Критерії, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств, установ, що належать до сфери його управління, здійснюється відбір об'єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

ЗАТВЕРДЖЕНО

Наказ Міністерства юстиції України

____________________№ _______

 

КРИТЕРІЇ,

за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

  1. У Критеріях, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України (далі – Мін’юст, Міністерство), територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів (далі – Критерії) терміни вживаються у значеннях, наведених
    у Порядку здійснення внутрішнього аудиту в системі Міністерства юстиції України, затвердженому наказом Міністерства юстиції України, в Інструкції
    з організації внутрішнього контролю в системі Міністерства юстиції України, затвердженої наказом Міністерства юстиції України від 11.01.2019 № 109/5,
    у Стандартах внутрішнього аудиту, затверджених наказом Міністерства фінансів України від 04.10.2011 № 1247 (із змінами).
  2. Дія Критеріїв розповсюджується на діяльність апарату Мін’юсту, територіальних органів, підприємств та установ, що належать до сфери його управління, в тому числі в органах, установах та на підприємствах (міжрегіональні управління з питань виконання кримінальних покарань та пробації, уповноважені органи з питань пробації, установи виконання покарань, слідчі ізолятори, воєнізовані формування, навчальні заклади, заклади охорони здоров’я, підприємства установ виконання покарань, інші підприємства), утворених для забезпечення виконання завдань Державної кримінально-виконавчої служби України у розумінні Положення про Міністерство юстиції України, затвердженого постановою Кабінету Міністрів України від 02.07.2014 № 228 (із змінами)
    (далі – територіальні органи, установи та підприємства, що належать до сфери управління Мін’юсту).

Критерії застосовуються при плануванні внутрішніх аудитів за всіма напрямами (аудит ефективності, фінансовий аудит, аудит відповідності, ІТ-аудит).

  1. Оцінка ризиків внутрішнього аудиту – етап планування діяльності
    з внутрішнього аудиту, на якому визначаються об’єкти аудиту з дуже високим, високим, середнім, низьким ступенем (рівнем) ризику у діяльності територіальних органів, підприємств та установ, що належать до сфери управління Мін’юсту.

       Результати оцінки ризиків є підставою для формування Стратегічного та Операційного планів діяльності з внутрішнього аудиту підрозділів (спеціалістів) з внутрішнього аудиту територіальних органів, установ, що належать до сфери управління Мін’юсту, Зведених стратегічного та операційного планів діяльності з внутрішнього аудиту в Міністерстві
(далі – Зведений операційний план, Зведений стратегічний план, при вживанні разом – Зведені плани).

        4. При визначенні об’єкта внутрішнього аудиту Департаментом внутрішнього аудиту, підрозділом (спеціалістом) з внутрішнього аудиту територіального органу, установи, що належить до сфери управління Мін’юсту
(далі – Департамент, підрозділ (спеціаліст) територіального органу, установи, при вживанні разом – підрозділи (спеціалісти) з внутрішнього аудиту) береться до уваги система управління ризиками, яка застосовується підконтрольними суб’єктами внутрішнього аудиту.

  1. У тих випадках, коли діяльність з управління ризиками в підконтрольних суб’єктах внутрішнього аудиту вже існує, підрозділи (спеціалісти) з внутрішнього аудиту беруть до уваги, зокрема:

        - наявність внутрішніх документів, які регламентують діяльність
з управління ризиками, та дотримання вимог, які визначені у документах, керівництвом та працівниками підконтрольних суб’єктів внутрішнього аудиту, а також своєчасність надання керівництву та працівникам підконтрольних суб’єктів внутрішнього аудиту інформації з питань управління ризиками;

        - сформовані відповідальними за діяльність реєстри ризиків;

        - інформацію щодо обраних способів реагування на ризики, оцінюють співпадіння обраних способів реагування на ризики з аудиторським судженням;

        - інформацію щодо запроваджених заходів контролю відповідальними за діяльність для зменшення ризиків, оцінюють їх достатність (на думку внутрішніх аудиторів);

        При аналізі слід використовувати інформацію, одержану як із зовнішніх джерел, так і наявну у підрозділах (спеціалістів) з внутрішнього аудиту.

  1. За результатами аналізу складається загальний реєстр ризиків підконтрольних суб’єктів внутрішнього аудиту (додаток 9) для визначення загальної оцінки ризиків за ймовірністю та впливом у розрізі об’єктів внутрішнього аудиту.

        Водночас при складанні реєстру ризиків підконтрольних суб’єктів внутрішнього аудиту необхідно звертати увагу на залишкові ризики.

        7. У разі відсутності системи управління ризиками або коли
у підконтрольного суб’єкта внутрішнього аудиту така система не налагоджена послідовно та структуровано, аудитором застосовується власне судження про ризики у діяльності підконтрольного суб’єкта внутрішнього аудиту та самостійно здійснюється їх оцінка після консультацій, проведених
з керівництвом та посадовими особами, які безпосередньо відповідають за функції, процеси, що охоплюються внутрішнім аудитом.

Під час проведення консультацій обговорюються питання щодо:

        - достатності, недостатності або надмірного рівня деталізації об’єктів аудиту;

        - вжитих керівництвом та відповідальними за діяльність заходів щодо системного управління ризиками, їх вплив на рівень залишкового ризику тощо.

Консультації можуть проводитися шляхом обговорення або направлення запитів керівництву підконтрольного суб’єкта внутрішнього аудиту та відповідальним за діяльність. Результати консультацій (особистого обговорення та опрацювання відповідей на запити) документально оформлюються шляхом заповнення та уточнення матриці оцінки ризиків та/або реєстру ризиків.

  1. З метою отримання повної інформації, необхідної для оцінки ризиків та ризик-орієнтовного відбору, керівники підрозділів (спеціалісти) з внутрішнього аудиту готують запити керівникам структурних підрозділів, керівництву підконтрольного суб’єкта внутрішнього аудиту.
  2. Оцінка ризиків передбачає визначення ймовірності настання подій та розміру їх наслідків, що можуть негативно вплинути на:

виконання завдань і досягнення цілей підконтрольними суб’єктами внутрішнього аудиту, визначених у їхніх стратегічних та річних планах;

ефективність планування і виконання бюджетних програм та результатів їх виконання, управління бюджетними коштами;

якість надання адміністративних послуг та виконання контрольно-наглядових функцій, завдань, визначених актами законодавства для підконтрольного суб’єкта внутрішнього аудиту;

використання і збереження активів;

управління державним майном;

надійність, ефективність та результативність інформаційних систем
і технологій;

правильність ведення бухгалтерського обліку та достовірність фінансової
і бюджетної звітності.

  1. Оцінка ймовірності передбачає визначення можливості виникнення ризику, а оцінка впливу – фінансові та нефінансові наслідки для підконтрольного суб’єкта внутрішнього аудиту у випадку настання ризику. Ступінь (рівень) ризику визначається за допомогою присвоєння ризику відповідного балу.

Оцінка впливу та оцінка ймовірності (присвоєння балів) здійснюється шляхом колегіальної оцінки ризиків на підставі загального обговорення та узгодження щодо присвоєння ризикам балів.

  1. В системі Мін’юсту для визначення ступеня (рівня) ризику від провадження діяльності підконтрольними суб’єктами внутрішнього аудиту при відборі об’єктів для проведення планових внутрішніх аудитів застосовується матриця оцінки ризиків (додаток 1).

На підставі оцінки впливу та оцінки ймовірності визначається загальна оцінка ризику за ймовірністю та впливом (ступенем (рівнем) ризику)) (графа 7 додатків 2, 2-1, 2-2, 2-3, 2-4, 3, 4).

Загальна оцінка ризику (загальний бал) визначається у балах за шкалою від 1 до 20 шляхом множення оцінки ймовірності та оцінки впливу.

  1. Відповідно до матриці оцінки ризиків визначено значення критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності підконтрольними суб’єктами внутрішнього аудиту (додатки 2, 2-1, 2-2, 2-3, 2-4, 3, 4), результати такої оцінки відображаються в додатках 7, 7-1, 7-2, 7-3, 7-4,
    7-5, 8, 8-1, 8-2, 8-3 а саме:

        - для апарату Мін’юсту, Головних територіальних управлінь юстиції
в областях та м. Києві значення критеріїв визначені в додатку 2, результати оцінки ступеня (рівня) ризику відображаються в додатках 7, 7-2, 7-4, 7-5;

- для науково-дослідних установ судових експертиз, Інституту права та післядипломної освіти Міністерства юстиції України, Координаційного центру з надання правової допомоги значення критеріїв визначені в додатку 2-1, результати оцінки ступеня (рівня) ризику відображаються
в додатках 7, 7-2, 7-4, 7-5;

- для органів та установ, утворених для забезпечення виконання завдань Державної кримінально-виконавчої служби України, Адміністрації Державної кримінально-виконавчої служби України, державної установи «Центр пробації», державної установи «Центр охорони здоров’я Державної кримінально-виконавчої служби України», що належать до сфери управління Мін’юсту, значення критеріїв визначені в додатку 2-2,  результати оцінки ступеня (рівня) ризику відображаються в додатках 7-1, 7-3, 7-4, 7-5;

- для міжрегіональних управлінь з питань виконання кримінальних покарань та пробації Міністерства юстиції України, державної установи «Генеральна дирекція Державної кримінально-виконавчої служби України», що належать до сфери управління Мін’юсту, значення критеріїв визначені в додатку 2-3, результати оцінки ступеня (рівня) ризику відображаються в додатках 7-1, 7-3, 7-4, 7-5;

- для центрів підвищення кваліфікації персоналу Державної кримінально-виконавчої служби України, Академії державної пенітенціарної служби, Медичних реабілітаційних центрів, що належать до сфери управління Мін’юсту значення критеріїв визначені в додатку 2-4, результати оцінки ступеня (рівня) ризику відображаються в додатках 7-1, 7-3, 7-4, 7-5;

- для підприємств (у тому числі, утворених для забезпечення виконання завдань Державної кримінально-виконавчої служби), що належать до сфери управління Мін’юсту, значення критеріїв визначені в додатку 3, результати оцінки ступеня (рівня) ризику відображаються в додатках 8, 8-1, 8-2, 8-3;

 - для центрів з надання безоплатної вторинної правової допомоги, що належать до сфери управління Мін’юсту, значення критеріїв визначені
в додатку 4, результати оцінки ступеня (рівня) ризику відображаються
в додатках 7-1, 7-3, 7-4, 7-5.

  1. Джерело інформації для визначення значень критеріїв оцінки ризиків відображено у графі 3 додатків 2, 2-1, 2-2, 2-3, 2-4, 3, 4 відповідно та визначаються як за показниками на кінець останнього звітного періоду, так і за 3 роки.

У разі, коли значення критерію оцінки ризиків визначається за 3 роки, розраховується середнє арифметичне значення критеріїв оцінки ризиків (сума наявних показників за кожен рік поділена на відповідну кількість років).

  1. Залежно від розрахованих значень критеріїв оцінки ризиків (графа 4 додатків 2, 2-1, 2-2, 2-3, 2-4, 3, 4) об’єкти внутрішніх аудитів відносять до одного з чотирьох ступенів (рівнів) ризику: дуже високого, високого, середнього або низького.
  2. При проведенні процедури відбору об’єктів внутрішнього аудиту до стратегічного та операційного планів діяльності з внутрішнього аудиту підрозділів (спеціалістів) територіальних органів, установ, Зведених планів застосовується поетапна процедура визначення пріоритетності об’єктів аудиту (додаток 6), яка складається з чотирьох етапів, а саме:

- перший етап визначення балів для критеріїв відбору

На даному етапі визначаються бали для критеріїв відбору (розділи А, B, C, D, E, F, G, H, I, J, K додатка 6). При цьому бали для критеріїв відбору (розділи А, B, C, D, E) визначаються за допомогою загальної суми балів за критеріями оцінки (додатки 2, 2-1, 2-2, 2-3, 2-4, 3, 4).

Надійність системи внутрішнього контролю (розділ F графа 2 додатка 6) визначається відповідно до додатка 5 шляхом тестування існуючих індикаторів для оцінки стану внутрішнього контролю. Залежно від наданої відповіді проставляється бал від 1 до 3 (1 - низький, 2 - середній, 3 - високий). Загальна сума балів визначає надійність системи внутрішнього контролю.

- другий етап визначення показників вагомості за кожним критерієм відбору

З метою визначення найбільш важливих (вагомих) критеріїв відбору, на даному етапі кожному критерію відбору об’єктів встановлено значення показників вагомості від 1 до 5 (1 - мінімальний, 5 - максимальний).

- третій етап розрахунок індексу ризиків

Даний етап застосовується з метою виявлення об’єктів аудиту з «дуже високим», «високим», «середнім» та «низьким» ступенем пріоритетності.

Індекс ризику розраховується шляхом поєднання показника вагомості та балу, який наданий критеріям відбору. Формула, яка допоможе оцінити індекс ризику:

Індекс ризику = (A × 5) + (B × 4) + (C × 5) + (D × 4) + (Е × 3) + (F × 4) + (G × 5) + (H × 5) + (I × 5) + (J × 5) + (K × 5),

де A – K – бал, присвоєний за критерієм відбору на першому етапі,
1 – 5 – показник вагомості критерію відбору, присвоєний на другому етапі.

- четвертий етап пріоритетність дослідження об’єктів аудиту

До Стратегічного та Операційного планів діяльності з внутрішнього аудиту підрозділів (спеціалістів) територіальних органів, установ, Зведених планів насамперед включаються об’єкти аудиту з «дуже високим» та «високим» ступенем пріоритетності, потім із «середнім» ступенем пріоритетності.

  1. Частота проведення планових внутрішніх аудитів щодо кожного об’єкта аудиту визначається Департаментом, підрозділами (спеціалістами) територіальних органів, установ, враховуючи ступінь пріоритетності такого об’єкта, а також з урахуванням якісної спроможності підрозділів (спеціалістів)
    з внутрішнього аудиту та наявності трудових ресурсів.
  2. Керівники підрозділів (спеціалісти) територіальних органів, установ забезпечують формування і подання керівникам територіальних органів, установ, що належать до сфери управління Мін’юсту, Стратегічного та Операційного планів діяльності з внутрішнього аудиту, інформації щодо результатів проведеного ризик-орієнтовного відбору об’єктів внутрішнього аудиту, реєстру ризиків підконтрольних суб’єктів внутрішнього аудиту.

Керівники територіальних органів, установ, що належать до сфери управління Мін’юсту, забезпечують подання до Департаменту у термін до
01 жовтня разом зі Стратегічним та Операційним планами діяльності
з внутрішнього аудиту реєстру ризиків підконтрольних суб’єктів внутрішнього аудиту (додаток 9), інформації щодо результатів проведеного
ризик-орієнтовного відбору об’єктів внутрішнього аудиту (відповідно до додатків 7 – 8-4 до Критеріїв).

  1. Оцінка ступеня (рівня) ризику та ризик-орієнтовний відбір об’єктів для проведення внутрішніх аудитів Департаментом здійснюється один раз на рік.
  2. Перелік об’єктів для включення до Стратегічного та Операційного планів діяльності з внутрішнього аудиту підрозділів (спеціалістів) територіальних органів, установ, Зведених планів відображається у додатках
    7-6 (для установ) та 8-4 (для підприємств).
  3. До Зведеного операційного плану Департаментом не включаються внутрішні аудити за тією самою темою (з тих самих питань і за той самий період), за якою було проведено внутрішній аудит Департаментом, і з моменту проведення якого минув менше ніж один календарний рік.

До Операційних планів підрозділами (спеціалістами) територіальних органів, установ, не включаються внутрішні аудити за тією самою темою (з тих самих питань і за той самий період), за якою ними та/або Департаментом було проведено внутрішній аудит, і з моменту проведення якого минув менше ніж один календарний рік.

 

 

В.о. директора Департаменту

внутрішнього аудиту                                                                   Ірина ВЛАСОВА

 

Додаток 1 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 2 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 2 - 1 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 2 -2 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 2-3 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 2 - 4 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 3 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 4 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 5 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 6 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7-1 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7-2 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7-3 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7-4 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7-5 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження  діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  7-6 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  8 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  8-1 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  8-2 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  8-3 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток  8-4 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється  відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів

Додаток 9 до Критеріїв, за якими оцінюється ступінь (рівень) ризику від провадження діяльності апарату Міністерства юстиції України, територіальних органів, підприємств та установ, що належать до сфери його управління, здійснюється відбір об’єктів для проведення планових внутрішніх аудитів і визначається пріоритетність та періодичність проведення таких аудитів