Контроль на уровне сущности

Контроль на уровне организации — это контроль , который помогает гарантировать выполнение директив руководства, касающихся всей организации. Эти элементы управления являются вторым уровнем ^{[ необходимо разъяснение ]} для понимания рисков организации. Как правило, организация относится ко всей компании.

Регулирование, окружающее контроль на уровне субъекта

Закон Сарбейнса-Оксли 2002 года

В результате нескольких скандалов в сфере бухгалтерского учета и аудита конгресс принял Закон Сарбейнса-Оксли 2002 года . Раздел 404 закона требует от руководства компании оценивать и отчитываться об эффективности внутреннего контроля компании . Он также требует, чтобы независимый аудитор компании подтверждал раскрытие руководством информации относительно эффективности внутреннего контроля. Закон также создал Совет по надзору за бухгалтерским учетом в публичных компаниях (PCAOB). ^[1]

Стандарт аудита PCAOB 2201

Совет по надзору за бухгалтерским учетом в публичных компаниях (PCAOB) стал основным регулятором аудита публичных компаний. ^[2] В июне 2007 года PCAOB принял Стандарт аудита 2201 (заменяет AS № 5). ^[3] Этот стандарт содержит стандарты проведения аудита внутреннего контроля за финансовой отчетностью, который интегрирован с аудитом финансовой отчетности.

Аудитор должен протестировать средства контроля на уровне организации, которые важны для заключения аудитора о том, имеет ли компания эффективный внутренний контроль над финансовой отчетностью . В зависимости от оценки аудитором эффективности средств контроля на уровне организации аудитор может увеличить или уменьшить объем тестирования, которое он будет выполнять.

Средства контроля на уровне организации сильно различаются по своей природе и точности. Их влияние на план аудита различается в зависимости от того, насколько они точны.

Тип	Описание	Эффект аудита
Косвенный	Некоторые средства контроля на уровне субъекта косвенно влияют на шансы своевременного обнаружения или предотвращения искажения. Они не связаны напрямую с рисками на уровне утверждения финансовой отчетности.	Влияют на выбор контроля, а также на характер, сроки и объем выполняемых процедур.
Мониторинг	Некоторые средства контроля на уровне организации отслеживают эффективность других средств контроля. Они могут быть разработаны для выявления сбоев средств контроля более низкого уровня. Эти средства контроля сами по себе недостаточно точны, чтобы специально учитывать оцененный риск на соответствующем уровне утверждения.	Сократите тестирование других средств контроля, если они работают эффективно.
Точный	Некоторые средства контроля на уровне организации достаточно точны, чтобы своевременно предотвращать или обнаруживать искажения.	Если контроль в достаточной степени устраняет риск, то дополнительные тесты контроля, относящиеся к этому риску, не требуются.

Общие элементы управления на уровне сущностей

Элементы управления, связанные с контрольной средой
Контроль за переопределением руководства
Процесс оценки рисков компании
Централизованная обработка и контроль, включая общие среды обслуживания
Контроль за результатами операций
Средства контроля для мониторинга других средств контроля, включая деятельность функции внутреннего аудита , аудиторского комитета и программ самооценки.
Контроль над процессом финансовой отчетности на конец периода
Политики, которые охватывают важные практики контроля бизнеса и управления рисками
Внутренний аудит
Горячая линия для осведомителей
Нормы поведения
ИТ-среда и организации
Самооценка
Общие услуги
Комитет по раскрытию информации
Надзор со стороны Совета высшего руководства
Руководство по политикам и процедурам
Отчетность по анализу отклонений

Механизм исправления
Триггеры управления, встроенные в ИТ-системы
Внутренняя коммуникация и отчетность по эффективности
Настройка тона
Отчетность совета директоров/аудиторского комитета
Внешняя коммуникация
Разделение обязанностей
Сверки счетов
Балансировка системы и отчеты об исключениях
Управление изменениями
Методология оценки риска
Аналитические методы оценки риска
Управление
Распределение полномочий и ответственности
Практики найма и удержания персонала
Меры контроля и аналитические процедуры по предотвращению/обнаружению мошенничества

Оценка контроля на уровне субъекта

Оценка аудитора

Контроль на уровне организации, а также все другие виды внутреннего контроля должны оцениваться независимыми аудиторами в соответствии с SAS 109 (AU 314), выпущенным AICPA . SAS 109 предусматривает, что «аудиторы должны получить понимание пяти компонентов внутреннего контроля, достаточное для оценки риска существенного искажения финансовой отчетности, будь то из-за ошибки или мошенничества, и для разработки характера, сроков и объема дальнейших аудиторских процедур». ^[4]

Информацию, полученную в результате изучения пяти компонентов внутреннего контроля, следует использовать для следующих целей:

Определите типы потенциальных искажений
Рассмотрите факторы, которые влияют на риски существенного искажения информации.
Тесты разработки средств контроля, когда это применимо, и основные процедуры

В тестирование обычно включаются элементы управления на уровне организации.

Интегрированная структура внутреннего контроля COSO

Вышеупомянутые пять компонентов внутреннего контроля относятся к пяти частям структуры COSO . ^[5] Структура дает аудиторам способ оценки контроля организации.

Пять компонентов:

Контрольная среда
Оценка риска
Информация и коммуникация
Контрольные мероприятия
Мониторинг

Средства контроля на уровне сущности часто вписываются в один или несколько из пяти компонентов COSO.

Пример
Компоненты COSO	Проверка биографических данных	Аудиторский комитет	Внутренний аудит	Общие услуги
Контрольная среда	Х	Х
Оценка риска	Х	Х	Х
Информация и коммуникация	Х	Х	Х	Х
Мониторинг		Х	Х

Оценка руководства

Существует четыре основных шага, которые руководство может использовать для оценки контроля на уровне организации: ^{[ необходима ссылка ]}

Определить риски: Используйте подход «сверху вниз» для выявления и категоризации рисков.
Определите элементы управления на уровне организации и свяжите их с рисками: Проверьте текущие элементы управления на уровне организации, чтобы определить, какие элементы управления были введены в эксплуатацию. Также определите важные элементы управления на уровне организации, которые могут отсутствовать в текущей структуре. Затем свяжите элементы управления на уровне организации, наиболее подходящие для устранения выявленных рисков.
Оценить дизайн и операционную эффективность средств контроля на уровне организации: Определите, насколько эффективно каждый контроль на уровне организации устраняет выявленные риски, принимая во внимание, среди прочего: чувствительность; компетентность проверяющего, частоту и последовательность использования контроля; является ли контроль надежным и повторяемым; и проводятся ли соответствующие проверки и последующие действия.
Используйте средства контроля на уровне организации по мере необходимости для снижения рисков: Используя эффективные средства контроля на уровне организации, руководство сможет разработать более эффективную и действенную стратегию оценки средств контроля.

Определения выбранных элементов управления на уровне субъекта, организованные в структуру COSO

Контрольная среда

Нормы поведения: Нормы, которым организация добровольно соглашается следовать. Например, кодекс поведения компании может включать политику, запрещающую сотрудникам принимать подарки от поставщиков.
Управление: Механизм мониторинга того, как руководство эффективно использует ресурсы организации, с упором на прозрачность и подотчетность.
Распределение полномочий и ответственности: Термин «полномочия» относится к праву на выполнение деятельности организации. Термин «ответственность» относится к обязанности выполнять назначенные действия. Для достижения целей контроля важно, чтобы полномочия и обязанности соответствовали целям ее деловой активности и были назначены соответствующему персоналу.
Практики найма и удержания персонала: Найм и удержание квалифицированных кадров имеет решающее значение для успеха организации. Политики и процедуры, касающиеся определения работы, подбора персонала, обучения, оценки эффективности, программ удержания сотрудников и управления увольнениями сотрудников, являются важными компонентами управления человеческими ресурсами.
Предотвращение мошенничества, средства контроля и аналитические процедуры обнаружения/предотвращения: Это относится к контролю и процедурам по борьбе с мошенничеством, используемым руководством для предотвращения, обнаружения и смягчения мошенничества. Примерами могут служить разделение обязанностей, создание горячей линии по этике и периодическая ротация должностей.

Оценка риска

Методология оценки риска: Системный подход к выявлению, оценке и определению приоритетов рисков.
Аналитические методы оценки риска: Аналитические методы, если они используются надлежащим образом, могут служить инструментом в процессе оценки риска. Поскольку риск является результатом восприятия, аналитические методы помогают устранить субъективность, в определенной степени, путем сопоставления и представления данных в систематической форме для оценки потенциального воздействия и вероятности возникновения или рисков.

Информация и коммуникация

Внутренняя коммуникация и отчетность по эффективности: Это относится к линиям коммуникации, которые проходят через структуру организации, как сверху вниз, так и снизу вверх, включая коммуникацию с коллегами. Отчетность о производительности является частью внутренней коммуникации и обычно включает двусторонний процесс установления ожиданий и мониторинга производительности в сравнении с согласованными ожиданиями.
Настройка тона: Установка тона относится к различным компонентам «тона наверху», которые являются строительными блоками характера организации. Установив правильный тон, не менее важно иметь открытые каналы коммуникации, чтобы те, кто находится внутри и вне организации, понимали его и действовали в соответствии с ним. Примерами таких компонентов тона являются кодекс этики и практика корпоративного управления.
Отчетность совета директоров/аудиторского комитета: Члены совета директоров, включая независимых директоров, принимают на себя фидуциарные обязанности, которые требуют от них доступа к точной и релевантной информации. Хотя в большинстве стран приняты законы относительно официальной отчетности перед советом директоров и аудиторским комитетом совета директоров, они обычно представляют собой базовые процедуры и требования. Компании могут свободно принимать более строгие меры в отношении отчетности совета директоров/аудиторского комитета, например, проводить более частые официальные заседания аудиторского комитета, чем того требует закон.
Внешняя коммуникация: Это относится к коммуникации с акционерами, фондовым рынком, клиентами, регулирующими органами, поставщиками и другими субъектами за пределами формальных границ компании. Годовой отчет является примером внешней коммуникации по вопросам деятельности компании, финансовой отчетности, видения, целей и задач.

Мониторинг

Текущие мероприятия по мониторингу: Периодический обзор процесса и контроля с использованием соответствующих инструментов управленческой отчетности. Например, они могут включать ежемесячный обзор сроков давности дебиторской задолженности для определения размера резервов, необходимых для сомнительных долгов.
Независимый механизм оценки: Использование внешних специалистов или профессионалов для обзора и оценки внутреннего контроля. Например, это может включать использование внешних налоговых специалистов для обзора контроля налоговых позиций, разработанных внутренней налоговой командой.
Отчетность по анализу отклонений: Сравнение и отчетность о фактических показателях с заранее определенными контрольными показателями, если они используются надлежащим образом, могут служить механизмом раннего предупреждения. Например, устойчивый рост оборота должников может указывать на различные уровни проблем, связанных с взысканием.
Механизм исправления: Это относится к системному подходу к решению выявленных проблем внутреннего контроля. Хотя проблема может быть выявлена как внутренним, так и внешним механизмом мониторинга, механизм исправления обычно принадлежит руководству.
Триггеры управления, встроенные в ИТ-системы: Большинство корпоративных приложений настраивают бизнес-правила таким образом, чтобы предотвращать, требовать предварительного одобрения или оповещать соответствующий управленческий персонал в случае несоблюдения определенных предустановленных пороговых значений. Например, приложение по продажам может развернуть элемент управления, предотвращающий транзакции по продажам, превышающие указанный кредитный лимит клиента.

Важность

Контроль на уровне организации оказывает всепроникающее влияние на всю организацию. Если он слаб, неадекватен или отсутствует, он может привести к существенным недостаткам, связанным с аудитом внутреннего контроля и существенными искажениями в финансовой отчетности компании. Наличие существенных искажений может привести к получению отрицательного мнения о внутреннем контроле и квалифицированного мнения о финансовой отчетности. Исправление существенных искажений обходится дорого, а получение отрицательного или квалифицированного мнения обычно приводит к падению цены акций публично торгуемой компании.

Преимущества

Снижение вероятности возникновения негативного рискового события путем создания и укрепления инфраструктуры, устанавливающей контрольное сознание организации.
Широкий охват рисков по финансовой отчетности и операциям. Для компаний, проводящих оценку внутреннего контроля, наличие эффективного контроля на уровне организации может способствовать более эффективной и действенной стратегии оценки
Повышение эффективности других бизнес- и операционных процессов
Усиление понимания всеми заинтересованными сторонами важности внутреннего контроля для успеха бизнеса
Лучшее понимание того, как смягчаются выявленные риски, и перенаправление оценки и других ресурсов на приоритетные области риска
Повышение эффективности и результативности оценки рисков и контроля со стороны руководства.

Ссылки

^ "Закон Сарбейнса-Оксли 2002 года" (PDF) . Получено 2009-04-21 .^{[ постоянная мертвая ссылка ‍ ]}
^ "SEC Description of the PCAOB". Архивировано из оригинала 2009-04-09 . Получено 2009-04-21 .
^ "Стандарт аудита № 5". Архивировано из оригинала 2019-04-02 . Получено 2016-05-05 .
^ "AU 314 / SAS 109" (PDF) . Архивировано из оригинала (PDF) 3 декабря 2008 г. . Получено 2009-04-21 .
^ "COSO Internal Control-Integrated Framework". Архивировано из оригинала 2009-02-28 . Получено 2009-04-21 .

"Entity-Level Controls" (PDF) . Архивировано (PDF) из оригинала 2011-07-06 . Получено 2009-04-21 .

Внешние ссылки

PCAOB официальный сайт
Комитет спонсорских организаций: COSO
Американский институт сертифицированных бухгалтеров
Американская ассоциация бухгалтеров
Руководство по закону Сарбейнса-Оксли

[1] "Закон Сарбейнса-Оксли 2002 года" (PDF) . Получено 2009-04-21 .^{[ постоянная мертвая ссылка ‍ ]}

[2] "SEC Description of the PCAOB". Архивировано из оригинала 2009-04-09 . Получено 2009-04-21 .

[3] "Стандарт аудита № 5". Архивировано из оригинала 2019-04-02 . Получено 2016-05-05 .

[4] "AU 314 / SAS 109" (PDF) . Архивировано из оригинала (PDF) 3 декабря 2008 г. . Получено 2009-04-21 .

[5] "COSO Internal Control-Integrated Framework". Архивировано из оригинала 2009-02-28 . Получено 2009-04-21 .