Контрольная самооценка - Control self-assessment

Контрольная самооценка - это метод, разработанный в 1987 году, который используется рядом организаций, включая корпорации, благотворительные организации и правительственные ведомства, для оценки эффективности их процессов управления рисками и контроля.

«Процесс контроля» - это проверка или процесс, выполняемый для уменьшения или устранить риск ошибки. С момента своего появления эта техника получила широкое распространение в США, Европейском Союзе и других странах. Существует несколько способов реализации контрольной самооценки, но ее главная особенность в том, что, в отличие от традиционной аудит, тесты и проверки выполняются сотрудниками, чьи повседневные обязанности относятся к оцениваемому бизнес-подразделению.[1] Самооценка путем выявления процессов с повышенным риском в организации позволяет: внутренние аудиторы чтобы более эффективно планировать свою работу.[2] Ряд государственных организаций требует использования контрольной самооценки. в Соединенные Штаты это требование FFIEC что контрольная самооценка ИТ-систем и операционных процессов проводится на регулярной основе.[3] Заявленные преимущества самооценки средств контроля включают создание четкой линии ответственности за средства контроля, снижение риска мошенничества и создание организации с более низким профилем риска.[4][5]

В определенных обстоятельствах контрольная самооценка не всегда эффективна. Например, его может быть сложно реализовать в децентрализованной среде, в организациях с высокой текучестью кадров, где в организации происходят частые изменения или где высшее руководство организации не способствует развитию культуры открытого общения.[6]

Разработка и распространение во всем мире

Самооценка контроля была разработана Gulf Canada в 1987 году, когда компания Генеральный аудитор Брюс МакКуэйг был недоволен стандартными техниками аудита, которые использовались после воздействия Уотергейт дело материнской компании, Gulf Oil Corporation. Решение полностью внедрить контрольную самооценку в Gulf Canada было продиктовано рядом факторов. К ним относятся наличие указ о согласии требование к компании отчитываться о ее внутреннем контроле и трудностях, с которыми она сталкивается при оценке запасов нефти и газа с использованием более традиционных методов аудита.[7]

В течение следующих десяти лет компания Gulf Canada разработала основу для анализа и оценки процессов контроля операционным персоналом. Это включало анонимное голосование, чтобы гарантировать отсутствие препятствий для выражения сотрудниками своих взглядов. Впервые подход был опубликован в Внутренний бухгалтер-ревизор в декабре 1990 г.[8] В 1997 г. компания Gulf Canada прекратила использование этого подхода к проведению встреч, хотя продолжала проводить контрольную самооценку с использованием различных методов.[7]

После того, как Gulf Canada ввела контрольную самооценку, многие организации частного сектора внедрили аналогичные методы. В Соединенных Штатах несколько штатов сделали обязательными обзоры, основанные на практике самооценки контрольных органов, как и Федеральная корпорация страхования вкладов и Канадская корпорация страхования вкладов.[7]

Первоначально внешние аудиторы игнорировали преимущества самооценки контроля, даже несмотря на то, что она была эффективной при предоставлении аудиторских доказательств в отношении «слабых» областей (таких как моральный дух персонала), которые имеют решающее значение для эффективности систем внутреннего контроля.[9]

После ряда финансовых скандалов, в частности краха Роберт Максвелл издательской империи, правительство Соединенного Королевства поручило Адриан Кэдбери председательствовать в расследовании корпоративного управления. Комитет опубликовал свой отчет Финансовые аспекты корпоративного управления в 1992 г. В разделе 4 «Отчетность и средства контроля» Кэдбери представила ряд рекомендаций, которые привели к более широкому внедрению методов самооценки средств контроля в Великобритании. В частности, раздел 4.5 Свода правил, содержащийся в отчете, требует, чтобы директора компании отчитывались об эффективности системы внутреннего контроля компании в каждом конкретном случае. годовой отчет.[10]

В марте 2000 г. Европейская комиссия утвердил «белую книгу» по реформе, которая привела к серьезным изменениям в способах управления Комиссией. Эти изменения включали рекомендации для каждого отдела по созданию эффективной системы внутреннего контроля. Для поддержки внедрения внутреннего контроля Главное управление бюджета Центральная финансовая служба России разработала процесс самооценки контроля. Эта первая контрольная самооценка определила несколько областей для улучшения внутреннего контроля в Комиссии, в первую очередь необходимость внедрения более систематического подхода к управлению рисками. Результатом этой первой самооценки стало выполнение требования для каждого Генеральное управление ежегодно проводить контроль и самооценку рисков.[11]

В 2007 году в США была внедрена Закон Сарбейнса-Оксли. Чтобы соответствовать разделу 404 Закона, компания должна была провести оценку рисков сверху вниз, что потребовало подготовки «отчета о внутреннем контроле», подтверждающего «ответственность руководства за создание и поддержание адекватной структуры внутреннего контроля и процедур для финансовая отчетность." 15 U.S.C.  § 7262 (а). Этот отчет должен включать оценку эффективности внутреннего контроля и процедур, связанных с финансовой отчетностью. Чтобы соответствовать этому требованию, организации все чаще стали проводить контрольную самооценку с использованием признанной стандартной методологии. Внешние аудиторы организации, которые обязаны подписывать отчет о внутреннем контроле, как правило, более активно участвовали в процессе самооценки средств контроля, поскольку это облегчало их последующую проверку отчета о внутреннем контроле.[12]

в объединенное Королевство в 2011 году Управление финансовых услуг В своих рекомендациях по улучшению управления операционными рисками признает, что оценка рисков посредством самооценки средств контроля может быть важным средством выявления рисков. Он также отметил, что для того, чтобы оценка была полностью эффективной, она должна быть полностью интегрирована в процесс управления рисками финансовой организации.[13]

Проведение контрольной самооценки

Раздел 1 формы контрольной самооценки, используемой Федеральное управление транзита

Первым шагом в самооценке контроля является документирование процессов контроля организации с целью определения подходящих способов измерения или тестирования каждого контроля. Фактическое тестирование средств контроля выполняется персоналом, повседневная роль которого находится в рамках исследуемой области организации, поскольку они обладают наибольшими знаниями о том, как работают процессы.[1][4] Двумя распространенными методами проведения оценок являются:

  • Семинары, которые могут проводиться, но не обязательно должны проводиться независимо, с участием некоторых или всех сотрудников тестируемого бизнес-подразделения;
  • Опросы или анкеты, заполняемые персоналом самостоятельно.

Оба подхода противоположны формальным аудитам, когда аудиторы, а не персонал бизнес-подразделения.[1]

По завершении оценки каждый элемент управления может быть оценен на основе полученных ответов для определения вероятности его отказа и воздействия, если отказ произойдет. Эти рейтинги могут быть сопоставлены для получения Тепловая карта показывая потенциальные уязвимые места.

Методологии

Тепловая карта, созданная на основе информации, полученной в ходе контрольной самооценки. Группа проблем в красном и желтом разделах тепловой карты указывает на то, что это область высокого риска и, вероятно, нуждается в новых или измененных процессах управления.

Определены шесть основных методик контрольной самооценки:[14]

  • Анкета внутреннего контроля (ICQ) самоаудит
  • Индивидуальные анкеты
  • Руководства по управлению
  • Техники интервью
  • Мастерские контрольных моделей
  • Интерактивные мастер-классы

В Национальный институт стандартов и технологий Методика контрольной самооценки основана на индивидуальных анкетах. Это ЭТО сфокусированная методология, подходящая для оценки системного контроля. Он обеспечивает рентабельный метод определения состояния средств управления информационной безопасностью, выявления любых слабых мест и, при необходимости, определения плана улучшения.[15] Методология использует анкету, которая содержит конкретные цели контроля, и методы в отношении системы или группы систем могут быть протестированы и измерены. Методология была разработана для федеральных агентств США, но также может быть полезной для организаций частного сектора.[15]

В COBIT методика может быть использована для контрольной самооценки; Как и методология NIST, она была разработана для оценок, ориентированных на ИТ. Компонент «Описание процесса» COBIT предоставляет эталонную модель процессов организации и их владельцев. Компонент «Цели управления» предоставляет набор требований, которые считаются необходимыми для эффективного управления каждым ИТ-процессом в организации. Оценка и оценка этих компонентов с использованием компонента Руководства по управлению обеспечивает механизм оценки, который генерирует модель зрелости, указывающую, выполняет ли организация свои цели контроля.[14]

В Институт внутренних аудиторов основывает свою методологию самооценки контроля на Общее управление качеством подходы 1990-х годов, а также COSO's рамки. Методология стала частью Международные стандарты профессиональной практики внутреннего аудита и был принят большим количеством крупных организаций.[16]

Опубликован ряд других методик стандартизации контрольной самооценки.[17][18] Институт внутренних аудиторов предлагает сертификацию по практике самооценки контроля.[19]

Программные инструменты

Для поддержки процесса самооценки контроля доступен ряд пакетов программного обеспечения. Обычно это модифицированные версии программного обеспечения, изначально разработанного для внутреннего использования аудиторскими и бухгалтерскими фирмами, такими как Делойт или нишевыми поставщиками, специализирующимися на инструментах управления бизнесом или финансами.

Преимущества

Самооценка средств контроля создает четкую линию ответственности за средства контроля, снижает риск мошенничество (путем изучения данных, которые могут указывать на необычные схемы транзакций) и приводит к организации с более низким профилем риска.[4][5]

Для организаций, выполняющих контрольную самооценку, заявлен ряд других мягких преимуществ. Они включают лучшее понимание бизнес-операций (как руководством, так и оперативным персоналом); повышение осведомленности о методах управления рисками; усиленный корпоративное управление режим и повышение эффективности внутреннего аудита.[4][20]

Критика

Некоторые исследователи подвергли критике контрольную самооценку как ошибочный подход, поскольку способ определения и измерения риска является бесхитростным. В частности, самооценка средств контроля может занижать риск, не выявляя крайнего риска ухудшения ситуации. Чрезвычайно опасный риск - это крайне маловероятное событие, которое могло бы иметь катастрофические последствия, если бы оно произошло. Эти риски должны иметь высокий общий балл риска (обычно рассчитываемый как произведение вероятности возникновения риска и воздействия, если он все же произойдет, по шкале от 1 до 5). Следовательно, лица, выполняющие контрольную самооценку, не могут существенно различать риски, ведущие к крайне низким рискам, которые либо исключаются из анализа, либо группируются вместе с другими более вероятными (но все же маловероятными) рисками, которые имеют менее серьезное воздействие.[21]

Постоянное внимание к устранению рисков, к которому может привести контрольная самооценка, также подвергалось критике. Процесс постоянной оценки рисков и составление планов по их снижению и устранению может привести к несбалансированной корпоративной культуре, в которой риски устраняются без учета соотношения риска и доходности различных вариантов ведения бизнеса.[21]

Смотрите также

внешняя ссылка

Рекомендации

  1. ^ а б c Гилберт В. Джозеф; Терри Дж. Энгл (декабрь 2005 г.). «Использование контрольной самооценки независимыми аудиторами». Журнал CPA. Получено 2012-03-10.
  2. ^ «Контрольная самооценка: введение». Институт внутренних аудиторов. Архивировано из оригинал на 2010-08-23. Получено 2012-03-10.
  3. ^ "Справочник ИТ-экзаменов FFIEC". FFIEC. Архивировано из оригинал на 2012-02-27. Получено 2012-03-10.
  4. ^ а б c d МакНелли, Дж. Стивен (12 ноября 2007 г.). «Самооценка контроля: все используют средства внутреннего контроля». бухгалтерский учет.
  5. ^ а б Спенсер Пикетт, К. И Пикетт, Дженнифер М. (2010). Справочник по внутреннему аудиту (3-е изд.). John Wiley & Sons Ltd. стр. 585.
  6. ^ «Контрольная самооценка: будущее аудита магазинов в розничных магазинах» (PDF). Protivit Incorporated. 2006 г.. Получено 2012-03-30.
  7. ^ а б c Брошюра о профессиональной практике 98-2 Взгляд на контрольную самооценку (PDF). Флорида: Институт внутренних аудиторов. 1998. ISBN  089413406X. Получено 2012-03-31.
  8. ^ К.Х. Спенсер Пикетт (2011). Основное руководство по внутреннему аудиту (Второе изд.). John Wiley & Sons Limited. п. 81.
  9. ^ Джозеф, Гилберт В. (1 августа 2001 г.). «Использование контрольной самооценки в аудитах». Журнал CPA. Получено 2012-03-12.
  10. ^ Финансовые аспекты корпоративного управления (PDF) (Отчет). 1 декабря 1992 г. ISBN  0852589131. Получено 2012-03-12.
  11. ^ Центральная финансовая служба Европейской комиссии (18 марта 2002 г.). «2-я Конференция по качеству государственного управления в ЕС: Примечание к файлу». Архивировано из оригинал 27 сентября 2006 г.. Получено 2012-03-12.
  12. ^ Энгель, Терри Дж .; Джозеф, Гилберт В. (2007). «Улучшение координации внутреннего и внешнего аудита». 11 (2). CSA Sentinel. Институт внутренних аудиторов. Архивировано из оригинал на 2014-03-20. Получено 2012-04-02. Цитировать журнал требует | журнал = (помощь)
  13. ^ «Улучшение основ стандартизированного подхода к операционному риску - Руководство» (PDF). Управление финансовых услуг. Январь 2011 г.. Получено 2012-03-11.
  14. ^ а б Сунил Бакши (2004). «Контрольная самооценка информационных и смежных технологий». Журнал Ассоциации аудита и контроля информационных систем. 1: 4.
  15. ^ а б Марианна Свонсон. «Руководство по самооценке безопасности для систем информационных технологий». Национальный институт стандартов и технологий. Получено 2012-04-04.
  16. ^ Роберт Мёллер (2009). Современный внутренний аудит Бринка: общий свод знаний. John Wiley & Sons Inc., Канада.
  17. ^ Альварес, Джин (2004). Операционный риск: практические подходы к реализации.
  18. ^ Джин Альварес; Фил Гледхилл (24 ноября 2010 г.). «Комплексная методика самооценки рисков и контроля». Risk.net. Получено 2012-03-10.
  19. ^ «Сертификация по контрольной самооценке (CCSA)». Институт внутренних аудиторов. Архивировано из оригинал на 2012-04-02. Получено 2012-10-03.
  20. ^ «Контрольная самооценка». ПрайсВотерхаусКуперс. Получено 2012-03-10.
  21. ^ а б Ли, Джуди; Wee, Lieng-Seng (28 сентября 2005 г.). «Компании, использующие контрольную самооценку, на самом деле не знают своего риска» (PDF). Стрекоза. Получено 2012-03-14.