Оценка внутреннего контроля над процессами и транзакциями

1. Введение

Понимание и оценка процесса внутреннего контроля субъекта является обязанностью аудитора разрабатывать тесты для выявления элементов управления, рисков и тестирования процессов, установленных в компании.

2. Цель

В соответствии с МСА 330 «Целью аудитора является получение достаточных надлежащих аудиторских доказательств в отношении оцененных рисков существенного искажения путем планирования и реализации соответствующих мер реагирования на эти риски».

3. Определения

ISA 330 определяет следующие термины:

а) Основная процедура. Процедура аудита, предназначенная для выявления ошибочных представлений относительной важности на уровне утверждений.

Основные процедуры включают в себя:

• Подтверждение деталей (классов транзакций, остатков на счетах, раскрытия информации); и основные аналитические процедуры

b) Тесты средств контроля. Процедура аудита, предназначенная для оценки операционной эффективности средств управления для предотвращения или обнаружения и исправления ошибочных представлений об относительной важности на уровне утверждений.

В ходе аудита финансовой отчетности аудитор должен оценить и разработать процедуры, которые отвечают выявленным значительным рискам ошибок в его аудите, которые влияют на аудированную финансовую отчетность в целом, или на утверждение в конкретный.

Существенным риском является высокая вероятность того, что будет выявлена ​​и оценена значительная ошибка, которая, в случае ее возникновения, окажет существенное влияние на финансовую отчетность или утверждение. Следовательно, по мнению аудитора, при проведении аудита требуется адекватный ответ путем применения определенных процедур.

В работе, проделанной над планированием аудита, аудитор определил:

• Важные транзакции и процессы, которые инициируют, обрабатывают и регистрируют их Деловые риски, которые имеют существенное значение в финансовой отчетности Риски мошенничества

4. Оценка внутреннего контроля предприятия

Понимание оценки внутреннего контроля должно осуществляться сначала на самом верху, то есть тех, кто руководит и принимает решения.

Пять компонентов внутреннего контроля перечислены ниже:

Среда контроля - это то, что задает тон для организации, то есть основа для влияния на сознание управления ее персонала, она является основой других компонентов внутреннего контроля, обеспечивает дисциплину и структуру.

Оценка риска - это выявление и анализ соответствующих рисков, с которыми компания сталкивается для достижения своих целей, формируя основу для определения способов управления рисками.

Информационные и коммуникационные системы поддерживают основу для идентификации, сбора и обмена информацией таким образом и в течение определенного периода времени, которые позволяют персоналу выполнять свои обязанности.

Контрольная деятельность - это политика и процедуры, которые необходимо соблюдать, чтобы гарантировать выполнение инструкций руководства.

Мониторинг - это процесс проверки качества внутреннего контроля с течением времени.

Контрольная среда

Руководство, установленное высшим руководством, то есть корпоративная среда или культура, в которой функционирует финансовая отчетность, является единственным наиболее важным фактором, способствующим целостности процесса финансовой отчетности. Другими словами, если руководящий принцип, установленный руководством, ослаблен или неэффективен, впечатляющий набор письменных правил и процедур мало что даст.

Среда контроля отражает общее отношение, степень осведомленности и действия совета директоров, менеджмента, владельцев и других лиц в отношении важности контроля и акцента на контроле над политиками, процедурами, методами и организационной структурой. компании. Среда контроля включает в себя отношение руководства к разработке бухгалтерских оценок и философию представления финансовой информации; это контекст, в котором действуют система бухгалтерского учета и внутреннего контроля.

Среда контроля отражает общее отношение, степень осведомленности и действия совета директоров, менеджмента, владельцев и других лиц в отношении важности контроля и акцента на контроле над политиками, процедурами, методами и организационной структурой. компании. Среда контроля включает в себя отношение руководства к разработке бухгалтерских оценок и философию представления финансовой информации; это контекст, в котором действуют система бухгалтерского учета и внутреннего контроля.

В своем отчете «Интегрированная структура внутреннего контроля» COSO заявляет, что «среда контроля оказывает доминирующее влияние на то, как структурируется деловая деятельность, как устанавливаются цели и оцениваются риски. Это также влияет на деятельность по контролю, информационно-коммуникационные системы и деятельность по мониторингу. Это относится не только к дизайну, но и к тому, как он работает изо дня в день »…

Среда контроля - это атмосфера, в которой существует учетный контроль компании и составляется финансовая отчетность. Следовательно, важно иметь представление о контрольной среде, чтобы определить факторы, которые оказывают доминирующее влияние на риск ошибок в обработке транзакций и в суждениях, которые руководство принимает при подготовке финансовой отчетности. Удовлетворительная контрольная среда не гарантирует эффективность какого-либо конкретного контроля, но она может быть положительным фактором при оценке риска ошибок. Эффективная контрольная среда также обеспечивает основу для ожиданий того, что системы бухгалтерского учета, которые работают хорошо в любое время года, будут продолжать работать хорошо до конца года. Таким образом,контрольная среда является основным компонентом для эффективного внутреннего контроля.

Команда проекта должна учитывать следующие факторы при рассмотрении контрольной среды:

Честность, этические ценности и поведение ключевых руководителей

Управление контроля осведомленности и стиль работы

Стремление быть компетентным

Участие совета директоров и комитета по аудиту в управлении и надзоре за бизнесом

Адекватная организационная структура и распределение полномочий и ответственности Кадровая политика и практика

Честность, этические ценности и поведение ключевых руководителей

Честность и этические ценности являются важными элементами среды контроля, влияющими на разработку, администрирование и мониторинг ключевых процессов. Честность и этическое поведение являются продуктом стандартов компании в отношении этики и поведения, а также того, как они передаются, контролируются и применяются на практике. Они включают действия, предпринимаемые руководством для сокращения или устранения возможностей для сотрудников совершать незаконные, нечестные или неэтичные действия. Они также включают в себя информирование персонала о ценностях и стандартах поведения компании посредством политических заявлений и кодексов поведения, а также примеры, приводимые ее руководителями.

Контроль осведомленности и управление Стиль работы

Руководство несет ответственность за руководство и контроль операций, а также за установление, передачу и мониторинг политик и процедур. Каждый аспект среды контроля находится под сильным влиянием действий и решений (или, в некоторых случаях, бездействия и нерешительности) руководства. В эффективной контрольной среде осведомленность руководства о контроле и его стиле работы и координации способствует эффективной работе процессов и средств контроля, а также среде, в которой вероятность ошибки сводится к минимуму.

Осведомленность о контроле относится к важности управления местами внутреннего контроля и среды, в которой они работают. Это в значительной степени нематериальная концепция; это управленческая позиция, которая после передачи помогает обеспечить надлежащий контроль и снижает вероятность того, что конкретные меры контроля будут проигнорированы.

Обязательство быть компетентным

Обязательство быть компетентным включает рассмотрение руководством уровней квалификации для конкретных должностей и того, как эти уровни переводятся в требования к навыкам и знаниям. Среди других факторов, которые руководство должно учитывать, это характер и степень суждения, которое будет использоваться в конкретной работе, и степень надзора, которая потребуется. Команда проекта должна рассмотреть вопрос о том, способен ли персонал выполнять свои обязанности (например, обладает ли персонал достаточными знаниями и опытом в области общепринятых принципов бухгалтерского учета, о которых компания будет сообщать), Участие совета директоров и комитета по аудиту в управлении и надзоре за бизнесом

Совет директоров, посредством своей собственной деятельности и при поддержке комитета по аудиту, отвечает за контроль процедур и политик бухгалтерского учета и финансовой отчетности.

Хотя конкретные виды деятельности и обязанности ревизионных комитетов различаются и требуют изменений или адаптации в зависимости от индивидуальных обстоятельств, совет директоров несет фидуциарную ответственность перед акционерами и третьими сторонами за представление достоверных финансовых отчетов.

В результате совет директоров и комитет по аудиту должны быть заинтересованы в предоставлении финансовой информации акционерам и инвесторам, а также контролировать учетную политику компании, процессы внутреннего аудита и независимого аудита.

При определении влияния совета директоров и / или комитета по аудиту на контрольную среду, проектная группа должна учитывать независимость совета директоров и / или комитета по аудиту от руководства, опыт и знания своих членов, степень вовлеченности и тщательности деятельности компании, степень, в которой возникают сложные вопросы и которые сопровождаются руководством и их взаимодействием с внутренними аудиторами и независимыми аудиторами.

Организационная структура и распределение полномочий и обязанностей

Организационная структура компании указывает на общие рамки для планирования, управления и контроля операций. Эффективная структура определяет распределение ответственности, поэтому у всех сотрудников есть четкое представление о том, перед кем следует отчитываться и каковы их обязанности.

При рассмотрении организационной структуры проектная группа должна рассмотреть методы (1) назначения полномочий, (2) мониторинга децентрализованных операций, (3) распределения и контроля ответственности за информационные системы (включая использование информационных организаций). сервис или «сервисные организации»), (4) устанавливают и контролируют политики и процедуры (например, конфликт интересов, корпоративная безопасность и кодексы поведения) во всей организации.

Команда проекта должна сосредоточиться на сущности организационной структуры и методах, которыми руководствуются при распределении полномочий и ответственности, а не на ее форме. Таким образом, общий уровень знаний и соответствия политикам и процедурам так же важен, как и их мониторинг со стороны руководства. Обзор организационной структуры также полезен для проектной команды для определения степени разделения достигнутых обязанностей и оценки последствий значительных недостатков в этом отношении.

Кадровая политика и процедуры

Эти правила и процедуры относятся к найму, ориентации, обучению, оценке, консультированию, продвижению по службе и вознаграждению персонала. Эффективность политик и процедур, включая меры контроля, зависит от людей, которые их выполняют. Таким образом, потенциал и целостность персонала компании являются важными элементами ее контрольной среды. Способность компании набирать и нанимать достаточно компетентного и ответственного персонала, в свою очередь, зависит от кадровой политики и практики. Кроме того, уровень компетентности и целостности персонала, занимающегося конкретными процессами, является одним из факторов оценки эффективности контроля над процессами.

Оценка риска

Все компании, независимо от их размера, структуры, характера или типа отрасли, обнаруживают риски на всех уровнях своей организации. Риски влияют на способность компании выживать и успешно конкурировать в своей отрасли; поддерживать свою финансовую мощь, свой позитивный имидж и общее качество своих продуктов или услуг и своего персонала. Не существует практического способа снизить риск до «нуля». На самом деле, само решение о создании бизнеса создает риск. Менеджмент должен решить уровень риска, который он может разумно принять, и попытаться остаться в пределах этого уровня.

Процесс идентификации, анализа и управления рисками является критически важным компонентом любой эффективной системы внутреннего контроля. Следует также признать, что изменения всегда присутствуют, и для эффективного процесса оценки риска важно предпринять необходимые действия для реагирования на такие изменения.

Чтобы понять процесс оценки рисков на уровне компании, команда проекта должна учитывать такие факторы, как:

1. Установлены ли и поставлены ли задачи на уровне компании, включая то, как они поддерживаются стратегическими планами и дополняются на уровне процесса или приложения. Если был установлен процесс оценки риска, который включает оценку важности риски, оценка вероятности их возникновения и определение необходимых действий.Если созданы механизмы для прогнозирования, выявления и реагирования на ситуации, которые могут оказать существенное существенное влияние на компанию. (Например, комитет по управлению активами / пассивами в финансовом учреждении или группа маркетинговых рисков в производственной компании). Если есть механизмы, которые можно предвидеть,идентифицировать и реагировать на рутинные события или действия, которые влияют на достижение целей организации или уровня процессов / приложений. Если бухгалтерия установила процессы для выявления значительных изменений в общепринятых принципах бухгалтерского учета, принятых соответствующими органами. Могут ли каналы связи уведомлять бухгалтерию об изменениях в деловой практике компании, которые могут повлиять на метод или процесс записи транзакций. Если бухгалтерия имеет процессы для выявления значительных изменений в операционной среде, включая нормативные изменения.Установлены ли в бухгалтерии процессы для выявления существенных изменений в общепринятых принципах бухгалтерского учета, принятых соответствующими органами власти, если каналы связи уполномочены уведомлять бухгалтерию об изменениях в деловой практике компании, которые могут влияют на метод или процесс регистрации транзакций. Если в бухгалтерии есть процессы для выявления значительных изменений в операционной среде, включая нормативные изменения.Установлены ли в бухгалтерии процессы для выявления существенных изменений в общепринятых принципах бухгалтерского учета, принятых соответствующими органами власти, если каналы связи уполномочены уведомлять бухгалтерию об изменениях в деловой практике компании, которые могут влияют на метод или процесс регистрации транзакций. Если в бухгалтерии есть процессы для выявления значительных изменений в операционной среде, включая нормативные изменения.Могут ли каналы связи уведомлять бухгалтерию об изменениях в деловой практике компании, которые могут повлиять на метод или процесс записи транзакций. Если бухгалтерия имеет процессы для выявления значительных изменений в операционной среде, включая нормативные изменения.Могут ли каналы связи уведомлять бухгалтерию об изменениях в деловой практике компании, которые могут повлиять на метод или процесс записи транзакций. Если бухгалтерия имеет процессы для выявления значительных изменений в операционной среде, включая нормативные изменения.

Информация и коммуникация

Информация и коммуникация - это процесс сбора и обмена информацией, необходимой для выполнения, управления и контроля операций компании.

Качество коммуникационной и информационной системы компании влияет на способность руководства принимать обоснованные решения для контроля деятельности компании и подготовки надежных финансовых отчетов.

Информация и коммуникация охватывают сбор и выдачу информации соответствующему персоналу, чтобы он мог выполнять свои обязанности, включая понимание отдельных ролей и обязанностей в отношении внутреннего контроля за финансовой отчетностью.

Чтобы понять информацию и коммуникации на уровне компании, команда проекта учитывает такие факторы, как:

Информация

1. Предоставляет ли информационная система руководству необходимые отчеты о работе компании в соответствии с установленными целями, включая соответствующую информацию, как внешнюю, так и внутреннюю. Если информация предоставляется соответствующим людям достаточно подробно и заранее, чтобы они могли эффективно и действенно выполнять свои обязанности. В какой степени информационные системы разрабатываются или модифицируются на основе стратегического плана, который связан с общей информационной системой компании,это позволяет достичь целей на уровне компании и процессов / приложений. Если руководство компании выделяет достаточные человеческие и финансовые ресурсы для разработки необходимых информационных систем. Каким образом руководство обеспечивает и контролирует участие пользователей в разработке (включая модификации) и тестирование программы, если план аварийного восстановления был установлен для всех основных центров обработки данных

связь

1. Если руководство эффективно сообщает о функциях и обязанностях по контролю за персоналом. Если установлены каналы связи для людей, которые должны сообщать о подозрительных событиях. Соответствие коммуникации через компанию для облегчения выполнения обязательств персоналом. Руководство принимает своевременные и надлежащие последующие меры в отношении сообщений от клиентов, поставщиков, посредников и других внешних сторон. Если компания подвергается мониторингу и соблюдению требований, установленных регулирующими органами. Объем уведомлений для третьих сторон за пределами компании (таких как клиенты). и поставщики) о политике компании и этических стандартах.

Контрольная деятельность

Контрольные действия - это политики и процедуры, которые помогают обеспечить выполнение инструкций руководства. Они помогают обеспечить принятие необходимых мер для устранения рисков в достижении целей компании. Контрольные действия, автоматические или ручные, имеют несколько целей и применяются на различных организационных и функциональных уровнях.

Чтобы понять контрольные действия на уровне компании, команда проекта учитывает такие факторы, как:

1. Существуют ли политики и процедуры, которые требуются в отношении каждого вида деятельности компании? Если меры контроля применяются в той мере, в которой этого требует каждая политика? Если у руководства есть четкие цели с точки зрения бюджета, прибыли, других финансовых и операционных целей и эти цели четко выражены и доведены до сведения всей организации и находятся под постоянным мониторингом. Если существуют установленные системы информации и планирования, позволяющие выявлять отклонения в запланированных показателях и сообщать о таких отклонениях на соответствующем уровне управления. они разделены между разными людьми таким образом, что уменьшается риск мошенничества или других неправомерных действий Степень, в которой функции логически разделены с помощью приложений информационных технологий (ИТ).Если периодические сравнения сумм, зарегистрированных в системе бухгалтерского учета, производятся с физическими активами. Если существуют адекватные меры предосторожности для предотвращения несанкционированного доступа или уничтожения документов, записей и активов. Если были установлены политики для контроля доступа к файлам данные и программы. Если для контроля доступа к данным и программам используется какое-либо средство защиты доступа, операционная система и / или прикладное программное обеспечение. Существуют установленные системы информации и планирования, позволяющие выявлять различия в запланированных показателях производительности и обмениваться данными. такие различия на соответствующем уровне управления. Степень, в которой функции разделены между разными людьми таким образом, что риск мошенничества или других неправомерных действий уменьшается.Степень, в которой функции логически разделены приложениями информационных технологий (ИТ). Если проводятся периодические сравнения сумм, зарегистрированных в системе бухгалтерского учета, с физическими активами. Если существуют адекватные меры предосторожности для предотвращения несанкционированного доступа или уничтожение документов, записей и активов. Если были установлены политики для контроля доступа к файлам данных и программам. Если для контроля доступа к данным и безопасности используются какие-либо средства защиты доступа, операционная система и / или прикладное программное обеспечение. программы. Если существует установленная функция информационной безопасности, в обязанности которой входит контроль за соблюдением политик и процедур информационной безопасности.Если периодические сравнения сумм, зарегистрированных в системе бухгалтерского учета, производятся с физическими активами. Если существуют адекватные меры предосторожности для предотвращения несанкционированного доступа или уничтожения документов, записей и активов. Если были установлены политики для контроля доступа к файлам данные и программы. Если для контроля доступа к данным и программам используется какое-либо программное обеспечение, операционная система и / или приложения для обеспечения безопасности доступа. Если существует установленная функция защиты информации, отвечающая за мониторинг соответствия политики и процедуры информационной безопасности.Если периодические сравнения сумм, зарегистрированных в системе бухгалтерского учета, производятся с физическими активами. Если существуют адекватные меры предосторожности для предотвращения несанкционированного доступа или уничтожения документов, записей и активов. Если были установлены политики для контроля доступа к файлам данные и программы. Если для контроля доступа к данным и программам используется какое-либо программное обеспечение, операционная система и / или приложения для обеспечения безопасности доступа. Если существует установленная функция защиты информации, отвечающая за мониторинг соответствия политики и процедуры информационной безопасности.Если были установлены политики для контроля доступа к файлам данных и программам. Если для контроля доступа к данным и программам используется некоторая система безопасности доступа, операционная система и / или прикладное программное обеспечение. информационная безопасность с обязанностью следить за соблюдением политик и процедур информационной безопасности.Если были установлены политики для контроля доступа к файлам данных и программам. Если для контроля доступа к данным и программам используется некоторая система безопасности доступа, операционная система и / или прикладное программное обеспечение. информационная безопасность с обязанностью следить за соблюдением политик и процедур информационной безопасности.

Мониторинг

Важной обязанностью руководства является установление и поддержание внутреннего контроля. Руководство контролирует элементы управления, чтобы убедиться, что они работают как задумано, и были ли они изменены для адаптации к изменяющимся условиям. Мониторинг - это процесс оценки, позволяющий определить качество внутреннего контроля с течением времени, принимая во внимание, работают ли элементы управления в соответствии с тем, для чего они были предназначены, и гарантируя, что они соответствующим образом модифицируются при изменении условий. Это включает в себя регулярную оценку конструкции и работы органов управления, принятие необходимых корректирующих действий. Этот процесс осуществляется посредством оперативных действий и отдельных оценок или их сочетания.

Чтобы понять процесс мониторинга на уровне компании, команда проекта должна учитывать такие факторы, как:

1. Если проводятся периодические оценки внутреннего контроля Степень, в которой персонал при разработке своих регулярных функций получает доказательства того, что система внутреннего контроля продолжает функционировать Степень, в которой сообщения от внешних сторон подтверждают информацию, полученную внутри компании, или указывают на проблемы. Руководство следует рекомендациям внутренних аудиторов и независимых аудиторов. Подход руководства к своевременному исправлению известных неформальных условий Подход руководства к обработке отчетов и рекомендаций регулирующих органов. Наличие функции внутреннего аудита, которую руководство использует для оказания помощи. в мониторинге, который включает такие факторы, как:

• Независимость (подотчетность и отношения) Линии отчетности (подчиняются непосредственно совету директоров и / или комитету по аудиту или имеют неограниченный доступ к совету директоров и / или комитету по аудиту) Адекватность при назначении персонала, обучение и наличие специализированных навыков в соответствии с окружающей средой (например, использование опытных аудиторов информационных систем, обученных в сложных и высокоавтоматизированных средах). Соответствие применимым профессиональным стандартам. Сфера деятельности (баланс между финансовыми и операционными аудитами, охват и ротация децентрализованных операций) Адекватность планирования, оценки рисков и документирования выполненной работы и сделанных выводов.

Команда проекта должна оценить, подлежит ли система внутреннего контроля самоконтролю и включает ли она соответствующие механизмы для обеспечения исправления любых наблюдаемых недостатков. В случае, если методы самоконтроля и исправления недостатков оценены как неадекватные, команда должна предложить конкретные рекомендации по улучшению системы.

5. Понять и оценить внутренний контроль в процессах и транзакциях

1. Выявить и оценить основные классы транзакций. Другие факторы контроля. Влияние информационных технологий.

После завершения оценки внутреннего контроля на уровне компании, система бухгалтерского учета организации становится главной целью оценки внутреннего контроля за финансовой отчетностью. Для этой цели система бухгалтерского учета представлена ​​процессами, которые являются основными для финансовой информации Компании (т. Е. Бизнес-процессы и / или учетные операции).

Определите важные счета

Отправной точкой для определения того, какими являются важные процессы, который начинается с определения значимых счетов или групп счетов на уровне раскрытия информации в статьях или примечаниях к финансовой отчетности.

Счет или группа учетных записей является ключевым, если имеются существенные ошибки, которые могут оказать существенное влияние на финансовую отчетность или другие юридические вопросы, конфликт интересов или несанкционированные выгоды для должностных лиц, которые, хотя и не являются существенными, могут отрицательно повлиять на престиж компании со своими клиентами, акционерами или общественностью, если эти вопросы остаются незамеченными.

Важность счета - это его размер и состав, а также его подверженность манипуляциям или потере; его, ее природа; объем активности, размер, сложность и однородность отдельных транзакций, обрабатываемых через счет, и субъективность в определении баланса счета (т. е. степень, в которой на счет влияют судебные иски).

Изменения, которые происходят в бизнес-деятельности и их влияние на учетную запись или группу учетных записей, также следует учитывать. Как правило, компания, в которой происходит много изменений (например, темпы ее роста, рынки, продукты, персонал, технологии), будет иметь больше ситуаций неопределенности и риска, чем компании со стабильностью.

1. Определите и оцените основные классы сделок

Определить важные счета

Отправной точкой для определения того, какими являются важные процессы, который начинается с определения значимых счетов или групп счетов на уровне раскрытия информации в статьях или примечаниях к финансовой отчетности.

Счет или группа учетных записей является ключевым, если имеются существенные ошибки, которые могут оказать существенное влияние на финансовую отчетность или другие юридические вопросы, конфликт интересов или несанкционированные выгоды для должностных лиц, которые, хотя и не являются существенными, могут отрицательно повлиять на престиж компании со своими клиентами, акционерами или общественностью, если эти вопросы остаются незамеченными.

Важность счета - это его размер и состав, а также его подверженность манипуляциям или потере; его, ее природа; объем активности, размер, сложность и однородность отдельных транзакций, обрабатываемых через счет.

Изменения, которые происходят в бизнес-деятельности и их влияние на учетную запись или группу учетных записей, также следует учитывать. Как правило, компания, в которой происходит много изменений (например, темпы ее роста, рынки, продукты, персонал, технологии), будет иметь больше ситуаций неопределенности и риска, чем компании со стабильностью.

Определить и оценить важные транзакции

Эта идентификация представляет собой связь между идентификацией значимых учетных записей или групп учетных записей и пониманием и оценкой соответствующих процессов и средств контроля.

Крупные транзакции включают в себя все виды транзакций, которые существенно влияют на существенные счета или группы счетов, либо непосредственно через записи в главной книге, либо косвенно через создание прав или обязательств, которые не могут быть записаны в книге. выше.

Процессы включают в себя классы транзакций, которые можно классифицировать как:

1. рутина, не рутина или оценка

Важно проводить различие между этими основными классами транзакций, поскольку компоненты и риски в каждом классе различны и, как следствие, вероятность существенных ошибок, возникающих в результате соответствующих процессов, также различается.

Обычные транзакции

Это финансовые данные, записанные в книгах, и записи или нефинансовые данные, используемые для управления бизнесом.

Например, компания может иметь следующие обычные транзакции: Продажи и дебиторская задолженность

• Денежный доход Покупки и кредиторская задолженность Денежные расходы Заработная плата Запасы и стоимость продаж

Некоторые компании будут иметь более одного процесса для подобных транзакций. Например, могут быть отдельные процессы для внутренних и экспортных продаж; Заработная плата может отличаться для тех, кто имеет фиксированную зарплату, и тех, кто зарабатывает на основе отработанных часов.

Не рутинные операции

Это транзакции, которые проводятся периодически, как правило, в сочетании с финансовой отчетностью. Любой основной класс транзакций, который не всегда соответствует определению обычной транзакции или транзакции оценки, может рассматриваться как нестандартная транзакция. Типичные нестандартные транзакции включают в себя:

• Расчет расходов по налогу на прибыль Подсчет и оценка материально-производственных запасов Определение расходов, оплаченных заранее

Оценка транзакций

Это операции, которые отражают многочисленные суждения, решения и альтернативы при составлении финансовой отчетности (например, оценка для дебиторской задолженности).

Важно помнить, что рутинные транзакции, как правило, подчиняются более формальной системе контроля, поскольку в данных и объеме обрабатываемой информации больше объективности.

И наоборот, поскольку нестандартные и оценочные транзакции часто являются более субъективными или менее частыми, их контроль менее формален. Следовательно, риск потенциальных ошибок может быть выше.

Понять поток транзакций

После того, как основные классы транзакций были определены, необходимо получить подробную информацию о процессах, чтобы понять поток каждого основного класса транзакций.

Цель этого шага состоит в том, чтобы идентифицировать записи, документы и основные процедуры, используемые для выявления возможных ошибок.

Большинство процессов включают ряд действий, таких как проверка и редактирование ввода данных, расчеты, обновление основных файлов и файлов транзакций, а также сводка данных и информация.

Наиболее важными процедурами процесса, которые необходимы для выявления возможных ошибок, являются действия, которые необходимо начать; зарегистрироваться; обрабатывать или сообщать основные классы транзакций. К ним относятся процедуры исправления и повторной обработки ранее отклоненных транзакций и процедуры исправления ошибочных транзакций с использованием записей корректировки.

Мы должны понимать поток и характер информации; проанализировать типы ошибок, которые могут возникнуть при инициировании, регистрации, обработке и составлении отчетов о транзакциях, и рассмотреть соответствующие политики и процедуры внутреннего контроля.

В то время как документация понимания и оценки будет варьироваться в зависимости от категории транзакции, например, использовать рабочие документы для документирования процессов для обычных транзакций и меморандумы для документирования процессов для нестандартных и оценочных транзакций, цели записи учетной информации являются согласованными.,

Отчетность о финансовой информации

Процесс подготовки финансовых отчетов должен быть включен в ваше понимание и оценку внутреннего контроля. Понимание значительных процессов в бизнесе и их взаимосвязь с конкретным процессом производства финансовой информации послужит основой для знания информации, необходимой для процесса финансовой отчетности. Как правило, это будет включать в себя:

1. Процедуры записи итогов транзакций в Главной книге. Процедуры инициирования, записи и обработки записей журнала в Главной книге. Другие процедуры, используемые для записи периодических и разовых корректировок в финансовых отчетах и ​​реклассификациях. Подготовка проектов финансовой отчетности и примечаний к финансовой отчетности.Подготовить руководству анализ финансовых и операционных достижений бизнеса.

Оцените Разработанные Средства управления

Тестирование контролей

Аудитор должен разработать и выполнить тесты средств контроля для получения достаточных надлежащих аудиторских доказательств, касающихся эффективности работы соответствующих средств контроля, если:

1. Оценка аудитором существенных рисков искажения на уровне утверждений включает в себя ожидание того, что средства контроля работают эффективно (то есть аудитор планирует полагаться на операционную эффективность средств управления для определения характера, сроков и расширение основных процедур); одни только основные процедуры не могут обеспечить достаточные надлежащие аудиторские доказательства на уровне утверждений.

При разработке и проведении тестов средств контроля аудитор должен получать более убедительные аудиторские доказательства, тем больше степень зависимости аудитора от эффективности контроля.

Характер и степень испытаний контролей

При разработке и проведении испытаний средств контроля аудитор должен:

a) Выполнить другие аудиторские процедуры в сочетании с расследованием, чтобы получить аудиторские доказательства эффективности работы средств контроля, включая:

i) как меры контроля применялись в соответствующие моменты в течение проверяемого периода;

ii) последовательность, с которой они были применены; и iii) кем и какими средствами они были применены.

b) Определить, зависят ли проверяемые элементы управления от других элементов управления (косвенные средства контроля) и, если да, необходимо ли получить аудиторские доказательства, подтверждающие эффективную работу указанных средств косвенного контроля.

Сроки испытаний органов управления

Аудитор должен проверить средства контроля в течение определенного времени или в течение периода, в течение которого аудитор намеревается полагаться на такие средства контроля, чтобы обеспечить надлежащую основу для поддержки, намеченной аудитором.

Если аудитор получает аудиторские доказательства об операционной эффективности средств контроля в течение промежуточного периода, аудитор должен:

1. Получить аудиторские доказательства о важных изменениях в упомянутых контролях после предварительного периода; Определить дополнительные аудиторские доказательства, которые будут получены за оставшийся период

Использование аудиторских доказательств, полученных в предыдущих аудитах

При определении целесообразности использования аудиторских доказательств об операционной эффективности средств контроля, полученных в предыдущих аудитах, и, если да, о продолжительности периода, который может пройти до повторного тестирования, аудитор должен рассмотреть следующее:

1. Эффективность других элементов внутреннего контроля, включая среду контроля, мониторинг средств контроля со стороны субъекта и процесс оценки рисков субъекта, а также риски, вытекающие из характеристик элемента управления, в том числе ручного или автоматизированный; Эффективность общего контроля ИТ; Эффективность контроля и его применения субъектом, включая характер и степень отклонений в применении контроля, которые наблюдались в предыдущих аудитах, и если произошли кадровые изменения, которые значительно повлиять на применение контроля, если отсутствие изменений в конкретном контроле представляет риск из-за меняющихся обстоятельств;y Риски существенного искажения и степени зависимости от контроля Риски материального искажения и степени зависимости от контроля

Если аудитор планирует использовать аудиторские доказательства из предыдущего аудита об операционной эффективности конкретных средств контроля, аудитор должен установить постоянную актуальность таких доказательств, получая аудиторские доказательства того, произошли ли существенные изменения в этих средствах управления после предшествующего аудита.

Эффективность других элементов внутреннего контроля, в том числе контрольной среды, мониторинга контроля со стороны организации и процесса оценки риска организации; Риски, возникающие из характеристик контроля, в том числе ручного или автоматического; Эффективность общего ИТ-контроля; Эффективность контроля и его применение предприятием, включая характер и степень отклонений в применении контроля, которые наблюдались в предыдущих аудитах, и произошли ли кадровые изменения, которые существенно влияют на применение контроля; Если отсутствие определенного изменения контроля представляет риск из-за меняющихся обстоятельств; и риски существенного искажения и степени зависимости от контроля.

1. Если произошли изменения, которые влияют на сохраняющуюся актуальность аудиторских доказательств предыдущего аудита, аудитор должен проверить средства контроля в ходе аудита.Если таких изменений не было, аудитор должен проверить средства управления как минимум один раз каждый третий аудит и должен проверять некоторые контроли каждый аудит, чтобы избежать возможности тестирования всех контролей, на которые аудитор намерен рассчитывать в течение одного периода аудита, без тестирования контролей в два периода аудита потом.

Контроль значительных рисков

Если аудитор планирует использовать средства контроля над риском, который аудитор определил как существенный риск, аудитор должен проверить эти средства контроля в текущем периоде.

Оценка операционной эффективности средств контроля

Оценивая операционную эффективность соответствующих средств контроля, аудитор должен оценить, указывают ли искажения, которые были обнаружены с помощью основных процедур, на то, что средства управления не работают эффективно. Однако отсутствие искажений, выявленных с помощью основных процедур, не дает аудиторскому доказательству того, что средства контроля, связанные с проверяемым утверждением, эффективны.

Если обнаруживаются отклонения от мер контроля, на которые аудитор рассчитывает положиться, аудитор должен провести специальные расследования, чтобы понять эти проблемы и их потенциальные последствия, и определить:

1. Проведенные тесты контролей обеспечивают надлежащую основу для контроля, необходимы дополнительные тесты контролей; o Потенциальные риски искажения должны быть решены с использованием основных процедур.

Определение того, являются ли разработанные средства контроля эффективными, должно быть проверено с помощью аудиторского тестирования. При проведении этой оценки аудитор должен учитывать:

1. Характеристики связанных учетных записей (размер, подверженность ошибкам или манипуляциям). Эффективность внутреннего контроля на уровне компании. Выводы, относящиеся к процессам информационных технологий (ИТ). Проект контроля, осуществляемый компанией. Риски контроля. Политики и процедуры, касающиеся авторизации, хранения активов, надежного контроля активов и разделения обязанностей.

Определение того, достигают ли меры контроля конкретной цели (например, в отношении целей финансовой отчетности или каких существенных ошибок не происходит), часто требует значительных суждений.

Ключевой вопрос заключается в том, могут ли основные средства контроля предотвратить и / или обнаружить существенную ошибку, связанную с каждым из соответствующих утверждений в финансовой отчетности.

Если существующие средства управления не эффективны для этой цели (или нет средств управления), может потребоваться установить дополнительные средства управления, запрограммированные или ручные. Однако перед установкой новых процедур компания должна провести исследование затрат и выгод.

Определить, если элементы управления работают как задумано

Руководство должно иметь разумную уверенность в том, что средства управления функционируют в соответствии с планом.

Первоначальный шаг в этом процессе для аудитора состоит в том, чтобы выполнить обзор транзакций, чтобы убедиться, что то, что он понимает в отношении желаемой операции процесса и его элементов управления, является правильным.

После того, как этот тур был запущен, вы можете начать тестирование эффективности средств управления.

Тесты, чтобы проверить, работают ли средства управления, как разработано, могут быть выполнены:

1. Опрос лиц, ответственных за контроль и изучение доказательств (например, проверка банковских выверок) о том, что контроль был выполнен и был эффективен. Проанализируйте транзакцию и повторите операцию (например, расчеты по счету, используемому в качестве образца).

д. В других случаях безопасность может быть достигнута путем правильного выполнения контроля, наблюдения за сотрудниками во время выполнения ими своих функций и проведения собеседований с персоналом, чтобы определить, понимают ли они, что им следует делать, если во время выполнения их обнаружена ошибка. функции.

В случае транзакций, обрабатываемых ИТ-системой, в дополнение к отслеживанию физического потока документов и форм, аудитор также отслеживает поток данных и файловой информации посредством автоматизированных процессов приложения (на системном уровне и не на уровне детальной логики).

Это может включать такие процедуры, как вопросы независимому, но хорошо осведомленному персоналу, просмотр руководств пользователя, наблюдение за пользователем при обработке транзакций в терминале, в случае «онлайнового» приложения и просмотр такой документации. как выходные отчеты.

По завершении этой задачи аудитор должен документально подтвердить, работают ли ручные и запланированные средства контроля в соответствии с планом, и включать любые другие соответствующие комментарии, которые могут помочь аудитору в оценке ключевых процессов.

В динамичной бизнес-среде элементы управления время от времени требуют модификации. Некоторые системы могут требовать улучшения в своих элементах управления для реагирования на новые продукты на рынке или из-за возникающих рисков. Автоматизация некоторых ручных контролей может повысить эффективность и соответствие политике управления. В других областях оценка может указывать на избыточные средства контроля или другие процедуры, которые больше не нужны. В таких случаях компания может поддерживать приемлемый уровень контроля и улучшать свои результаты посредством соответствующих изменений.

В случае выявления областей, в которых недостаточно средств контроля, чтобы получить разумную уверенность в том, что риск ошибки снижается до приемлемого уровня, команда проекта должна рекомендовать улучшения. Концепция разумной безопасности должна учитываться во всех рекомендациях.

Как в текстах аудита, так и в отчете COSO подчеркивается, что внутренний контроль не должен быть полностью свободен от рисков, если полная ликвидация этих рисков обойдется выше ожидаемой выгоды. Поэтому, когда рецензент или проектная группа идентифицируют риск, необходимо принять «решение о затратах и ​​выгодах» относительно того, перевешивают ли затраты затраты на установку и обслуживание элемента управления, который снижает или устраняет риск. ожидается. Как правило, средства управления могут только уменьшить, но не полностью устранить риск. Кроме того, анализ затрат и выгод можно использовать для определения необходимости сохранения существующих мер контроля.

Все аспекты внутреннего контроля являются предметом рутинных процедур (например, сравнение счетов-фактур с отчетами о поступлении). Периодический мониторинг (например, тесты средств контроля, проверка частей системы, обновление предыдущих исследований затрат и выгод). Это включает решения о типе мониторинга (например, внутренними аудиторами) и частоте мониторинга (например, ежеквартально, ежегодно и т. Д.)

Документация, связанная с:

• Система контроля транзакций Мониторинг деятельности Решения по затратам

Политика и практика отчетности:

• Неправильная эксплуатация средств управления или обходные средства управления Изменения в обстоятельствах, которые создают дополнительные или новые риски, или уменьшают или устраняют существующие риски. Политика и практика для своевременных корректирующих действий

Во многих случаях, или, возможно, в большинстве из них, официальный анализ затрат и выгод будет трудным или дорогим и ненужным. Например, люди, выполняющие анализ после второго шага, могут признать, что стоимость превысит выгоды. С другой стороны, те, кто проводит анализ, могут прийти к выводу, что затраты на снижение риска будут минимальными и что это может быть практичным для установки контроля.

Однако в тех случаях, когда имеет смысл провести формальный анализ затрат и выгод, может оказаться полезным рассмотреть следующее:

1. Перечислите все разумные альтернативы (включая меры контроля), которые могут быть приняты для уменьшения или устранения рисков - и, если они не были идентифицированы - перечислите все риски, которые можно уменьшить или устранить с каждой альтернативой. Перечислите или определите соответствующие статьи затрат для Возьмите на себя каждую альтернативу. Определите затраты и риски, поддающиеся количественной оценке. Количественно определите эти затраты и риски. Оцените вероятность того, что потеря произойдет из-за невозможности исправить слабость, и как часто это событие может произойти. Оценить альтернативу в каждой альтернативе вероятность (если таковая имеется), что может возникнуть потеря, если установлен элемент управления, и как часто она может происходить (если есть). Разработать «наилучшую оценку» выгод, которые могут быть получены путем устранения или уменьшения риска (например,,,умножение в каждой альтернативе риска, количественно определяемого по уменьшению вероятности возникновения убытков, а затем по снижению частоты возникновения). Решите, могут ли затраты на исправление слабости превысить выгоды или наоборот, на основе сравнение затрат (поддающихся количественной оценке и не поддающихся количественной оценке) с выгодами (поддающимися количественной оценке и не поддающихся количественной оценке).

Мониторинг

Наконец, как упоминалось ранее, внутренний контроль должен быть самоконтролем и самокорректирующимся. Это означает, что компания должна создать механизмы для постоянного мониторинга и поддержания системы внутреннего контроля и своевременно принимать корректирующие меры, когда это необходимо.

Как правило, ответственность за то, чтобы сделать систему внутреннего контроля «самоконтролем» и «самокоррекцией», не должна возлагаться исключительно на одну группу. В широком смысле система внутреннего контроля является комплексной и полной. В нем участвуют сотрудники со всей организации, в том числе многие люди, которые не считают себя ответственными за учет или контроль.

Источники для документирования процессов

Ниже приведены источники, где Аудитор может найти информацию для документирования процессов:

• Организационные схемы с указанием должностей и обязанностей. Интервью с владельцами процесса. Руководства по процедурам. Политики, связанные с процессом. Наблюдение за деятельностью процесса. Проверка информации, получаемой в процессе. Внутренние и / или внешние аудиторские отчеты (помогают Аудитору выявлять недостатки и риски процесса) Рассмотрение рекомендаций аудитора за предыдущий год

Оцените процесс и транзакцию

Для проведения нашего анализа процессов мы рассмотрим следующие направления деятельности:

1. Понимание процесса Выявление рисков и средств управления процессом. Выбор соответствующих средств управления, для которых будут проводиться испытания. Оценка средств управления. Разработка контрольных испытаний, связанных с эксплуатационной эффективностью средств управления.

к. Понимание процесса

Важно, чтобы Аудитор понимал и документировал действия, которые инициируют, обрабатывают и регистрируют важные транзакции. Пример:

б. Идентификация рисков и контроль процесса

Хорошее понимание процесса будет зависеть от выявления рисков и средств контроля, которые их смягчают. При определении рисков важно учитывать факторы, которые могут увеличить риски, такие как качество персонала, прошлый опыт в достижении целей, сложность деятельности, географическое распределение деятельности, среди прочего.

Примеры факторов, которые могут увеличить вероятность возникновения рисков процесса:

Связь неконкурентоспособного персонала с проблемами организации, а также недостаточная эффективность методов обучения и мотивации, которые могут повлиять на уровень самоконтроля в деятельности предприятия.

Сбои в обработке информационных систем, которые влияют на идентификационные операции.

Изменения в назначенных обязанностях администрации, которые влияют на выполнение некоторых контролей.

Идентификация контролей

Органы управления подразделяются на три типа:

• Автоматически: выполняется от начала и до конца информационной системой. Полуавтоматически: частично выполняется человеком, но в сотрудничестве с информационной системой. Руководство: выполняется полностью одним человеком, без взаимодействия системы. информации.

Управление может быть профилактическим, детективным или корректирующим:

Превентивный контроль: его цель - предвидеть нежелательные события, воздействуя на причины риска, а также избегать возникновения ошибок или мошеннических событий.

Детективный контроль: определяет все эти события в момент их возникновения, а также предупреждает о наличии рисков.

Корректирующий контроль: он ориентирован на выполнение корректирующих действий после выявления нежелательного события. Его реализация выполняется, когда профилактические и детективные средства контроля не работают, а это означает, что его реализация обходится дороже, поскольку они действуют, когда события потери уже осуществлены для организации.

2. Другие соображения контроля

Политики и процедуры, касающиеся авторизации, защиты активов, ответственности за активы и разделения обязанностей, устанавливаются руководством для обеспечения разумной уверенности в том, что:

1. Активы приобретаются, охраняются и используются, а обязательства возникают и высвобождаются в соответствии с решениями руководства Финансовая информация надлежащим образом хранится в бухгалтерских книгах и записях, касающихся активов и обязательств, вытекающих из этих решений.

Эти политики и процедуры являются неотъемлемой частью системы внутреннего контроля и в основном связаны с контролем руководства над распоряжением активами и обязательствами компании и, только косвенно, с контролем за обработкой данных, которые занимаются правильным, пунктуальным и полным учетом операций. Тем не менее, отсутствие такого контроля может увеличить риск существенных ошибок в финансовой информации, включенной в бухгалтерские книги и записи компании.

Поскольку политики и процедуры часто принимают форму контроля, отсутствие адекватных политик и процедур в любой из этих областей может повлиять на то, как команда проекта оценивает эффективность конкретных мер контроля над процессами.

Авторизация: общие и специальные уровни авторизации и утверждения, а также процедуры, предназначенные для обеспечения того, чтобы транзакции и действия выполнялись в соответствии с намерениями руководства.

Защита активов: ограничения, предназначенные для предотвращения потери активов, доступа и использования активов и записей, включая физический доступ и косвенный доступ посредством подготовки и обработки данных, которые разрешают или облегчают использование или распоряжение активами

Ответственность за активы:

Процедуры для сравнения зарегистрированных активов с активами в физическом существовании и для принятия соответствующих мер при выявлении различий. Такие процедуры помогают установить разумную уверенность в том, что процедуры, касающиеся разрешения на использование и доступа к активам, выполняются.

Разделение обязанностей: предотвращение того, что один человек выполняет функции, которые не совместимы, или что приложение информационных технологий допускает несоответствующий или чрезмерный доступ функций к пользователям. Например, если человек в состоянии совершать ошибки, скрывая их в рамках своих собственных обязанностей.

3. Эффекты информационных технологий

В более сложных автоматизированных приложениях средства управления, определенные руководством, часто могут включать информационные технологии (ИТ). Средства управления ИТ включают средства управления приложениями и общие средства управления ИТ. Эти средства контроля помогают обеспечить разумную уверенность в том, что транзакции действительны, полностью и точно авторизованы и обработаны для обеспечения надежности.

Контроль приложений

Элементы управления приложениями соответствуют обработке отдельных транзакций и могут состоять из запланированных процедур (например, определенных программ для обработки или редактирования транзакции) или внеплановых элементов управления (например, ручного балансирования информации, создаваемой ИТ-отделом). Существуют часто программируемые элементы управления, которые могут быть запрограммированными процедурами контроля (например, редактировать, сравнивать или согласовывать) или ИТ-процессами (например, вычисления, онлайн-записи или автоматические интерфейсы между системами), на которые опирается управление для обеспечения точность и полнота информации, генерируемой автоматизированными приложениями. Например, чтобы убедиться, что цены на всех счетах клиентов правильные,руководство может полагаться на автоматизированную информацию для выявления транзакций ценообразования, которые не соответствуют установленным критериям, в сочетании с программным обеспечением контроля доступа для ограничения доступа к файлу основной цены. Точно так же руководство может придать уверенность в ИТ-процессе, таком как автоматическое расширение счетов-фактур продаж, чтобы гарантировать, что все продажи были оценены надлежащим образом.

Вы можете найти запрограммированные элементы управления на разных уровнях обработки данных. Ниже приведены некоторые примеры:

Входные данные: существуют элементы управления для обеспечения достоверности и целостности входных данных (например, сводка транзакций, сгенерированных в филиалах). Может быть несколько проверок, чтобы избежать ввода ошибочных данных.

Обработка: есть также элементы управления для обеспечения правильной оценки и учета. Процессы могут выполнять простые или сложные вычисления (например, ценообразование на продукцию, опционы). Управление инструкциями и обработка параметров также является ключевым вопросом управления.

Выходные данные: могут быть специальные средства контроля, когда выходные данные генерируют платежи (например, проверка идентификации поставщика до обработки платежа).

Одной запланированной проверки может быть недостаточно для того, чтобы приложение предотвращало возникновение ошибок или обнаруживало и исправляло ошибки, возникшие в процессе обработки. Однако запланированный мониторинг в сочетании с эффективными общими средствами контроля ИТ может обеспечить желаемый уровень контроля.

Общие элементы управления ИТ

Они относятся к основному контролю над приобретением и обслуживанием прикладного и системного программного обеспечения, обеспечению безопасности доступа и разделению функций, которые обеспечивают эффективность запрограммированных элементов управления. Как правило, общие средства управления ИТ предназначены для обеспечения того, чтобы:

Все изменения в приложениях были утверждены, протестированы и одобрены до внедрения.

Только уполномоченные лица и приложения имеют доступ к данным и могут выполнять только определенные функции (например, запрашивать, выполнять или обновлять).

Если, принимая во внимание вопросы о том, «что может пойти не так», команда проекта решит, что руководство придает уверенность запрограммированным элементам управления или что идентифицированный элемент управления зависит от данных, сгенерированных ИТ, тогда следует задать второй вопрос: «Как руководство узнает, работают ли запрограммированные элементы управления эффективно?» Ответ может состоять в том, что: (1) пользовательские процедуры проверяют точность обработки (например, вручную пересчитывает сложные вычисления или сверяют ИТ-отчеты с итоговыми данными вручную) и / или (2) управление зависит от ИТ-системы для эффективного управления или производства данных. В случае ответа (2) влияние общих элементов управления ИТ (т. Е. Изменений в программах и / или доступа к файлам данных,включая общие элементы управления в интегрированных средах приложений, такие как ключевые исправления и разделение обязанностей между пользователями, влияющими на все приложение), следует учитывать при предварительной оценке эффективности всех элементов управления в зависимости от системы ИТ или данных, генерируемых ИТ.

Многие компании используют сторонние сервисные организации для обработки транзакций. В этом случае, в дополнение к оценке средств контроля в компании, руководство должно понять, какое значение имеет обработка в организации обслуживания для системы учета и контроля компании. Исходя из степени важности, руководству может потребоваться провести оценку средств контроля, действующих в сервисной организации. Часто аудитор сервисной организации готовит отчет по этим элементам управления, который будет полезен для оценки их руководством.