Оценка рисков по SOX 404 сверху вниз

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   «Оценка риска сверху вниз по SOX 404» — новости   · газеты   · книги   · ученые   · JSTOR ( май 2013 г. ) ( Узнайте, как и когда удалить это сообщение )

Часть серии о
Бухгалтерский учет
Историческая стоимость Постоянная покупательная способность Управление Налог
показывать Основные типы Audit Budget Cost Forensic Financial Fund Governmental Management Social Tax
показывать Ключевые понятия Accounting period Accrual Constant purchasing power Economic entity Fair value Going concern Historical cost Matching principle Materiality Revenue recognition Unit of account
показывать Выбранные аккаунты Assets Cash Cost of goods sold Depreciation / Amortization (business) Equity Expenses Goodwill Liabilities Profit Revenue
показывать Стандарты бухгалтерского учета Generally-accepted principles Generally-accepted auditing standards Convergence International Financial Reporting Standards International Standards on Auditing Management Accounting Principles
показывать Финансовая отчетность Annual report Balance sheet Cash-flow Equity Income Management discussion Notes to the financial statements
показывать Бухгалтерия Bank reconciliation Debits and credits Double-entry system FIFO and LIFO Journal Ledger / General ledger Trial balance
показывать Аудит Financial Internal Firms Report Sarbanes–Oxley Act
показывать Люди и организации Accountants Accounting organizations Luca Pacioli
показывать Разработка History Research Positive accounting Sarbanes–Oxley Act
показывать Проступок Creative Earnings management Error account Hollywood Off-balance-sheet Two sets of books
v т и

При финансовом аудите в публичных компаний США нисходящая оценка рисков SOX 404 (TDRA) представляет собой оценку финансовых рисков, выполняемую в соответствии с разделом 404 Закона Сарбейнса-Оксли 2002 года (SOX 404). Согласно SOX 404, руководство должно проверить свои внутренние средства контроля ; TDRA используется для определения объема такого тестирования. Он также используется внешним аудитором для выдачи официального заключения о системе внутреннего контроля компании. Однако в результате принятия Стандарта аудита № 5, который впоследствии утвердил Комиссия по ценным бумагам и биржам (SEC), от внешних аудиторов больше не требуется предоставлять мнение об оценке руководством собственных механизмов внутреннего контроля.

Подробные инструкции по проведению TDRA включены в Стандарт аудита PCAOB № 5 (Выпуск 2007-005 «Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности»). ^[1] и руководство SEC по интерпретации (выпуск 33-8810/34-55929) «Отчет руководства о внутреннем контроле над финансовой отчетностью». ^{[2] [3]} Настоящее руководство применимо к оценкам за 2007 год для компаний, финансовый год которых заканчивается 31 декабря. Версия PCAOB заменила существующий Стандарт аудита PCAOB № 2, а руководство SEC является первым подробным руководством, специально предназначенным для менеджмента. PCAOB реорганизовал стандарты аудита по состоянию на 31 декабря 2017 года, при этом соответствующие рекомендации SOX теперь включены в AS2201: Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности . ^[4]

Язык, использованный председателем SEC при объявлении о новом руководстве, был очень прямым: «Конгресс никогда не предполагал, что процесс 404 станет негибким, обременительным и расточительным. Цель раздела 404 — предоставить инвесторам значимое раскрытие информации об эффективности системы внутреннего контроля компании, не создавая ненужного бремени соблюдения требований и не тратя ресурсы акционеров ». ^[5] Основываясь на руководстве 2007 года, SEC и PCAOB направили усилия на значительное сокращение затрат, связанных с соблюдением требований SOX 404, сосредоточив усилия на областях с более высоким риском и сократив усилия в областях с низким уровнем риска.

TDRA представляет собой иерархическую структуру, которая предполагает применение конкретных факторов риска для определения объема и доказательств, необходимых для оценки внутреннего контроля. Рекомендации PCAOB и SEC содержат схожие принципы. На каждом этапе используются качественные или количественные факторы риска, чтобы сосредоточить усилия по оценке SOX404 и определить необходимые доказательства. Ключевые шаги включают в себя:

1. выявление существенных элементов финансовой отчетности (счетов или раскрытий)
2. выявление существенных рисков финансовой отчетности в рамках этих счетов или раскрытий
3. определение того, какие средства контроля на уровне предприятия будут устранять эти риски с достаточной точностью
4. определение того, какие средства контроля на уровне транзакций будут устранять эти риски в отсутствие точных средств контроля на уровне предприятия.
5. определение характера, объема и сроков сбора доказательств, собранных для завершения оценки входящих в объем средств контроля

Руководство должно документально подтвердить, как оно интерпретировало и применило TDRA для достижения объема протестированных средств контроля. Кроме того, достаточность требуемых доказательств (т. е. сроки, характер и объем контрольного тестирования) зависит от TDRA руководства (и аудитора). Таким образом, TDRA имеет значительные финансовые последствия для соблюдения требований SOX404.

Руководство основано на принципах и обеспечивает значительную гибкость подхода TDRA. Есть два основных этапа: 1) Определение объема средств контроля, которые необходимо включить в тестирование; и 2) Определение характера, сроков и объема процедур тестирования, которые необходимо выполнить.

Ключевой принцип SEC, связанный с определением объема средств контроля для тестирования, можно сформулировать следующим образом: «Сосредоточьтесь на средствах контроля, которые адекватно устраняют риск существенного искажения». Это включает в себя следующие шаги:

В соответствии с рекомендациями PCAOB AS 5 аудитор должен определить, является ли отчет «значительным» или нет (т. е. да или нет), на основе ряда факторов риска, связанных с вероятностью ошибки в финансовой отчетности и ее величиной (денежная стоимость). ) аккаунта. Значительные счета и раскрытия подлежат оценке, поэтому руководство обычно включает эту информацию в свою документацию и обычно проводит этот анализ для проверки аудитором. Эту документацию на практике можно назвать «существенным анализом счета». Счета с большими остатками обычно считаются значительными (т. е. входящими в объем проверки) и требуют определенного типа тестирования.

Новым в руководстве SEC является концепция рейтинга каждого существенного счета по «риску искажения» (низкий, средний или высокий) на основе аналогичных факторов, используемых для определения значимости. Ранжирование риска искажения является ключевым фактором, используемым для определения характера, сроков и объема доказательств, которые необходимо получить. По мере увеличения риска ожидаемая достаточность доказательств тестирования, накопленных для средств контроля, связанных со значительными счетами, увеличивается (см. раздел ниже, посвященный решениям по тестированию и доказательствам).

Как риск значимости, так и риск искажения являются неотъемлемыми концепциями риска, означающими, что выводы относительно того, какие счета входят в сферу охвата, определяются до рассмотрения эффективности средств контроля.

Цели помогают установить контекст и границы, в которых происходит оценка риска. Интегрированная система внутреннего контроля COSO , широко используемый для соблюдения требований SOX, гласит: «Предварительным условием оценки рисков является , стандарт внутреннего контроля постановка целей...» и «Оценка рисков – это выявление и анализ соответствующих рисков для достижения целей». целей». В руководстве SOX указано несколько иерархических уровней, на которых может происходить оценка риска, например, сущность, счет, утверждение, процесс и класс транзакции. Цели, риски и средства контроля могут быть проанализированы на каждом из этих уровней. Концепция нисходящей оценки рисков означает, что сначала рассматриваются более высокие уровни структуры, чтобы отфильтровать от рассмотрения как можно большую часть деятельности по оценке более низкого уровня.

Существует множество подходов к нисходящей оценке рисков. Руководство может четко документировать цели контроля или использовать тексты и другие ссылки для обеспечения полноты документации по заявлениям о рисках и заявлениям о средствах контроля. Существует два основных уровня, на которых определяются цели (а также средства контроля): уровень объекта и утверждений уровень .

Примером цели контроля на уровне предприятия является: «Сотрудники осведомлены о Кодексе поведения компании». Система COSO 1992–1994 определяет каждый из пяти компонентов внутреннего контроля (т.е. контрольную среду, оценку рисков, информацию и коммуникацию, мониторинг и контрольную деятельность). Предложения по оценке включены в конце основных глав COSO и в том «Инструменты оценки»; их можно преобразовать в объективные утверждения.

Примером цели контроля на уровне предпосылок является «Выручка признается только после выполнения обязанности к исполнению». Списки целей контроля на уровне предпосылок доступны в большинстве учебников по финансовому аудиту. Отличные примеры также доступны в Положении AICPA о стандартах аудита № 110 (SAS 110). ^[6] для процесса инвентаризации. SAS 106 включает новейшее руководство по утверждениям в финансовой отчетности. ^[7]

Цели контроля могут быть организованы в рамках процессов, чтобы помочь организовать документацию, право собственности и подход TDRA. Типичные финансовые процессы включают расходы и кредиторскую задолженность (от покупки до оплаты), расчет заработной платы, выручку и дебиторскую задолженность (от заказа до инкассации), капитальные активы и т. д. Именно так большинство учебников по аудиту организуют цели контроля. Процессы также можно ранжировать по рискам.

COSO выпустила пересмотренное руководство в 2013 году, вступившее в силу для компаний с датой окончания года после 15 декабря 2014 года. По сути, это требует, чтобы в контрольных отчетах были ссылки на 17 «принципов», входящих в пять «компонентов» COSO. Существует около 80 «точек фокуса», которые можно оценить конкретно по средствам контроля компании, чтобы сформировать вывод о 17 принципах (т. е. каждый принцип имеет несколько соответствующих точек фокуса). Большинство принципов и основных моментов относятся к средствам контроля на уровне предприятия. По состоянию на июнь 2013 года используемые на практике подходы находились на ранних стадиях разработки. ^[8] Один из подходов заключается в том, чтобы добавить принципы и точки фокуса в качестве критериев в базу данных и сослаться на каждый из соответствующих мер контроля, которые их касаются.

Одно из определений риска – это все, что может помешать достижению цели. Заявление о риске — это выражение того, «что может пойти не так». В соответствии с руководством 2007 года (т.е. руководством по интерпретации SEC и PCAOB AS5) те риски, которые по своей сути имеют «достаточно возможную» вероятность вызвать существенную ошибку в балансе счета или раскрытии информации, являются рисками существенного искажения («MMR»). Обратите внимание, что это небольшая поправка к формулировке о вероятности «более чем маловероятной» PCAOB AS2, призванная ограничить объем меньшим количеством более критических материальных рисков и связанных с ними мер контроля.

Примером заявления о риске, соответствующего вышеуказанной цели контроля на уровне предпосылок, может быть: «Риск того, что выручка будет признана до поставки продуктов и услуг». Обратите внимание, что это очень похоже на цель контроля, только сформулировано отрицательно.

Руководство составляет список MMR, связанный с конкретными счетами и/или целями контроля, указанными выше. MMR можно определить, задав вопрос: «Что может пойти не так, связанное с учетной записью, утверждением или целью?» MMR может возникнуть внутри функции бухгалтерского учета (например, в отношении оценок, суждений и политических решений) или во внутренней и внешней среде (например, корпоративные отделы, которые предоставляют бухгалтерской службе информацию, экономические и фондовые переменные и т. д.). Коммуникационные интерфейсы, изменения (люди, процессы или системы), уязвимость к мошенничеству, обход контроля со стороны руководства, структура стимулов, сложные транзакции, а также степень суждения или человеческого вмешательства, участвующего в обработке, — это другие темы высокого риска.

В общем, руководство рассматривает такие вопросы, как: Что действительно сложно сделать правильно? Какие проблемы с бухгалтерским учетом у нас были в прошлом? Что изменилось? Кто может быть способен или мотивирован совершить мошенничество или фальсификацию финансовой отчетности? Поскольку исторически высокий процент финансовых махинаций был связан с завышением доходов, такие отчеты обычно заслуживают дополнительного внимания. Положение AICPA о стандартах аудита № 109 (SAS 109) ^[9] также предоставляет полезные рекомендации по оценке финансовых рисков .

В соответствии с руководством 2007 года компании обязаны проводить оценку риска мошенничества и оценивать соответствующие меры контроля. Обычно это включает в себя определение сценариев, в которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. ^[10] Риск того, что высшее руководство может обойти важные меры финансового контроля для манипулирования финансовой отчетностью, также является ключевым направлением оценки риска мошенничества. ^[11]

На практике многие компании при описании вакцины MMR совмещают цели и заявления о рисках. Эти заявления MMR служат целью, сосредоточив усилия на выявлении смягчающих мер контроля .

Для каждого MMR руководство определяет, какие меры контроля (или меры контроля) устраняют риск «достаточно» и «точно» (PCAOB AS#5) или «эффективно» (Руководство SEC), достаточно для его смягчения. Слово «смягчать» в этом контексте означает, что контроль (или меры контроля) снижает вероятность существенной ошибки, представленной MMR, до «удаленной» вероятности. Этот уровень уверенности необходим, поскольку существенные недостатки должны быть раскрыты, если существует «разумно возможная» или «вероятная» возможность существенного искажения существенного отчета. Несмотря на то, что на риск могут влиять множественные меры контроля, в оценку включаются только те меры, которые направлены на его устранение, как определено выше. На практике их называют «входящими в объем» или «ключевыми» средствами контроля, требующими тестирования.

Руководство SEC определяет термины вероятности следующим образом в соответствии с FAS5 «Учет условных обязательств» :

1. «Вероятно: будущее событие или события могут произойти».
2. «Разумно возможно: вероятность того, что будущее событие или события произойдут, более чем мала, но менее чем вероятна».
3. «Удаленный: вероятность того, что будущее событие или события произойдут, невелика». ^[12]

Обычно суждение является лучшим руководством для выбора наиболее важных мер контроля относительно конкретного риска для тестирования. PCAOB AS5 представляет трехуровневую структуру, описывающую средства контроля на уровне объекта с различными уровнями точности (прямой, мониторинг и косвенный). На практике можно интерпретировать точность контроля по типу контроля, в порядке от наиболее точного к наименее как:

1. Конкретно для транзакции (уровень транзакции) – авторизация или проверка (или превентивный системный контроль), относящиеся к конкретным, отдельным транзакциям;
2. Сводка транзакций (уровень транзакций) — просмотр отчетов, в которых перечислены отдельные транзакции;
3. Отчетность на конец периода (на уровне счета) – проверка записей журнала, сверка счетов или подробный анализ счетов (например, расходы на коммунальные услуги по магазинам);
4. Контроль со стороны руководства (прямой уровень организации) – анализ колебаний отчетов о прибылях и убытках на различных уровнях агрегирования или ежемесячного пакета отчетности, содержащего обобщенную финансовую и операционную информацию;
5. Средства контроля за мониторингом (уровень контролирующего субъекта) – Самооценка и внутренний аудит для проверки того, что средства контроля разработаны и внедрены эффективно; и
6. Косвенный (косвенный уровень организации) – средства контроля, которые не связаны с конкретными транзакциями, например, среда контроля (например, тон, установленный руководством и практикой найма).

Становится все труднее утверждать, что использование средств контроля является разумным для достижения целей уровня утверждений по мере продвижения по этому континууму от наиболее точного к наименее, а также по мере увеличения риска. Комбинация перечисленных выше мер контроля типов 3–6 может помочь сократить количество мер контроля типов 1 и 2 (на уровне транзакций), которые требуют оценки конкретных рисков, особенно в процессах с низким уровнем риска и интенсивными транзакциями.

В соответствии с руководством 2007 года представляется приемлемым значительно больше полагаться на средства контроля на конец периода (т. е. проверку бухгалтерских проводок и сверку счетов) и средства контроля со стороны руководства, чем в прошлом, что эффективно устраняет многие риски существенных искажений и позволяет либо : a) исключение значительного количества средств контроля транзакций из объема тестирования предыдущего года; или b) уменьшение количества полученных соответствующих доказательств. Количество средств контроля на уровне транзакций может быть значительно сокращено, особенно для счетов с низким уровнем риска.

Ключевой принцип Комиссии по ценным бумагам и биржам (SEC) в отношении решений по доказательствам можно резюмировать следующим образом: «Согласовать характер, сроки и объем процедур оценки в тех областях, которые представляют наибольшие риски для достоверной финансовой отчетности». Комиссия по ценным бумагам и биржам (SEC) указала, что достаточность доказательств, необходимых для подтверждения оценки конкретного MMR, должна основываться на двух факторах: а) риске искажения финансового элемента («риск искажения») и б) риске сбоя контроля. Вместе эти две концепции (риски, связанные со счетами или раскрытием информации, и риски, связанные с контролем) называются «риск внутреннего контроля над риском финансовой отчетности» или риск «ICFR». В руководство (показанное в этом разделе) была включена диаграмма, иллюстрирующая эту концепцию; это единственная подобная диаграмма, что указывает на то внимание, которое уделяет ей SEC. Риск ICFR должен быть связан с контрольными средствами, указанными выше, и может быть частью этого анализа. Это включает в себя следующие шаги:

Руководство присвоило рейтинг риска искажения (высокий, средний или низкий) для каждого существенного счета и раскрытия информации в рамках предварительной оценки, указанной выше. Оцениваемый низкий, средний или высокий рейтинг также должен быть связан с заявлениями о рисках и контрольными заявлениями, связанными со счетом. Один из способов добиться этого — включить рейтинг в отчет о рисках и документацию о контрольном отчете компании. Многие компании используют для этой цели базы данных, создавая поля данных в своей документации по рискам и контролю для сбора этой информации.

CFR применяется на индивидуальном уровне контроля на основе факторов в руководстве, связанных со сложностью обработки, ручным или автоматизированным характером контроля, необходимым суждением и т. д. Руководство принципиально задает вопрос: «Насколько сложно осуществлять этот контроль?» правильно каждый раз?»

Определив риск искажения отчетности и CFR, руководство может затем сделать вывод о риске ICFR (низком, среднем или высоком) для средства контроля. ICFR – это ключевая концепция риска, используемая при принятии решений по доказательствам.

Рейтинг ICFR фиксируется для каждого контрольного утверждения. Более крупные компании обычно имеют сотни крупных счетов, отчетов о рисках и контрольных отчетов. Они имеют отношение «многие ко многим», что означает, что риски могут применяться к нескольким учетным записям, а средства контроля могут применяться к нескольким рискам.

Руководство обеспечивает гибкость в выборе сроков, характера и объема доказательств на основе взаимодействия риска искажения и риска нарушения контроля (вместе Риск ICFR). Эти два фактора следует использовать для обновления «Руководства по отбору проб и доказательств», используемого большинством компаний. По мере увеличения этих двух факторов риска увеличивается достаточность доказательств, необходимых для рассмотрения каждого MMR.

Руководство имеет значительную гибкость в отношении следующих вопросов тестирования и доказательств в контексте риска ICFR, связанного с данным средством контроля:

• Объем (размер выборки): Размер выборки увеличивается пропорционально риску ICFR.
• Характер доказательств: расследование, наблюдение, проверка и повторное представление — это четыре типа доказательств, перечисленных в порядке достаточности. Для проверки операционной эффективности контроля требуются доказательства, выходящие за рамки расследования, обычно проверка документов. Ожидаются доказательства повторной эффективности для средств контроля с самым высоким риском, например, в процессе отчетности на конец периода.
• Характер контроля (ручной или автоматизированный). Для полностью автоматизированного контроля либо размер выборки, равный одному, либо стратегию тестирования можно использовать «сравнительного тестирования». Если общие средства контроля ИТ, связанные с управлением изменениями, эффективны и полностью автоматизированный контроль был протестирован в прошлом, ежегодное тестирование не требуется. Эталон должен устанавливаться периодически.
• Требуемый объем повторного тестирования: По мере увеличения риска возрастает вероятность того, что повторное тестирование будет необходимо для продления эффекта промежуточного тестирования до конца года. Средства контроля с меньшим риском, по-видимому, не требуют повторного тестирования.

К всеобъемлющим факторам, которые также влияют на приведенные выше соображения по поводу доказательств, относятся:

• Общая сила средств контроля на уровне организации, особенно контрольной среды. Сильные меры контроля на уровне организации действуют как всеобъемлющий «противовес» риску по всем направлениям, снижая достаточность доказательств, необходимых в областях с низким уровнем риска, и поддерживая дух новые рекомендации по сокращению общих усилий.
• Совокупные знания, полученные в результате предыдущих оценок в отношении конкретных мер контроля: если определенные процессы и меры контроля в прошлом работали эффективно, объем доказательств, необходимых в областях с низким уровнем риска, может быть уменьшен.

Руководство имеет значительную свободу действий в выборе того, кто проводит тестирование. Руководство SEC указывает, что объективность лица, тестирующего тот или иной элемент контроля, должна возрастать пропорционально риску ICFR, связанному с этим средством контроля. Таким образом, такие методы, как самооценка, подходят для областей с низким уровнем риска, в то время как внутренние аудиторы (или их эквиваленты) обычно должны проверять области с более высоким риском. На практике промежуточным методом является «гарантия качества», когда менеджер А проверяет работу менеджера Б, и наоборот.

Способность внешних аудиторов полагаться на тестирование руководства следует аналогичной логике. Доверие пропорционально компетентности и объективности руководителя, выполнившего тестирование, в том числе в контексте риска. Для областей с наибольшим риском, таких как контрольная среда и процесс отчетности на конец периода, внутренние аудиторы или группы обеспечения соответствия, вероятно, будут лучшим выбором для проведения тестирования, если от внешнего аудитора ожидается значительная степень доверия. Способность внешнего аудитора полагаться на оценку руководства является основным фактором затрат при соблюдении требований.

Существует множество конкретных возможностей сделать оценку SOX 404 максимально эффективной. ^{[13] [14]} Некоторые из них носят более долгосрочный характер (например, централизация и автоматизация обработки), тогда как другие могут быть легко реализованы. Частое взаимодействие между руководством и внешним аудитором имеет важное значение для определения того, какие стратегии повышения эффективности будут эффективны в конкретных обстоятельствах каждой компании и в какой степени целесообразно сокращение объема контроля.

Централизация. Использование модели общего обслуживания в ключевых областях риска позволяет рассматривать несколько мест как одно в целях тестирования. Модели общего обслуживания обычно используются для процессов расчета заработной платы и кредиторской задолженности, но могут применяться ко многим типам обработки транзакций. Согласно недавнему опросу Finance Executives International, у децентрализованных компаний затраты на соблюдение требований SOX значительно выше, чем у централизованных компаний. ^[15]

Автоматизация и тестирование: ключевые полностью автоматизированные элементы управления ИТ-приложениями имеют минимальные требования к размеру выборки (обычно одна, в отличие от целых 30 для ручного контроля), и, возможно, их вообще не придется тестировать напрямую в рамках концепции сравнительного анализа. Бенчмаркинг позволяет исключить полностью автоматизированные средства контроля ИТ-приложений из тестирования, если определенные средства управления изменениями в ИТ эффективны. Например, многие компании в значительной степени полагаются на ручные интерфейсы между системами, при этом электронные таблицы создаются для загрузки и выгрузки ручных записей журнала. Некоторые компании ежемесячно обрабатывают тысячи таких записей. За счет автоматизации ручного ведения журнала затраты на оплату труда и оценку SOX могут быть значительно сокращены. Кроме того, повышается надежность финансовой отчетности.

Пересмотрите подход к тестированию и документацию. Многие компании или внешние аудиторские фирмы по ошибке пытались навязать общие рамки уникальным процессам на уровне транзакций или в разных местах. Например, большинство элементов COSO Framework представляют собой косвенные средства контроля на уровне объекта, которые следует тестировать отдельно от транзакционных процессов. Кроме того, элементы управления ИТ-безопасностью (подмножество ITGC) и элементы управления общими услугами могут быть размещены в отдельной документации процесса, что позволяет более эффективно распределять обязанности по тестированию и устранять избыточность между местоположениями. Тестирование ключевых записей журнала и сверок счетов в качестве отдельных усилий позволяет повысить эффективность и сосредоточить внимание на этих важнейших элементах управления.

Полагайтесь на прямые средства контроля на уровне предприятия. В руководстве особое внимание уделяется выявлению того, какие прямые средства контроля на уровне предприятия, особенно процессы на конец периода и определенные средства контроля, являются достаточно точными, чтобы исключить средства контроля на уровне предпосылок (транзакционные) из области применения. Ключевым моментом является определение того, какая комбинация средств управления на уровне объекта и на уровне утверждений относится к конкретному MMR.

Сведите к минимуму повторное тестирование: в соответствии с новым руководством руководство имеет больше гибкости в продлении даты вступления в силу тестирования, проводимого в середине года («промежуточных») периодов, до даты конца года. Только средства контроля с более высоким риском, вероятно, потребуют повторного тестирования в соответствии с новым руководством. PCAOB AS5 указывает, что процедуры запроса относительно того, произошли ли изменения в процессе контроля между промежуточным периодом и периодом на конец года, во многих случаях могут быть достаточными для ограничения повторного тестирования.

Пересмотрите объем оцениваемых локаций или бизнес-подразделений: это сложная область, требующая серьезного суждения и анализа. Руководство 2007 года было сосредоточено на конкретной MMR, а не на долларовой сумме при определении объема и достаточности доказательств, которые необходимо получить в децентрализованных подразделениях. Интерпретация (распространенная в руководствах до 2007 года), согласно которой единица или группа единиц была существенной и, следовательно, большое количество средств контроля в нескольких процессах требует тестирования независимо от риска, была заменена. Если остатки на счетах отдельных единиц или групп аналогичных единиц составляют существенную часть баланса консолидированного счета, руководству следует тщательно рассмотреть вопрос о том, может ли MMR существовать в конкретной единице. Затем следует провести тестирование, сосредоточенное только на средствах контроля, связанных с MMR. Для ограничения тестирования конкретных транзакций также следует учитывать средства контроля, такие как подробные совещания по обзору производительности с надежными пакетами отчетов.

Фокусное тестирование общего контроля ИТ (ITGC): ITGC не включены в определение средств контроля на уровне предприятия в соответствии с рекомендациями SEC или PCAOB. Таким образом, тестирование ITGC должно проводиться в той степени, в которой оно касается конкретной MMR. По своей природе ITGC позволяет руководству полагаться на полностью автоматизированные средства контроля приложений (т. е. те, которые работают без вмешательства человека) и средства контроля, зависящие от ИТ (т. е. те, которые включают проверку автоматически создаваемых отчетов). Целенаправленное тестирование ITGC заслуживает поддержки целей контроля или утверждений о том, что полностью автоматизированные средства контроля не были изменены без разрешения и что созданные отчеты о средствах контроля являются точными и полными. Таким образом, ключевые области деятельности ITGC, которые, вероятно, будут иметь решающее значение, включают: процедуры управления изменениями, применяемые к конкретным реализациям финансовой системы в течение периода; процедуры управления изменениями, достаточные для поддержки стратегии сравнительного анализа; и периодический мониторинг безопасности приложений, включая разделение обязанностей.

PCAOB периодически выпускает «Предупреждения о практике аудита персонала» (SAPA), в которых «выявляются новые, возникающие или иным образом заслуживающие внимания обстоятельства, которые могут повлиять на то, как аудиторы проводят аудит в соответствии с существующими требованиями стандартов...» В соответствии с SAPA № 11 « Соображения по аудиту внутренних Контроль над финансовой отчетностью (24 октября 2013 г.) PCAOB обсудил важные вопросы аудиторской практики, связанные с оценкой ICFR. Среди прочих тем они включали:

• Отчеты, создаваемые системой («Информация, предоставленная организацией» или «IPE»): требования к тому, чтобы аудиторы (и по доверенности руководства) получали дополнительные доказательства того, что полностью автоматизированные отчеты и ручные запросы, используемые в качестве входных данных для контроля, являются точными и полными.
• Средства контроля на уровне предприятия и средства контроля со стороны руководства: иногда чрезмерно полагались на средства контроля на уровне предприятия и средства контроля со стороны руководства (концептуально аналогичные средствам контроля на конец периода), которые были недостаточно точными, чтобы снизить риск существенного искажения на «удаленном» уровне. . SAPA №11 предоставляет дополнительные критерии, помогающие оценить точность.
• Критерии расследования: Аудиторы не всегда получали достаточные доказательства того, что средства контроля со стороны руководства осуществлялись эффективно, когда были отмечены необычные отклонения, выходящие за пределы установленных допусков. Например, руководство могло подписать контрольный отчет о том, что он был проверен, но не предоставило никакой другой документации о расследовании, несмотря на некоторые необычные действия в отчете. SAPA № 11 гласит: «Проверка того, что проверка была подписана, сама по себе мало или вообще не дает доказательств эффективности контроля». ^[16]

SAPA #11 может привести к увеличению объема работы для управленческих команд, от которых аудиторы могут потребовать сохранения доказательств того, что эти отчеты и запросы были точными и полными. Кроме того, руководству может потребоваться сохранить дополнительные доказательства расследования, если суммы в отчете о детективном контроле содержат транзакции или тенденции, выходящие за пределы заранее определенных допустимых диапазонов.