МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 20 марта 2017 г. N ММВ-7-16/225@
ОБ УТВЕРЖДЕНИИ ОСНОВНЫХ ПОЛОЖЕНИЙ
ОБ УПРАВЛЕНИИ РИСКАМИ И ИНЦИДЕНТАМИ В ДЕЯТЕЛЬНОСТИ ФНС РОССИИ
В целях внутреннего финансового контроля и внутреннего финансового аудита, осуществляемых в соответствии со статьей 160.2-1 Бюджетного кодекса Российской Федерации ФНС России, Правилами осуществления главными распорядителями (распорядителями) средств федерального бюджета (бюджета государственного внебюджетного фонда Российской Федерации), главными администраторами (администраторами) доходов федерального бюджета (бюджета государственного внебюджетного фонда Российской Федерации), главными администраторами (администраторами) источников финансирования дефицита федерального бюджета (бюджета государственного внебюджетного фонда Российской Федерации) внутреннего финансового контроля и внутреннего финансового аудита, утвержденными постановлением Правительства Российской Федерации от 17.03.2014 N 193, а также в целях реализации миссии и основных направлений деятельности ФНС России, утвержденных приказом ФНС России от 28.11.2014 N ММВ-7-12/607@ "Об утверждении миссии и основных направлений деятельности Федеральной налоговой службы", повышения эффективности деятельности ФНС России, ее территориальных органов и организаций, находящихся в ведении ФНС России, по выполнению технологических процессов ФНС России приказываю:
1. Утвердить прилагаемые Основные положения об управлении рисками и инцидентами в деятельности ФНС России (далее - Положения).
2. Руководителям (исполняющим обязанности руководителя) управлений ФНС России по субъектам Российской Федерации довести настоящий приказ до нижестоящих налоговых органов.
3. Управлению контроля налоговых органов (Н.А. Воронова):
3.1. разработать в срок до 22.05.2017 проекты документа по учету информации о рисках в деятельности ФНС России (далее - Реестр рисков) и порядка ведения Реестра рисков, включая порядок кодирования рисков;
3.2. провести пилотный проект по апробации проекта Реестра рисков, в том числе в части его формирования по технологическим процессам ФНС России, в рамках которых осуществляются внутренние бюджетные процедуры, определенные пунктом 4 Правил осуществления главными распорядителями (распорядителями) средств федерального бюджета (бюджета государственного внебюджетного фонда Российской Федерации), главными администраторами (администраторами) доходов федерального бюджета (бюджета государственного внебюджетного фонда Российской Федерации), главными администраторами (администраторами) источников финансирования дефицита федерального бюджета (бюджета государственного внебюджетного фонда Российской Федерации) внутреннего финансового контроля и внутреннего финансового аудита, утвержденных постановлением Правительства Российской Федерации от 17.03.2014 N 193, а также порядка ведения Реестра рисков с привлечением, при необходимости, структурных подразделений центрального аппарата ФНС России в срок до 20.11.2017.
4. Управлению контроля налоговых органов (Н.А. Воронова) по результатам пилотного проекта, проведенного в соответствии с пунктом 3.2 настоящего приказа, представить для утверждения Реестр рисков и порядок его ведения в целях организации ведения Реестра рисков в отношении всех технологических процессов ФНС России.
5. Начальникам (исполняющим обязанности начальника) структурных подразделений центрального аппарата ФНС России, начальникам (исполняющим обязанности начальника) межрегиональных инспекций ФНС России, руководителям (исполняющим обязанности руководителя) управлений ФНС России по субъектам Российской Федерации, руководителям (исполняющим обязанности руководителя) организаций, находящихся в ведении ФНС России, организовать ознакомление сотрудников с Положениями.
6. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы С.Н. Андрющенко.
Руководитель Федеральной
налоговой службы
М.В.МИШУСТИН
Утверждены
приказом ФНС России
от 20 марта 2017 г. N ММВ-7-16/225@
ОСНОВНЫЕ ПОЛОЖЕНИЯ
ОБ УПРАВЛЕНИИ РИСКАМИ И ИНЦИДЕНТАМИ В ДЕЯТЕЛЬНОСТИ
ФНС РОССИИ
1. Общие положения
1.1. Основные положения об управлении рисками и инцидентами в деятельности ФНС России (далее - Положения) разработаны в целях повышения эффективности управления:
возможными событиями, негативно влияющими на результаты выполнения технологических процессов ФНС России, утвержденных приказом ФНС России от 15.01.2015 N ММВ-7-12/6@ "Об утверждении Перечня технологических процессов ФНС России и их владельцев, а также порядка ведения Перечня технологических процессов ФНС России и Регламента разработки паспортов функций и ведения реестра паспортов функций" (с учетом изменений) (далее - ТП), в том числе на операции ТП, а также на достижение целевых показателей деятельности ФНС России, установленных нормативными правовыми и иными актами Минфина России, ФНС России (далее - риск, риски);
непредвиденными и нежелательными событиями, которые оказали или могут оказать негативное влияние на деятельность налоговых органов, в том числе привести к нарушению выполнения технологических процессов ФНС России (далее - инцидент, инциденты).
Управление рисками проектов, реализуемых в ФНС России, осуществляется в соответствии с приказом ФНС России от 06.04.2016 N ММВ-7-12/180@ "Об утверждении Положения по управлению проектами в ФНС России" (в редакции приказа ФНС России от 01.03.2017 N ММВ-7-12/204@).
1.2. Управление рисками осуществляется должностными лицами ФНС России и ее территориальных органов в рамках внутреннего контроля и внутреннего финансового контроля в соответствии с приказом ФНС России от 14.03.2016 N ММВ-7-16/132@ "Об утверждении Основных положений об осуществлении внутреннего контроля деятельности по технологическим процессам ФНС России", внутреннего аудита в соответствии с приказом ФНС России от 24.01.2020 N ЕД-7-16/44@ "Об утверждении Порядка осуществления Федеральной налоговой службой внутреннего аудита", внутреннего финансового аудита в соответствии с федеральными стандартами внутреннего финансового аудита, установленными Минфином России, и разработанными и утвержденными в соответствии с ними внутренними актами.
Управление инцидентами осуществляется уполномоченными должностными лицами ФНС России и ее территориальных органов в соответствии с пунктом 6.1 настоящих Положений.
1.3. Управление рисками осуществляется в целях:
обеспечения соблюдения ФНС России и ее территориальными органами, организациями, находящимися в ведении ФНС России (далее - Организации), требований законодательства Российской Федерации и иных нормативных правовых актов Российской Федерации, а также организационно-распорядительных документов и писем ФНС России при выполнении ТП;
обеспечения эффективности и результативности деятельности налоговых органов и Организаций по выполнению ТП;
обеспечения полноты и достоверности данных, содержащихся в информационных ресурсах, показателей бюджетной отчетности (сводной бюджетной отчетности), а также иной отчетности ФНС России и ее территориальных органов, Организаций;
обеспечения достижения целевых показателей результатов деятельности и выполнения мероприятий, установленных для ФНС России и ее территориальных органов, а также Организаций нормативными правовыми актами и иными документами Правительства Российской Федерации, Министерства финансов Российской Федерации, ФНС России, повышения качества финансового менеджмента.
1.4. Управление инцидентами осуществляется в целях:
оперативного предотвращения или минимизации негативных последствий инцидентов на деятельность ФНС России и ее территориальных органов;
недопущение (снижение угрозы) возникновения инцидентов;
обеспечение фиксирования и идентификации всех инцидентов.
2. Задачи управления рисками и инцидентами
2.1. Задачами управления рисками являются:
обеспечение идентификации существующих рисков;
определение причин и условий, способствующих возникновению рисков;
организация взаимодействия по управлению рисками между структурными подразделениями центрального аппарата ФНС России (далее - СП ЦА ФНС России, ЦА ФНС России), территориальными налоговыми органами (далее - ТНО) и их структурными подразделениями, Организациями и их структурными подразделениями;
разработка и реализация комплекса мероприятий, направленных на предотвращение и (или) минимизацию рисков (включая предложения по внесению изменений в порядок выполнения ТП, предложения по контрольным действиям и периодичности их осуществления, способам и методам внутреннего контроля и внутреннего финансового контроля);
организация и осуществление контроля за практической реализацией мероприятий по предотвращению и (или) минимизации рисков;
разработка подходов к оценке эффективности осуществляемых мероприятий по управлению рисками;
организация системы учета информации о рисках и мероприятий по их предотвращению и (или) минимизации, включающей процедуры сбора, хранения и обработки этой информации;
развитие культуры управления рисками в ФНС России и ее территориальных органах.
2.2. Задачами управления инцидентами являются:
обеспечение фиксирования и идентификации всех инцидентов;
обеспечение своевременного принятия мер реагирования на инциденты;
создание, развитие и поддержание функционирования управления инцидентами.
3. Принципы управления рисками и инцидентами
3.1. Управление рисками и инцидентами основано на следующих принципах:
3.1.1. своевременное и полное выявление рисков, связанных с выполнением ТП, и инцидентов, своевременное уведомление о рисках должностных лиц ЦА ФНС России, ТНО, Организаций, в функции которых входит участие в выполнении ТП, организация, координация и (или) методологическое сопровождение их выполнения, внутренний контроль или внутренний финансовый контроль в отношении ТП, а также своевременное уведомление об инцидентах должностных лиц ЦА ФНС России, ТНО, уполномоченных в области управления инцидентами (принцип своевременности и осведомленности);
3.1.2. соответствие подходов к организации управления рисками, инцидентами и осуществляемых мероприятий в рамках управления рисками, инцидентами организационной структуре, нормативным правовым актам и иным документам ФНС России, территориальных органов ФНС России, Организаций, трудовым, технологическим, информационным и иным ресурсам (далее - внутренний контекст), а также требованиям нормативных правовых актов и иных документов Правительства Российской Федерации, Минфина России, условиям взаимодействия с органами государственной власти в рамках осуществления функций и предоставления государственных услуг, информационного взаимодействия (далее - внешний контекст) (принцип адаптивности);
3.1.3. определение ответственности должностных лиц ЦА ФНС России, ТНО и Организаций за организацию и осуществление мероприятий по управлению рисками и инцидентами с учетом возложенных функций по осуществлению внутреннего контроля или внутреннего финансового контроля в отношении ТП, а также возложенной ответственности владельца и (или) совладельца ТП, полномочий по управлению инцидентами (принцип ответственности);
3.1.4. определение мероприятий, направленных на предотвращение или минимизацию рисков, негативных последствий инцидентов, исходя из вероятности и размера негативных последствий рисков и инцидентов, с учетом соотношения затрат и выгод от реализации таких мероприятий, а также других факторов, определяющих целесообразность принятия указанных мероприятий (принцип целесообразности);
3.1.5. рассмотрение рисков и инцидентов с учетом взаимосвязей причин и условий, способствующих возникновению рисков и инцидентов, и возможных негативных последствий (принцип системного характера управления рисками и инцидентами).
4. Систематизация и учет сведений о рисках
4.1 Деятельность по управлению рисками предусматривает организацию системы учета информации о рисках, получаемой по результатам осуществления мероприятий по управлению рисками, путем составления и ведения документа по учету информации о рисках (далее - реестр рисков).
4.2. Систематизация информации о рисках в реестре рисков основана на Перечне технологических процессов ФНС России, утвержденном приказом ФНС России от 15.01.2015 N ММВ-7-12/6@ "Об утверждении Перечня технологических процессов ФНС России и их владельцев, а также порядка ведения Перечня технологических процессов ФНС России и Регламента разработки паспортов функций и ведения реестра паспортов функций".
Порядок ведения реестра рисков, включая порядок кодирования рисков, утверждается приказом ФНС России.
4.3. Реестр рисков содержит в том числе следующую информацию:
наименование и код ТП, с осуществлением деятельности по выполнению которых (которого) связан риск (далее также - ТП, связанные с риском);
единица организационной структуры ФНС России (например, ЦА ФНС России; управление ФНС России по субъекту Российской Федерации, инспекция Федеральной налоговой службы по району, району в городе, городу без районного деления, инспекция Федеральной налоговой службы межрайонного уровня; межрегиональная инспекция ФНС России по крупнейшим налогоплательщикам; межрегиональная инспекция ФНС России по централизованной обработке данных; межрегиональная инспекция ФНС России по федеральному округу; межрегиональная инспекция ФНС России по ценообразованию для целей налогообложения; межрегиональная инспекция ФНС России по камеральному контролю) или Организация, а также их структурные подразделения, участвующие в выполнении ТП, связанных с риском;
наименование и код риска, присвоенный в соответствии с порядком кодирования, утвержденным приказом ФНС России;
наименование СП ЦА ФНС России, начальник которого является владельцем ТП, связанного с риском (далее - владелец риска);
информация о рисках, получаемая в ходе осуществления управления рисками.
5. Этапы управления рисками
5.1. В целях организации наполнения реестра рисков процесс управления рисками состоит из следующих этапов.
5.1.1. Анализ внутреннего и внешнего контекста.
Данный этап управления рисками включает проведение анализа изменений внутреннего и внешнего контекстов, оказывающих влияние на причины возникновения риска, вероятность риска и величину негативных последствий его реализации, а также эффективность реализации мероприятий по предотвращению и (или) минимизации рисков.
Анализ внутреннего и внешнего контекста осуществляется в рамках внутреннего контроля, внутреннего финансового контроля, внутреннего аудита, внутреннего финансового аудита с целью анализа необходимости корректировки организации внутреннего контроля и (или) внутреннего финансового контроля и подготовки предложений по мероприятиям по предотвращению и (или) минимизации рисков.
5.1.2. Идентификация рисков.
Данный этап управления рисками включает определение рисков, негативных последствий их реализации, а также причин их возникновения.
Идентификация рисков осуществляется в ходе выполнения ТП, в том числе в рамках ТП, связанных с рассмотрением жалоб на действия/бездействие должностных лиц налоговых органов, обращений граждан, запросов СМИ, мониторинга СМИ, осуществления внутреннего контроля, внутреннего финансового контроля, внутреннего аудита, внутреннего финансового аудита, а также в ходе анализа результатов контрольных и иных мероприятий, проведенных органами государственного финансового контроля, органами Прокуратуры Российской Федерации, Федеральной антимонопольной службой, Федеральным агентством по управлению государственным имуществом и их территориальными органами, а также иными уполномоченными органами государственной власти.
5.1.3. Анализ и оценка риска.
Данный этап управления рисками включает:
рассмотрение причин возникновения риска с целью установления взаимосвязей с иными рисками, включенными в реестр рисков, а также взаимосвязей с внешним и внутренним контекстами;
количественный расчет вероятности риска и (или) величины негативных последствий его реализации (при возможности осуществления расчета) и их сопоставление с диапазонами значений для проведения оценки вероятности и (или) величины негативных последствий реализации рисков (высокий, средний, низкий), установленными в реестре рисков.
Анализ и оценка рисков осуществляются в ходе внутреннего контроля и внутреннего финансового контроля уполномоченными должностными лицами, в том числе владельцами рисков, в целях выработки предложений по мероприятиям, направленным на предотвращение и (или) минимизацию рисков. В ходе внутреннего аудита и внутреннего финансового аудита анализ и оценка рисков осуществляются при планировании и проведении аудиторских мероприятий, а также при проведении оценки надежности системы внутреннего контроля, внутреннего финансового контроля и подготовки предложений по мероприятиям по предотвращению и (или) минимизации рисков.
5.1.4. Воздействие на риски.
Данный этап управления рисками включает выбор и реализацию комплекса мероприятий по предотвращению и (или) минимизации рисков с учетом результатов анализа и оценки рисков, а также с учетом соотношения затрат и выгод от реализации таких мероприятий.
Воздействие на риски осуществляется владельцами рисков, иными должностными лицами ФНС России, ее территориальных органов и Организаций, уполномоченными на организацию и осуществление внутреннего контроля и (или) внутреннего финансового контроля.
Воздействие на риски может осуществляться следующими способами:
а) избежание риска. Применяется при наличии возможности полного устранения причин риска за счет внесения в порядок выполнения ТП (или отдельных его операций) изменений, связанных с риском.
б) снижение риска. Данный способ заключается в реализации мер, направленных на снижение вероятности риска и (или) величины негативных последствий реализации риска.
в) передача рисков. Данный способ заключается в реализации мер, предусматривающих передачу риска (полностью или частично) иному лицу.
г) принятие риска. Применяется в случае отсутствия возможности реализации мероприятий по предотвращению и (или) минимизации риска, а также в случае экономической нецелесообразности таких мероприятий в сравнении с предполагаемой величиной негативных последствий реализации риска.
При принятии решения о выборе способа воздействия на риски и мероприятий по предотвращению и (или) минимизации риска необходимо учитывать имеющиеся взаимосвязи с иными рисками, включенными в реестр рисков, с внешним и внутренним контекстами, а также оценивать возможность возникновения новых и (или) модификации имеющихся рисков вследствие реализации таких мероприятий.
В целях обеспечения результативности управления рисками комплекс мероприятий по предотвращению и (или) минимизации рисков должен включать мероприятия по контролю за его практической реализацией.
5.1.5. Мониторинг и пересмотр.
Данный этап осуществляется владельцами рисков, иными должностными лицами ФНС России, ее территориальных органов и Организаций, уполномоченными на организацию и осуществление внутреннего контроля и (или) внутреннего финансового контроля, в целях:
определения вероятности и (или) величины негативных последствий реализации риска по результатам реализации мероприятий по его пресечению и (или) минимизации;
формирования выводов об эффективности и результативности организации управления рисками, в том числе мероприятий по предотвращению и (или) минимизации рисков, о необходимости уточнения показателей расчета вероятности и (или) величины негативных последствий реализации рисков и диапазонов их значений для проведения оценки вероятности и (или) величины негативных последствий реализации рисков;
подготовки предложений по совершенствованию организации управления рисками;
идентификации новых рисков.
6. Организация и этапы управления инцидентами
6.1. В целях организации управления инцидентами определяются структурные подразделения, участвующие в выполнении этапов управления инцидентами, которые утверждаются:
в ФНС России - руководителем ФНС России;
в территориальном органе ФНС России - руководителем (начальником) территориального органа ФНС России;
в Организации - генеральным директором Организации.
6.2. В целях осуществления управления инцидентами осуществляются мероприятия по разработке соответствующих организационно-распорядительных документов, наделения сотрудников полномочиями по выполнению процедур реагирования на инциденты, создание и ввод в эксплуатацию автоматизированных систем учета и реагирования на инциденты.
6.3. Управление инцидентами осуществляется в том числе с использованием автоматизированных информационных систем (далее - АИС) и включает в себя следующие этапы.
6.3.1. Обнаружение инцидентов.
Данный этап включает в себя осуществление мониторинга источников событий, анализ этих событий на наличие признаков инцидента, учет инцидента, который включает в себя.
создание записи об инциденте в применяемой АИС, включая определение классификационных признаков и уровня приоритетности с учетом утвержденных приказом ФНС России подходов к классификации инцидентов и их приоритизации.
6.3.2. Обработка и реагирование на инцидент.
Данный этап включает в себя:
выбор и осуществление мер реагирования на инцидент при наличии рекомендованных действий для данного инцидента;
определение ответственных должностных лиц ФНС России, ТНО и (или) Организации, в компетенцию которых входит осуществление мер реагирования на инцидент, и их информирование об инциденте.
6.3.3. Расследование и анализ.
Данный этап включает в себя определение:
причин возникновения инцидента;
последствий и области охвата инцидента, включая установление взаимосвязей с рисками и иными инцидентами, разработку мер реагирования при отсутствии рекомендованных действий.
6.3.4. Контроль за реализацией мер реагирования и закрытие инцидента.
Данный этап осуществляется должностными лицами, уполномоченными на управление инцидентами, и подразумевает осуществление мониторинга выполнения действий по реагированию на инцидент, оценки их эффективности, закрытия инцидента.
6.3.5. Подготовка предложений по совершенствованию технологических процессов.
Данный этап осуществляется на основе определенных причин возникновения инцидентов и включает в себя перечень мер по совершенствованию технологических процессов, направленных на недопущение повторного возникновения инцидента.