Внутренний контроль

Внутренний контроль, как определено в бухгалтерском учете и аудите, является процесс обеспечения целей организации в области операционной эффективности и эффективности, надежной финансовой отчетности и соблюдения законов, нормативных актов и политик. В широком смысле внутренний контроль включает в себя все, что контролирует риски для организации.

Это средство, с помощью которого ресурсы организации направляются, контролируются и измеряются. Он играет важную роль в обнаружении и предотвращении мошенничества и защите ресурсов организации, как физических (например, оборудование и собственность), так и нематериальных (например, репутации или интеллектуальной собственности, такой как товарные знаки).

На уровне организации цели внутреннего контроля связаны с надежностью финансовой отчетности, своевременной обратной связью о достижении операционных или стратегических целей и соблюдением законов и нормативных актов. На уровне конкретной транзакции внутренний контроль относится к действиям, предпринимаемым для достижения конкретной цели (например, как обеспечить, чтобы платежи организации третьим сторонам были за действительные предоставленные услуги). Процедуры внутреннего контроля сокращают вариативность процесса, что приводит к более предсказуемым результатам. Внутренний контроль является ключевым элементом Закона о борьбе с коррупцией за рубежом (FCPA) 1977 года и Закона Сарбейнса – Оксли 2002 года, которые требовали улучшения внутреннего контроля в государственных корпорациях Соединенных Штатов. Внутренний контроль внутри хозяйственных обществ также называется операционным контролем . Существующие основные средства контроля иногда называют «ключевыми средствами финансового контроля» (KFC).

• 1 Ранняя история внутреннего контроля
• 2 Определения
• 3 Контекст
• 4 Роли и обязанности в внутренний контроль
  • 4.1 Менеджмент
  • 4.2 Совет директоров
• 5 Роли и обязанности аудиторов
  • 5.1 Аудиторы
  • 5.2 Комитет по аудиту
  • 5.3 Комитет по вознаграждениям персонала
  • 5.4 Оперативный персонал
  • 5.5 Непрерывный мониторинг средств контроля
  • 5.6 Стандарты аудита
• 6 Ограничения
• 7 Описание внутреннего контроля
  • 7.1 Категоризация целей или утверждений
  • 7.2 Категоризация действий
  • 7.3 Точность контроля
• 8 Мошенничество и внутренний контроль
• 9 Внутренний контроль и улучшение процессов
• 10 См. Также
• 11 Ссылки
• 12 Внешние ссылки

Внутренний контроль существовал с древних времен. В эллинистическом Египте существовало двойное управление: одна группа бюрократов отвечала за сбор налогов, а другая - за их надзор. В Китайской Республике надзорный орган (检察院; пиньинь : Цзюнча Йоань), одна из пяти ветвей власти, является следственным агентством, которое контролирует другие ветви власти.

Существует множество определений внутреннего контроля, поскольку он по-разному влияет на различные группы (заинтересованные стороны) организации и на разных уровнях агрегирования.

В рамках COSO Internal Control-Integrated Framework, широко используемой системы не только в США, но и во всем мире, внутренний контроль в широком смысле определяется как процесс, осуществляемый советом директоров организации. директоров, менеджмента и другого персонала, призванные обеспечить разумную уверенность в достижении целей, касающихся операций, отчетности и соблюдения нормативных требований.

COSO определяет внутренний контроль как состоящий из пяти компонентов:

1. Среда контроля - задает тон организации, влияя на сознание ее сотрудников в отношении контроля. Это основа для всех других компонентов внутреннего контроля.
2. Оценка рисков - выявление и анализ соответствующих рисков для достижения целей, формирующих основу для управления рисками
3. Информационные и коммуникационные системы или процессы, которые поддерживают идентификацию, сбор и обмен информацией в такой форме и в сроки, которые позволяют людям выполнять свои обязанности
4. Контрольные действия - политики и процедуры, которые помогают обеспечить выполнение указаний руководства
5. Мониторинг-процессы, используемые для оценки качества выполнения внутреннего контроля с течением времени.

Определение COSO относится к совокупной системе контроля организации, которая состоит из множества отдельных контрольных процедур.

Дискретные контрольные процедуры или средства контроля определяются SEC как: «... определенный набор политик, процедур и действий, разработанных для достижения цели. Контроль может существовать в рамках назначенной функции или деятельности в процесс. Воздействие средства контроля... может быть общесистемным или специфическим для баланса счета, класса транзакций или приложения. Средства контроля обладают уникальными характеристиками - например, они могут быть: автоматическими или ручными; согласования; разделение обязанностей; анализ и разрешения на утверждение; защита и учет активов; предотвращение или обнаружение ошибок или мошенничества. Средства контроля в рамках процесса могут состоять из средств управления финансовой отчетностью и оперативных средств контроля (то есть тех, которые предназначены для достижения операционных целей) ".

В более общем плане определение целей, бюджетов, планов и других ожиданий устанавливает критерии контроля. Сам по себе контроль существует, чтобы поддерживать производительность или состояние дел в пределах ожидаемых, допустимых или приемлемых. Контроль, встроенный в процесс, носит внутренний характер. Это происходит с комбинацией взаимосвязанных компонентов, таких как социальная среда, влияющая на поведение сотрудников, информация, необходимая для контроля, а также политики и процедуры. Структура внутреннего контроля - это план, определяющий, как внутренний контроль состоит из этих элементов.

Концепции корпоративного управления также во многом основываются на необходимости внутреннего контроля. Внутренний контроль помогает гарантировать, что процессы работают так, как задумано, и что реагирование на риски (обработка рисков) в управлении рисками осуществляется (COSO II). Кроме того, должны существовать обстоятельства, обеспечивающие выполнение вышеупомянутых процедур, как задумано: правильное отношение, честность и компетентность, а также контроль со стороны руководителей.

Согласно концепции COSO, каждый в организации в определенной степени несет ответственность за внутренний контроль. Практически все сотрудники производят информацию, используемую в системе внутреннего контроля, или предпринимают другие действия, необходимые для воздействия на контроль. Кроме того, весь персонал должен нести ответственность за сообщение о проблемах, связанных с операциями, несоблюдении кодекса поведения или других нарушениях политики или незаконных действиях. Каждый крупный субъект корпоративного управления должен играть определенную роль:

Руководство

Главный исполнительный директор (высший менеджер) организации несет общую ответственность за разработку и внедрение эффективного внутреннего контроля. Главный исполнительный директор больше, чем кто-либо другой, задает «тон наверху », который влияет на честность и этику, а также на другие факторы среды позитивного контроля. В крупной компании главный исполнительный директор выполняет эту обязанность, обеспечивая руководство и направление старшим менеджерам и анализируя способы, которыми они контролируют бизнес. Старшие менеджеры, в свою очередь, возлагают ответственность за разработку более конкретных политик и процедур внутреннего контроля на персонал, отвечающий за функции подразделения. В более мелких организациях влияние главного исполнительного директора, часто управляющего собственником, обычно более прямое. В любом случае при каскадной ответственности менеджер фактически является руководителем своей сферы ответственности. Особое значение имеют сотрудники по финансовым вопросам и их сотрудники, чья контрольная деятельность охватывает операционные и другие подразделения предприятия, а также управляет ими.

Совет директоров

Руководство подотчетно совету директоров, который обеспечивает управление, руководство и надзор. Эффективные члены правления объективны, способны и любознательны. Они также знают о деятельности и среде организации и выделяют время, необходимое для выполнения своих обязанностей в совете директоров. Руководство может иметь возможность игнорировать меры контроля и игнорировать или подавлять сообщения от подчиненных, позволяя нечестному руководству, которое намеренно искажает результаты, чтобы замести следы. Сильный и активный совет директоров, особенно в сочетании с эффективными восходящими каналами связи и компетентными финансовыми, юридическими и внутренними аудиторскими службами, часто лучше всего способен выявить и исправить такую ​​проблему.

Аудиторы

внутренние аудиторы и внешние аудиторы организации также измеряют эффективность внутреннего контроля с помощью своих усилия. Они оценивают, правильно ли разработаны, внедряются и работают ли средства контроля, и дают рекомендации по улучшению внутреннего контроля. Они также могут ознакомиться с средствами управления информационными технологиями, которые относятся к ИТ-системам организации. Чтобы обеспечить разумную уверенность в том, что внутренний контроль, задействованный в процессе финансовой отчетности, эффективен, они тестируются внешним аудитором (аудиторами организации), который должен высказать свое мнение о внутреннем контроле компании и достоверность финансовой отчетности.

Комитет по аудиту

Роль и обязанности комитета по аудиту, в общих чертах, заключаются в следующем: (a) Обсудить с руководством, внутренними и внешними аудиторами и основными заинтересованными сторонами качество и адекватность внутренних контролирует систему и процесс управления рисками, их эффективность и результаты, а также регулярно и конфиденциально встречаются с Директором внутреннего аудита; (b) Рассматривать и обсуждать с руководством и внешними аудиторами и утверждать проаудированные финансовые отчеты организации и давать рекомендации относительно включения этих финансовых отчетов в любые публичные документы. Также вместе с руководством и независимым аудитором анализируйте влияние нормативных и бухгалтерских инициатив, а также внебалансовых показателей в финансовой отчетности организации; (c) Изучать и обсуждать с руководством типы информации, подлежащей раскрытию, и типы презентаций, которые должны быть сделаны в отношении пресс-релиза Компании о доходах, финансовой информации и руководства по прибыли, предоставляемого аналитикам и рейтинговым агентствам; (d) Подтверждать объем аудиторских проверок, которые должны быть выполнены внешними и внутренними аудиторами, отслеживать прогресс и анализировать результаты, а также проверять сборы и расходы. Изучите важные выводы или неудовлетворительные отчеты внутреннего аудита, а также проблемы или трудности, с которыми столкнулся внешний независимый аудитор. Отслеживать реакцию руководства на все выводы аудита; e) рассматривать жалобы, касающиеся бухгалтерского учета, внутреннего контроля бухгалтерского учета или аудита; (f) получать регулярные отчеты от главного исполнительного директора, финансового директора и других контрольных комитетов Компании о недостатках в структуре или функционировании внутреннего контроля и любом мошенничестве, в котором участвует руководство или другие сотрудники, играющие важную роль во внутреннем контроле; и (g) Поддержка руководства в разрешении конфликтов интересов. Следите за адекватностью внутреннего контроля организации и убедитесь, что все дела о мошенничестве приняты меры.

Комитет по вознаграждениям персонала

Роль и обязанности вознаграждений персоналу, в общих чертах, заключаются в следующем: (a) Утверждать и контролировать управление Программой вознаграждения руководителей Компании; (b) Рассматривать и утверждать конкретные вопросы вознаграждения для главного исполнительного директора, главного операционного директора (если применимо), финансового директора, главного юрисконсульта, старшего сотрудника по кадрам, казначея, директора по корпоративным отношениям и управлению и директоров компании; (c) рассматривает, в случае необходимости, любые изменения в вопросах вознаграждения перечисленных выше должностных лиц с Советом директоров; и d) анализировать и контролировать все действия и отчеты, связанные с производительностью и соблюдением людских ресурсов, включая систему управления эффективностью. Они также гарантируют, что показатели эффективности, связанные с выгодами, должным образом используются руководством организации.

Обслуживающий персонал

Все сотрудники должны нести ответственность за сообщение о проблемах в работе, мониторинг и улучшение своей работы, а также за отслеживание несоблюдения корпоративных политик и различных профессиональных кодексов или нарушений политик., стандарты, практики и процедуры. Их конкретные обязанности должны быть задокументированы в их личном деле. В деятельности по управлению эффективностью они принимают участие во всех мероприятиях по сбору и обработке данных о соответствии и производительности, поскольку они являются частью различных организационных единиц и могут также нести ответственность за различные виды деятельности, связанные с соблюдением требований и операционной деятельностью.

Штатные и младшие менеджеры могут участвовать в оценке средств контроля в рамках их собственного организационного подразделения с помощью самооценки контроля.

.

Непрерывный мониторинг средств контроля

Достижения в области технологий и анализа данных имеют привело к разработке многочисленных инструментов, которые могут автоматически оценивать эффективность внутреннего контроля. При использовании в сочетании с непрерывным аудитом непрерывный мониторинг средств контроля обеспечивает уверенность в финансовой информации, проходящей через бизнес-процессы.

Стандарты аудита

В ряде юрисдикций существуют законы и правила внутреннего контроля, связанные с финансовой отчетностью. В США эти правила специально установлены статьями 404 и 302 Закона Сарбейнса-Оксли. Руководство по аудиту этих средств контроля указано в

• SSAE № 18, опубликованном Американским институтом сертифицированных общественных бухгалтеров (AICPA)
• Стандарт аудита № 5, опубликованный Совет по надзору за бухгалтерским учетом публичных компаний (PCAOB)
• Руководство Комиссии по ценным бумагам и биржам, которое дополнительно обсуждается в разделе Нисходящая оценка рисков SOX 404.

Внутренний контроль может обеспечить разумная, а не абсолютная уверенность в том, что цели организации будут достигнуты. Концепция разумной уверенности предполагает высокую степень уверенности, ограниченную затратами и выгодами, связанными с установлением дополнительных процедур контроля.

Эффективный внутренний контроль предполагает, что организация составляет надежную финансовую отчетность и в значительной степени соблюдает применимые к ней законы и правила. Однако достижение организацией операционных и стратегических целей может зависеть от факторов за пределами предприятия, таких как конкуренция или технологические инновации. Эти факторы выходят за рамки внутреннего контроля; Таким образом, эффективный внутренний контроль предоставляет только своевременную информацию или отзывы о прогрессе в достижении операционных и стратегических целей, но не может гарантировать их достижение.

Внутренний контроль может быть описан в терминах:

a) соответствующей цели или утверждения финансового отчета

b) характера сама контрольная деятельность.

Категоризация целей или утверждений

Утверждения - это заявления руководства, воплощенные в финансовой отчетности. Например, если финансовый отчет показывает баланс основных средств на сумму 1000 долларов США, это означает, что руководство утверждает, что основные средства действительно существуют на дату составления финансовой отчетности, оценка которых составляет ровно 1000 долларов США (на основе исторической стоимости или справедливая стоимость в зависимости от концепции и стандартов отчетности), и предприятие имеет полное право / обязанность, возникающую в связи с такими активами (например, если они сдаются в аренду, это должно быть раскрыто соответствующим образом). Кроме того, такие основные средства должны быть раскрыты и правильно представлены в финансовой отчетности в соответствии с концепцией подготовки финансовой отчетности, применимой к компании.

Средства контроля могут быть определены в отношении конкретного утверждения финансовой отчетности, к которому они относятся. Существует пять таких утверждений, образующих аббревиатуру «PERCV» (произносится «воспринимать»):

1. Представление и раскрытие информации: счета и раскрытие информации должным образом описаны в финансовой отчетности организации.
2. Существование / Возникновение / Срок действия: обрабатываются только действительные или санкционированные транзакции.
3. Права и обязанности: Активы являются правами организации, а обязательства - ее обязательствами на заданную дату.
4. Полнота: Все транзакции обрабатываются, что должно быть.
5. Оценка: транзакции оцениваются точно с использованием надлежащей методологии, такой как указанные средства вычисления или формулы.

Например, целью контроля действительности может быть: «Платежи являются сделано только для авторизованных продуктов и полученных услуг ". Типичная процедура контроля будет выглядеть так: «Платежная система сравнивает заказ на поставку, запись о получении и счет поставщика до утверждения платежа». Руководство несет ответственность за внедрение соответствующих средств контроля, которые применяются ко всем операциям в сфере их ответственности.

Категоризация деятельности

Контрольные действия также могут быть объяснены типом или характером деятельности. К ним относятся (но не ограничиваются ими):

• Разделение обязанностей - разделение ролей авторизации, хранения и ведения записей для предотвращения мошенничества или ошибки со стороны одного человека.
• Авторизация транзакций - проверка конкретные транзакции, выполняемые соответствующим лицом.
• Хранение записей - ведение документации для подтверждения транзакций.
• Надзор или мониторинг операций - наблюдение или анализ текущей операционной деятельности.
• Физический меры безопасности - использование камер, замков, физических барьеров и т. д. для защиты собственности, например товарных запасов.
• Проверки на высшем уровне - анализ фактических результатов в сравнении с целями или планами организации, периодические и регулярные операционные проверки, показатели и другие ключевые показатели эффективности (KPI).
• Общие элементы управления ИТ - элементы управления, относящиеся к: a) безопасности, чтобы гарантировать доступ к системам и данным только уполномоченному персоналу, например, использование паролей и просмотр журналов доступа; и b) Управление изменениями, чтобы гарантировать надлежащий контроль программного кода, например разделение производственной и тестовой сред, системное и пользовательское тестирование изменений до принятия, а также контроль над переносом кода в производственную среду.
• Элементы управления ИТ-приложениями - элементы управления обработкой информации, осуществляемые ИТ-приложениями, например проверки редактирования для подтверждения ввода данных, учет транзакций в числовых последовательностях и сравнение итоговых значений файлов с контрольными счетами.

Точность управления

Точность контроля описывает соответствие или корреляцию между конкретной процедурой контроля и заданной целью контроля или риском. Контроль, оказывающий прямое влияние на достижение цели (или снижение риска), считается более точным, чем контроль, оказывающий косвенное влияние на цель или риск. Точность отличается от достаточности; то есть, для достижения цели контроля или снижения риска могут быть задействованы несколько средств контроля с разной степенью точности.

Точность - важный фактор при выполнении нисходящей оценки рисков SOX 404. После выявления конкретных рисков существенного искажения финансовой отчетности руководство и внешние аудиторы должны определить и протестировать средства контроля, которые снижают риски. Это включает вынесение суждений в отношении точности и достаточности средств контроля, необходимых для снижения рисков.

Риски и средства контроля могут быть на уровне объекта или на уровне утверждений в соответствии с руководством PCAOB. Для устранения рисков на уровне организации определены средства контроля на уровне организации. Однако для устранения рисков на уровне утверждений обычно используется комбинация средств управления на уровне сущности и на уровне утверждений. PCAOB устанавливает трехуровневую иерархию для рассмотрения точности элементов управления на уровне сущности. В более поздних рекомендациях PCAOB относительно малых государственных фирм было предусмотрено несколько факторов, которые следует учитывать при оценке точности.

Внутренний контроль играет важную роль в предотвращении и обнаружении мошенничества. Согласно Закону Сарбейнса-Оксли компании обязаны проводить оценку рисков мошенничества и оценивать соответствующие меры контроля. Обычно это включает определение сценариев, при которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. Риск того, что высшее руководство может игнорировать важные меры финансового контроля для манипулирования финансовой отчетностью, также является ключевой областью при оценке риска мошенничества.

AICPA, IIA и ACFE также спонсировали руководство, опубликованное в 2008 году, которое включает структуру для помощи организациям в управлении риском мошенничества.

Средства контроля можно оценивать и улучшать, чтобы бизнес-операции выполнялись более эффективно и результативно. Например, автоматизация средств управления, которые по своей природе являются ручными, может снизить затраты и улучшить обработку транзакций. Если система внутреннего контроля рассматривается руководителями только как средство предотвращения мошенничества и соблюдения законов и постановлений, важная возможность может быть упущена. Внутренний контроль также может использоваться для систематического улучшения бизнеса, особенно в отношении эффективности и результативности.

.

• Центр качества аудита
• Исполнительный директор по аудиту

1. ^Совет Барнета, Ключевые финансовые средства контроля, опубликовано в марте 2016 г., по состоянию на 29 января 2020 г.
2. ^" Рекомендации Комиссии в отношении отчета руководства о внутреннем контроле за финансовой отчетностью в соответствии с разделом 13 (a) или 15 (d) Закона о фондовых биржах 1934 г. " (PDF). Разъяснительное руководство SEC. Комиссия по ценным бумагам и биржам. 20 июня 2007 г.
3. ^Матти Маттила: Модель ECAR Архивировано 31 октября 2007 г. на Wayback Machine
4. ^«Стандарт аудита № 5: Внутренний аудит. Контроль финансовой отчетности, интегрированной с аудитом финансовой отчетности ». Совет по надзору за бухгалтерским учетом публичных компаний. Проверено 24 января 2014 г.
5. ^«Руководство для аудиторов небольших публичных компаний» (PDF). Совет по надзору за бухгалтерским учетом публичных компаний. 23 января 2009 г.
6. ^Резаи, Забихолла. Мошенничество с финансовой отчетностью: предотвращение и выявление. Нью-Йорк: Уайли; 2002.
7. ^«Управление программами и средствами защиты от мошенничества» (PDF). Американский институт сертифицированных бухгалтеров. Архивировано из оригинального (PDF) 28.06.2007. Проверено 25 июня 2007 г.
8. ^«Управленческое преобладание внутреннего контроля» (PDF). Американский институт сертифицированных бухгалтеров. 2005. Архивировано с оригинального (PDF) 27.09.2007. Проверено 25 июня 2007 г.
9. ^«Управление бизнес-риском мошенничества: практическое руководство» (PDF). Американский институт сертифицированных бухгалтеров. Проверено 24 января 2014 г.

• Организация высших органов финансового контроля (ИНТОСАИ)
• Комитет организаций-спонсоров Комиссии Тредуэя: Внутренний контроль - интегрированная система (1992)
• Внутренний контроль штата Нью-Йорк Ассоциация (NYSICA)
• Рафик Уануки1 и Ален Апрель (2007). «Измерение соответствия ИТ-процессов: требование Сарбейнса-Оксли» (PDF). Протоколы IWSM - Mensura 2007.