МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 21 декабря 2020 г. N ЕД-7-16/930@
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПРИКАЗ ФНС РОССИИ
ОТ 20.03.2017 N ММВ-7-16/225@
В целях повышения эффективности деятельности ФНС России, территориальных органов и организаций, находящихся в ведении ФНС России, по выполнению технологических процессов ФНС России приказываю:
1. Внести в приказ ФНС России от 20.03.2017 N ММВ-7-16/225@ "Об утверждении Основных положений об управлении рисками в деятельности ФНС России" (далее - Приказ) следующие изменения:
1.1. Наименование и пункт 1 Приказа после слов "управлении рисками" дополнить словами "и инцидентами";
1.2. Приложение к Приказу изложить в редакции согласно приложению к настоящему приказу.
2. Контроль за исполнением настоящего приказа оставляю за собой.
Руководитель Федеральной
налоговой службы
Д.В.ЕГОРОВ
Утверждены
приказом ФНС России
от 21 декабря 2020 г. N ЕД-7-16/930@
ОСНОВНЫЕ ПОЛОЖЕНИЯ
ОБ УПРАВЛЕНИИ РИСКАМИ И ИНЦИДЕНТАМИ В ДЕЯТЕЛЬНОСТИ
ФНС РОССИИ
1. Общие положения
1.1. Основные положения об управлении рисками и инцидентами в деятельности ФНС России (далее - Положения) разработаны в целях повышения эффективности управления:
возможными событиями, негативно влияющими на результаты выполнения технологических процессов ФНС России, утвержденных приказом ФНС России от 15.01.2015 N ММВ-7-12/6@ "Об утверждении Перечня технологических процессов ФНС России и их владельцев, а также порядка ведения Перечня технологических процессов ФНС России и Регламента разработки паспортов функций и ведения реестра паспортов функций" (с учетом изменений) (далее - ТП), в том числе на операции ТП, а также на достижение целевых показателей деятельности ФНС России, установленных нормативными правовыми и иными актами Минфина России, ФНС России (далее - риск, риски);
непредвиденными и нежелательными событиями, которые оказали или могут оказать негативное влияние на деятельность налоговых органов, в том числе привести к нарушению выполнения технологических процессов ФНС России (далее - инцидент, инциденты).
Управление рисками проектов, реализуемых в ФНС России, осуществляется в соответствии с приказом ФНС России от 06.04.2016 N ММВ-7-12/180@ "Об утверждении Положения по управлению проектами в ФНС России" (в редакции приказа ФНС России от 01.03.2017 N ММВ-7-12/204@).
1.2. Управление рисками осуществляется должностными лицами ФНС России и ее территориальных органов в рамках внутреннего контроля и внутреннего финансового контроля в соответствии с приказом ФНС России от 14.03.2016 N ММВ-7-16/132@ "Об утверждении Основных положений об осуществлении внутреннего контроля деятельности по технологическим процессам ФНС России", внутреннего аудита в соответствии с приказом ФНС России от 24.01.2020 N ЕД-7-16/44@ "Об утверждении Порядка осуществления Федеральной налоговой службой внутреннего аудита", внутреннего финансового аудита в соответствии с федеральными стандартами внутреннего финансового аудита, установленными Минфином России, и разработанными и утвержденными в соответствии с ними внутренними актами.
Управление инцидентами осуществляется уполномоченными должностными лицами ФНС России и ее территориальных органов в соответствии с пунктом 6.1 настоящих Положений.
1.3. Управление рисками осуществляется в целях:
обеспечения соблюдения ФНС России и ее территориальными органами, организациями, находящимися в ведении ФНС России (далее - Организации), требований законодательства Российской Федерации и иных нормативных правовых актов Российской Федерации, а также организационно-распорядительных документов и писем ФНС России при выполнении ТП;
обеспечения эффективности и результативности деятельности налоговых органов и Организаций по выполнению ТП;
обеспечения полноты и достоверности данных, содержащихся в информационных ресурсах, показателей бюджетной отчетности (сводной бюджетной отчетности), а также иной отчетности ФНС России и ее территориальных органов, Организаций;
обеспечения достижения целевых показателей результатов деятельности и выполнения мероприятий, установленных для ФНС России и ее территориальных органов, а также Организаций нормативными правовыми актами и иными документами Правительства Российской Федерации, Министерства финансов Российской Федерации, ФНС России, повышения качества финансового менеджмента.
1.4. Управление инцидентами осуществляется в целях:
оперативного предотвращения или минимизации негативных последствий инцидентов на деятельность ФНС России и ее территориальных органов;
недопущение (снижение угрозы) возникновения инцидентов;
обеспечение фиксирования и идентификации всех инцидентов.
2. Задачи управления рисками и инцидентами
2.1. Задачами управления рисками являются:
обеспечение идентификации существующих рисков;
определение причин и условий, способствующих возникновению рисков;
организация взаимодействия по управлению рисками между структурными подразделениями центрального аппарата ФНС России (далее - СП ЦА ФНС России, ЦА ФНС России), территориальными налоговыми органами (далее - ТНО) и их структурными подразделениями, Организациями и их структурными подразделениями;
разработка и реализация комплекса мероприятий, направленных на предотвращение и (или) минимизацию рисков (включая предложения по внесению изменений в порядок выполнения ТП, предложения по контрольным действиям и периодичности их осуществления, способам и методам внутреннего контроля и внутреннего финансового контроля);
организация и осуществление контроля за практической реализацией мероприятий по предотвращению и (или) минимизации рисков;
разработка подходов к оценке эффективности осуществляемых мероприятий по управлению рисками;
организация системы учета информации о рисках и мероприятий по их предотвращению и (или) минимизации, включающей процедуры сбора, хранения и обработки этой информации;
развитие культуры управления рисками в ФНС России и ее территориальных органах.
2.2. Задачами управления инцидентами являются:
обеспечение фиксирования и идентификации всех инцидентов;
обеспечение своевременного принятия мер реагирования на инциденты;
создание, развитие и поддержание функционирования управления инцидентами.
3. Принципы управления рисками и инцидентами
3.1. Управление рисками и инцидентами основано на следующих принципах:
3.1.1. своевременное и полное выявление рисков, связанных с выполнением ТП, и инцидентов, своевременное уведомление о рисках должностных лиц ЦА ФНС России, ТНО, Организаций, в функции которых входит участие в выполнении ТП, организация, координация и (или) методологическое сопровождение их выполнения, внутренний контроль или внутренний финансовый контроль в отношении ТП, а также своевременное уведомление об инцидентах должностных лиц ЦА ФНС России, ТНО, уполномоченных в области управления инцидентами (принцип своевременности и осведомленности);
3.1.2. соответствие подходов к организации управления рисками, инцидентами и осуществляемых мероприятий в рамках управления рисками, инцидентами организационной структуре, нормативным правовым актам и иным документам ФНС России, территориальных органов ФНС России, Организаций, трудовым, технологическим, информационным и иным ресурсам (далее - внутренний контекст), а также требованиям нормативных правовых актов и иных документов Правительства Российской Федерации, Минфина России, условиям взаимодействия с органами государственной власти в рамках осуществления функций и предоставления государственных услуг, информационного взаимодействия (далее - внешний контекст) (принцип адаптивности);
3.1.3. определение ответственности должностных лиц ЦА ФНС России, ТНО и Организаций за организацию и осуществление мероприятий по управлению рисками и инцидентами с учетом возложенных функций по осуществлению внутреннего контроля или внутреннего финансового контроля в отношении ТП, а также возложенной ответственности владельца и (или) совладельца ТП, полномочий по управлению инцидентами (принцип ответственности);
3.1.4. определение мероприятий, направленных на предотвращение или минимизацию рисков, негативных последствий инцидентов, исходя из вероятности и размера негативных последствий рисков и инцидентов, с учетом соотношения затрат и выгод от реализации таких мероприятий, а также других факторов, определяющих целесообразность принятия указанных мероприятий (принцип целесообразности);
3.1.5. рассмотрение рисков и инцидентов с учетом взаимосвязей причин и условий, способствующих возникновению рисков и инцидентов, и возможных негативных последствий (принцип системного характера управления рисками и инцидентами).
4. Систематизация и учет сведений о рисках
4.1 Деятельность по управлению рисками предусматривает организацию системы учета информации о рисках, получаемой по результатам осуществления мероприятий по управлению рисками, путем составления и ведения документа по учету информации о рисках (далее - реестр рисков).
4.2. Систематизация информации о рисках в реестре рисков основана на Перечне технологических процессов ФНС России, утвержденном приказом ФНС России от 15.01.2015 N ММВ-7-12/6@ "Об утверждении Перечня технологических процессов ФНС России и их владельцев, а также порядка ведения Перечня технологических процессов ФНС России и Регламента разработки паспортов функций и ведения реестра паспортов функций".
Порядок ведения реестра рисков, включая порядок кодирования рисков, утверждается приказом ФНС России.
4.3. Реестр рисков содержит в том числе следующую информацию:
наименование и код ТП, с осуществлением деятельности по выполнению которых (которого) связан риск (далее также - ТП, связанные с риском);
единица организационной структуры ФНС России (например, ЦА ФНС России; управление ФНС России по субъекту Российской Федерации, инспекция Федеральной налоговой службы по району, району в городе, городу без районного деления, инспекция Федеральной налоговой службы межрайонного уровня; межрегиональная инспекция ФНС России по крупнейшим налогоплательщикам; межрегиональная инспекция ФНС России по централизованной обработке данных; межрегиональная инспекция ФНС России по федеральному округу; межрегиональная инспекция ФНС России по ценообразованию для целей налогообложения; межрегиональная инспекция ФНС России по камеральному контролю) или Организация, а также их структурные подразделения, участвующие в выполнении ТП, связанных с риском;
наименование и код риска, присвоенный в соответствии с порядком кодирования, утвержденным приказом ФНС России;
наименование СП ЦА ФНС России, начальник которого является владельцем ТП, связанного с риском (далее - владелец риска);
информация о рисках, получаемая в ходе осуществления управления рисками.
5. Этапы управления рисками
5.1. В целях организации наполнения реестра рисков процесс управления рисками состоит из следующих этапов.
5.1.1. Анализ внутреннего и внешнего контекста.
Данный этап управления рисками включает проведение анализа изменений внутреннего и внешнего контекстов, оказывающих влияние на причины возникновения риска, вероятность риска и величину негативных последствий его реализации, а также эффективность реализации мероприятий по предотвращению и (или) минимизации рисков.
Анализ внутреннего и внешнего контекста осуществляется в рамках внутреннего контроля, внутреннего финансового контроля, внутреннего аудита, внутреннего финансового аудита с целью анализа необходимости корректировки организации внутреннего контроля и (или) внутреннего финансового контроля и подготовки предложений по мероприятиям по предотвращению и (или) минимизации рисков.
5.1.2. Идентификация рисков.
Данный этап управления рисками включает определение рисков, негативных последствий их реализации, а также причин их возникновения.
Идентификация рисков осуществляется в ходе выполнения ТП, в том числе в рамках ТП, связанных с рассмотрением жалоб на действия/бездействие должностных лиц налоговых органов, обращений граждан, запросов СМИ, мониторинга СМИ, осуществления внутреннего контроля, внутреннего финансового контроля, внутреннего аудита, внутреннего финансового аудита, а также в ходе анализа результатов контрольных и иных мероприятий, проведенных органами государственного финансового контроля, органами Прокуратуры Российской Федерации, Федеральной антимонопольной службой, Федеральным агентством по управлению государственным имуществом и их территориальными органами, а также иными уполномоченными органами государственной власти.
5.1.3. Анализ и оценка риска.
Данный этап управления рисками включает:
рассмотрение причин возникновения риска с целью установления взаимосвязей с иными рисками, включенными в реестр рисков, а также взаимосвязей с внешним и внутренним контекстами;
количественный расчет вероятности риска и (или) величины негативных последствий его реализации (при возможности осуществления расчета) и их сопоставление с диапазонами значений для проведения оценки вероятности и (или) величины негативных последствий реализации рисков (высокий, средний, низкий), установленными в реестре рисков.
Анализ и оценка рисков осуществляются в ходе внутреннего контроля и внутреннего финансового контроля уполномоченными должностными лицами, в том числе владельцами рисков, в целях выработки предложений по мероприятиям, направленным на предотвращение и (или) минимизацию рисков. В ходе внутреннего аудита и внутреннего финансового аудита анализ и оценка рисков осуществляются при планировании и проведении аудиторских мероприятий, а также при проведении оценки надежности системы внутреннего контроля, внутреннего финансового контроля и подготовки предложений по мероприятиям по предотвращению и (или) минимизации рисков.
5.1.4. Воздействие на риски.
Данный этап управления рисками включает выбор и реализацию комплекса мероприятий по предотвращению и (или) минимизации рисков с учетом результатов анализа и оценки рисков, а также с учетом соотношения затрат и выгод от реализации таких мероприятий.
Воздействие на риски осуществляется владельцами рисков, иными должностными лицами ФНС России, ее территориальных органов и Организаций, уполномоченными на организацию и осуществление внутреннего контроля и (или) внутреннего финансового контроля.
Воздействие на риски может осуществляться следующими способами:
а) избежание риска. Применяется при наличии возможности полного устранения причин риска за счет внесения в порядок выполнения ТП (или отдельных его операций) изменений, связанных с риском.
б) снижение риска. Данный способ заключается в реализации мер, направленных на снижение вероятности риска и (или) величины негативных последствий реализации риска.
в) передача рисков. Данный способ заключается в реализации мер, предусматривающих передачу риска (полностью или частично) иному лицу.
г) принятие риска. Применяется в случае отсутствия возможности реализации мероприятий по предотвращению и (или) минимизации риска, а также в случае экономической нецелесообразности таких мероприятий в сравнении с предполагаемой величиной негативных последствий реализации риска.
При принятии решения о выборе способа воздействия на риски и мероприятий по предотвращению и (или) минимизации риска необходимо учитывать имеющиеся взаимосвязи с иными рисками, включенными в реестр рисков, с внешним и внутренним контекстами, а также оценивать возможность возникновения новых и (или) модификации имеющихся рисков вследствие реализации таких мероприятий.
В целях обеспечения результативности управления рисками комплекс мероприятий по предотвращению и (или) минимизации рисков должен включать мероприятия по контролю за его практической реализацией.
5.1.5. Мониторинг и пересмотр.
Данный этап осуществляется владельцами рисков, иными должностными лицами ФНС России, ее территориальных органов и Организаций, уполномоченными на организацию и осуществление внутреннего контроля и (или) внутреннего финансового контроля, в целях:
определения вероятности и (или) величины негативных последствий реализации риска по результатам реализации мероприятий по его пресечению и (или) минимизации;
формирования выводов об эффективности и результативности организации управления рисками, в том числе мероприятий по предотвращению и (или) минимизации рисков, о необходимости уточнения показателей расчета вероятности и (или) величины негативных последствий реализации рисков и диапазонов их значений для проведения оценки вероятности и (или) величины негативных последствий реализации рисков;
подготовки предложений по совершенствованию организации управления рисками;
идентификации новых рисков.
6. Организация и этапы управления инцидентами
6.1. В целях организации управления инцидентами определяются структурные подразделения, участвующие в выполнении этапов управления инцидентами, которые утверждаются:
в ФНС России - руководителем ФНС России;
в территориальном органе ФНС России - руководителем (начальником) территориального органа ФНС России;
в Организации - генеральным директором Организации.
6.2. В целях осуществления управления инцидентами осуществляются мероприятия по разработке соответствующих организационно-распорядительных документов, наделения сотрудников полномочиями по выполнению процедур реагирования на инциденты, создание и ввод в эксплуатацию автоматизированных систем учета и реагирования на инциденты.
6.3. Управление инцидентами осуществляется в том числе с использованием автоматизированных информационных систем (далее - АИС) и включает в себя следующие этапы.
6.3.1. Обнаружение инцидентов.
Данный этап включает в себя осуществление мониторинга источников событий, анализ этих событий на наличие признаков инцидента, учет инцидента, который включает в себя.
создание записи об инциденте в применяемой АИС, включая определение классификационных признаков и уровня приоритетности с учетом утвержденных приказом ФНС России подходов к классификации инцидентов и их приоритизации.
6.3.2. Обработка и реагирование на инцидент.
Данный этап включает в себя:
выбор и осуществление мер реагирования на инцидент при наличии рекомендованных действий для данного инцидента;
определение ответственных должностных лиц ФНС России, ТНО и (или) Организации, в компетенцию которых входит осуществление мер реагирования на инцидент, и их информирование об инциденте.
6.3.3. Расследование и анализ.
Данный этап включает в себя определение:
причин возникновения инцидента;
последствий и области охвата инцидента, включая установление взаимосвязей с рисками и иными инцидентами, разработку мер реагирования при отсутствии рекомендованных действий.
6.3.4. Контроль за реализацией мер реагирования и закрытие инцидента.
Данный этап осуществляется должностными лицами, уполномоченными на управление инцидентами, и подразумевает осуществление мониторинга выполнения действий по реагированию на инцидент, оценки их эффективности, закрытия инцидента.
6.3.5. Подготовка предложений по совершенствованию технологических процессов.
Данный этап осуществляется на основе определенных причин возникновения инцидентов и включает в себя перечень мер по совершенствованию технологических процессов, направленных на недопущение повторного возникновения инцидента.
