Оценка эффективности внутреннего контроля

Оценка системы внутреннего контроля

Оценка системы внутреннего контроля ИТ предусматривает выявление и оценку на основе разработанных критериев надежности и эффективности системы внутреннего контроля ИТ, отклонений от целевого состояния структур, политик и ИТ-процессов организации, призванных обеспечивать минимизацию рисков информационных технологий, достижение стратегических целей бизнеса и ИТ, а также разработку рекомендаций по устранению наиболее значимых отклонений.

Услуга объединяет процедуры, методы и механизмы контроля, создаваемые руководством организации для обеспечения направленной на минимизацию ИТ-рисков и обеспечение разумной гарантии достижения ее бизнес и ИТ-целей.

Данная услуга необходима:

  • при принятии решений о начале любых проектов по внедрению или совершенствованию ИТ-процессов управления (внедрение новых информационных технологий, оптимизация и реинжиниринг бизнес и ИТ-процессов, реорганизация, изменение ИТ-систем и т.д.);
  • при необходимости повышения надежности, результативности и эффективности системы внутреннего контроля ИТ (в том числе, с целью соответствия требованиям российских и зарубежных стандартов, лучших практик, регулирующих органов, и повышения привлекательности бизнеса для инвесторов).

Оценка системы внутреннего контроля ИТ позволяет получить следующие результаты:

  • получение необходимой информации о рисках, возможностях, тенденциях, связанных с применением ИТ для достижения бизнес-целей организации;
  • определение направлений и задач необходимых изменений в ИТ
  • создание основы для внедрения лучшей практики в области:

Безусловно, весь вышеописанный процесс является достаточно трудоемки и в этом случае существенную помощь может оказать автоматизация. Рекомендации наших специалистов, основанные не только на теоретически знаниях, но и на существенном личном опыте в подобных проектах может значительно повысить качество проводимого процесса по оценке системы внутреннего контроля.

Аудитор изучает систему внутреннего контроля для выявления и оценки рисков существенного искажения информации (РСИИ), а также для выполнения планирования характера, сроков и объема дальнейших аудиторских процедур.

Система внутреннего контроля (СВК) представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам.

Порядок организации и функционирования системы внутреннего контроля зависит от размеров и сложности структуры аудируемого лица.

Система внутреннего контроля включает следующие элементы:

1) контрольная среда, которая включает позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля аудируемого лица, а также понимание значения такой системы для деятельности аудируемого лица.

Контрольная среда аудируемого лица оказывает влияние на сознатель

ность сотрудников в отношении контроля. Она является основой для эффек­тивной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка.

Контрольная среда включает следующие элементы:

а) доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей;

б) профессионализм (компетентность сотрудников);

в) участие собственника или его представителей;

г) компетентность и стиль работы руководства;

д) организационную структуру;

е) наделение ответственностью и полномочиями;

ж) кадровую политику и практику;

2) процесс оценки рисков аудируемым лицом — это процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий;

з) информационная система, в том числе связанная с подготовкой фи­нансовой (бухгалтерской) отчетности — это соответствующие процедуры и записи, установленные для инициирования хозяйственных операций аудируемого лица (как в отношении наступления события, так и состояния), их регистрации, обработки и включения их в финансовую (бухгалтерскую) отчетность, а также для ведения учета соответствующих активов, обязательств и капитала. Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается:

а) техническими средствами;

б) программным обеспечением;

в) персоналом;

г) соответствующими процедурами;

д) базами данных.

Большинство информационных систем активно использует компьютер­ные средства и информационные технологии.

Аудитор должен обладать знаниями об информационных системах, свя­занных с подготовкой финансовой (бухгалтерской) отчетности и соответст­вующей деятельностью, которые охватывают следующее:

а) группы однотипных операций в деятельности аудируемого лица, кото­рые являются существенными для финансовой (бухгалтерской) отчетности;

б) процедуры как для компьютеризированной, так и для ручной системы учета, с помощью которых хозяйственные операции инициируются, регистрируются, обрабатываются и включаются в финансовую (бухгалтерскую) отчетность;

в) соответствующие бухгалтерские записи на бумажных носителях или в электронном виде, информация и конкретные статьи финансовой (бухгалтерской) отчетности, касающиеся инициируемых хозяйственных операций, их регистрации, обработки и обобщения;

г) фиксация информационными системами данных о событиях и услови­ях, которые не входят в состав однотипных операций, но, тем не менее, могут являться существенными для финансовой (бухгалтерской) отчетности;

д) процесс подготовки и составления финансовой (бухгалтерской) отчетности, включая процедуры и методы, используемые руководством аудируемого лица при расчете важных оценочных значений и в случаях необходимого раскрытия информации;

4)контрольные действия, которые включают политику и процедуры, помогающие удостовериться, что распоряжения руководства выполняются;

Виды контрольных действий:

а) проверка выполнения;

б) обработка информации, в том числе общие и прикладные средства контроля;

в) проверка наличия и состояния объектов;

г) разделение обязанностей.

С особым вниманием аудитор должен понять, каким образом аудируемоелицо отреагировало на риски, присущие информационнымсистемам, поскольку

применение информационных систем оказывает влияние на то, каким образом внедряются контрольные действия.

Общие средства контроля за информационными системами включают политику и процедуры, которые имеют широкие области применения и предна­значены для обеспечения эффективного функционирования прикладных средств контроля, помогая удостовериться в правильном бесперебойном функционировании информационных систем. Общие средства контроля за информационными системами, которые обеспечивают верность информации и защиту исходных данных, обычно включают средства контроля в отношении следующего:

— операции информационного центра и компьютерной сети;

— приобретение программного обеспечения для операционной системы, его изменение и обслуживание;

— защита от несанкционированного доступа;

— приобретение, развитие и обслуживание прикладных программ ин­формационных систем.

Прикладные средства контроля представляют собой процедуры, автоматизированные или осуществляемые вручную, которые обычно используются на уровне обработки хозяйственных операций. Прикладные средства контроля могут быть по своему характеру предупреждающими или обнаруживающими и предназначены обеспечить верность бухгалтерских записей. Прикладные средства контроля связаны с процедурами, используемыми для инициирования операций, регистрации, обработки и обобщения хозяйственных операций или другой финансовой информации. Эти средства контроля помогают удостовериться, что данные хозяйственные операции действительно имели место, были санкционированы надлежащим образом, а также в полном объеме и точно зафиксированы и обработаны информационными системами.

Примерами прикладных средств контроля могут служить контрольное тестирование компьютером вводимых данных или контроль сквозной нумерации вводимых документов с последующей выдачей персоналу, выполняющему учетные функции, сообщений или справок о выявленных несоответствиях. Персонал при этом мог бы исправлять такие ошибки и несоответствия непо­средственно в момент ввода

или впоследствии.

5)мониторинг средств контроля — это процесс оценки эффективного функционирования системы внутреннего контроля во времени.

В рамках любого из элементов СВК могут функционировать средства контроля, имеющие отношение к целям аудита и связанные с БФО, хозяйствен­ными операциями или соблюдением законодательства РФ.

Средства контроля — это конкретные процедуры и действия, которые эф­фективно предотвращают или выявляют и устраняют существенные искажения на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности в группах однотипных операций, остатках по счетам бухгалтерского учета или случаях раскрытия информации.

Аудитор выявляет и оценивает средства контроля, в том числе рассмат­ривает адекватности организации средств контроля и устанавливает факт их применения.

Оценка адекватности организации средства контроля включает рассмот­рение способности средства контроля в отдельности или в сочетании с другими средствами контроля эффективно предотвращать или обнаруживать и исправ­лять существенные искажения.

Под применением средства контроля подразумевается, что средство кон­троля существует и аудируемое лицо использует его.

4. Пример корректировки программы аудита с учетом оценки аудиторского риска

После проведения предварительного обследования деятельности органи­зации выяснилось, что ОАО «ППК» является крупным промышленным пред­приятием, осуществляющим переработку сырья с получением продуктов А, Б, В, Г и другой продукции. Номенклатура продукции составляет более 50 наименований.

ОАО «ГТПК» в отчетном году после резкого спада объемов производства частично восстановила его уровень. Это стало возможно за счет изменения основных поставщиков сырья, взаимоотношения с которыми были налажены после банкротства прежних контрагентов. Планируется дальнейший рост производства, в том числе за счет изменения номенклатуры готовой продукции.

Реализации и закупки производятся через посредников, имеется более 100 покупателей, поставки на экспорт. Основное производство является материалоемким, энергоемким, но ОАО «ГПТК» добывает собственное сырье и производит собственную тепло- и электроэнергию.

При обследовании аудиторами системы бухгалтерского учета было установлено следующее.

Бухгалтерский учет ОАО «ППК» осуществляется централизованной бухгалтерией во главе с главным бухгалтером. Бухгалтерия организована по функциональному признаку (производство, материальный учет и т. д.). Имеется отдел сводной отчетности.

Разработаны и утверждены должностные инструкции работников бухгалтерии, в настоящее время производятся разработка должностных инструкций работников бухгалтерии в новой редакции.

Результаты тестирования системы внутреннего контроля оформлены рабочим документом аудитора.

Таблица 2 — Рабочий документ аудитора. Анкета тестов проверки состоя­ния средств внутреннего контроля и системы учета материалов

№ п/п Содержание вопроса или объекта исследования Содержание ответа или результат проверки Выводы и реше­ния аудитора
Имеется ли программа внутрихо­зяйственного контроля Имеется, но разделы программы не детализированы по группам и подгруппам ценностей Недостаточная эффективность средств контро-

Продолжение таблицы 2

Имеются ли служба внутреннего аудита, ревизионная комиссия, постоянно действующая инвен­таризационная комиссия? Нет службы внутреннего аудита и постоянно действующей ин­вентаризационной комиссии, а есть только ревизионная комис­сия ?
Выполняет ли ревизионная ко­миссия программу внутрихозяй­ственного контроля? Ревизионная комиссия проводит проверку только по жалобам собственников ?
Проводится ли инвентаризация ценностей, когда и сколько раз? Проводится только в конце года выборочно комиссией, назна­ченной приказом руководителя Выявлен РСИИ
Проводится ли проверка полноты и своевременности оприходова­ния МПЗ? Только по первичным докумен­там (выборочно) р
Проверяется ли использование МПЗ по разным направлениям? Проверяются бухгалтерией пер­вичные и сводные документы
Выявляются ли лица, виновные в перерасходе сырья и материалов? Нет, не выявляются из-за отсут­ствия систематического факти­ческого контроля ?
Сличаются ли первичные данные о расходе МПЗ с данными отчета по движению материальных цен­ностей, производственным отче­том? Да, сотрудниками бухгалтерии при регистрации хозяйственных операций ?
Проверяется ли правильность оценки и учета МПЗ внутренни­ми контролёрами и т.д.? Ревизионная комиссия в этих вопросах не компетентна ?
Выбраны ли методы оценки и учета МПЗ на счетах в учетной политике? Материалы принимаются к уче­ту по фактической стоимости, при списании используется ме­тод средней себестоимости ?
Какая применяется форма бух­галтерского учета? Автоматизированная с исполь­зованием программы «1C: Бух­галтерия 8.0» Общие средства контроля
Организован ли аналитический учет МПЗ на должном уровне, ведутся ли карточки складского учета? Складской учет автоматизиро­ван с использованием програм­мы «1C: Бухгалтерия 8.0» ?
И т.д.

При сборе и изучении сведений аудитор обращает внимание на ряд про­блем (см. 2-ой вопрос темы) для установления возможных рисков существенно­го искажения информации и из них значимых рисков, а также устанавливает адекватные средства контроля, тестирование которых целесообразно предусмотреть в программе аудита для возможного уменьшения объемов процедур проверки по существу.

1. Среди прочей информации установлен факт изменения основных по­ставщиков. В отношении аудита материалов выявленный факт может свиде­тельствовать о наличии РСИИ оборота по дебету счета 10 «Материалы». Возможные ответные действия (см. 1 вопрос) включают выявление областей аудируемого лица, требующих особого внимания аудитора. В сложившейся ситуации это операции с новыми поставщиками через увеличение объема отбираемой совокупности или стратификация генеральной совокупности, позволяющая снизить риск без увеличения количества отобранных для проверки документов. Допустим, к новым поставщикам, занимающим значительный удельный вес в структуре поставок материалов, отнесены ОАО «НПМ» и ООО «СПС», тогда в программе аудита следует отметить особый подход к отбору элементов для проверки.

Таблица 3 — Рабочий документ аудитора. Программа аудита материалов (фрагмент)

№ п/п Аудиторские процедуры Период проведения Исполнитель Рабочие документы аудитора Примечания
Аудит поступления материалов
4.2 Проверка правильности оценки и свое­временности оприходования материа­лов, приобретенных за плату 15.02.-16.02 Иванов И.И. Приходный ордер Отнести к клю­чевым элемен­там поставки от ОАО «НПМ» и ООО «СПС»

Ответные действия необходимы, если РСИИ признан значимым

2. При тестировании состояния СВК установлено, что не проведена ин­вентаризация материалов надлежащим образом.

Установленный факт свидетельствует о присутствии РСИИ сальдо счета 10 «Материалы» в отношении предпосылки существования активов. Ответные действия в подобной ситуации зависят от момента проведения проверки отно­сительно отчетной даты.

Допустим, проверка проводится до окончания отчетного периода, и ауди­тор имеет возможность воздействовать на аудируемое лицо.

Среди ответных действий (см. 1-ый вопрос) — планирование и выполне­ние дальнейших аудиторских процедур в целях сокращения аудиторского риска до приемлемо низкого уровня, например в программу аудита можно включить направление запроса руководству и наблюдение за проведением инвентариза­ции материалов.

Таблица 4 — Рабочий документ аудитора. Программа аудита материалов

(фрагмент)

№ п/п Аудиторские процедуры Период проведения Исполнитель Рабочие документы аудитора Примечания
Аудит наличия и сохранности материа­лов
3.1 Направление запроса руководству о не­обходимости проведения инвентариза­ции материалов до отчетной даты 01.12 Иванов И.И.
3.2 Наблюдение за инвентаризацией мате­риалов Декабрь Иванов И.И. (с учетом гра­фика проведе­ния инвентари­зации)

3. Изучение информационной системы позволило установить применение бухгалтерской программы для ведения бухгалтерского учета, в том числе учета материалов. Предусмотренные программой общие средства контроля позволяют сократить объем процедур по существу при проверке правильности арифметических расчетов и сверке данных регистров аналитического и синтетического учета. Например, сверка регистров аналитического и синтетического учета по счету 10 «Материалы» не выполняется, так как за правильность отвечает бухгалтерская программа и нет оснований сомневаться в правильности алгоритмов расчета.

Таблица 5 — Рабочий документ аудитора. Программа аудита материалов (фрагмент)

Следует отметить, что данные регистров аналитического и синтетического учета все же сверяют, но это тестирование (проверка) средств контроля и выполняется дополнительно, например при отборе материалов для установления их существования или правильности оценки. Позволяет убедиться, что все элементы совокупности имеют возможность быть отобранными, а выборка может быть признана репрезентативной.

Можно выделить и другие особенности, влияющие на дальнейшую работу аудитора. Для этого проанализируйте результаты сбора информации о дея­тельности аудируемого лица и его системе внутреннего контроля, сделайте предположения о ситуациях, в которых РСИИ может быть признан значимым и предложите ответные действия.

Тема 7. Существенность в аудите

1. Определение понятия существенности

Единые требования, касающиеся концепции существенности и ее взаимосвязи с аудиторским риском устанавливает Правило (стандарт) № 4 «Существенность в аудите».

В ходе проведения проверок1 аудиторские организации не должны устанавливать достоверность отчетности с абсолютной точностью, но обязаныт установить ее достоверность во всех существенных отношениях.

Информация об отдельных активах, обязательствах, доходах, расходах и хозяйственных операциях, а также составляющих капитала считается существенной, если ее пропуск или искажение может повлиять на экономические решения пользователей, принятые на основе финансовой (бухгалтерской) отчетности.

Аудитор оценивает то, что является существенным, по своему профессиональному суждению.

При оценке существенности аудитор принимает во внимание:

1) значение (количество, денежную оценку) искажений;

При этом следует учитывать следующее:

а) существенность зависит от величины показателя финансово (бухгал­терской) отчетности и/или ошибки, оцениваемых в случае их отсутствия или искажения;

б) на существенность могут оказывать влияние нормативные правовые акты Российской Федерации, а также факторы, имеющие отношение к отдельным счетам бухгалтерского учета финансовой (бухгалтерской) отчетности и взаимосвязям между ними.

2) характер (качество) искажений.

Примерами качественных искажений являются:

— недостаточное или неадекватное описание учетной политики, когда существует вероятность того, что пользователь финансовой (бухгалтерской) отчетности будет введен в заблуждение таким описанием;

— отсутствие раскрытия информации о нарушении нормативных требований в случае, когда существует вероятность того, что последующее применение санкций сможет оказать значительное влияние на результаты деятельности.

Существенность рассматривается как на уровне финансовой (бухгалтерской) отчетности в целом, так и в отношении остатка средств по отдельным счетам бухгалтерского учета групп однотипных операций и случаев раскрытия информации.

При оценке существенности рассматривается возможность искажений в отношении сравнительно небольших величин, которые в совокупности могут оказать существенное влияние на финансовую (бухгалтерскую) отчетность.

Например, ошибка в процедуре, проводимой в конце месяца, может ука­зывать на возможное существенное искажение, которое возникнет в том случае, если такая ошибка будет повторяться каждый месяц.

2. Применение принципа существенности при анализе результатов аудита

При оценке достоверности финансовой (бухгалтерской) отчетности аудитору следует определить, является ли существенной совокупность неисправленных искажений, которая включает:

1) конкретные искажения, выявленные аудитором, включая результаты неисправленных искажений, выявленных во время предыдущего аудита;

2) наилучшую аудиторскую оценку прочих искажений, которые не могут быть конкретно определены, то есть прогнозируемые ошибки.

Существенность принимается во внимание, во-первых, при определении характера, сроков проведения и объема аудиторских процедур. А именно, если аудитор приходит к выводу о том, что искажения могут оказаться существенными, ему необходимо снизить аудиторский риск посредством проведения дополнительных аудиторских процедур или предложить руководству аудируемого лица внести поправки в финансовую (бухгалтерскую) отчетность.

Во-вторых, существенность принимается во внимание при оценке последствий искажений. А именно, в том случае, если поправки в финансовую (бухгалтерскую) отчетность не внесены, а результаты дополнительных аудиторских процедур подтверждают существенность искажений, аудитору следует соответствующим образом модифицировать мнение.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *