В финансовом аудите публичных компаний в Соединенных Штатах оценка риска сверху вниз SOX 404 (TDRA) представляет собой оценку финансового риска, проводимую в соответствии с разделом 404 Закона Сарбейнса-Оксли 2002 года (SOX 404). Согласно SOX 404, руководство должно тестировать свои внутренние средства контроля ; TDRA используется для определения объема такого тестирования. Он также используется внешним аудитором для выдачи официального заключения о внутренних средствах контроля компании. Однако в результате принятия Стандарта аудита № 5, который с тех пор одобрила SEC, внешние аудиторы больше не обязаны давать заключение об оценке руководством своих внутренних средств контроля.
Подробные указания по выполнению TDRA включены в стандарт аудита PCAOB № 5 (выпуск 2007-005 «Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности») [1] и в пояснительное руководство SEC (выпуск 33-8810/34-55929) «Отчет руководства о внутреннем контроле над финансовой отчетностью». [2] [3] Это руководство применимо к оценкам 2007 года для компаний с финансовым годом , заканчивающимся 12/31. Выпуск PCAOB заменил существующий стандарт аудита PCAOB № 2, в то время как руководство SEC является первым подробным руководством специально для руководства. PCAOB реорганизовал стандарты аудита по состоянию на 31 декабря 2017 года, и соответствующее руководство SOX теперь включено в AS2201: Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности . [4]
Язык, использованный председателем SEC при объявлении о новом руководстве, был очень прямым: «Конгресс никогда не предполагал, что процесс 404 должен стать негибким, обременительным и расточительным. Целью раздела 404 является предоставление инвесторам значимого раскрытия информации об эффективности систем внутреннего контроля компании, без создания ненужного бремени соответствия или траты ресурсов акционеров ». [5] Основываясь на руководстве 2007 года, SEC и PCAOB распорядились о значительном сокращении расходов, связанных с соответствием SOX 404, сосредоточив усилия на областях с высоким риском и сократив усилия в областях с низким риском.
TDRA — это иерархическая структура, которая включает применение определенных факторов риска для определения объема и доказательств, необходимых для оценки внутреннего контроля. Руководство PCAOB и SEC содержат схожие структуры. На каждом этапе качественные или количественные факторы риска используются для фокусировки объема усилий по оценке SOX404 и определения требуемых доказательств. Ключевые шаги включают:
Руководство должно документировать, как оно интерпретировало и применило свой TDRA для достижения области протестированных средств контроля. Кроме того, достаточность требуемых доказательств (т. е. сроки, характер и объем тестирования средств контроля) основывается на TDRA руководства (и аудитора). Таким образом, TDRA имеет значительные последствия для расходов на соответствие SOX404.
Руководство основано на принципах, что обеспечивает значительную гибкость подхода TDRA. Существует два основных шага: 1) Определение объема контроля, включаемого в тестирование; и 2) Определение характера, сроков и объема процедур тестирования, которые необходимо выполнить.
Ключевой принцип SEC, связанный с установлением объема контроля для тестирования, можно сформулировать следующим образом: «Сосредоточьтесь на контроле, который адекватно устраняет риск существенного искажения». Это включает в себя следующие шаги:
Согласно руководству PCAOB AS 5, аудитор должен определить, является ли счет «значительным» или нет (т. е. да или нет), на основе ряда факторов риска, связанных с вероятностью ошибки в финансовой отчетности и величиной (долларовой стоимостью) счета. Значительные счета и раскрытия информации входят в сферу оценки, поэтому руководство обычно включает эту информацию в свою документацию и, как правило, выполняет этот анализ для проверки аудитором. Эта документация может называться на практике «анализом значительных счетов». Счета с большими остатками, как правило, считаются значительными (т. е. входящими в сферу) и требуют определенного типа тестирования.
Новым в руководстве SEC является концепция также рейтинга каждого значимого счета по «риску искажения» (низкий, средний или высокий) на основе аналогичных факторов, используемых для определения значимости. Рейтинг риска искажения является ключевым фактором, используемым для определения характера, сроков и объема доказательств, которые должны быть получены. По мере увеличения риска ожидаемая достаточность доказательств тестирования, накопленных для контроля, связанного со значимыми счетами, увеличивается (см. раздел ниже относительно решений по тестированию и доказательствам).
Как значимость, так и риск искажения являются неотъемлемыми концепциями риска, что означает, что выводы относительно того, какие счета попадают в сферу охвата, делаются до рассмотрения эффективности средств контроля.
Цели помогают установить контекст и границы, в которых происходит оценка риска. Интегрированная структура внутреннего контроля COSO , стандарт внутреннего контроля, широко используемый для соответствия SOX, гласит: «Предварительным условием оценки риска является установление целей...» и «Оценка риска — это выявление и анализ соответствующих рисков для достижения целей». В руководстве SOX указано несколько иерархических уровней, на которых может происходить оценка риска, таких как сущность, счет, утверждение, процесс и класс транзакции. Цели, риски и средства контроля могут быть проанализированы на каждом из этих уровней. Концепция оценки риска сверху вниз означает рассмотрение в первую очередь более высоких уровней структуры, чтобы отфильтровать от рассмотрения как можно больше деятельности по оценке более низкого уровня.
Существует множество подходов к оценке рисков сверху вниз. Руководство может явно документировать цели контроля или использовать тексты и другие ссылки, чтобы гарантировать полноту документации по заявлениям о рисках и заявлениям о контроле. Существует два основных уровня, на которых определяются цели (а также средства контроля): уровень субъекта и уровень утверждения .
Примером цели контроля на уровне организации является: «Сотрудники осведомлены о Кодексе поведения компании». Структура COSO 1992–1994 определяет каждый из пяти компонентов внутреннего контроля (т. е. контрольную среду, оценку рисков, информацию и коммуникацию, мониторинг и контрольные мероприятия). Предложения по оценке включены в конце ключевых глав COSO и в том «Инструменты оценки»; их можно преобразовать в объективные заявления.
Примером цели контроля на уровне утверждений является «Выручка признается только после выполнения обязательства по исполнению». Списки целей контроля на уровне утверждений доступны в большинстве учебников по финансовому аудиту. Прекрасные примеры также доступны в AICPA Statement on Auditing Standards No. 110 (SAS 110) [6] для процесса инвентаризации. SAS 106 включает в себя последние рекомендации по утверждениям финансовой отчетности. [7]
Цели контроля могут быть организованы в рамках процессов, чтобы помочь организовать документацию, владение и подход TDRA. Типичные финансовые процессы включают расходы и счета к оплате (от покупки до оплаты), заработную плату, доходы и счета к получению (от заказа до получения наличных), основные средства и т. д. Именно так большинство учебников по аудиту организуют цели контроля. Процессы также могут быть ранжированы по риску.
COSO выпустила пересмотренное руководство в 2013 году, вступающее в силу для компаний с датами окончания финансового года после 15 декабря 2014 года. По сути, это требует, чтобы заявления о контроле ссылались на 17 «принципов» в рамках пяти «компонентов» COSO. Существует около 80 «точек фокуса», которые можно оценить конкретно по отношению к средствам контроля компании, чтобы сформировать заключение о 17 принципах (т. е. каждый принцип имеет несколько соответствующих точек фокуса). Большинство принципов и точек фокуса относятся к средствам контроля на уровне организации. По состоянию на июнь 2013 года подходы, используемые на практике, находились на ранних стадиях разработки. [8] Одним из подходов было бы добавление принципов и точек фокуса в качестве критериев в базу данных и ссылка на каждый из них на соответствующие средства контроля, которые их рассматривают.
Одно из определений риска — это все, что может помешать достижению цели. Заявление о риске — это выражение того, «что может пойти не так». Согласно руководству 2007 года (т. е. толковательным указаниям SEC и PCAOB AS5), те риски, которые изначально имеют «разумно возможную» вероятность вызвать существенную ошибку в балансе счета или раскрытии информации, являются существенными рисками искажения («MMR»). Обратите внимание, что это небольшая поправка к формулировке «более чем отдаленная» вероятность PCAOB AS2, призванная ограничить область действия меньшим количеством более критических существенных рисков и связанных с ними элементов управления.
Примером заявления о риске, соответствующего указанной выше цели контроля уровня утверждения, может быть: «Риск того, что выручка будет признана до поставки продуктов и услуг». Обратите внимание, что это читается очень похоже на цель контроля, только сформулировано отрицательно.
Руководство разрабатывает список MMR, связанный с конкретными счетами и/или целями контроля, разработанными выше. MMR можно определить, задав вопрос: «Что может пойти не так, связанное со счетом, утверждением или целью?» MMR может возникнуть в рамках бухгалтерской функции (например, в отношении оценок, суждений и политических решений) или во внутренней и внешней среде (например, корпоративные отделы, которые предоставляют бухгалтерскому отделу информацию, экономические и рыночные переменные и т. д.). Интерфейсы связи, изменения (людей, процессов или систем), уязвимость к мошенничеству, обход контроля руководством, структура стимулирования, сложные транзакции и степень суждения или человеческого вмешательства, вовлеченного в обработку, являются другими темами высокого риска.
В целом, руководство рассматривает такие вопросы, как: Что действительно трудно сделать правильно? Какие проблемы с бухгалтерским учетом у нас были в прошлом? Что изменилось? Кто может быть способен или мотивирован на совершение мошенничества или мошенническую финансовую отчетность? Поскольку высокий процент финансовых мошенничеств исторически был связан с завышением доходов, такие счета обычно заслуживают дополнительного внимания. Заявление AICPA о стандартах аудита № 109 (SAS 109) [9] также содержит полезные рекомендации относительно оценки финансовых рисков .
Согласно руководству 2007 года, компании обязаны проводить оценку риска мошенничества и оценивать соответствующие элементы управления. Обычно это включает в себя определение сценариев, в которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. [10] Риск того, что высшее руководство может обойти важные финансовые элементы управления, чтобы манипулировать финансовой отчетностью, также является ключевым направлением оценки риска мошенничества. [11]
На практике многие компании объединяют заявления о целях и рисках при описании MMR. Эти заявления MMR служат целью, фокусируя усилия на выявлении смягчающих мер контроля .
Для каждого MMR руководство определяет, какой контроль (или контрольные элементы) устраняют риск «достаточно» и «точно» (PCAOB AS#5) или «эффективно» (Руководство SEC) достаточно, чтобы смягчить его. Слово «смягчить» в этом контексте означает, что контроль (или контрольные элементы) снижает вероятность существенной ошибки, представленной MMR, до «отдаленной» вероятности. Этот уровень уверенности требуется, поскольку существенная слабость должна быть раскрыта, если существует «разумно возможная» или «вероятная» возможность существенного искажения существенного счета. Несмотря на то, что на риск могут влиять несколько контрольных элементов, в оценку включаются только те, которые устраняют его, как определено выше. На практике они называются «входящими в сферу действия» или «ключевыми» контрольными элементами, которые требуют тестирования.
В руководстве SEC термины вероятности определяются следующим образом в соответствии с FAS5 «Учет условных обязательств» :
Суждение обычно является лучшим руководством для выбора наиболее важных элементов управления относительно конкретного риска для тестирования. PCAOB AS5 вводит трехуровневую структуру, описывающую элементы управления на уровне субъекта с различными уровнями точности (прямой, мониторинг и косвенный). На практике точность элементов управления по типу элемента управления в порядке от наиболее точного к наименее может быть интерпретирована как:
Все труднее утверждать, что опора на средства контроля является разумной для достижения целей на уровне утверждений, поскольку человек движется по этому континууму от наиболее точного к наименее и по мере увеличения риска. Сочетание средств контроля типов 3-6, указанных выше, может помочь сократить количество средств контроля типов 1 и 2 (уровень транзакций), которые требуют оценки для конкретных рисков, особенно в процессах с низким уровнем риска и большим количеством транзакций.
В соответствии с руководством 2007 года представляется приемлемым значительно больше полагаться на контроль на конец периода (т. е. проверку журнальных записей и сверку счетов) и контроль управленческого обзора, чем в прошлом, эффективно устраняя многие существенные риски искажения и позволяя либо: a) исключить значительное количество транзакционных контролей из области тестирования предыдущего года; или b) сократить связанные полученные доказательства. Количество контролей на уровне транзакций может быть значительно сокращено, особенно для счетов с низким уровнем риска.
Ключевой принцип SEC в отношении решений о доказательствах можно резюмировать следующим образом: «Согласуйте характер, сроки и объем процедур оценки в тех областях, которые представляют наибольшие риски для надежной финансовой отчетности». SEC указала, что достаточность доказательств, необходимых для поддержки оценки конкретного MMR, должна основываться на двух факторах: a) риск искажения финансового элемента («риск искажения») и b) риск отказа контроля. Эти две концепции вместе (риски, связанные с учетной записью или раскрытием информации, и риски, связанные с контролем) называются «риском внутреннего контроля над финансовой отчетностью» или «риском ICFR». Диаграмма была включена в руководство (показано в этом разделе) для иллюстрации этой концепции; это единственная такая диаграмма, которая указывает на акцент, сделанный на ней SEC. Риск ICFR должен быть связан с внутриобластными элементами контроля, указанными выше, и может быть частью этого анализа. Это включает в себя следующие шаги:
Руководство присваивает рейтинг риска искажения (высокий, средний или низкий) для каждого значимого счета и раскрытия информации в рамках оценки области действия выше. Низкий, средний или высокий рейтинг оценки также должен быть связан с заявлениями о рисках и заявлениями о контроле, связанными со счетом. Одним из способов достижения этого является включение рейтинга в документацию заявления о рисках и заявления о контроле компании. Многие компании используют базы данных для этой цели, создавая поля данных в своей документации о рисках и контроле для сбора этой информации.
CFR применяется на уровне индивидуального контроля на основе факторов в руководстве, связанных со сложностью обработки, ручным или автоматизированным характером контроля, применяемыми суждениями и т. д. Руководство по сути задает вопрос: «Насколько сложно выполнять этот контроль должным образом каждый раз?»
Определив риск искажения отчетности и CFR, руководство может сделать вывод о риске ICFR (низкий, средний или высокий) для контроля. ICFR — это ключевая концепция риска, используемая при принятии решений о доказательствах.
Рейтинг ICFR фиксируется для каждого контрольного заявления. Крупные компании обычно имеют сотни существенных счетов, заявлений о рисках и контрольных заявлений. Они имеют отношение «многие ко многим», что означает, что риски могут применяться к нескольким счетам, а средства контроля могут применяться к нескольким рискам.
Руководство обеспечивает гибкость в сроках, характере и объеме доказательств на основе взаимодействия риска искажения и риска отказа контроля (вместе, риск ICFR). Эти два фактора следует использовать для обновления «Руководства по выборке и доказательствам», используемого большинством компаний. По мере увеличения этих двух факторов риска увеличивается и достаточность доказательств, необходимых для рассмотрения каждого MMR.
Руководство имеет значительную гибкость в отношении следующих соображений относительно тестирования и доказательств в контексте риска ICFR, связанного с данным средством контроля:
К основным факторам, которые также влияют на приведенные выше доказательные соображения, относятся:
Руководство имеет значительную свободу действий в том, кто проводит тестирование. В руководстве SEC указано, что объективность лица, тестирующего данный контроль, должна увеличиваться пропорционально риску ICFR, связанному с этим контролем. Поэтому такие методы, как самооценка, подходят для областей с низким уровнем риска, в то время как внутренние аудиторы (или эквивалент) обычно должны тестировать области с высоким уровнем риска. Промежуточным методом на практике является «обеспечение качества», когда менеджер A тестирует работу менеджера B, и наоборот.
Способность внешних аудиторов полагаться на тестирование руководства следует схожей логике. Доверие пропорционально компетентности и объективности руководителя, который провел тестирование, также в контексте риска. Для областей с самым высоким риском, таких как контрольная среда и процесс отчетности на конец периода, внутренние аудиторы или группы по обеспечению соответствия, вероятно, являются лучшим выбором для проведения тестирования, если от внешнего аудитора ожидается значительная степень доверия. Способность внешнего аудитора полагаться на оценку руководства является основным фактором затрат на соответствие.
Существует множество конкретных возможностей сделать оценку SOX 404 максимально эффективной. [13] [14] Некоторые из них более долгосрочные по своей природе (например, централизация и автоматизация обработки), в то время как другие могут быть легко реализованы. Частое взаимодействие между руководством и внешним аудитором имеет важное значение для определения того, какие стратегии эффективности будут эффективны в конкретных обстоятельствах каждой компании и в какой степени сокращение сферы контроля является целесообразным.
Централизация: использование модели общего обслуживания в ключевых зонах риска позволяет рассматривать несколько мест как одно для целей тестирования. Модели общего обслуживания обычно используются для процессов расчета заработной платы и кредиторской задолженности, но могут применяться ко многим типам обработки транзакций. Согласно недавнему опросу Finance Executives International, децентрализованные компании имели значительно более высокие затраты на соответствие SOX, чем централизованные компании. [15]
Автоматизация и бенчмаркинг: ключевые полностью автоматизированные элементы управления ИТ-приложениями имеют минимальные требования к размеру выборки (обычно один, в отличие от 30 для ручных элементов управления) и могут вообще не тестироваться напрямую в рамках концепции бенчмаркинга. Бенчмаркинг позволяет исключить полностью автоматизированные элементы управления ИТ-приложениями из тестирования, если определенные элементы управления изменениями ИТ эффективны. Например, многие компании в значительной степени полагаются на ручные интерфейсы между системами с электронными таблицами, созданными для загрузки и выгрузки ручных записей журнала. Некоторые компании обрабатывают тысячи таких записей каждый месяц. Автоматизируя ручные записи журнала, можно значительно сократить как затраты на рабочую силу, так и затраты на оценку SOX. Кроме того, повышается надежность финансовой отчетности.
Обзор подхода к тестированию и документации: Многие компании или внешние аудиторские фирмы ошибочно пытались навязать общие фреймворки уникальным процессам на уровне транзакций или между локациями. Например, большинство элементов фреймворка COSO представляют собой косвенные элементы управления на уровне сущностей, которые следует тестировать отдельно от транзакционных процессов. Кроме того, элементы управления безопасностью ИТ (подмножество ITGC) и элементы управления общими службами можно поместить в отдельную документацию процесса, что позволяет более эффективно назначать ответственность за тестирование и устранять избыточность между локациями. Тестирование ключевых записей журнала и сверок счетов в качестве отдельных усилий позволяет повысить эффективность и сфокусироваться на этих критических элементах управления.
Опирайтесь на прямые средства контроля на уровне сущности: в руководстве подчеркивается, какие средства контроля на уровне сущности, в частности, процесс окончания периода и определенные средства контроля мониторинга, достаточно точны, чтобы исключить средства контроля на уровне утверждений (транзакций) из области действия. Ключевым моментом является определение того, какая комбинация средств контроля на уровне сущности и уровне утверждений решает конкретную MMR.
Минимизация тестирования на перенос: руководство имеет больше гибкости в соответствии с новым руководством для продления даты вступления в силу тестирования, проводимого в течение полугодовых («промежуточных») периодов, до даты окончания года. Только средства контроля с более высоким риском, вероятно, потребуют тестирования на перенос в соответствии с новым руководством. PCAOB AS5 указывает, что процедуры запроса относительно того, произошли ли изменения в процессе контроля между промежуточным и конечным периодами, могут быть достаточными во многих случаях для ограничения тестирования на перенос.
Пересмотреть объем оцениваемых местоположений или бизнес-единиц: Это сложная область, требующая существенного суждения и анализа. Руководство 2007 года было сосредоточено на конкретном MMR, а не на величине в долларах при определении объема и достаточности доказательств, которые должны быть получены в децентрализованных единицах. Интерпретация (распространенная в руководстве до 2007 года) о том, что единица или группа единиц являются существенными и, следовательно, большое количество элементов управления в нескольких процессах требуют тестирования независимо от риска, была заменена. В тех случаях, когда остатки на счетах из отдельных единиц или групп аналогичных единиц являются существенной частью консолидированного остатка на счете, руководству следует тщательно рассмотреть, может ли существовать MMR в определенном единице. Затем следует провести тестирование, сосредоточенное только на элементах управления, связанных с MMR. Также следует рассмотреть контрольные элементы мониторинга, такие как подробные совещания по обзору производительности с надежными пакетами отчетности, чтобы ограничить тестирование, специфичное для транзакций.
Focus IT general control (ITGC) testing: ITGC не включены в определение контроля на уровне организации в соответствии с руководством SEC или PCAOB. Поэтому тестирование ITGC должно проводиться в той мере, в которой оно касается конкретного MMR. По своей природе ITGC позволяет руководству полагаться на полностью автоматизированные средства контроля приложений (т. е. те, которые работают без вмешательства человека) и зависящие от ИТ средства контроля (т. е. те, которые включают проверку автоматически генерируемых отчетов). Focused ITGC testing заслуживает поддержки целей контроля или утверждений о том, что полностью автоматизированные средства контроля не были изменены без разрешения и что генерируемая отчетность по контролю является как точной, так и полной. Таким образом, ключевые области фокусировки ITGC, которые, вероятно, будут критическими, включают: процедуры управления изменениями, применяемые к конкретным реализациям финансовой системы в течение периода; процедуры управления изменениями, достаточные для поддержки стратегии сравнительного анализа; и периодический мониторинг безопасности приложений, включая разделение обязанностей.
PCAOB периодически выпускает «Уведомления о практике аудита персонала» (SAPA), которые «выделяют новые, возникающие или иные заслуживающие внимания обстоятельства, которые могут повлиять на то, как аудиторы проводят аудит в соответствии с существующими требованиями стандартов...» В SAPA #11 « Соображения относительно аудита внутреннего контроля над финансовой отчетностью» (24 октября 2013 г.) PCAOB обсудил важные вопросы практики аудита, касающиеся оценки ICFR. К ним относятся, среди прочего:
SAPA #11 может привести к увеличению работы для управленческих команд, которым аудиторы могут потребовать сохранить доказательства того, что эти отчеты и запросы были точными и полными. Кроме того, руководству может потребоваться сохранить дополнительные доказательства расследования, когда суммы отчетов по контролю за детективами содержат транзакции или тенденции за пределами предопределенных диапазонов допуска.