Оценка рисков SOX 404 сверху вниз - SOX 404 top–down risk assessment
Эта статья нужны дополнительные цитаты для проверка.Май 2013) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Часть серия на |
Бухгалтерский учет |
---|
Аудиторская проверка |
Люди и организации
|
В финансовый аудит из публичные компании В Соединенных Штатах, Оценка рисков SOX 404 сверху вниз (TDRA) - финансовая оценка рисков выполняется в соответствии с разделом 404 Закон Сарбейнса-Оксли 2002 г. (SOX 404). Согласно SOX 404, руководство должно проверить внутреннего контроля; TDRA используется для определения объема такого тестирования. Он также используется внешним аудитором для вынесения официального заключения о системе внутреннего контроля компании. Однако в результате принятия Стандарта аудита № 5, который с тех пор одобрила SEC, от внешних аудиторов больше не требуется выражать мнение об оценке руководством собственных средств внутреннего контроля.
Подробное руководство по выполнению TDRA включено в Стандарт аудита № 5 PCAOB (Выпуск 2007-005 «Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности»)[1] и пояснительное руководство SEC (Версия 33-8810 / 34-55929) «Отчет руководства о внутреннем контроле за финансовой отчетностью».[2][3] Это руководство применимо для оценок 2007 г. для компаний с 31 декабря Отчетный год -концы. Релиз PCAOB заменил существующий Стандарт аудита № 2 PCAOB, в то время как руководство SEC является первым подробным руководством специально для руководства. PCAOB реорганизовал стандарты аудита по состоянию на 31 декабря 2017 года, при этом соответствующее руководство SOX теперь включено в AS2201: Аудит внутреннего контроля финансовой отчетности, интегрированный с аудитом финансовой отчетности.[4]
Председатель Комиссии по ценным бумагам и биржам при объявлении нового руководства использовал очень прямую формулировку: «Конгресс никогда не предполагал, что процесс 404 станет негибким, обременительным и расточительным. Цель раздела 404 - предоставить инвесторам содержательную информацию об эффективности системы внутреннего контроля компании, не создавая ненужного бремени соответствия и не тратя впустую акционер Ресурсы." [5] Основываясь на рекомендациях 2007 года, SEC и PCAOB направили значительное сокращение затрат, связанных с соблюдением требований SOX 404, сосредоточив усилия на областях с повышенным риском и сократив усилия в областях с более низким уровнем риска.
TDRA - это иерархическая структура, которая включает применение конкретных факторов риска для определения объема и доказательств, необходимых для оценки внутреннего контроля. Как руководство PCAOB, так и руководство SEC содержат аналогичные рамки. На каждом этапе используются качественные или количественные факторы риска, чтобы сфокусировать объем работ по оценке SOX404 и определить необходимые доказательства. Ключевые шаги включают:
- выявление важных элементов финансовой отчетности (счета или раскрытие информации)
- идентифицирующий материал финансовый отчет риски в этих счетах или раскрытиях
- определение того, какой средства управления на уровне организации устранит эти риски с достаточной точностью
- определение того, какой сделка -уровневый контроль устранит эти риски в отсутствие точных средств контроля на уровне организации
- определение характера, объема и сроков сбора доказательств для завершения оценки средств контроля
Руководство должно задокументировать, как оно интерпретировало и применяло свой TDRA, чтобы достичь объема протестированных средств контроля. Кроме того, достаточность требуемых доказательств (т. Е. Сроки, характер и объем контрольного тестирования) основывается на TDRA руководства (и аудитора). Таким образом, TDRA имеет значительные стоимость соблюдения последствия для SOX404.
Метод
Руководство основано на принципах, что обеспечивает значительную гибкость подхода TDRA. Есть два основных шага: 1) определение объема средств управления для включения в тестирование; и 2) определение характера, сроков и объема процедур тестирования, которые необходимо выполнить.
Определение объема
Ключевой принцип SEC, связанный с установлением объема средств контроля для тестирования, можно сформулировать следующим образом: «Сосредоточьтесь на средствах контроля, которые адекватно снижают риск существенного искажения». Это включает в себя следующие шаги:
Определить значимость и риск искажения элементов финансовой отчетности (счетов и раскрытия информации)
В соответствии с руководством PCAOB AS 5 аудитор должен определить, является ли учетная запись «значительной» или нет (т. Е. Да или нет) на основе ряда факторов риска, связанных с вероятностью ошибки в финансовой отчетности и ее величиной (долларовая стоимость ) учетной записи. Существенная отчетность и раскрытие информации подлежат оценке, поэтому руководство обычно включает эту информацию в свою документацию и обычно выполняет этот анализ для проверки аудитором. Эта документация может называться на практике «анализом значимых счетов». Счета с большим балансом обычно считаются значительными (т.е. попадающими в рамки) и требуют определенного типа тестирования.
Новым в соответствии с руководством Комиссии по ценным бумагам и биржам является концепция оценки каждой существенной учетной записи на предмет «риска искажения» (низкий, средний или высокий) на основании аналогичных факторов, используемых для определения значимости. Рейтинг риска искажения является ключевым фактором, используемым для определения характера, сроков и объема доказательств, которые необходимо получить. По мере увеличения риска ожидаемая достаточность доказательств тестирования, накопленных для средств контроля, связанных со значительными счетами, увеличивается (см. Раздел ниже, касающийся решений по тестированию и доказательствам).
И значимость, и риск искажения являются неотъемлемыми концепциями риска, что означает, что выводы относительно того, какие счета входят в сферу охвата, делаются до рассмотрения эффективности средств контроля.
Определите цели финансовой отчетности
Цели помогают установить контекст и границы, в которых происходит оценка риска. В COSO Интегрированная система внутреннего контроля, стандарт внутренний контроль широко используется для соблюдения требований SOX и гласит: «Предварительным условием оценки риска является постановка целей ...» и «Оценка риска - это идентификация и анализ соответствующих рисков для достижения целей». В руководстве SOX указывается несколько иерархических уровней, на которых может происходить оценка риска, таких как организация, учетная запись, утверждение, процесс и класс транзакции. Цели, риски и средства контроля могут быть проанализированы на каждом из этих уровней. Концепция оценки риска сверху вниз означает рассмотрение в первую очередь более высоких уровней структуры, чтобы отфильтровать из рассмотрения как можно большую часть деятельности по оценке более низкого уровня.
Существует множество подходов к оценке рисков сверху вниз. Руководство может явно задокументировать цели контроля или использовать тексты и другие ссылки для обеспечения полноты их заявления о рисках и заявления о контроле. Есть два основных уровня, на которых определяются цели (а также средства контроля): уровень сущности и утверждение уровень.
Пример уровень сущности Цель контроля: «Сотрудники осведомлены о Кодексе поведения Компании». Концепция COSO 1992/1994 определяет каждый из пяти компонентов внутреннего контроля (т.е. контрольную среду, оценку рисков, информацию и коммуникацию, мониторинг и контрольную деятельность). Предложения по оценке включены в конце основных глав COSO и в том «Инструменты оценки»; их можно преобразовать в объективные утверждения.
Пример уровень утверждения Цель контроля: «Выручка признается только после выполнения обязанности к исполнению». Списки целей контроля на уровне утверждений доступны в большинстве учебников по финансовому аудиту. Отличные примеры также доступны в Положении о стандартах аудита № 110 AICPA (SAS 110). [6] для процесса инвентаризации. SAS 106 включает последнее руководство по утверждениям финансовой отчетности.[7]
Цели управления могут быть организованы в рамках процессов, чтобы помочь организовать подход к документации, владению и TDRA. Типичные финансовые процессы включают расходы и кредиторскую задолженность (от покупки к оплате), фонд заработной платы, выручку и дебиторскую задолженность (от заказа до получения наличных), капитальные активы и т. Д. Именно так большинство учебников по аудиту ставят задачи контроля. Процессы также могут быть ранжированы по степени риска.
COSO выпустил пересмотренное руководство в 2013 году, вступающее в силу для компаний, у которых даты окончания года после 15 декабря 2014 года. По сути, это требует, чтобы в контрольных заявлениях упоминались 17 «принципов» под пятью «компонентами» COSO. Существует около 80 «точек фокуса», которые могут быть оценены конкретно с точки зрения средств контроля компании, чтобы сформировать вывод о 17 принципах (т.е. каждый принцип имеет несколько важных точек фокуса). Большинство принципов и точек внимания относятся к средствам контроля на уровне организации. По состоянию на июнь 2013 г. подходы, используемые на практике, находились на начальной стадии разработки.[8] Один из подходов заключался бы в добавлении принципов и точек внимания в качестве критериев в базу данных и ссылки на каждый из соответствующих элементов управления, которые их касаются.
Выявить существенные риски для достижения целей
Одно определение риска - это все, что может помешать достижению цели. Заявление о риске - это выражение «что может пойти не так». Согласно руководству 2007 года (т.е. руководству по толкованию SEC и PCAOB AS5) те риски, которые по своей природе имеют «разумно возможную» вероятность возникновения существенной ошибки в балансе счета или раскрытии информации, являются рисками существенного искажения («MMR»). Обратите внимание, что это небольшая поправка к терминологии «более чем удаленной» вероятности PCAOB AS2, предназначенная для ограничения объема меньшим количеством более критических материальных рисков и связанных с ними средств контроля.
Пример заявления о риске, соответствующего вышеуказанной цели контроля уровня утверждений, может быть таким: «Риск признания выручки перед доставка продуктов и услуг ». Обратите внимание, что это очень похоже на цель контроля, только указано отрицательно.
Руководство составляет список MMR, связанный с конкретными учетными записями и / или целями контроля, описанными выше. MMR можно определить, задав вопрос: «Что может пойти не так, связанное с учетной записью, утверждением или целью?» MMR может возникать в рамках функции бухгалтерского учета (например, в отношении оценок, суждений и политических решений) или во внутренней и внешней среде (например, корпоративные отделы, которые передают в бухгалтерию информацию, экономические и фондовые показатели и т. Д.). Интерфейсы связи, изменения (люди, процесс или системы), уязвимость к мошенничеству, игнорирование руководством средств контроля, структура стимулов, сложные транзакции, а также степень суждения или вмешательства человека, задействованного в обработке, - это другие темы высокого риска.
В целом, руководство рассматривает такие вопросы, как: Что действительно сложно сделать правильно? Какие проблемы с бухгалтерским учетом у нас были в прошлом? Что изменилось? Кто может быть способен или мотивирован к совершению мошенничества или подделки финансовой отчетности? Поскольку исторически высокий процент финансовых махинаций связан с завышением доходов, такие счета обычно заслуживают дополнительного внимания. Заявление AICPA о стандартах аудита № 109 (SAS 109)[9] также предоставляет полезные рекомендации по оценке финансовых рисков.
Согласно руководству 2007 года, компании обязаны проводить оценку риска мошенничества и соответствующие меры контроля. Обычно это включает определение сценариев, при которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня.[10] Риск того, что высшее руководство может игнорировать важные меры финансового контроля для манипулирования финансовой отчетностью, также является ключевым направлением при оценке риска мошенничества.[11]
На практике многие компании при описании MMR объединяют заявление о цели и риске. Эти заявления о MMR служат целью, позволяя сосредоточить усилия на выявлении смягчающий контроль.
Определите средства контроля, направленные на устранение рисков существенного искажения (MMR)
Для каждого MMR руководство определяет, какой контроль (или средства контроля) направлен на устранение риска «в достаточной степени» и «точно» (PCAOB AS # 5) или «эффективно» (Руководство SEC) в достаточной степени, чтобы уменьшить его. Слово «смягчить» в этом контексте означает, что контроль (или средства контроля) снижает вероятность существенной ошибки, представленной MMR, до «отдаленной» вероятности. Такой уровень уверенности требуется, потому что необходимо раскрыть существенный недостаток, если существует «разумно возможная» или «вероятная» возможность существенного искажения значительного счета. Несмотря на то, что риск может нести множественные меры контроля, в оценку включаются только те, которые направлены на его устранение, как определено выше. На практике они называются «входящими в объем» или «ключевыми» элементами управления, которые требуют тестирования.
Руководство SEC определяет вероятностные термины следующим образом в соответствии с FAS5 Учет условных обязательств:
- «Вероятно: вероятное событие или события в будущем».
- «Разумно возможно: вероятность будущего события или событий более чем мала, но менее чем вероятно».
- «Удаленно: вероятность того, что событие или события в будущем произойдут, невелика».[12]
Суждение, как правило, является лучшим руководством для выбора наиболее важных средств контроля относительно конкретного риска для тестирования. PCAOB AS5 представляет трехуровневую структуру, описывающую средства управления на уровне объекта с разной степенью точности (прямое, отслеживающее и косвенное). На практике точность контроля по типу контроля, в порядке от наиболее точного до наименьшего, может интерпретироваться в качестве:
- Специфическая для транзакции (на уровне транзакции) - авторизация или проверка (или превентивный контроль системы), относящаяся к конкретным, отдельным транзакциям;
- Сводка транзакции (на уровне транзакции) - просмотр отчетов, в которых перечислены отдельные транзакции;
- Отчетность на конец периода (на уровне учетной записи) - обзор записей в журнале, сверка счетов или подробный анализ счетов (например, расходы на коммунальные услуги в каждом магазине);
- Контроль со стороны руководства (непосредственный уровень организации) - анализ колебаний счетов отчета о прибылях и убытках на различных уровнях агрегирования или пакет ежемесячной отчетности, содержащий обобщенную финансовую и операционную информацию;
- Мониторинг средств контроля (на уровне контролирующего органа) - самооценка и анализ внутреннего аудита для проверки разработки и эффективности средств контроля; и
- Косвенный (косвенный уровень организации) - средства контроля, не связанные с конкретными операциями, например, среда контроля (например, тон, задаваемый руководством и практикой найма).
Становится все труднее утверждать, что полагаться на средства контроля разумно для достижения целей на уровне утверждений, по мере продвижения по этому континууму от наиболее точного к наименьшему и по мере увеличения риска. Комбинация средств контроля типов 3-6, описанных выше, может помочь уменьшить количество средств контроля типов 1 и 2 (на уровне транзакций), которые требуют оценки конкретных рисков, особенно в процессах с низким уровнем риска и интенсивностью транзакций.
В соответствии с рекомендациями 2007 года представляется приемлемым значительно больше полагаться на средства контроля на конец периода (т. Е. Проверку журнальных проводок и выверку счетов) и средства контроля над обзором со стороны руководства, чем в прошлом, эффективно устраняя многие существенные риски искажения и позволяя либо : a) исключение значительного количества средств контроля транзакций из объема тестирования предыдущего года; или б) уменьшение количества полученных связанных доказательств. Количество средств контроля на уровне транзакций может быть значительно сокращено, особенно для счетов с низким уровнем риска.
Соображения по поводу тестирования и принятия решений о доказательствах
Ключевой принцип Комиссии по ценным бумагам и биржам в отношении решений о доказательствах можно резюмировать следующим образом: «Согласуйте характер, сроки и объем процедур оценки в тех областях, которые представляют наибольшие риски для достоверной финансовой отчетности». Комиссия по ценным бумагам и биржам указала, что достаточность доказательств, необходимых для подтверждения оценки конкретного MMR, должна основываться на двух факторах: а) риск искажения финансовых элементов («риск искажения») и б) риск неудачи контроля. Эти две концепции вместе (риски, связанные с учетной записью или раскрытием информации и риски, связанные с контролем), называются «риск внутреннего контроля над финансовой отчетностью» или риск «ICFR». Схема была включена в руководство (показанное в этом разделе), чтобы проиллюстрировать эту концепцию; это единственная такая диаграмма, которая указывает на то, какое внимание уделяет ей SEC. Риск ICFR должен быть связан с включенными в объем работ средствами контроля, указанными выше, и может быть частью этого анализа. Это включает в себя следующие шаги:
Руководство присвоило рейтинг риска искажения (высокий, средний или низкий) для каждого значительного счета и раскрытия информации в рамках вышеуказанной аналитической оценки. Оценка низкого, среднего или высокого ранга также должна быть связана с заявлениями о рисках и контрольными заявлениями, относящимися к счету. Один из способов добиться этого - включить ранжирование в заявление о рисках и контрольную документацию компании. Многие компании используют для этой цели базы данных, создавая поля данных в своей документации по рискам и контролю для сбора этой информации.
Оцените каждый ключевой элемент управления на предмет «риска отказа управления (CFR)» и «риска ICFR».
CFR применяется на уровне индивидуального контроля на основе факторов в руководстве, связанных со сложностью обработки, ручным или автоматическим характером контроля, задействованным суждением и т. Д. Руководство принципиально задает вопрос: «Насколько сложно выполнить этот контроль правильно каждый раз? "
После определения риска искажения учетной записи и CFR руководство может сделать вывод о риске ICFR (низкий, средний или высокий) для контроля. ICFR - это ключевая концепция риска, используемая при принятии решений о доказательствах.
Рейтинг ICFR фиксируется для каждого контрольного утверждения. У крупных компаний обычно есть сотни значительных счетов, заявлений о рисках и контрольных отчетов. Они связаны отношениями «многие ко многим», то есть риски могут применяться к нескольким учетным записям, а средства контроля могут применяться к нескольким рискам.
Учитывайте влияние риска на сроки, характер и объем тестирования.
Руководство обеспечивает гибкость в отношении сроков, характера и объема доказательств, основанных на взаимодействии риска искажения и риска нарушения контроля (вместе, риск ICFR). Эти два фактора следует использовать для обновления «Руководства по выборке и доказательствам», используемого большинством компаний. По мере увеличения этих двух факторов риска увеличивается достаточность доказательств, необходимых для решения каждой MMR.
Руководство обладает значительной гибкостью в отношении следующих соображений тестирования и доказательств в контексте риска ICFR, связанного с данным контролем:
- Объем (размер выборки): размер выборки увеличивается пропорционально риску ICFR.
- Характер доказательств: запрос, наблюдение, проверка и повторное представление - это четыре типа доказательств, перечисленных в порядке достаточности. Доказательства, не требующие расследования, как правило, проверка документов, требуются для проверки эффективности управления. Доказательства повторного исполнения ожидаются для средств контроля наивысшего риска, например, в процессе отчетности на конец периода.
- Характер контроля (ручной или автоматический): для полностью автоматизированных средств контроля либо размер выборки, равный единице, либо «сравнительный анализ». стратегия тестирования может быть использовано. Если общие средства ИТ-контроля, связанные с управлением изменениями, эффективны и полностью автоматизированный контроль был протестирован в прошлом, ежегодное тестирование не требуется. Контрольный показатель необходимо периодически устанавливать.
- Требуемый объем тестирования с повтором транзакций: по мере увеличения риска все более возрастает вероятность необходимости тестирования с повторением транзакций, чтобы продлить эффект промежуточного тестирования до конца года. Предполагается, что элементы управления с меньшим риском не требуют тестирования с повтором транзакций.
Общие факторы, которые также влияют на приведенные выше соображения относительно доказательств, включают:
- Общая сила средств контроля на уровне организации, особенно контрольная среда: сильные средства контроля на уровне организации действуют как повсеместный «противовес» рискам по всем направлениям, уменьшая достаточность доказательств, необходимых в областях с низким уровнем риска, и поддерживая дух новое руководство с точки зрения сокращения общих усилий.
- Совокупные знания из предыдущих оценок в отношении конкретных средств контроля: если определенные процессы и средства контроля имеют опыт эффективной работы, объем доказательств, необходимых в областях с низким уровнем риска, может быть уменьшен.
Учитывайте риск, объективность и компетентность при принятии решений о тестировании.
Руководство имеет значительное усмотрение в том, кто проводит его тестирование. Руководство SEC указывает, что объективность лица, тестирующего данный элемент управления, должна возрастать пропорционально риску ICFR, связанному с этим элементом управления. Следовательно, такие методы, как самооценка, подходят для областей с низким уровнем риска, в то время как внутренние аудиторы (или эквивалент), как правило, следует проверять области повышенного риска. Промежуточным методом на практике является «обеспечение качества», когда менеджер A проверяет работу менеджера B, и наоборот.
Возможность внешних аудиторов полагаться на тестирование руководства следует аналогичной логике. Доверие пропорционально компетентности и объективности руководителя, завершившего тестирование, в том числе в контексте риска. Для областей с наивысшим риском, таких как контрольная среда и процесс отчетности на конец периода, внутренние аудиторы или группы соответствия, вероятно, являются лучшим выбором для проведения тестирования, если ожидается значительная степень доверия со стороны внешнего аудитора. Способность внешнего аудитора полагаться на оценку руководства является основным фактором затрат при соблюдении нормативных требований.
Стратегии эффективной оценки SOX 404
Существует множество конкретных возможностей сделать оценку SOX 404 максимально эффективной.[13][14] Некоторые из них носят более долгосрочный характер (например, централизация и автоматизация обработки), в то время как другие могут быть легко реализованы. Частое взаимодействие между руководством и внешним аудитором имеет важное значение для определения того, какие стратегии повышения эффективности будут эффективны в конкретных обстоятельствах каждой компании и насколько целесообразно сокращение объема контроля.
Централизация и автоматизация
Централизация: использование общей модели обслуживания в ключевых областях риска позволяет рассматривать несколько местоположений как одно в целях тестирования. Модели общих услуг обычно используются для процессов расчета заработной платы и кредиторской задолженности, но могут применяться ко многим типам обработки транзакций. Согласно недавнему исследованию Finance Executives International, децентрализованные компании имеют значительно более высокие затраты на соблюдение требований SOX, чем централизованные компании.[15]
Автоматизация и тестирование: ключевые полностью автоматизированные элементы управления ИТ-приложениями предъявляют минимальные требования к размеру выборки (обычно один, а не 30 для ручных элементов управления) и, возможно, вообще не нужно тестировать напрямую в рамках концепции сравнительного анализа. Бенчмаркинг (см. Приложение B к руководству PCAOB) позволяет исключить полностью автоматизированные средства управления ИТ-приложениями из тестирования, если определенные средства управления изменениями ИТ являются эффективными. Например, многие компании в значительной степени полагаются на ручной интерфейс между системами с электронными таблицами, созданными для загрузки и выгрузки записей ручного журнала. Некоторые компании обрабатывают тысячи таких записей каждый месяц. За счет автоматизации ручных записей в журнале можно значительно снизить затраты на рабочую силу и оценку SOX. Кроме того, повышается надежность финансовой отчетности.
Общий подход к оценке
Изучите подход к тестированию и документацию: многие компании или внешние аудиторские фирмы по ошибке пытались наложить общие рамки на уникальные процессы на уровне транзакций или в разных местах. Например, большинство элементов COSO Framework представляют собой косвенные средства контроля на уровне объекта, которые следует тестировать отдельно от транзакционных процессов. Кроме того, средства управления безопасностью ИТ (подмножество ITGC) и средства управления общими службами могут быть помещены в отдельную документацию по процессу, что позволяет более эффективно распределять ответственность за тестирование и устранять избыточность в разных местах. Тестирование основных журнальных записей и согласований счетов как отдельных усилий позволяет повысить эффективность и сосредоточить внимание на этих важнейших элементах управления.
Положитесь на прямые средства контроля на уровне организации: в руководстве подчеркивается, какие прямые средства контроля на уровне организации, в частности, процесс на конец периода и определенные средства контроля, являются достаточно точными, чтобы исключить средства контроля на уровне утверждений (транзакционные) из области действия. Ключевым моментом является определение того, какая комбинация элементов управления на уровне сущности и на уровне утверждения относится к конкретному MMR.
Сведите к минимуму повторное тестирование: руководство имеет больше гибкости в соответствии с новым руководством, чтобы продлить дату вступления в силу тестирования, проводимого в середине («промежуточные») периоды, до даты окончания года. Только средства контроля с более высоким риском, вероятно, потребуют тестирования с откатом в соответствии с новым руководством. PCAOB AS5 указывает, что процедуры запроса относительно того, произошли ли изменения в процессе контроля между промежуточным периодом и периодом на конец года, во многих случаях могут быть достаточными для ограничения тестирования с повтором транзакций.
Пересмотрите объем оцененных местоположений или бизнес-единиц: это сложная область, требующая серьезного суждения и анализа. В руководстве 2007 г. основное внимание уделялось конкретному MMR, а не сумме долларов при определении объема и достаточности доказательств, которые должны быть получены в децентрализованных подразделениях. Интерпретация (распространенная в соответствии с руководством до 2007 г.) о том, что единица или группа единиц были существенными и, следовательно, большое количество средств контроля в нескольких процессах требует тестирования независимо от риска, была заменена. Если остатки на счетах отдельных единиц или групп аналогичных единиц составляют существенную часть сальдо консолидированного счета, руководство должно тщательно рассмотреть вопрос о том, может ли MMR существовать в конкретной единице. Затем следует провести тестирование, сосредоточенное только на элементах управления, связанных с MMR.Для ограничения тестирования, специфичного для транзакции, также следует учитывать средства контроля мониторинга, такие как подробные совещания по оценке производительности с надежными пакетами отчетов.
Подход к оценке ИТ
Фокус тестирование общего контроля ИТ (ITGC): ITGC нет включены в определение средств контроля на уровне организации в соответствии с руководством SEC или PCAOB. Следовательно, тестирование ITGC должно проводиться в той степени, в которой оно касается конкретного MMR. По своей природе ITGC позволяет руководству полагаться на полностью автоматизированные средства контроля приложений (т. Е. Те, которые работают без вмешательства человека) и средства контроля, зависящие от ИТ (т. Е. Те, которые включают анализ автоматически созданных отчетов). Целенаправленное тестирование ITGC необходимо для поддержки целей контроля или утверждений о том, что полностью автоматизированные средства контроля не были изменены без разрешения, и что созданная контрольная отчетность является точной и полной. Таким образом, ключевые направления деятельности ИТГК, которые могут оказаться критическими, включают: процедуры управления изменениями, применяемые к конкретным реализациям финансовой системы в течение периода; процедуры управления изменениями, достаточные для поддержки стратегии сравнительного анализа; и периодический мониторинг безопасности приложений, включая разделение обязанностей.
Руководство PCAOB после 2007 г.
PCAOB периодически выпускает «Предупреждения о практике аудита персонала» (SAPA), которые «выделяют новые, возникающие или иным образом заслуживающие внимания обстоятельства, которые могут повлиять на то, как аудиторы проводят аудит в соответствии с существующими требованиями стандартов ...» В соответствии с SAPA № 11 Соображения относительно аудита внутреннего контроля финансовой отчетности (24 октября 2013 г.) PCAOB обсудил важные вопросы аудиторской практики, касающиеся оценки ICFR. К ним, среди прочего, относятся:
- Сгенерированные системой отчеты («Информация, предоставленная организацией» или «IPE»): требования к аудиторам (и со стороны доверенного лица) получения дополнительных доказательств того, что полностью автоматизированные отчеты и ручные запросы, используемые в качестве входных данных для контроля, являются точными и полными.
- Средства контроля на уровне организации и средства управления проверкой со стороны руководства: иногда чрезмерно полагались на средства контроля на уровне предприятия и средства контроля анализа со стороны руководства (концептуально аналогичные средствам контроля на конец периода), которые были недостаточно точными, чтобы снизить риск существенного искажения до «удаленного» уровня . SAPA # 11 предоставляет дополнительные критерии для помощи в оценке точности.
- Критерии расследования: аудиторы не всегда получали достаточные доказательства того, что меры контроля были эффективными, если отмечались необычные отклонения, выходящие за установленные допуски. Например, руководство могло подписать контрольный отчет о том, что он был рассмотрен, но не предоставил никакой другой документации расследования, несмотря на некоторые необычные действия в отчете. В SAPA № 11 говорится: «Подтверждение того, что обзор подписан, само по себе мало или вовсе не свидетельствует об эффективности контроля».[16]
SAPA № 11 может привести к увеличению объема работы для управленческих групп, от которой аудиторы могут потребовать сохранить доказательства того, что эти отчеты и запросы были точными и полными. Кроме того, от руководства может потребоваться сохранить дополнительные доказательства расследования, если суммы в отчетах детективного контроля содержат транзакции или тенденции, выходящие за пределы заранее определенных диапазонов допуска.
Рекомендации
- ^ Стандарт аудита PCAOB № 5
- ^ Разъяснительное руководство SEC
- ^ Список рекомендаций SEC по SOX
- ^ PCAOB AS2201 Аудит внутреннего контроля финансовой отчетности, интегрированный с аудитом финансовой отчетности - 31 декабря 2017 г.
- ^ Пресс-релиз SEC 2007-101
- ^ Заявление AICPA о стандартах аудита № 110
- ^ Заявление AICPA о стандартах аудита № 106
- ^ COSO-J. Стивен МакНалли - Структура COSO 2013 и соответствие требованиям SOX
- ^ Заявление AICPA о стандартах аудита № 109
- ^ PWC - Элементы программы по борьбе с мошенничеством
- ^ Переопределение управления AICPA В архиве 2007-09-27 на Wayback Machine
- ^ FASB: Положение о стандартах финансового учета № 5 - март 1975 г.
- ^ Deloitte-Touche Lean and Balanced
- ^ E&Y Paper "Новый закон о балансировании 404"
- ^ Обзор FEI В архиве 2007-10-11 на Wayback Machine
- ^ Уведомление о практике аудита персонала PCAOB № 11 - 24 октября 2013 г.