Оценка эффективности контроля корпоративного уровня
Эффективность контрольной процедуры корпоративного уровня делится на две составляющих:
- Эффективность дизайна — порядок осуществления контрольной процедуры запланирован так, что задачи контроля и риски закрыты.
- Операционная эффективность - фактическое выполнение контрольной процедуры соответствует дизайну в течение всего рассматриваемого периода.
Оценка контроля корпоративного уровня должна осуществляться на уровне существенных блоков, которые создают контрольную среду и оказывают влияния на предприятия входящие в группу. Контроль корпоративного уровня должны оцениваться раз в год, периодичность оценки контроля корпоративного уровня в существенных блохах определяется финансово-экономической службой и согласовывается с внешним аудитором.
Сроки проведения оценки контроля корпоративного уровня могут не совпадать со сроками проведения тестирования контроля по другим процессам. Для проведения оценки обычно используют проверку документации и опрос:
- Опрос руководителей и рядовых сотрудников
- Проверка документации для подтверждения результатов опроса
Во время оценки эффективности контроля корпоративного уровня необходимо проанализировать высокоуровневые регламентирующие документы, при этом необходимо проводить выборочную оценку соответствия фактического процесса нормативной документации. Также необходимо убедиться, что нижестоящие документы, указанные в высохоуровневом регламенте разработаны и утверждены.
Оценка эффективности специфичных для бизнес-процессов контроля корпоративного уровня осуществляется аналогично оценке эффективности контрольных процедур бизнес-процессов.
Результаты и выводы оценки контроля корпоративного уровня должны быть сделаны до конца финансового года.
Оценка эффективности общего компьютерного контроля
Оценка эффективности компьютерного контроля проводится, используя комбинацию опроса и проверки документации.
Оценка эффективности специфичных для бизнес-процессов общего компьютерного контроля осуществляется аналогично оценке эффективности контрольных процедур бизнес-процессов. При этом необходимо принимать во внимание, что воспроизведение контрольной процедуры желательно делать в продуктивной среде (среде, в которой работает информационная система, обрабатывающая данные, используемые впоследствии для подготовки финансовой отчетности). В случае если тестирование производится вне продуктивной среды, в результатах тестирования необходимо задокументировать причину, по которой было принято решение о соответствии сред.
Надлежащее разделение полномочий
Для выполнения большинства операций в рамках бизнес-процесса требуется осуществить авторизацию, обеспечить сохранность ценностей и отразить операцию в учете. Наделение этими полномочиями различных сотрудников позволяет снизить вероятность того, что ошибка или мошенничество, совершенное сотрудником в ходе повседневной деятельности, останется незамеченным. Также важно разделять полномочия по выполнению нескольких взаимосвязанных ключевых операций. Необходимо убедиться в том, что полномочия разделены должным образом.
Оценка эффективности контрольных процедур бизнес-процесса
Порядок оценки эффективности дизайна контрольных процедур бизнес- процессов
Оценка дизайна контрольных процедур направлена на определение способности системы контроля над финансовой отчётностью обеспечить своевременное предотвращение или выявление ошибок и фальсификаций, приводящих к существенным искажениям информации по существенным статьям финансовой отчетности.
Ниже приведены процедуры, которые используются при тестировании и оценки эффективности дизайна:
- Опрос
- Наблюдение за выполнением контрольной процедуры
- Проверка документации
- Воспроизведение
При оценке эффективности дизайна особое внимание следует обратить на следующие аспекты:
- Покрытие контролем выявленных ключевых рисков, целей контроля и утверждений финансовой отчетности.
- Периодичность выполнения контрольной процедуры.
- Необходимое разделение обязанностей в рамках контролируемого процесса для обеспечения сохранности активов.
- Ошибки, выявленные в результате контрольной процедуры, своевременно анализируются.
- Надежность информации, используемой в рамках контрольной процедуры.
- Период, охватываемый контролем: контроль действует на протяжении всего периода предполагаемого времени использования.
- Операции, охватываемые контролем: контроль покрывает все соответствующие операции, без исключений.
- Наличие подтверждающих осуществление контроля документов (доказательство выполнения контрольной процедуры).
Порядок оценки операционной эффективности (тестирования) контрольных бизнес-процессов
Процесс тестирования операционной эффективности контрольных процедур заключается в сборе доказательств того, что контрольная процедура осуществлялась в течение требуемого периода в соответствии с регламентирующими документами и подтверждении того, что исполнитель контроля обладает необходимыми полномочиями и квалификацией, чтобы выполнять контроль эффективно.
При проведении тестирования следует обратить внимание на следующие моменты:
- Документирование тестов так же важно, как и сам тест.
- Тестирование должно осуществляться только после одобрения описания контрольных процедур владельцами бизнес-процессов и владельцами контрольных процедур.
- Наличие компенсирующих контрольных процедур не влияет на вывод по поводу наличия недостатка. Компенсирующие контроль могут влиять только на оценку недостатка контрольной процедуры.
Оценку операционной эффективности целесообразно проводить в два этапа:
1. Опрос владельцев контрольных процедур
Цепь опроса - получить подтверждение, что контрольные процедуры реализованы в соответствии с описанием процесса, и в том числе предусматривают сохранение доказательств ее выполнения каждый раз во время периода, за который проводится самооценка.
Оценка процесса при применении метода опроса предоставляет лишь ограниченную гарантию того, что контрольные процедуры оцениваемого процесса выполняются на регулярной основе и в полном объеме.
2. Тестирование операционной эффективности контрольных процедур
Данная оценка дает большую степень уверенности в правильности выводов об эффективности процессов, так как вместо заявления владельца контрольной процедуры предоставляется документальное подтверждение того, что контрольная процедура выполнялись в соответствии с дизайном и необходимые доказательства были сохранены.
Задачи тестирования:
- Дать разумную уверенность в том, что процедуры контроля выполняются с должной мерой аккуратности.
- Получить понимание о том, что риски закрываются и в какой мере.
- Дополнительно тестирование дает понимание трудоемкости процесса и необходимости оптимизации самого контроля.
Тестированию подлежат контрольные процедуры:
- Выбранные из общего количества контрольных процедур для тестирования на основании оценки риска по согласованию с финансово-экономической службой.
- Оцененные по дизайну как эффективные, за исключением случаев недостатка дизайна, связанного с отсутствием формализации регламентирующих документов, т.е. порядок выполнения контрольной процедуры определен, хоть и неформально, и соблюдается.
- В отношении которых получено подтверждение во время обновления документации, что они эффективно выполнялись в соответствии с их описаниями в течение периода, подлежащего тестированию.
При проведении тестирования сотрудник, ответственный за тестирование, должен полностью следовать плану тестирования. При необходимости внесения изменений в план тестирования, сотрудник, ответственный за тестирование, должен согласовать изменения с финансово-экономической службой. В случае обнаружения несоответствия выполнения контроля его дизайну не допускается замена одного элемента выборки на другой. В ряде случаев, по согласованию с финансово-экономической службой, допускается формирование дополнительной выборки для подтверждения выводов.
Особенности тестирования ИТ-зависимых и автоматизированных контрольных процедур
Тестирование ручной составляющей ИТ-зависимых контрольных процедур проводится точно так же, как и тестирование ручных контрольных процедур, а автоматической составляющей - так же, как тестирование автоматизированных контрольных процедур (например, убедиться в полноте и правильности отчетов информационной системы, которые служат основанием для выполнения KП).