Приложение
к приказу ФНС России
от 25.05.2021 N ЕД-7-23/518@
Требования к организации системы внутреннего контроля
I. Общие положения
1.1. Настоящие Требования к организации системы внутреннего контроля за совершаемыми фактами хозяйственной жизни и правильностью исчисления (удержания), полнотой и своевременностью уплаты (перечисления) налогов, сборов, страховых взносов (далее - система внутреннего контроля) разработаны в соответствии с пунктом 7 статьи 105.26 Налогового кодекса Российской Федерации (далее - Кодекс).
II. Организация системы внутреннего контроля
2.1. Система внутреннего контроля должна обеспечивать:
упорядоченное и эффективное ведение финансово-хозяйственной деятельности организации, в том числе достижение финансовых и операционных показателей, сохранность активов;
правильность исчисления (удержания), полноту и своевременность уплаты (перечисления) налогов, сборов, страховых взносов;
выявление, оценку, минимизацию и (или) устранение рисков неправильного исчисления (удержания), неполной и (или) несвоевременной уплаты (перечисления) налогов, сборов, страховых взносов;
достоверность, полноту и своевременность отражения результатов финансово-хозяйственной деятельности в бухгалтерской (финансовой), налоговой и иной отчетности, а также учета таких результатов при исчислении (удержании) налогов, сборов, страховых взносов, полноты и своевременности их уплаты (перечисления);
соблюдение законодательства Российской Федерации, в том числе при совершении фактов хозяйственной жизни по совершенной или планируемой сделке (операции) или совокупности взаимосвязанных сделок (операций), а также по иным совершенным фактам хозяйственной жизни организации;
мониторинг результатов выполняемых контрольных процедур, направленных на своевременное выявление, исправление и предотвращение ошибок (искажений) в бухгалтерской (финансовой), налоговой и иной отчетности.
2.2. Система внутреннего контроля должна отвечать специфике финансово-хозяйственной деятельности организации, функционировать на постоянной основе.
2.3. Система внутреннего контроля должна функционировать на всех уровнях контроля осуществления бизнес-процесса (операции), в том числе:
до фактического начала бизнес-процесса (операции) с целью предупреждения или минимизации негативного воздействия событий и факторов, которые могут повлиять на достижение целей организации;
непосредственно в ходе осуществления бизнес-процесса (операции) с целью своевременного выявления и немедленного устранения возникающих в ходе работы нарушений и отклонений от заданных параметров;
после осуществления бизнес-процесса (операции) с целью установления достоверности отчетных данных и оценки соответствия результатов целевым (плановым) показателям.
III. Контрольная среда
3.1. Контрольная среда должна быть сформирована на основе принципов и стандартов, направленных на установление и поддержание руководством и сотрудниками организации системы внутреннего контроля.
3.2. В организации должны быть утверждены и доведены до сведения каждого сотрудника профессиональные, этические и поведенческие стандарты.
3.3. В организации должны быть утверждены стандарты (правила) найма, мотивации, оценки, продвижения, увольнения сотрудников, а также требования к профессиональным знаниям и навыкам сотрудников.
3.4. В организации должно быть установлено разделение ответственности и полномочий сотрудников, обеспечивающих функционирование, мониторинг, оценку организации и совершенствование системы внутреннего контроля.
IV. Система управления рисками
4.1. Система управления рисками должна быть разработана для обеспечения организации и функционирования системы внутреннего контроля.
4.2. Система управления рисками организации должна своевременно предотвращать и минимизировать негативные последствия недостижения организацией целей упорядоченного и эффективного ведения финансово-хозяйственной деятельности (в том числе достижения финансовых и операционных показателей, сохранности активов).
4.3. Система управления рисками должна функционировать на постоянной основе и соответствовать целям, задачам и стратегии организации.
4.4. Система управления рисками должна быть регламентирована организационно-распорядительными документами организации.
4.5. Система управления рисками должна обеспечивать выполнение последовательности действий, направленных на предотвращение или минимизацию возможного ущерба за счет воздействий на причины и последствия возникновения рисков, в том числе:
планирование рисков;
выявление рисков;
оценка рисков;
минимизация (устранение) рисков;
мониторинг рисков;
аудит рисков;
определение границ приемлемости рисков;
раскрытие информации о выявленных рисках;
принятие решений о способе управления риском на основе оценки достаточности имеющихся в распоряжении организации контрольных процедур для покрытия рисков.
4.6. Выявление и оценка рисков должны осуществляется на основе всестороннего анализа и оценки последствий внутренних и внешних факторов и условий финансово-хозяйственной деятельности организации.
4.7. Система управления рисками должна обеспечивать выявление и оценку наличия или вероятности возникновения обстоятельств, которые могут привести к искажению информации в бухгалтерской (финансовой), налоговой и иной отчетности, неправильному исчислению (удержанию), неуплате (неперечислению) налогов, сборов, страховых взносов и несвоевременному представлению (непредставлению) отчетности в налоговый орган.
V. Выявление рисков
5.1. Выявление рисков должно быть составной частью системы управления рисками и системы внутреннего контроля. Выявление рисков должно осуществляться на основе принципов комплексности, последовательности, непрерывности и оптимальности.
5.2. Выявление рисков должно быть направлено на идентификацию событий, ситуаций, обстоятельств, которые могут оказать влияние на достижение организацией целей деятельности, а также анализ причин и источников возникновения рисков.
5.3. Выявление рисков должно осуществляться исходя из допущения о том, что налоговый орган обладает в полном объеме всей информацией, которая имеется в распоряжении организации на момент выявления рисков.
5.4. Выявление рисков должно обеспечивать определение совокупности ключевых индикаторов риска, отклонение от которых (невыполнение которых) свидетельствует о наличии у организации потенциальных событий, способных влиять на достижение целей деятельности.
5.5. Выявление рисков должно обеспечивать составление перечня источников риска, который определяет потенциальные зоны риска.
5.6. Выявление рисков должно осуществляться в отношении всех операций, в том числе операций, требующих применения профессионального суждения при отсутствии точных способов и методов расчета оценочных значений, методов признания доходов, расходов или требующих допущений о влиянии будущих неопределенных событий.
5.7. Выявление рисков должно осуществляться по однотипным операциям и по операциям, нетипичным по характеру, объему или частоте их осуществления.
5.8. Выявление рисков должно обеспечивать возможность проверки наличия фактов, свидетельствующих об уклонении от уплаты (перечисления) налогов, сборов, страховых взносов.
5.9. Выявление рисков должно обеспечивать оценку характера, вероятности возникновения и величины потенциального искажения бухгалтерской (финансовой), налоговой и иной отчетности.
5.10. Оценка характера риска должна основываться на следующих факторах:
связь риска с макроэкономическими изменениями, изменениями социально-экономической ситуации;
связь риска с требованиями по ведению бухгалтерского и налогового учета и подготовке отчетности;
сложность осуществления хозяйственной операции, в том числе необходимость проведения сложных расчетов и соблюдения учетных принципов;
степень ручного вмешательства в процесс учета хозяйственной операции;
степень субъективности при расчете оценочных показателей, содержащихся в бухгалтерской (финансовой), налоговой и иной отчетности;
связь риска с недобросовестными действиями.
5.11. Выявление источников рисков должно осуществляться на основе анализа условий осуществления финансово-хозяйственной деятельности организации.
5.12. При анализе условий осуществления финансово-хозяйственной деятельности организации должны учитываться:
цели и стратегические планы организации;
отраслевые факторы (сезонность, цикличность, достаточность ресурсов, конкурентная среда, политика государства и прочие);
требования нормативных правовых актов и особенности учетной политики организации;
характер финансово-хозяйственной деятельности организации, в том числе особенности ее организационной структуры, сегментация деятельности, степень однородности осуществляемых хозяйственных операций, характер и сложность информационных систем.
5.13. Способы и методы выявления риска, применяемые для формирования полной и достоверной информации о рисках, вероятности и последствий их наступления, должны быть определены организацией самостоятельно.
VI. Оценка рисков
6.1. Оценка рисков должна быть составной частью системы управления рисками и обеспечивать определение вероятности возникновения, а также оценку последствий выявленных рисков.
6.2. Вероятность наступления риска должна определяться с учетом следующих факторов:
источники риска;
частота наступления аналогичного события в прошлом;
экономические условия осуществления финансово-хозяйственной деятельности организации.
6.3. Оценка последствий выявленных рисков должна обеспечивать возможность определения уровня влияния риска на достижение организацией целей своей деятельности. В целях настоящих Требований организация должна проводить оценку существенности искажения показателей бухгалтерской (финансовой), налоговой и иной отчетности как вероятное следствие выявленного риска.
6.4. Оценка существенности искажения показателей бухгалтерской (финансовой), налоговой и иной отчетности должна проводиться организацией самостоятельно на основе одного из следующих критериев:
доля от суммы налога (сбора, страховых взносов), исчисленного организацией к уплате (перечислению);
доля от величины налоговой базы по налогу (базы для исчисления сбора, страховых взносов);
доля от величины показателя налоговой декларации (расчета), существенно влияющей на расчет налоговой базы (например, величина доходов от реализации), базы для исчисления сбора, страховых взносов.
6.5. Оценка риска должна проводиться организацией при помощи методов математической статистики и (или) на основе профессионального суждения. Выбор метода должен производиться организацией самостоятельно.
6.6. Оценка каждого выявленного риска должна проводиться с целью определения его уровня.
6.7. Определение уровня риска должно проводиться на основе оценки вероятности и последствий наступления риска.
6.8. Уровень риска должен позволять оценить границу приемлемости риска.
6.9. Граница приемлемости должна быть определена как на уровне организации в целом, так и на уровне отдельных сегментов, направлений финансово-хозяйственной деятельности, структурных подразделений, групп операций.
6.10. Сравнение уровня выявленного риска с границей приемлемости должно обеспечивать возможность управления существенными рисками организации.
VII. Раскрытие информации о рисках
7.1. Раскрытие информации о рисках должно обеспечивать заинтересованных лиц полной информацией о выявленных рисках.
7.2. Информация о рисках должна содержать описание совокупности сведений об источнике возникновения риска, критериях риска, наличии мер по предотвращению или минимизации риска.
7.3. Раскрытие информации о рисках должно исключать возможность двойного толкования информации о выявленных рисках.
7.4. Раскрытие информации о рисках должно быть структурировано. Информация о каждом выявленном риске должна быть раскрыта отдельно.
7.5. Раскрытие информации о рисках должно осуществляться на основе принципа существенности. Уровень существенности риска устанавливается организацией в организационно-распорядительных документах организации.
7.6. Раскрытие информации о рисках должно содержать информацию о рисках, выявляемых по каждой уникальной и специфической операции, а также по операциям, осуществление которых планируется впервые в период проведения налогового мониторинга.
7.7. Раскрытие информации о рисках должно осуществляться по направлениям выявления рисков в соответствии с приложением N 20 "Перечень направлений выявления риска" к настоящим Требованиям и областям риска в соответствии с приложением N 21 "Перечень областей риска" к настоящим Требованиям.
VIII. Представление информации о рисках
8.1. Информация о рисках отражается в приложении N 1 "Риски организации, идентифицируемые в целях налогового мониторинга" к настоящим Требованиям.
8.2. При раскрытии информации о рисках должно быть указано:
в графе 1 - порядковый номер записи о риске организации;
в графе 2 - код направления выявления риска в соответствии с приложением N 20 "Перечень направлений выявления риска" к настоящим Требованиям;
в графе 3 - код соответствующей области риска в соответствии с приложением N 21 к настоящим Требованиям;
в графе 4 - код или уникальный идентификатор риска, который присваивается организацией каждому риску самостоятельно и позволяет однозначно идентифицировать риск;
в графе 5 - наименование риска организации;
в графе 6 - описание риска организации;
в графе 7 - категория риска; заполняется с указанием следующего кода:
код "1" - общие риски - относятся риски, связанные с осуществлением организацией финансово-хозяйственной деятельности и присущие всем видам экономической деятельности;
код "2" - отраслевые риски - относятся риски, которым подвержен тот или иной вид экономической деятельности;
в графе 8 - код вида экономической деятельности заполняется в соответствии с Общероссийским классификатором видов экономической деятельности ОК 029-2014 (КДЕС Ред. 2), утвержденным приказом Госстандарта от 31.01.2014 N 14-ст. Каждому отраслевому риску должен соответствовать один код ОКВЭД фактически осуществляемого налогоплательщиком вида деятельности.
в графе 9 - сокращенное наименование налога (сбора, страховых взносов) в отношении которого идентифицируется риск, в соответствии с приложением N 22 "Перечень налогов, сборов, страховых взносов" к настоящим Требованиям;
в графах 10 - 13 - норма Кодекса (абзац, подпункт, пункт, статья), обязательно для указания в отношении рисков, раскрываемых в соответствии с разделом I приложения N 20 "Перечень направлений выявления риска" к настоящим Требованиям;
в графе 14 - вероятность возникновения риска заполняется с присвоением кода соответствующего интервального значения:
"01" - очень низкая - 0-15%,
"02" - низкая - 15,1-40%,
"03" - средняя - 40,1-60%,
"04" - высокая - 60,1-85%,
"05" - очень высокая - 85,1-100%.
в графе 15 - последствия риска, в тысячах рублей (при наличии возможности отражения информации);
в графе 16 - уровень риска организации (1 - низкий, 2 - средний, 3 - высокий).
Риски организации, идентифицируемые в целях налогового мониторинга, представляются в налоговый орган в электронной форме в соответствии с приложением N 2 "Формат представления информации о рисках организации, идентифицируемых в целях налогового мониторинга в электронной форме" к настоящим Требованиям.
8.3. В приложении N 3 "Информация о рисках по отдельным сделкам и операциям" к настоящим Требованиям отражаются риски организации в разрезе сделок и операций, удовлетворяющих следующим критериям:
- нетипичные, специфические сделки (операции), не относящиеся к видам деятельности организации по кодам ОКВЭД;
- крупные сделки (операции) в соответствии со статьей 78 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" (Собрание законодательства Российской Федерации, 1996, N 1, ст. 1; 2021, N 9, ст. 1464) и статьей 46 Федерального закона от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью" (Собрание законодательства Российской Федерации, 1998, N 7, ст. 785; 2021, N 9, ст. 1464).
Информация о рисках по отдельным сделкам и операциям, отражаемая в приложении N 3 к настоящим Требованиям, подлежит обязательному раскрытию в приложении N 1 к настоящим Требованиям.
8.4. При раскрытии информации о рисках по отдельным сделкам и операциям должно быть указано:
в графе 1 - порядковый номер записи о риске организации;
в графе 2 - код или уникальный идентификатор риска, который присваивается организацией каждому риску самостоятельно и позволяет однозначно идентифицировать риск;
в графе 3 - наименование риска организации;
в графе 4 - вид сделки (операции) по договору, в отношении которой выявлен риск; указывается код в соответствии с приложением N 23 "Перечень видов сделок (операций)" к настоящим Требованиям;
в графе 5 - налоговый резидент Российской Федерации (1 - резидент, 0 - нерезидент);
в графе 6 - наименование контрагента. Для иностранной организации наименование указывается в латинской транскрипции;
в графе 7 - ИНН контрагента. Для иностранной организации указывается регистрационный номер в стране регистрации;
в графе 8 - признак взаимозависимости (1 - да, 2 - нет);
в графах 9 - 10 - реквизиты договора;
в графе 11 - сумма сделки (операции) по договору, в тысячах рублей.
Информация о рисках организации по отдельным сделкам и операциям представляется в налоговый орган в электронной форме в соответствии с приложением N 4 "Формат представления информации о рисках по отдельным сделкам и операциям в электронной форме" к настоящим Требованиям.
IX. Контрольные процедуры
9.1. Система внутреннего контроля должна обеспечивать выполнение контрольных процедур, направленных на предупреждение или минимизацию рисков, влияющих на достижение целей организации.
9.2. В качестве контрольных процедур должны использоваться:
документальное оформление и подтверждение фактов хозяйственной жизни организации;
подтверждение соответствия документов требованиям законодательства Российской Федерации;
санкционирование (авторизация) операций, обеспечивающее подтверждение правомочности их совершения;
сверка данных путем проверки полноты, точности, непротиворечивости и корректности полученной информации;
разграничение полномочий, в том числе посредством исключения совмещения одним лицом функции инициирования, исполнения и контроля совершения хозяйственной операции;
контроль фактического наличия и состояния объектов, в том числе охрана, ограничение доступа, инвентаризация;
надзор, обеспечивающий оценку достижения поставленных целей или показателей;
процедуры, связанные с компьютерной обработкой информации и информационными системами, а также с осуществлением контроля доступа, целостности данных и внесения изменений в информационные системы;
разграничение доступа должностных лиц организации к блокам учета в информационной системе в целях исключения несанкционированного доступа и возникновения риска искажения бухгалтерской (финансовой), налоговой и иной отчетности.
9.3. Разработка и описание контрольных процедур должны осуществляться на основе анализа причин возникновения рисков и оценки их последствий.
9.4. Контрольные процедуры должны быть направлены на предотвращение или минимизацию рисков ошибок (искажений) налогового учета и налоговой отчетности организации, рисков несвоевременной и (или) неполной уплаты (перечисления) налогов, сборов и страховых взносов.
9.5. Для разработки контрольных процедур должны использоваться следующие документы (информация):
реестр выявленных рисков;
информация об организационной структуре организации;
карта (реестр) бизнес-процессов компании;
организационно-распорядительные документы, содержащие описание бизнес-процессов и операций, выполняемых сотрудниками.
9.6. Организация должна определить порядок документального оформления результатов выполнения контрольных процедур.
9.7. Организация должна осуществлять анализ результатов выполнения контрольных процедур и оценку эффективности их выполнения.
9.8. Анализ результатов выполнения контрольных процедур должен включать:
определение степени предотвращения или минимизации рисков посредством выполнения контрольных процедур;
проверку наличия документов, подтверждающих выполнение контрольной процедуры и их соответствие порядку выполнения контрольной процедуры и виду контроля;
проверку соответствия описания контрольной процедуры порядку и способу ее выполнения;
проверку соблюдения принципа распределения полномочий при отражении в учете операций (групп операций) и выполнении контроля в отношении этих операций (групп операций);
определение порядка и способов устранения выявленных ошибок и отклонений;
доведение до руководства информации о результатах выполнения контрольных процедур.
X. Раскрытие информации о контрольных процедурах
10.1. Перечень контрольных процедур должен быть сформирован исходя из выявленных и оцененных рисков, влияющих на полноту и достоверность бухгалтерской (финансовой), налоговой и иной отчетности.
10.2. Описание всех контрольных процедур, используемых организацией, должно содержать:
достоверные значения атрибутов и характеристик, используемых при квалификации контрольных процедур;
описание, порядок проведения контрольных процедур.
10.3. По результатам описания контрольной процедуры у внешнего пользователя, не обладающего детальными знаниями в отношении специфики финансово-хозяйственной деятельности организации, должно складываться понимание о следующем:
как выполнение контрольной процедуры направлено на предотвращение или минимизацию рисков;
кто участвует в выполнении контроля;
как распределены роли участников: кем осуществляется выполнение хозяйственной операции и кем осуществляется контроль в отношении выполненных операций (подготовленных документов);
в чем заключается контроль при осуществлении описанных действий и операций, каким образом выявляются ошибки;
какие документы (отчеты) свидетельствуют о выполнении контрольной процедуры и ее результатах.
10.4. Результаты выполнения контрольных процедур должны документироваться и храниться организацией.
10.5. С целью систематизации принятых организацией контрольных процедур, относящихся к выявленным рискам, а также для оценки степени предотвращения или минимизации выявленных рисков организация должна составлять матрицу рисков и контрольных процедур.
10.6. Матрица рисков и контрольных процедур должна быть составлена на основе проведенного анализа и обоснования уровней рисков по операциям и процессам, оценки имеющихся у организации контрольных процедур, позволяющих минимизировать или устранить последствия выявленных рисков.
10.7. Степень детализации информации при раскрытии информации в матрице рисков и контрольных процедур должна быть определена на основе уровня существенности ошибки налоговой отчетности, которая выражается в факте несоблюдения законодательства о налогах и сборах и влечет за собой финансовые или иные потери.
10.8. Организация не реже одного раза в квартал должна проводить оценку необходимости обновления информации в матрице рисков и контрольных процедур.
XI. Представление информации о контрольных процедурах
11.1. Описание каждой контрольной процедуры и порядок ее проведения приводится в приложении N 5 "Контрольные процедуры организации, осуществляемые в целях налогового мониторинга" к настоящим Требованиям.
11.2. При описании каждой контрольной процедуры должна быть указана следующая информация:
в графе 1 - порядковый номер записи о контрольной процедуре;
в графе 2 - код контрольной процедуры, присваиваемый каждой контрольной процедуре организацией самостоятельно и позволяющий однозначно идентифицировать контрольную процедуру;
в графе 3 - наименование контрольной процедуры, осуществляемой организацией;
в графе 4 - описание контрольной процедуры;
в графе 5 - вид контрольной процедуры организации (1 - предупреждающая, 2 - выявляющая);
в графе 6 - частота проведения контрольной процедуры (1 - ежедневно, 2 - ежемесячно, 3 - ежеквартально, 4 - ежегодно, 5 - при записи информации, 0 - по запросу);
в графе 7 - уровень контроля (1 - в отношении всех объектов, 2 - в отношении выбранных по критериям объектов);
в графе 8 - способ проведения контрольной процедуры (1 - ручной, 2 - информационно-технологически зависимый (ИТ-зависимый), 3 - автоматический);
в графе 9 - код информационной системы, в которой выполняется контрольная процедура.
Код информационной системы организации должен быть уникальным, состоять из 18 цифровых знаков и иметь структуру Х.ХХ.Х.Х.ХХХХХХХХХХ.ХХХ, где:
X - признак предоставления налоговому органу доступа к информационной системе организации (1 - наличие, 0 - отсутствие);
XX - вид информационной системы (01 - система планирования производства, 02 - система бухгалтерского и налогового учета, 03 - система формирования налоговой отчетности, 04 - система представления отчетности в налоговый орган, 05 - система представления отчетности в налоговый орган по телекоммуникационным каналам связи через оператора электронного документооборота, 06 - система обмена электронными первичными документами, 07 - система хранения электронных документов (электронных образов документов), 08 - система управления рисками организации, 09 - система внутреннего контроля организации, 00 - прочие информационные системы), в случае, когда информационная система организации одновременно относится к разным видам информационных систем, указывается один вид по основному назначению информационной системы;
X - признак наличия и обработки в информационной системе персональных данных (1 - наличие, 0 - отсутствие);
X - признак наличия и обработки в информационной системе данных других организаций, в том числе организаций, входящих в состав консолидированной группы налогоплательщиков (1 - наличие, 0 - отсутствие);
ХХХХХХХХХХ - ИНН организации, к информационной системе которой предоставлен доступ налоговому органу. При предоставлении доступа налоговому органу к информационной системе, в которой содержатся данные организации, входящей в состав консолидированной группы налогоплательщиков, указывается ИНН организации, являющейся ответственным участником консолидированной группы налогоплательщиков;
XXX - порядковый номер информационной системы организации.
в графе 10 - наименование информационной системы, в которой выполняется контрольная процедура;
в графе 11 - подразделение, ответственное за выполнение контрольной процедуры организации;
в графе 12 - отметка о наличии документов, подтверждающих результаты выполнения контрольной процедуры (1 - наличие, 0 - отсутствие);
в графе 13 - отметка о наличии функции автоматической записи результатов выполнения контрольной процедуры в информационной системе (1 - наличие, 0 - отсутствие).
Контрольные процедуры организации, осуществляемые в целях налогового мониторинга, представляются в налоговый орган в электронной форме в соответствии с приложением N 6 "Формат представления контрольных процедур организации, осуществляемых в целях налогового мониторинга, в электронной форме" к настоящим Требованиям.
11.3. Матрица рисков и контрольных процедур отражается в приложении N 7 "Матрица рисков и контрольных процедур организации" к настоящим Требованиям.
11.4. При раскрытии информации в матрице рисков и контрольных процедур указывается:
в графе 1 - порядковый номер записи;
в графе 2 - код риска в соответствии с приложением N 1 "Риски организации, идентифицируемые в целях налогового мониторинга" к настоящим Требованиям;
в графе 3 - наименование риска организации;
в графе 4 - код контрольной процедуры в соответствии с приложением N 5 "Контрольные процедуры организации, осуществляемые в целях налогового мониторинга" к настоящим Требованиям;
в графе 5 - наименование контрольной процедуры, осуществляемой организацией.
Матрица рисков и контрольных процедур организации представляется в налоговый орган в электронной форме в соответствии с приложением N 8 "Формат представления матрицы рисков и контрольных процедур организации в электронной форме" к настоящим Требованиям.
11.5. Информация о результатах выполнения контрольных процедур отражается в приложении N 9 "Результаты выполнения контрольных процедур организации, осуществляемых в целях налогового мониторинга" к настоящим Требованиям.
11.6. При раскрытии информации о результатах выполнения контрольных процедур указывается:
в графе 1 - порядковый номер выполненной контрольной процедуры организации;
в графе 2 - код контрольной процедуры организации;
в графе 3 - наименование контрольной процедуры, осуществляемой организацией;
в графе 4 - количество выполненных организацией контрольных процедур за отчетный период (при наличии возможности отражения информации);
в графе 5 - количество контрольных процедур, выявивших ошибки (отклонения, нарушения), из общего количества контрольных процедур, выполненных за отчетный период (при наличии возможности отражения информации);
в графе 6 - количество контрольных процедур, не выявивших ошибки (отклонения, нарушения), из общего количества контрольных процедур, выполненных за отчетный период (при наличии возможности отражения информации);
в графе 7 - общее количество договоров, заключенных за отчетный период (при наличии возможности отражения информации);
в графе 8 - количество проверенных договоров из общего количества договоров, заключенных за отчетный период (при наличии возможности отражения информации);
в графе 9 - общее количество первичных учетных документов за отчетный период (при наличии возможности отражения информации);
в графе 10 - количество проверенных первичных учетных документов из общего количества первичных учетных документов за отчетный период (при наличии возможности отражения информации);
в графе 11 - общее количество операций, совершенных организацией за отчетный период (при наличии возможности отражения информации);
в графе 12 - количество проверенных операций из общего количества операций, совершенных организацией за отчетный период (при наличии возможности отражения информации).
Результаты выполнения контрольных процедур представляются в налоговый орган в электронной форме в соответствии с приложением N 10 "Формат представления результатов выполнения контрольных процедур организации, осуществляемых в целях налогового мониторинга, в электронной форме" к настоящим Требованиям.
XII. Информационная система
12.1. Информационная система организации должна обеспечивать функционирование системы внутреннего контроля.
12.2. Информационная система организации должна реализовывать интегрированную обработку данных, обеспечивающую раннее выявление и отслеживание ошибок, противоречий, неточностей, а также должна обеспечивать формирование оповещений о подозрительных операциях в режиме реального времени.
12.3. Информационная система должна быть организована таким образом, чтобы доводить до руководителей организации информацию об ошибках, противоречиях и недостатках, возникающих при осуществлении финансово-хозяйственной деятельности организации и при составлении бухгалтерской (финансовой), налоговой и иной отчетности.
12.4. Информационная система бухгалтерского учета, реализующая функции интегрированного внутреннего контроля, должна обеспечивать инициирование, учет, обработку операций и составление отчетности по ним, а также автоматический перенос информации из информационных систем обработки операций (информации) в регистры бухгалтерского учета (включая расширенные выписки по счетам бухгалтерского учета).
12.5. Информационная система, реализующая функции внутреннего контроля, должна обеспечивать исправление ошибок, противоречий и неточностей при отражении операций в учете, создание отчетов по фактам произведенных корректировок результатов выполнения контрольных процедур.
12.6. Аналитическая информационная система, используемая для мониторинга и оценки системы внутреннего контроля, должна обеспечивать анализ и изучение результатов тестирования и аудита, а также создание отчетов, управление случаями выявления подозрительных операций организации с помощью функций внутреннего и внешнего контроля.
12.7. В организации должно быть организовано внедрение, сопровождение и развитие информационных систем, а также разработка и внедрение мероприятий по совершенствованию информационных систем.
12.8. Организация должна осуществлять внутренний и (или) внешний аудит информационных систем.
XIII. Оценка системы внутреннего контроля
13.1. Организация должна проводить оценку системы внутреннего контроля с целью определения уровня ее организации и разработки мероприятий по развитию и совершенствованию системы внутреннего контроля.
13.2. Оценка организации системы внутреннего контроля должна предусматривать проверку функционирования системы внутреннего контроля в ходе финансово-хозяйственной деятельности с целью своевременного информирования руководителей о выявленных ошибках, противоречиях и недостатках для принятия мер по их устранению.
13.3. Порядок, частота осуществления оценки организации системы внутреннего контроля должны определяться в зависимости от характера и масштабов финансово-хозяйственной деятельности организации, изменений в финансово-хозяйственной деятельности и общего уровня развития и надежности системы внутреннего контроля.
13.4. Оценка организации системы внутреннего контроля должна проводиться с учетом результатов фактически выполняемых и документально подтвержденных контрольных процедур.
13.5. Организация должна проводить оценку системы внутреннего контроля в разрезе пяти компонентов:
контрольная среда;
система управления рисками;
контрольные процедуры;
информационная система;
мониторинг средств контроля.
13.6. При анализе и оценке контрольной среды должны учитываться следующие критерии:
внедрение в организации и соблюдение сотрудниками организации профессиональных, этических и поведенческих стандартов;
участие руководителя организации в процессе оценки результатов функционирования системы внутреннего контроля, в том числе закрепление за руководителем организации функций рассмотрения и утверждения оценки результатов мониторинга и оценки системы внутреннего контроля;
распределение (разграничение) полномочий и обязанностей, закрепленное в организационной структуре, реализующей надлежащий учет ключевых сфер полномочий, обязанностей и определенного порядка подчиненности сотрудников;
наличие требований к квалификации сотрудников, в том числе к образованию, опыту работы, достижениям, сведениям о добросовестности и этическом поведении, а также наличие программ подготовки специалистов, предусматривающих обучение их функциям и обязанностям;
13.7. При выявлении и оценке рисков должны учитываться следующие критерии:
наличие системы управления рисками;
утверждение комплексной стратегии управления рисками на уровне руководителя организации;
документирование результатов выявления и оценки рисков;
использование современных информационных систем для организации системы управления рисками.
13.8. При анализе и оценке контрольных процедур должны учитываться следующие критерии:
описание контрольных процедур;
документирование выполнения контрольных процедур;
оценка эффективности контрольных процедур;
наличие автоматизированных контрольных процедур;
соотношение автоматизированных и ручных контрольных процедур.
13.9. При анализе и оценке информационных систем должны учитываться следующие критерии:
частота проведения внутреннего и (или) внешнего аудита информационных систем;
наличие защиты от несанкционированного доступа к исходным данным, содержащимся в информационных системах;
использование современных информационных систем для организации бухгалтерского и налогового учета;
использование современных информационных систем для контроля за правильностью исчисления (удержания) налогов, сборов, страховых взносов и для подготовки бухгалтерской (финансовой), налоговой и иной отчетности;
реализация процедур автоматизированного контроля в информационных системах;
наличие в информационных системах процедур контроля, выполняемых превентивно.
13.10. При анализе мониторинга средств контроля должны учитываться следующие критерии:
непрерывность осуществления мониторинга и оценки системы внутреннего контроля;
наличие формализованных показателей оценки системы внутреннего контроля;
наличие регламентированной процедуры проведения и оформления результатов оценки системы внутреннего контроля;
регулярность составления и представления руководству организации отчетности об оценке системы внутреннего контроля;
проведение внутреннего и (или) внешнего аудита результатов оценки системы внутреннего контроля;
наличие и реализация плана мероприятий по совершенствованию системы внутреннего контроля.
XIV. Уровни организации системы внутреннего контроля
14.1. Организация системы внутреннего контроля должна предусматривать уровни, каждый из которых характеризуется конкретными целями, задачами, стратегией, организационной структурой, критериями и другое.
14.2. Оценка уровня организации системы внутреннего контроля должна проводиться по пяти компонентам на основе установленных критериев согласно приложению N 11 "Компоненты системы внутреннего контроля организации" к настоящим Требованиям.
14.3. Система внутреннего контроля должна обеспечивать одновременное функционирование пяти компонентов в качестве интегрированной системы.
14.4. Оценка уровня организации системы внутреннего контроля должна проводиться по каждому критерию с присвоением баллов и отнесением к конкретному уровню организации системы внутреннего контроля.
14.4.1. Начальный (1) уровень - на этом уровне процессы не определены, результат зависит от индивидуальных усилий участников системы внутреннего контроля. Не существует единых стандартов и принципов системы внутреннего контроля.
14.4.2. Определенный (2) уровень - в организации определены базовые принципы и процессы системы внутреннего контроля. Формализованы основные процессы, которые используются для основных бизнес-процессов.
14.4.3. Контролируемый (3) уровень - в организации внедрены системы, которые используются сотрудниками, руководство ориентировано на развитие системы внутреннего контроля. В организации определены и формализованы все процессы, связанные с функционированием системы внутреннего контроля.
14.4.4. Управляемый (4) уровень - процессы, стандарты системы внутреннего контроля интегрированы с другими бизнес-процессами и информационными системами организации. Решения в организации принимаются на основе системы аналитических показателей.
14.4.5. Совершенствуемый (5) уровень - характеризуется постоянным улучшением процессов системы внутреннего контроля. В организации осуществляется автоматический сбор данных для выявления рисков, их анализ и оценка для организации оптимальной системы управления рисками.
XV. Раскрытие информации об уровне организации системы внутреннего контроля
15.1 Оценка уровня организации системы внутреннего контроля должна осуществляться для каждого компонента системы внутреннего контроля на основе пяти уровней, приведенных в приложении N 12 "Уровни организации системы внутреннего контроля" к настоящим Требованиям.
15.2. Уровень организации системы внутреннего контроля должен оцениваться в целом и по каждому компоненту.
15.3. Каждый целевой показатель критерия должен оцениваться на начальном (1) уровне в 1 балл, на определенном (2) уровне в 2 балла, на контролируемом (3) уровне в 3 балла, на управляемом (4) уровне в 4 балла, на совершенствуемом (5) уровне в 5 баллов.
15.4. Максимальное количество баллов по всем критериям оценки и целевым показателям должно составлять 100 баллов.
15.5. Интегральный показатель уровня организации системы внутреннего контроля должен рассчитываться путем суммирования баллов по каждому критерию оценки в разрезе компонентов системы внутреннего контроля.
15.6. Для каждого уровня организации должны применяться следующие диапазоны значений интегральных показателей:
начальный (1) уровень - 0-20 баллов;
определенный (2) уровень - 21-40 баллов;
контролируемый (3) уровень - 41-60 баллов;
управляемый (4) уровень - 61-80 баллов;
совершенствуемый (5) уровень - 81-100 баллов.
15.7. Уровень организации системы внутреннего контроля должен использоваться организацией для определения объема представляемых налоговому органу первичных учетных документов при проведении налогового мониторинга.
15.8. Соответствие объема представляемых организацией налоговому органу первичных учетных документов уровню организации системы внутреннего контроля приведено в приложении N 13 "Объем проверки первичных учетных документов в целях налогового мониторинга" к настоящим Требованиям.
15.9. При выявлении случаев неправильного исчисления (удержания), неполной или несвоевременной уплаты (перечислении) организацией налогов, сборов, страховых взносов объем представляемых организацией налоговому органу первичных учетных документов не учитывается.
XVI. Представление информации по оценке уровня организации системы внутреннего контроля
16.1. На основе полученных результатов организация заполняет приложение N 14 "Оценка уровня организации системы внутреннего контроля организации" к настоящим Требованиям, в котором указывается следующая информация:
в графе 1 - номер по порядку;
в графе 2 - компонент системы внутреннего контроля;
в графе 3 - критерии оценки компонента системы внутреннего контроля;
в графе 4 - максимальное количество баллов, которое установлено по компоненту;
в графе 5 - фактическое количество баллов, полученных организацией по компоненту.
Оценка уровня организации системы внутреннего контроля представляется в налоговый орган в электронной форме в соответствии с приложением N 15 "Формат представления оценки уровня организации системы внутреннего контроля организации в электронной форме" к настоящим Требованиям.
16.2. Данные отчета согласно приложению N 14 "Оценка уровня организации системы внутреннего контроля организации" к настоящим Требованиям подтверждаются организационно-распорядительными документами организации.
16.3. По результатам проведения мероприятий по совершенствованию системы внутреннего контроля организацией заполняется приложение N 16 "Мероприятия по совершенствованию системы внутреннего контроля организации" к настоящим Требованиям.
16.4. В приложении N 16 "Мероприятия по совершенствованию системы внутреннего контроля организации" к настоящим Требованиям указывается следующая информация:
в графе 1 - номер по порядку записи;
в графе 2 - задача, на выполнение которой, направлено мероприятие, указанное в графе 3;
в графе 3 - наименование мероприятия по совершенствованию системы внутреннего контроля;
в графе 4 - срок, в который мероприятие, указанное в графе 3, должно быть выполнено;
в графе 5 - должность, Ф.И.О. (отчество указывается при наличии) исполнителя, ответственного за выполнение мероприятия, указанного в графе 3;
в графе 6 - иная дополнительная информация.
Мероприятия по совершенствованию системы внутреннего контроля организации представляются в налоговый орган в электронной форме в соответствии с приложением N 17 "Формат представления мероприятий по совершенствованию системы внутреннего контроля организации в электронной форме" к настоящим Требованиям.
XVII. Информация о системе внутреннего контроля
17.1. Организацией в целях настоящих Требований представляется Информация об организации системы внутреннего контроля организации (далее - Информация об организации CBK) в соответствии с приложением N 18 "Информация об организации системы внутреннего контроля организации" к настоящим Требованиям. Информация об организации СВК составляется на русском языке, имеет сквозную нумерацию страниц.
17.2. Информация об организации СВК представляется организацией в налоговый орган в электронной форме по телекоммуникационным каналам связи через оператора электронного документооборота или через информационные системы организации, к которым предоставлен доступ налоговому органу в соответствии с приложением N 19 "Формат представления информации об организации системы внутреннего контроля организации в электронной форме" к настоящим Требованиям.
17.3. Информация об организации СВК состоит из:
главы I "Общие положения";
главы II "Контрольная среда организации";
главы III "Система управления рисками организации";
главы IV "Контрольные процедуры организации";
главы V "Информационные системы организации";
главы VI "Мониторинг организацией средств контроля";
17.4. Информация об организации СВК подписывается руководителем организации (ее представителем).
17.5. При подписании Информации об организации СВК представителем организации указываются наименование, иные реквизиты документа, подтверждающего полномочия представителя организации. При этом копия указанного документа прилагается к Информации об организации СВК.
17.6. При заполнении Титульного листа указываются следующие сведения:
наименование налогового органа, в который представляется Информация об организации СВК;
код налогового органа;
дата подписания Информации об организации СВК руководителем (представителем) организации;
порядковый номер редакции Информации об организации СВК;
период налогового мониторинга;
полное и сокращенное наименования организации;
идентификационный номер налогоплательщика;
код причины постановки на учет (далее - КПП), который присвоен организации налоговым органом. Крупнейшие налогоплательщики указывают КПП по месту учета в качестве крупнейшего налогоплательщика.
17.7. В главе I указывается следующая информация:
в пункте 1 приводится описание целей и задач системы внутреннего контроля;
в пункте 2 указываются сведения об организационно-распорядительных документах, регламентирующих порядок функционирования системы внутреннего контроля;
в пункте 3 приводится информация об утвержденной организационной структуре и структурных подразделениях, отвечающих за функционирование системы внутреннего контроля;
в пункте 4 описывается порядок проведения внутреннего и (или) внешнего аудита и оценки системы внутреннего контроля.
17.8. В главе II указывается следующая информация:
в пункте 5 раскрывается информация о профессиональных, этических и поведенческих стандартах, применяемых при организации системы внутреннего контроля;
в пункте 6 описывается принятое в организации распределение и разграничение полномочий и обязанностей сотрудников при организации системы внутреннего контроля, в том числе указывается информация о роли руководителя организации;
в пункте 7 описываются существующие в организации требования к квалификации сотрудников, отвечающих за функционирование системы внутреннего контроля, а также приводится описание процесса обучения и повышения квалификации сотрудников.
17.9. В главе III указывается следующая информация:
в пункте 8 приводится оценка организации применяемой стратегии управления рисками, направленной на выявление рисков, анализ их последствий в целях реализации целей и задач организации;
в пункте 9 раскрывается информация об используемых организацией способах и методах выявления и оценки рисков, а также порядок документирования рисков (в том числе формы отчетов по документированию рисков);
в пункте 10 приводится порядок расчета уровня существенности, используемого при выявлении и оценке рисков;
в пункте 11 приводится перечень операций, характеризующихся высоким уровнем потенциального риска;
в пункте 12 приводится общее описание рисков, идентифицируемых в целях налогового мониторинга, с указанием источника их возникновения, а также условий реализации данных рисков.
17.10. В главе IV указывается следующая информация:
в пункте 13 приводится список документов, используемых при разработке контрольных процедур;
в пункте 14 указывается информация о существующих уровнях внутреннего контроля, а также приводится описание применяемых в целях налогового мониторинга контрольных процедур;
в пункте 15 описывается порядок документального оформления результатов выполнения контрольных процедур, утвержденный в организации;
в пункте 16 описывается порядок проведения анализа результатов выполнения контрольных процедур, утвержденных в организации.
17.11. В главе V указывается следующая информация:
в пункте 17 приводятся сведения о порядке проведения аудита информационных систем организации;
в пункте 18 описываются утвержденные в организации стандарты и правила в области информационной безопасности.
17.12. В главе VI указывается следующая информация:
в пункте 19 описывается утвержденный в организации порядок осуществления мониторинга и оценки организации системы внутреннего контроля;
в пункте 20 описывается утвержденный в организации порядок разработки и утверждения мероприятий по совершенствованию системы внутреннего контроля;
в пункте 21 приводится проверочный лист для оценки уровня организации системы внутреннего контроля организации.
17.13. Внесение изменений в Информацию об организации СВК при изменении требований законодательства о налогах и сборах, а также законодательства Российской Федерации о бухгалтерском учете производится организацией в течение одного месяца с даты вступления в силу указанных изменений.
17.14. Внесение изменений в Информацию об организации СВК при обнаружении ошибок, неточностей, искажений, противоречивости информации производится организацией в обязательном порядке в течение одного месяца с даты обнаружения.
17.15. Внесение изменений в Информацию об организации СВК должно обеспечивать повышение уровня организации системы внутреннего контроля, а также предотвращать повторное появление ранее выявленных ошибок, неточностей, искажений, противоречивости информации.
XVIII. Сроки представления информации
18.1. Организация должна проводить оценку необходимости внесения изменений в систему внутреннего контроля не реже одного раза в квартал.
18.2. Организация при внесении изменений должна представлять в налоговый орган актуальную информацию о системе внутреннего контроля не позднее 5 рабочих дней со дня внесения изменений.
18.3. Сроки представления документов (информации), формируемых в соответствии с требованиями к организации системы внутреннего контроля согласно пункту 7 статьи 105 26 Кодекса:
- риски организации, идентифицируемые в целях налогового мониторинга, на календарный год, за который проводится налоговый мониторинг - ежеквартально, по состоянию на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала;
- информация о рисках по отдельным сделкам и операциям на календарный год, за который проводится налоговый мониторинг - ежеквартально, по состоянию на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала. При отсутствии данных для раскрытия информация представляется с нулевыми значениями;
- контрольные процедуры организации, осуществляемые в целях налогового мониторинга, на календарный год, за который проводится налоговый мониторинг - при представлении заявления о проведении налогового мониторинга и далее ежеквартально, по состоянию на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала;
- матрица рисков и контрольных процедур организации на календарный год, за который проводится налоговый мониторинг - ежеквартально, по состоянию на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала;
- результаты выполнения контрольных процедур организации, осуществляемых в целях налогового мониторинга за истекший квартал - не позднее 1 числа второго месяца, следующего за окончанием соответствующего квартала;
- оценка уровня организации системы внутреннего контроля организации за период, предшествующий периоду проведения налогового мониторинга, - при представлении заявления о проведении налогового мониторинга, и далее за период проведения налогового мониторинга 1 ноября года, следующего за периодом проведения налогового мониторинга;
- мероприятия по совершенствованию системы внутреннего контроля организации за период проведения налогового мониторинга - 1 ноября года, следующего за периодом проведения налогового мониторинга;
- информация об организации системы внутреннего контроля организации - при представлении заявления о проведении налогового мониторинга и далее ежегодно по состоянию на 1-е число месяца соответствующего года, не позднее одного месяца со дня наступления соответствующего года.