Внутренний контроль

Управление организационными рисками

Внутренний контроль , как он определяется в бухгалтерском учете и аудите , представляет собой процесс обеспечения целей организации в области операционной эффективности и результативности , надежной финансовой отчетности и соответствия законам, правилам и политикам. В широком смысле внутренний контроль включает в себя все, что контролирует риски для организации.

Это средство, с помощью которого ресурсы организации направляются, контролируются и измеряются. Он играет важную роль в обнаружении и предотвращении мошенничества и защите ресурсов организации, как физических (например, оборудование и имущество), так и нематериальных (например, репутация или интеллектуальная собственность, такая как товарные знаки).

На организационном уровне цели внутреннего контроля связаны с надежностью финансовой отчетности, своевременной обратной связью по достижению операционных или стратегических целей и соблюдением законов и нормативных актов. На уровне конкретных транзакций внутренний контроль относится к действиям, предпринимаемым для достижения определенной цели (например, как гарантировать, что платежи организации третьим лицам производятся за оказанные услуги). Процедуры внутреннего контроля сокращают вариативность процесса, что приводит к более предсказуемым результатам. Внутренний контроль является ключевым элементом Закона о борьбе с коррупцией за рубежом (FCPA) 1977 года и Закона Сарбейнса-Оксли 2002 года, которые требовали улучшения внутреннего контроля в публичных корпорациях США. Внутренний контроль в коммерческих организациях также называется операционным контролем . Основные действующие средства контроля иногда называют «ключевыми финансовыми средствами контроля» (KFC). ^[1]

Ранняя история внутреннего контроля

Внутренний контроль существовал с древних времен. В эллинистическом Египте существовало двойное управление, при котором одни бюрократы отвечали за сбор налогов, а другие — за надзор за ними. В Китайской Республике Надзорный орган (检察院; пиньинь : Jiǎnchá Yùan), одна из пяти ветвей власти, является следственным органом, который контролирует другие ветви власти.

Определения

Существует множество определений внутреннего контроля, поскольку он влияет на различные группы (заинтересованные стороны) организации различными способами и на разных уровнях агрегации.

В соответствии с интегрированной концепцией внутреннего контроля COSO , широко используемой не только в США, но и во всем мире, внутренний контроль в широком смысле определяется как процесс, осуществляемый советом директоров, руководством и другим персоналом организации, призванный обеспечить разумную уверенность в достижении целей, связанных с операционной деятельностью, отчетностью и соблюдением требований.

COSO определяет внутренний контроль как состоящий из пяти компонентов:

1. Среда контроля — задает тон организации, влияя на контрольное сознание ее сотрудников. Это основа для всех остальных компонентов внутреннего контроля.
2. Оценка рисков — выявление и анализ рисков, имеющих отношение к достижению целей, что формирует основу для управления рисками.
3. Информация и коммуникация — системы или процессы, которые поддерживают идентификацию, сбор и обмен информацией в форме и в сроки, которые позволяют людям выполнять свои обязанности.
4. Контрольные мероприятия — политики и процедуры, помогающие обеспечить выполнение директив руководства.
5. Мониторинг — процессы, используемые для оценки качества работы внутреннего контроля с течением времени.

Определение COSO относится к совокупной системе контроля организации, которая состоит из множества отдельных процедур контроля.

Процедуры дискретного контроля или средства контроля определяются SEC как: «...определенный набор политик, процедур и видов деятельности, разработанных для достижения цели. Средства контроля могут существовать в рамках назначенной функции или вида деятельности в процессе. Влияние средств контроля... может быть общеорганизационным или специфичным для остатка на счете, класса транзакций или приложения. Средства контроля имеют уникальные характеристики — например, они могут быть: автоматизированными или ручными; сверки; разделение обязанностей; разрешения на рассмотрение и утверждение; защита и учет активов; предотвращение или обнаружение ошибок или мошенничества. Средства контроля в рамках процесса могут состоять из средств контроля финансовой отчетности и операционного контроля (то есть тех, которые предназначены для достижения операционных целей)». ^[2]

Контекст

В более общем плане, установление целей, бюджетов, планов и других ожиданий устанавливает критерии для контроля. Сам контроль существует для поддержания производительности или состояния дел в пределах ожидаемого, разрешенного или принятого. Контроль, встроенный в процесс, является внутренним по своей природе. Он осуществляется с помощью комбинации взаимосвязанных компонентов, таких как социальная среда, влияющая на поведение сотрудников, информация, необходимая для контроля, а также политики и процедуры. Структура внутреннего контроля представляет собой план, определяющий, как внутренний контроль состоит из этих элементов. ^[3]

Концепции корпоративного управления также в значительной степени опираются на необходимость внутреннего контроля. Внутренний контроль помогает гарантировать, что процессы работают так, как задумано, и что ответные меры на риски (обработка рисков) в управлении рисками выполняются (COSO II). Кроме того, должны быть обстоятельства, гарантирующие, что вышеупомянутые процедуры будут выполняться так, как задумано: правильное отношение, честность и компетентность, а также мониторинг со стороны менеджеров.

Роли и обязанности во внутреннем контроле

Согласно COSO Framework, каждый в организации несет ответственность за внутренний контроль в той или иной степени. Практически все сотрудники производят информацию, используемую в системе внутреннего контроля, или предпринимают другие действия, необходимые для осуществления контроля. Кроме того, весь персонал должен нести ответственность за сообщение о проблемах в операциях, несоблюдении кодекса поведения или других нарушениях политики или незаконных действиях. Каждый крупный субъект корпоративного управления играет определенную роль:

Управление

Генеральный директор (топ-менеджер) организации несет общую ответственность за разработку и внедрение эффективного внутреннего контроля. Больше, чем любой другой человек, генеральный директор задает « тон наверху », который влияет на честность и этику и другие факторы позитивной контрольной среды. В крупной компании генеральный директор выполняет эту обязанность, обеспечивая руководство и направление старшим менеджерам и проверяя, как они контролируют бизнес. Старшие менеджеры, в свою очередь, назначают ответственность за установление более конкретных политик и процедур внутреннего контроля персоналу, ответственному за функции подразделения. В меньшей организации влияние генерального директора, часто владельца-менеджера, обычно более прямое. В любом случае, в каскадной ответственности менеджер фактически является генеральным директором своей сферы ответственности. Особое значение имеют финансовые директора и их сотрудники, чья контрольная деятельность пересекает, а также простирается вверх и вниз, операционные и другие подразделения предприятия.

Совет директоров

Руководство подотчетно совету директоров, который обеспечивает управление, руководство и надзор. Эффективные члены совета директоров объективны, способны и любознательны. Они также знают деятельность и среду организации и выделяют необходимое время для выполнения своих обязанностей в совете директоров. Руководство может иметь возможность игнорировать средства контроля и игнорировать или подавлять сообщения от подчиненных, что позволяет нечестному руководству, намеренно искажающему результаты, замести следы. Сильный, активный совет директоров, особенно в сочетании с эффективными каналами восходящей связи и способными финансовыми, юридическими и внутренними аудиторскими функциями, часто наилучшим образом способен выявить и исправить такую ​​проблему.

Аудиторские роли и обязанности

Аудиторы

Внутренние аудиторы и внешние аудиторы организации также измеряют эффективность внутреннего контроля своими усилиями. Они оценивают, правильно ли разработаны, внедрены и эффективно ли работают средства контроля, и дают рекомендации по улучшению внутреннего контроля. Они также могут проверять средства контроля информационных технологий , которые относятся к ИТ-системам организации. Чтобы обеспечить разумную уверенность в том, что внутренние средства контроля, задействованные в процессе финансовой отчетности, эффективны, они проверяются внешним аудитором (бухгалтерами организации), которые обязаны высказать свое мнение о внутренних средствах контроля компании и надежности ее финансовой отчетности.

Аудиторский комитет

Роль и обязанности аудиторского комитета в общих чертах заключаются в следующем: (a) Обсуждать с руководством, внутренними и внешними аудиторами и основными заинтересованными сторонами качество и адекватность системы внутреннего контроля организации и процесса управления рисками, а также их эффективность и результаты, а также регулярно и в частном порядке встречаться с директором по внутреннему аудиту; (b) Рассматривать и обсуждать с руководством и внешними аудиторами и утверждать проверенные финансовые отчеты организации и давать рекомендации относительно включения этих финансовых отчетов в любые публичные документы. Также рассматривать с руководством и независимым аудитором влияние нормативных и бухгалтерских инициатив, а также внебалансовых вопросов в финансовых отчетах организации; (c) Рассматривать и обсуждать с руководством типы информации, которая должна быть раскрыта, и типы презентаций, которые должны быть сделаны в отношении пресс-релиза о доходах компании и финансовой информации и руководства по доходам, предоставляемого аналитикам и рейтинговым агентствам; (d) Подтверждать объем аудита, который должен быть проведен внешними и внутренними аудиторами, контролировать ход выполнения и рассматривать результаты, а также рассматривать гонорары и расходы. Просматривать существенные выводы или неудовлетворительные отчеты внутреннего аудита, или аудиторские проблемы или трудности, с которыми столкнулся внешний независимый аудитор. Контролировать реакцию руководства на все выводы аудита; (e) Управлять жалобами, касающимися бухгалтерского учета, внутреннего контроля бухгалтерского учета или вопросов аудита; (f) Получать регулярные отчеты от генерального директора, финансового директора и других контрольных комитетов компании относительно недостатков в разработке или функционировании внутреннего контроля и любого мошенничества, в котором замешано руководство или другие сотрудники, играющие значительную роль во внутреннем контроле; и (g) Поддерживать руководство в разрешении конфликтов интересов. Контролировать адекватность внутреннего контроля организации и обеспечивать принятие мер по всем случаям мошенничества.

Комитет по льготам для персонала

Роль и обязанности по выплатам персоналу в общих чертах заключаются в следующем: (a) Утверждать и контролировать администрирование Программы вознаграждений для руководителей компании; (b) Рассматривать и утверждать конкретные вопросы вознаграждения для генерального директора, главного операционного директора (если применимо), главного финансового директора, генерального юрисконсульта, старшего сотрудника по кадрам, казначея, директора по корпоративным отношениям и управлению и директоров компании; (c) Рассматривать, по мере необходимости, любые изменения в вопросах вознаграждения для должностных лиц, перечисленных выше, с советом директоров; и (d) Рассматривать и контролировать все мероприятия и отчеты, связанные с производительностью и соответствием кадровых ресурсов, включая систему управления производительностью. Они также обеспечивают, чтобы меры производительности, связанные с выплатами, надлежащим образом использовались руководством организации.

Операционный персонал

Все сотрудники должны нести ответственность за сообщение о проблемах в работе, мониторинг и улучшение своей работы, а также мониторинг несоблюдения корпоративных политик и различных профессиональных кодексов или нарушений политик, стандартов, практик и процедур. Их особые обязанности должны быть задокументированы в их индивидуальных личных делах. В деятельности по управлению эффективностью они принимают участие во всех мероприятиях по сбору и обработке данных по соблюдению и эффективности, поскольку они являются частью различных организационных подразделений и также могут отвечать за различные мероприятия, связанные с соблюдением и операционной деятельностью организации.

Сотрудники и младшие менеджеры могут участвовать в оценке контроля в рамках своего организационного подразделения, используя самооценку контроля .

Непрерывный контроль и мониторинг

Достижения в области технологий и анализа данных привели к разработке многочисленных инструментов, которые могут автоматически оценивать эффективность внутреннего контроля. При использовании в сочетании с непрерывным аудитом , мониторинг непрерывного контроля обеспечивает уверенность в финансовой информации, проходящей через бизнес-процессы.

Стандарты аудита

В ряде юрисдикций существуют законы и положения о внутреннем контроле, связанном с финансовой отчетностью. В США эти положения специально установлены разделами 404 и 302 Закона Сарбейнса-Оксли . Руководство по аудиту этих средств контроля указано в

• SSAE № 18 , опубликованный Американским институтом сертифицированных бухгалтеров (AICPA)
• Стандарт аудита № 5 , опубликованный Советом по надзору за бухгалтерским учетом в публичных компаниях (PCAOB)
• Рекомендации SEC, которые более подробно обсуждаются в документе SOX 404 «Оценка риска сверху вниз» .

Ограничения

Внутренний контроль может обеспечить разумную, но не абсолютную уверенность в том, что цели организации будут достигнуты. Концепция разумной уверенности подразумевает высокую степень уверенности, ограниченную затратами и выгодами установления процедур инкрементального контроля.

Эффективный внутренний контроль подразумевает, что организация формирует надежную финансовую отчетность и в значительной степени соблюдает законы и нормативные акты, которые к ней применяются. Однако достижение организацией операционных и стратегических целей может зависеть от факторов, находящихся вне предприятия, таких как конкуренция или технологические инновации. Эти факторы находятся вне сферы внутреннего контроля; поэтому эффективный внутренний контроль предоставляет только своевременную информацию или обратную связь о прогрессе в достижении операционных и стратегических целей, но не может гарантировать их достижение.

Описание внутреннего контроля

Внутренний контроль можно описать следующими терминами:

а) соответствующая цель или утверждение финансового отчета

б) характер самой контрольной деятельности.

Категоризация по целям или утверждениям

Утверждения — это заявления руководства, воплощенные в финансовой отчетности. Например, если в финансовой отчетности указан остаток основных средств на сумму 1000 долларов США , это означает, что руководство утверждает, что основные средства фактически существуют на дату финансовой отчетности, оценка которых составляет ровно 1000 долларов США (на основе исторической стоимости или справедливой стоимости в зависимости от структуры и стандартов отчетности), и у организации есть полное право/обязанность, вытекающие из таких активов (например, если они сдаются в аренду, это должно быть раскрыто соответствующим образом). Кроме того, такие основные средства должны быть раскрыты и правильно представлены в финансовой отчетности в соответствии со структурой финансовой отчетности, применимой к компании.

Контроль может быть определен относительно конкретного утверждения финансового отчета, к которому он относится. Существует пять таких утверждений, образующих аббревиатуру «PERCV» (произносится как «воспринимать»):

1. Представление и раскрытие информации: Счета и раскрытие информации надлежащим образом описаны в финансовых отчетах организации.
2. Существование/Возникновение/Действительность: Обрабатываются только действительные или авторизованные транзакции.
3. Права и обязательства: Активы — это права организации, а пассивы — ее обязательства по состоянию на определенную дату.
4. Полнота: Обрабатываются все транзакции, которые должны быть обработаны.
5. Оценка: транзакции оцениваются точно с использованием надлежащей методологии, например, определенного способа расчета или формулы.

Например, цель контроля действительности может быть следующей: «Платежи производятся только за авторизованные продукты и полученные услуги». Типичная процедура контроля будет следующей: «Система оплаты сравнивает заказ на покупку, запись о получении и счет поставщика перед авторизацией платежа». Руководство несет ответственность за реализацию соответствующих элементов контроля, которые применяются ко всем транзакциям в их областях ответственности.

Категоризация деятельности

Контрольные действия также могут быть объяснены типом или характером деятельности. Они включают (но не ограничиваются):

• Разделение обязанностей — разделение ролей по авторизации, хранению и ведению учета для предотвращения мошенничества или ошибок со стороны одного человека.
• Авторизация транзакций – проверка конкретных транзакций соответствующим лицом.
• Хранение записей — ведение документации для подтверждения транзакций.
• Надзор или мониторинг операций — наблюдение или обзор текущей операционной деятельности.
• Физические меры безопасности — использование камер, замков, физических барьеров и т. д. для защиты имущества, например, товарных запасов.
• Обзоры верхнего уровня — анализ фактических результатов в сравнении с целями или планами организации, периодические и регулярные операционные обзоры, метрики и другие ключевые показатели эффективности (KPI).
• Общие элементы управления ИТ — элементы управления, связанные с: а) безопасностью, чтобы гарантировать, что доступ к системам и данным ограничен уполномоченным персоналом, например, использование паролей и просмотр журналов доступа; и б) управлением изменениями , чтобы гарантировать, что программный код надлежащим образом контролируется, например, разделение производственной и тестовой сред, системное и пользовательское тестирование изменений перед принятием и контроль за переносом кода в производство.
• Контроль ИТ-приложений — контроль обработки информации, осуществляемый ИТ-приложениями, например, проверка редактирования для подтверждения ввода данных, учет транзакций в числовых последовательностях и сравнение итоговых данных файлов с контрольными счетами.

Точность управления

Точность контроля описывает соответствие или корреляцию между конкретной процедурой контроля и заданной целью контроля или риском. Контроль с прямым воздействием на достижение цели (или смягчение риска) считается более точным, чем тот, который оказывает косвенное воздействие на цель или риск. Точность отличается от достаточности; то есть, для достижения цели контроля или смягчения риска могут быть задействованы несколько контролей с различной степенью точности.

Точность является важным фактором при выполнении оценки риска сверху вниз SOX 404. После выявления конкретных рисков существенных искажений финансовой отчетности руководство и внешние аудиторы должны определить и протестировать средства контроля, которые снижают риски. Это включает в себя принятие решений относительно точности и достаточности средств контроля, необходимых для снижения рисков.

Риски и средства контроля могут быть на уровне субъекта или на уровне утверждения в соответствии с руководством PCAOB. Средства контроля на уровне субъекта определяются для устранения рисков на уровне субъекта. Однако обычно для устранения рисков на уровне утверждения определяется комбинация средств контроля на уровне субъекта и уровня утверждения. PCAOB устанавливает трехуровневую иерархию для рассмотрения точности средств контроля на уровне субъекта. ^[4] Более позднее руководство PCAOB относительно малых публичных фирм предоставило несколько факторов, которые следует учитывать при оценке точности. ^[5]

Типы политик внутреннего контроля

Внутренний контроль играет важную роль в предотвращении и обнаружении мошенничества . ^[6] Согласно Закону Сарбейнса-Оксли, компании обязаны проводить оценку риска мошенничества и оценивать соответствующие элементы управления. Обычно это включает в себя определение сценариев, в которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. ^[7] Риск того, что высшее руководство может обойти важные финансовые элементы управления, чтобы манипулировать финансовой отчетностью, также является ключевой областью внимания при оценке риска мошенничества. ^[8]

AICPA, IIA и ACFE также спонсировали руководство, опубликованное в 2008 году, которое включает в себя структуру, помогающую организациям управлять рисками мошенничества. ^[9]

Внутренний контроль и улучшение процессов

Средства контроля можно оценить и улучшить, чтобы бизнес-операции работали более эффективно и результативно. Например, автоматизация средств контроля, которые являются ручными по своей природе, может сэкономить затраты и улучшить обработку транзакций. Если руководители считают систему внутреннего контроля только средством предотвращения мошенничества и соблюдения законов и нормативных актов, может быть упущена важная возможность. Средства внутреннего контроля также можно использовать для систематического улучшения бизнеса, особенно в отношении эффективности и результативности.

Смотрите также

• Главный аудитор
• Три линии обороны

Ссылки

1. Barnet Council, Key Financial Controls, опубликовано в марте 2016 г., дата обращения 29 января 2020 г.
2. «Руководство Комиссии относительно отчета руководства о внутреннем контроле за финансовой отчетностью в соответствии с разделом 13(a) или 15(d) Закона о фондовых биржах 1934 года» (PDF) . Разъясняющее руководство SEC . Комиссия по ценным бумагам и биржам. 20 июня 2007 г.
3. Матти Маттила: Модель ECAR. Архивировано 31 октября 2007 г. на Wayback Machine.
4. "Стандарт аудита № 5: Аудит внутреннего контроля за финансовой отчетностью, интегрированный с аудитом финансовой отчетности". Public Company Accounting Oversight Board . Получено 24 января 2014 г.
5. "Руководство для аудиторов малых публичных компаний" (PDF) . Совет по надзору за бухгалтерским учетом в публичных компаниях. 23 января 2009 г.
6. Резаи, Забихолла. Мошенничество с финансовой отчетностью: предотвращение и обнаружение. Нью-Йорк: Wiley; 2002.
7. "Management Antifraud Programs and Controls" (PDF) . Американский институт сертифицированных бухгалтеров. Архивировано из оригинала (PDF) 28-06-2007 . Получено 25-06-2007 .
8. "Management override of internal controls" (PDF) . Американский институт сертифицированных бухгалтеров. 2005. Архивировано из оригинала (PDF) 27-09-2007 . Получено 25-06-2007 .
9. "Управление деловым риском мошенничества: практическое руководство" (PDF) . Американский институт сертифицированных бухгалтеров . Получено 24 января 2014 г. .^{[ постоянная мертвая ссылка ]}

Внешние ссылки

• Организация высших органов финансового контроля (ИНТОСАИ) ^{[ постоянная мертвая ссылка ]}
• Комитет спонсорских организаций Комиссии Тредвея: Внутренний контроль – Интегрированная структура (1992)
• Ассоциация внутреннего контроля штата Нью-Йорк (NYSICA)
• Рафик Уануки1 и Ален Апрель (2007). "Измерение соответствия ИТ-процессов: требование закона Сарбейнса-Оксли" (PDF) . Труды IWSM - Mensura 2007 .{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )