Sox что это такое
Закон Сарбейнса-Оксли
30 июля 2002 г. Президент Буш подписал Закон Сарбейнза-Оксли (англ. Sarbanes-Oxley Act ), который представляет собой одно из самых значительных событий по изменению федерального законодательства США по ценным бумагам за последние 60 лет. Значительно ужесточает требования к финансовой отчётности и к процессу её подготовки — результат многочисленных корпоративных скандалов, связанных с недобросовестными менеджерами крупных корпораций.
В соответствии с Законом, для акционерных обществ открытого типа
Закон, получивший название от имен создателей — сенатора Пола Сарбейнза (демократическая партия, шт. Мэрилэнд) и члена палаты представителей Майкла Оксли (республиканская партия, шт. Огайо) — состоит из 11 разделов. Рассматриваются вопросы независимости аудиторов, корпоративной ответственности, полной финансовой прозрачности, конфликта интересов, корпоративной финансовой отчетности и др.
Согласно положениям Закона, в каждой публичной компании должен быть создан Комитет по аудиту.
Закон применяется для всех эмитентов («issuers») — в данном случае: для всех компаний, ценные бумаги которых зарегистрированы Комиссией по ценным бумагам и биржам США (SEC) — вне зависимости от места регистрации и деятельности компании (то есть от того, торгуются ли ценные бумаги на Нью-Йоркской фондовой бирже, США (с листингом или без него); принадлежат ли компании, проходящей регистрацию для выпуска ценных бумаг в США.
Содержание
Кодекс корпоративного поведения
Кодекс корпоративного поведения (Статья 406) — это набор стандартов, которые предназначены для противодействия злоупотреблениям и продвижения ряда принципов честного ведения бизнеса. Каждый эмитент в своих периодических отчетах должен указывать на то, что он принял Кодекс корпоративного поведения для высших финансовых сотрудников компании. Предполагается расширить это положение и на другое руководство. При изменении положений Кодекса необходимо немедленно сообщать об этом
Подписание всех докладов в Комиссию по ценным бумагам и фондовым рынкам США исполнительным директором (СЕО) и финансовым директором (CFO)
Статьей 906 Закона предусматривается подписывание руководителями эмитента всех периодических докладов в Комиссию, включающих финансовые отчеты. Директора должны подтвердить, что представляемые отчеты «полностью соответствуют» требованиям SEC, а представленная в них информация «справедливо отражает во всех материальных аспектах финансовое состояние и результаты работы эмитента». Этой же статьей за нарушение порядка предусматривается уголовная ответственность — штраф от 1 до 5 млн долларов и тюремное заключение от 10 до 20 лет.
Запрет предоставления займов и ссуд директорам и должностным лицам компании
Статьей 402 Закона американским и иностранным компаниям, работающим на фондовом рынке США (а также проходящим регистрацию в SEC для первичного публичного размещения) запрещается предоставлять большинство личных ссуд (personal loans) директорам и должностным лицам компании, кроме отдельных потребительских и жилищных займов, которые американские банки и брокеры (дилеры) могут при определенных условиях предоставлять своим сотрудникам. («Авансовые платежи для ведения бизнеса» считаются допустимыми, так как не являются «личной ссудой»)
Лишение директоров и должностных лиц компании права на поощрительные вознаграждения или ценные бумаги
В том случае, если компания вынуждена будет представить повторный финансовый отчет вследствие «существенного несоответствия эмитента любому из требований финансовой отчетности, проявившегося в результате должностного преступления» — ее Главный исполнительный директор (CEO), а также Главный финансовый директор (CFO) лишаются права на поощрительные вознаграждения* или ценные бумаги, а также на доходы от продаж ценных бумаг эмитента — в течение 12 месяцев со дня опубликования повторного финансового отчета (Статья 304 Закона). В том случае, если указанные должностные лица за период 12 месяцев после опубликования или подачи документа в SEC уже получили перечисленные вознаграждения, они обязаны вернуть их эмитенту.
Неподобающее влияние на аудиторов
Запрещается любому сотруднику или директору (или любому другому человеку, действующему по их указанию) предпринимать любые действия по воздействию путем обмана, принуждать, манипулировать или вводить в заблуждение аудиторов с целью получения аудиторских финансовых заключений, имеющих существенные искажения действительности. (Статья 303)
Защита информаторов
Корпоративные информаторы (whistle blowers) (сотрудники, которые сообщают о недостатках в работе компании) получают существенную защиту от мер возмездия со стороны руководства компании. (Статьи 806, 1107)
Сокращение времени для предоставления отчетов
В соответствии со Статьей 403 закона, директоры, должностные лица компании, а также акционеры, владеющие более 10 % акций, обязаны предоставлять отчет о всех операциях с акциями (Форма 4) на второй рабочий день после завершения этих операций. Эти отчеты (начиная с 30 августа 2003 г.) должны представляться в
Надзор за ведением бухгалтерии и аудит
В соответствии с Законом создан «Наблюдательный совет по ведению финансовой отчетности публичных компаний» (статьи 101—109)
Новая роль для аудиторов и Комитетов по аудиту
Проблемы
Подтверждение о корректности со стороны менеджмента компании не может быть одномоментным и требует значительных усилий со стороны всей компании, а не только подразделений, отвечающих за подготовку финансовой отчетности.
В целом, не стоит воспринимать SOX, как проект. Это процесс, требующий «приведения в порядок» всех сфер деятельности компании, которые имеют отношение к подготовке финансовой отчетности.
Ссылки
Полезное
Смотреть что такое «Закон Сарбейнса-Оксли» в других словарях:
закон Сарбейнса-Оксли — SOX Американский закон, регулирующий финансовую практику и корпоративное руководство. [Словарь терминов ITIL версия 1.0, 29 июля 2011 г.] EN Sarbanes Oxley SOX US law that regulates financial practice and corporate governance. [Словарь терминов… … Справочник технического переводчика
Закон Сарбейнза — Оксли — 30 июля 2002 г. Президент Буш подписал Закон Сарбейнза Оксли (англ. Sarbanes Oxley Act), который представляет собой одно из самых значительных событий по изменению федерального законодательства США по ценным бумагам за последние 60 лет.… … Википедия
Комитет организаций-спонсоров Комиссии Тредвея — The Committee of Sponsoring Organizations of the Treadway Commission (COSO) Тип Некоммерческая организация Год основания 1985 Расположение … Википедия
Рынок недвижимости — (Real estate market) Понятие рынок недвижимости, структура и функции рынка Информация о понятии рынка недвижимости, структура и функции рынка, особенности рынка невижимости Содержание Содержание Определение термина Рынок недвижимого имущества… … Энциклопедия инвестора
Международные финансовые потоки — Мировые финансовые центры (англ. International financial centres) центры сосредоточения банков и специализированных кредитно финансовых институтов, осуществляющих международные валютные, кредитные и финансовые операции, сделки с ценными бумагами … Википедия
Мировые финансовые центры — У этого термина существуют и другие значения, см. Международный финансовый центр. Мировые финансовые центры (англ. International financial centres) центры сосредоточения банков и специализированных кредитно финансовых институтов,… … Википедия
Листинг — (Listing) Листинг это совокупность процедур по допуску ценных бумаг к обращению на фондовой бирже Определение листинга, преимущества и недостатки листинга, виды листинга, этапы процедуры листинга, котировальный список листинга, делистинг… … Энциклопедия инвестора
Сегодня в России всего лишь несколько компаний, акции которых котируются на биржах США. Тем не менее нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей. Вот примерный «портрет» фирмы, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:
— стоимость активов, или годовой оборот, превышает 150 млн. долл.;
СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности.
С другой стороны, поскольку в данном законе нет четкого определения системы внутреннего контроля (СВК), перед компанией, собирающейся создать у себя подобную систему, встает ряд естественных вопросов. Какие бывают СВК? Как они создаются? Какими средствами автоматизируются? Сколько времени потребуется на внедрение СВК?
Что и как контролировать
Ответ на вопрос, какой должна быть СВК, дает нам комитет спонсорских организаций комиссии Тредвея (COSO) в документе «Концептуальные основы внутреннего контроля», который, по определению самого же комитета, «выступает в качестве общепринятого стандарта при выполнении требований к предоставлению отчетности», а также в ряде актов, дополняющих этот документ.
Согласно COSO, внутренний контроль должен включать следующие компоненты.
— Контрольная среда. Это основа для всех остальных элементов, обеспечивающая дисциплину сотрудников компании по отношению к процессу и структурированность системы.
— Оценка рисков. Призвана выявлять и анализировать ситуации, при возникновении которых невозможно ни достижение поставленных целей финансовых операций, ни создание корректной отчетности о деятельности компании.
— Контрольные действия. Регламентированные процедуры, выполнение которых позволяет удостовериться, что директивы высшего руководства соблюдаются и риски, связанные с финансовыми операциями, учитываются и принимаются во внимание. Такие процессы должны осуществляться на всех уровнях деятельности компании и могут включать разнообразные методы: утверждение, авторизацию, проверку, урегулирование, а также рецензирование оперативной производительности бизнеса, сохранности активов и разделения ответственности.
— Информационная среда. Благодаря ей необходимая информация, имеющая отношение к СВК и внутреннему контролю в целом, определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять свои функциональные обязанности. Осуществляется также эффективный обмен информацией в рамках предприятия как по вертикали сверху вниз и снизу вверх, так и по горизонтали. Средства передачи информации между сотрудниками могут быть любыми.
— Мониторинг. Весь процесс управления рисками организации должен отслеживаться и по необходимости корректироваться. Мониторинг осуществляется в рамках текущей деятельности руководства или путем периодического проведения оценок.
СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности. Вся система должна гарантировать разумную детализацию учета, обеспечивающую достоверность отражения финансово-хозяйственных операций и финансового положения компании. Выполнение действий, предусмотренных системой внутреннего контроля, дает уверенность в том, что все указанные операции отражаются согласно установленным требованиям, а доходы и расходы санкционированы руководством. При этом любые попытки несанкционированного приобретения, использования или продажи активов, которые могут иметь существенное воздействие на финансовую отчетность, будут своевременно обнаружены.
SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы и регулярную оценку.
Система внутреннего контроля должна пройти внешний аудит на предмет соответствия требованиям SOX, если она разработана по методологии COSO, задокументирована в формате, понятном аудиторам, и актуальна (т. е. в ней действуют принятые регламенты). Если результаты исполнения контролирующих процедур фиксируются, в отношении отклонений предусматриваются эффективные корректирующие воздействия; осуществляется постоянный мониторинг СВК; руководством утверждаются и контролируются правила ее внутренней сертификации. Ответственность за эту систему в компании должна быть разделена, а генеральный и финансовый директора обязаны засвидетельствовать, что периодическая финансовая отчетность полностью соответствует требованиям закона о биржах 1934 г. и что информация, cодержащаяся в отчетности, дает справедливое представление обо всех существенных аспектах финансового состояния и результатах деятельности компании (раздел 906 SOX).
Что следует автоматизировать
Необходимость автоматизации диктуется тем обстоятельством, что для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, связанных с порождением финансовой отчетности, а сделать это без тесно интегрированных информационных систем управления и контроля, связывающих данные о бизнес-процессе и об управлении его рисками, не представляется возможным (особенно в тех случаях, когда таких бизнес-процессов очень много). Автоматизированная система поможет реализовать процесс внутреннего контроля за изменениями состояния объектов, описанных в документах COSO на концептуальном уровне, в контексте бизнес-процессов. Поскольку очень важна возможность оценки СВК по аналитическим сводкам о функционировании такой системы, система должна быть прозрачной для руководства компании, предоставляя ему отчеты о своем состоянии и эффективности.
Ко встроенным системам относится также модуль Oracle Internal Controls Manager (OICM), входящий в состав Oracle E-Business Suite, но лицензируемый отдельно. Реализован он на платформе Oracle и состоит из трех уровней: уровня базы данных (на Oracle Database), уровня приложений, управляющего модулями Oracle E-Business Suite, и клиентского уровня в виде Java-модуля для Web-браузера.
OICM связывает в единую систему компоненты для ведения внутреннего контроля, отвечающие за документирование, тестирование, мониторинг внутреннего контроля и его cоответствие требованиям законодательства.
Еще одним примером систем второго типа может быть SAP Management of Internal Controls (MIC), которая поставляется в составе SAP R/3. Большим ее преимуществом по сравнению с упомянутыми выше решениями является то, что она интегрируется практически со всеми популярными операционными системами, СУБД, средствами построения отчетов и клиентскими приложениями. Строго говоря, определение MIC как подсистемы технически не совсем верно, это скорее логическое объединение различных механизмов SAP для построения автоматизированной СВК.
В отличие от MOSASO встроенные системы позволяют не только создавать обособленные описания контролируемых процессов, но и интегрировать внутренний контроль с уже реализованной в ERP-решении бизнес-логикой. Отсюда следует, что для обеспечения взаимодействия автономной СВК с иными программными средствами придется затратить больше дополнительных ресурсов, в то время как модуль ERP-системы настроить для работы с уже отлаженным механизмом финансового или иного документооборота гораздо проще.
Для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, по которым требуется финансовая отчетность.
В контексте затрат на лицензирование названных продуктов желательно учитывать следующие обстоятельства:
— если на предприятии уже установлены Microsoft Office и SQL Server 2000 Standard или Enterprise Edition, то основные расходы при внедрении MOSASO придутся на консалтинг, потому что SharePoint Services и MOSASO предоставляются бесплатно;
— информацию о схеме лицензирования продуктов Mercury можно получить только у официальных дистрибьюторов этой компании.
По опыту компании GMCS, начавшей одной из первых в нашей стране внедрять автоматизированные СВК, можно отметить некоторые сложности, которые возникают в процессе ввода в эксплуатацию решений такого рода.
— Концептуальную модель СВК необходимо строить одновременно с разработкой программно-технологических решений автоматизированной системы. Дело в том, что для каждого конкретного предприятия аудиторские фирмы разрабатывают уникальные механизмы управления рисками и в момент создания автоматизированной СВК не существует программного решения, позволяющего настроить нужным образом логику внутреннего контроля. В результате определенную часть функциональности будущей системы приходится реализовывать по ходу утверждения контрольных и иных регламентов, учитывая постоянно меняющиеся требования к концепции СВК. Для преодоления такого рода затруднений выполняется полный цикл производства программного решения: анализ требований к системе, проектирование, реализация, тестирование.
— В территориально распределенных холдингах существуют такие требования: разделение информации, относящейся к разным филиалам, консолидация сведений о состоянии и эффективности системы, управление доступом сотрудников к этой информации. С целью разделения информации организуются логические и физические хранилища для каждого филиала, что позволяет, в частности, разграничить доступ пользователей к данным филиалов. Консолидация показателей состояния и эффективности СВК осуществляется в процессе генерации соответствующих отчетов, что требует либо создания отдельной базы, где хранятся данные обо всей системе, либо специальной настройки программных средств построения отчетности.
Построение системы внутреннего контроля — СВК по Sarbanes-Oxley (SOx)
В последние годы у многих компаний в очередной раз возникли проблемы, связанные с финансовой отчетностью, что привело к росту давления акционеров на них в целях существенного повышения качества управления рисками и улучшения контроля за эффективностью системы управления. Согласно закону Sarbanes-Oxley (SOx) эти компании должны принять меры к минимизации рисков ошибок в финансовой отчетности и построению системы контроля за процессами ее составления. Сегодня обязательное требование при проведении таких работ — внедрение эффективных бизнес-процессов и их мониторинг с целью обеспечения гарантии эффективной работы системы управления.
Закон Sarbanes-Oxley (SOx)
Закон Sarbanes-Oxley является одним из основных нормативных документов Комиссии по ценным бумагам США, определяющих специализированные требования ко всем компаниям, акции которых котируются на американских фондовых биржах. С 2004 г. все компании, зарегистрированные на фондовой бирже США (US Stock Exchange), и все их дочерние компании обязаны продемонстрировать эффективность системы внутреннего контроля при составлении финансовой отчетности. Генеральные директора и финансовые управляющие должны нести повышенную персональную ответственность за точность и полноту финансовой информации.
По закону Sarbanes-Oxley требуются описание, тестирование и мониторинг всей внутренней системы контроля за рисками, влияющими на качество финансовой отчетности. Поэтому сегодня компании сталкиваются с проблемой, касающейся выполнения процессно-ориентированного аудита своих систем внутреннего контроля на предмет выявления их недостатков и непрерывного улучшения. Данный закон применим и к иностранным эмитентам. Им предоставляются лишь небольшие послабления в области построения системы внутреннего аудита.
Среди иностранных эмитентов под действие закона подпадают все компании, акции которых котируются на фондовом рынке США. Кроме того, закон распространяется на компании, которые либо имеют значительный объем деятельности на территории США, либо сотрудничают с правительственными организациями США, либо планируют слияние или тесно связаны по бизнесу с котирующимися на американском фондовом рынке компаниями. Это означает, что все российские компании, которые могут быть отнесены к перечисленным категориям, были обязаны к концу финансового года, заканчивающегося после 15 июля 2006 г., внедрить систему внутреннего контроля за формированием финансовой отчетности и произвести оценку эффективности этой системы.
Закон Sarbanes-Oxley (SOx) статьи 302,404
Согласно ст. «302 — Корпоративная ответственность за финансовые отчеты» закона Sarbanes-Oxley руководители предприятий несут личную ответственность, вплоть до уголовной, за достоверность информации в создаваемых финансовых документах, а также за эффективность системы внутреннего контроля по формированию финансовой отчетности. В ст. «404 — Управление и оценка финансового контроля» определены требования к этой системе и процедурам ее оценки. Руководители компаний обязаны документально оценивать систему внутреннего контроля, отразив в отчете все ее существенные недостатки и предполагаемые меры по их устранению. Оценка, утвержденная генеральным и финансовым директорами, должна пройти проверку у внешних аудиторов, обязанных сформировать отдельное заключение, которое будет опубликовано вместе с годовой финансовой отчетностью компании. Таковы основные требования рассматриваемого закона.
В настоящее время во многих странах работают над созданием аналогичных законов, что свидетельствует об актуальности задач по построению системы внутреннего контроля. Однако важно также отметить, что данная система, созданная по требованиям закона Sarbanes-Oxley, является лишь одним из элементов общей системы управления соответствиями. Такая система позволяет идентифицировать основные требования к деятельности компании и обеспечить соответствие им. К подобным требованиям могут относиться законодательные нормативные акты (такие, как закон Sarbanes-Oxley), требования по качеству продуктов/услуг и процессов их создания, отраслевые стандарты, частные требования, выставляемые акционерами и руководством компании. Следовательно, задача построения системы внутреннего контроля важна не только с точки зрения присутствия на американской или какой-либо другой фондовой бирже, но и с позиции минимизации рисков и снижения степени несоответствия различным стандартам.
Элементы системы внутреннего контроля Sarbanes-Oxley (SOx)
Рассмотрим, из чего состоит система внутреннего контроля и какие другие элементы компании с ней связаны. Под контролем понимается набор действий, связанных с подготовкой, проверкой и визированием финансовых документов, которые направлены на выявление несоответствий стандартам в этих документах. Иными словами, каждый процесс подготовки значимых финансовых документов должен содержать эффективные действия по контролю за их составлением. Наличие таких действий в компании позволяет выявлять существенные ошибки до подписания документов ответственными лицами.
Следующим важным элементом является тест. Тест — это набор мероприятий, выполняемых для оценки эффективности внутреннего контроля. По результатам тестов становится понятно, приводят ли действия по контролю к выявлению существенных ошибок и являются ли они эффективными. Таким образом, мы получаем двухуровневую систему контроля — в оперативном порядке осуществляется контроль за процессами формирования финансовой отчетности, а на периодической основе проводится тестирование используемых средств контроля.
Важным элементом является и существенный счет. Под существенными понимаются те счета, объем операций по которым превышает заранее оговоренные границы, что, следовательно, делает их предметом рассмотрения в рамках системы внутреннего контроля. Помимо этого существенными могут быть признаны счета, обладающие качественными признаками, искажение информации по которым может ввести в заблуждение потенциальных инвесторов. Количество существенных счетов определяет необходимый объем контроля.
С организационной точки зрения в систему внутреннего контроля вовлечены сотрудники компании, представляющие различные подразделения и уровни управления. Главными ответственными лицами являются руководитель предприятия и финансовый управляющий, которые заинтересованы в том, чтобы система была внедрена и эффективно функционировала. Значимым организационным элементом является подразделение, ответственное за формирование методики и концепции системы внутреннего контроля, разработку и реализацию процедур, выбор и внедрение инструментов, обеспечение функционирования всей системы.
Выделяются также владельцы документов, контролеры и тестировщики. Вся ролевая концепция и распределение ответственности должны быть выполнены таким образом, чтобы гарантировать независимость друг от друга таких элементов, как подготовка и контроль документа, тестирование контроля. В структуре управления могут присутствовать и ответственные за отдельные области, выделяемые по функциональному, региональному и другим признакам.
Организационное устройство системы дополняют внешние консультанты и, безусловно, независимые аудиторы, обязанные подтвердить заявленную руководством компании оценку созданной системы внутреннего контроля. Немаловажным элементом системы внутреннего контроля являются инструментальные средства поддержки процедур контроля и тестирования. Их применение обоснованно в случае, если необходимо обеспечить единое информационное пространство по формированию структуры всей системы, а также по оперативному управлению контролем и тестами с последующим составлением отчетности для целей внутреннего и внешнего аудита.
При внедрении данной системы нельзя руководствоваться только формальными признаками соответствия закону. Важно проникнуться идеей необходимости системы управления соответствиями, что позволит получить эффективную систему внутреннего контроля и тестов. Вся система считается эффективной, если объем снижаемых финансовых рисков превышает затраты на выполнение контроля и их тестирование, а также на поддержание всей системы в работоспособном состоянии.
Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx)
Проект по разработке и внедрению эффективной системы внутреннего контроля предусматривает следующие этапы работ:
Рассмотрим более подробно каждый из указанных этапов. На первом этапе необходимо четко определить границы выстраиваемой системы внутреннего контроля в соответствии с их предполагаемым объемом и степенью надежности.
Под объемом понимается количество существующих в компании направлений деятельности и, следовательно, подразделений и финансовых документов, которые подпадут под действие системы. Степень надежности определяется через индикаторы существенности, задающие уровень финансовых рисков, которые должны стать предметом контроля. Исходя из этих двух измерений устанавливаются предполагаемый объем работ, состав проектной группы, график выполнения проекта.
Состав проектной группы внедрения системы внутреннего контроля Sarbanes-Oxley (SOx)
Состав проектной группы и процедуры работы должны быть подобраны таким образом, чтобы обеспечить выполнение следующих важных условий проекта:
Следующей задачей, решаемой в проекте, является определение существенных счетов. Все счета компании, связанные с движением денежных средств, а также материальных и нематериальных активов, оцениваются на предмет значимости их объемов с точки зрения индекса существенности (как процент от оборота компании или другого финансового показателя). Индекс существенности может быть рассчитан на основе не только количественных, но и качественных показателей.
Описные процессов для целей Sarbanes-Oxley (SOx)
Список отобранных таким образом счетов будет определять объем дальнейших работ по развертыванию системы внутреннего контроля. Следует понимать, что при большом числе существенных счетов система контроля будет достаточно громоздкой и дорогостоящей, тогда как при недостаточном количестве организация получит отрицательный результат при аудите. Далее необходимо определить, какие процессы компании связаны с формированием отобранных существенных счетов.
Для решения этой задачи целесообразно предварительно составить архитектуру процессов организации, содержащую полный набор как основных, так и вспомогательных и управляющих бизнес-процессов. За основу можно взять эталонную 13-процессную модель или соответствующую отраслевую модель деятельности. Отобранные процессы подвергаются более детальному рассмотрению, позволяющему выявить правила работы с существенными счетами и сформировать представление о методах контроля за формированием финансовых документов.
Анализ деятельности компании с точки зрения процессов играет существенную роль при построении системы внутреннего контроля. Такой подход обеспечивает контроль объема работ по документированию деятельности, при этом проводится описание только тех процессов компании, ее подразделений и филиалов, которые являются существенными с точки зрения выполняемого проекта.
Проведя детальное моделирование процессов, компания получает возможность определить, какие операции связаны с обработкой существенных счетов, как эти операции встроены в процесс и какие меры контроля применяются или могут быть применены для снижения финансовых рисков. Это также делает возможным провести точечную идентификацию всех рисков, связанных с формированием финансовых документов.
Помимо бизнес-процессов необходимо уделять внимание информационным системам, которые поддерживают выбранные процессы, поскольку в рамках их работы могут возникнуть ошибки, влияющие на достоверность финансовой отчетности. Выявленные риски должны быть подвержены определенной оценке. Это необходимо для выявления наиболее существенных рисков, для которых и будет разработана система внутреннего контроля.
Такой подход позволяет гарантировать внедрение эффективной системы управления. Каждый риск оценивается по двум параметрам — периодичность возникновения и объемы потерь на каждый случай. Оценка может быть как количественной, так и качественной. В случае качественной оценки доли каждого параметра используется шкала из 3-4 значений, что определяет от 9 до 16 зон градаций существенности риска.
По результатам проведенной оценки осуществляется ранжирование всех выявленных рисков — либо по оцененному объему убытков (при количественной оценке), либо по отнесению к зонам существенности (в случае качественной оценки). Важна также классификация рисков с точки зрения преднамеренности приводящих к ним действий, что дает дополнительную информацию для определения существенности риска.
Контрольные процедуры для Sarbanes-Oxley (SOx)
Следующий этап работ подразумевает определение контрольных действий в бизнес-процессах, направленных на минимизацию рисков, которые связаны с существенными счетами (через контроль правильности формирования соответствующих финансовых документов). При этом основное внимание уделяется документированию контрольных действий, хотя можно сразу дополнять или видоизменять их, если эксперты видят в этом целесообразность и обоснованность.
Результатом работ должно стать полное документирование контрольных действий, включая название контроля, его детальное описание (цели, последовательность действий-, периодичность, исходные документы, ответственное лицо), а также ссылка на реестр или документ (если таковые имеются), в котором фиксируется факт и результат проведения обозначенных контрольных действий.
После документирования всех контрольных действий необходимо провести их первичную оценку на предмет эффективности. Данная работа выполняется экспертами на основе всей созданной в ходе проекта документации и при необходимости с использованием рабочих документов, в отношении которых осуществляется контроль. По результатам оценки формируется отчет о качестве каждого контрольного действия.
Качество подразумевает способность контроля выявлять ошибки и искажения информации, а также эффективность самих действий по выявлению и устранению этих ошибок. Качество контроля кодируется при помощи системы обозначений, что позволяет легко отбирать неэффективные контрольные действия и проводить общую оценку системы внутреннего контроля. Для всех некачественных контрольных действий должны быть разработаны рекомендации по улучшению, по результатам реализации которых вносятся изменения в документацию по системе внутреннего контроля.
Далее наступает в некотором смысле ответственный момент, когда необходимо внедрить систему тестов и процедур, направленную на периодическое тестирование качества внутреннего контроля и его корректировку. Система должна действовать на постоянной основе, обеспечивая постоянную оценку и актуализацию, а также документирование контрольных действий для целей внешнего и внутреннего аудита. Инструментарием, способным поддержать как проект по разработке системы внутреннего контроля, так и оперативную работу по ее тестированию и документированию, являются ИТ решения. Эти решения, с одной стороны, обеспечивают удобный интерфейс и надежную базу для документирования контрольных действий, а с другой — позволяют упростить работу, связанную с проведением тестов, фиксацией результатов, уведомлением и формированием периодической отчетности для целей внешнего и внутреннего аудита.