Внутренний контроль

Внутренний контроль , как это определено в бухгалтерском учете и аудите , — это процесс обеспечения целей организации в области операционной эффективности и результативности , достоверной финансовой отчетности и соблюдения законов, правил и политик. В широком смысле внутренний контроль включает в себя все, что контролирует риски для организации.

Это средство, с помощью которого ресурсы организации направляются, контролируются и измеряются. Он играет важную роль в обнаружении и предотвращении мошенничества и защите ресурсов организации, как физических (например, оборудование и имущество), так и нематериальных (например, репутация или интеллектуальная собственность, такая как товарные знаки).

На организационном уровне цели внутреннего контроля связаны с достоверностью финансовой отчетности, своевременной обратной связью о достижении операционных или стратегических целей, а также соблюдением законов и нормативных актов. На уровне конкретной транзакции внутренний контроль относится к действиям, предпринятым для достижения конкретной цели (например, как гарантировать, что платежи организации третьим сторонам производятся за действительные оказанные услуги). Процедуры внутреннего контроля уменьшают вариации процесса, что приводит к более предсказуемым результатам. Внутренний контроль является ключевым элементом Закона о коррупции за рубежом (FCPA) 1977 года и Закона Сарбейнса-Оксли 2002 года, которые требовали улучшения внутреннего контроля в государственных корпорациях США. Внутренний контроль внутри хозяйствующих субъектов также называется оперативным контролем . Основные существующие средства контроля иногда называют «ключевыми финансовыми средствами контроля» (KFC). ^[1]

Внутренний контроль существовал с древних времен. В эллинистическом Египте существовала двойная администрация: одна группа бюрократов отвечала за сбор налогов, а другая - за их надзор. В Китайской Республике Надзорный орган (检察院; пиньинь : Цзиньнча Юань), одна из пяти ветвей власти, является следственным органом, который контролирует другие ветви власти.

Существует множество определений внутреннего контроля, поскольку он по-разному и на разных уровнях агрегирования влияет на различные группы населения (заинтересованные стороны) организации.

В соответствии с Интегрированной системой внутреннего контроля COSO , широко используемой не только в Соединенных Штатах, но и во всем мире, внутренний контроль в широком смысле определяется как процесс, осуществляемый советом директоров, руководством и другим персоналом организации, предназначенный для обеспечения разумная уверенность в достижении целей, касающихся операций, отчетности и соблюдения требований.

COSO определяет внутренний контроль как состоящий из пяти компонентов:

1. Контрольная среда – задает тон организации, влияя на контрольное сознание ее сотрудников. Он является основой для всех остальных компонентов внутреннего контроля.
2. Оценка рисков — выявление и анализ рисков, имеющих отношение к достижению целей, формирующих основу для управления рисками.
3. Информационные и коммуникационные системы или процессы, которые поддерживают идентификацию, сбор и обмен информацией в такой форме и в сроки, которые позволяют людям выполнять свои обязанности.
4. Контрольная деятельность – политика и процедуры, которые помогают обеспечить выполнение указаний руководства.
5. Процессы мониторинга, используемые для оценки качества работы внутреннего контроля с течением времени.

Определение COSO относится к совокупной системе контроля организации, которая состоит из множества отдельных процедур контроля.

Процедуры дискретного контроля или средства контроля определяются SEC как: «...определенный набор политик, процедур и действий, предназначенных для достижения цели. Средство контроля может существовать в пределах обозначенной функции или действия в процессе. Влияние средства контроля ... могут быть общеорганизационными или специфичными для баланса счета, класса транзакций или приложения. Средства контроля имеют уникальные характеристики – например, они могут быть: автоматизированное или ручное согласование обязанностей; подотчетность активов; предотвращение или обнаружение ошибок или мошенничества. Средства контроля в рамках процесса могут состоять из средств контроля финансовой отчетности и оперативного контроля (то есть средств, предназначенных для достижения операционных целей)». ^[2]

В более общем смысле, определение целей, бюджетов, планов и других ожиданий устанавливает критерии контроля. Сам контроль существует для того, чтобы поддерживать производительность или состояние дел в пределах того, что ожидается, разрешено или принято. Контроль, встроенный в процесс, носит внутренний характер. Это происходит при сочетании взаимосвязанных компонентов, таких как социальная среда, влияющая на поведение сотрудников, информация, необходимая для контроля, а также политики и процедуры. Структура внутреннего контроля – это план, определяющий, как внутренний контроль состоит из этих элементов. ^[3]

Концепции корпоративного управления также во многом полагаются на необходимость внутреннего контроля. Внутренний контроль помогает гарантировать, что процессы работают так, как задумано, и что реагирование на риски (обработка рисков) в процессе управления рисками осуществляется (COSO II). Кроме того, должны быть созданы условия, гарантирующие, что вышеупомянутые процедуры будут выполняться по назначению: правильное отношение, честность и компетентность, а также контроль со стороны менеджеров.

Согласно COSO Framework, каждый в организации в той или иной степени несет ответственность за внутренний контроль. Практически все сотрудники предоставляют информацию, используемую в системе внутреннего контроля, или предпринимают другие действия, необходимые для воздействия на контроль. Кроме того, весь персонал должен нести ответственность за информирование руководства о проблемах в работе, несоблюдении кодекса поведения или других нарушениях политики или незаконных действиях. Каждый крупный субъект корпоративного управления играет особую роль:

Генеральный директор (топ-менеджер) организации несет общую ответственность за разработку и внедрение эффективного внутреннего контроля. В большей степени, чем любой другой человек, генеральный директор задает « тон наверху », который влияет на честность, этику и другие факторы позитивной контрольной среды. В крупной компании генеральный директор выполняет эту обязанность, обеспечивая руководство и направление старшим менеджерам, а также анализируя, как они контролируют бизнес. Старшие менеджеры, в свою очередь, возлагают ответственность за разработку более конкретной политики и процедур внутреннего контроля на персонал, ответственный за функции подразделения. В небольших организациях влияние генерального директора, часто являющегося собственником-менеджером, обычно более прямое. В любом случае при каскадной ответственности менеджер фактически является руководителем своей сферы ответственности. Особое значение имеют финансовые служащие и их сотрудники, чья контрольная деятельность охватывает, как сверху, так и снизу, операционные и другие подразделения предприятия.

Руководство подотчетно совету директоров, который обеспечивает управление, руководство и надзор. Эффективные члены совета директоров объективны, способны и любознательны. Они также обладают знаниями о деятельности и окружающей среде организации и уделяют время, необходимое для выполнения своих обязанностей в совете директоров. Руководство может быть в состоянии обойти меры контроля и игнорировать или подавлять общение с подчиненными, позволяя нечестному руководству, которое намеренно искажает результаты, заметать следы. Сильный и активный совет директоров, особенно в сочетании с эффективными восходящими каналами связи и компетентными финансовыми, юридическими функциями и функциями внутреннего аудита, зачастую лучше всего способен выявить и исправить такую ​​проблему.

Внутренние организации и внешние аудиторы также своими усилиями измеряют эффективность внутреннего контроля. Они оценивают, правильно ли разработаны, реализованы и работают ли средства контроля, и дают рекомендации по улучшению внутреннего контроля. Они также могут проверять средства контроля информационных технологий , которые относятся к ИТ-системам организации. Чтобы обеспечить разумную уверенность в том, что механизмы внутреннего контроля, задействованные в процессе подготовки финансовой отчетности, эффективны, они проверяются внешним аудитором (бухгалтерами организации), которые обязаны дать заключение о средствах внутреннего контроля компании и достоверности ее финансовой отчетности.

Роль и обязанности комитета по аудиту в общих чертах заключаются в следующем: (a) Обсуждать с руководством, внутренними и внешними аудиторами и основными заинтересованными сторонами качество и адекватность системы внутреннего контроля организации и процесса управления рисками, а также их эффективность и результаты и регулярно встречаться в частном порядке с директором службы внутреннего аудита; (b) Рассмотреть и обсудить с руководством и внешними аудиторами и утвердить проверенную финансовую отчетность организации, а также дать рекомендации относительно включения этой финансовой отчетности в любую публичную отчетность. Также проанализируйте вместе с руководством и независимым аудитором влияние нормативных и бухгалтерских инициатив, а также внебалансовые проблемы на финансовую отчетность организации; (c) Рассмотрение и обсуждение с руководством типов информации, подлежащей раскрытию, и типов презентаций, которые необходимо сделать в отношении пресс-релиза о доходах компании, а также финансовой информации и рекомендаций по доходам. предоставляется аналитикам и рейтинговым агентствам; (d) Подтверждать объем аудитов, которые будут проводиться внешними и внутренними аудиторами, отслеживать ход выполнения и анализировать результаты, а также проверять гонорары и расходы. Рассмотрите важные выводы или неудовлетворительные отчеты внутреннего аудита, а также проблемы или трудности аудита, с которыми столкнулся внешний независимый аудитор. Контролировать реакцию руководства на все выводы аудита; (e) рассматривать жалобы, касающиеся бухгалтерского учета, внутреннего бухгалтерского контроля или вопросов аудита; (f) получать регулярные отчеты от главного исполнительного директора, финансового директора и других комитетов контроля компании о недостатках в разработке или функционировании механизмов внутреннего контроля и о любом мошенничестве, в котором участвует руководство или другие сотрудники, играющие значительную роль во внутреннем контроле; и (g) Поддержка руководства в разрешении конфликтов интересов. Контролируйте адекватность внутреннего контроля организации и обеспечьте принятие мер по всем случаям мошенничества.

Роль и обязанности сотрудников системы вознаграждений в общих чертах заключаются в следующем: (a) Утверждать и контролировать реализацию Программы вознаграждения руководителей компании; (b) Рассмотрение и утверждение конкретных вопросов вознаграждения главного исполнительного директора, главного операционного директора (если применимо), финансового директора, главного юрисконсульта, старшего сотрудника по кадрам, казначея, директора по корпоративным отношениям и управлению, а также директоров компании; (c) Рассмотрение, при необходимости, любых изменений в вопросах вознаграждения вышеперечисленных должностных лиц вместе с Советом директоров; и (d) анализировать и контролировать всю деятельность и отчеты по эффективности и соблюдению требований, связанных с кадрами, включая систему управления эффективностью. Они также гарантируют, что показатели эффективности, связанные с выгодами, правильно используются руководством организации.

Все сотрудники должны нести ответственность за сообщение о проблемах в работе, мониторинг и улучшение их работы, а также за мониторинг несоблюдения корпоративной политики и различных профессиональных кодексов или нарушений политик, стандартов, практик и процедур. Их конкретные обязанности должны быть зафиксированы в их личных личных делах. В деятельности по управлению эффективностью они принимают участие во всей деятельности по сбору и обработке данных о соблюдении требований и производительности, поскольку они являются частью различных организационных подразделений, а также могут нести ответственность за различные виды деятельности организации, связанные с соблюдением требований и эксплуатацией.

Персонал и младшие менеджеры могут участвовать в оценке средств контроля внутри своего организационного подразделения с использованием средств самооценки средств контроля .

Достижения в области технологий и анализа данных привели к разработке многочисленных инструментов, которые могут автоматически оценивать эффективность внутреннего контроля. Используемый в сочетании с непрерывным аудитом , непрерывный мониторинг обеспечивает уверенность в финансовой информации, проходящей через бизнес-процессы.

В ряде юрисдикций существуют законы и положения о внутреннем контроле, связанном с финансовой отчетностью. В США эти правила конкретно установлены разделами 404 и 302 Закона Сарбейнса-Оксли . Руководство по аудиту этих средств контроля указано в

• SSAE № 18, опубликованный Американским институтом сертифицированных бухгалтеров (AICPA).
• Стандарт аудита № 5 , опубликованный Советом по надзору за бухгалтерским учетом публичных компаний (PCAOB)
• Рекомендации SEC, которые далее обсуждаются в документе SOX 404 «нисходящая оценка рисков» .

Внутренний контроль может обеспечить разумную, но не абсолютную гарантию того, что цели организации будут достигнуты. Концепция разумной уверенности подразумевает высокую степень уверенности, ограниченную затратами и выгодами от установления дополнительных процедур контроля.

Эффективный внутренний контроль предполагает, что организация составляет достоверную финансовую отчетность и в значительной степени соблюдает применимые к ней законы и правила. Однако то, достигнет ли организация оперативных и стратегических целей, может зависеть от факторов, находящихся вне предприятия, таких как конкуренция или технологические инновации. Эти факторы находятся за пределами внутреннего контроля; следовательно, эффективный внутренний контроль обеспечивает только своевременную информацию или обратную связь о прогрессе в достижении оперативных и стратегических целей, но не может гарантировать их достижение.

Внутренний контроль можно описать с точки зрения:

а) соответствующую цель или утверждение финансовой отчетности

б) характер самой контрольной деятельности.

Утверждения – это утверждения руководства, отраженные в финансовой отчетности. Например, если в финансовом отчете показан баланс основных средств на сумму 1000 долларов США , это означает, что руководство утверждает, что основные средства фактически существуют на дату финансовой отчетности, оценка которых стоит ровно 1000 долларов США (на основе исторической стоимости). или справедливая стоимость в зависимости от системы и стандартов отчетности), и предприятие имеет полное право/обязательство, вытекающее из таких активов (например, если они сданы в аренду, об этом необходимо раскрыть соответствующим образом). Кроме того, такие основные средства должны быть правильно раскрыты и представлены в финансовой отчетности в соответствии с требованиями финансовой отчетности, применимыми к компании.

Средства контроля могут быть определены в отношении конкретного утверждения финансовой отчетности, к которому они относятся. Есть пять таких утверждений, образующих аббревиатуру «PERCV» (произносится как «воспринимать»):

1. Представление и раскрытие информации: Счета и раскрытия должным образом описаны в финансовой отчетности организации.
2. Существование/Возникновение/Действительность: обрабатываются только действительные или авторизованные транзакции.
3. Права и обязанности: Активы — это права организации, а обязательства — это ее обязательства на определенную дату.
4. Полнота: Обрабатываются все транзакции, которые должны быть.
5. Оценка: Транзакции оцениваются точно с использованием надлежащей методологии, например, определенных средств расчета или формулы.

Например, целью контроля достоверности может быть: «Платежи производятся только за полученные авторизованные продукты и услуги». Типичная процедура контроля выглядит так: «Система оплаты сравнивает заказ на поставку, запись о получении и счет-фактуру поставщика перед авторизацией платежа». Руководство несет ответственность за внедрение надлежащего контроля, применимого ко всем операциям в его сферах ответственности.

Контрольные действия также можно объяснить типом или характером деятельности. К ним относятся (но не ограничиваются):

• Разделение обязанностей – разделение функций авторизации, хранения и ведения учета для предотвращения мошенничества или ошибок со стороны одного человека.
• Авторизация транзакций – рассмотрение конкретных транзакций соответствующим лицом.
• Хранение записей – ведение документации для обоснования транзакций.
• Надзор или мониторинг операций – наблюдение или обзор текущей оперативной деятельности.
• Физические меры безопасности – использование камер, замков, физических барьеров и т. д. для защиты имущества, например товарного запаса.
• Обзоры высшего уровня — анализ фактических результатов в сравнении с целями или планами организации, периодические и регулярные операционные обзоры, показатели и другие ключевые показатели эффективности (KPI).
• Общие средства контроля ИТ – средства контроля, связанные с: a) безопасностью, обеспечивающей доступ к системам и данным только уполномоченному персоналу, например, использование паролей и просмотр журналов доступа; и б) Управление изменениями для обеспечения надлежащего контроля программного кода, например, разделение производственной и тестовой сред, системное и пользовательское тестирование изменений перед принятием, а также контроль над миграцией кода в производство.
• Элементы управления ИТ-приложениями. Средства контроля над обработкой информации, реализуемые ИТ-приложениями, такие как проверки редактирования для проверки ввода данных, учет транзакций в числовых последовательностях и сравнение итоговых значений файлов с контрольными учетными записями.

Точность контроля описывает соответствие или корреляцию между конкретной процедурой контроля и заданной целью контроля или риском. Считается, что контроль, оказывающий прямое влияние на достижение цели (или снижение риска), является более точным, чем контроль, оказывающий косвенное влияние на цель или риск. Точность отличается от достаточности; то есть для достижения цели контроля или снижения риска могут использоваться несколько средств контроля с различной степенью точности.

Точность является важным фактором при проведении нисходящей оценки рисков SOX 404 . После выявления конкретных рисков существенного искажения финансовой отчетности руководство и внешние аудиторы должны определить и протестировать средства контроля, которые снижают риски. Это включает в себя вынесение суждений относительно точности и достаточности мер контроля, необходимых для снижения рисков.

Риски и меры контроля могут быть на уровне организации или на уровне предпосылок в соответствии с рекомендациями PCAOB.Средства контроля на уровне предприятия определяются для устранения рисков на уровне предприятия. Однако для устранения рисков на уровне предпосылок обычно используется комбинация средств контроля на уровне объекта и на уровне предпосылок. PCAOB установил трехуровневую иерархию для рассмотрения точности контроля на уровне предприятия. ^[4] Более поздние рекомендации PCAOB в отношении малых государственных компаний предоставили несколько факторов, которые следует учитывать при оценке точности. ^[5]

Внутренний контроль играет важную роль в предотвращении и выявлении мошенничества . ^[6] В соответствии с Законом Сарбейнса-Оксли компании обязаны проводить оценку риска мошенничества и оценивать соответствующие меры контроля. Обычно это включает в себя определение сценариев, в которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. ^[7] Риск того, что высшее руководство может обойти важные меры финансового контроля для манипулирования финансовой отчетностью, также является ключевым направлением оценки риска мошенничества. ^[8]

AICPA, IIA и ACFE также спонсировали опубликованное в 2008 году руководство, которое включает в себя структуру, помогающую организациям управлять рисками мошенничества. ^[9]

Средства контроля можно оценить и улучшить, чтобы сделать бизнес-операции более эффективными и результативными. Например, автоматизация контроля, который по своей природе является ручным, может сэкономить затраты и улучшить обработку транзакций. Если руководители будут рассматривать систему внутреннего контроля только как средство предотвращения мошенничества и соблюдения законов и правил, важная возможность может быть упущена. Внутренний контроль также может использоваться для систематического улучшения бизнеса, особенно в отношении эффективности и результативности.

• Главный специалист по аудиту
• Три линии защиты

• Организация высших органов финансового контроля (ИНТОСАИ) ^{[ постоянная мертвая ссылка ]}
• Комитет организаций-спонсоров Комиссии Тредуэя: Внутренний контроль – интегрированная структура (1992 г.)
• Ассоциация внутреннего контроля штата Нью-Йорк (NYSICA)
• Рафик Уануки1 и Ален Апрель (2007 г.). «Измерение соответствия ИТ-процессов: требование Сарбейнса-Оксли» (PDF) . Материалы IWSM-Mensura 2007 . {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )