Введение
Цель этой работы - проанализировать и прокомментировать опыт применения внешних аудитов и их прямую связь с решением об уровнях комфорта, которых может ожидать этот аудитор, что позволяет достичь более высоких уровней эффективности.
Внутренний контроль. Концепции и характеристики использования Внешним аудитором
Что такое внутренний контроль?
Внутренний контроль - это процесс, осуществляемый Директором организации, Администрацией или другими членами, призванный обеспечить разумную степень безопасности в отношении достижения целей эффективности и результативности, формирования надежной финансовой информации и соблюдения законов и нормативных актов.
Его «эффективность» - это состояние или состояние в определенное время. В отношении работы внешнего ревизора основное внимание уделяется той части внутреннего контроля, которая относится к «финансовому отчету».
Почему изучение и оценка внутреннего контроля в аудите представляют интерес?
Аудитор должен получить представление о процессе организации для определения бизнес-рисков, имеющих отношение к целям финансового отчета, и принять решение о действиях по снижению этих рисков и результатов.
Оценивая контрольные мероприятия и анализируя результаты, можно полагаться или не полагаться на контрольные средства, сокращая объем нашего основного тестирования и предоставляя нам соответствующие аудиторские доказательства.
Подход внутреннего контроля должен учитывать некоторые бизнес-процессы или их сегменты в терминах «циклов», в которых соответствующие транзакции могут быть сгруппированы надлежащим образом и для которых руководство организации устанавливает контрольные действия. и конкретные бухгалтерские процедуры. Каждый цикл регулярно включает в себя несколько типов транзакций, которые варьируются в зависимости от рассматриваемого бизнеса. Каждый класс транзакций может быть дополнительно разделен на конкретный тип транзакции; Например, продажа продуктов и услуг может быть подразделена на продажи за наличные и продажи в кредит, или продажи за рубежом и продажи на внутреннем рынке. Каждый класс операций отличается друг от друга прежде всего различиями в учетных процедурах и контрольных действиях, которые к ним относятся.
Основой цикла является путь, по которому каждый класс операций проходит через систему учета, и характер применяемых контрольных действий. Аудитор должен оценить каждый класс операций, чтобы определить, были ли разработаны соответствующие процедуры бухгалтерского учета и контрольные действия и работают ли они эффективно для достижения своих целей контроля финансовой отчетности. В той степени, в которой аудитор получает доказательства того, что эти цели были достигнуты, он может сократить основные тесты, направленные на проверку наличия / возникновения, совокупности и точности учетных балансов, затронутых анализируемым циклом и транзакцией.
Контрольная деятельность
Контрольные действия - это политики и процедуры, обеспечивающие разумную степень уверенности в том, что риски снижаются во всей организации, на всех уровнях и во всех функциях, которые включают в себя:
я. Обзоры эффективности бизнеса
ii. Контроль за обработкой транзакций
iii. Средства защиты активов
iv. Разделение обязанностей
v. Общие средства управления информационными технологиями
я. Обзоры эффективности бизнеса.
Они применяются к результатам транзакций, а не для контроля деятельности. Это анализы, проводимые руководством, администрацией или ответственными за различные бизнес-функции и направленные на:
- Анализ результатов и оценка соответствия поставленным целям
- Анализ оперативных потребностей (например, наличие денежных средств для осуществления платежей)
- Выявление неожиданных результатов
- Соответствие законодательству
Обзоры производительности могут включать в себя:
- Просмотр, анализ и мониторинг информации, возможно, путем сравнения с бюджетами или предыдущими годами
- Просмотр и мониторинг отчетов об исключениях, выделение транзакций и ненормальных остатков или сводок обработанных транзакций
- Сравнение различных наборов связанных данных - операционных или финансовых - вместе с анализом указанных данных, расследованием и корректирующими действиями
- анализом выполнения функциональных мероприятий, таких как количество новых клиентов, сроки поставки поставщиков, уровни запасов и т. д.
- Обзор рыночных / отраслевых показателей и сравнение с собственными показателями для выявления и расследования возможных отклонений
II. Контроль за обработкой транзакций.
- Они выполняются по отдельным транзакциям, пакетам транзакций, отдельным балансам и данным, которые используются для их обработки и могут быть ручными или автоматизированными. Они обеспечивают самый подробный уровень контроля, который обычно может быть представлен в организации.
- Как правило, это превентивный контроль, который предназначен для того, чтобы избежать ошибок или неточностей или своевременно обнаружить те, которые могли быть допущены во время обработки, и, как правило, обеспечивает прямое доверие к отчетам в финансовой отчетности.
- Элементы управления обработкой транзакций подразделяются на:
- Независимые элементы управления - Элементы управления
авторизацией
- Элементы управления вводом данных
- Элементы управления приостановками или отклонениями
- Элементы управления обработкой данных
III. Средства защиты активов.
Это средства контроля, связанные с хранением активов, и включают в себя:
- Средства контроля и меры безопасности, предназначенные для обеспечения того, чтобы доступ к активам ограничивался только уполномоченным персоналом.
- Средства контроля для обеспечения защиты активов от выдачи документов, которые позволили бы санкционировать их неправомерное использование или растрату.
- Активы включают движимое и недвижимое имущество, кассовые или инкассо документы, записи данных, включая конфиденциальную информацию.
III. Разделение функций.
- Это средства управления, разработанные для предотвращения возможности лицу контролировать различные этапы обработки транзакции, при этом другое лицо не обнаруживает ошибки или нарушения, если они возникают.
- Это включает в себя сочетание различных транзакций, которые могут позволить человеку скрыть ошибку или неправильность. Например, доход от сборов и кредитных нот. Поток информации должен быть спроектирован таким образом, чтобы работа одного человека, помимо выполнения определенной цели, была независимой или служила проверкой работы другого.
- Как правило, функции для разделения являются:
- Запуск транзакций
- Авторизация транзакций
- Обработка транзакций
- Запись транзакций
- Депозитарные активы
- Еще одна транзакция, которая позволяет скрыть ошибки или нарушения
внутривенно Общие информационные технологии управления.
Работа Общего контроля информационных технологий разделена на 4 ключевых области:
1) Организационная структура и порядок работы отдела ИТ
2) Разработка, внедрение и сопровождение приложений
3) Физическая и логическая безопасность, которые делятся на:
- Контроль доступа на уровне базы данных и инфраструктуры
- Физическая защита компьютерного оборудования
4) эксплуатационная непрерывность технологической инфраструктуры и процессов, которые ее поддерживают
Когда ITGC эффективны, автоматическое управление приложениями более эффективно для оценки, чем ручное управление, некоторые примеры:
- Автоматизированные вычисления или процедуры обработки данных, запрограммированные в приложении.
- Ограниченный доступ к возможностям обработки транзакций, например, для поддержки надлежащего разделения обязанностей.
- Ограниченный доступ к программам и данным (например, файлы финансовых данных не могут быть изменены за пределами 1. - Нормальные операции обработка транзакций или контролируемые обменные процессы).
Нужно ли проверять элементы управления для каждого из пяти компонентов внутреннего контроля, чтобы получить значительный комфорт от элементов управления?
Мы должны рассмотреть каждый из пяти компонентов внутреннего контроля на этапе оценки цикла комфорта аудита. Именно в это время мы выбираем средства управления, от которых мы хотим получить комфорт.
Мы должны помнить, что нам часто приходится пересматривать контрольные мероприятия наряду с другими компонентами внутреннего контроля. Именно благодаря контрольным действиям достигаются цели обработки информации (совокупность, точность, достоверность и ограниченный доступ), обычно для этого существует несколько элементов управления, и очень редко мы зависим от одного элемента управления.
Нужно ли проверять все средства контроля, которым мы доверяем каждый год?
• Когда средства контроля остаются неизменными по сравнению с предыдущим годом, мы можем рассмотреть доказательства эффективности управления, полученные в предыдущих аудитах, но:
• Мы должны протестировать контроли, которым мы хотим доверять, по крайней мере, на каждом третьем аудите и учитывать, что некоторые контроли необходимо тестировать каждый год.
Чем дольше время между проверкой эффективности средств контроля, тем меньше уверенности в том, что результат работы предыдущих лет обеспечит нам уверенность в их эффективности в текущем году. По этой причине мы должны проверить эффективность средств контроля, которым мы намерены доверять, по крайней мере, для каждого третьего аудита. Однако в некоторых случаях необходимо будет проверять средства контроля, которые не менялись чаще, чем раз в три года. Факторы, которые могут уменьшить испытательный срок, включают следующее:
• Недостатки, выявленные в Контрольной среде, Мониторинг объекта по Общему контролю информационных технологий.
• Если элементы управления, которым мы доверяем, являются ручными элементами управления приложениями.
• Изменения в персонале, которые существенно влияют на применение контроля.
• Изменения в обстоятельствах, которые указывают на необходимость изменения контроля.
• Чем больше риск материальной ошибки, тем больше мы доверяем элементу управления и тем меньше времени мы его не проверяем.
• Нам нужно добиться того, чтобы ручные органы управления, протестированные в предыдущие годы, не изменились. Поэтому мы должны выполнить комбинацию процедур, включающих расследование / собеседование, наблюдение и экспертизу, чтобы подтвердить отсутствие изменений.
• Если мы хотим доверять элементам управления, которые снижают ключевые риски существенной ошибки, мы должны проверять их в каждом периоде аудита, в который мы хотим верить. Другими словами, все доказательства эффективности контроля ключевых рисков должны быть получены в текущем периоде аудита.
• Из-за его проникающего воздействия на органы управления. Мы должны каждый год тестировать Общие средства управления информационными технологиями, которым мы доверяем.
Выводы
Внутренний контроль является эффективным инструментом для достижения уровней эффективности бизнеса и представляет собой важный инструмент для аудитора, помогая в случае внешних аудиторов определять уровни комфорта для своей работы, таким образом, повышая эффективность работы Аудит и его окончательный результат.
