Элементы управления на уровне сущности - Entity-level controls

Элементы управления на уровне сущности находятся внутреннего контроля которые помогают обеспечить выполнение указаний руководства, касающихся всего предприятия. Это второй уровень нисходящий подход к пониманию рисков организации. Как правило, сущность относится ко всей компании.

Регулирование контроля на уровне организации

Закон Сарбейнса-Оксли 2002 г.

В результате нескольких бухгалтерских и аудиторских скандалов конгресс прошел Закон Сарбейнса-Оксли 2002 г.. Раздел 404 закона требует, чтобы руководство компании оценивало эффективность внутреннего контроля компании и сообщало о ней. Он также требует, чтобы независимый аудитор компании подтвердил раскрытие руководством информации об эффективности внутреннего контроля. Акт также создал Совет по надзору за бухгалтерским учетом публичных компаний (PCAOB).[1]

Стандарт аудита PCAOB 2201

В Совет по надзору за бухгалтерским учетом публичных компаний (PCAOB) стал основным регулятором аудита публичных компаний.[2] В июне 2007 года PCAOB принял Стандарт аудита 2201 (Заменяет AS № 5).[3] Этот стандарт содержит стандарты проведения аудита внутреннего контроля финансовой отчетности, интегрированного с аудитом финансовой отчетности.

Аудитор должен протестировать средства контроля на уровне организации, которые важны для заключения аудитора о том, имеет ли компания эффективный внутренний контроль над финансовой отчетностью. В зависимости от оценки аудитором эффективности средств контроля на уровне организации, аудитор может увеличить или уменьшить объем тестирования, которое они будут выполнять.

Элементы управления на уровне сущностей сильно различаются по характеру и точности. Их влияние на план аудита зависит от того, насколько они точны.

ТипОписаниеЭффект аудита
КосвенныйНекоторые средства контроля на уровне организации косвенно влияют на вероятность своевременного обнаружения или предотвращения искажения. Они не имеют прямого отношения к рискам на уровне утверждений финансовой отчетности.Влияют на выбор средств контроля, а также на характер, сроки и объем выполняемых процедур.
МониторингНекоторые средства контроля на уровне организации отслеживают эффективность других средств контроля. Они могут быть разработаны для выявления неисправностей органов управления нижнего уровня. Эти средства контроля сами по себе недостаточно точны, чтобы конкретно учитывать оцененный риск на соответствующем уровне утверждений.Если работает эффективно, сократите количество проверок других средств управления.
ТочныйНекоторые средства контроля на уровне организации достаточно точны, чтобы своевременно предотвращать или обнаруживать искажения.Если контроль в достаточной мере учитывает риск, то дополнительные тесты средств контроля, относящиеся к этому риску, не требуются.

Общие элементы управления на уровне организации

  • Органы управления, связанные с контрольная среда
  • Контроль над отменой управления
  • Компания оценка рисков процесс
  • Централизованная обработка и контроль, включая общие сервисные среды
  • Органы управления для отслеживания результатов операций
  • Элементы управления для мониторинга других элементов управления, включая действия внутренняя ревизия функция, комитет по аудиту, и программы самооценки
  • Контроль на конец периода процесс финансовой отчетности
  • Политики, направленные на существенные методы контроля бизнеса и управления рисками
  • Внутренняя ревизия
  • Горячая линия для информаторов
  • Нормы поведения
  • ИТ-среда и организации
  • Самооценка
  • Общие услуги
  • Комитет по раскрытию информации
  • Надзор со стороны высшего руководства
  • Руководство по политикам и процедурам
  • Отчет об анализе отклонений
  • Механизм исправления
  • Управляющие триггеры, встроенные в ИТ-системы
  • Внутренняя коммуникация и отчетность о производительности
  • Настройка тона
  • Отчетность совета директоров / аудиторского комитета
  • Внешнее общение
  • Распределение обязанностей
  • Сверки счетов
  • Балансировка системы и отчеты об исключениях
  • Управление изменениями
  • Методология оценки рисков
  • Аналитические методы оценки рисков
  • Управление
  • Распределение полномочий и ответственности
  • Практика найма и удержания
  • Контроль за предотвращением / обнаружением мошенничества и аналитические процедуры

Оценка средств контроля на уровне организации

Аудиторская оценка

Контроль на уровне организации, наряду со всеми другими средствами внутреннего контроля, должен оцениваться независимыми аудиторами в соответствии с SAS 109 (AU 314), выпущенным AICPA. SAS 109 предусматривает, что «аудиторы должны получить понимание пяти компонентов внутреннего контроля, достаточное для оценки риска существенного искажения финансовой отчетности вследствие ошибки или мошенничества, а также для разработки характера, сроков и объема дальнейших аудиторских процедур. . "[4]

Информация, полученная в результате понимания пяти компонентов внутреннего контроля, должна использоваться для следующих целей:

  • Определите типы потенциальных искажений
  • Учитывайте факторы, влияющие на риски существенного искажения.
  • Разработка тестов средств контроля, если применимо, и процедур проверки по существу

В тестирование обычно включаются средства управления на уровне организации.

Интегрированная система внутреннего контроля COSO

Вышеупомянутые пять компонентов внутреннего контроля относятся к пяти частям COSO рамки.[5] Структура дает аудиторам возможность оценить средства контроля организации.

Пять компонентов:

  • Контрольная среда
  • Оценка рисков
  • Информация и коммуникация
  • Контрольные мероприятия
  • Мониторинг

Элементы управления на уровне сущности часто входят в один или несколько из пяти компонентов COSO.

Пример
Компоненты COSOПроверка фонаКомитет по аудитуВнутренняя ревизияОбщие службы
Контрольная средаИксИкс
Оценка рисковИксИксИкс
Информация и связьИксИксИксИкс
МониторингИксИкс

Оценка руководства

Есть четыре основных шага, которые руководство может использовать для оценки средств контроля на уровне организации:[нужна цитата ]

Выявить риски
Используйте нисходящий подход для выявления и категоризации рисков.
Выявление средств контроля на уровне организации и связь с рисками
Изучите текущие элементы управления на уровне объекта, чтобы определить, какие элементы управления были введены в действие. Также определите важные элементы управления на уровне сущности, которые могут отсутствовать в текущей структуре. Затем свяжите средства контроля на уровне организации, которые лучше всего подходят для устранения выявленных рисков.
Оценить структуру и операционную эффективность средств контроля на уровне организации
Определите, насколько эффективно каждый элемент контроля на уровне организации устраняет выявленные риски, учитывая, среди прочего: чувствительность; компетентность рецензента, частота и последовательность работы контроля; является ли контроль надежным и повторяемым; и осуществляется ли соответствующий обзор и последующие действия.
При необходимости использовать средства контроля на уровне организации для снижения рисков
Используя сильные средства контроля на уровне организации, руководство сможет разработать более эффективную и действенную стратегию оценки средств контроля.

Определения выбранных элементов управления на уровне сущности, организованные в структуру COSO

[нужна цитата ]

Контрольная среда

[нужна цитата ]

Нормы поведения
Нормы, которые организация соглашается соблюдать добровольно. Например, кодекс поведения компании может включать политику, запрещающую сотрудникам принимать подарки от поставщиков.
Управление
Механизм мониторинга того, как ресурсы организации используются руководством эффективно, с упором на прозрачность и подотчетность
Распределение полномочий и ответственности
Термин «полномочия» относится к праву осуществлять деятельность организации. Термин «ответственность» относится к обязанности выполнять порученные действия. Для достижения целей контроля важно, чтобы полномочия и обязанности соответствовали целям деловой деятельности и были закреплены за соответствующим персоналом.
Практика найма и удержания
Наем и удержание квалифицированных ресурсов имеет решающее значение для успеха организации. Политики и процедуры, касающиеся определения должности, найма, обучения, служебной аттестации, удержание сотрудников программы и управление увольнениями сотрудников являются важными компонентами управления человеческими ресурсами.
Предотвращение мошенничества. Предотвращение / обнаружение средств контроля и аналитических процедур
Это относится к средствам контроля и процедурам по борьбе с мошенничеством, используемым руководством для предотвращения, обнаружения и смягчения последствий мошенничества. Примеры могут включать разделение обязанностей, создание горячей линии по вопросам этики и периодическую ротацию должностей.

Оценка рисков

[нужна цитата ]

Методология оценки рисков
Системный подход к выявлению, оценке и приоритизации рисков.
Аналитические методы оценки рисков
Аналитические методы при правильном использовании могут служить инструментом в процессе оценки рисков. Поскольку риск является результатом восприятия, аналитические методы помогают устранить субъективность, в определенной степени, путем сопоставления и систематического представления данных для оценки потенциального воздействия и вероятности возникновения или рисков.

Информация и коммуникация

Внутренняя коммуникация и отчеты о производительности
Это относится к линиям связи, которые проходят через структуру организации, как сверху вниз, так и снизу вверх, включая взаимодействие между коллегами. Отчетность о производительности является частью внутреннего обмена информацией и обычно включает двусторонний процесс установления ожиданий и мониторинга производительности в сравнении с согласованными ожиданиями.
Настройка тона
Настройка тона относится к различным компонентам «тона наверху», которые являются строительными блоками характера организации. Установив правильный тон, не менее важно иметь открытые каналы коммуникации, чтобы те, кто внутри и вне организации понимали это и действовали в соответствии с ними. Примеры таких компонентов тона включают этический кодекс и практику корпоративного управления.
Отчетность Совета директоров / Аудиторского комитета
Члены совета директоров, включая независимых директоров, берут на себя фидуциарные обязанности, которые требуют от них доступа к точной и актуальной информации. Хотя в большинстве стран приняты законы об официальной отчетности перед Советом директоров и Аудиторским комитетом Совета директоров, они обычно представляют собой базовые процедуры и требования. Компании могут принимать более строгие меры в отношении отчетности Совета директоров / Аудиторского комитета, например проводить более частые официальные заседания Аудиторского комитета, чем это требуется по закону.
Внешнее общение
Это относится к общению с акционерами, фондовым рынком, клиентами, регулирующими органами, поставщиками и другими организациями за пределами формальных границ компании. Годовой отчет - это пример внешней коммуникации о деятельности компании, финансовой отчетности, видении, целях и задачах.

Мониторинг

[нужна цитата ]

Текущая деятельность по мониторингу
Периодический анализ процессов и средств контроля с использованием соответствующих инструментов управленческой отчетности. Например, это может включать ежемесячный анализ срока погашения дебиторской задолженности для определения размера резервов, необходимых для сомнительных долгов.
Независимый механизм оценки
Использование внешних специалистов или профессионалов для проверки и оценки внутреннего контроля. Например, это может включать использование внешних налоговых специалистов для проверки средств контроля налоговых позиций, разработанных внутренней налоговой командой.
Отчетность по анализу отклонений
Сравнение фактической производительности с заранее установленными контрольными показателями и представление отчетов при правильном использовании может служить механизмом раннего предупреждения. Например, устойчивый рост оборачиваемости дебиторов может указывать на различные уровни проблем, связанных с взысканием.
Механизм исправления
Это относится к систематическому подходу к решению выявленных проблем внутреннего контроля. Хотя проблема может быть выявлена ​​с помощью внутреннего или внешнего механизма мониторинга, механизм исправления обычно находится в ведении руководства.
Триггеры управления, встроенные в ИТ-системы
Большинство корпоративных приложений настраивают бизнес-правила таким образом, чтобы предотвращать, требовать предварительного утверждения или предупреждать соответствующий управленческий персонал в случае несоблюдения определенных заранее установленных пороговых значений. Например, приложение для продаж может развернуть средство управления, предотвращающее транзакции продаж сверх указанного лимита кредита для клиента.

Важность

Элементы управления на уровне сущности имеют повсеместное влияние на всю организацию. Если они являются слабыми, неадекватными или отсутствуют, они могут привести к существенным недостаткам, связанным с аудитом внутреннего контроля, и к существенным искажениям в финансовой отчетности компании. Наличие существенных искажений может привести к получению отрицательного мнения о системе внутреннего контроля и мнения с оговоркой о финансовой отчетности. Существенные искажения обходятся дорого, и получение отрицательного или оговоренного мнения обычно приводит к падению стоимости акций публичной компании.

Преимущества

  • Снижение вероятности события негативного риска за счет создания и укрепления инфраструктуры, которая устанавливает сознание организации в отношении контроля.
  • Широкое покрытие рисков финансовой отчетности и операций. Для компаний, проводящих оценку внутреннего контроля, наличие эффективных средств контроля на уровне организации может способствовать более эффективной и действенной стратегии оценки.
  • Повышение эффективности других бизнес-процессов и операционных процессов
  • Армирование для всех заинтересованные стороны важности внутреннего контроля для успеха бизнеса
  • Лучшее понимание того, как уменьшаются выявленные риски, и перенаправление оценки и других ресурсов в области приоритетных рисков
  • Повышение результативности и действенности оценки рисков и контроля со стороны руководства.

Рекомендации

  1. ^ "Закон Сарбейнса-Оксли 2002 г." (PDF). Получено 2009-04-21.[постоянная мертвая ссылка ]
  2. ^ "SEC Описание PCAOB". Получено 2009-04-21.
  3. ^ «Стандарт аудита №5». Получено 2016-05-05.
  4. ^ «AU 314 / SAS 109» (PDF). Архивировано из оригинал (PDF) 3 декабря 2008 г.. Получено 2009-04-21.
  5. ^ «Интегрированная система внутреннего контроля COSO». Архивировано из оригинал на 2009-02-28. Получено 2009-04-21.

внешняя ссылка