SOX 404 оценка риска сверху вниз

Эта статья нуждается в дополнительных ссылках для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неисходный материал может быть оспорен и удален. Найдите источники:  «Оценка риска SOX 404 сверху вниз»  —  новости  · газеты  · книги  · ученый  · JSTOR ( май 2013 г. ) ( узнайте, как и когда удалить это шаблонное сообщение )

Часть серии о
Бухгалтерский учет
Историческая ценность Постоянная покупательная способность Управление налог
Основные типы Аудит Бюджет Расходы судебный финансовый Фонд Правительственный Управление Социальное налог
Ключевые идеи Отчетный период Начисление Постоянная покупательная способность Экономическая организация Справедливая стоимость Непрерывное предприятие Историческая ценность Принцип сопоставления Существенность Признание доходов Расчетная единица
Выбранные аккаунты Ресурсы Денежные средства Стоимость проданных товаров Износ  / Амортизация Капитал Расходы Доброжелательность Обязательства Выгода Доход
Стандарты бухгалтерского учета Общепринятые принципы Общепринятые стандарты аудита Конвергенция стандарты международной финансовой отчетности Международные стандарты аудита Принципы управленческого учета
Финансовые отчеты Годовой отчет Бухгалтерский баланс Денежный поток Капитал Доход Обсуждение руководства Примечания к финансовой отчетности
Бухгалтерия Банковская сверка Дебеты и кредиты Двойная система входа ФИФО и ЛИФО Журнал Бухгалтерская книга  / Главная книга Т-счета Пробный баланс
Аудит финансовый Внутренний Фирмы Отчет
Люди и организации Бухгалтеры Бухгалтерские организации Лука Пачоли
Разработка История Исследовательская работа Положительный учет Закон Сарбейнса-Оксли
проступок творческий Управление доходами Ошибка аккаунта Голливуд Забалансовый Два комплекта книг
в т е

При финансовом аудите публичных компаний в США нисходящая оценка рисков SOX 404 (TDRA) представляет собой оценку финансовых рисков, проводимую в соответствии с разделом 404 Закона Сарбейнса-Оксли от 2002 г. (SOX 404). В соответствии с SOX 404 руководство должно протестировать свой внутренний контроль ; TDRA используется для определения объема такого тестирования. Он также используется внешним аудитором для вынесения официального заключения о системе внутреннего контроля компании. Однако в результате принятия Стандарта аудита № 5, который впоследствии был одобрен SEC, внешние аудиторы больше не обязаны давать заключение об оценке руководством своих собственных механизмов внутреннего контроля.

Подробное руководство по выполнению TDRA включено в Стандарт аудита PCAOB № 5 (выпуск 2007-005 «Аудит внутреннего контроля над финансовой отчетностью, интегрированный с аудитом финансовой отчетности») ^[1] и руководство по толкованию SEC (выпуск 33-8810/34-55929) «Отчет руководства о внутреннем контроле финансовой отчетности». ^{[2] [3]} Это руководство применимо для оценок за 2007 год для компаний, финансовый год которых заканчивается 12/31 . Версия PCAOB заменила собой существующий стандарт аудита PCAOB № 2, а руководство SEC является первым подробным руководством специально для руководства. PCAOB реорганизовал стандарты аудита по состоянию на 31 декабря 2017 г., при этом соответствующее руководство SOX теперь включено в AS2201:Аудит внутреннего контроля за финансовой отчетностью, интегрированный с аудитом финансовой отчетности . ^[4]

Язык, использованный председателем SEC при объявлении нового руководства, был очень прямым: «Конгресс никогда не предполагал, что процесс 404 должен стать негибким, обременительным и расточительным. Цель Раздела 404 — предоставить инвесторам значимое раскрытие информации об эффективности системы внутреннего контроля компании, не создавая ненужного бремени соблюдения требований и не растрачивая ресурсы акционеров ». ^[5] Основываясь на руководстве 2007 года, SEC и PCAOB направили значительное сокращение расходов, связанных с соблюдением SOX 404, сосредоточив усилия на областях с более высоким риском и сократив усилия на областях с более низким риском.

TDRA представляет собой иерархическую структуру, которая включает применение конкретных факторов риска для определения объема и доказательств, необходимых для оценки внутреннего контроля. И PCAOB, и руководство SEC содержат схожие принципы. На каждом этапе используются качественные или количественные факторы риска, чтобы сфокусировать объем усилий по оценке SOX404 и определить необходимые доказательства. Ключевые шаги включают в себя:

1. выявление существенных элементов финансовой отчетности (счета или раскрытие информации)
2. выявление существенных рисков финансовой отчетности в рамках этих счетов или раскрытий
3. определение того, какие средства контроля на уровне организации будут устранять эти риски с достаточной точностью
4. определение того, какие средства контроля на уровне транзакций будут устранять эти риски в отсутствие точных средств контроля на уровне организации
5. определение характера, объема и времени сбора доказательств для завершения оценки входящих в сферу контроля средств контроля

Руководство должно задокументировать, как оно интерпретировало и применяло свой TDRA, чтобы получить объем протестированных средств контроля. Кроме того, достаточность требуемых доказательств (т. е. сроки, характер и объем проверки средств контроля) основывается на TDRA руководства (и аудитора). Таким образом, TDRA имеет значительные финансовые последствия для соответствия SOX404.

Метод

Руководство основано на принципах, обеспечивающих значительную гибкость подхода TDRA. Существует два основных этапа: 1) определение объема средств контроля, которые необходимо включить в тестирование; и 2) определение характера, сроков и объема процедур тестирования, которые необходимо выполнить.

Определение объема

Ключевой принцип SEC, относящийся к установлению объема средств контроля для тестирования, можно сформулировать следующим образом: «Сосредоточьтесь на средствах контроля, которые адекватно устраняют риск существенного искажения». Это включает в себя следующие шаги:

Определить значимость и риск искажения элементов финансовой отчетности (счета и раскрытие информации)

В соответствии с руководством PCAOB AS 5 аудитор должен определить, является ли учетная запись «значительной» или нет (т. е. да или нет), на основе ряда факторов риска, связанных с вероятностью ошибки в финансовой отчетности и величиной (долларовая стоимость). ) счета. Существенные отчеты и раскрытия информации подлежат оценке, поэтому руководство обычно включает эту информацию в свою документацию и обычно выполняет этот анализ для проверки аудитором. Эта документация может называться на практике «анализом значимого счета». Счета с большими остатками обычно считаются значительными (т. е. входящими в сферу охвата) и требуют определенного типа тестирования.

Новым в руководстве SEC является концепция оценки каждой существенной учетной записи по «риску искажения» (низкий, средний или высокий) на основе аналогичных факторов, используемых для определения значимости. Ранжирование риска искажения является ключевым фактором, используемым для определения характера, сроков и объема доказательств, которые необходимо получить. По мере увеличения риска ожидаемая достаточность собранных доказательств тестирования для средств контроля, связанных со значительными счетами, увеличивается (см. Раздел ниже, касающийся решений о тестировании и доказательствах).

Как значимость, так и риск искажения являются понятиями неотъемлемого риска, а это означает, что выводы относительно того, какие счета входят в сферу применения, делаются до рассмотрения эффективности средств контроля.

Определение целей финансовой отчетности

Цели помогают установить контекст и границы, в которых происходит оценка риска. COSO Internal Control - Integrated Framework, стандарт внутреннего контроляшироко используемый для соответствия SOX, гласит: «Непременным условием оценки рисков является установление целей…» и «Оценка рисков представляет собой идентификацию и анализ соответствующих рисков для достижения целей». В руководстве SOX указано несколько иерархических уровней, на которых может происходить оценка рисков, таких как объект, учетная запись, утверждение, процесс и класс транзакции. Цели, риски и средства контроля могут быть проанализированы на каждом из этих уровней. Концепция нисходящей оценки риска означает рассмотрение в первую очередь более высоких уровней структуры, чтобы отфильтровать от рассмотрения как можно большую часть деятельности по оценке более низкого уровня.

Существует множество подходов к нисходящей оценке рисков. Руководство может явно задокументировать цели контроля или использовать тексты и другие ссылки, чтобы обеспечить полноту своего заявления о рисках и заявления о средствах контроля. Существует два основных уровня, на которых определяются цели (а также средства контроля): уровень объекта и уровень утверждений .

Примером цели контроля на уровне организации является: «Сотрудники осведомлены о Кодексе поведения компании». Структура COSO 1992–1994 определяет каждый из пяти компонентов внутреннего контроля (т. е. контрольная среда, оценка рисков, информация и коммуникация, мониторинг и деятельность по контролю). Предложения по оценке включены в конце основных глав COSO и в том «Инструменты оценки»; они могут быть преобразованы в объективные утверждения.

Примером цели контроля на уровне утверждений является «Выручка признается только после выполнения обязанности к исполнению». Списки целей контроля на уровне утверждений доступны в большинстве учебников по финансовому аудиту. Отличные примеры также доступны в Заявлении AICPA о стандартах аудита № 110 (SAS 110) ^[6] для процесса инвентаризации. SAS 106 включает последние рекомендации по утверждениям финансовой отчетности. ^[7]

Цели контроля могут быть организованы в рамках процессов, чтобы помочь организовать документацию, право собственности и подход TDRA. Типичные финансовые процессы включают расходы и кредиторскую задолженность (от покупки до оплаты), фонд заработной платы, выручку и дебиторскую задолженность (от заказа до инкассации), капитальные активы и т. д. Именно так в большинстве учебников по аудиту организованы цели контроля. Процессы также могут быть ранжированы по степени риска.

В 2013 году COSO выпустила пересмотренное руководство, вступившее в силу для компаний с датами окончания года после 15 декабря 2014 года. По сути, это требует, чтобы в отчетах о контроле были ссылки на 17 «принципов» под пятью «компонентами» COSO. Существует примерно 80 «основных моментов», которые можно оценить конкретно по отношению к средствам контроля компании, чтобы сформировать вывод о 17 принципах (т. е. каждый принцип имеет несколько важных фокусных пунктов). Большинство принципов и основных моментов относятся к средствам контроля на уровне организации. По состоянию на июнь 2013 г. используемые на практике подходы находились на ранних стадиях разработки. ^[8] Один из подходов может состоять в том, чтобы добавить принципы и точки фокуса в качестве критериев в базу данных и сослаться на каждый из соответствующих элементов управления, которые касаются их.

Выявление существенных рисков для достижения целей

Одним из определений риска является все, что может помешать достижению цели. Заявление о риске — это выражение того, «что может пойти не так». В соответствии с руководством 2007 г. (т. е. интерпретирующим руководством SEC и PCAOB AS5) те риски, которые по своей сути имеют «обоснованно возможную» вероятность возникновения существенной ошибки в остатке на счете или раскрытии информации, являются рисками существенного искажения («MMR»). Обратите внимание, что это небольшая поправка к формулировке PCAOB AS2 «более чем отдаленная» вероятность, предназначенная для ограничения области применения меньшим количеством более критических материальных рисков и связанных с ними средств контроля.

Примером заявления о риске, соответствующего вышеуказанной цели управления на уровне предпосылок, может быть: «Риск того, что выручка будет признана до поставки продуктов и услуг». Обратите внимание, что это читается очень похоже на контрольную цель, только указано отрицательно.

Руководство составляет список MMR, связанный с конкретными учетными записями и/или целями контроля, разработанными выше. MMR можно определить, задав вопрос: «Что может пойти не так в отношении учетной записи, утверждения или цели?» MMR может возникать в рамках функции бухгалтерского учета (например, в отношении оценок, суждений и политических решений) или во внутренней и внешней среде (например, корпоративные отделы, которые предоставляют бухгалтерскому отделу информацию, экономические переменные и переменные фондового рынка и т. д.) Интерфейсы связи, изменения (люди, процессы или системы), уязвимость к мошенничеству, обход контроля со стороны руководства, структура стимулов, сложные транзакции и степень суждения или человеческого вмешательства, связанного с обработкой, являются другими темами с высоким риском.

В целом руководство рассматривает такие вопросы, как: Что действительно сложно сделать правильно? Какие проблемы с бухгалтерским учетом у нас были в прошлом? Что изменилось? Кто может быть способен или мотивирован для совершения мошенничества или мошеннической финансовой отчетности? Поскольку исторически высокий процент финансовых махинаций был связан с завышением доходов, такие отчеты обычно заслуживают дополнительного внимания. Заявление AICPA о стандартах аудита № 109 (SAS 109) ^[9] также содержит полезные рекомендации в отношении оценки финансовых рисков.

В соответствии с руководством 2007 года компании должны проводить оценку рисков мошенничества и соответствующие меры контроля. Обычно это включает в себя выявление сценариев, при которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля позволяют снизить риск до приемлемого уровня. ^[10] Риск того, что высшее руководство может обойти важные финансовые меры контроля для манипулирования финансовой отчетностью, также является ключевым направлением в оценке риска мошенничества. ^[11]

На практике многие компании объединяют заявления о целях и рисках при описании MMR. Эти заявления MMR служат целью, сосредоточив усилия на выявлении смягчающих средств контроля .

Определите средства контроля, которые устраняют риски существенного искажения (MMR)

Для каждого MMR руководство определяет, какие средства контроля (или средства контроля) устраняют риск «достаточно» и «точно» (PCAOB AS № 5) или «эффективно» (Руководство SEC) в достаточной степени для его снижения. Слово «смягчить» в этом контексте означает, что контроль (или контроль) снижает вероятность существенной ошибки, представленной MMR, до «отдалённой» вероятности. Этот уровень уверенности требуется, потому что существенные недостатки должны быть раскрыты, если существует «обоснованно возможная» или «вероятная» возможность существенного искажения существенного счета. Несмотря на то, что риск может быть связан с несколькими средствами контроля, в оценку включаются только те из них, которые относятся к нему, как определено выше. На практике они называются «входящими в область применения» или «ключевыми» средствами контроля, требующими тестирования.

Руководство SEC определяет термины вероятности следующим образом в соответствии с FAS5 « Учет условных обязательств » :

1. «Вероятно: Будущее событие или события, вероятно, произойдут».
2. «Разумно возможно: вероятность того, что будущее событие или события произойдут, более чем маловероятна, но менее чем вероятна».
3. «Удаленно: вероятность того, что событие или события в будущем произойдут, невелика». ^[12]

Суждение, как правило, является лучшим руководством для выбора наиболее важных средств контроля относительно конкретного риска для тестирования. PCAOB AS5 вводит трехуровневую структуру, описывающую элементы управления на уровне объекта с различными уровнями точности (прямой, контрольный и косвенный). в виде:

1. Конкретная транзакция (уровень транзакции) — авторизация или проверка (или превентивные системные средства контроля), связанные с конкретными отдельными транзакциями;
2. Сводка транзакций (уровень транзакций) — просмотр отчетов с перечислением отдельных транзакций;
3. Отчетность на конец периода (уровень учетной записи) — просмотр записей в журнале, сверка счетов или подробный анализ учетной записи (например, расходы на коммунальные услуги для каждого магазина);
4. Контроль со стороны руководства (непосредственный уровень организации) – анализ колебаний в отчетах о прибылях и убытках на различных уровнях агрегирования или пакет ежемесячных отчетов, содержащий сводную финансовую и операционную информацию;
5. Мониторинг средств контроля (уровень объекта мониторинга) — самооценка и внутренний аудит для проверки того, что средства контроля разработаны и внедрены эффективно; и
6. Косвенный (непрямой уровень организации) — средства контроля, которые не связаны с конкретными транзакциями, такими как контрольная среда (например, тон, заданный руководством и практикой найма).

Становится все труднее утверждать, что опора на средства контроля является разумной для достижения целей на уровне утверждений, поскольку человек движется по этому континууму от наиболее точного к наименее и по мере увеличения риска. Комбинация средств контроля типов 3–6, описанных выше, может помочь сократить количество средств контроля типов 1 и 2 (на уровне транзакций), которые требуют оценки конкретных рисков, особенно в процессах с низким уровнем риска и интенсивных транзакций.

В соответствии с рекомендациями 2007 г. представляется приемлемым значительно больше полагаться на средства контроля на конец периода (т. е. проверку бухгалтерских проводок и сверку счетов) и средства контроля проверки руководством, чем в прошлом, эффективно устраняя многие существенные риски искажения и позволяя: а) устранение значительного числа транзакционных средств контроля из объема тестирования предыдущего года; или b) сокращение полученных соответствующих доказательств. Количество средств контроля на уровне транзакций может быть значительно уменьшено, особенно для счетов с низким уровнем риска.

Соображения, касающиеся тестирования и принятия решений в отношении доказательств

Ключевой принцип Комиссии по ценным бумагам и биржам в отношении решений о доказательствах можно резюмировать следующим образом: «Выровняйте характер, сроки и объем процедур оценки в тех областях, которые представляют наибольший риск для достоверной финансовой отчетности». Комиссия по ценным бумагам и биржам указала, что достаточность доказательств, необходимых для поддержки оценки конкретного MMR, должна основываться на двух факторах: а) риск искажения финансового элемента («риск искажения») и б) риск отказа контроля. Вместе эти две концепции (риски, связанные со счетом или раскрытием информации, и риски, связанные с контролем) называются «риск внутреннего контроля над финансовой отчетностью» или риск «ICFR». В руководство была включена диаграмма (показана в этом разделе), чтобы проиллюстрировать эту концепцию; это единственная такая диаграмма, которая указывает на то, что SEC уделяет ей особое внимание.Риск ICFR должен быть связан с указанными выше средствами контроля и может быть частью этого анализа. Это включает в себя следующие шаги:

Свяжите каждый ключевой элемент управления с «риском искажения» соответствующей учетной записи или раскрытия информации.

Руководство присвоило рейтинг риска искажения (высокий, средний или низкий) каждому существенному счету и раскрытию информации в рамках вышеуказанной предварительной оценки. Оцениваемый низкий, средний или высокий рейтинг также должен быть связан с заявлениями о рисках и заявлениями о контроле, относящимися к учетной записи. Один из способов добиться этого — включить ранжирование в заявление о рисках и контрольную документацию компании. Многие компании используют для этой цели базы данных, создавая поля данных в своей документации по рискам и контролю для сбора этой информации.

Оцените каждый ключевой элемент управления по параметрам «риск отказа элемента управления (CFR)» и «риск ICFR».

CFR применяется на уровне индивидуального контроля, основываясь на факторах в руководстве, связанных со сложностью обработки, ручным или автоматизированным характером контроля, задействованными суждениями и т. д. В основном руководство задает вопрос: «Насколько сложно выполнить этот контроль? правильно каждый раз?"

Определив риск искажения учетной записи и CFR, руководство может затем сделать вывод о риске ICFR (низком, среднем или высоком) для средства контроля. ICFR является ключевой концепцией риска, используемой при принятии решений о доказательствах.

Рейтинг ICFR регистрируется для каждого управляющего оператора. Более крупные компании обычно имеют сотни важных счетов, отчетов о рисках и контрольных отчетов. Они имеют отношения «многие ко многим», что означает, что риски могут применяться к нескольким учетным записям, а элементы управления могут применяться к нескольким рискам.

Учитывайте влияние риска на сроки, характер и объем тестирования.

Руководство обеспечивает гибкость в отношении сроков, характера и объема доказательств, основанных на взаимодействии риска искажения и риска отказа средств контроля (вместе именуемых риском ICFR). Эти два фактора следует использовать для обновления «Руководства по выборке и доказательствам», используемого большинством компаний. По мере увеличения этих двух факторов риска увеличивается достаточность доказательств, необходимых для рассмотрения каждого MMR.

Руководство обладает значительной гибкостью в отношении следующих соображений тестирования и доказательств в контексте риска ICFR, связанного с данным средством контроля:

• Объем (размер выборки): размер выборки увеличивается пропорционально риску ICFR.
• Характер доказательств: Расследование, наблюдение, проверка и повторное представление — это четыре типа доказательств, перечисленных в порядке достаточности. Доказательства, выходящие за рамки расследования, как правило, проверка документов, требуются для проверки операционной эффективности средств контроля. Ожидается подтверждение повторной эффективности для средств контроля с наивысшим риском, например, в процессе отчетности на конец периода.
• Характер контроля (ручной или автоматический): для полностью автоматизированного контроля можно использовать либо размер выборки, равный единице, либо стратегию «сравнительного тестирования» . Если общие ИТ-контроли, связанные с управлением изменениями, эффективны, а полностью автоматизированный контроль был протестирован в прошлом, ежегодное тестирование не требуется. Эталон должен периодически устанавливаться.
• Необходимый объем повторного тестирования: по мере увеличения риска возрастает вероятность необходимости повторного тестирования для продления действия промежуточного тестирования до конца года. Предположительно, средства контроля с более низким уровнем риска не требуют повторного тестирования.

Распространенные факторы, которые также влияют на приведенные выше доказательства, включают:

• Общая сила средств контроля на уровне организации, особенно контрольной среды: надежные средства контроля на уровне организации действуют как всеобъемлющий «противовес» для всех рисков, уменьшая достаточность доказательств, требуемых в областях с низким уровнем риска, и поддерживая дух новое руководство с точки зрения сокращения общих усилий.
• Накопленные знания из предыдущих оценок в отношении конкретных средств контроля: если определенные процессы и средства управления имеют историю эффективной работы, объем доказательств, необходимых в областях с низким уровнем риска, может быть уменьшен.

Учитывайте риск, объективность и компетентность при принятии решений по тестированию

Руководство имеет значительную свободу действий в отношении того, кто будет проводить его тестирование. Руководство SEC указывает, что объективность лица, тестирующего данный элемент управления, должна повышаться пропорционально риску ICFR, связанному с этим элементом управления. Таким образом, такие методы, как самооценка, подходят для областей с более низким уровнем риска, в то время как внутренние аудиторы (или аналогичные) обычно должны проверять области с более высоким риском. Промежуточным методом на практике является «гарантия качества», когда менеджер А тестирует работу менеджера Б и наоборот.

Аналогичная логика позволяет внешним аудиторам полагаться на результаты тестирования руководства. Надежность пропорциональна компетентности и объективности руководителя, завершившего тестирование, в том числе в контексте риска. Для областей с самым высоким риском, таких как контрольная среда и процесс отчетности на конец периода, внутренние аудиторы или группы обеспечения соответствия, вероятно, являются лучшим выбором для проведения тестирования, если от внешнего аудитора ожидается значительная степень доверия. Способность внешнего аудитора полагаться на оценку руководства является основным фактором затрат на соблюдение требований.

Стратегии эффективной оценки SOX 404

Существует множество конкретных возможностей сделать оценку SOX 404 максимально эффективной. ^{[13] [14]} Некоторые из них носят более долгосрочный характер (например, централизация и автоматизация обработки), в то время как другие могут быть легко реализованы. Частое взаимодействие между руководством и внешним аудитором имеет важное значение для определения того, какие стратегии повышения эффективности будут эффективными в конкретных обстоятельствах каждой компании, а также в какой степени уместно сокращение объема контроля.

Централизация и автоматизация

Централизация: использование модели общего обслуживания в ключевых областях риска позволяет рассматривать несколько местоположений как одно для целей тестирования. Модели общих услуг обычно используются для процессов расчета заработной платы и кредиторской задолженности, но могут применяться ко многим типам обработки транзакций. Согласно недавнему опросу, проведенному Finance Executives International, децентрализованные компании несут значительно более высокие затраты на соблюдение SOX, чем централизованные компании. ^[15]

Автоматизация и тестирование: основные полностью автоматизированные элементы управления ИТ-приложениями требуют минимального размера выборки (обычно один, а не 30 для ручных средств управления) и, возможно, вообще не нуждаются в непосредственном тестировании в соответствии с концепцией сравнительного анализа. Сравнительный анализ позволяет исключить из тестирования полностью автоматизированные элементы управления ИТ-приложениями, если определенные средства управления изменениями в ИТ эффективны. Например, многие компании в значительной степени полагаются на ручные интерфейсы между системами с электронными таблицами, созданными для загрузки и выгрузки записей журнала вручную. Некоторые компании ежемесячно обрабатывают тысячи таких записей. Автоматизируя ручные записи в журнале, можно значительно сократить как трудозатраты, так и затраты на оценку SOX. Кроме того, повышается достоверность финансовой отчетности.

Общий подход к оценке

Изучите подход к тестированию и документацию. Многие компании или внешние аудиторские фирмы по ошибке пытались навязать общие рамки для уникальных процессов на уровне транзакций или в разных местах. Например, большинство элементов COSO Framework представляют собой косвенные элементы управления на уровне объекта, которые следует тестировать отдельно от транзакционных процессов. Кроме того, элементы управления ИТ-безопасностью (подмножество ITGC) и средства управления общими службами могут быть помещены в отдельную документацию по процессам, что позволяет более эффективно распределять ответственность за тестирование и устранять избыточность в разных местах. Тестирование ключевых записей журнала и выверки счетов как отдельных усилий позволяет повысить эффективность и сосредоточить внимание на этих критически важных элементах управления.

Полагаться на прямые средства контроля на уровне организации: в руководстве делается упор на определение того, какие прямые средства контроля на уровне организации, в частности, процесс на конец периода и определенные средства мониторинга, являются достаточно точными, чтобы исключить средства контроля на уровне утверждений (транзакционные) из области применения. Ключевым моментом является определение того, какая комбинация элементов управления на уровне объекта и на уровне утверждений относится к конкретному MMR.

Сведите к минимуму повторное тестирование: в соответствии с новыми рекомендациями у руководства появляется больше возможностей для продления даты вступления в силу тестов, проводимых в середине года («промежуточных»), до даты окончания года. В соответствии с новым руководством, скорее всего, потребуется повторное тестирование только для элементов управления с более высоким риском. PCAOB AS5 указывает, что процедуры запроса о том, произошли ли изменения в процессе контроля между промежуточным периодом и периодом на конец года, во многих случаях могут быть достаточными для ограничения повторного тестирования.

Пересмотрите объем оцениваемых местоположений или бизнес-подразделений: это сложная область, требующая серьезного суждения и анализа. Руководство 2007 г. было сосредоточено на конкретном MMR, а не на сумме в долларах, при определении объема и достаточности доказательств, которые должны быть получены в децентрализованных подразделениях. Интерпретация (распространенная в руководстве до 2007 г.) о том, что единица или группа единиц были существенными и, следовательно, большое количество средств контроля в нескольких процессах требует тестирования независимо от риска, была заменена. В тех случаях, когда остатки на счетах отдельных единиц или групп подобных единиц составляют существенную часть консолидированного остатка на счетах, руководство должно тщательно рассмотреть вопрос о том, может ли MMR существовать в конкретной единице. Затем следует провести тестирование, сосредоточенное только на элементах управления, связанных с MMR. Мониторинг контроля,

Подход к оценке ИТ

Тестирование общего контроля ИТ (ITGC): ITGC непроцедуры управления изменениями, достаточные для поддержки стратегии сравнительного анализа; и периодический мониторинг безопасности приложений, включая разделение обязанностей.

Руководство PCAOB после 2007 г.

PCAOB периодически выпускает «Предупреждения о практике аудита персонала» (SAPA), в которых «выделяются новые, возникающие или иным образом заслуживающие внимания обстоятельства, которые могут повлиять на то, как аудиторы проводят аудит в соответствии с существующими требованиями стандартов ...» Согласно SAPA № 11 . Контроль над финансовой отчетностью (24 октября 2013 г.) PCAOB обсудил важные вопросы аудиторской практики, касающиеся оценки ICFR. Они включали, среди прочего:

• Системные отчеты («Информация, предоставленная организацией» или «IPE»): требования, чтобы аудиторы (и доверенное лицо руководства) получали дополнительные доказательства того, что полностью автоматизированные отчеты и ручные запросы, используемые в качестве контрольных данных, являются точными и полными.
• Средства контроля на уровне организации и средства контроля со стороны руководства: иногда чрезмерно полагались на средства контроля на уровне организации и средства контроля со стороны руководства (концептуально аналогичные средствам контроля на конец периода), которые были недостаточно точными, чтобы снизить риск существенного искажения до «удаленного» уровня. . SAPA #11 предоставляет дополнительные критерии, помогающие в оценке точности.
• Критерии для расследования: Аудиторы не всегда получали достаточные доказательства того, что меры контроля руководства применялись эффективно, если были отмечены необычные отклонения за пределами установленных допусков. Например, руководство могло подписать контрольный отчет, в котором говорилось, что он был рассмотрен, но не предоставило никакой другой документации по расследованию, несмотря на некоторые необычные действия в отношении отчета. SAPA # 11 гласит: «Подтверждение того, что проверка была подписана, сама по себе мало или вообще не дает доказательств эффективности контроля». ^[16]

SAPA № 11 может привести к дополнительной работе для управленческих групп, которые могут потребоваться аудиторам для сохранения доказательств того, что эти отчеты и запросы были точными и полными. Кроме того, от руководства может потребоваться сохранение дополнительных доказательств расследования, если суммы в отчетах о детективном контроле содержат транзакции или тенденции, выходящие за пределы заранее определенных диапазонов допустимых значений.

использованная литература