Про затвердження Порядку проведення Державною аудиторською службою, її міжрегіональними територіальними органами державного фінансового аудиту використання інформаційних технологій

Кабінет Міністрів України постановляє:

1. Затвердити Порядок проведення Державною аудиторською службою, її міжрегіональними територіальними органами державного фінансового аудиту використання інформаційних технологій, що додається.

2. Внести до постанов Кабінету Міністрів України зміни, що додаються.

ПОРЯДОК
проведення Державною аудиторською службою, її міжрегіональними територіальними органами державного фінансового аудиту використання інформаційних технологій

1. Цей Порядок визначає механізм проведення Держаудитслужбою, її міжрегіональними територіальними органами (далі - органи Держаудитслужби) державного фінансового аудиту використання інформаційних технологій.

2. Державний фінансовий аудит використання інформаційних технологій (далі - аудит) - вид державного фінансового аудиту, спрямований на проведення перевірки (дослідження) та аналізу (оцінки) законності та ефективності використання публічних коштів та інших активів розпорядниками бюджетних коштів, державними цільовими фондами, фондами загальнообов’язкового державного соціального страхування, суб’єктами господарювання державної та комунальної власності для впровадження та використання інформаційних технологій, досягнення визначених цілей та завдань під час керівництва і управління середовищем інформаційних технологій об’єкта аудиту.

3. Терміни, що вживаються у цьому Порядку, мають таке значення:

1) аудиторські процедури - комплекс дій державного аудитора (аудиторська вибірка, методи і способи формування та дослідження гіпотез аудиту (суджень державного аудитора щодо причин виникнення та наявності проблем, недоліків, упущень, порушень, ризиків), спрямованих на отримання аудиторських доказів (документів, інформації) під час аудиту;

2) державний аудитор - посадова особа органу Держаудитслужби, яка наділена повноваженнями з проведення аудиту та користується правами, визначеними статтею 10 Закону України “Про основні засади здійснення державного фінансового контролю в Україні”;

3) об’єкт аудиту - розпорядник бюджетних коштів та/або державний цільовий фонд, та/або фонд загальнообов’язкового державного соціального страхування, та/або суб’єкт господарювання державної або комунальної власності;

4) учасник аудиту - юридичні особи (резиденти чи нерезиденти) незалежно від їх організаційно-правової форми та форми власності, фізичні особи-підприємці, які беруть (брали) прямо або опосередковано участь у розробці, впровадженні, функціонуванні, фінансуванні інформаційних технологій (систем, процесів, ресурсів) об’єкта аудиту, володіють інформацією стосовно процесів, процедур, заходів, проектів, систем, матеріальних об’єктів, що здійснюють збір, збереження, обробку, передачу, поширення, використання інформації, відповідно до встановлених ними цілей та завдань та/або є розпорядниками такої інформації;

5) середовище інформаційних технологій - сукупність стратегічних, управлінських та операційних видів діяльності, пов’язаних із збором, обробкою, збереженням, розповсюдженням та використанням інформації і технологій, зокрема апаратного, програмного забезпечення та інших технічних засобів.

Інші терміни у цьому Порядку вживаються у значенні, наведеному в Бюджетному кодексі України, Законах України “Про основні засади здійснення державного фінансового контролю в Україні”, “Про авторське право і суміжні права”, “Про Національну програму інформатизації”, “Про інформацію”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про відкритість використання публічних коштів”.

4. Основними завданнями аудиту є:

1) проведення перевірки (дослідження) та аналізу (оцінки):

досягнення визначених цілей та завдань під час керівництва і управління середовищем інформаційних технологій об’єкта аудиту, зокрема дотримання вимог законодавства, актів і рішень органів управління, збереження активів;

результативності та ефективності використання (впровадження) інформаційних технологій (систем, процесів, ресурсів), організації керівництва і управління ними, стану виконання заходів контролю, спрямованих на забезпечення надійності інформаційних технологій (систем, процесів), зокрема щодо конфіденційності, цілісності, доступності (безперервності), ідентифікацію загроз, запобігання та управління ризиками;

законності та ефективності використання публічних коштів та інших активів для використання (впровадження) інформаційних технологій (систем, процесів, ресурсів);

правильності ведення бухгалтерського обліку, достовірності фінансової, бюджетної та іншої звітності об’єкта аудиту;

стану внутрішнього контролю об’єкта аудиту та стану внутрішнього аудиту, якщо об’єктом аудиту є розпорядник бюджетних коштів;

2) розроблення пропозицій та рекомендацій щодо усунення виявлених під час аудиту недоліків і порушень та запобігання їм у подальшому (далі - пропозиції та рекомендації).

5. Аудит проводиться такими етапами:

1) планування та організація аудиту (попереднє дослідження об’єкта аудиту, розроблення плану, складення та затвердження програми аудиту).

Програма аудиту складається керівником аудиту та подається на затвердження керівникові органу Держаудитслужби або його заступникові. Керівник аудиту подає програму аудиту для ознайомлення об’єкту аудиту одним із способів, визначених у пункті 14 цього Порядку;

2) проведення аудиторських процедур, формування та оформлення аудиторських доказів, підготовка аудиторських висновків, пропозицій і рекомендацій;

3) звітування за результатами аудиту, зокрема шляхом формування та узгодження проекту звіту про результати аудиту (далі - звіт), підписання протоколу узгодження, формування, підписання та подання звіту об’єкту аудиту;

4) проведення моніторингу виконання поданих за результатами аудиту пропозицій та рекомендацій і результатів їх впровадження.

Документування проведення аудиту може здійснюватися в паперовій формі.

{Пункт 6 виключено на підставі Постанови КМ № 795 від 09.09.2020}

7. Під час проведення аудиту з метою дослідження гіпотез аудиту та отримання аудиторських доказів може здійснюватися збір інформації (отримання від учасника аудиту необхідної інформації) такими способами:

за письмовим запитом органу Держаудитслужби;

державними аудиторами за місцезнаходженням учасника аудиту. Результати збору інформації (зокрема зустрічних звірок) у такий спосіб відображаються в довідці, яка підписується державним аудитором та керівником учасника аудиту або його заступником.

8. Аудит проводиться згідно із затвердженим у встановленому порядку планом проведення заходів державного фінансового контролю, що розміщується на офіційному веб-сайті Держаудитслужби.

Орієнтовний строк початку проведення органом Держаудитслужби аудиту зазначається в плані заходів державного фінансового контролю.

9. Загальний строк проведення першого і другого етапів аудиту становить не більше ніж 90 робочих днів.

Перший і другий етапи аудиту можуть проводитися за місцезнаходженням об’єкта аудиту та/або органу Держаудитслужби.

Строк проведення першого і другого етапів аудиту в межах загального строку може бути продовжено за рішенням керівника органу Держаудитслужби з одночасним внесенням в установленому порядку змін до плану проведення заходів державного фінансового контролю.

У разі продовження строку проведення аудиту за місцезнаходженням об’єкта аудиту державні аудитори зобов’язані пред’явити керівникові об’єкта аудиту або його заступникові направлення з відміткою про продовження строку його дії або надіслати його завірену копію на адресу об’єкта аудиту рекомендованим поштовим відправленням з повідомленням про вручення.

У разі зміни періоду та строку проведення аудиту після внесення в установленому порядку змін до плану проведення заходів державного фінансового контролю нове направлення не оформляється.

10. Для проведення аудиту та/або збору інформації за місцезнаходженням об’єкта аудиту та/або учасника аудиту на кожного державного аудитора за встановленими Мінфіном зразками оформляються у двох примірниках направлення, які підписуються керівником органу Держаудитслужби.

11. Державні аудитори надають керівникові об’єкта аудиту та/або учасника аудиту чи його заступникові направлення в день виходу для проведення аудиту та/або збору інформації за місцезнаходженням об’єкта аудиту.

12. Керівництво групою державних аудиторів здійснює керівник аудиту, який визначається із складу групи державних аудиторів.

Склад групи державних аудиторів, строки проведення аудиту визначаються органом Держаудитслужби відповідно до основних завдань аудиту.

13. У разі наявності обставин, що перешкоджають (унеможливлюють) проведенню аудиту (недопущення державних аудиторів до об’єкта аудиту або його інформаційно-комунікаційних систем, відсутність в об’єкта аудиту ведення бухгалтерського обліку, ненадання необхідних для перевірки (дослідження) документів, інформації, наявність інших об’єктивних і незалежних від органу Держаудитслужби причин) та/або збору інформації, державний аудитор в установленому порядку складає та підписує у двох примірниках акт про неможливість проведення аудиту (далі - акт) і долучає другий примірник акта до матеріалів аудиту.

14. Перший примірник акта подається об’єкту аудиту одним з таких способів:

особисто під підпис керівникові (заступникові) об’єкта аудиту;

через структурний підрозділ діловодства об’єкта аудиту з відміткою на другому примірнику акта про дату реєстрації вхідної кореспонденції об’єкта аудиту та підписом працівника структурного підрозділу діловодства, який здійснив реєстрацію;

рекомендованим поштовим відправленням з повідомленням про вручення;

в електронній формі в установленому законодавством порядку.

15. Під час проведення аудиту можуть залучатися на договірних засадах кваліфіковані фахівці відповідних органів виконавчої влади, підприємств, установ і організацій для проведення контрольних обмірів монтажних, ремонтних та інших робіт, інших перевірок.

16. Об’єкт аудиту під час проведення аудиту забезпечує державним аудиторам місце для роботи, створення умов для зберігання документів, можливість користування службовим зв’язком, комп’ютерною, розмножувальною та іншою технікою, а також доступ до інформаційно-комунікаційних систем з урахуванням вимог щодо забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та надання матеріалів, інформації, документів, необхідних для проведення аудиту.

17. Керівник аудиту формує проект звіту та подає його об’єкту аудиту для ознайомлення не пізніше ніж за один робочий день до завершення строку проведення аудиту, визначеного в направленні, зокрема з урахуванням продовження такого строку, одним із способів, передбачених пунктом 14 цього Порядку.

18. Керівник і визначені ним працівники об’єкта аудиту ознайомлюються з проектом звіту та готують (у разі потреби) обґрунтовані коментарі до нього у письмовій формі у строк, що не перевищує десяти робочих днів з дня надходження такого проекту звіту одним із способів, визначених у пункті 14 цього Порядку.

Об’єкт аудиту надає коментарі (у разі їх наявності) до органу Держаудитслужби у строк, визначений органом Держаудитслужби у супровідному листі до проекту звіту, з урахуванням строку ознайомлення з ним об’єкта аудиту.

19. Керівник і визначені ним працівники об’єкта аудиту разом з керівником аудиту та державними аудиторами обговорюють і узгоджують проект звіту у визначений органом Держаудитслужби у супровідному листі до такого проекту строк з урахуванням строку ознайомлення з ним об’єкта аудиту.

20. Під час обговорення та узгодження проекту звіту державні аудитори мають право отримувати від об’єкта аудиту додаткову інформацію, підтвердні документи та/або відповідні пояснення з метою уточнення викладених у коментарях до проекту звіту фактів.

21. За результатами обговорення та узгодження проекту звіту складається протокол узгодження звіту за формою згідно з додатком. Протокол узгодження оформлюється у двох примірниках для органу Держаудитслужби та об’єкта аудиту, кожен з яких підписується у день обговорення та узгодження проекту звіту керівником аудиту та керівником об’єкта аудиту.

22. У разі коли за результатами узгодження проекту звіту керівником аудиту не враховано коментарі об’єкта аудиту, протокол узгодження звіту підписується з проставленням відповідної позначки.

23. У разі відмови в письмовій формі керівника об’єкта аудиту від узгодження проекту звіту та/або підписання протоколу узгодження керівник аудиту складає акт про відмову підписувати звіт та робить відповідний запис у протоколі узгодження.

24. Керівник аудиту протягом трьох робочих днів з дня підписання протоколу узгодження звіту складає та підписує по одному примірнику звіту для органу Держаудитслужби та об’єкта аудиту.

Керівник аудиту візує всі примірники звіту із зазначенням на останній сторінці загальної кількості сторінок.

25. Керівник аудиту протягом трьох робочих днів з дня підписання протоколу узгодження подає одним із способів, передбачених пунктом 14 цього Порядку, об’єкту аудиту відповідний примірник звіту разом із супровідним листом, підписаним керівником органу Держаудитслужби, із зазначенням строку інформування про впровадження пропозицій та рекомендацій, поданих у звіті.

26. Пропозиції та рекомендації, що містяться у звіті, обов’язкові до розгляду об’єктом аудиту.

27. Об’єкт аудиту у строк, визначений у листі органу Держаудитслужби, зазначеному в пункті 25 цього Порядку, інформує орган Держаудитслужби про стан та результати розгляду пропозицій та рекомендацій, що містяться у звіті, заплановані та вжиті заходи, спосіб і результати впровадження пропозицій та рекомендацій.

28. Орган Держаудитслужби проводить моніторинг стану врахування і результатів впровадження зазначених у звіті пропозицій та рекомендацій.

29. Керівник Держаудитслужби інформує Міністра фінансів про результати аудиту та/або стан врахування і результати впровадження пропозицій та рекомендацій об’єктом аудиту і приймає рішення про таке інформування заінтересованих органів та громадськості.

30. Орган Держаудитслужби з метою інформування громадськості розміщує звіт на офіційному веб-сайті Держаудитслужби в установленому порядку.

ПРОТОКОЛ
узгодження звіту про результати державного фінансового аудиту використання інформаційних технологій

ЗМІНИ,
що вносяться до постанов Кабінету Міністрів України

1. У додатку 1 до постанови Кабінету Міністрів України від 5 квітня 2014 р. № 85 “Деякі питання затвердження граничної чисельності працівників апарату та територіальних органів центральних органів виконавчої влади, інших державних органів” (Офіційний вісник України, 2014 р., № 29, ст. 814; 2015 р., № 86, ст. 2882; 2018 р., № 89, ст. 2961) у позиції “Держаудитслужба” цифри “574” і “574” замінити відповідно цифрами “594” і “594”.

2. У Положенні про Державну аудиторську службу України, затвердженому постановою Кабінету Міністрів України від 3 лютого 2016 р. № 43 (Офіційний вісник України, 2016 р., № 12, ст. 506; 2018 р., № 74, ст. 2482):

1) підпункт 4 пункту 4 доповнити абзацом такого змісту:

“законним та ефективним використанням публічних коштів та інших активів для використання (впровадження) інформаційних технологій (систем, процесів, ресурсів);”;

2) підпункт 2 пункту 6 після слів “отримувати безоплатно” доповнити словами “(зокрема шляхом тимчасового доступу до інформаційно-телекомунікаційних систем підконтрольних установ з урахуванням вимог до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом)”.