––––––––––––––––––––––––––––––
    ³Критерии, по которым определяется, если  публичный субъект является малым  или среднем: бюджет, штатное расписание, сфера ответственности.

    11) Внутренняя среда обеспечивает тон публичного субъекта, влияя на сознательность сотрудников по отношению к ФМК. Данный компонент является основой для всех остальных элементов ФМК, обеспечивая дисциплину и структурированность. Факторы внутренней среды включают:
    a) личная, профессиональная целостность, этика руководства и сотрудников;
    b) стиль управления;
    c) организационная структура;
    d) разделение обязанностей и ответственности, предоставление полномочий;
    e) политики и практики менеджмента персонала;
    f) компетентность персонала.
    12) Менеджмент качественных характеристик и рисков включает необходимость установления задач для операционных систем, а также определение, оценку и контроль рисков, которые могут повлиять на их достижение. Каждый субъект сталкивается с различными рисками, исходящими из внешних и внутренних источников. Предварительным условием для оценки рисков является установление задач, которые относятся к различным уровням и являются внутренне последовательными. Оценка рисков представляет собой анализ существенных рисков, связанных с достижением задач, образуя основу для определения механизма управления рисками.
    13) Контрольные мероприятия представляют политики и процедуры, установлены для обращения с рисками и достижения целей публичного субъекта. Также они способствуют достижению директив от управления. Контрольные мероприятия проводятся на всех уровнях и во всех подразделениях публичного субъекта. Они включают целый ряд различных мероприятий, таких как утверждения, разрешения, проверки, согласования, обзоры действующих качественных характеристик, целостность активов и разделение обязанностей. НСВК объясняют, каким образом менеджеры должны документировать и оценивать эффективность конкретных контрольных мероприятий.
    14) Информация и коммуникация означают, что информация должна быть выявлена, собрана и направлена в порядке и в сроки, позволяющие сотрудникам выполнять свои обязанности.     Информационные системы генерируют отчеты, содержащие операционную, финансовую информацию, а также информацию соответствия, позволяющую управлять и контролировать деятельность. Данная информация включает как информацию, полученную изнутри, так и информацию о событиях, мероприятиях и внешних условиях, необходимых для принятия решений, а также для внешней отчетности. Эффективная коммуникация осуществляется как по горизонтали, так и по вертикали в публичном субъекте. Сотрудники осведомлены менеджерами о том, что обязанности, связанные с ФМК, должны быть приняты всерьез. Сотрудники должны осознать свою роль в системе ФМК, а также связь между собственной деятельностью и деятельностью других сотрудников. Работники должны обладать средствами извещения о важной информации начальников. Также существует необходимость в результативной коммуникации с внешними сторонами, такими как клиенты, поставщики, регулирующие органы и другие заинтересованные стороны.
    15) Мониторинг и оценка включают процессы оценки качественных характеристик системы ФМК во времени, которая достигается посредством непрерывного мониторинга, самооценки и внутреннего аудита. Постоянный мониторинг осуществляется в течение операций и включает обыкновенные действия наблюдения и менеджмента, а также другие действия, осуществленные работниками в целях выполнения своих рабочих обязанностей. Область применения и частота отдельных оценок (самооценка и внутренний аудит) зависят от результата оценки рисков и эффективности процедур постоянного мониторинга.
    16) Существует прямая взаимосвязь между четырьмя категориями задач, указанны в пункте 4, отражающая то, чего публичный субъект стремится достичь, и между пятью компонентами, указанными в пункте 10, которые являются потребностью для достижения задач. Все компоненты имеют важное значение для каждой категории задач. Например, что касается эффективности и результативности операций, все пять компонентов должны присутствовать и работать эффективно для заключения того, что внутренний контроль над операциями является результативным.
    1.4 Ограничения системы ФМК
    17) ФМК – это процесс, предоставляющий разумные гарантии в достижении задач. Тем не менее его ограничения зачастую не вполне понятны.
ФМК предоставляет разумную гарантию, что публичный субъект достигает своих задач, производит достоверную финансовую информацию и информацию качественных характеристик, а также действует согласно соответствующему законодательству. ФМК не может изменить менее хорошего менеджера на более хорошего, а также не может повлиять на осуществление изменений в политике Правительства или в основной экономической ситуации, которая влияет на результаты публичного субъекта.
    18) Достижение задач зависит от присущих ограничений во всех системах публичного субъекта, обозначает, что суждения, осуществляемые в процессе принятия решений, могут быть несовершенными и что сбои могут возникнуть из-за простой погрешности или ошибки.
    Контрольные мероприятия могут оказаться под угрозой из-за тайных договоренностей двух или более лиц, а также из-за того, что менеджеры отказываются соблюдать процедуры.
    Структура системы ФМК должна отражать тот факт, что ресурсы являются ограниченными, а польза от контрольных мероприятий должна рассматриваться в соотношении с их стоимостью.
    Таким образом, нежелателен и даже невозможен факт, чтобы система ФМК предоставляла абсолютные гарантии по достижению задач публичного субъекта.
    1.5 Ответственность за внедрение НСВК
    19) Основная ответственность за внедрение НСВК принадлежит менеджеру публичного субъекта, который придает «тон, задаваемый руководством», влияя на целостность, этику и другие факторы позитивной контрольной среды. В крупном публичном субъекте менеджер выполняет данное обязательство, предоставляя навыки руководства и ориентации операционным менеджерам и рассматривая, как они проводят мониторинг и проверяют деятельность. Операционные менеджеры, в свою очередь, возлагают ответственность за разработку некоторых политик и процедур внутреннего контроля на сотрудников. В наименьшем субъекте влияние менеджера более прямое. Каждый менеджер является исполнительным лицом в своей сфере ответственности.
    20) ФМК является обязанностью каждого сотрудника публичного субъекта и должно быть явной и неявной частью должностной инструкции. Сотрудники генерируют информацию, используемую в рамках системы ФМК, либо предпринимают другие необходимые меры для выполнения контрольных мероприятий. Сотрудники являются ответственными за информирование своих начальников о проблемах в операциях, случаях нарушения Кодекса этики⁴, других нарушениях или незаконных действиях.
    –––––––––––––––––––––––––––––––––––––––––––––
    ⁴Кодекс этики - это внутренний обязательный нормативный акт, устанавливающий правила этики и профессионального поведения.

    1.6 Структура НСВК
    21) Данные 16 НСВК основаны на лучшей международной практике и включают пять компонентов.
    - Контрольная среда
    НСВК 1. Этика и целостность
    НСВК 2. Функции, полномочия и обязанности
    НСВК 3. Приверженность к компетенции
    НСВК 4. Подход и операционный стиль руководства
    НСВК 5. Организационная структура
    НСВК 6. Делегированные полномочия
    - Менеджмент качественных характеристик и рисков
    НСВК 7. Установление задач
    НСВК 8. Планирование, мониторинг и отчетность в отношении качественных характеристик
    НСВК 9. Риск-менеджмент
    - Контрольные мероприятия
    НСВК 10. Виды контрольных мероприятий
    НСВК 11. Документирование процессов
    НСВК 12. Разделение обязанностей и ответственности
    - Информация и коммуникация
    НСВК 13. Информация
    НСВК 14. Коммуникация
    - Мониторинг и оценка
    НСВК 15. Постоянный мониторинг
    НСВК 16. Отдельная оценка
    22) НСВК состоят из двух разделов:
    1) содержание стандарта;
    2) объяснительные записки, предоставляющие дополнительную информацию, необходимую для понимания стандарта и пути его применения.
    23) По мере возможности управление по гармонизации государственного внутреннего финансового контроля Министерства финансов оказывает методическую поддержку, необходимую публичным субъектам в области практического применения НСВК.
    Содержание
    Публичный субъект обеспечивает тот факт, что сотрудники ознакомлены с соответствующими стандартами этического поведения, в том числе с регламентами по предотвращению мошенничества и коррупции, а также с отчетностью о мошенничестве и незаконностях, с неправомерным влиянием и другими нарушениями. Субъект выдает дополнительные рекомендации в отношении этических вопросов, которые могут порождаться специфической деятельностью субъекта.
    Примечания
    Этика и целостность – это два различных концепта, которые должны быть четко поняты.
    Этика отражает кодификацию некоторых стандартов, определяемые нормы нравственного поведения, которые должны применяться в отношении конкретных видов деятельности публичного субъекта.
    Целостность предполагает поведение, выполнение профессиональных обязанностей и принятие решений менеджерами и сотрудниками публичного субъекта этично, в соответствии с общественным интересом и законодательством.
    Сотрудники не могут вести себя целостно, если не знают, какие этические стандарты должны быть применены.
    Менеджеры и сотрудники публичного субъекта должны обладать профессиональной и персональной целостностью, осознавать важность осуществления своей деятельности. Разработка этических стандартов не гарантирует, что сотрудники будут осуществлять свою деятельность целостным образом. Целостность сильно зависит от тона, установленного менеджером публичного субъекта (см. НСВК 4).
    Содержание
    Публичный субъект предоставляет сотрудникам четкое описание функциональных полномочий и обязанностей публичного субъекта. Субъект разрабатывает внутренние положения подразделений и должностные инструкции с указанием задач, роли и ответственности каждого сотрудника субъекта.
    Примечания
    Сотрудники публичного субъекта должны знать миссию субъекта. Субъект разрабатывает Положение об организации и деятельности, которое доводится до сведения всех сотрудников.
Функции, полномочия и обязанности доводятся до сведения сотрудников субъекта.
    Сотрудники публичного субъекта имеют должностные инструкции в письменном виде, которые предусматривают основные обязанности, должностные полномочия и ответственность.
    Содержание
    Публичный субъект внедряет политики и практики в области персонала, обеспечивая тот факт, что менеджеры присваивают персоналу компетентность, необходимую в выполнении возложенных обязанностей. Данные политики содействуют дальнейшему развитию способностей кадров субъекта.
    Примечания
    Менеджеры и сотрудники обладают необходимыми знаниями, навыками и опытом для выполнения обязанностей в достижении поставленных задач.
    Действия, необходимые для достижения этого, включают:
    - подробное определение и указание знаний и способностей, необходимых для каждой должности;
    - подробное определение и указание основных обязанностей, должностных полномочий и ответственности для каждой должности;
    - применение и выполнение процессов найма, продвижения/назначения персонала в должности, в соответствии с законом, с обеспечением присвоения сотрудникам обязанностей, которые они могут реализовать;
    - заданная программа начального обучения для новых работников в определенном виде деятельности;
    - постоянное обучение и программа по информированию всех сотрудников одного подразделения или организационной структуры, а также самостоятельное обучение;
    - действия по оценке потребностей в обучении сотрудников;
    - предоставление тренингов, которые удовлетворяют установленным потребностям;
    - проведение систематической оценки степени обучения потребностям развития работников.
    Фактические качественные характеристики сотрудников зависят непосредственно от ясности определения и доведения задач лицам, а также от качества инструкций, учебников и других имеющихся рекомендаций по поручениям, которые должны быть выполнены.
    Содержание
    Менеджеры публичного субъекта являются ответственными за продвижение контрольной культуры в рамках субъекта, которым управляют. Они должны продемонстрировать при помощи собственного стиля деятельности то, что они понимают важность развития результативной системы внутреннего контроля.
    Примечания
    Тон, заданный вышестоящими менеджерами, является важным фактором в определении благоприятной контрольной среды, которая содействует внедрению результативной системы внутреннего контроля. Если вышестоящие менеджеры не соблюдают нормативную базу и внутренние положения, маловероятно, что они будут соблюдаться их подчиненными сотрудниками, содействуя своими действиями культуре, в которой очень трудно иметь результативный внутренний контроль.
    Менеджеры, которые устанавливают четкие задачи, уделяют внимание деятельности по предотвращению рисков и показывают личный интерес в мониторинге и разработке результативных систем внутреннего контроля, способствуют формированию культуры, в которой более вероятно, что контрольные мероприятия функционируют должным образом.
    Менеджеры публичных субъектов должны признать тот факт, что они ответственны за внедрение результативных систем внутреннего контроля.
    Содержание
    Публичный субъект определяет собственную организационную структуру, компетентность, ответственность, обязанности и обязательства отчетности каждого структурного подразделения субъекта. Организационная структура и обязательства отчетности четко определены в письменном виде и доведены до сведения сотрудников и заинтересованных третьих сторон. Организационная структура должна действовать с учетом имеющихся ресурсов субъекта.
    Примечания
    Предварительным условием концепта ответственности является то, что каждый менеджер располагает гибкостью в организации и использовании персонала для достижения своих задач наиболее результативным и эффективным образом. Ответственный менеджмент предполагает аналогичную гибкость и в отношении использования других ресурсов, предоставленных менеджерам, и в лучшем случае возможность выбирать между человеческими и другими ресурсами.
    Публичный субъект определяет организационную структуру с учетом бюджетных средств и других имеющихся ресурсов таким образом, чтобы способствовать достижению стратегических задач.
    Компетентность, ответственность и отчетность определяются следующим образом:
    - компетентность является способностью принимать решения в установленных пределах с целью достижения задач в зависимости от имеющейся должности в организационной структуре;
    - ответственность является обязательством достижения задач и мероприятий, связанных с установленной должностью;
    - отчетность является обязанностью информирования менеджера, на которого возлагается ответственность, в какой степени установленные задачи были достигнуты, а также с дополнительной информацией, по случаю, по обязанностям и осуществленным деятельностям, а также используемым ресурсам.
    Содержание
    Менеджеры публичного субъектов делегируют полномочия для осуществления обязанностей и функциональных поручений субъекта. Менеджеры ответственны за делегирование и обеспечивают, что полномочия делегированы исключительно сотрудникам с необходимой компетенцией, для решения делегируемых обязанностей установлены соответствующие уровни подчинения.
    Примечания
    Публичные субъекты работают более результативно, если существуют четкие направления по делегированию полномочий, которые позволяют нижестоящим менеджерам принимать необходимые решения для достижения задач.
    Делегирование ответственности происходит путем указания, приказа, распоряжения или другой формы внутреннего распоряжения и относится к конкретным операционным обязанностям публичного субъекта, в том числе финансовым.
    Менеджеры ответственны за порядок, в котором делегируются полномочия. Таким образом, менеджеры делегируют полномочия сотрудникам, которые обладают необходимыми знаниями, опытом и способностями для выполнения делегированных обязанностей. Менеджеры беспристрастны в принятии решений по делегированию полномочий.
    Менеджеры регистрируют в письменном виде все делегированные полномочия. Это подтверждается подписью делегирующего лица и подписью делегируемого лица. Для облегчения учета и мониторинга делегируемых полномочий менеджеры составляют таблицу учета делегированных функций.
    Делегированные полномочия могут быть субделегированы при одобрении менеджера, который провел первоначальное делегирование, однако это не освобождает его от ответственности выполнения обязанностей, связанных с делегированием полномочий.
    Содержание
    Публичный субъект устанавливает миссию, стратегические и операционные задачи и возлагает на сотрудников соответствующую ответственность для их достижения.
    Примечания
    Миссия - это краткое изложение общей цели публичного субъекта. Миссия руководит действиями, обеспечивает направление и основу для разработки стратегий публичного субъекта.
    Миссия субъекта содержит:
    - основную цель публичного субъекта;
    - первичные заинтересованные стороны;
    - ответственность;
    - услуги.
    Система ФМК не может быть результативной, если не установлены четкие задачи в связи с тем, что должно быть реализовано субъектом. Система ФМК начинается с установления миссии, стратегических, четких операционных и индивидуальных задач.
    Стратегические задачи, как правило, устанавливаются на среднем или длительном сроке (от 3-5 лет), относятся к деятельности субъекта или к его основным компонентам и формулируются начиная с миссии субъекта. Стратегические задачи преследуют достижение основных целей субъекта и вытекают из правительственных политик в данной области.
    Операционные задачи устанавливаются на короткий срок (до 1 года) и являются задачами, связанными с операционной деятельностью субъекта, как правило, способствуя прямо или косвенно достижению стратегических задач.
    Индивидуальные задачи – это задачи, установленные для каждого сотрудника вместе с его начальником, для достижения задач подразделения к которому он принадлежит.
    Менеджеры ответственны за установление задач, а обеспечение осуществления действий, необходимых для достижения данных задач, принадлежит как менеджерам, так и сотрудникам.     Менеджеры создают соответствующие механизмы для мониторинга и отчетности выполнения планов публичного субъекта (смотри НСВК 8).
    Необходимо отличить задачи от мероприятий, необходимых для достижения данных задач. Операционные задачи должны быть определены таким образом, чтобы объединить следующие характеристики:
    - четко и конкретно сформулированы;
    - измеримы;
    - достижимы;
    - соответствующие;
    - обрамленные в определенный период времени, в течение которого задачи должны быть достигнуты.
    Содержание
    Публичный субъект устанавливает результативные системы для планирования деятельности, разрабатывая стратегические и годовые планы деятельности, которые включают стратегические/операционные задачи, показатели качественных характеристик и риски в соотношении с задачами. Процесс планирования предусматривает систематическую отчетность о выполнении планов, достижении показателей качественных характеристик публичного субъекта, а также мониторинг и контроль над рисками.
    Примечания
    Планирование является согласованием стратегических и операционных задач к имеющимся ресурсам посредством разработки плана действий, устанавливая реалистичные сроки.
    Успешное планирование требует пересмотра, систематической актуализации и координации согласованных планов для того, чтобы отразить:
    - изменение задач и рисков, которые не были предвидены при составлении плана действий;
    - изменение объема средств, выделенных субъекту, и др.
    Задачи и показатели качественных характеристик могут быть пересмотрены раз в полгода в следующих ситуациях:
    - приоритетные действия публичного субъекта/структурного подразделения изменились, и это повлияло на изменение задач и обязанностей;
    - организационная структура публичного субъекта/структура подразделения была рассмотрена и повлияла на изменение задач и обязанностей;
    - другие причины, объективные обстоятельства, возникшие в этот период, способствовали невыполнению поставленных задач.
    Степень детализации планов субъекта варьирует в зависимости от комплексности соответствующего субъекта. Малые учреждения с внятными задачами, с несколькими сотрудниками и небольшим объемом прочих ресурсов, разрабатывают упрощенные планы на будущее. Крупные субъекты нуждаются в более комплексных процессах планирования.
    Менеджер систематически получает отчеты о деятельности субъекта, достижении задач и контроле рисков. Менеджер оценивает качественные характеристики, отметив возможные отклонения от поставленных задач или неадекватные меры контроля рисков, с целью принятия корректировочных мер.
    Содержание
    Публичный субъект оценивает подверженность к рискам, вызванным возможными будущими событиями, и определяет допустимый уровень остаточных рисков. Менеджеры обеспечивают идентификацию, регистрацию, оценку, контроль, систематический мониторинг и отчетность рисков, в том числе коррупционных, посредством ведения реестра рисков.
    Каждое автономное структурное подразделение публичного субъекта разрабатывает Реестр рисков, который в дальнейшем следует консолидироваться в Реестре рисков публичного субъекта.
    Примечания
    Процесс, в котором публичный субъект управляет неопределенностью, связанной с предстоящими событиями, которые могут повлиять на достижение стратегических и операционных задач, называется риск-менеджментом.
    Не может существовать эффективный риск-менеджмент, если публичный субъект не имеет четко определенных стратегических и операционных задач (см. НСВК 7).
    Термины, используемые для определения аспектов риск-менеджмента, варьируют. Представленные ниже определения предлагают менеджерам публичных субъектов терминологию, предложенную для использования.
    Риск – возможное событие, которое может оказать негативное воздействие на достижение задач публичного субъекта.
    Присущий риск – риск, связанный с задачами анализируемой деятельности или являющийся неотъемлемым по отношению к данным задачам. Присущий риск – это риск, существующий до принятия определенных контрольных мероприятий.
    Подверженность риску (серьезность рисков, важность рисков) – оценка вероятной угрозы по отношению к субъекту, представленной событиями с негативным воздействием, по сравнению с теми возможностями, которые могут быть получены путем данных событий. Данная оценка совмещает оценку влияния на субъект, а также вероятности материализации риска.
    Контролируемый риск – риск, для которого субъект осуществляет контрольные мероприятия по снижению подверженности рискам, которые включают действия по минимизации последствий данного риска.
    Допустимые риски (риск-аппетит) – пределы и границы, авторизированные должным образом менеджментом, предоставляющим каждому уровню подчиненности субъекта четкое направление об уровне и пределах рисков, которые они способны принять на себя.
    Остаточный риск – подверженность риску, остающаяся после внедрения контрольных мероприятий.
    После определения задач менеджеры всех уровней:
    - идентифицируют возможные риски из внутренних и внешних источников, которые могут повлиять на достижение задач (по случаю, выполнению действий/поддействий), а также основные области деятельности, которые могут быть затронуты;
    - оценивают риски, а также уровень подверженности риску по отношению к задачам (по случаю, действиям/поддействиям, в зависимости от сложности задачи);
    - оценивают степень, в которой риски имеются и/или которые необходимо контролировать существующими контрольными мероприятиями в зависимости от допустимости к риску;
    - осуществляют мониторинг и анализируют риски, а также степень их контроля, в том числе посредством анализа функциональности и стоимости контрольных мероприятий.
    Публичный субъект рассматривает уязвимые деятельности, которые по своей специфике подразумевают высокие коррупционные риски и при необходимости утвержденные планы целостности для уменьшения и устранения институциональных факторов, которые благоприятствуют или способствуют коррупции.
    В Реестр рисков обязательно включаются коррупционные риски, а механизмы предупреждения и устранения рисков из плана целостности в случае его существования включаются в качестве контрольных мероприятий.
    Публичные субъекты разрабатывают по случаю отдельные реестры рисков, связанные со стратегическими/инвестиционными проектами.
    Менеджеры разрабатывают адекватный механизм риск-менеджмента в публичном субъекте в зависимости от комплексности и размера, которые могут включать:
    назначение одного или нескольких сотрудников, ответственных за идентификацию, регистрацию, оценку, контроль, мониторинг и отчетность рисков;
    создание комитета по рискам (рабочей группы), ответственного за идентификацию, регистрацию, оценку, контроль, мониторинг и отчетность рисков.
    Содержание
    Публичный субъект инициируют контрольные мероприятия, которые балансируют стоимость контроля с причастными рисками. Контрольные мероприятия организуются и проводятся во всех операционных процессах и на всех уровнях субъекта. Персонал субъекта, в том числе менеджер субъекта и операционные менеджеры проводят контрольные мероприятия, включающие процедуры по авторизации и утверждению, разделению обязанностей, проверке, наблюдению, примирению, документированию и описанию процессов, не ограничиваясь этим. В рамках операционных процессов осуществляются эффективные контрольные мероприятия с точки зрения стоимости, которые могут быть в зависимости от времени выполнения ex-ante (предупредительные), текущие и ex-post (обнаружительные).
    Примечания
    Для того чтобы публичные субъекты оценивали эффективность системы внутреннего контроля с точки зрения стоимости, они должны постигнуть:
    - диапазон существующих контрольных мероприятий;
    - наличие задач, которые должны быть достигнуты;
    - преимущества контролей ex-ante, текущих и ex-post.
    Диапазон контрольных мероприятий включает:
    a) всеобщие контроли;
    b) контроли аппликаций;
    c) контроли специфичные субъекту.
    (a) Всеобщие контроли являются самыми распространенными видами контроля, которые можно определить в большинстве систем внутреннего контроля. Всеобщие контроли включают авторизацию и утверждение, разделение обязанностей, мониторинг и отчетность исключений.
    Авторизация и утверждение предполагает утверждение и/или авторизацию действий или транзакций, а также последующие проверки в системе, которые указывают, что такое утверждение или авторизация имели место. Эти контрольные мероприятия направлены на достижение типичных задач, таких как «Все обработанные транзакции утверждены», «Транзакции авторизированы в соответствующем порядке и согласно установленным делегированным полномочиям».
    Разделение обязанностей – см. НСВК 12.
    Наблюдение – основные управленческие контроли, применяемые при наблюдении деятельности подчиненных. Наблюдение обеспечивает, что:
    - обязанности и ответственности сотрудников изложены в письменном виде, в пособиях, в инструкциях и должностных инструкциях;
    - сотрудники компетентны в осуществлении возлагаемых обязанностей, и им, если необходимо, предоставляются обучение и поддержка на рабочем месте;
    - периодические проверки проводятся для оценки, если обязанности осуществляются в запланированном порядке.
    Наблюдательные контроли проводятся с целью, чтобы сотрудники понимали сущность и релевантность своих действий.
    Сообщение исключений – контроли, которые предусматривают сообщение отклонений от стандартных процедур, их последующее исследование руководством и включают отчеты, выданные компьютеризованными системами, которые отклоняют подозрительные или атипичные транзакции из стандартной процедуры обработки и нуждаются в отдельном ручном вмешательстве, а также другие отчеты сотрудников о выявлении неравномерностей. Адекватные контроли по сообщению исключений и неравномерностей позволяют менеджерам определить те действия или транзакции, которые притягивают самые большие риски и менеджеры хотят лично исследовать. Отчеты об исключениях и неравномерностях представляют косвенные доказательства того, что контрольные мероприятия функционируют, но тем не менее нужны действия последующего наблюдения со стороны менеджера для принятия корректировочных мер.
    Публичный субъект осуществляет механизмы и процедуры/обязательства отчетности подозрений в мошенничестве и коррупции.
    (b) Контроли аппликаций – контроли в рамках систем, которые оперируют большим объемом данных или касаются физических активов, таких как инвентарь. Контроли аппликаций включают доступ к ресурсам, проверки и встречные проверки.
    Доступ к ресурсам – это контроли, способствующие ограничению доступа лиц к:
    - областям ввода данных;
    - функциям электронной обработки;
    - электронным записям;
    - конфиденциальной информации;
    - остаткам материалов.
    Контроли доступа включают как физические барьеры, так и электронные.
    Проверки являются контролями, сравнивающими действительность одной транзакции или группы транзакций с информацией извне системы внутреннего контроля. Например, контроль посредством физической проверки (просмотр) активов, который обеспечивает, что активы, перечисленные в инвентарный реестр (как компьютеры), существуют на самом деле - инвентаризация активов.
    Встречные проверки являются контролями, сравнивающими два независимых набора данных, для определения полноты обработанных транзакций. Встречные проверки используются чаще всего при проверке транзакций, а именно, что «Суммы, регистрируемые в реестрах и записях субъекта, соответствуют перечисленным или полученным суммам по банку». Субъекты должны осознать неправильные встречные проверки, которые могут возникнуть, в том случае, когда два отдельных отчета сравниваются с точки зрения правильности, но на самом деле происходят из того же набора данных и всегда будут соответствовать.
    (c) Специфичные субъекту контроли являются контролями, относящимися к сфере деятельности публичного субъекта. Например, субъект, ответственный за управление опасными материалами, может иметь дополнительный ряд контрольных мероприятий по хранению и использованию этих средств.
    Контроли могут быть классифицированы и рассмотрены с точки зрения времени осуществления контрольных мероприятий, а именно:
    - контроли ex-ante – контроли, применяемые до осуществления каких-либо действий менеджерами, например: оплата счетов, заключение договоров и т.д. Контроли ex-ante ориентированы на предотвращение ошибок, нерегулярностей и часто называются предупредительными контролями;
    - текущие контроли – контроли, организованные во время операций, для обнаружения и исключения ошибок или незаконности;
    - контроли ex-post – контроли, осуществленные после достижения действий и имеющие целью ретроспективное обнаружение допущения ошибок или нерегулярностей, и называются еще обнаружительными контролями. Основной характеристикой контролей ex-post является то, что они представляют доказательства, если предупредительные и текущие контроли одной системы действовали результативным образом. Примеры контролей ex-post (обнаружительные): годовая инвентаризация активов, месячные банковские/казначейские встречные проверки, проверка бухгалтерских записей менеджером, внезапная проверка наличности и др.
    Субъекты обеспечивают надлежащее равновесие между контролями, предназначенными для предупреждения возникновения ошибок, которые могут возникнуть, и контролями, предназначенными для ex-post сверки реального достигнутого уровня корректности и соответствия.
    Система ФМК, предназначенная для предотвращения всех нерегулярностей, неминуемо нуждается в большем количестве контрольных уровней и вследствие этого в значительном объеме одинаковых контрольных мероприятий, 99% которых бесполезны. Систему такого рода очень дорого внедрить.
    Решения по равновесию между контролями ex-ante и ex-post приняты в зависимости от:
    - характера и значимости рисков, которые нужно держать под контролем;
    - соотношения стоимости и эффективности разных имеющихся опций.
    Процедуры, которые не поддерживаются контрольным мероприятием, не предоставляют добавленную стоимость для достижения задач. Однако может существовать разубеждающий эффект, поскольку предполагается, что лицо, которое выполняет процедуру, осуществляет контрольное действие.
    Возможно, что контрольное мероприятие может эффективно функционировать посредством определенной формы выборочной или случайной проверки документов/данных, подвергающихся контролю. Чтобы соответствовать НСВК, не нужно проверять каждый документ или данные в случае, если риск ошибки оценивается как низкий.
    Содержание
    Публичный субъект разрабатывает графические и/или повествовательные описания основных процессов для определения наиболее экономичного и результативного способа управления рисками и достижения установленных задач.
    Примечания
    Документирование процесса представляет собой деятельность, посредством которой менеджеры определяют наиболее результативный способ с точки зрения стоимости предотвращения рисков, связанных с их операционной деятельностью.
    Документирование процесса начинается с подготовки описания определенного процесса, которое должно быть достаточно подробным для идентификации основных рисков и контрольных мероприятий, будучи использованы для предотвращения данных рисков. Используя данное описание, персонал публичного субъекта идентифицирует и регистрирует основной поток документов и/или данных, а также контрольных мероприятий, предпринятых во время процесса.
    Документирование процессов обеспечивает последовательность деятельности независимо от текучести персонала и постоянно обновляется. Отсутствие, неполноценность или неактуализация влияют на степень достижения задач субъекта.
    На этапе документирования процессов должно быть определено различие между процедурами и процессами в рамках публичного субъекта. Для внесения ясности в НСВК данные значимые понятия определяются следующим образом:
    процедура – совокупность правил и/или действие, предпринимаемое лицом для предоставления доказательств о том, что было осуществлено законное или нормативное действие, например, официальная подпись уполномоченного сотрудника на документе, позволяющая осуществление платежа;
    процесс – последовательность действий, логически структурированных в определенный период, с использованием ресурсов, добавляющих ценность, предоставляющих продукт и достигающих определенной задачи.
    Время, отведенное для документирования процессов из публичного субъекта, должно отражать важность системы ФМК. Основные процессы должны быть полностью документированы, используя графические и/или повествовательные описания деятельности, которые будут использованы при оценке эффективности системы ФМК. Незначительные процессы периферийного значения должны быть документированы с помощью кратких описаний.
    Содержание
    Публичный субъект обеспечивает тот факт, что функции инициирования транзакции с финансовыми последствиями и проверки действительности окончательной транзакции являются разделенными. Публичный субъект разрабатывает и внедряет соответствующую политику по чувствительным функциям.
    Примечания
    Основная концепция системы внутреннего контроля состоит в том, что обязанности и ответственность субъекта будут организованы таким образом, что не только одно лицо сможет наблюдать за всеми аспектами обработки индивидуальной транзакции при наличии соответствующего распределения обязанностей. Этим значительно уменьшается риск ошибки, мошенничества или нарушения.
    Разделение обязанностей и ответственности предполагает, в первую очередь, наличие отдельных лиц или подразделений, отвечающих за:
    - авторизацию платежей за товары и услуги;
    - осуществление необходимых платежей согласно соответствующим документам, например, подписанный контракт.
    Нет ограничений по количеству ответственных лиц за авторизацию и сертификацию в рамках одного субъекта.
    Концепция «двух пар глаз» является на самом деле минимальным уровнем разделения обязанностей, предусмотренных в публичном субъекте. Большинство субъектов располагает сотрудниками и структурными подразделениями, участвующими в обработке финансовых операций, например, структурные подразделения закупок, участвующие в выдаче договоров, отдельные подразделения для осуществления банковских/ казначейских поступлений и соглашений между банковскими/ казначейскими счетами и т.д.
    Надлежащий уровень разделения обязанностей варьирует в зависимости от размера и комплексности субъекта. В небольших субъектах бывает невозможно разделить эти ключевые обязанности. Тем не менее подобные субъекты часто являются исполнителями бюджета нижестоящего уровня, ответственными за отчетность качественных характеристик бюджетному субъекту вышестоящего уровня, который может установить некую форму общего контроля действий нижестоящего уровня.
    В более крупных субъектах этого гораздо проще добиться.
    Разделение обязанностей может выполняться посредством вовлечения отдельных субъектов, участвующих в обработке различных этапов транзакции, например, централизованная функция по осуществлению платежей посредством казначейской системы Министерства финансов.
    Публичный субъект определяет функции, идентифицированные как чувствительные, и проводит политику ротации, настолько это возможно, сотрудников, занимающих такие функции.
    Функция считается чувствительной, если, как правило, представляет значительные риски хищения/мошенничества/коррупции. Также считаются чувствительными функции, которые имеют контрольные обязанности, осуществляют деятельность, непосредственно связанную с бенефициаром (граждане или экономические агенты).
    Публичный субъект создает список чувствительных функций и список сотрудников, занимающих чувствительные функции.
    Содержание
    Публичный субъект устанавливает основные источники информации, необходимые менеджерам и сотрудникам для выполнения обязанностей, а также количество, качество, периодичность, источники и получателей информации, необходимые действия для выработки, передачи и оперативного получения соответствующей информации.
    Примечания
    Эффективная система внутреннего контроля нуждается в сборе и использовании информации из разных источников и должна оценивать риски, осуществлять мониторинг эффективности контрольных мероприятий и оценивать, если субъект решает задачи.
    Субъект определяет необходимую информацию для соответствия требованиям системы ФМК и информационные системы, которые выдают операционную, финансовую информацию и информацию соответствия, позволяющую управление и контроль субъекта.
    Субъект собирает информацию о событиях, деятельности и внешних условиях, необходимую для процесса принятия решений, в частности по отношению к рискам, а также внешней отчетности субъекта по качественным характеристикам.
    Менеджеры внимательно исследуют следующие характеристики информации:
    качество – если информация соответствует предусмотренным стандартам с точки зрения правильности и полноты, а также если восприняты источник и надежность информации;
    количество – если объем представленной информации соответствует лицу, использующему информацию. В то время как операционные сотрудники могут потребовать подробные отчеты, операционные менеджеры должны обладать информацией в агрегатном виде, легко используемой и воспринимаемой;
    периодичность – насколько часто менеджеры и сотрудники нуждаются в информации для принятия необходимых решений или осуществления таких же действий. Сбор и распространение информации представляют определенную ценность, и эта стоимость должна быть сбалансирована с ее полезностью. Например, в системе ежедневной обработки платежей информация по исключениям, нуждающимся в ручном вмешательстве или авторизации, обычно нужна ежедневно, а информацию о количестве всех обработанных исключений раз в месяц можно представить операционным менеджерам;
    производитель и получатель – кто составляет и кто получает необходимую информацию.
    Информация должна быть точной, ясной, полной, полезной и понятной, а также должна пользоваться быстрыми темпами оборота, в том числе извне.
    Содержание
    Публичный субъект создает результативную и эффективную систему внутренней и внешней коммуникации, которая обеспечивает быстрое, полное и своевременное движение информации как по вертикали, так и по горизонтали, и наоборот, для выполнения сотрудниками своих должностных обязанностей.
    Примечания
    Информация является движущей силой эффективной системы ФМК. Субъект должен обеспечить отсутствие барьеров, препятствующих представлению сотрудникам информации для того, чтобы они могли выполнить свои обязанности.
    Эффективная коммуникация в субъекте должна быть произведена как по горизонтали, так и по вертикали, сверху вниз, и наоборот.
    Менеджеры субъекта передают ясное сообщение сотрудникам о том, что ответственность по ФМК нуждается в серьезном подходе. Сотрудники должны осознать свою роль в системе ФМК, а также связь между их деятельностью и деятельностью других сотрудников.
    Сотрудники должны располагать средствами коммуникации значимой информации и установленными процедурами отчетности нарушений, мошенничества и коррупции менеджерам.
    Эффективная коммуникация должна осуществляться и с внешними сторонами, например, бенефициарами государственных товаров и услуг.
    Содержание
    Публичный субъект изучает внутреннюю и внешнюю среду для выявления изменений.
    Публичный субъект постоянно осуществляет мониторинг эффективного исполнения контрольных мероприятий и степень минимизации выявленных рисков.
    Примечания
    Постоянный мониторинг проводится на протяжении операций и включает адекватные действия наблюдения и управления, а также другие действия, осуществляемые сотрудниками субъекта во время выполнения обязательств.
    Мониторинг нужен для обеспечения эффективного функционирования системы ФМК и является основным средством гарантирования качества осуществляемых контрольных мероприятий.
    Мониторинг предполагает систематическое наблюдение контрольных мероприятий. Уровень наблюдения варьирует в зависимости от компетентности сотрудников, которые осуществляют контроли, значимости контроля для эффективности системы и от сущности рисков. Например, сотрудник, впервые осуществляющий контрольное мероприятие, должен быть под большим наблюдением, чем сотрудник с богатым опытом в осуществлении ФМК. Большинство контрольных мероприятий включает множество проверок, некоторые из них (часто названы ключевыми контролями) являются более существенными и требуют большего уровня наблюдения.
    Кроме систематического наблюдения, менеджеры могут осуществлять внезапные проверки способа функционирования системы как средство обеспечения эффективного наблюдения соответствующих деятельностей.
    Важную роль мониторинга имеют осуществленные проверки обеспечения того, что сотрудники располагают учебниками, инструкциями и обновленными справочниками, чтобы руководствоваться в процессе проведения ФМК. Сотрудник без достоверных инструкций не осуществляет внутренний контроль в планируемом порядке.
    Содержание
    Публичный субъект осуществляют периодические оценки эффективности системы ФМК, в том числе посредством функции внутреннего аудита, организованной в соответствующем порядке.
    Примечания
    Система ФМК нуждается в фундаментальных пересмотрах для проверки необходимости обновления, к примеру:
    - для подхода к недавно выявленным рискам;
    - для отражения изменений операционных задач и соответствующих действий;
    - для переподтверждения первоначальных предположений контроля.
    Отдельные оценки проводятся раз в 2-3 года для всей системы ФМК.