Sox 404 что это
Закон Сарбейнса-Оксли (SOX) 2002 г.
Опубликовано 02.06.2020 · Обновлено 02.06.2021
Что такое Закон Сарбейнса-Оксли (SOX) 2002 г.?
Закон Сарбейнса-Оксли 2002 года – это закон, принятый Конгрессом США 30 июля того же года, чтобы помочь защитить инвесторов от мошенничества с финансовой отчетностью корпораций.1 Также известный как Закон о SOX от 2002 года и Закон о корпоративной ответственности 2002 года, он потребовал строгих реформ в существующих положениях о ценных бумагах и наложил новые жесткие наказания на нарушителей закона.
Закон Сарбейнса-Оксли 2002 года явился ответом на финансовые скандалы в начале 2000-х годов с участием публичных компаний, таких как Enron Corporation, Tyco International plc и WorldCom.2 Крупные мошенничества подорвали уверенность инвесторов в надежности корпоративной финансовой отчетности и заставили многих потребовать пересмотра нормативных стандартов, существовавших несколько десятилетий назад.
Ключевые моменты
Акт получил свое название от двух спонсоров – Сена.Пол С. Сарбейнс (демократ от штата Мэриленд) и член палаты представителей Майкл Г. Оксли (республика Огайо).34
Понимание Закона Сарбейнса-Оксли (SOX)
Правила и политика обеспечения соблюдения, изложенные в Законе Сарбейнса-Оксли 2002 года, внесли поправки или дополнения в существующие законы, касающиеся регулирования безопасности, включая Закон о ценных бумагах и биржах 1934 года, а также другие законы, применяемые Комиссией по ценным бумагам и биржам (SEC).5 Новый закон предусматривает реформы и дополнения в четырех основных областях:
Основные положения Закона Сарбейнса-Оксли (SOX) 2002 г.
Закон Сарбейнса-Оксли 2002 года – сложный и объемный законодательный акт.Три его ключевых положения обычно обозначаются номерами разделов: Раздел 302, Раздел 404 и Раздел 802.1
Краткая справка
В соответствии с законом Сарбейнса-Оксли от 2002 года должностные лица корпораций, которые заведомо удостоверяют ложные финансовые отчеты, могут попасть в тюрьму.
Раздел 302 Закона SOX 2002 года обязывает старших должностных лиц корпорации лично подтверждать в письменной форме, что финансовая отчетность компании «соответствует требованиям SEC по раскрытию информации и достоверно отражает во всех существенных аспектах деятельность и финансовое состояние эмитента». Офицеры, подписывающие финансовые отчеты, которые, как им известно, являются неточными, подлежат уголовному наказанию, включая тюремное заключение.
Раздел 404 Закона SOX 2002 года требует, чтобы руководство и аудиторы установили внутренний контроль и методы отчетности для обеспечения адекватности этих средств контроля. Некоторые критики закона жаловались на то, что требования раздела 404 могут оказать негативное влияние на публично торгуемые компании, потому что создание и поддержание необходимого внутреннего контроля зачастую обходится дорого.
Раздел 802 Закона SOX 2002 г. содержит три правила, влияющих на ведение документации. Первый касается уничтожения и фальсификации записей. Второй строго определяет срок хранения записей. Третье правило описывает конкретные бизнес-записи, которые необходимо хранить компаниям, включая электронные сообщения.
Помимо финансовой стороны бизнеса, такой как аудит, точность и контроль, Закон SOX 2002 года также определяет требования для отделов информационных технологий (ИТ) в отношении электронных записей. Закон не определяет набор деловых практик в этом отношении, но вместо этого определяет, какие записи компании должны храниться в файлах и как долго. Стандарты, изложенные в Законе о SOX 2002 г., не определяют, как компания должна хранить свои записи, просто их хранение несет ИТ-отдел компании.
Глава 404 Закона Сарбейнса-Оксли
Особенности соблюдения иностранными частными эмитентами
Как крупные, так и небольшие открытые акционерные компании США давно работают над соблюдением требований Раздела 404 Закона Сарбэйнса-Оксли.
Американские компании, осуществляющие свою деятельность за пределами США и подающие отчетность ранее установленных сроков, в настоящее время заканчивают работу над проведением оценки внутреннего контроля над подготовкой финансовой отчетности. По окончании отчетного года 15 июля 2005 года или позднее этой даты зарубежные эмитенты в свой годовой отчет должны будут включать отчет руководства о состоянии внутреннего контроля. Несмотря на тот факт, что Комиссия по ценным бумагам и биржам США несколько раз откладывала дату вступления в силу Раздела 404, Делойт настоятельно рекомендует зарубежным эмитентам не изменять график и масштабы запланированной работы по соблюдению требований Раздела 404.
В статье «Раздел 404 Закона Сарбэйнса-Оксли: Трудности соблюдения требований закона Сарбэйнса-Оксли для зарубежных эмитентов» рассказывается об опыте зарубежных эмитентов, а также об основных трудностях, с которыми может столкнуться ваша компания в ходе подготовительных мероприятий по соблюдению требований Раздела 404.
Рекомендации
Материалы по теме
Услуги
Отрасли
Исследования
© 2021. Для получения дополнительной информации обращайтесь в «Делойт Туш Томацу Лимитед».
Построение системы внутреннего контроля — СВК по Sarbanes-Oxley (SOx)
В последние годы у многих компаний в очередной раз возникли проблемы, связанные с финансовой отчетностью, что привело к росту давления акционеров на них в целях существенного повышения качества управления рисками и улучшения контроля за эффективностью системы управления. Согласно закону Sarbanes-Oxley (SOx) эти компании должны принять меры к минимизации рисков ошибок в финансовой отчетности и построению системы контроля за процессами ее составления. Сегодня обязательное требование при проведении таких работ — внедрение эффективных бизнес-процессов и их мониторинг с целью обеспечения гарантии эффективной работы системы управления.
Закон Sarbanes-Oxley (SOx)
Закон Sarbanes-Oxley является одним из основных нормативных документов Комиссии по ценным бумагам США, определяющих специализированные требования ко всем компаниям, акции которых котируются на американских фондовых биржах. С 2004 г. все компании, зарегистрированные на фондовой бирже США (US Stock Exchange), и все их дочерние компании обязаны продемонстрировать эффективность системы внутреннего контроля при составлении финансовой отчетности. Генеральные директора и финансовые управляющие должны нести повышенную персональную ответственность за точность и полноту финансовой информации.
По закону Sarbanes-Oxley требуются описание, тестирование и мониторинг всей внутренней системы контроля за рисками, влияющими на качество финансовой отчетности. Поэтому сегодня компании сталкиваются с проблемой, касающейся выполнения процессно-ориентированного аудита своих систем внутреннего контроля на предмет выявления их недостатков и непрерывного улучшения. Данный закон применим и к иностранным эмитентам. Им предоставляются лишь небольшие послабления в области построения системы внутреннего аудита.
Среди иностранных эмитентов под действие закона подпадают все компании, акции которых котируются на фондовом рынке США. Кроме того, закон распространяется на компании, которые либо имеют значительный объем деятельности на территории США, либо сотрудничают с правительственными организациями США, либо планируют слияние или тесно связаны по бизнесу с котирующимися на американском фондовом рынке компаниями. Это означает, что все российские компании, которые могут быть отнесены к перечисленным категориям, были обязаны к концу финансового года, заканчивающегося после 15 июля 2006 г., внедрить систему внутреннего контроля за формированием финансовой отчетности и произвести оценку эффективности этой системы.
Закон Sarbanes-Oxley (SOx) статьи 302,404
Согласно ст. «302 — Корпоративная ответственность за финансовые отчеты» закона Sarbanes-Oxley руководители предприятий несут личную ответственность, вплоть до уголовной, за достоверность информации в создаваемых финансовых документах, а также за эффективность системы внутреннего контроля по формированию финансовой отчетности. В ст. «404 — Управление и оценка финансового контроля» определены требования к этой системе и процедурам ее оценки. Руководители компаний обязаны документально оценивать систему внутреннего контроля, отразив в отчете все ее существенные недостатки и предполагаемые меры по их устранению. Оценка, утвержденная генеральным и финансовым директорами, должна пройти проверку у внешних аудиторов, обязанных сформировать отдельное заключение, которое будет опубликовано вместе с годовой финансовой отчетностью компании. Таковы основные требования рассматриваемого закона.
В настоящее время во многих странах работают над созданием аналогичных законов, что свидетельствует об актуальности задач по построению системы внутреннего контроля. Однако важно также отметить, что данная система, созданная по требованиям закона Sarbanes-Oxley, является лишь одним из элементов общей системы управления соответствиями. Такая система позволяет идентифицировать основные требования к деятельности компании и обеспечить соответствие им. К подобным требованиям могут относиться законодательные нормативные акты (такие, как закон Sarbanes-Oxley), требования по качеству продуктов/услуг и процессов их создания, отраслевые стандарты, частные требования, выставляемые акционерами и руководством компании. Следовательно, задача построения системы внутреннего контроля важна не только с точки зрения присутствия на американской или какой-либо другой фондовой бирже, но и с позиции минимизации рисков и снижения степени несоответствия различным стандартам.
Элементы системы внутреннего контроля Sarbanes-Oxley (SOx)
Рассмотрим, из чего состоит система внутреннего контроля и какие другие элементы компании с ней связаны. Под контролем понимается набор действий, связанных с подготовкой, проверкой и визированием финансовых документов, которые направлены на выявление несоответствий стандартам в этих документах. Иными словами, каждый процесс подготовки значимых финансовых документов должен содержать эффективные действия по контролю за их составлением. Наличие таких действий в компании позволяет выявлять существенные ошибки до подписания документов ответственными лицами.
Следующим важным элементом является тест. Тест — это набор мероприятий, выполняемых для оценки эффективности внутреннего контроля. По результатам тестов становится понятно, приводят ли действия по контролю к выявлению существенных ошибок и являются ли они эффективными. Таким образом, мы получаем двухуровневую систему контроля — в оперативном порядке осуществляется контроль за процессами формирования финансовой отчетности, а на периодической основе проводится тестирование используемых средств контроля.
Важным элементом является и существенный счет. Под существенными понимаются те счета, объем операций по которым превышает заранее оговоренные границы, что, следовательно, делает их предметом рассмотрения в рамках системы внутреннего контроля. Помимо этого существенными могут быть признаны счета, обладающие качественными признаками, искажение информации по которым может ввести в заблуждение потенциальных инвесторов. Количество существенных счетов определяет необходимый объем контроля.
С организационной точки зрения в систему внутреннего контроля вовлечены сотрудники компании, представляющие различные подразделения и уровни управления. Главными ответственными лицами являются руководитель предприятия и финансовый управляющий, которые заинтересованы в том, чтобы система была внедрена и эффективно функционировала. Значимым организационным элементом является подразделение, ответственное за формирование методики и концепции системы внутреннего контроля, разработку и реализацию процедур, выбор и внедрение инструментов, обеспечение функционирования всей системы.
Выделяются также владельцы документов, контролеры и тестировщики. Вся ролевая концепция и распределение ответственности должны быть выполнены таким образом, чтобы гарантировать независимость друг от друга таких элементов, как подготовка и контроль документа, тестирование контроля. В структуре управления могут присутствовать и ответственные за отдельные области, выделяемые по функциональному, региональному и другим признакам.
Организационное устройство системы дополняют внешние консультанты и, безусловно, независимые аудиторы, обязанные подтвердить заявленную руководством компании оценку созданной системы внутреннего контроля. Немаловажным элементом системы внутреннего контроля являются инструментальные средства поддержки процедур контроля и тестирования. Их применение обоснованно в случае, если необходимо обеспечить единое информационное пространство по формированию структуры всей системы, а также по оперативному управлению контролем и тестами с последующим составлением отчетности для целей внутреннего и внешнего аудита.
При внедрении данной системы нельзя руководствоваться только формальными признаками соответствия закону. Важно проникнуться идеей необходимости системы управления соответствиями, что позволит получить эффективную систему внутреннего контроля и тестов. Вся система считается эффективной, если объем снижаемых финансовых рисков превышает затраты на выполнение контроля и их тестирование, а также на поддержание всей системы в работоспособном состоянии.
Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx)
Проект по разработке и внедрению эффективной системы внутреннего контроля предусматривает следующие этапы работ:
Рассмотрим более подробно каждый из указанных этапов. На первом этапе необходимо четко определить границы выстраиваемой системы внутреннего контроля в соответствии с их предполагаемым объемом и степенью надежности.
Под объемом понимается количество существующих в компании направлений деятельности и, следовательно, подразделений и финансовых документов, которые подпадут под действие системы. Степень надежности определяется через индикаторы существенности, задающие уровень финансовых рисков, которые должны стать предметом контроля. Исходя из этих двух измерений устанавливаются предполагаемый объем работ, состав проектной группы, график выполнения проекта.
Состав проектной группы внедрения системы внутреннего контроля Sarbanes-Oxley (SOx)
Состав проектной группы и процедуры работы должны быть подобраны таким образом, чтобы обеспечить выполнение следующих важных условий проекта:
Следующей задачей, решаемой в проекте, является определение существенных счетов. Все счета компании, связанные с движением денежных средств, а также материальных и нематериальных активов, оцениваются на предмет значимости их объемов с точки зрения индекса существенности (как процент от оборота компании или другого финансового показателя). Индекс существенности может быть рассчитан на основе не только количественных, но и качественных показателей.
Описные процессов для целей Sarbanes-Oxley (SOx)
Список отобранных таким образом счетов будет определять объем дальнейших работ по развертыванию системы внутреннего контроля. Следует понимать, что при большом числе существенных счетов система контроля будет достаточно громоздкой и дорогостоящей, тогда как при недостаточном количестве организация получит отрицательный результат при аудите. Далее необходимо определить, какие процессы компании связаны с формированием отобранных существенных счетов.
Для решения этой задачи целесообразно предварительно составить архитектуру процессов организации, содержащую полный набор как основных, так и вспомогательных и управляющих бизнес-процессов. За основу можно взять эталонную 13-процессную модель или соответствующую отраслевую модель деятельности. Отобранные процессы подвергаются более детальному рассмотрению, позволяющему выявить правила работы с существенными счетами и сформировать представление о методах контроля за формированием финансовых документов.
Анализ деятельности компании с точки зрения процессов играет существенную роль при построении системы внутреннего контроля. Такой подход обеспечивает контроль объема работ по документированию деятельности, при этом проводится описание только тех процессов компании, ее подразделений и филиалов, которые являются существенными с точки зрения выполняемого проекта.
Проведя детальное моделирование процессов, компания получает возможность определить, какие операции связаны с обработкой существенных счетов, как эти операции встроены в процесс и какие меры контроля применяются или могут быть применены для снижения финансовых рисков. Это также делает возможным провести точечную идентификацию всех рисков, связанных с формированием финансовых документов.
Помимо бизнес-процессов необходимо уделять внимание информационным системам, которые поддерживают выбранные процессы, поскольку в рамках их работы могут возникнуть ошибки, влияющие на достоверность финансовой отчетности. Выявленные риски должны быть подвержены определенной оценке. Это необходимо для выявления наиболее существенных рисков, для которых и будет разработана система внутреннего контроля.
Такой подход позволяет гарантировать внедрение эффективной системы управления. Каждый риск оценивается по двум параметрам — периодичность возникновения и объемы потерь на каждый случай. Оценка может быть как количественной, так и качественной. В случае качественной оценки доли каждого параметра используется шкала из 3-4 значений, что определяет от 9 до 16 зон градаций существенности риска.
По результатам проведенной оценки осуществляется ранжирование всех выявленных рисков — либо по оцененному объему убытков (при количественной оценке), либо по отнесению к зонам существенности (в случае качественной оценки). Важна также классификация рисков с точки зрения преднамеренности приводящих к ним действий, что дает дополнительную информацию для определения существенности риска.
Контрольные процедуры для Sarbanes-Oxley (SOx)
Следующий этап работ подразумевает определение контрольных действий в бизнес-процессах, направленных на минимизацию рисков, которые связаны с существенными счетами (через контроль правильности формирования соответствующих финансовых документов). При этом основное внимание уделяется документированию контрольных действий, хотя можно сразу дополнять или видоизменять их, если эксперты видят в этом целесообразность и обоснованность.
Результатом работ должно стать полное документирование контрольных действий, включая название контроля, его детальное описание (цели, последовательность действий-, периодичность, исходные документы, ответственное лицо), а также ссылка на реестр или документ (если таковые имеются), в котором фиксируется факт и результат проведения обозначенных контрольных действий.
После документирования всех контрольных действий необходимо провести их первичную оценку на предмет эффективности. Данная работа выполняется экспертами на основе всей созданной в ходе проекта документации и при необходимости с использованием рабочих документов, в отношении которых осуществляется контроль. По результатам оценки формируется отчет о качестве каждого контрольного действия.
Качество подразумевает способность контроля выявлять ошибки и искажения информации, а также эффективность самих действий по выявлению и устранению этих ошибок. Качество контроля кодируется при помощи системы обозначений, что позволяет легко отбирать неэффективные контрольные действия и проводить общую оценку системы внутреннего контроля. Для всех некачественных контрольных действий должны быть разработаны рекомендации по улучшению, по результатам реализации которых вносятся изменения в документацию по системе внутреннего контроля.
Далее наступает в некотором смысле ответственный момент, когда необходимо внедрить систему тестов и процедур, направленную на периодическое тестирование качества внутреннего контроля и его корректировку. Система должна действовать на постоянной основе, обеспечивая постоянную оценку и актуализацию, а также документирование контрольных действий для целей внешнего и внутреннего аудита. Инструментарием, способным поддержать как проект по разработке системы внутреннего контроля, так и оперативную работу по ее тестированию и документированию, являются ИТ решения. Эти решения, с одной стороны, обеспечивают удобный интерфейс и надежную базу для документирования контрольных действий, а с другой — позволяют упростить работу, связанную с проведением тестов, фиксацией результатов, уведомлением и формированием периодической отчетности для целей внешнего и внутреннего аудита.
В финансовом аудите из публичных компаний в Соединенных Штатах, SOX 404 сверху вниз оценки риска (TDRA) является финансовая оценка риска осуществляется в соответствии с разделом 404 Закона Сарбейнса-Оксли 2002 (SOX 404). Согласно SOX 404, руководство должно протестировать свой внутренний контроль ; TDRA используется для определения объема такого тестирования. Он также используется внешним аудитором для вынесения официального заключения о системе внутреннего контроля компании. Однако в результате принятия Стандарта аудита № 5, который с тех пор одобрила Комиссия по ценным бумагам и биржам, от внешних аудиторов больше не требуется выражать мнение об оценке руководством своего внутреннего контроля.
Руководство должно задокументировать, как оно интерпретировало и применяло свой TDRA, чтобы достичь объема протестированных средств контроля. Кроме того, достаточность требуемых доказательств (т. Е. Сроки, характер и объем контрольного тестирования) зависит от TDRA руководства (и аудитора). Таким образом, TDRA имеет значительные финансовые последствия для соответствия требованиям SOX404.
СОДЕРЖАНИЕ
Метод
Руководство основано на принципах, что обеспечивает значительную гибкость подхода TDRA. Есть два основных шага: 1) определение объема средств управления для включения в тестирование; и 2) определение характера, сроков и объема процедур тестирования, которые необходимо выполнить.
Определение объема
Ключевой принцип SEC, связанный с установлением объема средств контроля для тестирования, можно сформулировать следующим образом: «Сосредоточьтесь на средствах контроля, которые адекватно устраняют риск существенного искажения». Это включает в себя следующие шаги:
Определение значимости и риска искажения элементов финансовой отчетности (счетов и раскрытия информации)
В соответствии с рекомендациями PCAOB AS 5 аудитор должен определить, является ли учетная запись «значительной» или нет (т. Е. Да или нет), на основе ряда факторов риска, связанных с вероятностью ошибки в финансовой отчетности и ее величиной (долларовая стоимость ) учетной записи. Существенная отчетность и раскрытие информации подлежат оценке, поэтому руководство обычно включает эту информацию в свою документацию и обычно выполняет этот анализ для проверки аудитором. Эта документация на практике может называться «анализ значимых счетов». Счета с большим остатком обычно считаются значительными (т. Е. Попадающими в сферу охвата) и требуют определенного типа тестирования.
Новым в соответствии с руководством Комиссии по ценным бумагам и биржам является концепция оценки каждой существенной учетной записи на предмет «риска искажения» (низкий, средний или высокий) на основе аналогичных факторов, используемых для определения значимости. Рейтинг риска искажения является ключевым фактором, используемым для определения характера, сроков и объема доказательств, которые необходимо получить. По мере увеличения риска ожидаемая достаточность доказательств тестирования, накопленных для средств контроля, связанных со значительными счетами, увеличивается (см. Раздел ниже, касающийся решений по тестированию и доказательствам).
И значимость, и риск искажения являются неотъемлемыми концепциями риска, что означает, что выводы относительно того, какие счета входят в сферу охвата, делаются до рассмотрения эффективности средств контроля.
Определите цели финансовой отчетности
Пример цели контроля на уровне организации : «Сотрудники осведомлены о Кодексе поведения компании». Концепция COSO 1992/1994 определяет каждый из пяти компонентов внутреннего контроля (т.е. контрольную среду, оценку рисков, информацию и коммуникацию, мониторинг и контрольную деятельность). Предложения по оценке включены в конце основных глав COSO и в том «Инструменты оценки»; их можно преобразовать в объективные утверждения.
Пример цели контроля на уровне утверждений : «Выручка признается только после выполнения обязанности к исполнению». Списки целей контроля на уровне утверждений доступны в большинстве учебников по финансовому аудиту. Прекрасные примеры также доступны в Положении о стандартах аудита № 110 AICPA (SAS 110) для процесса инвентаризации. SAS 106 включает последнее руководство по утверждениям финансовой отчетности.
Цели управления могут быть организованы в рамках процессов, чтобы помочь организовать подход к документации, владению и TDRA. Типичные финансовые процессы включают расходы и кредиторскую задолженность (от покупки к оплате), фонд заработной платы, выручку и дебиторскую задолженность (от заказа до получения наличных денег), капитальные активы и т. Д. Именно так большинство учебников по аудиту ставят цели контроля. Процессы также могут быть ранжированы по степени риска.
COSO выпустил пересмотренное руководство в 2013 году, вступающее в силу для компаний, у которых даты окончания года после 15 декабря 2014 года. Это, по сути, требует, чтобы в контрольных заявлениях были ссылки на 17 «принципов» под пятью «компонентами» COSO. Существует около 80 «точек фокуса», которые могут быть оценены специально с точки зрения средств контроля компании, чтобы сформировать вывод о 17 принципах (т. Е. У каждого принципа есть несколько важных точек фокуса). Большинство принципов и точек зрения относятся к средствам контроля на уровне организации. По состоянию на июнь 2013 г. подходы, используемые на практике, находились на начальной стадии разработки. Один из подходов заключался бы в добавлении принципов и точек внимания в качестве критериев в базу данных и ссылки на каждый из соответствующих элементов управления, которые их касаются.
Выявить существенные риски для достижения целей
Примером заявления о риске, соответствующего указанной выше цели контроля уровня утверждений, может быть: «Риск признания выручки до поставки продуктов и услуг». Обратите внимание, что это очень похоже на контрольную цель, только указано отрицательно.
В целом руководство рассматривает такие вопросы, как: Что действительно сложно сделать правильно? Какие бухгалтерские проблемы у нас были в прошлом? Что изменилось? Кто может быть способен или мотивирован совершать мошенничество или составление финансовой отчетности с использованием мошенничества? Поскольку высокий процент финансовых махинаций исторически связан с завышением доходов, такие счета обычно заслуживают дополнительного внимания. Заявление AICPA о стандартах аудита № 109 (SAS 109) также содержит полезные рекомендации по оценке финансовых рисков.
Согласно руководству 2007 года, компании обязаны проводить оценку риска мошенничества и оценивать соответствующие меры контроля. Обычно это включает в себя определение сценариев, в которых может произойти кража или потеря, и определение того, эффективно ли существующие процедуры контроля управляют риском до приемлемого уровня. Риск того, что высшее руководство может игнорировать важные меры финансового контроля для манипулирования финансовой отчетностью, также является ключевой областью при оценке риска мошенничества.
Определите средства контроля, направленные на устранение рисков существенного искажения (MMR)
Для каждого MMR руководство определяет, какой контроль (или средства контроля) направлен на устранение риска «в достаточной степени» и «точно» (PCAOB AS # 5) или «эффективно» (руководство SEC) в достаточной степени, чтобы уменьшить его. Слово «смягчить» в этом контексте означает, что контроль (или средства контроля) снижает вероятность существенной ошибки, представленной MMR, до «отдаленной» вероятности. Этот уровень уверенности требуется, потому что необходимо раскрыть существенный недостаток, если существует «разумно возможная» или «вероятная» возможность существенного искажения значительного счета. Несмотря на то, что риск может нести множественные меры контроля, в оценку включаются только те, которые направлены на его устранение, как определено выше. На практике они называются «входящими в объем» или «ключевыми» элементами управления, требующими тестирования.
Руководство SEC определяет вероятностные условия следующим образом в соответствии с FAS5 « Учет условных обязательств» :
Суждение, как правило, является лучшим руководством для выбора наиболее важных средств контроля, относящихся к определенному риску для тестирования. PCAOB AS5 представляет трехуровневую структуру, описывающую средства управления на уровне объекта с разной степенью точности (прямое, отслеживающее и косвенное). На практике точность контроля по типу контроля, в порядке от наиболее точного до наименьшего, может интерпретироваться в виде:
По мере продвижения по этому континууму от наиболее точного к наименьшему и по мере возрастания риска становится все труднее утверждать, что использование средств управления разумно для достижения целей уровня утверждений. Комбинация средств контроля типов 3-6, описанных выше, может помочь сократить количество средств контроля типов 1 и 2 (на уровне транзакции), которые требуют оценки конкретных рисков, особенно в процессах с меньшим риском и интенсивностью транзакций.
В соответствии с руководством 2007 года представляется приемлемым значительно больше полагаться на средства контроля на конец периода (т. Е. На проверку журнальных проводок и сверку счетов) и средства контроля над обзором со стороны руководства, чем в прошлом, эффективно устраняя многие существенные риски искажения и позволяя либо : a) исключение значительного количества средств контроля транзакций из объема тестирования предыдущего года; или б) уменьшение количества полученных связанных доказательств. Количество средств контроля на уровне транзакций может быть значительно сокращено, особенно для счетов с низким уровнем риска.
Соображения в отношении тестирования и принятия решений о доказательствах
Ключевой принцип Комиссии по ценным бумагам и биржам в отношении решений о доказательствах можно резюмировать следующим образом: «Согласуйте характер, время и объем процедур оценки в тех областях, которые представляют наибольшие риски для достоверной финансовой отчетности». Комиссия по ценным бумагам и биржам указала, что достаточность доказательств, необходимых для подтверждения оценки конкретного MMR, должна основываться на двух факторах: а) риск искажения финансовых элементов («риск искажения») и б) риск несоблюдения мер контроля. Эти две концепции вместе (риски, связанные с учетной записью или раскрытием информации и риски, связанные с контролем), называются «риск внутреннего контроля над финансовой отчетностью» или риск «ICFR». Схема была включена в руководство (показанное в этом разделе), чтобы проиллюстрировать эту концепцию; это единственная такая диаграмма, которая указывает на то, какое внимание уделяет ей Комиссия по ценным бумагам и биржам. Риск ICFR должен быть связан с указанными выше средствами контроля в объеме и может быть частью этого анализа. Это включает в себя следующие шаги:
Свяжите каждый ключевой элемент управления с «Риском искажения» соответствующей учетной записи или раскрытия информации.
Оцените каждый ключевой элемент управления на предмет «риска отказа управления (CFR)» и «риска ICFR».
CFR применяется на уровне индивидуального контроля на основе факторов в руководстве, связанных со сложностью обработки, ручным или автоматическим характером контроля, задействованным суждением и т. Д. Руководство принципиально задает вопрос: «Насколько сложно выполнить этот контроль правильно каждый раз? «
Рейтинг ICFR фиксируется для каждого контрольного утверждения. У крупных компаний обычно есть сотни значительных счетов, заявлений о рисках и контрольных отчетов. Они связаны отношениями «многие ко многим», что означает, что риски могут применяться к нескольким учетным записям, а средства контроля могут применяться к нескольким рискам.
Учитывайте влияние риска на сроки, характер и объем тестирования.
Руководство обеспечивает гибкость в отношении сроков, характера и объема доказательств, основанных на взаимодействии риска искажения и риска отказа системы контроля (вместе, риск ICFR). Эти два фактора следует использовать для обновления «Руководства по выборке и доказательствам», используемого большинством компаний. По мере увеличения этих двух факторов риска увеличивается достаточность доказательств, необходимых для решения каждой MMR.
Руководство имеет значительную гибкость в отношении следующих соображений тестирования и доказательств в контексте риска ICFR, связанного с данным контролем:
Общие факторы, которые также влияют на приведенные выше соображения относительно доказательств, включают:
Учитывайте риск, объективность и компетентность при принятии решений по тестированию.
Руководство имеет значительное усмотрение в том, кто проводит его тестирование. Руководство SEC указывает, что объективность человека, тестирующего данный элемент управления, должна возрастать пропорционально риску ICFR, связанному с этим элементом управления. Следовательно, такие методы, как самооценка, подходят для областей с низким уровнем риска, в то время как внутренние аудиторы (или аналогичные) обычно должны тестировать области с более высоким уровнем риска. Промежуточным методом на практике является «обеспечение качества», когда менеджер A проверяет работу менеджера B, и наоборот.
Возможность внешних аудиторов полагаться на тестирование руководства следует аналогичной логике. Доверие пропорционально компетентности и объективности руководителя, завершившего тестирование, также в контексте риска. Для областей с наивысшим риском, таких как контрольная среда и процесс отчетности на конец периода, внутренние аудиторы или группы соответствия, вероятно, являются лучшим выбором для проведения тестирования, если ожидается значительная степень доверия со стороны внешнего аудитора. Способность внешнего аудитора полагаться на оценку руководства является основным фактором затрат при соблюдении нормативных требований.
Стратегии эффективной оценки SOX 404
Существует множество конкретных возможностей сделать оценку SOX 404 максимально эффективной. Некоторые из них носят более долгосрочный характер (например, централизация и автоматизация обработки), в то время как другие могут быть легко реализованы. Частое взаимодействие между руководством и внешним аудитором имеет важное значение для определения того, какие стратегии эффективности будут эффективны в конкретных обстоятельствах каждой компании и насколько целесообразно сокращение объема контроля.
Централизация и автоматизация
Централизация: использование общей модели обслуживания в ключевых областях риска позволяет рассматривать несколько местоположений как одно в целях тестирования. Модели общего обслуживания обычно используются для процессов расчета заработной платы и кредиторской задолженности, но могут применяться ко многим типам обработки транзакций. Согласно недавнему исследованию Finance Executives International, децентрализованные компании имеют значительно более высокие затраты на соблюдение требований SOX, чем централизованные компании.
Автоматизация и эталонное тестирование: ключевые полностью автоматизированные элементы управления ИТ-приложениями предъявляют минимальные требования к размеру выборки (обычно один, в отличие от целых 30 для ручных элементов управления) и, возможно, вообще не нуждаются в непосредственном тестировании в рамках концепции эталонного тестирования. Бенчмаркинг позволяет исключить полностью автоматизированные средства управления ИТ-приложениями из тестирования, если определенные средства управления изменениями ИТ являются эффективными. Например, многие компании в значительной степени полагаются на ручной интерфейс между системами с электронными таблицами, созданными для загрузки и выгрузки записей заполняемого вручную журнала. Некоторые компании обрабатывают тысячи таких записей каждый месяц. За счет автоматизации ручных записей в журнале можно значительно снизить затраты на рабочую силу и оценку SOX. Кроме того, повышается надежность финансовой отчетности.
Общий подход к оценке
Изучите подход к тестированию и документацию: многие компании или внешние аудиторские фирмы по ошибке пытались наложить общие рамки на уникальные процессы на уровне транзакций или в разных местах. Например, большинство элементов COSO Framework представляют собой косвенные средства контроля на уровне сущности, которые следует тестировать отдельно от транзакционных процессов. Кроме того, средства управления безопасностью ИТ (подмножество ITGC) и средства управления общими услугами могут быть помещены в отдельную документацию по процессу, что позволяет более эффективно распределять ответственность за тестирование и устранять избыточность в разных местах. Тестирование основных журнальных записей и выверки счетов как отдельных усилий позволяет повысить эффективность и сосредоточить внимание на этих важнейших элементах управления.
Полагайтесь на прямые средства контроля на уровне организации: в руководстве подчеркивается, какие прямые средства контроля на уровне организации, в частности, процесс на конец периода и определенные средства контроля, являются достаточно точными, чтобы исключить средства контроля на уровне утверждений (транзакционные) из области действия. Ключ состоит в том, чтобы определить, какая комбинация элементов управления на уровне сущности и на уровне утверждения относится к конкретному MMR.
Сведите к минимуму повторное тестирование: руководство имеет больше гибкости в соответствии с новым руководством, чтобы продлить дату вступления в силу тестирования, выполняемого в середине («промежуточных») периодах, до даты окончания года. Только средства контроля с более высоким риском, вероятно, потребуют тестирования с откатом в соответствии с новым руководством. PCAOB AS5 указывает, что процедуры запроса относительно того, произошли ли изменения в процессе контроля между промежуточным периодом и периодом на конец года, во многих случаях могут быть достаточными для ограничения тестирования с повторением транзакций.
Пересмотрите объем оцененных местоположений или бизнес-единиц: это сложная область, требующая серьезных суждений и анализа. В руководстве 2007 г. основное внимание уделялось конкретному MMR, а не долларовой величине при определении объема и достаточности доказательств, которые должны быть получены в децентрализованных подразделениях. Интерпретация (распространенная в соответствии с руководством до 2007 г.) о том, что единица или группа единиц были существенными и, следовательно, большое количество средств контроля в нескольких процессах требует тестирования независимо от риска, была заменена. Если остатки на счетах отдельных единиц или групп аналогичных единиц составляют существенную часть сальдо консолидированного счета, руководство должно тщательно рассмотреть вопрос о том, может ли MMR существовать в конкретной единице. Затем следует провести тестирование, сосредоточенное только на элементах управления, связанных с MMR. Для ограничения тестирования, специфичного для транзакции, также следует учитывать средства контроля, такие как подробные совещания по оценке производительности с надежными пакетами отчетов.
Подход к оценке ИТ
Целевое тестирование общего контроля ИТ (ITGC): ITGC не включены в определение средств контроля на уровне организации в соответствии с рекомендациями SEC или PCAOB. Следовательно, тестирование ITGC должно проводиться в той степени, в которой оно касается конкретного MMR. По своей природе ITGC позволяет руководству полагаться на полностью автоматизированные средства контроля приложений (т. Е. Те, которые работают без вмешательства человека) и средства контроля, зависящие от ИТ (т. Е. Те, которые включают анализ автоматически созданных отчетов). Целенаправленное тестирование ITGC предназначено для поддержки целей контроля или утверждений о том, что полностью автоматизированные средства контроля не были изменены без разрешения и что генерируемые контрольные отчеты являются точными и полными. Таким образом, ключевые направления ITGC, которые могут оказаться критическими, включают: процедуры управления изменениями, применяемые к конкретным реализациям финансовой системы в течение периода; процедуры управления изменениями, достаточные для поддержки стратегии сравнительного анализа; и периодический мониторинг безопасности приложений, включая разделение обязанностей.
Руководство PCAOB после 2007 г.
SAPA № 11 может привести к увеличению объема работы для управленческих групп, которая может потребоваться аудиторам для сохранения доказательств того, что эти отчеты и запросы были точными и полными. Кроме того, от руководства может потребоваться сохранить дополнительные доказательства расследования, если суммы в отчетах детективного контроля содержат транзакции или тенденции, выходящие за пределы заранее определенных диапазонов допуска.