Госсектор перейдет на риск-ориентированный подход с 2027 года
Учреждениям нужно заранее выявить ключевые риски, закрепить контрольные процедуры и обновить учетную политику.
С 2027 года учреждения госсектора должны перестроить систему внутреннего контроля: вместо формальной проверки всех операций — прицельная работа с наиболее значимыми рисками. Это означает пересмотр учетной политики, составление реестра рисков и привязку каждой контрольной процедуры к конкретной уязвимости процесса. Разбираемся, на какие документы опираться, какие зоны контролеры считают наиболее чувствительными и что нужно сделать уже в 2026 году.
Внутренний контроль больше не должен быть формальностью
Госсектор постепенно переходит к модели, в которой эффективность внутреннего контроля оценивают не по количеству проверок, а по тому, насколько точно организация определяет и закрывает собственные уязвимости.
Ключевой принцип новой логики прост: контролировать нужно прежде всего те операции, где ошибка или нарушение могут привести к наибольшим потерям, искажению отчетности, претензиям проверяющих или неэффективному расходованию средств.
На практике это означает, что учреждениям придется отказаться от универсального подхода «проверяем все одинаково» и выстроить систему, в которой:
- сначала выявляют риски;
- затем оценивают их значимость;
- после этого закрепляют конкретные меры контроля;
- а сами процедуры отражают в локальных актах и учетной политике.
Именно такой подход Минфин последовательно продвигает в методических документах последних лет.
Что считается бюджетным риском
Базовое определение закреплено в Приказе Минфина от 21.11.2019 № 196н. Под бюджетным риском понимают событие, которое негативно влияет на выполнение бюджетных процедур и может привести к отклонению фактических показателей от ожидаемого результата.
Иными словами, речь идет не о формальной «вероятности нарушения», а о вполне прикладной категории: риск — это то, что может повлиять на законность, своевременность, достоверность и результативность финансово-хозяйственной деятельности учреждения.
Методологически этот подход связан и со стандартом внутреннего финансового аудита «Планирование и проведение внутреннего финансового аудита», утвержденным Приказом Минфина от 05.08.2020 № 160н. В нем закреплена общая логика работы с рисками: их необходимо выявлять, оценивать, документировать и учитывать при планировании контрольных мероприятий.
Дополнительные ориентиры даны в письмах Минфина:
- от 11.09.2023 № 02-10-08/1/86333 — о порядке оценки бюджетных рисков и ведении их реестра;
- от 14.11.2023 № 02-10-08/1/108308 — о работе по устранению бюджетных рисков.
Именно эти документы сегодня фактически формируют практический каркас новой модели внутреннего контроля.
Внимание!
Что меняется для учреждений к 2027 году
Учреждениям недостаточно просто иметь общий раздел о внутреннем контроле в учетной политике. Необходимо:
- определить значимые риски;
- оценить вероятность и последствия каждого из них;
- составить реестр рисков;
- привязать к ним контрольные процедуры;
- утвердить порядок документирования контроля;
- регулярно пересматривать карту рисков.
Почему риск-ориентированный подход нужен не только «для отчета»
Для многих учреждений главная сложность не в том, чтобы описать риски на бумаге, а в том, чтобы признать: старый внутренний контроль часто был устроен формально и не всегда совпадал с реальными проблемами организации.
Между тем именно риск-ориентированная модель позволяет ответить на ключевые практические вопросы:
- где в учреждении чаще всего возникают ошибки;
- какие операции несут наибольшую финансовую и правовую нагрузку;
- на каких участках чаще фиксируются замечания контрольных органов;
- где сбой происходит не внутри одного отдела, а на стыке нескольких подразделений;
- какие процессы требуют не дополнительной проверки, а перераспределения функций или автоматизации.
По сути, учреждение должно выстроить собственную карту уязвимых точек, а затем сосредоточить ресурсы именно на них.
С чего начинать: какие данные анализировать
Выявление рисков невозможно без предварительного анализа. Причем оценивать нужно не один источник, а весь массив информации, который показывает, где именно может возникнуть нарушение.
В первую очередь стоит анализировать:
1. Бюджетные полномочия и сами бюджетные процедуры
Организация должна понимать, какие полномочия она реализует, кто и на каком этапе принимает решения, где проходит граница ответственности и на каких участках процедура наиболее уязвима.
2. Нормативную базу
Любое изменение в правилах учета, санкционирования расходов, отчетности или документооборота автоматически создает риск ошибки, если внутренние процессы не адаптированы.
3. Материалы внешнего и внутреннего контроля
Акты, представления, предписания, заключения — один из самых надежных источников информации о реальных слабых местах. Если нарушение уже выявляли, считать его гипотетическим нельзя.
4. Используемые ИТ-системы
Автоматизация не устраняет риск сама по себе. Ошибки интеграции, расхождения между системами, отсутствие блокировок и несвоевременная выгрузка данных нередко становятся самостоятельным источником нарушений.
5. Разделение полномочий
Если один сотрудник инициирует, согласует, оформляет и отражает операцию в учете, риск злоупотребления или ошибки резко возрастает.
6. Кадровую ситуацию
Перегруженность работников, текучесть кадров, нехватка специалистов и отсутствие обучения — это не организационные неудобства, а полноценные факторы риска.
7. Отчетность учреждения
Ошибки в отчетности часто свидетельствуют не о разовой неточности, а о системных дефектах в документообороте и бухгалтерском учете.
8. Управленческие решения
Риски нередко возникают там, где локальные акты не соответствуют реальным процессам или вообще не регулируют критически важные этапы операций.
Что нужно сделать в 2026 году
К 2027 году учреждения должны подойти не с общей декларацией о переходе на новую модель, а с уже подготовленной рабочей системой. Это означает, что основную организационную работу нужно проводить в течение 2026 года.
Минимальный набор задач выглядит так:
- определить перечень значимых рисков;
- оценить каждый риск по вероятности и последствиям;
- сформировать реестр рисков;
- установить контрольные процедуры по каждому значимому риску;
- подготовить реестр контрольных процедур;
- внести изменения в учетную политику и локальные акты;
- распределить ответственность между подразделениями;
- определить порядок ежегодного пересмотра рисков.
Фактически речь идет о создании внутренней карты рисков учреждения. Она может быть компактной или детализированной — в зависимости от масштаба организации и сложности операций, — но в любом случае должна оставаться рабочим инструментом, а не архивным приложением к учетной политике.
Внимание!
Что проверят в первую очередь
Новая модель внутреннего контроля будет выглядеть убедительно только в том случае, если учреждение сможет показать:
- как именно выявляло риски;
- почему признало одни риски значимыми, а другие — нет;
- какие процедуры введены по каждому существенному риску;
- кто отвечает за исполнение этих процедур;
- как руководство получает информацию о выявленных нарушениях.
Где чаще всего возникают проблемы
На практике самые чувствительные нарушения концентрируются не только в «традиционно рискованных» финансовых операциях, но и в тех точках, где участвуют сразу несколько подразделений.
Именно поэтому риск-карту стоит строить не вокруг названий отделов, а вокруг маршрута документов и операций: от инициирования и согласования до оплаты, отражения в учете и отчетности.
Особая зона внимания — стыки между подразделениями. Здесь чаще всего происходят сбои:
- документы передают не полностью;
- нарушают сроки;
- информация не доходит до бухгалтерии;
- ответственность между службами размывается;
- одна служба считает операцию завершенной, а другая — нет.
Чем сложнее маршрут документа, тем выше вероятность ошибки.
Какие риски контролеры считают наиболее существенными
Ошибки в начислении зарплаты
Один из типовых рисков — неправильное начисление зарплаты из-за неверных табелей учета рабочего времени. Даже небольшая ошибка в табеле напрямую влияет на сумму выплат, а значит, может привести и к переплате, и к претензиям проверяющих.
Снизить этот риск помогают:
- автоматизированный учет рабочего времени;
- сверка расчетов с табелями;
- выборочная проверка начислений;
- закрепление ответственности за своевременную передачу данных.
Нецелевое использование бюджетных средств
Этот риск остается в фокусе контрольных органов. В практической части ориентиром служит Приказ Минфина от 30.11.2023 № 532 с методическими рекомендациями по выявлению проблемных зон, связанных с неправомерным, неэффективным и нецелевым расходованием средств.
Здесь критичны:
- лимиты расходов;
- дополнительное согласование нестандартных платежей;
- проверка оснований расхода;
- наличие подтверждающих документов до оплаты;
- сверка банковских выписок с данными учета.
Хищение или утрата материальных ценностей
Слабый контроль за приемкой, хранением и учетом имущества по-прежнему приводит к серьезным претензиям.
Базовые меры:
- разграничение обязанностей;
- отделение приемки от хранения и учета;
- регулярная инвентаризация;
- ограничение доступа;
- закрепление функций в должностных инструкциях;
- при необходимости — видеонаблюдение.
Неначисление неустоек по контрактам
Одна из типовых проблем контрактной системы — ситуация, когда условия контракта нарушены, но неустойка не предъявлена и не отражена вовремя.
Риск снижают:
- контроль сроков исполнения контрактов;
- регулярная сверка задолженности;
- претензионная работа;
- обмен информацией между контрактной службой, бухгалтерией и юристами.
Оплата без подтверждения исполнения
Для госсектора это одна из наиболее чувствительных зон. Нельзя оплачивать товары, работы или услуги без подтверждения факта исполнения.
До оплаты необходимо проверить:
- факт поставки или выполнения;
- соответствие условиям контракта;
- наличие надлежащих первичных документов;
- полномочия подписантов;
- объем, сроки и характеристики результата.
Рост дебиторской задолженности
Проблема здесь не только в накоплении задолженности, но и в ее несвоевременном отражении, слабой претензионной работе и искажении отчетности.
Системный контроль включает:
- мониторинг динамики дебиторки;
- работу с просроченной задолженностью;
- претензионный порядок;
- автоматизацию уведомлений и выставления документов;
- взаимодействие бухгалтерии, юристов и профильных служб.
Какие еще риски нельзя игнорировать
Помимо наиболее очевидных участков, учреждениям стоит отдельно оценить и другие значимые зоны:
- ошибки в учете основных средств;
- злоупотребления с подотчетными суммами;
- неверное отражение доходов и расходов;
- искажение бухгалтерской отчетности;
- несвоевременную оплату обязательств;
- непоступление первичных документов в срок;
- риски электронного документооборота;
- ошибки при сверке остатков.
Перечень будет зависеть от специфики учреждения, но общий подход один: риск должен быть связан с реальным процессом, а не с абстрактной формулировкой.
Контрольные процедуры придется увязать с конкретными рисками
Одно из главных требований новой модели — каждая контрольная процедура должна отвечать на вопрос, какой риск она снижает.
Это значит, что учреждениям придется отказаться от описания контроля в духе «осуществляется проверка документов» без указания, зачем именно она нужна и на каком этапе операции проводится.
В системе внутреннего контроля обычно сохраняются базовые процедуры:
- проверка правильности документального оформления;
- подтверждение соответствия объектов учета данным документов;
- согласование и санкционирование операций;
- инвентаризация и проверка фактического наличия имущества;
- сверка данных учета;
- сопоставление информации на разных этапах одной операции.
Но теперь важно не просто перечислить эти действия, а привязать их к конкретным уязвимостям.
Если риск меняется по мере прохождения операции, контроль тоже должен меняться. Например, одна и та же операция может быть низкорисковой на стадии оформления, но становиться высокорисковой на этапах согласования, оплаты или отражения в бухгалтерском учете.
Автоматизация поможет, но ручной контроль не исчезнет
Даже там, где внедрен электронный документооборот, учреждения не смогут полностью отказаться от ручных контрольных действий.
На практике это означает необходимость:
- вести перечни рисков;
- фиксировать контрольные процедуры;
- документировать результаты сверок;
- оформлять подтверждение согласования;
- хранить доказательства выполнения контрольных действий.
Автоматизация усиливает контроль, но не заменяет его. Более того, цифровая среда создает и собственные риски — от расхождения данных между системами до несвоевременного поступления первичных документов.
Внимание!
Ручной контроль останется обязательным, если в учреждении:
- несколько несвязанных учетных систем;
- есть задержки с первичными документами;
- операции проходят через несколько подразделений;
- часть контрольных действий не автоматизирована;
- нет встроенных блокировок и маршрутов согласования.
Риски нужно не просто перечислить, а оценить
Составить список рисков недостаточно. Учреждение должно понять, какие из них действительно значимы именно для него.
Обычно для этого оценивают как минимум два параметра:
- вероятность наступления;
- тяжесть последствий.
После этого выбирают меры реагирования. И далеко не всегда это означает только дополнительные проверки. В ряде случаев эффективнее:
- изменить маршрут документа;
- развести полномочия между сотрудниками;
- пересмотреть сроки согласования;
- провести обучение;
- автоматизировать отдельный участок;
- перераспределить нагрузку между службами.
На практике нередко выясняется, что риск возникает не из-за отсутствия формального регламента, а из-за перегруженности конкретного сотрудника или неудачной организации процесса.
Карта рисков должна обновляться не реже раза в год
Система внутреннего контроля не может быть статичной. Меняется законодательство, появляются новые операции, обновляются информационные системы, меняется кадровый состав, меняется и сама структура учреждения.
Поэтому риск-карту и реестр контрольных процедур нужно пересматривать как минимум ежегодно.
Такой цикл позволяет:
- выявлять новые угрозы;
- убирать избыточные процедуры;
- корректировать приоритеты контроля;
- учитывать замечания контрольных органов;
- не допускать превращения системы в формальный набор документов.
Если этого не делать, даже качественно составленная карта рисков быстро устаревает.
Отдельный риск — непредставление документов
Для учреждений важен не только учетный, но и административный аспект. Несвоевременная передача документов сегодня создает не просто организационные проблемы, а может повлечь ответственность.
В частности, следует учитывать примечание 5 к ст. 15.15.6 КоАП РФ, которое предусматривает штраф до 30 000 руб. за непредставление документов и информации.
На практике это особенно чувствительно в ситуациях, когда сотрудники задерживают авансовые отчеты, документы по командировкам или иные материалы, без которых невозможно своевременно отразить операцию в учете и отчетности.
Что придется менять в учетной политике
Переход на риск-ориентированную модель невозможен без корректировки учетной политики. Именно там учреждение должно закрепить внутренний контроль не как общую декларацию, а как работающий механизм.
В учетной политике целесообразно отразить:
- перечень или группы значимых рисков;
- контрольные процедуры по ключевым операциям;
- порядок согласования и санкционирования;
- правила документального подтверждения контроля;
- порядок инвентаризаций и сверок;
- распределение ответственности между подразделениями;
- порядок информирования руководителя;
- периодичность пересмотра карты рисков.
Чем конкретнее будет описан этот блок, тем проще учреждению будет подтвердить, что контроль действительно встроен в процессы.
На что можно опереться при разработке собственной модели
Практическим ориентиром для учреждений может стать «Карта рисков Федерального казначейства в финансово-бюджетной сфере на 2025 год». Разумеется, перенести ее в локальную практику механически нельзя, но использовать как методический образец — вполне возможно.
Такие материалы помогают понять:
- как описывать риск;
- как связывать его с последствиями;
- как выбирать меры реагирования;
- как структурировать реестр рисков и контрольных процедур.
Особенно полезно это тем учреждениям, которые только начинают выстраивать систему и ищут базовую модель.
Что в итоге
К 2027 году учреждениям придется доказать, что их внутренний контроль работает не “вообще”, а по конкретным уязвимым зонам. Это означает отказ от формального подхода и переход к модели, в которой каждое контрольное действие связано с определенным риском.
Для госсектора это не теоретическая реформа, а вполне прикладная задача на ближайший год: выявить слабые места, выстроить карту рисков, пересмотреть учетную политику и наладить взаимодействие между подразделениями. И чем раньше начнется эта работа, тем меньше шансов, что переход к новой модели в 2027 году обернется авральной переписью локальных актов.
Авторы: А Селютин, Т. Миронова
При подготовке материалы использовались справочные правовые системы: Гарант; Контур Норматив; Официальный сайт Минфина России (https://minfin.gov.ru/); Официальный сайт Федерального казначейства (https://old-fk.roskazna.gov.ru/)
Источники:
- Приказ Минфина России от 30.11.2023 № 532
- Приказе Минфина России от 21.11.2019 № 196н
- Приказ Минфина России от 05.08.2020 № 160н
- Письмо Минфина России от 11.09.2023 № 02-10-08/1/86333
- Письмо Минфина России от 14.11.2023 № 02-10-08/1/108308
- Карта рисков Федерального казначейства в финансово-бюджетной сфере на 2025 год
