«ОРГАНИЗАЦИЯ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ НА ОСНОВЕ ЗАКОНА САРБЕЙНСАОКСЛИ ...»

Оценка рисков Характер рисков мошенничества и противоправных действий, с которыми сталкивается организация, может быть таким же разнообразным и изменчивым, как и сам бизнес. Риски крупного банка, находящегося на стадии бурного роста в результате приобретения нового бизнеса, отличаются от рисков крупной энергетической компании, стремящейся расширить разведку нефти на формирующихся рынках. Таким образом, меры борьбы с мошенничеством должны разрабатываться с учетом рисков, присущих конкретной организации, специфических условий, которые создают почву для возникновения таких рисков, а также потребностей в ресурсах, необходимых для уравновешивания риска и контроля.

Первым делом следует определить, каковы риски компании, связанные с проявлениями мошенничества, и насколько эффективно организация управляет такими рисками. Компания рассматривает, какие из ее структурных подразделений, процессов, систем и средств контроля, помимо других факторов, понадобится задействовать в процессе анализа. Организация также может выявить основные заинтересованные стороны, которые могут принять участие в этом процессе.

После того как организация определится со своим текущем положением и поставит задачи по его совершенствованию, она может проанализировать разрыв, который ей необходимо преодолеть, чтобы достичь желаемого состояния, и приступить к планированию действий, направленных на достижение такого состояния.

Разработка средств контроля Для руководства организации основная цель этапа разработки средств контроля заключается в подготовке таких средств, которые будут эффективно функционировать и защищать организацию от рисков мошенничества и противоправных действий. Вместе с тем, чтобы разработать эффективные средства контроля организации, в первую очередь необходимо учесть специфику рисков и конкретную среду деятельности организации.

В ходе разработки средств контроля руководству следует постараться сделать больше, чем просто соблюдать требования регулирующих органов (т. е. минимальные критерии, установленные различными регулирующими структурами).

Предпочтительно учесть актуальный и проверенный передовой опыт других ведущих организаций аналогичного профиля. При использовании прогрессивных подходов и решений у организации будет больше шансов для обеспечения эффективной работы средств контроля.

Поскольку каждая организация имеет свою специфику, к поиску решений потребуется индивидуальный подход. При разработке средств контроля руководству необходимо учесть специфические условия, с которыми связана деятельность организации. Методы управления, которые годятся для крупной международной телекоммуникационной компании, могут не подойти банку, и наоборот.

Таким образом, руководству организации следует искать такие проектные решения для средств контроля, которые удовлетворили бы не только юридическим требованиям, но и соответствовали бы конкретным деловым потребностям организации.

Внедрение средств контроля После того как средства контроля спроектированы, руководству следует разработать стратегию и порядок их внедрения в структуру всей организации, а также назначить лицо, ответственное за процесс внедрения, и выделить ему необходимые ресурсы. Целенаправленный и согласованный процесс внедрения средств контроля требует внесения существенных изменений в производственную культуру и практику. В этой связи сотрудники должны регулярно получать четкие инструкции относительно того, когда, как и кто будет заниматься внедрением новых средств контроля. Также следует разъяснить, каким образом должны соблюдаться требования, предусмотренные этими средствами контроля.

Оценка проектного решения и операционной результативности средств контроля Сам факт существования средств контроля не обеспечивает гарантии, что они функционируют в соответствии с заданными параметрами. По прошествии определенного периода работы механизма необходимо оценить насколько внедренное проектное решение соответствует оптимальному уровню результативности. В первую очередь должны оцениваться те средства контроля, которые отнесены к категории контролирующих наиболее существенные риски, и им должно быть уделено приоритетное внимание по сравнению с механизмами, контролирующими менее значимые риски, с другой стороны, если какое-то средство контроля еще не существует вообще, руководству не следует автоматически считать, что задача по управлению рисками организации не выполнена. При отсутствии конкретного механизма контроля могут эффективно работать другие компенсирующие механизмы, смягчая риски, связанные с проявлениями мошенничества и злоупотреблений.

При оценке результативности разработанных средств контроля руководству необходимо учесть, что соблюдение требований регулирующих органов и использование передовой практики работы организаций аналогичного профиля взаимно дополняют друг друга при эффективном снижении рисков. Руководство может провести анализ расхождений – процедуру, направленную на выяснение того, соответствует ли данное средство контроля критериям, предусмотренным в его проекте. Например, если расчетные критерии предусматривают обеспечение анонимности поступающих по «горячей линии» вопросов или передачи сообщений, содержащих опасения относительно бухгалтерской или аудиторской деятельности, руководству следует установить, действительно ли протоколы «горячей линии»

обеспечивают анонимность звонивших лиц.

Для оценки операционной результативности конкретного средства контроля руководству следует обратить внимание на то, в какой степени применение этого средства контроля обеспечивает выполнение поставленных задач. Например, насколько тщательно осуществляется стратегия снижения рисков, намеченная на этапе оценки рисков мошенничества и злоупотреблений? Аналогичным образом руководство может внедрить хорошо проработанный кодекс профессиональной этики. При осуществлении оценки результативности немаловажным является конкретная ситуация, в которой находится организация. При этом опрос мнений сотрудников должен проводиться на постоянной основе. Руководству всегда следует внимательно следить за тем, какое влияние оказывают изменения в ожиданиях рынка и системе внешнего контроля и развитие событий в регулирующей и законодательной среде на стратегию управления рисками и результативность системы контроля организации.

';

Такая программа не только будет способствовать соблюдению установленных правил и требований, но и поможет организации согласовать систему корпоративных ценностей с ее текущей деятельностью, а также защитить активы компании, включая профессиональную репутацию.

Глава 3. МЕТОДИКА ОРГАНИЗАЦИИ СИСТЕМЫ

ВНУТРЕННЕГО КОНТРОЛЯ В КОМПАНИИ НА ОСНОВЕ

ЗАКОНА САРБЕЙНСАОКСЛИ

Для большинства компаний процесс организации системы внутреннего контроля является важной и сложной задачей. Объем работ по проекту выходит за пределы функций бухгалтерии и финансов компании и включает вопросы информационных технологий, налогов, юридические аспекты, а также вопросы внутреннего аудита.

В данной главе мы рассмотрим два наиболее важных аспекта, относящихся к организации системы внутреннего контроля на предприятии в соответствии с требованиями раздела 404 закона СарбейнсаОксли: разработку систем контроля и управление системой внутреннего контроля.

Методика планирования работ по организации контроля Определение объема работ включает в себя определение объема необходимой документации, а также характера, объема и сроков выполнения работ по тестированию системы внутреннего контроля в разрезе всех существенных компонентов финансовой отчетности в каждом подразделении компании. Определение объема работ – один из ключевых этапов любого проекта. На этом этапе необходимо определить существенные элементы финансовой отчетности; бизнеспроцессы, подпроцессы и бизнес-единицы, в которых будет проводиться аттестация. Следует использовать общепризнанные методологии при проведении оценки результативности контролей при подготовке финансовой отчетности. Методология, разработанная Комитетом спонсорских организаций (COSO), является одной из наиболее широко используемых в Соединенных Штатах и рекомендуется для оценки системы внутреннего контроля. В основе этого документа лежит допущение, что компании будут применять методологию COSO.

Организационная структура и система внутреннего контроля в каждой компании уникальна, в связи с этим и объем работ для каждой компании будет своим.

И определить его сможет только руководство и контрольная служба. Каждое принимаемое решение необходимо документировать. Причем формат может быть любым в зависимости от целей, структуры компании. Примеры документирования можно найти в приложениях. Но не стоит забывать, что приведенные формы являются лишь шаблонами, и каждая компания может сама их разработать и утверждать.

Для определения объема работ возможно использование различных подходов. Руководство компании может выявить существенные компоненты финансовой отчетности, а затем связать их с определенными процессами, или же может начать с выделения процессов. Вне зависимости от того, как будет действовать компания, цель будет одинаковой.

Этап 1. Выявление существенных элементов финансовой отчетности с помощью анализа.

Этап 2. Выявление процессов и подпроцессов, проведение их взаимосвязи с выделенными существенными элементами отчетности.

Этап 3. Определение требования для каждого существенного компонента отчетности.

Этап 4. Выявление рисков и их оценка.

Этап 5. Построение полного списка бизнес-единиц.

Этап 6. Выделение бизнес-единиц, которые необходимо протестировать.

Этап 7. Проведение взаимосвязи бизнес-единиц с процессами и подпроцессами.

Основной задачей этапа 1 является идентификация контролей, удовлетворяющих требованиям к существенным элементам отчетности. Для этого компания должна пройти все этапы, описанные выше, начав с анализа финансовой отчетности и закончив определением необходимых контролей. На рис. 10 изображена схема, отражающая данный процесс.

Цели обработки информации и требования к финансовой отчетности Ниже приводится пример для одного из подпроцессов процесса получения выручки (рис. 11).

Рассмотрим каждый этап по определению существенных элементов финансовой отчетности, а также процессов и подпроцессов более подробно.

Этап 1. Выявление существенных элементов финансовой отчетности с помощью анализа:

отдельных статей финансовой отчетности;

количественных и качественных факторов;

значимости выделенных статей отчетности.

Существенные элементы отчетности выделяют, как правило, как на уровне отчетности в целом, так и на уровне отдельных статей. Например, одним из таких существенных компонентов является выручка, она в свою очередь состоит из выручки от реализации продукции и от реализации услуг.

Выручка (отраженная в консолидированной финансовой отчетности) Все продажи отражаются в журнале продаж как дебиторская задолженность, и по каждой выписывается счет-фактура (требование к финансовой отчетности – полнота) Бухгалтер-контролер по счетам дебиторов еженедельно сверяет продажи за день с регистром выставленных счетов-фактур и с отражением в главной книге по счетам дебиторов. После этого старший бухгалтер-контролер проверяет полноту проведенной сверки.

Рис. 11. Процесс определения необходимых контролей для выручки В аудиторском стандарте № 2 «Аудит системы внутреннего контроля финансовой отчетности» (далее Стандарт) дается определение существенных компонентов отчетности: это такие элементы отчетности, при анализе которых существует более чем незначительная вероятность получения неверных данных, которые по отдельности (или в совокупности с другими неверными данными) могут повлиять на финансовую отчетность (в сторону завышения, либо занижения данных). Под понятием существенности подразумевается не только количественная, но и качественная оценка, кроме того, существенным может быть признан и тот элемент отчетности, на котором делают акцент учредители и инвесторы компании.

Для того чтобы определить существенные компоненты финансовой отчетности, руководству компании необходимо оценить вероятность отражения в отчетности недостоверных данных, без учета результативности работы системы контролей. Качественные характеристики существенности носят субъективный характер. Ниже приведены общие принципы, которые, на наш взгляд, смогут помочь разобраться в этом процессе.

Компоненты финансовой отчетности, вошедшие в состав опубликованной финансовой отчетности и примечаний, являются базовыми, на их основе определяются существенные компоненты. При определении существенности, руководству следует обратить внимание на следующее.

Как правило, существенными являются все статьи опубликованной финансовой отчетности (например, зарплата сотрудников, налоги, данные по сегментам). При высокой степени детализированности информации принято считать существенными те статьи, которые превышают плановый порог существенности (определение приводится ниже по тексту).

Если какая-либо статья не является существенной, но при этом имеет большой оборот (например, статья денежные средства) или возможен риск возникновения непризнанных обязательств (например, резервы на возможные убытки), то она тоже будет считаться существенной. Стандарт говорит о том, что резервы, создаваемые для компенсации возможных рисков за прошлые годы, могли быть незначительными. Однако может существовать более чем незначительная вероятность существенной ошибки в представляемой информации при возникновении крупных Количественные параметры При выявлении существенных компонентов финансовой отчетности руководство при этом рассчитывает уровень существенности. Этот уровень существенности применяется при подготовке финансовой отчетности, а также при планировании системы внутреннего контроля за подготовкой финансовой отчетности. Существенность измеряется как количественно, так и качественно. Оценка существенности носит субъективный характер, в ходе осуществления контроля может изменяться. Уровень существенности задается руководством компании.

Уровень существенности применяется как для контроля в целом за отчетностью, так и для контроля за ее компонентами. На наш взгляд, руководители компании должны руководствоваться следующими критериями для определения объема тестирования системы внутреннего контроля.

Общий уровень существенности – данный показатель основывается на уровне риска существенного искажения консолидированной финансовой отчетности. Понятие существенности наиболее подробно разъясняется в бухгалтерском бюллетене SEC № 99 «Существенность». На уровне предварительной оценки определяется уровень существенности ключевых показателей (например, уровень существенности выручки, прибыли до налогообложения и т. д.), и уже на основании этого оцениваются другие компоненты финансовой отчетности. Помимо этого, данный показатель используется для оценки существенности всех искажений на уровне ключевого компонента финансовой отчетности (или совокупность недостатков при оценке системы внутреннего контроля).

Плановый уровень существенности – определение величины данного показателя базируется на таких показателях отчета о прибылях и убытках, как прибыль до налогообложения, EBITDA и т. п. Показатель используется при определении существенности конкретных счетов (или субсчетов). Плановый уровень существенности всегда меньше, чем общий уровень существенности. Данный показатель устанавливает индивидуальные ограничения для конкретных компонентов финансовой отчетности, что позволяет снизить риски (особенно риски необнаружения). Как правило, плановый уровень существенности составляет 5075% от общего уровня существенности и зависит от уровня риска. То есть у компании с высоким уровнем риска планируемый уровень существенности будет ниже, чем у компаний с низким уровнем риска. Например, уровень общей существенности составляет 1 млн. руб., тогда уровень плановой существенности для компаний с высоким уровнем риска будет около 500 тыс. руб. (50%), а у компании с низким уровнем риска около 750 тыс. руб. (75%).

Уровни общей и плановой существенности необходимо прописать во внутренних политиках и процедурах вместе с методом их калькуляции, любые изменения также необходимо документировать.

При определении уровня существенности для конкретных статей руководство должно уделить внимание информации, на базе которой формируются статьи, т. е. определить, нет ли внутри счетов и субсчетов, которые являются существенными. Например, в балансовую статью «Прочие оборотные активы» могут попадать счета или субсчета, задействованные в сделках разного уровня, и значит могут быть подвержены различным рискам или находиться в сфере разных систем контроля. В таких случаях счета следует оценивать по отдельности. Если какие-то из этих счетов превышают порог уровня плановой существенности, то их считают существенными, несмотря на то, что они не являются компонентами финансовой отчетности. К таким ситуациям относятся:

элементы доходов, которые имеют разный характер происхождения (например, доходы от реализации товаров, доходы от реализации услуг);

элементы товарно-материальных запасов (например, сырье, незавершенное производство, готовая продукция);

различия между оплатой по договору и стоимостью, к примеру, товарноматериальных запасов.

Качественные критерии В Стандарте приводится в качестве примеров ряд качественных критериев, которые необходимо учитывать при оценке уровня существенности счета:

структура счета;

риск возникновения убытков в случае совершения ошибок или выявления фактов мошенничества;

оборот, сложность и однородность проводимых операций по счету;

характер счета (балансирующий счет или нет, если он используется для целей элиминации, то вероятность возникновения ошибки велика, а следовательно, такие счета изучаются максимально подробно);

возможные сложности в учете и в формировании отчетности, связанные непосредственно с анализируемым счетом;

вероятность возникновения убытков по счету (например, убытки, начисленные дочерними компаниями, принимающими участие в консолидации);

вероятность возникновения значительных непредвиденных убытков на наличие операций с аффилированными лицами по счету;

различные изменения и нестандартные ситуации (к примеру, появление более сложных операций, сделок).

Руководству компании следует учитывать эти факторы при определении уровня существенности компонентов финансовой отчетности.

Этап 2. Выявление процессов и подпроцессов, проведение их взаимосвязи с выделенными существенными элементами отчетности Следующий этап – это выявление существенных процессов и подпроцессов, влияющих на формирование компонентов финансовой отчетности. Ознакомиться с возможными вариантами общих процессов и подпроцессов можно в приложении 3. Бизнес-процессы являются основой оценки работы системы внутреннего контроля. При проведении документирования бизнес-процессов руководство может уже на этом этапе определиться с контрольными процедурами, используемыми в целях обработки информации (полнота, точность, разграничение доступов и т. п.), а также спрогнозировать появление возможных недостатков в системе внутреннего контроля (т.е. выявить, какие данные не защищены, для каких не предусмотрены контрольные процедуры).

Для того чтобы подтвердить выявление всех бизнес-процессов и удостовериться, что для всех существенных компонентов финансовой отчетности были определены формирующие их бизнес-процессы, составляется матрица соответствия бизнес-процессов существенным компонентам финансовой отчетности. Если не удастся идентифицировать все бизнес-процессы, это может усложнить процесс определения контрольных процедур, необходимых для покрытия тех или иных требований к финансовой отчетности. Контрольные процедуры, направленные на обработку информации по существенным компонентам финансовой отчетности, определяются в разрезе бизнес-процессов и подпроцессов. В приложениях 4 и 5 приведены примеры матриц соответствия бизнес-процессов существенным компонентам финансовой отчетности.

В разных компаниях бизнес-процессы и подпроцессы обладают разной значимостью. Например, учет расходов на НИОКР, рекламу, маркетинговые расходы будет обладать большей существенностью для какой-нибудь производственной компании, чем для компании, оказывающей юридические услуги.

Этап 3. Определение требования для каждого существенного компонента отчетности Для каждого существенного компонента отчетности необходимо определить и зафиксировать документально необходимые требования к финансовой отчетности и протестировать покрывающие их контроли. В разделе 404 подробно описываются пять основных требований к отчетности:

существование или возникновение;

оценка и точность;

права и обязательства;

представление и раскрытие.

По мнению PCAOB, руководство в своей оценке может использовать и иные требования, отличающиеся от приведенных в Стандарте.

В Стандарте указано, что основной целью требований к финансовой отчетности является определение достоверности данных, представленных в финансовой отчетности. Степень соответствия требований для каждого компонента финансовой отчетности своя. Например, требование оценки будет неактуальным для кассового счета, если по нему не были проведены операции по конвертации денежных средств в иностранной валюте. Но для такого счета всегда будут обязательными требования существования и полноты. Помимо этого можно отдельно оценивать выполнение требований к представлению и раскрытию финансовой информации в ходе формирования отчетности и закрытия периода. Для определения необходимости использования того или иного требования к подготовке финансовой отчетности руководству следует изучить следующие моменты:

суть требования, подлежащего оценке;

объем операций или данных, контролируемых данным требованием;

характер и сложность систем, используемых для осуществления контроля согласно данному требованию.

Выявление всех необходимых требований к финансовой отчетности на ранних этапах подготовки проверки позволяет минимизировать работу по тестированию контролей, относящихся к требованиям, не связанным с отдельными существенными компонентами отчетности.

На первый взгляд требования к подготовке отчетности и цели обработки информации могут показаться похожими, однако, это не так. Они имеют разную направленность. Цели обработки информации направлены на оценку результативности дизайна контролей, а точнее, на оценку контролей за работой программного обеспечения, используемого для осуществления определенного процесса.

Этот этап заключается в выявлении рисков финансовой отчетности и их оценке. В ходе оценки рисков определяется характер, временные интервалы проведения тестирования и объем работ по каждому процессу. Например, в большинстве компаний балансовая статья «Основные средства» достаточно существенна, но риск возникновения ошибки в данной статье незначителен, поскольку оценка основного средства мало зависит от суждения бухгалтера. Поэтому тестирование подобных статей проводится в более короткие сроки, проверяется меньший объем данных. Оценка риска достаточно сложный и важный этап, проводить его должны квалифицированные специалисты, обладающие знаниями обо всех бизнеспроцессах компании и связанными с ними рисками. Так же, как и при определении существенных компонентов, следует учитывать и количественные, и качественные факторы. При оценке риска могут быть использованы разные способы, которые определяются руководством компании. Методы оценки рисков для каждого бизнес-процесса могут быть свои. Главное, чтобы выполнялся принцип последовательности, все документировалось и имело соответствующее подтверждение.

Пример процесса оценки рисков и соответствующей документации приводится в приложении 6.

Этап 5. Построение полного списка бизнес-единиц Процесс формирования списка бизнес-единиц, подлежащих оценке, подразумевает под собой предварительный анализ всех существующих процессов компании. Этот этап является наиболее сложным для большинства транснациональных компаний в связи со сложной организационной структурой.

Метод долевого участия По мнению SEC, контроли над операциями в компаниях, в которые инвестируются денежные средства, не являются частью системы внутреннего контроля компании-инвестора. Однако оценка системы внутреннего контроля за финансовой отчетностью компании, которая инвестирует свои средства, должна содержать в себе оценку контролей за формированием отчетности по осуществляемым инвестициям согласно американским бухгалтерским стандартам.

Инвестируемые компании с переменной долей участия и общества, консолидируемые пропорционально доле участия По мнению SEC, руководство организации может исключать предприятия из своей оценки системы внутреннего контроля, если:

компания была образована до 15 декабря 2003 г. и производит консолидацию согласно инструкции FASB № 46 «Консолидация предприятий с переменной долей участия»;

головное предприятие не имеет прав и полномочий для оценки результативности работы системы внутреннего контроля консолидируемой организации, а также не имеет достаточных возможностей для осуществления такой оценки.

Компания также может быть исключена из анализа, если консолидация производится пропорциональным методом согласно инструкции EITF 00-1 «Формирование баланса и отчета о прибылях и убытках инвестора с использованием метода оценки долевого участия в договоре простого товарищества или иных совместных предприятиях», при этом головная компания не может оценить результативность работы системы внутреннего контроля инвестируемой компании.

В соответствии со Стандартом, если управляющие компанией не осуществляют оценку системы внутреннего контроля консолидируемой компании, то и внешний аудитор может также не проводить эту работу. В таких случаях внешний аудитор в заключении указывает, что в отношении данной компании не проводился аудит системы внутреннего контроля финансовой отчетности.

Этап 6. Выделение бизнес-единиц, которые необходимо протестировать При выделении бизнес-единиц, подлежащих тестированию, необходимо провести оценку финансовой значимости каждой бизнес-единицы и рисков существенного искажения данных, связанных с этими бизнес-единицами.

Для оценки значимости бизнес-единиц руководству следует в первую очередь подготовить финансовую информацию по этим бизнес-единицам. При этом информацию необходимо сопоставить с балансом для подтверждения полноты финансовой отчетности. В главных бизнес-единицах (определение см. ниже) руководство должно задокументировать и протестировать систему внутреннего контроля по всем существенным элементам отчетности. Как правило, основная часть операционной деятельности компании, а также активы и пассивы относятся к нескольким бизнес-единицам, которые и будут считаться существенными при формировании отчетности. Если нет возможности ограничиться тестированием нескольких бизнес-единиц, охватив при этом большую часть активов и пассивов компании, то необходимо расширить список бизнес-единиц, включив дополнительные, или воспользоваться методом случайной выборки. Тестирование контролей корпоративного уровня не может заменить тестирования системы внутреннего контроля значительной части бизнес-процессов.

Стандарт включает в себя следующую схему принятия решений (рис. 12), иллюстрирующую этапы процесса выбора бизнес-единиц.

единица ключевой?

корпоративного уровня?

Определение ключевых бизнес-единиц Как же установить, какие именно бизнес-единицы будут ключевыми (существенными с точки зрения финансовой отчетности) для конкретного предприятия?

Каков процент достаточного уровня покрытия?

Для его определения принято использовать качественные показатели, включающие анализ специфических рисков компании.

PCAOB в своих документах не прописывает конкретные проценты покрытия, однако, на основании практического опыта и статистических данных достаточная степень покрытия существенных компонентов финансовой отчетности варьируется в пределах 6070%. Для большинства компаний этот процент покрывает небольшое количество бизнес-единиц. И это хорошо. Так как это означает меньший объем работы при проведении тестирования. На наш взгляд, ключевыми бизнес-единицами являются бизнес-единицы, финансовые показатели которых по отношению к элементам консолидированной финансовой отчетности составляют:

5% от выручки за финансовый год;

5% от прибыли до налогообложения;

5% от активов баланса;

5% собственного капитала (если применимо для компании).

Указанные показатели могут быть скорректированы в зависимости от организационной структуры и потребностей конкретного предприятия. Рассмотрим для примера компанию, осуществляющую операции во множестве примерно одинаковых по размеру бизнес-единиц. В данном случае указанные показатели стоит снизить на пару процентов для достижения достаточного уровня покрытия.

Количественные показатели рассчитываются на основании данных консолидированной финансовой отчетности. Для определения списка ключевых бизнес-единиц, как правило, используют данные последней годовой или квартальной отчетности. Однако такая финансовая отчетность имеет разную детализацию и сопоставимость. Поэтому руководство должно решить, на базе какой отчетности проводить анализ, какая отчетность будет наиболее подходящей. В качестве источника информации могут выступать:

составляемые бюджеты компании в разбивке по бизнес-единицам;

последняя утвержденная финансовая отчетность;

подготовленный за последний квартал баланс и данные отчета о прибылях и убытках за предыдущий отчетный период. Например, если финансовый год закончился 31 декабря 2013 года, то необходимо использовать баланс за I квартал и отчет о прибылях и убытках за 2012 г.

Если на показатели финансовой отчетности, используемые как основной источник информации, существенным образом повлияли нестандартные события и операции, то необходимо откорректировать результаты, исключив влияние этих событий и операций. Соответственно необходимо подвергнуть корректировке бюджет и данные за предыдущий год таким образом, чтобы они отражали ожидаемые существенные изменения в текущем году и в будущем.

После того как на основе выбранных показателей определены ключевые бизнес-единицы, руководство должно оценить степень покрытия. Как упоминалось ранее, мы считаем, что степень покрытия должна составлять как минимум 6070% от величины консолидированных показателей.

Выявление специфических рисков в бизнес-единицах, не включенных в выборку Даже в случае, когда конкретная бизнес-единица не может оказать серьезного влияния на финансовое положение всей группы, она несет ответственность по отдельным направлениям своей деятельности, для которых вероятность искажения данных может оказаться существенной. Отдельное внимание следует уделить тестированию рисков в бизнес-единицах с особыми нестандартными рисками (например, для компаний, использующих иностранную валюту или осуществляющей казначейские операции). Контроли в таких компаниях должны полностью или частично покрывать такие риски. Отнесение отдельных факторов к специфическим рискам должно быть обосновано и задокументировано.

Ниже приводятся примеры факторов, которые могут указывать на повышенный уровень риска в бизнес-процессе или в бизнес-единице:

проводимая оценка рисков;

аудиторские заключения и рекомендации проведенных проверок;

существенные, нестандартные или разовые транзакции;

ключевые компоненты финансовой отчетности;

изменения в структуре компании, в управлении.

Бизнес-единицы, в которых идентифицированы специфические риски, учитываются при определении покрытия тестирования выбранных количественных показателей в том случае, когда элементы финансовой отчетности, подверженные специфическим рискам, напрямую включаются в число выбранных показателей.

Например, если специфический риск и выбранные для определения ключевых бизнес-единиц показатели отчета о прибылях и убытках имеют отношение к выручке, выручка бизнес-единицы со специфическим риском включается в покрытие тестирования по выручке. Однако если выбранным показателем отчета о прибылях и убытках является прибыль до налогообложения, а специфический риск имеет отношение к выручке, то прибыль до налогообложения бизнес-единицы со специфическим риском показателя выручки не будет учитываться при расчете степени покрытия тестирования.

Если бизнес-единицы в совокупности являются несущественными и не приводят к существенному искажению данных отчетности, то у руководства отпадает необходимость в проведении каких-либо дополнительные процедур по оценке и тестированию. Обычно доля таких бизнес-единиц составляет не более 5% от общего количества ключевых бизнес-единиц; считается, что такие бизнес-единицы не имеют специфических рисков.

Иногда бывают ситуации, когда по отдельности бизнес-единицы несущественны, но в совокупности являются существенными. В таких случаях руководству стоит изучить следующие вопросы.

1) Следует удостовериться в результативности работы системы контролей корпоративного уровня с помощью документирования и проведения тестирования. Возможно, потребуется дополнительный анализ.

2) Если дизайн или операционная результативность контролей корпоративного уровня не эффективны, то следующим этапом проводится тестирование контрольных процедур в проверяемых бизнес-единицах для получения необходимого подтверждения результативного дизайна и операционной результативности системы внутреннего контроля в них.

Если система внутреннего контроля уже внедрена, руководству следует ее задокументировать и протестировать. Для оценки дизайна и операционной результативности действующих контролей корпоративного уровня в изучаемых бизнес-единицах могут быть использованы следующие методы: сквозное тестирование, самооценка, внутренний аудит или мониторинг.

При отсутствии корпоративных контролей для этих бизнес-единиц, или если система внутреннего контроля ненадежна, следует определить характер, сроки и объем процедур, которые необходимо выполнить для каждой бизнес-единицы, в целях получения необходимой уверенности в результативности работы контролей (подробнее контроли корпоративного уровня рассмотрены далее).

В Стандарте приводятся следующие факторы, которые следует принимать во внимание при оценке и определении бизнес-единиц и контролей, подлежащих тестированию:

финансовая значимость каждой бизнес-единицы;

риск возникновения существенного искажения данных в каждой бизнесединице;

сходство бизнес-процессов и системы внутреннего контроля в разных степень централизации бизнес-процессов и процесса составления финансовой отчетности;

результативность контрольной среды, проверяется разделение полномочий и результативность работы руководящего состава в различных бизнес-единицах;

характер и объемы совершенных сделок за анализируемый период;

риск возникновения непризнанных обязательств и уровень вероятности создания обязательства для компании в целом;

оценка рисков и выявление бизнес-единиц для проведения тестирования системы внутреннего контроля за подготовкой финансовой отчетности.

Этап 7. Проведение взаимосвязи бизнес-единиц с процессами и подпроцессами На следующем этапе проводится документирование и тестирование контрольных процедур в разрезе подпроцессов для каждой бизнес-единицы. К примеру:

для производственной компании самыми главными являются контроли, покрывающие процессы производства и получения материальнопроизводственных запасов и готовой продукции;

для распределительного центра основными являются контрольные процедуры, покрывающие подпроцессы внутрифирменных перемещений;

корпоративное подразделение компании отвечает за расчет заработной платы, кассовые операции и закупки по поручению бизнес-единиц.

В табл. 6 приведены объемы покрытия при тестировании нескольких бизнесединиц.

Минимальное тестированием Более 60% Ключевые бизнес-единицы Детальная оценка и тестирование контролей в и компоненты финансовой отношении существенных компонентов финанотчетности со специфиче- совой отчетности (специфических рисков) для скими рисками данной бизнес-единицы, и тестирование контролей корпоративного уровня Бизнес-единицы, считаю- Оценка и тестирование контролей корпоративщиеся ключевыми в сово- ного уровня (если это применимо) и рассмоткупности рение возможности получения других доказательств, или тестирование контролей бизнесединиц в случае, если контроли корпоративного уровня отсутствуют Менее 20 % Несущественные бизнес- Тестирования не требуется Компоненты системы внутреннего контроля и отчетности В рамках выполняемой оценки соответствия системы внутреннего контроля требованиям раздела 404 руководство компании обязано документально оформить, протестировать и оценить пять компонентов системы внутреннего контроля. Эти компоненты рассматриваются далее.

1. Контрольная среда Контрольная среда (по определению COSO) выражает отношение руководства к системе внутреннего контроля в организации, оказывая влияние на понимание значения системы внутреннего контроля ее сотрудниками, и является основой для всех прочих составляющих системы внутреннего контроля.

COSO выделяет 7 элементов контрольной среды:

добросовестность и этические ценности;

квалификация и знания персонала;

философия и методы управления;

организационная структура;

разграничение обязанностей, определение ответственности по каждому кадровая политика;

участие руководства в улучшении контрольной среды.

Примеры факторов, которые необходимо учитывать руководству при оценке контрольной среды:

определение руководством уровня профессиональных знаний, необходимых для занятия той или иной должности, подтверждение соблюдения заданных требований;

письменное подтверждение руководством отсутствия компромиссов в вопросах честности и приверженности этическим ценностям и гарантии осведомленности сотрудников компании об этическом кодексе компании;

приверженность руководства высоким этическим нормам, постоянно демонстрируемая ими посредством слов и поступков;

философия и стиль управления, позитивно влияющие на деятельность организационная структура компании с точки зрения системы внутреннего контроля не настолько проста, чтобы руководство не могло следить за всем происходящим в компании, и не настолько сложна, чтобы служить препятствием для информационных потоков;

руководство высшего звена хорошо понимает свои обязанности в контроле, обладает большим опытом и необходимым уровнем знаний, соответствующим занимаемой должности;

распределение прав и обязанностей, делегирование полномочий и следование принципам, которые лежат в основе учета и контроля и обозначают роли и круг обязанностей внутри организации компании;

политика в области управления персоналом, направленная на поиск и удержание компетентных сотрудников, способствующих осуществлению планов и достижению целей компании.

Стандарт поясняет, что руководство должно заниматься разработкой и осуществлением программ, направленных на противодействие мошенничеству и злоупотреблениям, а также не упускать из виду вопросы, связанные с повышением результативности работы Комитета по аудиту.

Предотвращение мошенничества Стандарт указывает, что для снижения рисков возникновения мошенничества компании следует оценить все контроли, каким-либо образом влияющие на финансовую отчетность компании. Предполагается, что эффективная программа по борьбе с мошенничеством и злоупотреблениями состоит из следующих элементов:

кодекс поведения/этики;

горячая линия для сотрудников, которые были свидетелями мошенничества;

проверка при приеме на работу и повышение в должности (необходимые проверки анкетных данных);

расследование обнаруженных фактов мошенничества и злоупотреблений, наказание виновных;

надзор, осуществляемый Комитетом по аудиту и Советом директоров;

оценка рисков.

Руководство компании должно рассмотреть каждый из этих элементов при документировании и оценке программы предотвращения мошенничества. Кроме того, документация, подготовленная руководством, должна надлежащим образом обосновывать оценку программ и контролей по предотвращению мошенничества:

предоставляя достаточную информацию о потоках операций, что позволит руководству определить, где могло произойти существенное искажение данных в результате мошенничества;

определяя, какие именно системы и процедуры контроля предотвращают случаи мошенничества и способствуют их обнаружению;

определяя, кто будет осуществлять контроль, и распределяя связанные с Результативность деятельности Комитета по аудиту Совет директоров компании несет ответственность за оценку деятельности и результативность Комитета по аудиту, а также за оценку работы внешнего аудитора. Во время проведения оценки результативности деятельности Комитета по аудиту Совет директоров должен, как мы полагаем, рассмотреть следующие вопросы:

независимость Комитета по аудиту от руководства;

четкое определение обязанностей Комитета по аудиту и того, насколько хорошо Комитет по аудиту и руководство понимают эти обязанности;

привлечение внешнего аудитора и степень взаимодействия с ним, включая роль Комитета в назначении, продлении контракта и определении вознаграждения для внешнего аудитора;

вовлечение работников внутреннего аудита и степень взаимодействия с ними, включая полномочия Комитета и его роль в назначении сотрудников, выполняющих функции внутреннего аудита, и определении вознаграждения внутренних аудиторов;

взаимодействие с ключевыми фигурами финансового менеджмента компании, включая финансового директора и главного бухгалтера;

перечень вопросов, поднимаемых Комитетом по аудиту, и его способность реагировать на проблемы, обозначаемые внешними аудиторами;

соблюдение Комитетом по аудиту стандартов, применяемых по отношению к компаниям, котирующимся на биржах;

уровень компетентности членов Комитета по аудиту в финансовых вопросах;

проведение обучения для членов Комитета по аудиту по отдельным вопросам бухгалтерского учета и отраслевой специфики.

2. Идентификация рисков в системе внутреннего контроля Следующий элемент системы внутреннего контроля это оценка рисков.

Чтобы контроль был эффективен, необходимо соблюдать цели, намеченные руководством, а также цели, прописанные в законе СарбейнсаОксли, а также определить риски, которые могут возникнуть. Руководство должно четко понимать, какие последствия могут произойти в том или ином случае, как риски могут воспрепятствовать достижению поставленных целей. В дальнейшем руководство компании должно создать основу для управления рисками. Для целей проведения оценки результативности контролей Стандарт указывает, что руководство должно определить риски искажения данных существенных элементов финансовой отчетности и требований к ней. В компании должна быть разработана и внедрена система внутреннего контроля для предотвращения или обнаружения фактов мошенничества и злоупотреблений в учете и финансовой отчетности. В Стандарте приводится пример того, как руководство должно оценивать инструменты выявления возможности осуществления неучтенных операций, а также метод определения и анализа существенных оценок, отраженных в финансовой отчетности.

Процесс определения и анализа рисков – это непрерывный повторяющийся процесс. Выделяют следующие элементы оценки рисков.

1. Оценка бизнес-рисков:

a) стратегические цели компании в целом: имеет ли предприятие сформулированные цели, согласованные с его стратегическим планом?

b) цели деятельности компании: соотносятся ли цели деятельности со стратегическими целями компании в целом и друг с другом?

c) анализ рисков: существуют ли механизмы для определения рисков и предотвращения попыток помешать компании в достижении поставленных целей как из внешних, так и из внутренних источников? Является ли процесс доскональным и учитывающим все детали?

d) управление изменениями: разработаны ли адекватные механизмы управления изменениями, которые могут оказать всеобъемлющее воздействие на компанию?

2. Неотъемлемые риски.

3. Риски противоправных действий (риски мошенничества).

Руководство компании может применять по отношению к рискам комбинацию следующих процедур:

проведение подразделением внутреннего аудита по выявлению и оценке проведение отдельной оценки рисков в разрезе бизнес-единиц. В дальнейшем результаты такой работы консолидируются и предоставляются на рассмотрение одному из руководителей высшего звена, отвечающему за управление рисками или за соответствие требованиям раздела 404;

выбор ответственного за проведение оценки рисков среди руководящего формирование Совета по управлению рисками, имеющего полномочия по надзору за проведением оценки рисков;

проведение подразделением внутреннего аудита работы по оценке риска проведение еженедельных/ежемесячных собраний с целью обсуждения основных рисков системы.

Контрольные процедуры – это политики и процедуры, направленные на получение достаточного уровня уверенности в том, что принятые решения выполняются. Такие процедуры должны применяться ко всем уровням и подразделениям компании, во всех бизнес-процессах. Контрольные процедуры включают в себя: подтверждение операций, проверку доступов и сверку транзакций, анализ результативности деятельности, проверку сохранности имущества, анализ задолженности.

В методологии COSO выделены различные виды контрольных процедур, а именно:

контроли по предотвращению;

контроли по обнаружению;

ручные и автоматизированные контроли;

управленческие контроли и т. д.

Контрольные процедуры направлены на достижение конкретных целей по обработке информации, например: обеспечение полноты и точности предоставляемой информации. Ниже перечислены некоторые виды контрольных процедур, которые (как указано в методологии COSO) обычно исполняются персоналом на различных уровнях в компании.

Обзор и анализ деятельности компании, проводимые руководством.

Руководство проводит сравнение фактических данных о деятельности компании с бюджетными, прогнозными данными прошлых лет; также можно проводить сравнение с показателями конкурентов, если это представляется возможным. Чтобы изучить степень достижения поставленных целей, проводится анализ главных нововведения и шагов по улучшению процессов (таких как работа маркетингового отдела, улучшение производственных процессов, программы по снижению затрат, повышение квалификации сотрудников). Проводится мониторинг реализации планов по разработке новых продуктов, созданию совместных предприятий или вложенным инвестициям. Руководство проводит анализ и контролирует исполнение вышеуказанных контрольных процедур.

Оперативное управление функциональной и хозяйственной деятельностью компании. Руководство и директора отделов анализируют отчеты и фактические показатели деятельности для осуществления функции контроля за работой своего подразделения или зоны ответственности.

Обработка информации. Существует множество видов контрольных процедур, используемых для проверки точности и полноты проводимых операций, прав на это. Данные, вводимые в автоматизированные системы, контролируются на предмет несанкционированных изменений, а также производится их сравнение с утвержденными контрольными файлами. Например, при поступлении нового заказа его проведение осуществляется только после проверки клиента в общей базе и сверке кредитного лимита. Итоговые суммы сравниваются с балансами за предыдущие периоды и контрольными показателями, производится анализ отклонений. При необходимости информация о существенных или значимых отклонениях доводится до руководства. Разрабатываются новые системы, улучшаются уже существующие системы, регламентируются доступы к информации и программам.

Сохранность активов, процедуры физического контроля. Необходимо контролировать сохранность активов компании: техники, товарноматериальных запасов, ценных бумаг, денежных средств и т. д. Это обеспечивается с помощью физического контроля. Проводится инвентаризация активов на периодической основе: пересчет и сравнение полученных данных с учетными. Эти виды контрольных процедур также оказывают содействие высшему руководству в осуществлении программ по предотвращению мошенничества.

Производственные показатели деятельности. Включают в себя такие показатели, как: изменение цены закупки материалов, процент срочных заказов и процент возвратов и брака по отношению к общему числу заказов. Анализируя риски или необычные тенденции, руководство может спрогнозировать ситуации, при которых может возникнуть угроза того, что производственные цели компании не будут полностью достигнуты. В зависимости от того, как использует данную информацию руководство, можно делать выводы, служит ли анализ производственных показателей только целям контроля операционных процессов, или же и целям контроля над подготовкой финансовой отчетности. Если руководство использует эту информацию только для принятия решений в операционной деятельности, то основная цель руководства контроль основных процессов. Если же исследует непредвиденные результаты, полученные из систем финансовой отчетности, то на первый план выходит контроль за подготовкой отчетности.

Разграничение полномочий. Для уменьшения риска возникновения ошибок, злоупотреблений и фактов мошенничества следует тщательно распределять обязанности между сотрудниками. Например, обязанности по авторизации, учету и управлению основными средствами должны находиться в руках разных сотрудников компании.

Так, менеджер, проводивший авторизацию продажи в кредит, не может отвечать за учет дебиторской задолженности или проведение денежных поступлений (и то и другое относится к основным подпроцессам). Аналогично продавцы не должны контролировать и изменять файлы с ценами на продукцию или информацию по размерам комиссионных вознаграждений.

Это всего лишь несколько примеров из огромного множества процедур по контролю, которые проводятся изо дня в день на всех уровнях организации, которые способствуют соблюдению установленной практики ведения бизнеса и помогают компании достичь поставленных целей.

Данный компонент содержит перечень систем, способствующих выявлению, сбору и обмену информацией в форме и в период времени, которые нацелены на помощь персоналу в исполнении обязанностей надлежащим образом и обеспечивают достоверность финансовой отчетности. Компонент «информация и коммуникация» пронизывает все элементы системы внутреннего контроля. При оценке этого элемента руководству следует изучить полученные из внутренних и внешних источников данные, которые позволяют руководству принимать обоснованные решения о финансовой отчетности и приложениям к ней. К внешней информации относится отраслевая, экономическая и нормативная информация. Распространение необходимых данных на всех уровнях руководства компании и передача их заинтересованным сторонам – это важная часть внутреннего контроля.

Руководство должно сосредоточить свое внимание на понимании систем и процессов сбора и накопления финансовой информации, включая систему обеспечения безопасности информации, процессы авторизации операций и систему ведения бухгалтерского учета. При оценке компонента «информация и коммуникация» системы внутреннего контроля компании руководство должно рассмотреть методы, используемые компанией для сбора и распространения информации, включая:

системы бухгалтерского учета;

учетные политики и процедуры (в том числе инструкции по составлению финансовой отчетности);

изменения в учетной политике;

технические изменения;

отчеты руководства;

совещания персонала;

информационные письма;

Оценивая качество обмена информацией, руководство должно рассмотреть следующие вопросы.

Соответствующее содержание существует ли запрашиваемая информация?

Информация получена своевременно доступна ли она при необходимости?

Информация не устарела является ли предоставленная информация актуальной на дату предоставления?

Информация точна верны ли данные?

Информация доступна легко ли может быть получена информация соответствующими сторонами?

Все эти вопросы должны лечь в основу при построении информационной системы. В противном случае существует вероятность того, что система не сможет обеспечить предоставление той информации, которая нужна руководству и другим сотрудникам для подготовки достоверной финансовой отчетности.

Мониторинг – это система процессов, проводимых непрерывно и используемых руководством для оценки качества работы системы внутреннего контроля на протяжении определенного периода времени. Выделяют три компонента мониторинга:

1. Непрерывный мониторинг. Обычно проводится во время стандартного операционного процесса. Непрерывный мониторинг включает в себя систематическое управление и надзор, а также другие действия персонала при исполнении им своих обязанностей по оценке качества функционирования системы внутреннего контроля.

2. Разовые проверки или периодический мониторинг. Проводится не так часто: ежемесячно, ежеквартально или с иной периодичностью. Периодический мониторинг имеет место тогда, когда руководство время от времени подвергает анализу систему внутреннего контроля, обращая особое внимание на результативность системы. Объем и частота разовых проверок зависят в основном от оценки рисков и непрерывного процесса 3. Сообщения об обнаруженных недостатках, ошибках. Мониторинг должен содержать процесс передачи полученной информации о наличии недостатков руководству соответствующего уровня и Совету директоров.

Кроме того, в конце должны проводиться мероприятия по устранению найденных недостатков.

Примеры мониторинга:

внутренний аудит;

обзоры, проводимые руководством;

деятельность Комитета по аудиту;

деятельность Комитета по раскрытию информации;

обзоры самостоятельных оценок, проведенных на уровне подразделений.

Подтверждение результативности работы системы внутреннего контроля производится на основе задокументированных бизнес-процессов и процедур контроля. В соответствии с утвержденными правилами SEC документирование процедур системы внутреннего контроля является обязанностью руководства компании, а разработка соответствующей документации есть необходимое условие результативности системы.

Руководство подготавливает документацию по системе внутреннего контроля, которая должна содержать:

обоснование объема работ по проекту;

оценку результативности предотвращения и обнаружения системой внутреннего контроля существенных искажений финансовой отчетности;

оценка правильности планирования и проведения тестирования операционной результативности системы внутреннего контроля;

рассмотрение результатов тестирования контролей при определении покрываемых ими требований к финансовой отчетности.

Для выполнения этого требования руководству необходимо пройти четыре этапа документирования системы внутреннего контроля:

1) Определение объема документации – выделение существенных элементов финансовой отчетности и процессов, в которых будет происходить документирование системы внутреннего контроля компании.

2) Разработка методологии документирования бизнес-процессов – документирование последовательности операций в рамках бизнес-процессов, имеющих непосредственную связь с существенными элементами финансовой отчетности, для определения возможности возникновения существенных искажений в результате ошибки или мошенничества. Идентификация контрольных процедур, существующих в рамках процессов.

3) Разработка методологии документирования контролей – документирование контролей по каждому из пяти компонентов системы внутреннего контроля (компоненты COSO). Особое внимание при документировании следует обратить на контроли корпоративного уровня, программы по обнаружению и предотвращению мошенничества, оценку результативности работы Комитета по аудиту.

4) Оценка дизайна контролей – оценка результативности дизайна контролей компании для цели снижения риска существенных искажений.

Для соблюдения поставленных сроков может возникнуть необходимость выполнять эти шаги не последовательно, а одновременно.

Шаг 1. Определение объема документирования Документированию подлежат контроли, относящиеся к существенным компонентам финансовой отчетности и ключевым бизнес-процессам в бизнесединицах, включенных в объем работ по проекту. К таким бизнес-единицам относятся:

1) ключевые бизнес-единицы;

2) бизнес-единицы, являющиеся существенными в связи с наличием специфических рисков;

3) бизнес-единицы, которые не являются ключевыми по отдельности, но являются ключевыми в совокупности с другими бизнес-единицами.

Кроме того, мы считаем, что руководству необходимо провести документирование хотя бы части ключевых контролей на объектах, не являющихся ключевыми или существенными.

По нашему мнению, вышеуказанные требования к документированию соответствуют требованиям SEC в отношении ведения бухгалтерского учета и отчетности.

Шаг 2. Разработка методологии документирования процессов Документация процессов, связанных с существенными компонентами финансовой отчетности, должна включать не только контроли, которые планируется тестировать. Документация должна позволить руководству понять весь бизнеспроцесс от его инициации до отражения в учете и отчетности, влияющий на существенные компоненты финансовой отчетности, и отразить все стадии процесса – от его инициации, авторизации, до отражения в учете и отчетности. Например, руководству следует задокументировать весь процесс получения выручки, начиная с операции продажи до отражения выручки и дебиторской задолженности в Главной Книге. Без такого документирования будет трудно определить слабые звенья бизнес-процесса, в которых есть риск возникновения искажения в силу ошибки или мошеннических действий, и контроли, покрывающие все соответствующие цели руководства или требования политик и процедур по составлению финансовой отчетности. Результаты документирования процессов могут быть оформлены в различной форме: в виде диаграмм бизнес-процессов, утвержденных в компании учетных процедур, руководства по ведению бухгалтерского учета, описаний, таблиц, инструкций и заполненных вопросников. Требования относительно конкретной формы документирования результатов отсутствуют, и степень документирования может зависеть от размера компании и сложности ее организационной структуры. Однако наиболее эффективной формой документирования процессов являются диаграммы бизнес-процессов, дополненные текстовыми пояснениями.

Более подробные рекомендации в отношении схем бизнес-процессов приведены в приложении 7.

Шаг 3. Разработка методологии документирования контролей После того как необходимая документация с описанием бизнес-процессов будет готова, руководству необходимо задокументировать дизайн контролей, относящихся к процессу подготовки финансовой отчетности. Такая документация позволит руководству оценить покрытие контролями требований к составляемой финансовой отчетности. Документирование руководством дизайна контролей должно охватывать все пять компонентов методологии COSO.

Оценивая дизайн контрольных процедур, руководство должно убедиться в том, что при надлежащем выполнении контроля его цели покрывают все требования.

Операционная результативность контролей будет оценена руководством позднее – на этапе тестирования. Но если дизайн контроля будет неэффективен, то руководство не получит уверенности в том, что система контролей способна предотвратить или обнаружить искажения в отчетности, даже при условии эффективного функционирования системы. Тогда руководству придется исправлять недостатки дизайна.

Компания должна документировать дизайн контролей, которые покрывают:

соответствующие требования к финансовой отчетности, относящиеся ко всем существенным компонентам финансовой отчетности (включая пять компонентов системы внутреннего контроля);

предотвращение и выявление мошенничества (в документации должно быть указано, какие лица несут ответственность за осуществление контролей, каким образом распределены полномочия и ответственность).

Стандарт указывает, что недостаток контроля за обеспечением сохранности активов (например, контроля за предотвращением хищения товарноматериальных ценностей) не будет рассматриваться как существенный или значительный недостаток системы внутреннего контроля, если в компании функционирует обнаруживающий контроль (к примеру, инвентаризация), который позволит своевременно предотвратить существенное искажение финансовой отчетности.

В Стандарте содержатся рекомендации и примеры контролей, обеспечивающих сохранность активов. Руководство компании должно обратить особое внимание на этот тип контролей при определении контролей, подлежащих тестированию.

Основные выводы. При документировании контролей должна быть четко выделена контрольная процедура (которая покрывает определенный риск), а не просто процесс или операция. Иногда бывает трудно провести различие между этими понятиями. Например, сравнение величины банковских депозитов с полученными денежными средствами представляет собой операцию в рамках процесса сверки денежных средств. Однако процесс выявления причины возникновения расхождений и их устранение, выполняемый сотрудником организации, представляет собой контрольную процедуру, осуществление которой должно подтверждаться подписью, визой или другими способами.

Документирование общих компьютерных контролей В области общих компьютерных контролей документированию подлежат следующие области (табл. 7).

Области документирования компьютерных контролей компьютерных контролей документированию отчетности, на которые Контрольная среда информа- Каждая из ИТ-систем, вклю- Все ционных технологий (ИТ) ченных в объем работ Разработка программного Особо важные проекты по Все Изменения в программном Все программное обеспече- Все обеспечении ние, включенное в объем работ по оценке системы внутренних контролей, и ИТ-среда Доступ к программному обес- Все программные продукты, Все – но особенно на полноту печению и данным (информа- включенные в объем работ по и существование ционная безопасность) оценке контролей, и ИТ-среда Эксплуатация компьютерных Все сферы ИТ среды Все – но особенно на полноту систем Каждая из указанных областей должна быть задокументирована и оценена с использованием той же методики и инструментария, что и для оценки других контрольных процедур. Контролеру следует составить матрицу контролей для каждой из пяти областей, причем в матрице необходимо указать цели контроля, и как они соотносятся с основными подкомпонентами каждой из областей.

Основные выводы. В компаниях с распределенной ИТ-системой имеются общие ИТ-приложения, которые поддерживают различные бизнес-единицы, в том числе географически удаленные. В таких случаях не обязательно составлять отдельные матрицы контролей в отношении программного продукта или ИТ-среды в каждой бизнес-единице. Достаточно разработать общую матрицу, в которой будет задокументирован стандартный процесс. Исключения из данного стандартного процесса могут быть затем задокументированы в отдельной матрице по соответствующему программному продукту или среде. Например, некоторые компании используют единый для нескольких приложений процесс внесения программных изменений. Если это так, то может быть разработана общая матрица контролей, охватывающая стандартный процесс, и задокументированы соответствующие контрольные процедуры.

Документирование всех компонентов внутреннего контроля:

руководству нужно получить подтверждение того, что существуют контроли для всех компонентов системы внутреннего контроля. При этом к документации предъявляются следующие требования: документация должна содержать описание всех элементов каждого из компонентов системы внутреннего контроля;

необходимо подготовить документы, касающиеся кодекса поведения, самостоятельных оценок, организационной структуры;

документация должна включать результаты тестирования и оценки, проведенные руководством.

Шаг 4. Оценка дизайна контроля После того как руководство завершит документирование дизайна контролей процессов, входящих в объем работы по проекту соблюдения требований раздела 404, следует определить результативность дизайна контролей, и какие контроли подлежат тестированию в целях проверки операционной результативности.

Результативность дизайна контроля Оценка результативности дизайна контролей проводится для определения способности системы внутреннего контроля обеспечить своевременное предотвращение или обнаружение существенных искажений информации по существенным компонентам финансовой отчетности. Такая оценка должна осуществляться в отношении контролей корпоративного уровня (руководству следует оценить соответствующие компоненты внутреннего контроля), и конкретных контрольных процедур бизнес-процессов, относящихся ко всем этапам и для каждого бизнеспроцесса, включенного в объем работ по проекту соблюдения требований раздела 404. При оценке результативности дизайна контролей руководству следует сосредоточить свое внимание на таких аспектах, как:

взаимосвязь контролей и выявленных рисков (на сколько эффективно работают выбранные методы контроля с соответствующими им рисками, достигаются ли благодаря им поставленные цели);

соответствие контролей целям обработки информации и требованиям к финансовой отчетности;

периодичность проведения контроля – на сколько оперативно контроль способен обнаруживать и предотвращать искажения финансовой информации (в некоторых случаях достаточно будет наличия обнаруживающего контроля, но иногда руководству необходимо обеспечить существование предупреждающего контроля);

знания и опыт сотрудников, ответственных за исполнение контроля;

наличие разграничения полномочий и обязанностей в рамках процесса;

своевременность решения проблем с недостатками и ошибками, возникающими во время проведения контрольных процедур;

надежность информации, используемой при проведении контроля;

проверяемый период времени.

Не все контроли дают руководству одинаковую степень уверенности. При ее оценке руководству следует рассмотреть следующие факторы: характер контроля, способ и последовательность его применения, определение ответственных за выполнение контроля сотрудников. В табл. 8 отображены различные степени уверенности и зависимость от некоторых факторов.

Оценка руководством результативности дизайна контролей имеет большое значение, так как это позволит снизить риски и повысить результативность. Поэтому документация, содержащая подобную оценку, должна быть четкой и понятной.

Более низкая степень уверенности Более высокая степень уверенности Контроль со сложной структурой (требующий Контроль с простой структурой (один этап, нескольких этапов, многочисленных расчетов один расчет и т.д.) и т.д.) Контроль осуществляется недостаточно опыт- Контроль осуществляется опытным сотрудниным сотрудником ком Обнаруживающий контроль (выявляет потен- Предотвращающий контроль (предотвращает циальную ошибку после того произведения ошибку) операции) Контроль на уровне компании (аналитиче- Детальный контроль на уровне операций ский) Контроль осуществляется после проведения Контроль в режиме реального времени (т.е. в Контроли, операционная результативность которых должна быть Готовясь к следующему этапу проекта по проведению внутренних контролей в соответствии с требованиями раздела 404 закона СарбейнсаОксли, руководство должно выбрать и составить список контролей, операционная результативность которых должна быть протестирована.

Как говорилось ранее, этот выбор будет в значительной степени обусловлен оценкой результативности дизайна контролей. Повторимся, при выборе контролей руководство должно опираться на профессиональное суждение, поскольку не существует универсального решения, подходящего всем компаниям. Руководство должно выбрать из множества, какие формулы использовать, какие контроли тестировать. Тестировать следует те контроли, которые относятся ко всем необходимым требованиям к финансовой отчетности, проверить все существенные компоненты по всем ключевым бизнес-единицам и существенным специфическим рискам. Стандарт отмечает, что, хотя некоторые специфические требования к финансовой отчетности могут покрываться одним контролем, сочетание предотвращающего и обнаруживающего контролей наиболее эффективно.

В одних компаниях контроли, подлежащие тестированию, получили название «ключевых». В других компаниях применяют схему присвоения контролям рейтингов (высокий/средний/низкий) по степени покрытия, требований к компонентам финансовой отчетности, которую они обеспечивают. В этом случае компания может запланировать тестирование только тех контролей, которым присвоен рейтинг «высокий» или «средний». Однако ни одна из схем не является единственно правильной. Для простоты мы будем называть контроли, чья операционная результативность должна быть протестирована, ключевыми контролями.

Основные выводы. Задача оценки результативности дизайна и выбора ключевых контролей должна быть возложена на владельцев процессов или опытных сотрудников. Желательно, чтобы последние имели опыт проведения аудита и оценки контролей. Исполнители должны нести ответственность за выполнение поставленной задачи.

В табл. 9 представлены примеры документов, наличие которых необходимо в качестве доказательства результатов проведенной руководством оценки.

Определение объема работ Определение ключевых бизнес-единиц (с использованием Определение существенных компонентов финансовой отчетности (включая уровень их существенности) Установление взаимосвязей существенных счетов, процесСхема процессов Схемы бизнес-процессов или описания процессов, подпроцессов и контролей за необходимыми требованиями, включая процесс подготовки финансовой отчетности за отчетный Контрольная среда Мониторинг Программы и контроли по предупреждению и обнару- Подтверждения Кодекса корпоративного поведения жению мошеннической дея- Отчеты по жалобам, поступившим по «горячей линии»

Руководство по процедурам подготовки финансовой отчетОбмен информацией Организационная структура с указанием механизмов подотчетности и обмена информацией, относящихся к составлению отчетности Оценка руководством дизайна контролей дизайна контролей Определение выборки для тестирования, обоснование метоТестирование операционной результативности контролей да выборки и определение ключевых контролей для тестирования Заключение руководства относительно операционной результативности контролей Недостатки контролей, значительные и существенные недоОценка недостатков в системе внутреннего контроля статки, информация о которых получена из различных иснад финансовой отчетно- точников (от службы внутреннего аудита, от внешнего Оценка результативности работы системы внутреннего контроля Для того чтобы оценить качество работы системы внутреннего контроля за составлением финансовой отчетности, руководству компании следует определить результативность работы используемых при этом механизмов контроля. Для этого нужно провести их тестирование, охватив при этом все пять элементов системы внутреннего контроля (по методологии COSO). Необходимо определить, на сколько полно выполняются требования к финансовой отчетности, оценить работу контроля в отношении всех статей отчетности в разрезе каждой ключевой бизнес-единицы. Особое внимание при тестировании следует уделять специфическим рискам в компании, даже если они не значительны. Все документы, подтверждающие выводы и обосновывающие принятые решения, необходимо сохранять в качестве обоснований.

В итоге можно выделить следующие этапы проведения тестирования механизмов контроля:

1) выделение тестируемых контролей;

2) выделение сотрудников, ответственных за проведение тестирования;

3) написание плана проведения тестирования (сроки, направления, методы 4) анализ результатов проведенного тестирования, написание рекомендаций.

В некоторых случаях по результатам проверки может быть принято решение об изменении последовательности шагов тестирования или же может возникнуть необходимость в проведении повторного тестирования после внесения корректировочных данных.

Как правило, эти этапы выполняются последовательно, однако иногда порядок их выполнения нарушается, поскольку результаты тестирования могут заставлять вносить изменения в план или требовать повторного тестирования исправленных позиций.

Шаги по тестированию должны быть зафиксированы в общем стратегическом плане тестирования системы внутреннего контроля компании. На этапе подготовки комитет, ответственный за проект, утверждает план тестирования. Процесс тестирования довольно трудоемкий. Во время его проведения могут возникнуть сложности, руководству необходимо это учесть при планировании сроков.

Рекомендуется провести обучение сотрудников компании, это будет способствовать успешной реализации намеченного плана во всех подразделениях компании.

После проведения оценки результативности функционирования системы внутреннего контроля руководство может говорить о достаточной уверенности в правильности подготовки финансовой отчетности. Достаточная уверенность является основным принципом как при работе внутреннего контроля, так и при аудите. Достаточная уверенность, это уверенность в том, что в финансовой отчетности отсутствуют существенные ошибки. Это не абсолютный показатель.

Для того чтобы достичь высокой степени уверенности, необходимо получить достаточное количество доказательств правильности работы системы внутренних контролей, а соответственно и правильности подготовки финансовой отчетности. При этом стоит заметить, что при проведении аудиторской проверки аудитор сильно ограничен в выборе метода получения доказательств, используется, как правило, классическое тестирование (проведение проверки узкого круга выбранных контролей и данных). В то же время руководство компании не имеет подобных ограничений. К примеру, могут использоваться текущий мониторинг, внутренний аудит, самостоятельная оценка и пр. Таким образом, руководство может не тестировать каждый контроль классическим способом, а получать доказательства из альтернативных методов, которые позволят повысить степень уверенности. При разработке плана тестирования руководству необходимо понять, какие методы получения доказательств оно может использовать, достаточно ли для этого данных. Если такие способы действительно существуют и их можно эффективно использовать, то размер выборки для проведения тестирования можно уменьшить. Но объем выборки в совокупности не должен измениться, он должен быть таким, чтобы обеспечить достоверную оценку результативности проверяемого контроля.

Если же руководство понимает, что наилучшим вариантом остается проведение традиционного тестирования, то размер выборки должен соответствовать (или превосходить) информации, приведенной в таблице. Объем выборки следует увеличить, если требуется более высокая степень уверенности, нужно тщательно проверить механизм контроля, когда с одним или несколькими требованиями к финансовой отчетности в отношении существенных компонентов связан лишь один контроль и т. д. Постоянное тестирование позволит снизить риск обнаружения существенных и значительных недостатков системы, а значит повысить уровень подготовки финансовой отчетности.

Определение контролей, подлежащих тестированию Руководству необходимо удостовериться, что все внутренние контроли работают эффективно в отношении всех элементов финансовой отчетности, финансовых процессов и бизнес-единиц. Тестирование контрольных процессов является более простым, чем тестирование других элементов внутреннего контроля. Как правило, при проверке функционирования контролей в отношении элементов системы COSO руководство и контролеры основывают свое решение на профессиональном суждении и качественном анализе данных. Исключение составляет оценка контрольных процедур.

После проведения этапов по определению объема работ и документирования можно приступить к выбору бизнес-единиц и выполнению тестирования (табл. 10).

Из таблицы видно, что первая категория бизнес-единиц является наиболее рисковой, проводимые контроли охватывают большой спектр процессов и элементов финансовой отчетности, тогда как третья категория не нуждается ни в каком особом тестировании, поскольку практически не имеет влияния на выходную информацию.

Виды процедур при различных покрытиях балансовых счетов В бизнес-единицах второй категории протестировать контроли корпоративного уровня с помощью всех возможных методов. Например, к контролю корпоративного уровня относится проверка соблюдения учетной политики. Для этого надо протестировать бизнес-единицы второй категории, проверить соблюдают ли сотрудники учетную политику. Помимо тестирования, руководство может воспользоваться результатами внутреннего аудита, провести мониторинг или самостоятельную оценку.

В табл. 11 наглядно показано, какое минимальное количество бизнес-единиц из второй категории следует провести через тестирование контролей корпоративного уровня.

В том случае, если тестирование контролей корпоративного уровня для бизнес-единиц второго уровня не дает необходимой уверенности, то следует дополнительно протестировать контроли, покрывающие существенные компоненты финансовой отчетности.

Варианты определения объема минимума бизнес-единиц Количество бизнес-единиц Количество бизнес-единиц, в которых Определение лиц, которые будут производить тестирование Согласно Стандарту, руководство может проводить тестирование системы внутренних контролей с помощью департамента внутреннего аудита, привлекать сотрудников компании или же использовать метод самостоятельной оценки. При этом использование каждого из вариантов не исключает возможности параллельного мониторинга со стороны руководства. Какой бы метод не использовался, ответственность за систему внутреннего контроля (достоверность составленной финансовой отчетности, тестирование контролей, сбор доказательств, выполнение сотрудниками политик и процедур) несет руководство.

Основные выводы. Наиболее подходящим для выполнения тестирования контролей считается отдел внутреннего аудита. Данный отдел является абсолютно независимым, поэтому может принимать участие на всех стадиях: начиная с этапа планирования, и вплоть до оценки результатов тестирования. Если у компании нет такого подразделения, то можно воспользоваться силами других независимых сотрудников. В идеальной ситуации проводить тестирование и оценивать результаты должны разные люди. Это обеспечит объективность при оценке результативности функционирования системы.

Разработка и выполнение планов тестирования План тестирования, разрабатываемый на предприятии, должен охватывать все контроли, подлежащие проверке, а также основные ключевые элементы:

Ключевые контроли, отобранные для проведения тестирования описываются контроли, подлежащие тестированию, дается вводная информация.

Методы тестирования – необходимо выбрать один из методов проведения тестирования: подтверждение, наблюдение, ревизия или внутренний аудит, повторная проверка.

Выборка тестирования – определить объем проверяемых данных и Сроки исполнения процедур – в плане прописываются сроки проведения каждого этапа проверки, кроме того, в плане должно быть учтено время для проведения повторной проверки и запас времени на тот случай, если понадобится расширить выборку.

Описание процедуры тестирования – в плане должны быть отражены процедуры тестирования, а также требования к финансовой отчетности, на основании которых потом будет строиться проверка.

Организация процедуры тестирования – в плане прописывается, кто, когда, где и как будет проводить тестирование системы.

Документация – разрабатывается документальное оформление результатов тестирования.

Исключения – определяется минимальный уровень исключений, разрабатываются способы их устранения, методы повторных проверок.

Помимо этого план тестирования должен содержать описание тестов и методов, результаты тестирования, после чего план рассматривается и утверждается руководством компании.

Основные выводы. Обычно с помощью одного тестирования, одной выборки можно проверить сразу несколько контролей, что позволяет проанализировать взаимосвязь между контрольными процедурами. Рассмотрим в качестве примера учет выручки. Предположим, руководство приняло решение проверить новые договоры на реализацию. Здесь мы имеем возможность протестировать работу двух контролей:

одобрение договоров – проверяется наличие подписей на каждом договоре;

правильность формирования цены – сверив с утвержденной ценовой политикой компании.

Методы тестирования На практике выделяют четыре 4 метода проверки:

подтверждение;

ревизия документов;

повторное выполнение.

При этом зачастую применяют сразу несколько методов тестирования, что позволяет повысить уровень уверенности представляемых данных. Использование нескольких методов тестирования также важно при высоких рисках или при проверке особо существенных элементов финансовой отчетности, финансовых данных или бизнес-процессов. При выборе метода тестирования рекомендуется учитывать и характер контроля. На рис. 13 изображена зависимость степени уверенности от используемого метода тестирования.

Рис. 13. Зависимость степени уверенности от используемого метода тестирования Подтверждение информации, касающейся операционной результативности контролей, и не является доказательством того, что контроль работает эффективно. Наблюдение за контролем обеспечивает более высокую степень уверенности и может быть приемлемым методом оценки автоматизированных контролей. Ревизия документов часто используется для того, чтобы установить, исполняются ли ручные контроли (например, последующий контроль в отношении отчетов о найденных расхождениях). Повторное выполнение контрольной процедуры обеспечивает наибольшую степень уверенности. Большинство ручных контролей тестируется с использованием сочетания методов тестирования: подтверждения, наблюдения, ревизии документов и повторного выполнения.

Объем тестирования Объем тестирования конкретной контрольной процедуры зависит от многого, к примеру, от средств проведения: вручную или с помощью техники.

Тестирование автоматизированных контролей При тестировании автоматизированных контролей можно использовать небольшой объем выборки при условии, что общие компьютерные контроли, применяемые в ИТ-системе, были протестированы и признаны эффективными. В первую очередь обычно проверяют результативность работы контроля по вводу информации, ее редактированию, права доступа. Например, ограниченный доступ к закрытию отчетного периода обеспечивает контроль за внесением данных в закрытый период. Это не позволит сотрудникам проводить первичные документы задним числом. Проверке подлежит операционная результативность каждого элемента ИТконтроля. В нашем примере, для того чтобы продемонстрировать операционную результативность контроля, можно используя доступы разных сотрудников, попробовать провести любой документ датой уже закрытого периода.

Также необходимо протестировать расширенные права, если они предусмотрены в компании, на наличие недостатков системы контролей.

Проводя проверку работы автоматизированных контролей руководству следует убедиться в соблюдении общих компьютерных контролей и провести их детальный анализ (к примеру, оценить положение до введения и после). Если вернуться к предыдущему примеру, то руководству следует донести до своих сотрудников, что контроль закрытия периода очень важен для финансовой отчетности компании и он должен соблюдаться при любых обстоятельствах.

В том случае, если ранее автоматизированные контроли не тестировались в компании или слабые, то руководству необходимо в первую очередь проверить их на соответствие первоначальному дизайну. А уже в дальнейшем ввести более детальные контроли, анализировать до внедрения и после.

Есть несколько вариантов проверки контроля на соответствие первоначальному дизайну: от радикального (полная проверка программного кода) до сквозной проверки (покрывает ли контроль все соответствующие цепочки логических схем).

Для программ, разработанных сторонними организациями, достаточно просто проверить работу стандартных конфигураций и внедрить контроль за последующими изменениями. Для программ, разработанных по специальному заказу компании, или если в разработке принимали участники сотрудники, потребуется провести более широкую проверку для подтверждения результативности.

Основные выводы. Определить ручной или автоматический контроль используется достаточно легко. Однако бывают исключения. Механизм контроля может основываться на автоматизированном процессе, однако его ключевой компонент будет ручным. Например, контроль за соответствием данных между отчетами о приемке материалов, заказов на поставку и счетов-фактур от поставщиков.

Данный контроль включает в себя автоматизированную часть и ручную. Так программа сама формирует эти отчеты на основании первичных данных и сверяет их друг с другом. На выходе формируется отчет по не совпавшим данным. Далее приступает к работе отдел по учету и контролю за кредиторской задолженности.

Сотрудники этого отдела анализируют полученный отчет и исправляют ошибки.

Таким образом, можно сделать вывод, что в нашем примере механизм контроля автоматизирован, но в нем присутствует также и ручной контроль со стороны сотрудников компании. Результативность автоматизированного и ручного контроля необходимо оценивать по отдельности с применением соответствующих тестов, характерных для этих видов контролей.

Тестирование ручных контролей Тестирование ручных контролей состоит из:

ревизии документов;

повторное исполнение.

Наличие контроля и его исполнение не говорят о том, что он функционирует эффективно. Для того чтобы убедиться в его результативности, необходимо провести тестирование на основе выборки. При использовании выборки возникает риск необнаружения, т. е. протестировав контроль и не обнаружив никаких исключений, мы не можем с полной уверенностью говорить о его результативности.

Чтобы уменьшить этот риск, руководству необходимо внимательно подходить к процессу выборки. Если контроль используется достаточно часто, то риск необнаружения возрастает: чем чаще используется контроль, тем больше риск. При определении объема тестирования руководству следует опираться на профессиональное суждение и степень уверенности, которую необходимо достичь. В табл.

12 приведены факторы, которые необходимо учитывать при определении объема тестирования (при отсутствии каких-либо несоответствий).

Частота применения Факторы, которые необходимо принять во внимание ручного контроля при определении объема тестирования Ежеквартально Применяется ли профессиональное суждение (и в какой степени) Ежемесячно при осуществлении контроля;

Еженедельно Уровень квалификации, необходимой для выполнения контроля;

Ежедневно Частота применения контроля;

Несколько раз в день Влияние изменений объема или смены персонала, выполняющего o является единственным контролем, относящимся к определенному требованию к финансовой отчетности.

При определении размера выборки необходимо учитывать значимость проверяемого контроля и степень уверенности, которую установило руководство компании. Чем меньше число тестируемых позиций, тем выше риск неверных выводов. Таким образом, для особо важных контролей, а также для случаев, когда ручной контроль является единственным обоснованием покрытия требований к финансовой отчетности, руководству необходимо увеличить размер выборки до максимальных значений из приведенной выше таблицы. Это решение должно быть принято после изучения других доказательств, имеющихся в распоряжении руководства (например, результатов самостоятельной оценки, тестирования, выполняемого подразделением внутреннего аудита, или доказательств, полученных в результате других контролей). Сочетание доказательств должно обеспечить руководству высокую степень уверенности в том, что контроль эффективен. При отсутствии несоответствий эти выборки обеспечат руководству высокую степень уверенности в функционировании контроля. Например, в соответствии с теорией статистических выборок, если тестируется 25 случаев применения контроля (используемого несколько раз в день) и при этом не выявляются какие-либо несоответствия, существует 90%-я уверенность, что если несоответствия и существуют, то их не более 9%. Если несоответствия не встречаются при тестировании 60 случаев применения контроля, то существует 95%-я уверенность, что несоответствия составляют не более 5%.

Сроки проведения тестирования При планировании тестирования руководству следует тщательным образом прописать сроки проведения тестирования, выделенного времени должно быть достаточно, чтобы удостовериться в результативности функционирования системы внутреннего контроля на определенную дату. Проведение полного тестирования в конце отчетного года нецелесообразно, поскольку в этом случае времени для устранения недостатков будет недостаточно. На рис. 14 представлены временные интервалы для разных этапов тестирования.

При проведении тестировании на ранних этапах есть вероятность получить меньше доказательств операционной результативности контролей, поскольку выборка будет относительно небольшой. Лучше проводить тестирование ближе к концу отчетного периода, особенно если тестирование касается нестандартных операций, счетов или статей баланса, при оценке которых контролер вынужден полагаться на профессиональное суждение. При планировании сроков тестирования необходимо учесть вероятность выявления исключений, а это значит, что потребуется время на их устранение.

установленные сроки) Существует ряд контролей, действие которых наступает после отчетной даты, например, контроли, относящиеся к закрытию счетов. Руководство не должно забывать тестировать подобные контроли. Но не стоит забывать, что, так как эти контроли начинают действовать после отчетной даты, времени на их тестирования и устранение недостатков крайне мало. Поэтому некоторые компании проверяют такие контроли в несколько этапов, например, на ежеквартальной основе, а потом проводят завершающий тест в конце года. Это позволит минимизировать риск возникновения недостатков контроля.

В некоторых случаях может понадобиться проведение уточняющего тестирования. Это зависит от:

значимости контроля;

результатов тестирования;

есть ли время на проведение дополнительных тестов.

Дополнительное тестирование включает:

подготовку документов и сотрудников к проведению дополнительного наблюдение за работой контроля;

дополнительное сквозное тестирование (наблюдение за каждой тестируемой операцией в течение всего периода работы процесса);

тестирование дополнительных выборок.

Если в течение года контроли подвергались серьезным изменениям (доработки с целью устранения недостатков), то имеет смысл оценить результативность работы новых (измененных) контролей с момента их внедрения и до отчетной даты, для того чтобы убедиться в их корректной работе.

Основные выводы. Компания может выбирать метод проведения тестирования результативности контролей. Причем в течение отчетного периода компания может тестировать контроли в несколько этапов, используя каждый раз разные методы, также можно делить объемы проверки, тестировать постепенно.

Плюсы такого подхода в том, что руководство постоянно получает информацию о соответствии контроля требованиям закона СарбейнсаОксли (раздел 302).

Тестирование общих компьютерных контролей Практически все компании используют в своей деятельности технику, которая позволяет автоматизировать процессы. Поэтому в компаниях есть также и компьютерные контроли. Чтобы оценить их результативность работы, необходимо понять операционную результативность общих компьютерных контролей. Для этого, в первую очередь, необходимо найти сотрудников, обладающих профессиональными навыками, либо воспользоваться сторонними специалистами в этой области. Руководство должно учитывать специфику используемых программ для бухгалтерского учета при планировании тестирования общих компьютерных систем, а также оценить работу старых и новых программ.

При оценке дизайна и тестировании работы общих компьютерных контролей необходимо учитывать приведенные ниже факторы в отношении каждого их элемента, задействованного при подготовке финансовой отчетности. Тестирование общих компьютерных контролей проводится так же, как и оценка общей контрольной среды.

Разработка и внедрение программного обеспечения Задача контроля: санкционирование, тестирование, утверждение, надлежащее внедрение и документирование разрабатываемых систем и приложений.

Руководству следует задокументировать, провести тестирование и оценку имеющихся контрольных процедур с целью получения уверенности в том, что:

решения о разработке и приобретении нового программного обеспечения (ПО) утверждаются руководством надлежащего уровня: как в службе ИТ, так и руководством компании;

существуют контроли за методикой разработки ПО, которая последовательно применяется при разработке или приобретении ПО и приложений, используемых при подготовке финансовой отчетности;

существующие контроли, зависящие от изменения и внедрения нового ПО, модифицируются или перепроектируются с целью поддержания их надежности и целостности;

надлежащее тестирование проводится в отношении всего ПО, используемого при подготовке финансовой отчетности;