«ОРГАНИЗАЦИЯ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ НА ОСНОВЕ ЗАКОНА САРБЕЙНСАОКСЛИ ...»
результаты тестирования утверждаются как пользователями, так и руководством надлежащего уровня: как в службе ИТ, так и руководством разрабатывается вся необходимая системная и пользовательская документация, а также документация по контролям для всего нового ПО и приложений, используемых при подготовке финансовой отчетности;
соответствующие интерфейсы разрабатываются для обеспечения точного и полного обмена данными между приложениями;
обеспечивается принцип ограничения доступа в части ввода нового ПО обеспечивается сохранность данных при переносе в новое приложение в соответствии с планом подготовки проводится обучение пользователей работе в новом ПО и приложениях.
Внесение изменений в программное обеспечение Задача контроля: санкционирование, тестирование, утверждение, надлежащее внедрение и документирование изменений в существующих системах и приложениях.
Руководству следует задокументировать, провести тестирование и оценку имеющихся контролей для подтверждения того, что:
любые изменения ПО и приложений, обеспечивающих контроль при подготовке финансовой отчетности, санкционируются надлежащим образом соответствующим руководством;
системная и пользовательская документация программного обеспечения, а также документация по контролям обновляется при внесении изменений в программное обеспечение;
изменения ПО и приложений тестируются, а результаты такого тестирования оформляются документально;
при переносе изменений информационных систем из среды разработки в среду эксплуатации соблюдается принцип разделения сред разработки и эксплуатации информационных систем;
несанкционированные изменения не вносятся в системные файлы приложений после их ввода в промышленную эксплуатацию;
все санкционированные изменения ПО и приложений переносятся в в случае изменений в программном обеспечении для пользователей организуются тренинги.
Доступ к компьютерным программам и базам данных (информационная безопасность) Задача контроля: разграничить доступ к системным ресурсам (например, программам, данным, таблицам и настройкам), право доступа предоставляется исключительно уполномоченным на то лицам и только к необходимым им приложениям, базам данных, операционным системам и сетям.
Руководству следует задокументировать, провести тестирование и оценку имеющихся контрольных процедур для подтверждения того, что:
информационная безопасность обеспечивается рядом внедренных процедур безопасности;
пользователи информированы о политике компании в вопросах информационной безопасности применительно к данным финансовой отчетности;
логический доступ к вычислительным ресурсам информационных систем надлежащим образом ограничен и поддерживается механизмами идентификации, подтверждения и проверки полномочий пользователей;
реализованы процедуры, поддерживающие своевременное добавление, изменение и удаление учетных записей пользователей;
регулярно проверяются права доступа;
используется эффективный механизм документальной регистрации мероприятий по обеспечению информационной безопасности, выявления потенциальных нарушений и своевременного принятия соответствующих мер и/или информирования вышестоящего руководства о нарушениях.
Компьютерные операции Задача контроля: обработка данных в ПО и приложениях надлежащим образом санкционируется и планируется, при этом отклонения от запланированной обработки данных или проблемы обработки данных выявляются и устраняются.
Руководству следует задокументировать, провести тестирование и оценку имеющихся контролей для подтверждения того, что:
существуют надлежащие процедуры резервного копирования и восстановления данных, поддерживающие возможность восстановления данных, операций и программ, необходимых при подготовке финансовой существуют и работают эффективные процедуры регулярного тестирования операционной результативности процесса восстановления данных и качества носителей, используемых для резервного копирования;
доступ к носителям, используемым для резервного копирования, предоставляется только уполномоченным сотрудникам;
используемые процедуры позволяют эффективно и своевременно регистрировать, анализировать и устранять аварийные ситуации, проблемы и ошибки в ПО и приложениях;
системные задания, включая работы в пакетном режиме и интерфейсы, относящиеся к соответствующим приложениям или данным финансовой отчетности, выполняются точно, в полном объеме и своевременно.
Оценка результатов тестирования По завершению тестирования проводится оценка результатов. Это позволяет определить, на сколько эффективно функционируют проводимые контроли.
Рассмотрим этот процесс на примере контроля над соответствием данных журнала продаж и главной книги. При проведении тестирования руководство проверяет, все ли проводки из журнала продаж были корректно перенесены в главную книгу.
Если используемый контроль позволяет говорить о полноте получаемых данных, то можно сделать вывод, что контроль функционирует эффективно. Такой же принцип проведения контролей и оценки их результативности используется и для других статей финансовой отчетности, подлежащих проверке. При проведении оценки результатов тестирования контролер должен задать себе ряд следующих вопросов.
Какой риск минимизирует используемый контроль?
Возникают ли какие-либо исключения из правил при проведении тестирования?
Какова причина этих исключений?
Как можно откорректировать это исключение (включить в правило)?
На основании ответов на эти вопросы можно понять, есть ли смысл использовать этот контроль или стоит воспользоваться другим методом. Исключения при использовании контроля имеют место быть, но их должно быть крайне мало, поскольку необходим достаточно высокий уровень уверенности в эффективной работе контроля.
При возникновении исключения руководству следует оценить его влияние, понять, почему он возник. Если таких исключений в процессе тестирования возникает много, то можно сделать вывод о том, что контроль работает неэффективно.
С другой стороны, полученные результаты тестирования могут и не показать недостатки в работе системы. Если тестируемый контроль применяется в компании достаточно часто (на еженедельной, ежедневной основе), то необходимо протестировать другую аналогичную выборку. Если и в этом случае исключения не обнаружатся, то можно говорить о том, что контроль удовлетворяет всем требованиям, а процент возможных исключений стремится к нулю. При возникновении исключения оно не будет считаться недостатком, так как не искажает данные. PCAOB разъясняет, что контроли, уровень отклонений которых существенен, имеют недостатки. Если при тестировании контроля, который используется на постоянной основе еженедельно, ежемесячно или ежеквартально, будут обнаружены исключения, то можно сделать вывод, что риск неправильного функционирования данного контроля достаточно велик, поскольку при такой периодичности выборка невелика.
После проведения подобного тестирования создается список всех обнаруженных значительных и существенных недостатков работы системы внутреннего контроля, документируются причины, из-за которых возникают эти недостатки, создается ряд мероприятий по их устранению. После исправления контроли заново тестируются, подтверждается их результативность.
Основные выводы. На основании анализа ряда компаний, использующих системы внутреннего контроля на основе закона СарбейнсаОксли, можно сделать вывод, что в результате проведения такого тестирования всегда обнаруживаются исключения и недостатки, контроли требуют доработки. В связи с этим при разработке плана работы руководство должно не забывать о тестировании контролей, как первичном, так и повторном.
Оценка недостатков системы внутреннего контроля и отчетности Согласно разделу 404 закона СарбейнсаОксли (США, 2002 г.), все недостатки системы внутреннего контроля подразделяются на значительные и существенные.
Недостаток системы внутреннего контроля имеет место, когда операционная результативность контроля не позволяет руководству или работникам при обычном выполнении ими должностных обязанностей на постоянной основе выявлять или предотвращать искажения финансовой отчетности.
Под значительными недостатками принято понимать такие недостатки системы внутреннего контроля, которые негативно влияют на способность компании подготавливать, утверждать и выпускать достоверную финансовую отчетность в соответствии с требованиями. Искажение является незначительным, если это искажение даже в совокупности с другими, возможно, существующими, но не выявленными искажениями, не оказало бы существенного влияния на финансовую отчетность. В противном случае данное искажение информации будет считаться более чем незначительным.
Существенные недостатки системы – это такие недостатки системы, из-за которых возникает более чем незначительная вероятность того, что не будет предотвращено или обнаружено существенное искажение годовой или промежуточной финансовой отчетности.
Рассмотрим возможные критерии оценки недостатков системы внутреннего контроля (табл. 13).
Критерии оценки недостатков системы внутреннего контроля Классификация Вероятность искажения Потенциальная величина Значительный недостаток Более чем незначительная Более чем незначительная Существенный недостаток Более чем незначительная Существенная Процесс определения, оценки и классификации недостатков системы внутреннего контроля можно изобразить следующим образом (рис. 15).
• Оценка вероятности искажения данных • Оценка потенциальной величины искажения данных • Определение компенсирующих контролей • Оценка агрегированных недостатков Рис. 15. Схема идентификации и классификации недостатков системы внутреннего контроля Рассмотрим каждый шаг более подробно.
Шаг 1. Идентификация недостатков Руководству следует проанализировать недостатки, выявленные во всех областях системы внутреннего контроля, контроли корпоративного уровня, программы предотвращения мошенничества, а также результативность работы Комитета по аудиту. Обнаружить недостатки можно, используя различные способы, включая:
рассмотренные выше критерии оценки системы внутреннего контроля, т. е. проанализировать, как руководство компании подготавливает финансовую отчетность;
самостоятельную оценку;
работу подразделения внутреннего аудита;
работу внешних аудиторов;
отчеты сервисных организаций SAS 70;
проверки регулирующих органов.
Шаг 2. Понимание и оценка недостатков Руководству следует удостовериться в точном понимании характера и последствий недостатков, а также их потенциального влияния на финансовую отчетность. Особое внимание при проведении оценки следует уделить подтверждениям тех сегментов финансовой отчетности, система внутреннего контроля которых не была признана эффективной из-за наличия данных недостатков.
Шаг 3. Оценка вероятности искажения данных Определение вероятности основывается на допущении того, что искажение данных не будет предотвращено или обнаружено, а не на самом факте искажения данных. Недостаток с незначительной вероятностью возникновения не может рассматриваться как значительный или существенный, поэтому нет необходимости проводить дальнейшую оценку величины потенциального искажения данных (шаг 4).
В аудиторских стандартах отмечены следующие факторы, влияющие на вероятность:
характер компонентов финансовой отчетности и требований к финансовой отчетности;
предрасположенность проверяемых активов и обязательств к риску мошенничества;
субъективность, разнообразие профессиональных мнений, используемых при подготовке показателей финансовой отчетности;
причина и частота повторения уже известных или обнаруженных искажений по причине низкой операционной результативности контроля;
взаимосвязь или взаимодействие различных видов контроля между собой;
взаимосвязь недостатков;
возможное будущее влияние недостатка на финансовую отчетность.
Шаг 4. Оценка потенциальной величины искажения данных Количественное определение влияния недостатков системы внутреннего контроля – процесс достаточно сложный. Руководству следует проанализировать остаток по счету или оборот по нему, а также определить требования к финансовой отчетности, подвергаемые риску при наличии недостатков. Основное внимание следует уделить размеру потенциальной ошибки, вероятность которой более чем незначительна. Соответственно, руководству следует оценить, является ли потенциальная величина искажения явно несущественной или существенной.
Шаг 5. Идентификация компенсирующих контролей Недостатки системы внутреннего контроля первоначально следует оценить по отдельности или в совокупности, а затем определить, являются ли они с учетом влияния компенсирующих контролей значительными или существенными.
При оценке вероятности искажения данных финансовой отчетности и неспособности предотвратить или выявить данное искажение необходимо учитывать влияние таких контролей. Помимо изложенного, компенсирующие контроли влияют на вероятную величину недостатка контроля, могут ее ограничивать (например, когда компенсирующие контроли действуют только сверх заданной денежной суммы). Но, стоит отметить, что наличие компенсирующих контролей не оказывает влияния на присутствие недостатка в системе внутреннего контроля.
Если руководство считает, что компенсирующие контроли могут покрывать требования к финансовой отчетности или риски, возникшие в результате недостатков системы внутреннего контроля, то руководству следует рассмотреть и обеспечить:
операционную результативность компенсирующих контролей;
выявление компенсирующим контролем ошибки и обеспечения покрытия соответствующего требования к финансовой отчетности.
Общих аналитических процедур недостаточно для того, чтобы компенсировать недостатки системы внутреннего контроля. Для того чтобы компенсирующие контроли были эффективными, по мнению PCAOB, необходимо, чтобы они действовали на таком уровне точности, который позволит предотвратить или обнаружить более чем незначительное или существенное искажений данных.
Шаг 6. Классификация недостатков После того как будет проведена оценка недостатков системы внутреннего контроля, будет определена степень их значимости, руководству следует определить, является ли данный недостаток значительным или существенным.
В соответствии с аудиторскими стандартами недостатки в следующих областях можно, как минимум, признать значительными:
контроли при выборе учетной политики, а также ее соблюдении;
способы, применяемые для борьбы с мошенничеством;
отслеживание и анализ нестандартных операций;
контроли над подготовкой финансовой отчетности за отчетный период.
Шаг 7. Оценка недостатков системы внутреннего контроля в совокупности Аудиторские стандарты предусматривают, что значительный недостаток может быть комбинацией недостатков системы внутреннего контроля, а существенный недостаток – комбинацией значительных недостатков системы внутреннего контроля. Следовательно, руководству следует собирать информацию о недостатках системы внутреннего контроля для того, чтобы оценить их в совокупности с другими. Это позволит понять, как влияет совокупность недостатков на конкретную статью финансовой отчетности или бизнес-процесс. Так отдельно эти недостатки могут не оказывать существенного влияния, но в совокупности нести угрозу достоверности всей финансовой отчетности компании. Оценка взаимовлияния недостатков друг на друга по существу является выявлением существующих закономерностей (например, могут ли недостатки оказывать воздействие на одни и те же компоненты и требования к финансовой отчетности).
Эффективный процесс представления данных об отдельных и агрегированных недостатках системы внутреннего контроля должен быть достаточно надежным, с тем чтобы руководство имело возможность определять виды недостатков в масштабе всей компании.
Подготовка финансовой отчетности Компания должна включить в свою ежегодную отчетность для SEC (Форма 10-К) оценку руководством результативности работы системы внутреннего контроля за подготовкой финансовой отчетности. Данный отчет должен содержать следующие данные:
информацию, подтверждающую ответственность системы внутреннего положения, раскрывающие основные принципы, используемые руководством при оценке результативности работы системы внутреннего контроля;
оценку результативности системы внутреннего контроля компании при подготовке финансовой отчетности на конец последнего финансового года, включая утверждение о степени результативности системы внутреннего контроля;
информацию о том, что внешний аудитор компании, который проводил аудит финансовой отчетности, представил отчет-подтверждение о проведенной руководством оценке системы внутреннего контроля подготовки финансовой отчетности.
Руководство не имеет права оценивать систему внутреннего контроля подготовки финансовой отчетности как эффективную в случае наличия хотя бы одного существенного недостатка.
Вывод. Оценка недостатков системы внутреннего контроля и отчетности является поистине важным этапом работы системы внутреннего контроля. Необходимо выявить и задокументировать все недостатки системы, а также основные причины их возникновения, разработать корректирующие мероприятия, после чего снова подвергнуть эти контроли тестированию. Только так компания может убедиться, что система внутреннего контроля, разработанная в компании, эффективно функционирует и позволяет с большой уверенностью утверждать о соответствии составляемой финансовой отчетности международным стандартам.
В ходе исследования были получены и выносятся на защиту следующие наиболее существенные научные результаты:
проведен исторический анализ по формированию понятия «внутренний контроль», дано собственное определение;
проведен глубокий анализ существующего законодательства в области контроля и борьбы с мошенничеством в финансовой отчетности, выделены шаги по сближению с европейскими стандартами;
разработан алгоритм по внедрению в компании системы внутреннего контроля, основанной на требованиях закона Сарбейнса-Оксли, в том числе предложены структурные изменения компании;
предложены способы оценки результативности работы системы контролей, разработаны методы тестирования на соответствие требованиям на основе полученных оценок результативности работы разработан алгоритм по нахождению и устранению ошибок в системе внутренних Рассмотрим их подробнее.
Уточнено определение экономического понятия «внутренний контроль»
Термин «контроль» появился несколько столетий назад. Он происходит от французского «controle» («список, ведущийся в двух экземплярах»), которое несколько позже стало означать «проверка, наблюдение с целью проверки»; люди, занимавшиеся проверкой, стали называться контролерами. В русском языке это слово употребляется, по крайне мере, с начала XVIII века.
Современное состояние научных исследований теоретических проблем контроля характеризуется неоднозначностью взглядов ученых на определение его сущности.
В большинстве научных исследований контроль рассматривается в следующих аспектах:
1) как функция, метод или форма исполнительно-распорядительной (управленческой) деятельности органов управления, их руководителей;
2) как совокупность приемов и способов (или форм и методов), применяемых органами управления;
3) как завершающая стадия управленческого процесса;
4) как форма обратной связи, посредством которой управляющая система получает необходимую информацию о действительном состоянии управляемого объекта и исполнении управленческих решений;
5) как система наблюдения и проверки функционирования управляемого объекта с целью выявления отклонений от заданных параметров.
Составной частью контроля является внутренний контроль, анализу которого в отечественной и зарубежной литературе уделяется сравнительно мало внимания: он не рассматривается совсем, либо не выделяется в отдельный вид контроля. Это объясняется тем, что в развитии теории внутреннего контроля одним из серьезных недостатков является отсутствие необходимого единства в трактовании ряда теоретико-методологических вопросов.
Обобщение мнений и позиций по рассматриваемой проблеме ученыхэкономистов позволяет дать следующее определение внутреннего контроля.
Внутренний контроль – подсистема управления, направленная на получение достаточной уверенности в том, что экономический субъект обеспечивает:
результативность деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
достоверность и своевременность бухгалтерской (финансовой) отчетности;
соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.
Согласно данному определению, внутренний контроль направлен на получение достаточной уверенности в обеспечении результативности деятельности, получения достоверной и своевременной бухгалтерской отчетности, соблюдения законодательства. В соответствии с этим определением и на основе рекомендаций COSO (Комитет организаций-спонсоров Комиссии Тредвея – организация, основная деятельность которой является выработка соответствующих рекомендаций по важнейшим аспектам организационного управления, финансовой отчетности, внутреннего контроля и управления финансовыми рисками компании) система внутреннего контроля должна включать в себя (рис. 16):
Нельзя сказать, что контрольная среда является элементом системы внутреннего контроля, она скорее объединяет все элементы, служит источником для их формирования, поэтому она выделена на рисунке отдельно.
Проведен глубокий анализ существующего законодательства в области контроля и борьбы с мошенничеством в финансовой отчетности, выделены шаги по сближению с европейскими стандартами За последние годы в мире принято большое количество законов и нормативно-правовых актов, содержащих целый ряд критериев, которые организации должны учитывать в своей деятельности по предотвращению мошенничества внутри компании и организации внутреннего контроля.
Был проведен анализ различных концепций внутреннего контроля, таких как: COBIT, SAC, COSO, SAS 55 и 78.
Документ COBIT подробно описывает средства контроля, направленные для поддержки бизнес-целей. SAC делает акцент на информационных данных, COSO дает более обширные варианты контроля для компании, а SAS 55 и SAS более детально рассматривают аудит финансовой отчетности. Четыре документа дополняют друг друга.
В России также принимаются меры по повышению ответственности Советов директоров и руководства компаний за эффективность подготовки финансовой отчетности и систем внутреннего контроля. Было разработано Постановление Федеральной службы по финансовым рынкам «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг» № 04-1245/пз-н от 15 декабря 2004 года. Данное постановление требует наличия в компанияхэмитентах утверждённого Советом директоров Положения о внутреннем контроле. Помимо этого в компании необходимо организовать отдельное структурное подразделение, основной функцией которого будет контроль за выполнением данного Положения. Таким отдельным структурным подразделением и является служба внутреннего аудита.
Авторы пятого «Национального доклада по корпоративному управлению»
пришли к выводу, что несоблюдение стандартов корпоративного управления становится важнейшим риском для развития российской экономики. Национальный доклад по корпоративному управлению стал издаваться в России с 2008 года по инициативе Национального управления по корпоративному управлению.
В соответствии со ст. 19 Федерального закона РФ «О бухгалтерском учете»
экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. Экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
В России в 2013 году подготовлен проект Рекомендаций в области бухгалтерского учета «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».
Однако наиболее полным на сегодняшний день является закон SOX, 2002.
Он направлен на обеспечение достоверности корпоративной отчетности. Предъявляет требования к более детальному раскрытию информации. Распространяется на любую компанию, ценные бумаги которой зарегистрированы в Комиссии по биржам и ценным бумагам США. Тем самым контролирует деятельность публичных компаний и аудиторов. В то же время обеспечивает независимость аудиторов и аудиторских комитетов. Указывает на ответственность менеджмента за организацию системы внутреннего контроля на предприятии, а аудиторского комитета – за подтверждаемую отчетность, что особенно актуально после скандала с Enron и Arthur Anderson, когда был выявлен сговор между аудиторской компанией и менеджментом.
Данные табл. 4 на стр. 9192 достаточно убедительно свидетельствуют о том, что принятие закона Сарбейнса–Оксли привело к тому, что достаточно большой сегмент корпоративного сектора США предпочёл изменить свой статус.
Так, ряд крупных фирм предпочли уйти с рынка, не согласившись раскрыть более детально информацию о своей финансово-хозяйственной деятельности, и наоборот, ряд компаний малого и среднего бизнеса поднялись на более высокий уровень благодаря удачным управленческим решениям, принятым по качественно подготовленной финансовой информации.
Еще одним плюсом данного закона является обеспечение самосовершенствования системы внутреннего контроля (рис. 17).
Так как одна из причин появления закона – факты банкротств, вызванных мошенничеством, то в диссертации была разработана методика по борьбе с мошенничеством и злоупотреблениями, охватывающая три области: предупреждение, выявление и реагирование.
Рис. 17. Цикл мероприятий по выполнению требований закона СарбейнсаОксли Предупреждение включает в себя снижение рисков возникновения мошенничества и злоупотреблений; выявление – своевременное вскрытие мошенничества и других неправомерных действий при их возникновении; реагирование – принятие мер по исправлению ситуации и устранению последствий мошенничества и злоупотреблений.
Разработан алгоритм по внедрению в компании системы внутреннего контроля, основанной на требованиях закона СарбейнсаОксли Для большинства компаний процесс организации системы внутреннего контроля является важной и сложной задачей. Объем работ по проекту выходит за пределы функций бухгалтерии и финансов компании и включает вопросы информационных технологий, налогов, юридические аспекты, а также вопросы внутреннего аудита.
Выявление существенных элементов финансовой отчетности и бизнеспроцессов:
Этап 1. Выявление существенных элементов финансовой отчетности с помощью анализа:
отдельных статей финансовой отчетности;
количественных и качественных факторов;
значимости выделенных статей отчетности.
Этап 2. Выявление процессов и подпроцессов, проведение их взаимосвязи с выделенными существенными элементами отчетности.
Этап 3. Определение требований для каждого существенного компонента отчетности. В разделе 404 подробно описываются пять основных требований к отчетности:
существование или возникновение;
представление и раскрытие.
Этап 4. Выявление рисков, и их оценка.
Этап 5. Построение полного списка бизнес-единиц (процесс формирования списка бизнес-единиц, подлежащих оценке, подразумевает под собой предварительный анализ всех существующих процессов компании).
Этап 6. Выделение бизнес-единиц, которые необходимо протестировать.
Этап 7. Проведение взаимосвязи бизнес-единиц с процессами и подпроцессами.
Основной задачей является идентификация контролей, удовлетворяющих требованиям к существенным элементам отчетности. На рис. 10 стр. 111 изображена схема, отражающая данный процесс.
Подтверждение результативности работы системы внутреннего контроля производится на основе задокументированных бизнес-процессов и процедур контроля. Для выполнения этого требования руководству необходимо пройти четыре этапа документирования системы внутреннего контроля:
определение объема документации;
разработка методологии документирования бизнес-процессов;
разработка методологии документирования системы контроля;
оценка дизайна контролей.
Предложены способы оценки эффективности работы системы контролей, разработаны методы тестирования на соответствие требованиям SOX контролей Для того чтобы оценить качество работы системы внутреннего контроля за составлением финансовой отчетности, руководству компании следует определить эффективность работы используемых при этом механизмов контроля. Для этого нужно провести их тестирование, охватив при этом все пять элементов системы внутреннего контроля (по методологии COSO).
В некоторых случаях по результатам проверки может быть принято решение об изменении последовательности шагов тестирования или же может возникнуть необходимость в проведении повторного тестирования после внесения корректировочных данных.
Шаги по тестированию должны быть зафиксированы в общем стратегическом плане тестирования системы внутреннего контроля компании.
На основании анализа ряда компаний, использующих системы внутреннего контроля на основе закона СарбейнсаОксли, можно сделать вывод, что в результате проведения такого тестирования всегда обнаруживаются исключения и недостатки, контроли требуют доработки. В связи с этим при разработке плана работы руководство должно не забывать о тестировании контролей, как первичном, так и повторном.
На основе полученных оценок эффективности работы разработан алгоритм по нахождению и устранению ошибок в системе внутренних контролей.
Согласно разделу 404 закона СарбейнсаОксли все недостатки системы внутреннего контроля подразделяются на значительные и существенные.
Недостаток системы внутреннего контроля имеет место, когда операционная эффективность контроля не позволяет руководству или работникам при обычном выполнении ими должностных обязанностей на постоянной основе выявлять или предотвращать искажения финансовой отчетности.
Под значительными недостатками принято понимать такие недостатки системы внутреннего контроля, которые негативно влияют на способность компании подготавливать, утверждать и выпускать достоверную финансовую отчетность в соответствии с требованиями. Искажение является незначительным, если это искажение даже в совокупности с другими, возможно, существующими, но не выявленными искажениями, не оказало бы существенного влияния на финансовую отчетность. В противном случае данное искажение информации будет считаться более чем незначительным.
Существенные недостатки системы – это такие недостатки системы, из-за которых возникает более чем незначительная вероятность того, что не будет предотвращено или обнаружено существенное искажение годовой или промежуточной финансовой отчетности.
Процесс определения, оценки и классификации недостатков системы внутреннего контроля, представлен на рис. 15 стр. 165.
Данная система внутреннего контроля была апробирована в компании ЗАО «Мултон» (производство соковой продукции) и в ООО «Агентство Трафик» (интернетреклама).
Использование указанных результатов позволило:
сократить сроки подготовки ежемесячной финансовой отчетности с 5 до уменьшить количество найденных ошибок внешними аудиторами на увеличить прозрачность финансовой отчетности за счет введения регламентированности бухгалтерского учета.
А также были получены положительные отзывы менеджмента об эффективности принятых управленческих решений на основе данных из финансовой отчетности, проверенной системой внутреннего контроля.
ПРИЛОЖЕНИЯ
Цель контроля Обеспечение контроля за со- Предупреждение рисков в блюдением действующего за- финансово-хозяйственной деконодательства в части со- ятельности компании, своеставления финансовой отчет- временное принятие мер по их ности, а также функциониро- устранению, выявление и мования предприятия; контроль билизация внутрихозяйственза целевым использованием ных возможностей и резервов государственных средств и получения прибыли и оказасредств внебюджетных фон- ние содействия руководству в ности финансовой отчетности управленческих функций; выкомпаний; поиск резервов для явление фактов мошенничероста государственных дохо- ства и искажений финансовых Объект контроля Финансово-хозяйственная де- Различные циклы и этапы фиятельность различных компа- нансово-хозяйственной деяний, учреждений всех форм тельности компании, а также Субъект контроля Организации и люди вне кон- Различные подразделения тролируемого хозяйствующе- компании, внутренние польго субъекта. Например: госу- зователи финансовой отчетнодарственные органы, незави- сти. Например: ревизионная ассоциации независимых маркетинговый отдел, юридипрофсоюзов, общественные ческая служба, отдел техничеобъединения потребителей и ского контроля, менеджеры, Массовость контроля Проводится отдельными спе- Является массовым, в связи с циалистами или небольшой тем, что при его осуществлегруппой специалистов, такими нии задействовано большое Регламентация организацион- Осуществляется специалиста- Осуществляется внутренними ной структуры контроля ми или группой специалистов подразделениями или специаиз соответствующих прове- листами в соответствии с их Периодичность проведения Проводится периодически, в Проводится систематически контроля установленные сроки (еже- на регулярной основе (ежеквартально, ежегодно, 1 раз в дневно, ежемесячно…) Информационное обеспечение Публичная отчетность, а так- Использование всей инфорконтроля же внутренняя запрашиваемая мации внутри организации:Измерители информации В основном стоимостные из- Любые измерители: стоимерители мостные, натуральные, трудовые, условно-натуральные Степень оперативности кон- Не является оперативным, яв- Оперативный, может провотроля ляется последующим контро- диться на следующих стадиях:
Регламентированность прове- Регламентируется норматив- Внутренние политики и продения контроля но-правовыми актами и стан- цедуры, для каждой организадартами ции свои Направленность контроля Удовлетворяет потребности Обеспечивает потребности Степень точности результатов Возможны неточности, в свя- Довольно точен благодаря контроля зи с тем, что контроль прово- своей систематичности, глудится не на постоянной осно- бине, точности и непрерывнове, а периодически и на выбо- сти Место принятия решений по Вне проверяемого экономиче- Внутри компании его менерезультатам контроля ского субъекта джерами и руководителями Оформление результатов кон- Акты о проведенных провер- Установленной формы не сутроля ках, акты ревизий, аудитор- ществует. Результаты оформские заключения и др. ляются внутренними документами в виде служебных Различия внешнего аудита, внутреннего аудита и ревизии Цель Выражение мнения о Контроль за правиль- Выявление недостатдостоверности финан- ностью ведения учета, ков, ошибок, их посовой отчетности, ока- за соблюдение поли- следующее устранезание бухгалтерских, тик и процедур, за ние и наказание виконсультационных корректностью со- новных Что выявляет Все, что искажает фи- Все, что искажает фи- Нарушение законоданансовую отчетность, нансовую отчетность, тельства Характер деятельно- Предпринимательская Исполнительная дея- Исполнительная деясти деятельность тельность, выполне- тельность, выполнение распоряжений ру- ние распоряжений Правовое регулиро- Гражданский кодекс Гражданский кодекс, Кодекс об админивание Кодекс об админи- стративных правонастративных правона- рушениях, инструкрушениях, внутрен- ции, приказы госуние политики и про- дарственных органов Задачи Улучшение финансо- Улучшение финансо- Сохранность активов, пании, обнаружение пании, подтверждение мошенничества, выскрытых резервов, достоверности дан- явление виновных Результат Аудиторское заключе- Отчет, согласно устаАкт о проведении рение и рекомендации новленной в компавизии, выводы и рении форме, и рекокомендации, взыскамендации ния, штрафы, передача информации другим исполнительным Оплата услуг Договор на оказание Заработная плата от- Заработная плата Статус Внешний независимый Внутренний аудитор – Ревизор
БИЗНЕС-ПРОЦЕССЫ И ПОДПРОЦЕССЫ
Товарно-материальные запасы и производство Ведение информации по ТМЦ (справочные данные) Контроль за количеством ТМЦ Контроль за неликвидными ТМЦ Отгрузки, оказание услуг Производство Приобретение ТМЦ Оценка ТМЦ Закупки Ведение данных по поставщикам (контракты, справочная информация) Планирование закупок Заявки на покупку Приобретение Заведение счетов-фактур Оплата Выручка Ведение данных по заказчикам (контракты, справочная информация) Ценообразование Выставление счетов Оплата Возвраты товара Признание выручки Стимулирование покупателей в виде скидок, бонусов Зарплата и другие расчеты с сотрудниками Ведение данных по платежным ведомостям и составу сотрудников, справочная информация по каждому работнику Учет рабочего времени, отпусков Создание платежных ведомостей Отчисления в социальные фонды Программы бонусов и других поощрений сотрудников, в том числе в виде акций компании Капитальные вложения, техническое обслуживание Ведение данных по капитальным вложениям Создание капитальных вложений, приобретение Амортизационные начисления Выбытие Сдача/взятие в лизинг Финансовая отчетность Планирование, бюджетирование и управленческая отчётность Главная книга Консолидация отчетности, занесение дополнительных проводок, исключение внутригрупповых расчетов Учетная политика и внутренние учетные процедуры Написание комментариев к отчетности, пояснительная записка Анализ счетов, сверка данных Анализ внутригрупповых операцийБИЗНЕС-ПРОЦЕССЫ И ПОДПРОЦЕССЫ
Казначейство Кредиты и займы, начисление процентов Наличные денежные средства, касса Инвестиции, начисление процентов Собственный капитал Хеджирование, прочие финансовые инструменты Юридические риски Экологические риски Гарантии и прочие обязательства Налоги Налог на прибыль Налог на недвижимость Прочие налоги Контрольная среда Разработка программного обеспечения Улучшение программного обеспечения, доработки Доступы к программам и данным Прочие процессы/подпроцессы Резервы под обесценение Предоплата Прочие обязательства Долевое участие Прочие доходы и расходы Прекращение деятельности, реструктуризация и т. п.Пример взаимосвязи существенных компонентов финансовой отчетности и бизнес-процессов ложенные налоговые активы и прочее Текущая часть обязательств по капитальной Капитальные затраты и техническое Текущая реструктуризация Управление активам Финансовая отчётность ОТЧЁТ О ПРИБЫЛЯХ И УБЫТКАХ за год, окончившийся 31 декабря продукции обеспечения обеспечения ным (защита доступа) Описание компании с указанием последних зна- Финансовая отчётность чительных событий, таких как приобретение других обществ Примечание 2. Сводные данные по существенным аспектам учётной политики Сведения о существенных аспектах учётной поли- Финансовая отчётность тики в отношении:
принципов учёта в главной книге расчетов и допущений руководства Сведения компании об инвести- Финансовая отчётность Казначейство и управление гах, готовых к продаже Примечание 4. Нематериальные активы (в т.ч. деловая репутация) Сводные данные компании о Финансовая отчётность Прочие нематериальных активах (в том числе деловая репутация), включая оценку резерва на обесценения Сведения компании о суще- Финансовая отчётность Казначейство и управление ной даты Пример матрицы соответствия бизнес-процессов, подпроцессов и бизнес-единиц Выручка Корпора- Ведение глав- Ценообразо- Обработка Выставление Аккредитивы Расход запасы и ство ное подраз- количеством Ниже приведены оценки рисков бизнес-процессов по подпроцессам.
1. Определите существенные факторы риска, которые необходимо оценить для каждого подпроцесса.
2. Оцените степень риска (высокая, средняя, низкая) для каждого фактора риска в каждом подпроцессе.
3. Оцените общую степень риска (высокая, средняя, низкая) для каждого подпроцесса на основе среднего значения отдельных факторов риска для данного подпроцесса.
Далее даны примеры отдельных факторов риска (табл. 1) Влияние на финансовую отчет- Неверное представление сведений или отсутствие конность тролей может привести к существенным искажениям Сложность процесса Сложность процесса составления финансовой отчётности или необходимые; высокий уровень квалификации, Количество и объем операций Количество операций за определенный период Централизация процессов Централизация и прямой контроль за процессами со Риск, присущий процессу Присущий процессу риск ошибки или несоблюдения Оценка рисков проводится с целью определения подлежащих оценке контролей, а также обеспечения эффективного выполнения проекта по созданию системы внутреннего контроля согласно требованиям раздела 404.
Бизнес-процессы, подверженные высокому риску, обычно подвергаются более подробному тестированию по каждому существенному компоненту финансовой отчетности, тогда как бизнес-процессы с низким уровнем риска подвергаются тестированию с использованием сокращенных выборок.
Например, при тестировании бизнес-процессов с низким уровнем риска руководство может использовать нижние значения диапазонов выборки либо провести тестирование в начале финансового года. Различают следующие степени вероятности риска в подпроцессах (табл. 2).
Высокая Вероятность искажения финансовых данных велика, либо остатки по соответствующим бизнес-процессу компонентам финансовой отчетности являются существенными для финансовой отчетности.
Средняя Вероятность искажения финансовой информации данных компонентов финансовой отчетности средняя либо бизнес-процессу присущ средний уровень Низкая Данный бизнес-процесс характеризуется прямолинейностью. Искажение информации в данном компоненте финансовой отчетности окажет минимальное воздействие на финансовую отчетность в целом.
Исходя из оценки риска для каждого из факторов, руководство определит общий уровень риска для подпроцесса. Этот показатель поможет руководству правильно определить объем выборки для проведения тестирования операционной результативности контролей, которое будет проведено в отношении относящихся к подпроцессу необходимых требований к финансовой отчетности.
Ниже приведён пример того, как документируется оценка рисков, связанных с бизнес-процессами (следует заметить, что подобный анализ должен проводиться в отношении каждой ключевой бизнес-единицы).
Выручка и дебиторская задолженность ной картотеки по покупателям вание по ассортименту вание для технического обУровень служивания вание услуг Выставление Высокое Высокая Средний Средняя Средний А счетов за услуги Выставление Высокое Средняя Средний Средняя Средний А счетов по лицензиям Выставление Высокое Средняя Средний Средняя Средний А счетов за техническое обслуживание средств телей Закупки и кредиторская задолженность Получение то- Среднее Низкая Средний Высокая Средний В вара счетов средств Казначейство средствами инструменты валюта Управление активами основных средств новных средств из одной категории в другую новных средств зацию основных средств вов Зарплата и льготы сотрудникам трудник положения ние Расчёт зарпла- Среднее Низкая Высокий Высокая Средний С платы Учёт зарплаты Среднее Средняя Средний Высокая Средний В пенсий Налоги рационного убытка информации зарплата дународного характера Операции с капиталом и акциями Операции с ными акциями ционы бумаг Учёт в главной книге Обработка заВысокое Низкая Низкий Высокая Средний В писей Закрытие пеВысокое Средняя Низкий Высокая Средний В риода ВнутригрупСреднее Средняя Низкий Высокая Средний В повые расчеты Финансовая отчётность сегментам события чётности Информационные системы пьютерным программам и базам данных Слияния и поглощения Юридические риски Программы по действиям Обязательства денные обстоятельства Инструкция и пример разработки схемы бизнес-процесса Рекомендации при составлении схем бизнес-процессов:
Структура схем бизнес-процессов: при создании схемы бизнеспроцессов необходимо придерживаться единого стандарта. Это облегчит ее понимание, а также обеспечит логичность. Для этого мы советуем следовать таким правилам:
o схема должна иметь вертикальную структуру, т. е. все действия и этапы контролей должны идти друг за другом сверху вниз;
o документы, сопутствующие каждому действию и этапу, а также задействованные отделы лучше всего указывать слева и справа от o если схема получается достаточно длинной, то лучше ее разделить на несколько подпроцессов. Таким образом, мы получим сложную схему, состоящую из нескольких подпроцессов, но удобную для чтения и понимания.
Содержание схем бизнес-процессов: подробную схему операций и контролей, связанных с различными бизнес-процессами компании, можно оформить в виде схемы, но каждый подпроцесс должен быть оформлен отдельной схемой. В связи с тем, что объем информации в многоуровневых схемах довольно большой, необходимо уделять особое внимание простоте ее изложения, доступности для понимания. В комментарии к схемам желательно подробно описывать каждый этап. Это позволит не перегружать схему текстовой информацией. Например:
Этап 1. Общий обзор процесса с разделением на подпроцессы.
Этап 2. Разбивка подпроцесса на действия и стадии.
Этап 3. Детальное описание всех действий каждого подпроцесса.
Распространенные ошибки:
принимаемыми, усложняет их чтение, в них не хватает информации о процессах более высокого Доставка и распростра- схем. Они, как правило, сложно воспринимаемы Приведенные ниже в качестве примера схемы описывают процесс получения выручки, а такБухгалтерия тальные схемы, т. е. расшифровывать подпроцессы, создавая тем самым схемы 3-го уровня.
Бухгалтерия Полученные оплаты Процесс создания заказа на закупку инициируется на основании заявки, полученной от покупателя. Служба управления заказами покупателей Кредиты и поправки заказа на закупку. Отдел продаж создает заказ на закупку в системе SAR, при этом система автоматически генерирует транспортные накладные.
1.2. Доставка.
Товары отгружаются для доставки в производственный отдел и отправляются заказчику с транспортной накладной.
1.3. Выставление счетов.
После осуществления доставки на основании транспортной накладной заказчику выставляются счета для оплаты.
1.4. Получение оплаты.
Процесс получения оплаты включает процедуры, осуществляемые как вручную, так и автоматически. Поступившие денежные средства автоматически зачисляются на счета заказчиков с использованием приходных ордеров, выписываемых банком и отсылаемых каждый вечер на основной сервер системы.
1.5. Кредиты и поправки.
Любые необходимые поправки вносятся в расчеты с заказчиками в случае возврата товара, предоставления скидок и т.д.
Пример схемы 2-го уровня: подпроцесс денежных расчетов Копия чека документы Главная картоОшибка/ разРедактироватека покупатерешение доние вводимой лей АвтоматизироВыбор соот- Автоматизированная система расчетов АвтоматизироОплаченный Автоматизированная система расчетов Первичные документы расчетов 1.4.1. Чеки направляются бухгалтеру, который заносит их в реестр чеков. Отражаемая в реестре информация включает дату чека, его номер, сумму, имя или порядковый номер клиента, а также реквизиты счета-фактуры, который был оплачен данным чеком. Бухгалтер снимает копии с чеков и отправляет копии вместе с первичными документами (оригиналами счетов) в отдел расчетов с заказчиками.
имя/порядковый номер заказчика в автоматизированную систему расчетов.
Система сверяет номер клиента с данными главной картотеки заказчиков в системе.
1.4.3. Если система не находит номер клиента, появляется сообщение об ошибке, показывающее, что введенный номер недействителен. Сотрудник отдела расчетов с заказчиками может после этого вместо номера ввести имя и фамилию заказчика в окне поиска номера по имени, и система начинает поиск номера по имени. Если система обнаруживает в картотеке данные по введенному номеру заказчика, на экране появляется список неоплаченных счетов.
1.4.4. Следующий экран открывается по первому номеру счета, выбранного для осуществления оплаты.
1.4.5. Сотрудник отдела расчетов система подсказывает ввести сумму платежа в поле в верхней части страницы. Сумма обычно совпадает с суммой счета (отражаемой в поле внизу экрана), но иногда по некоторым счетам производится только частичная оплата.
1.4.6. Вводимая сумма оплаты по счету указывается цифрами.
Сотрудник просматривает каждый из счетов и отмечает оплату по каждому счету, к которому она относится. Система считает и показывает промежуточные итоги общей суммы платежа (по чеку) и оставшиеся неоплаченными суммы.
1.4.7. Сотрудник не может закрыть электронную страницу «Денежные расчеты», пока вся сумма по чеку не сойдется с суммой неоплаченных счетов.
1.4.8. Сотрудник отвечает за краткую информационную распечатку со страницы «Денежные расчеты», содержащую основные данные об оплате, включая номер чека, сумму и дату. Далее сотрудник скрепляет распечатку вместе с первичной документацией и копией чека и направляет эти документы старшему бухгалтеру в конце рабочего дня.
1.4.9. Бухгалтер проводит сверку документов с реестром чеков для того, чтобы удостовериться в том, что все чеки были сведены с неоплаченными счетами.
тов сти выставлен- счетов получает данных счетов на ные об отгрузке из продажу системы учета отгрузки и сравнивает строка за строкой отгруженные позиции с заявкой, с внесением тов выставляется по поступает на обработкаждой отгрузке ку, информация об главной книге жаются в соот- вает продажи и марветствующем пе- жу, чтобы контролиТребования главной книге жаются в соот- еженедельно прововетствующем пе- дит сверку продаж по (1) Полнота (П), Точность (Т), Действительность (Д), Разграничение доступа (РД) (2) Полнота (П); Существование или возникновение (СВ); Права и обязательства (ПО); Оценка и точность (ОТ); Представление и раскрытие (ПР) (3) Предотвращающий (П) или Обнаруживающий (О) контроль (4) Автоматический (A) или Ручной (Р) контроль Примеры значительных и существенных недостатков системы внутреннего Пример 1. Сверка счетов по внутригрупповым расчетам не производится Сценарий A. Значительный недостаток системы внутреннего контроля Компания ежемесячно проводит значительное количество обычных внутригрупповых операций. По отдельности внутригрупповые операции не являются существенными и относятся к деятельности, результаты которой отражаются в балансе (например, перемещение денежных средств между бизнес-единицами для целей финансирования текущей деятельности). Формально политика руководства требует проведения ежемесячной сверки внутригрупповых счетов и подтверждения остатков по расчетам между подразделениями компании. Однако в компании отсутствует контроль, обеспечивающий выполнение необходимых процедур в соответствии с предписанным порядком. В результате сверка счетов по внутригрупповым расчетам своевременно не производится. При этом руководство ежемесячно изучает случаи существенных расхождений остатков по счетам для внутригрупповых расчетов. Кроме того, руководство ежемесячно составляет подробный отчет по результатам анализа расхождений между фактическими и плановыми показателями операционных расходов на их обоснованность.
Опираясь только на эти факты, аудитору следует признать данный недостаток (т. е. отсутствие своевременного механизма сверки внутригрупповых расчетов) значимым по следующим причинам. Есть основания полагать, что данный недостаток вызовет более чем незначительное (однако менее чем существенное) искажение данных финансовой отчетности, т. к. отдельно взятые операции не являются существенными и компенсирующие контроли (выполняемые ежемесячно) должны выявить существенное искажение данных. Более того операции в основном относятся к деятельности, результаты которой отражаются в балансе. Однако компенсирующие контроли предназначены для обнаружения только существенных искажений финансовых данных. Данные контроли не предназначены для выявления более чем незначительных, но менее чем существенных искажений финансовой отчетности. Следовательно, существует более чем незначительная вероятность более чем незначительного, но менее чем существенного искажения данных финансовой отчетности.
Сценарий Б. Существенный недостаток системы внутреннего контроля Компания ежемесячно проводит большое количество внутригрупповых операций. Внутригрупповые операции относятся к широкому кругу деятельности, включая передачу запасов между подразделениями с отражением прибыли, распределение расходов на исследовательскую деятельность и общекорпоративных расходов между подразделениями и т.д. Отдельные внутригрупповые операции зачастую являются существенными. Формально политика руководства требует проведения ежемесячной сверки внутригрупповых счетов и подтверждения остатков по расчетам между подразделениями компании. Однако в компании отсутствует контроль, обеспечивающий своевременное выполнение необходимых процедур. В результате сверка счетов по внутригрупповым расчетам не производится своевременно, и по счету часто возникают существенные расхождения. Руководство не проводит никаких дополнительных процедур для выявления причины существенных расхождений между счетами внутригрупповых операций.
Основываясь уже только на этих фактах, аудитору следует признать данный недостаток существенным по следующим причинам. Есть основания полагать, что данный недостаток вызовет существенное искажение данных финансовой отчетности, поскольку отдельные внутригрупповые операции часто являются существенными и относятся к широкому кругу деятельности. Кроме того, обнаруженные расхождения остатков по счетам для внутригрупповых операций были и остаются существенными. Вероятность искажения данных финансовой отчетности является более чем незначительной, поскольку подобные искажения уже часто происходили в прошлом, а компенсирующие контроли являются неэффективными либо в силу неправильного дизайна, либо по причине низкой операционной результативности. В результате недостаток системы внутреннего контроля должен быть признан существенным по причинам более чем незначительной вероятности его возникновения и существенной величины искажения данных финансовой отчетности.
Пример 2. Изменения условий типового договора реализации продукции с целью определения их влияния на период и величину признания выручки не анализируются Сценарий A. Значительный недостаток системы внутреннего контроля В большинстве случаев компания использует типовой договор реализации продукции. Отдельно взятые операции по реализации продукции не являются существенными для компании. Сотрудники отдела продаж имеют право вносить изменения в условия договоров реализации. Бухгалтерия проверяет все случаи существенных или необычных изменений условий договоров реализации продукции, но не анализирует изменение стандартных условий поставки. Изменение стандартных условий поставки может повлиять на период признания выручки.
Руководство ежемесячно анализирует валовую маржу и проверяет любые существенные или необычные закономерности. Кроме того, руководство анализирует уровень запасов по состоянию на конец каждого отчетного периода. В компании было зафиксировано несколько случаев, когда выручка отражалась неправильно до отгрузки товара, но суммы во всех случаях были несущественными.
Опираясь только на эти факты, аудитору следует признать данный недостаток системы внутреннего контроля существенным по следующим причинам. Есть основания полагать, что данный недостаток вызовет более чем незначительное (но менее чем существенное) искажение данных финансовой отчетности, т. к. взятые по отдельности операции по реализации продукции не являются существенными и компенсирующие контроли (выполняемые ежемесячно, а также в конце каждого отчетного периода) должны снизить вероятность необнаружения существенного искажения данных финансовой отчетности. Более того, риск существенного искажения данных сводится к ошибкам в признании выручки по причине изменения условий поставки и не сопряжен с прочими причинами. Однако компенсирующие контроли предназначены для обнаружения только существенных искажений данных финансовой отчетности. Данные контроли не предназначены для выявления более чем незначительных, но менее чем существенных искажений финансовой отчетности в ситуациях, когда выручка по несущественным операциям была неправильно отражена. Следовательно, существует более чем незначительная вероятность более чем незначительного (но менее чем существенного) искажения данных финансовой отчетности.
Сценарий Б. Существенный недостаток системы внутреннего контроля Компания использует типовой договор реализации продукции, но сотрудники отдела продаж часто меняют условия этого договора. Эти изменения таковы, что могут влиять на период и величину признания выручки. Отдельно взятые операции по реализации товаров часто являются существенными для компании, а величина маржи по каждой сделке может сильно колебаться. Бухгалтерия не проверяет на регулярной основе изменение условий договора реализации. Хотя руководство ежемесячно проверяет данные по валовой марже, существенные различия ее уровня по каждой операции затрудняют обнаружение возможных искажений финансовой отчетности. В компании уже было зафиксировано несколько случаев неправильного признания выручки, причем суммы искажений были существенными.
Опираясь только на эти факты, аудитору следует признать данный недостаток существенным по следующим причинам. Есть основания полагать, что данный недостаток вызовет существенное искажение данных финансовой отчетности, поскольку отдельные операции по реализации продукции зачастую являются существенными, а также из-за того, что величина маржи по каждой сделке может сильно колебаться (что сделает неэффективным использование обнаруживающих и компенсирующих контролей, основывающихся на принципе приемлемости уровня отклонений). Кроме того, уже было зафиксировано несколько случаев неправильного признания выручки, причем суммы искажений были существенными. Следовательно, вероятность искажения данных финансовой отчетности является более чем незначительной. В результате недостаток системы внутреннего контроля должен быть признан существенным по причинам более чем незначительной вероятности его возникновения и существенной величины искажения данных финансовой отчетности.
Сценарий В. Существенный недостаток системы внутреннего контроля Компания использует типовой договор продажи, но сотрудники отдела продаж часто меняют условия этого договора. Сотрудники отдела продаж зачастую предоставляют никем не санкционированные и нигде не отражаемые скидки, не информируя об этом бухгалтерию. Покупатели вычитают эти суммы при оплате выставляемых им счетов, а бухгалтерия отражает недостающие суммы как неоплаченную дебиторскую задолженность. Не являющиеся по отдельности существенными, эти суммы становятся таковыми в совокупности. Подобная ситуация сохраняется на протяжении нескольких лет.
Опираясь только на эти факты, аудитору следует признать данный недостаток существенным по следующим причинам. Есть основания полагать, что данный недостаток вызовет существенное искажение данных финансовой отчетности, поскольку не являющиеся по отдельности существенными суммы становятся таковыми в совокупности из-за частоты проявления недостатка. Вероятность искажения данных финансовой отчетности, вызываемого данным недостатком системы внутреннего контроля, является более чем незначительной (даже если предположить, что по данным суммам были созданы резервы по сомнительным долгам), поскольку есть вероятность существенного искажения общих остатков по счетам дебиторской задолженности. Таким образом, недостаток системы внутреннего контроля подпадает под определение существенного недостатка.
Пример 3. Выявление нескольких существенных недостатков внутреннего контроля Сценарий A. Существенный недостаток системы внутреннего контроля В процессе оценки системы внутреннего контроля за подготовкой финансовой отчетности руководство выявило ряд недостатков. Учитывая обстоятельства, при которых возникли данные недостатки, руководство компании и аудитор пришли к мнению, что отдельно взятые перечисленные ниже недостатки являются значительными:
неправильное разделение полномочий и обязанностей при осуществлении некоторых контролей, которые функционируют в отношении прав доступа к ИТ-системе компании;
несколько случаев, когда операции не были должным образом отражены в бухгалтерских книгах дочерних обществ (суммы не были существенными ни по отдельности, ни в совокупности);
не проводилась своевременная сверка остатков на счетах, по которым был неправильно отражен ряд операций.
Опираясь только на эти факты, аудитор должен сделать вывод, что совокупность перечисленных значительных недостатков представляет собой существенный недостаток системы внутреннего контроля в силу следующих причин.
Аудитор определил, что в отношении каждого отдельно взятого недостатка существует более чем незначительная вероятность необнаружения искажения данных финансовой отчетности, причем величина искажения является более чем незначительной, но менее чем существенной. Однако эти значительные недостатки относятся к одной и той же группе счетов. Поэтому в отношении недостатков, взятых в совокупности, существует более чем незначительная вероятность того, что не удастся предотвратить или обнаружить существенное искажение финансовых данных. Следовательно, данные значительные недостатки в совокупности представляют собой существенный недостаток системы внутреннего контроля.
Сценарий Б. Существенный недостаток системы внутреннего контроля В ходе проводимой оценки систем внутреннего контроля руководство финансовой организации выявило недостатки в дизайне контроля за оценкой убытков по выданным кредитам, в операционной результативности контролей за инициацией, обработкой и анализом корректировок резервов по выданным кредитам;
а также в операционной результативности контроля за предотвращением и обнаружением случаев неправильного отражения процентного дохода. Руководство и аудитор согласились, что в целом каждый из данных недостатков является значительным. В течение предыдущего года значительно вырос объем выдаваемых кредитов, в отношении которых осуществлялись контроли за оценкой убытков и правильностью признания выручки. Тенденция роста объема выданных кредитов сохранится и в будущем.
Основываясь на анализе лишь этих фактов, аудитор должны сделать вывод, что в совокупности данные значительные недостатки представляют собой существенный недостаток в силу перечисленных ниже причин:
остатки по счетам выданных кредитов, на которые оказывают влияние выявленные недостатки системы внутреннего контроля, увеличились за прошлый год, и, как ожидается, эта тенденция сохранится и в будущем;
увеличение остатков по счетам выданных кредитов в сочетании с существенными недостатками контроля приводит к более чем незначительной вероятности существенных искажений величины резервов по выданным кредитам или данных о процентном доходе.
Следовательно, в совокупности данные недостатки соответствуют определению существенного недостатка системы внутреннего контроля.
Система внутреннего контроля и аудит в розничных сетях Мошенничество и воровство являются основными рисками как для небольшого магазина, так и для федеральных ретейлеров. Полностью избавиться от них вряд ли возможно, но минимизировать риски вполне по силам, в том числе с помощью процедур внутреннего контроля.
Основными направлениями внутреннего аудита розничных сетей являются:
аудит товарных остатков;
проверка процедур внутреннего контроля и фактов мошенничества;
проверка результативности деятельности каждого магазина.
Аудит товарных остатков.
Под аудитом товарных остатков понимается проведение независимых (т. е.
без участия работников проверяемого магазина) инвентаризаций и осуществление контроля бизнес-процессов, связанных с хранением товара и управлением складом. Задача аудитора подтвердить, что, во-первых, соответствующие процедуры исполняются без нарушений, во-вторых, что товары, числящиеся в учетной системе, фактически имеются в торговом зале и на складе магазина. По результатам проверок аудитор дает рекомендации по оптимизации процесса хранения товара и предотвращению недостач.
Контроль нужен для выявления не только фактов воровства, но и «дыр» в бизнес-технологиях, через которые «утекают» доходы. Основные зоны потерь в розничных сетях недостачи и разного рода махинации. В большинстве случаев за предотвращение недостач товара отвечают контролеры по товародвижению.
Они проверяют соблюдение процедуры отражения итогов инвентаризации, принимают выборочное участие в самих инвентаризациях. Кроме того, в их функции входит выявление источников существующих и потенциальных потерь, анализ кредиторской задолженности, проверка деятельности вспомогательных служб. С целью предотвращения сговора с поставщиками и заказчиками вводят внутреннее положение о тендерах. Если сумма договора поставки превышает определенный лимит, то выбор контрагента производится после прохождения тендера.
Аудит товарных остатков заключается в проведении разных видов инвентаризации:
независимая выборочная инвентаризация осуществляется аудитором;
регулярная полная персоналом магазина с участием аудитора;
независимая полная инвентаризация работниками компании, не задействованными в работе проверяемого магазина – с участием аудитора.
Этот вид инвентаризации имеет смысл проводить лишь в случае крайней необходимости, например, если есть веские основания полагать, что в данной торговой точке имеют место хищения.
При независимой выборочной инвентаризации в выборку включаются следующие товары:
из предыдущих коллекций, которые должны были быть вывезены из магазина, но по невыясненным причинам остались на складе;
наиболее дорогие;
находящиеся в охраняемой зоне (рядом с кассиром или охранником);
в минимальном количестве (13 штуки);
возвращенные;
по которым выявлены недостачи (излишки) в ходе последней проверки.
Прежде чем проводить независимую инвентаризацию, рекомендуется опросить директора и сотрудников проверяемого магазина на предмет исполнения регламентов перемещения и хранения товара, проведения регулярных инвентаризаций силами работников магазина. При этом удобно включить вопросы в импровизированную анкету. По итогам опроса станет возможным выявление конкретных проблем, на которых и сосредоточится аудитор в процессе проверки товарных остатков.
Задача аудитора, присутствующего при регулярной полной ревизии, проводимой силами самого магазина, оценить результативность и правильность исполнения данной процедуры, а также проверить, не скрываются ли данные о недостачах.
Проверка процедур внутреннего контроля.
Задачей проверки соблюдения корпоративных политик и процедур является выявление и предотвращение фактов мошенничества. Мошенничество в розничном магазине чаще всего связано с приемкой товара, перемещением между складом и торговым залом, предоставлением скидок, а также с кассовыми операциями и возвратом товара. Так, в махинациях с фиктивным возвратом, как правило, участвуют кассир и менеджер магазина. Кассир оформляет документы о возврате товара и изымает деньги из кассы, менеджер подписывает инвентаризационную ведомость, в которой подтверждается наличие данного товара на складе (фактически он, конечно, отсутствует). Подобная махинация выявляется в ходе независимой инвентаризации, проводимой внутренними аудиторами.
Другая не менее распространенная жульническая схема связана со скидками. Она обычно реализуется в сетевых магазинах, предоставляющих несколько видов скидок (сотрудникам компании, на некондиционный товар, по дисконтным картам, сезонные, специальные акции). Продавец, к примеру, может поделиться своей корпоративной скидкой (как правило, она максимальна) с покупателем на условии 50/50. Такого рода нарушения выявляются при проверке отчетов о предоставленных скидках и сравнении их со средними по сети данными.
Естественно, что процедуры в «зонах риска» и становятся объектом пристального внимания при внутреннем контроле (табл. 1).
Не стоит ограничивать программу внутреннего аудита лишь оценкой правильности исполнения процедур, в частности, своевременности и полноты составления документов, наличия необходимых подписей. Вполне резонно дополнить программу неожиданными тестами (например, спрятать товар и засечь время обнаружения пропажи). Также можно предусмотреть возможность небольших выборочных инвентаризаций (например, товаров одного артикула). Конечно, все это скорее инструменты аудита товарных остатков, но поскольку товар основная зона риска для розницы, то любая дублирующая проверка не будет излишней.
Правильность заполнения акта В соответствии с инструкцией по заполнению актов возврата Артикулы из возврата Обратить внимание на возвращенные товары с копией чека, с Приходные накладные торго- Сверить количество единиц товара в приходных накладных вого зала и расходные наклад- магазина и расходных склада ные склада Контроль перемещений товара Проверить периодичность: контроль должен осуществляться Детектор валют на кассе Наличие, исправность, пользуется ли им кассир в работе Инвентаризация кассы Инвентаризация кассы, сейфа, составление акта, если обнаружено расхождение с данными учета - сравнить его значение с Табло кассового аппарата Исправность и видимость покупателю Кассовый журнал Правильность заполнения Камеры видеонаблюдения Размещение по залу, отсутствие «мертвых» зон, попадают ли в Аудит результативности деятельности.
Когда количество магазинов в розничной сети перешагивает за полсотни, становится актуальной задача обеспечения единообразия их деятельности, подчинения ее единому стандарту. Решение этой задачи также можно закрепить за внутренними аудиторами. Параллельно они могут оценивать результативность деятельности магазина в целом, выявлять и распространять лучшие подходы, проводить импровизированный бенчмаркинг: что хорошего можно позаимствовать и что улучшить с целью увеличения прибыли.
В программу аудита результативности (табл. 2) можно включить оценку внешнего и внутреннего вида магазина (как оформлена витрина, как далеко видно магазин с улицы), удобство его расположения, качество ремонта, мерчандайзинга (как представлен товар в торговом зале), персонала (качество работы, приветливость, опрятность, контроль знания должностных инструкций), организационных процедур (график работы продавцов, их достаточное количество в торговом зале).
Ежедневное собрание со-Обратить внимание, освещается ли руководством текущий уровень трудников выполнения плана, цели на день Внешняя реклама Есть ли в непосредственной близости от магазина рекламные растяжки или баннеры Прилегающая территория Есть ли мусор по периметру магазина, урны у входа Скорость обслуживания Обратить внимание на наличие и длину очереди на кассе Утренняя уборка Оценивается чистота примерочных, стен, дверей в торговом зале Продавцы Инициативность, приветливость, опрятность Итоги подобного аудита можно использовать как инструмент нематериальной мотивации директоров магазинов.
Правила планирования.
Аудит контрольных процедур и результативности деятельности можно проводить одновременно и силами одной команды, поскольку объекты проверок одни и те же (в отличие от аудита товарных остатков) это бизнес-процессы. Последние рассматриваются с разных аспектов: с одной стороны, оценивается выполнение существующих правил, с другой ведется поиск путей оптимизации.
Аудит процедур и результативности. При планировании такого «сдвоенного» аудита следует учесть, что каждый магазин должен проверяться не менее одного раза в год. Проблемные или низкоэффективные магазины подвергаются аудиту минимум дважды в год (критерием результативности может служить уровень продаж или уровень прибыли по сравнению с планом и прошлым годом, средний чек и пр.). Аудировать новые магазины следует не ранее чем через три месяца после открытия. Что касается определения очередности (приоритетности), то в первую очередь контролируются давно не проверявшиеся магазины, новые, со сверхвысокими или сверхнизкими показателями результативности, а также дисконт-центры. Не стоит откладывать аудит магазинов, уличенных в невыполнении рекомендаций после предыдущих проверок, нарушениях политики скидок, а также имеющих признаки мошенничества (об этом может свидетельствовать превышение внутрикорпоративных лимитов по показателям долей возвратов и скидок в объеме продаж). Сигналом для проведения внепланового сдвоенного аудита может стать резкое снижение показателей результативности какого-либо магазина, наличие жалоб или иные факторы, свидетельствующие о проблемах.
Аудит товарных остатков. Независимые выборочные инвентаризации желательно проводить минимум два раза в год (в больших магазинах четыре). Новые магазины, как и при аудите процедур, рекомендуется проверять не ранее чем через три месяца после открытия.
Виды отчетности.
По итогам аудита формируются краткий (предоставляемый директору магазина для согласования в день проверки) и полный отчеты. Например, краткий отчет по итогам любой инвентаризации в рамках аудита товарных остатков содержит информацию об используемой выборке, объемах потерь (недостач), в нем же приводятся рекомендации по улучшению работы магазина.
Детальный отчет готовится в течение недели, в нем указываются основные проблемные зоны, план корректирующих действий и сроки их реализации. С ним должны ознакомиться директор магазина, глава розничного управления торговой сети, финансовый директор и глава службы внутреннего аудита. Если в отчете есть информация, касающаяся других подразделений (например, отдела персонала или маркетинга), их также нужно ознакомить с соответствующими разделами документа.
Каждый месяц данные о проведенных за этот период проверках сводятся в единый итоговый отчет, где раскрываются общие проблемы, приводятся лучший опыт, предлагаемый к внедрению во всей сети, а также рекомендации по коррекции существующих процедур внутреннего контроля. Кроме того, в едином итоговом отчете можно привести рейтинг магазинов по результатам оценки итогов аудита в баллах (например, за исполнение каждого пункта программы аудита и соответствие системы внутреннего контроля полагается определенный балл).
Удовлетворит ли собственника качество работы службы внутреннего аудита, сократятся ли недостачи, станут ли более редки случаи хищения и мошенничества в равной степени зависит как от организации самого аудита, так и от корректирующих воздействий после проверки и постаудитконтроля.
Имеет смысл обязать магазины ежемесячно отчитываться о том, как они исполняют рекомендации и предписания аудиторского отчета. Не менее важно в борьбе с нарушителями и мошенниками придерживаться принципа неотвратимости наказания. За нарушения нужно ввести дисциплинарные взыскания.
Пример внутренней политики по борьбе с мошенничеством Политика в области контроля за мошенничеством со стороны сотрудников Введение Действия, которые необходимо предпринять при подозрении на мошенничество Основа для мошенничества Какие области бизнеса подвержены мошенничеству Признаки мошенничества Роль отдела персонала Внутренняя безопасность Роль менеджмента Роль сотрудников 10.
11. Расследование мошенничеств 12. Основные цели расследования Утверждение политики Содержание настоящего документа одобрено :
Данная политика разработана с целью минимизации риска мошенничества со стороны сотрудников. Соблюдение этой политики поможет избежать рисков убытков для компании, вызванных возможным мошенничеством со стороны сотрудников.
Все сотрудники должны действовать честно, в соответствии с законодательством и моральными принципами, принятыми в обществе, чтобы сохранить и приумножить те ресурсы компании, за которые они прямо или косвенно отвечают.
Термин «мошенничество» для целей данного документа определяется как обман, взяточничество, подлог, подделка документов, воровство, растрата, сговор (в том числе и с целью скрыть факт мошенничества). Для практических целей мошенничество может быть определено как использование обмана с намерением получения преимущества, избежание выполнения обязательства или причинения убытка другой стороне. Наличие осознанного намерения является ключевым моментом для определения мошенничества.
Мошенничество представляет собой угрозу для прибыльности компании и благосостояния ее акционеров, и поэтому предупреждение мошенничества должно быть обязанностью каждого сотрудника, независимо от рода его деятельности.
В самом плохом случае мошенничество может уничтожить компанию или принести ей серьезный ущерб. Мошенничество не законно, и может принести ущерб как компании, так и группе в целом.
Мошенничество внутри компании подрывает доверие к менеджменту и результативность управления, а факт его совершения может серьезно навредить репутации группы. Несомненно, мошенничество имеет и другие негативные социальные аспекты.
Данная политика устанавливает обязанности сотрудников компании по минимизации риска мошенничества.
3. Действия, которые необходимо предпринять при подозрении на мошенничество Любые подозрения на мошенничество должны сообщаться генеральному директору, финансовому директору, менеджеру по организационно-правовым вопросам. Как можно большее число подробностей должно быть сообщено, чтобы способствовать более полному пониманию ситуации. Все сообщения будут тщательно расследоваться. Расследование будет проводиться менеджером по организационно-правовым вопросам или руководством компании. К расследованию могут привлекаться руководство группы и третьи стороны.
При подтверждении факта мошенничества к сотруднику, уличенному в мошенничестве, будут применяться дисциплинарные меры, а, при необходимости, и уголовное преследование. Все сообщения о мошенничестве или подозрении на мошенничество являются конфиденциальными.
Менеджер по организационно-правовым вопросам решает, каким методом должно проводиться расследование и что должно в него включаться. Сообщения о мошенничестве со стороны третьих лиц (поставщиков, подрядчиков и клиентов), а также сообщения сотрудников о мошенничестве со стороны третьих лиц, будут рассматриваться так же, как и сообщения от персонала.
4. Основа для мошенничества Мошенничество существует потому, что лица, которые хотят совершить мошеннические действия, предпринимают больше усилий, чтобы совершить такие действия, чем их жертвы, чтобы предупредить мошенничество. Для некоторых мошенничество становится хорошо организованным «бизнесом», которому уделяется большая часть рабочего дня. Любая коммерческая фирма является их потенциальной жертвой.
Большинство мошенничеств не представляют из себя сложных схем. Однако из-за многих причин они продолжают существовать. Тем не менее в большинстве случаев мошенничество может быть выявлено при проведении простых проверок.
Цель данной политики четко определить дозволенное и недозволенное поведение, довести это понимание до всего персонала. Наличие данной политики, тренинги и расследование каждого случая подозрения на мошенничество помогут снизить риск мошенничества.
5. Какие области бизнеса подвержены мошенничеству Мошенничество может происходить в самых различных частях компании.
Опыт показывает, что часто мошенничество связано со сговором сотрудников с внешними сторонами, такими как поставщики, партнеры, клиенты.
Виды мошенничеств, относящиеся к отделу планирования и клиентам:
предоставление услуг бесплатно или за вознаграждение, меньшее, чем предусмотрено в контракте;
отмена счетов с целью уменьшить задолженность клиента;
отражение фиктивных результатов с целью получения незаработанного использование представительских расходов в личных целях (например, приглашение клиента поиграть в гольф на Карибских островах или подделка авансовых отчетов).
Виды мошенничеств, относящиеся к отделу закупок:
сговор с поставщиками с целью принятия не полностью оказанных услуг как полностью оказанных услуг;
создание /использование подставных поставщиков;
сговор с поставщиками с целью увеличения цены оказываемых услуг;
получение взяток или откатов байрам с целью создать у баера незаслуженно хорошее мнение о поставщике;
получение дорогостоящих (более 100 долл.) подарков или других поощрений от поставщиков, потенциальных поставщиков и других третьих Виды мошенничеств, относящиеся к финансовому отделу:
разнесение платежа на другого клиента;
фальсификация документов;
отражение несуществующих или неавторизованных расходов (например, оплата несуществующих счетов или счетов несуществующему поставщику);
использование счетов, не отражающихся в бухгалтерском учете;
фальсификация задолженности клиента;
воровство или использование денежных средств для собственной выгоды;
получение и/или оплата неавторизованных расходов (например, оплата собственных коммунальных платежей или неправильный адрес доставки оплаченных товаров).
6. Признаки мошенничества Клиенты и поставщики:
сообщения об ошибках от поставщиков и клиентов при сверке задолженности;
жалобы клиентов на качество оказываемых услуг или на отдельные счета;
желание клиента или поставщика общаться только с одним сотрудником и нежелание сотрудника, чтобы другие сотрудники общались с его клиентом или поставщиком;
необычные реквизиты или контактные детали (например, круглые суммы, нечеткое описание услуги, мобильный телефон в качестве контактного);
недостаточно задокументированные транзакции и договоренности;
использование посредников.
Сотрудники:
необычное поведение сотрудников;
несоответствие доходов и расходов;
нежелание идти в отпуск или продвигаться по служебной лестнице.
Финансовая информация:
необычное колебание финансовых рейтингов или отклонение фактических показателей от бюджетных;
отсутствие необходимых бухгалтерских записей или документов;
недостаточное разделение обязанностей (в том числеплатежи, заверяющиеся одной подписью);
необычные платежи;
избыточное число банковских счетов.
7. Роль отдела персонала Риск мошенничества напрямую связан с персоналом и может быть снижен во время процедуры отбора и найма персонала, а также путем соответствующего правления людскими ресурсами. Честность персонала является ключевым моментом, и политики, и процедуры управления персоналом должны быть построены таким образом, чтобы полностью учитывать этот вопрос. Особенно важны вопросы проверки сотрудников и их рекомендаций, предшествующие найму, и проверка временных сотрудников.
Использование временного персонала должно рассматриваться как повышенный риск и, соответственно, проверке действий временных сотрудников должно уделяться повышенное внимание. По возможности следует избегать использования временного персонала в наиболее рисковых областях (связанных с доступом к клиентской информации, бухгалтерским счетам и денежным средствам). Если необходимость вынуждает использовать временных сотрудников в этих областях, то за их действиями должны наблюдать постоянные сотрудники.
Повышенное внимание должно уделяться и проверке менеджмента, старшего персонала и тех, кто занят в наиболее рисковых областях.
8. Внутренняя безопасность Процедуры, связанные с безопасностью, должны включать в себя процедуры, направленные на предотвращение мошенничества, в частности:
ограниченный доступ в офис и отдельные помещения (см. Политику по ограниченный доступ и безопасное хранение ключевых документов, чеков, векселей, баз данных и кодов доступа к системе электронных платежей (см. Политику хранения документов);
ограничение доступа к компьютерной информации, программам, базам данных;
уничтожение конфиденциальных материалов при помощи бумагоуничтожателей (шредеров);
меры для защиты компании при увольнении сотрудников.
9. Роль менеджмента Менеджмент компании обязан:
регламентировать процессы в компании способом, наиболее защищенным от мошенничества;
регулярно проверять, что вся важная и конфиденциальная информация надежно защищена от неавторизованного доступа, использования и изменения;
устанавливать внутренние контроли, направленные на предупреждение мошенничества;
регулярно убеждаться, что внутренние контроли, направленные на предупреждение мошенничества, работают;
расследовать каждый факт мошенничества или подозрений на мошенничество;
предпринимать все разрешенные законом и предусмотренные в Трудовом контракте меры против совершившего мошенничество;
доводить данную политику до каждого сотрудника и убеждаться, что сотрудники действуют в соответствии с данной политикой;
проводить тренинги, направленные на ознакомление сотрудников с политикой в области контроля за мошенничеством со стороны сотрудников, используя опыт группы и анализ последних выявленных случаев мошенничества;
осуществлять координацию различных отделов и функций для борьбы с мошенничеством;
убедиться, что трансакции с использованием наличных денег избегаются по мере возможности.
Против менеджеров, не способных справиться со своими обязанностями по предупреждению и выявлению мошенничества, будут применяться дисциплинарные меры.
10. Роль сотрудников Сотрудники обязаны:
действовать честно, в соответствии с законодательством и моральными принципами, принятыми в обществе, а также политиками, утвержденными компанией;
использовать ресурсы организации (включая информацию) в интересах организации, а не в своих собственных интересах;
сохранить и приумножить ресурсы компании;
немедленно информировать менеджмент о мошенничестве или подозрении на мошенничество;
информировать менеджмент о слабостях внутренних контролей, обнаруженных во время исполнения служебных обязанностей;
информировать менеджмент в случае, если сотрудник организации (поставщика или клиента) находится в родственных связях с сотрудником компании, с которым эта внешняя организация ведет переговоры;
выполнять свои обязанности по предупреждению мошенничества.
11. Расследование мошенничеств Каждый сотрудник обязан сообщать о своих подозрениях о мошенничестве.
Каждое сообщение должно рассматриваться в кротчайшие сроки и лицами, обладающими соответствующими полномочиями и навыками. В случае получения информации о возможном мошенничестве менеджмент обязан:
получить информацию, подтверждающую возможность мошенничества со стороны сотрудника или поставщика;
собрать информацию о вовлеченных сторонах, природе и объемах мошенничества, о том, сколько оно может продолжаться;
проконсультироваться с начальником юридического отдела группы;
расследование должно проводиться осторожно, чтобы избежать потери или уничтожения важной информации или улик. При наличии какихлибо сомнений, нужно проконсультироваться с начальником юридического отдела группы.
12. Основные цели расследования Цели расследования:
максимизировать возмещение и минимизировать влияние на репутацию компании и группы;
избежать дальнейших потерь;
выявить сотрудников и третьи стороны, вовлеченные в мошенничество;
максимизировать успех предпринятых дисциплинарных воздействий;
выявить слабости в процедурах внутреннего контроля;
провести все необходимые акции, чтобы исключить возможность повторения мошенничества.
Автоматизированный контроль – контроль, осуществляемый компьютером в автоматическом режиме.
Бизнес-процесс – это любая последовательность действий, позволяющая компании достичь поставленных целей. Эти действия могут различаться по степени сложности: от выполнения простых действий (таких как процедура выставления счетов) до управления ключевыми элементами операционной деятельности (таких как управление оптовыми продажами или системой дистрибуции), выполнения функциональных задач (таких как организация бухгалтерских записей), перекрестно-функциональных элементов (таких как управление персоналом).
Оценка рисков в бизнес-процессах. Одним из этапов определения объема работ является определение руководством компании ключевых бизнес-процессов.
Для оценки объема документирования и тестирования каждого бизнес-процесса руководству следует произвести оценку риска каждого бизнес-процесса/цикла.
Оценка риска включает выявление существенных рисков финансовой отчетности, для каждого компонента финансовой отчетности в каждом бизнес-процессе. Бизнес-процессы с наиболее высокой степенью риска должны быть задокументированы и протестированы наиболее подробно.
Контроли корпоративного уровня – это управленческие контроли, устанавливаемые руководством для получения достаточной степени уверенности в том, что по всей компании, включая отдельные бизнес-единицы, применяются контрольные процедуры. Стандарт относит к контролям корпоративного уровня следующие контрольные процедуры:
контрольные процедуры в рамках контрольной среды, включая философию и стиль руководства, распределение ответственности и полномочий, разработанные политики и процедуры, корпоративные инициативы, такие как кодекс корпоративного поведения и борьба и предотвращение мошенничества;
процедуры оценки рисков руководством компании;
централизованные процессы и контроли;
мониторинг контролей, включая деятельность внутреннего аудита, комитета по аудиту и программы самооценки;
процесс подготовки финансовой отчетности;
одобренные Советом директоров политики, содержащие наиболее существенные операционные контроли и практику управления рисками.
Среда контроля. Среда контроля выражает отношение руководства к системе внутреннего контроля в организации и является основой для всех прочих компонентов системы внутреннего контроля предприятия. В соответствии с методикой COSO выделяют семь составных частей среды контроля:
этические ценности организации;
направленность на развитие персонала;
философия и стиль управления;
организационная структура;
распределение прав и обязанностей;
управление персоналом;
участие в управлении организацией исполнительных органов.
Оценка рисков – это идентификация и анализ соответствующих рисков и их влияния на процесс достижения компанией поставленных целей. Руководство компании должно сформировать основу для управления рисками. Поскольку экономика, производство, управление и условия операционной деятельности находятся в постоянном изменении, руководству необходимо разработать механизмы, которые бы позволяли идентифицировать и нивелировать специфические риски, возникающие в результате таких изменений.
Контрольные процедуры позволяют удостовериться в выполнении указаний руководства и эффективном управлении рисками, что позволяет компании достичь поставленных целей. Эти процедуры применяются на всех уровнях организации во всех бизнес-процессах и включают: одобрение, авторизацию и сверку транзакций, анализ эффективности деятельности, сохранность активов и распределение полномочий и обязанностей.
Информация и коммуникация. Для надлежащего исполнения персоналом своих должностных функций и обязанностей информация должна отбираться и доводиться до его сведения своевременно и в полном объеме. В информационных системах формируются отчеты, содержащие операционную, финансовую и нормативно-правовую информацию, позволяющую руководству обеспечивать работу и контроль за производством. Этот компонент системы внутреннего контроля включает не только данные, генерируемые внутри компании, но и информацию о внешних воздействиях, процессах и условиях деятельности, необходимую для принятия решений и внешней отчетности. Руководство компании должно довести до сведения персонала всех уровней важность выполнения ими контрольных процедур. Персонал должен понимать как свою роль в системе внутреннего контроля, так и влияние своих обязанностей на деятельность других. Сотрудники также должны понимать необходимость доведения любой значимой информации до руководства компании, а также обеспечивать эффективное взаимодействие с внешними сторонами, такими как покупатели, поставщики, регулирующие органы и заинтересованные стороны.
Мониторинг. Эффективность системы внутреннего контроля должна подвергаться постоянной или периодической проверке. Непрерывный мониторинг осуществляется в ходе операционной деятельности и включает управление, надзор и другие действия сотрудников в ходе исполнения ими своих обязанностей. Объем и периодичность отдельных оценок руководством зависит от оценки рисков и эффективности непрерывных процедур мониторинга.
Эффективность дизайна контролей. Дизайн внутренних контролей считается эффективным, когда существующие контрольные процедуры позволяют предотвратить или обнаружить ошибки или риски, результатом которых являются существенные искажения финансовой отчетности.
Обнаруживающий контроль контроль, целью которого является выявление уже возникших ошибок или недостатков, которые могут оказаться причиной искажений финансовой отчетности.
Общие компьютерные контроли – это один из видов контролей процесса обработки информации, включенный в компонент системы внутреннего контроля «Контрольные процедуры». Это процессы и процедуры, которые используются для управления и контроля за ИТпроцессами в компании и компьютерной среды.