Оценка рисков SOX 404 сверху вниз

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален. Найти источники:  «Оценка рисков сверху вниз SOX 404»  -  новости  · газеты  · книги  · научный сотрудник  · JSTOR ( май 2013 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

Часть серии по
Бухгалтерский учет
Историческая ценность Постоянная покупательная способность Управление Налог
Основные типы Аудит Бюджет Расходы Судебно-медицинская экспертиза Финансовый Фонд Правительственный Управление Социальное Налог
Ключевые идеи Отчетный период Начисление Постоянная покупательная способность Экономическая организация Справедливая стоимость Постоянный концерн Историческая ценность Принцип сопоставления Существенность Признание выручки Расчетная единица
Выбранные аккаунты Ресурсы Наличные Стоимость проданных товаров Амортизация  / Амортизация Беспристрастность Затраты Доброжелательность Пассивы Выгода Доход
Стандарты бухгалтерского учета Общепринятые принципы Общепринятые стандарты аудита Конвергенция Международные стандарты финансовой отчетности Международные стандарты аудита Принципы управленческого учета
Финансовые отчеты Годовой отчет Бухгалтерский баланс Денежный поток Беспристрастность Доход Обсуждение руководства Примечания к финансовой отчетности
Бухгалтерия Банковская сверка Дебет и кредит Двойная система входа ФИФО и ЛИФО Журнал Главная книга  / Главная книга T счета Пробный баланс
Аудиторская проверка Финансовый Внутренний Фирмы Отчет
Люди и организации Бухгалтеров Бухгалтерские организации Лука Пачоли
Разработка История Исследование Положительный учет Закон Сарбейнса – Оксли
v т е

В финансовом аудите из публичных компаний в Соединенных Штатах, SOX 404 сверху вниз оценки риска (TDRA) является финансовая оценка риска осуществляется в соответствии с разделом 404 Закона Сарбейнса-Оксли 2002 (SOX 404). Согласно SOX 404, руководство должно протестировать свой внутренний контроль ; TDRA используется для определения объема такого тестирования. Он также используется внешним аудитором для вынесения официального заключения о системе внутреннего контроля компании. Однако в результате принятия Стандарта аудита № 5, который с тех пор одобрила Комиссия по ценным бумагам и биржам, от внешних аудиторов больше не требуется выражать мнение об оценке руководством своего внутреннего контроля.

Подробное руководство по выполнению TDRA включено в Стандарт аудита № 5 PCAOB (Выпуск 2007-005 «Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности») ^[1] и пояснительное руководство SEC (Выпуск 33-8810 / 34-55929) «Отчет руководства о внутреннем контроле за финансовой отчетностью». ^{[2] [3]} Это руководство применимо для оценок 2007 года для компаний с окончанием 12/31 финансового года . Релиз PCAOB заменил существующий Стандарт аудита № 2 PCAOB, в то время как руководство SEC является первым подробным руководством специально для руководства. PCAOB реорганизовал стандарты аудита по состоянию на 31 декабря 2017 года, при этом соответствующее руководство SOX теперь включено в AS2201:Аудит внутреннего контроля финансовой отчетности, интегрированный с аудитом финансовой отчетности . ^[4]

Председатель Комиссии по ценным бумагам и биржам при объявлении нового руководства использовал очень прямую формулировку: «Конгресс никогда не предполагал, что процесс 404 станет негибким, обременительным и расточительным. Цель раздела 404 - предоставить инвесторам значимую информацию об эффективности системы внутреннего контроля компании, не создавая ненужного бремени соблюдения нормативных требований и не тратя впустую ресурсы акционеров ". ^{[5] В соответствии} с рекомендациями 2007 года SEC и PCAOB направили существенное сокращение затрат, связанных с соблюдением требований SOX 404, сосредоточив усилия на областях с повышенным риском и сократив усилия в областях с более низким уровнем риска.

TDRA - это иерархическая структура, которая включает применение конкретных факторов риска для определения объема и доказательств, необходимых для оценки внутреннего контроля. Как руководство PCAOB, так и руководство SEC содержат аналогичные структуры. На каждом этапе используются качественные или количественные факторы риска, чтобы сфокусировать объем работ по оценке SOX404 и определить требуемые доказательства. Ключевые шаги включают:

1. выявление важных элементов финансовой отчетности (счета или раскрытие информации)
2. выявление существенных рисков финансовой отчетности в рамках этих счетов или раскрытий
3. определение того, какие средства контроля на уровне организации позволят с достаточной точностью устранить эти риски
4. определение средств контроля на уровне транзакции, которые позволили бы устранить эти риски в отсутствие точных средств контроля на уровне организации
5. определение характера, объема и сроков сбора доказательств для завершения оценки средств контроля

Руководство должно задокументировать, как оно интерпретировало и применяло свой TDRA, чтобы достичь объема протестированных средств контроля. Кроме того, достаточность необходимых доказательств (т. Е. Сроки, характер и объем контрольного тестирования) зависит от TDRA руководства (и аудитора). Таким образом, TDRA имеет значительные финансовые последствия для соответствия требованиям SOX404.

Метод [ править ]

Руководство основано на принципах, что обеспечивает значительную гибкость подхода TDRA. Есть два основных шага: 1) определение объема средств управления, которые необходимо включить в тестирование; и 2) определение характера, сроков и объема процедур тестирования, которые необходимо выполнить.

Определение объема [ править ]

Ключевой принцип SEC, связанный с установлением объема средств контроля для тестирования, может быть сформулирован следующим образом: «Сосредоточьтесь на средствах контроля, которые адекватно устраняют риск существенного искажения». Это включает в себя следующие шаги:

Определение значимости и риска искажения элементов финансовой отчетности (счетов и раскрытия информации) [ править ]

В соответствии с рекомендациями PCAOB AS 5 аудитор должен определить, является ли учетная запись «значительной» или нет (т. Е. Да или нет), на основе ряда факторов риска, связанных с вероятностью ошибки в финансовой отчетности и ее величиной (долларовая стоимость ) учетной записи. Существенная отчетность и раскрытие информации подлежат оценке, поэтому руководство обычно включает эту информацию в свою документацию и обычно выполняет этот анализ для проверки аудитором. Эта документация на практике может называться «анализ значимых счетов». Счета с большим остатком обычно считаются значительными (т. Е. Попадающими в сферу охвата) и требуют определенного типа тестирования.

Новым в соответствии с руководством Комиссии по ценным бумагам и биржам является концепция оценки каждой существенной учетной записи на предмет «риска искажения» (низкий, средний или высокий) на основе аналогичных факторов, используемых для определения значимости. Рейтинг риска искажения является ключевым фактором, используемым для определения характера, сроков и объема доказательств, которые необходимо получить. По мере увеличения риска ожидаемая достаточность доказательств тестирования, накопленных для средств контроля, связанных со значительными счетами, увеличивается (см. Раздел ниже, касающийся решений по тестированию и доказательствам).

И значимость, и риск искажения являются неотъемлемыми концепциями риска, что означает, что выводы относительно того, какие счета входят в сферу охвата, делаются до рассмотрения эффективности средств контроля.

Определите цели финансовой отчетности [ править ]

Цели помогают установить контекст и границы, в которых происходит оценка риска. COSO внутреннего контроля-Integrated Framework, стандарт внутреннего контроляшироко используется для соблюдения требований SOX и гласит: «Предварительным условием оценки риска является постановка целей ...» и «Оценка риска - это идентификация и анализ соответствующих рисков для достижения целей». В руководстве SOX указано несколько иерархических уровней, на которых может происходить оценка риска, таких как организация, учетная запись, утверждение, процесс и класс транзакции. Цели, риски и средства контроля могут быть проанализированы на каждом из этих уровней. Концепция оценки рисков сверху вниз означает рассмотрение в первую очередь более высоких уровней структуры, чтобы отфильтровать из рассмотрения как можно большую часть деятельности по оценке более низкого уровня.

Существует множество подходов к оценке рисков сверху вниз. Руководство может явно задокументировать цели контроля или использовать тексты и другие ссылки для обеспечения полноты их заявления о рисках и заявления о контроле. Есть два основных уровня, на которых определяются цели (а также средства управления): уровень сущности и уровень утверждения .

Пример цели контроля на уровне организации : «Сотрудники осведомлены о Кодексе поведения компании». Концепция COSO 1992/1994 определяет каждый из пяти компонентов внутреннего контроля (т.е. контрольную среду, оценку рисков, информацию и коммуникацию, мониторинг и контрольную деятельность). Предложения по оценке включены в конце основных глав COSO и в том «Инструменты оценки»; их можно преобразовать в объективные утверждения.

Пример цели контроля на уровне утверждений : «Выручка признается только после выполнения обязанности к исполнению». Списки целей контроля на уровне утверждений доступны в большинстве учебников по финансовому аудиту. Прекрасные примеры также доступны в Положении о стандартах аудита № 110 (SAS 110) ^[6] AICPA для процесса инвентаризации. SAS 106 включает последнее руководство по утверждениям финансовой отчетности. ^[7]

Цели управления могут быть организованы в рамках процессов, чтобы помочь организовать подход к документации, владению и TDRA. Типичные финансовые процессы включают расходы и кредиторскую задолженность (от покупки к оплате), фонд заработной платы, выручку и дебиторскую задолженность (от заказа до получения наличных денег), основные средства и т. Д. Именно так большинство учебников по аудиту ставят цели контроля. Процессы также могут быть ранжированы по степени риска.

COSO выпустил пересмотренное руководство в 2013 году, вступающее в силу для компаний, у которых даты окончания года после 15 декабря 2014 года. Это, по сути, требует, чтобы в контрольных заявлениях были ссылки на 17 «принципов» под пятью «компонентами» COSO. Существует примерно 80 «точек фокуса», которые могут быть оценены специально с учетом средств контроля компании, чтобы сформировать вывод о 17 принципах (т. Е. У каждого принципа есть несколько важных точек фокуса). Большинство принципов и точек зрения относятся к средствам контроля на уровне организации. По состоянию на июнь 2013 г. подходы, используемые на практике, находились на начальной стадии разработки. ^[8] Один из подходов мог бы заключаться в добавлении принципов и точек внимания в качестве критериев в базу данных и ссылки на каждый из соответствующих элементов управления, которые их касаются.

Выявить существенные риски для достижения целей [ править ]

Одно определение риска - это все, что может помешать достижению цели. Заявление о риске - это выражение «что может пойти не так». Согласно руководству 2007 года (т.е. руководству по толкованию SEC и PCAOB AS5) те риски, которые по своей природе имеют «разумно возможную» вероятность возникновения существенной ошибки в балансе счета или раскрытии информации, являются рисками существенного искажения («MMR»). Обратите внимание, что это небольшая поправка к терминологии «более чем удаленного» правдоподобия PCAOB AS2, предназначенная для ограничения объема меньшим количеством более критических материальных рисков и связанных с ними средств контроля.

Примером заявления о риске, соответствующего указанной выше цели контроля уровня утверждений, может быть: «Риск признания выручки до поставки продуктов и услуг». Обратите внимание, что это очень похоже на контрольную цель, только указано отрицательно.

Руководство составляет список MMR, связанный с конкретными учетными записями и / или целями контроля, описанными выше. MMR можно определить, задав вопрос: «Что может пойти не так, связанное с учетной записью, утверждением или целью?» MMR может возникать в рамках функции бухгалтерского учета (например, в отношении оценок, суждений и политических решений) или во внутренней и внешней среде (например, корпоративные отделы, которые передают в бухгалтерию информацию, экономические и биржевые переменные и т. Д.) Коммуникационные интерфейсы, изменения (люди, процесс или системы), уязвимость к мошенничеству, игнорирование руководством средств контроля, структура стимулов, сложные транзакции, а также степень суждения или вмешательства человека, задействованного в обработке, - это другие темы высокого риска.

В целом, руководство рассматривает такие вопросы, как: Что действительно сложно сделать правильно? Какие бухгалтерские проблемы у нас были в прошлом? Что изменилось? Кто может быть способен или мотивирован к совершению мошенничества или подделки финансовой отчетности? Поскольку высокий процент финансовых махинаций исторически связан с завышением доходов, такие счета обычно заслуживают дополнительного внимания. Заявление AICPA о стандартах аудита № 109 (SAS 109) ^[9] также содержит полезные рекомендации по оценке финансовых рисков.

Согласно руководству 2007 года компании должны проводить оценку рисков мошенничества и оценивать соответствующие меры контроля. Обычно это включает в себя определение сценариев, в которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. ^[10] Риск того, что высшее руководство может игнорировать важные меры финансового контроля для манипулирования финансовой отчетностью, также является ключевой областью при оценке риска мошенничества. ^[11]

На практике многие компании при описании MMR объединяют заявление о цели и риске. Эти заявления MMR служат целью, фокусируя усилия на выявлении средств контроля .

Определите средства контроля, направленные на устранение рисков существенного искажения (MMR) [ править ]

Для каждого MMR руководство определяет, какой контроль (или средства контроля) направлен на устранение риска «в достаточной степени» и «точно» (PCAOB AS # 5) или «эффективно» (руководство SEC) в достаточной степени, чтобы уменьшить его. Слово «смягчить» в этом контексте означает, что контроль (или средства контроля) снижает вероятность существенной ошибки, представленной MMR, до «отдаленной» вероятности. Такой уровень уверенности требуется, потому что необходимо раскрыть существенный недостаток, если существует «разумно возможная» или «вероятная» возможность существенного искажения значительного счета. Несмотря на то, что риск может нести множественные меры контроля, в оценку включаются только те, которые направлены на его устранение, как определено выше. На практике их называют «входящими в объем» или «ключевыми» элементами управления, которые требуют тестирования.

Руководство SEC определяет вероятностные условия следующим образом в соответствии с FAS5 « Учет условных обязательств» :

1. «Вероятно: вероятное событие или события в будущем».
2. «Разумно возможно: вероятность того, что событие или события в будущем произойдут, более чем мала, но менее вероятна».
3. «Удаленный: вероятность того, что событие или события в будущем произойдут, невелика». ^[12]

Суждение, как правило, является лучшим руководством для выбора наиболее важных средств контроля, относящихся к определенному риску для тестирования. PCAOB AS5 представляет трехуровневую структуру, описывающую элементы управления на уровне объекта с разной степенью точности (прямой, мониторинг и косвенный). На практике точность управления по типу управления, в порядке от наиболее точного до наименьшего, может быть интерпретирована как:

1. Специфическая для транзакции (на уровне транзакции) - авторизация или проверка (или превентивный контроль системы), относящаяся к конкретным, индивидуальным транзакциям;
2. Сводка транзакции (на уровне транзакции) - просмотр отчетов, в которых перечислены отдельные транзакции;
3. Отчетность на конец периода (на уровне учетной записи) - просмотр записей журнала, выверка счетов или подробный анализ счетов (например, расходы на коммунальные услуги в каждом магазине);
4. Контроль со стороны руководства (непосредственный уровень организации) - анализ колебаний счетов отчета о прибылях и убытках на различных уровнях агрегирования или пакет ежемесячной отчетности, содержащий обобщенную финансовую и операционную информацию;
5. Мониторинг средств контроля (на уровне контролирующего органа) - самооценка и анализ внутреннего аудита для проверки разработки и эффективности средств контроля; и
6. Косвенный (косвенный уровень организации) - средства контроля, которые не связаны с конкретными операциями, например, среда контроля (например, тон, установленный руководством и практикой найма).

Становится все труднее утверждать, что полагаться на средства контроля разумно для достижения целей на уровне утверждений, по мере продвижения по этому континууму от наиболее точного к наименьшему и по мере увеличения риска. Комбинация средств контроля типов 3-6, описанных выше, может помочь уменьшить количество средств контроля типов 1 и 2 (на уровне транзакции), которые требуют оценки конкретных рисков, особенно в процессах с низким уровнем риска и интенсивностью транзакций.

В соответствии с руководством 2007 года представляется приемлемым значительно больше полагаться на средства контроля на конец периода (т. Е. На проверку журнальных проводок и сверку счетов) и средства контроля над обзором со стороны руководства, чем в прошлом, эффективно устраняя многие существенные риски искажения и позволяя либо : a) исключение значительного количества средств контроля транзакций из объема тестирования предыдущего года; или б) уменьшение количества полученных связанных доказательств. Количество средств контроля на уровне транзакций может быть значительно сокращено, особенно для счетов с низким уровнем риска.

Соображения по поводу тестирования и принятия решений о доказательствах [ править ]

Ключевой принцип Комиссии по ценным бумагам и биржам в отношении решений о доказательствах можно резюмировать следующим образом: «Согласуйте характер, время и объем процедур оценки в тех областях, которые представляют наибольшие риски для достоверной финансовой отчетности». Комиссия по ценным бумагам и биржам указала, что достаточность доказательств, необходимых для подтверждения оценки конкретного MMR, должна основываться на двух факторах: а) риск искажения финансовых элементов («риск искажения») и б) риск нарушения контроля. Эти две концепции вместе (риски, связанные с учетной записью или раскрытием информации и риски, связанные с контролем), называются «риск внутреннего контроля над финансовой отчетностью» или риск «ICFR». Схема была включена в руководство (показанное в этом разделе), чтобы проиллюстрировать эту концепцию; это единственная такая диаграмма, которая указывает на то, какое внимание уделяет ей Комиссия по ценным бумагам и биржам.Риск ICFR должен быть связан с указанными выше средствами контроля в объеме и может быть частью этого анализа. Это включает в себя следующие шаги:

Свяжите каждый ключевой элемент управления с «Риском искажения» соответствующей учетной записи или раскрытия информации [ править ]

Руководство присвоило рейтинг риска искажения (высокий, средний или низкий) для каждого значительного счета и раскрытия информации в рамках вышеуказанной аналитической оценки. Оценка низкого, среднего или высокого ранга также должна быть связана с заявлениями о рисках и контрольными заявлениями, относящимися к счету. Один из способов добиться этого - включить ранжирование в заявление о рисках и контрольную документацию компании. Многие компании используют для этой цели базы данных, создавая поля данных в своей документации по рискам и контролю для сбора этой информации.

Оцените каждый ключевой элемент управления на предмет «риска отказа управления (CFR)» и «риска ICFR» [ править ]

CFR применяется на уровне индивидуального контроля на основе факторов в руководстве, связанных со сложностью обработки, ручным или автоматическим характером контроля, задействованным суждением и т. Д. Руководство принципиально задает вопрос: «Насколько сложно выполнить этот контроль правильно каждый раз? "

После определения риска искажения информации и CFR руководство может сделать вывод о риске ICFR (низкий, средний или высокий) для контроля. ICFR - это ключевая концепция риска, используемая при принятии решений о доказательствах.

Рейтинг ICFR фиксируется для каждого контрольного утверждения. У более крупных компаний обычно есть сотни значительных счетов, заявлений о рисках и контрольных отчетов. Они связаны отношениями «многие ко многим», что означает, что риски могут применяться к нескольким учетным записям, а средства контроля могут применяться к нескольким рискам.

Учитывайте влияние риска на сроки, характер и объем тестирования [ править ]

Руководство обеспечивает гибкость в отношении сроков, характера и объема доказательств, основанных на взаимодействии риска искажения и риска отказа системы контроля (вместе, риск ICFR). Эти два фактора следует использовать для обновления «Руководства по выборке и доказательствам», используемого большинством компаний. По мере увеличения этих двух факторов риска увеличивается достаточность доказательств, необходимых для решения каждой MMR.

Руководство имеет значительную гибкость в отношении следующих соображений тестирования и доказательств в контексте риска ICFR, связанного с данным контролем:

• Объем (размер выборки): размер выборки увеличивается пропорционально риску ICFR.
• Характер доказательства: запрос, наблюдение, проверка и повторное представление - это четыре типа доказательств, перечисленных в порядке достаточности. Доказательства, не требующие расследования, как правило, проверка документов, требуются для проверки операционной эффективности средств контроля. Доказательства повторного исполнения ожидаются для средств контроля наивысшего риска, например, в процессе отчетности на конец периода.
• Характер контроля (ручной или автоматический): для полностью автоматизированного контроля может использоваться либо размер выборки, равный единице, либо стратегия «сравнительного анализа» . Если общие средства ИТ-контроля, связанные с управлением изменениями, эффективны и полностью автоматизированный контроль был протестирован в прошлом, ежегодное тестирование не требуется. Контрольный показатель необходимо периодически устанавливать.
• Требуемый объем тестирования с повтором транзакций: по мере увеличения риска все более возрастает вероятность необходимости тестирования с повторением транзакций, чтобы продлить эффект промежуточного тестирования до конца года. Предполагается, что элементы управления с меньшим риском не требуют тестирования с повтором транзакций.

Общие факторы, которые также влияют на приведенные выше соображения относительно доказательств, включают:

• Общая сила средств контроля на уровне организации, особенно контрольная среда: сильные средства контроля на уровне организации действуют как повсеместный «противовес» рискам по всем направлениям, уменьшая достаточность доказательств, требуемых в областях с низким уровнем риска, и поддерживая дух новое руководство с точки зрения сокращения общих усилий.
• Совокупные знания из предыдущих оценок в отношении конкретных средств контроля: если определенные процессы и средства контроля имеют опыт эффективной работы, объем доказательств, необходимых в областях с меньшим риском, может быть уменьшен.

Учитывайте риск, объективность и компетентность при принятии решений о тестировании [ править ]

У руководства есть значительная свобода усмотрения в том, кто проводит его тестирование. Руководство SEC указывает, что объективность человека, тестирующего данный элемент управления, должна возрастать пропорционально риску ICFR, связанному с этим элементом управления. Следовательно, такие методы, как самооценка, подходят для областей с низким уровнем риска, в то время как внутренние аудиторы (или аналогичные) обычно должны тестировать области с более высоким уровнем риска. Промежуточным методом на практике является «обеспечение качества», когда менеджер A проверяет работу менеджера B, и наоборот.

Возможность внешних аудиторов полагаться на тестирование руководства следует аналогичной логике. Доверие пропорционально компетентности и объективности руководителя, завершившего тестирование, также в контексте риска. Для областей с наивысшим риском, таких как контрольная среда и процесс отчетности на конец периода, внутренние аудиторы или группы соответствия, вероятно, являются лучшим выбором для проведения тестирования, если ожидается значительная степень доверия со стороны внешнего аудитора. Способность внешнего аудитора полагаться на оценку руководства является основным фактором затрат при соблюдении нормативных требований.

Стратегии эффективной оценки SOX 404 [ править ]

Существует множество конкретных возможностей сделать оценку SOX 404 максимально эффективной. ^{[13] [14]} Некоторые из них носят более долгосрочный характер (например, централизация и автоматизация обработки), в то время как другие могут быть легко реализованы. Частое взаимодействие между руководством и внешним аудитором имеет важное значение для определения того, какие стратегии эффективности будут эффективными в конкретных обстоятельствах каждой компании и насколько целесообразно сокращение объема контроля.

Централизация и автоматизация [ править ]

Централизация: использование общей модели обслуживания в ключевых областях риска позволяет рассматривать несколько местоположений как одно в целях тестирования. Модели общего обслуживания обычно используются для процессов расчета заработной платы и кредиторской задолженности, но могут применяться ко многим типам обработки транзакций. Согласно недавнему исследованию Finance Executives International, децентрализованные компании имеют значительно более высокие затраты на соблюдение требований SOX, чем централизованные компании. ^[15]

Автоматизация и эталонное тестирование: ключевые полностью автоматизированные элементы управления ИТ-приложениями предъявляют минимальные требования к размеру выборки (обычно один, в отличие от целых 30 для ручных элементов управления) и, возможно, вообще не нужно тестировать напрямую в рамках концепции сравнительного анализа. Бенчмаркинг (см. Приложение B к руководству PCAOB) позволяет исключить полностью автоматизированные средства управления ИТ-приложениями из тестирования, если определенные средства управления изменениями ИТ являются эффективными. Например, многие компании в значительной степени полагаются на ручной интерфейс между системами с электронными таблицами, созданными для загрузки и выгрузки записей ручного журнала. Некоторые компании обрабатывают тысячи таких записей каждый месяц. За счет автоматизации ручных записей в журнале можно значительно снизить затраты на рабочую силу и оценку SOX. Кроме того, повышается надежность финансовой отчетности.

Общий подход к оценке [ править ]

Изучите подход к тестированию и документацию: многие компании или внешние аудиторские фирмы по ошибке пытались наложить общие рамки на уникальные процессы на уровне транзакций или в разных местах. Например, большинство элементов COSO Framework представляют собой косвенные средства контроля на уровне сущности, которые следует тестировать отдельно от транзакционных процессов. Кроме того, средства управления безопасностью ИТ (подмножество ITGC) и средства управления общими услугами могут быть помещены в отдельную документацию по процессу, что позволяет более эффективно распределять ответственность за тестирование и устранять избыточность в разных местах. Тестирование основных журнальных записей и выверки счетов как отдельных усилий позволяет повысить эффективность и сосредоточить внимание на этих важнейших элементах управления.

Положитесь на прямые средства контроля на уровне организации: в руководстве подчеркивается, какие прямые средства контроля на уровне организации, в частности, процесс на конец периода и определенные средства контроля, являются достаточно точными, чтобы исключить средства контроля на уровне утверждений (транзакционные) из области действия. Ключ состоит в том, чтобы определить, какая комбинация элементов управления на уровне сущности и на уровне утверждения относится к конкретному MMR.

Сведите к минимуму повторное тестирование: руководство имеет больше гибкости в соответствии с новым руководством, чтобы продлить дату вступления в силу тестирования, выполняемого в течение среднегодовых («промежуточных») периодов, до даты окончания года. Только средства контроля с более высоким риском, вероятно, потребуют тестирования с откатом вперед в соответствии с новым руководством. PCAOB AS5 указывает, что процедуры запроса относительно того, произошли ли изменения в процессе контроля между промежуточным периодом и периодом на конец года, во многих случаях могут быть достаточными для ограничения тестирования с повторением транзакций.

Пересмотрите объем оцененных местоположений или бизнес-единиц: это сложная область, требующая серьезных суждений и анализа. В руководстве 2007 г. основное внимание уделялось конкретному MMR, а не долларовой величине при определении объема и достаточности доказательств, которые должны быть получены в децентрализованных подразделениях. Интерпретация (распространенная в соответствии с руководством до 2007 г.) о том, что единица или группа единиц были существенными и, следовательно, большое количество средств контроля в нескольких процессах требует тестирования независимо от риска, была заменена. Если остатки на счетах отдельных единиц или групп аналогичных единиц составляют существенную часть сальдо консолидированного счета, руководство должно тщательно рассмотреть, может ли MMR существовать в конкретной единице. Затем следует провести тестирование, сосредоточенное только на элементах управления, связанных с MMR. Контроль контроля,такие как подробные встречи по оценке производительности с надежными пакетами отчетов, также следует учитывать, чтобы ограничить тестирование для конкретных транзакций.

Подход к оценке ИТ [ править ]

Фокус тестирование общего контроля ИТ (ITGC): ITGC невключены в определение средств контроля на уровне организации в соответствии с руководством SEC или PCAOB. Следовательно, тестирование ITGC должно проводиться в той степени, в которой оно касается конкретного MMR. По своей природе ITGC позволяет руководству полагаться на полностью автоматизированные средства контроля приложений (т. Е. Те, которые работают без вмешательства человека) и средства контроля, зависящие от ИТ (т. Е. Те, которые включают анализ автоматически созданных отчетов). Целенаправленное тестирование ITGC предназначено для поддержки целей контроля или утверждений о том, что полностью автоматизированные средства контроля не были изменены без разрешения и что генерируемые контрольные отчеты являются точными и полными. Таким образом, ключевые направления деятельности ITGC, которые могут оказаться критическими, включают: процедуры управления изменениями, применяемые к конкретным реализациям финансовой системы в течение периода;процедуры управления изменениями, достаточные для поддержки стратегии сравнительного анализа; и периодический мониторинг безопасности приложений, включая разделение обязанностей.

Руководство PCAOB после 2007 г. [ править ]

PCAOB периодически выпускает «Предупреждения о практике аудита персонала» (SAPA), которые «выделяют новые, возникающие или иным образом заслуживающие внимания обстоятельства, которые могут повлиять на то, как аудиторы проводят аудит в соответствии с существующими требованиями стандартов ...» В соответствии с SAPA № 11 « Соображения по внутреннему аудиту» Контроль над финансовой отчетностью (24 октября 2013 г.) PCAOB обсудил важные вопросы аудиторской практики, касающиеся оценки ICFR. К ним, среди прочего, относятся:

• Сгенерированные системой отчеты («Информация, предоставленная субъектом» или «IPE»): требования к аудиторам (и со стороны доверенного лица) получения дополнительных доказательств того, что полностью автоматизированные отчеты и ручные запросы, используемые в качестве входных данных для контроля, являются точными и полными.
• Средства контроля на уровне организации и контрольные проверки со стороны руководства: иногда чрезмерно полагались на средства контроля на уровне предприятия и контрольные проверки со стороны руководства (концептуально аналогичные средствам контроля на конец периода), которые были недостаточно точными, чтобы снизить риск существенного искажения до «удаленного» уровня. . SAPA # 11 предоставляет дополнительные критерии для помощи в оценке точности.
• Критерии расследования. Аудиторы не всегда получали достаточные доказательства того, что меры контроля применялись руководством эффективно, если отмечались необычные отклонения, выходящие за пределы установленных допусков. Например, руководство могло подписать контрольный отчет о том, что он был рассмотрен, но не предоставил никакой другой документации расследования, несмотря на некоторые необычные действия в отчете. В SAPA № 11 говорится: «Подтверждение того, что обзор подписан, само по себе мало или совсем не свидетельствует об эффективности контроля». ^[16]

SAPA № 11 может привести к увеличению объема работы для управленческих групп, которая может потребоваться аудиторам для сохранения доказательств того, что эти отчеты и запросы были точными и полными. Кроме того, от руководства может потребоваться сохранить дополнительные доказательства расследования, если суммы в отчетах детективного контроля содержат транзакции или тенденции, выходящие за пределы заранее определенных диапазонов допуска.

Ссылки [ править ]