Процесс оценки контрольных процедур заключается в определении значительности влияния определенных недостатков в контроле на финансовую отчетность Группы компаний. Данный процесс состоит из следующих этапов:
- определение индивидуальной оценки выявленного недостатка;
- определение оценки выявленного недостатка с учетом компенсирующего контроля;
- агрегирование недостатков.
Индивидуальная оценка выявленного недостатка контрольной процедуры
Индивидуальная оценка выявленного недостатка определяется с учетом всех контролирующих процедур. Методика определения индивидуальной оценки недостатка одинакова для недостатков дизайна и операционной эффективности контрольных процедур бизнес-процессов и включает три этапа:
- количественная индивидуальная оценка недостатка;
- качественная индивидуальная оценка недостатка;
- итоговая оценка недостатка.
Индивидуальная оценка недостатков контроля корпоративного уровня осуществляется только по качественным факторам. Данные для расчета индивидуальной количественной оценки определяются на основании финансовой отчетности за вычетом сумм по внутригрупповым операциям предприятий, которые не оказывают влияние на формирование консолидированной финансовой отчетности. Способ расчета необходимых для определения количественной индивидуальной оценки недостатка финансовых данных должен быть избран из двух возможных вариантов:
- если подготовка финансовой отчетности за полугодие текущего года завершена, то обороты / остатки по существенным статьям определяются экстраполяцией данных за шесть месяцев на период 12 месяцев;
- если подготовка финансовой отчетности за полугодие текущего года не завершена, то обороты / остатки по существенным статьям считаются равными соответствующим данным за период 12 месяцев предыдущего года.
Индивидуальной количественной оценкой выявленного недостатка является величина потенциального искажения данных финансовой отчетности, возникающего в результате недостатка конкретного контроля.
Сумма потенциального искажения рассчитывается по формуле
СПИ=МО*ОВ,
где СПИ - сумма потенциального искажения, МО - определяется как максимум из:
- суммы остатков по статям актива, влияние на которые оказывает отсутствие данного контроля;
- суммы остатков по статям пассива, влияние на которые оказывает отсутствие данного контроля;
- суммы оборотов по статям отчета о прибылях и убытках, влияние на которые оказывает отсутствие данного контроля.
OB - объем влияния недостатка, определяется как процент от МО в зависимости от объема влияния контроля на существующий риск с учетом компенсирующих контрольных процедур, признанных эффективными.
Качественная оценка недостатка так же, как и количественная, может принимать одно из трех значений: незначительный, значительный, существенный. Для каждого недостатка необходимо проанализировать наличие факторов, определяющих качественную оценку. Обязательным является рассмотрение следующих факторов, которые являются индикатором того, что недостаток должен быть оценен как «существенный»:
- выявление случаев мошенничества любого масштаба, в которое вовлечено Руководство компании;
- изменение или правка выпущенной финансовой отчетности, в результате выявления ошибок после публикации отчетности или мошенничества (не включая изменений или правок финансовой отчетности, связанных с изменениями в общепринятых принципах и нормах бухгалтерского учета или сознательного перехода от одних общепринятых принципов к другим общепринятым принципам и нормам бухгалтерского учета);
- выявление аудитором существенного искажения в финансовой отчетности в текущем периоде, которое не было выявлено системой контроля над достоверностью консолидированной отчетности Компании, даже если в последствии данное искажение было исправлено Руководством;
- неэффективный надзор над составлением финансовой отчетности и контрольными процедурами за достоверностью финансовой отчетности.
Индивидуальная оценка недостатка определяется как максимальное значение из выявленных качественной и количественной индивидуальной оценок. Недостатки общего компьютерного контроля, как правило, не могут непосредственно привести к искажению финансовой отчетности, однако они влияют на функционирование автоматических и ИТ-зависимых контрольных процедур, делают возможным манипуляцию данными в системе либо несут в себе риски системных сбоев.
Оценка таких недостатков определяется не ниже, чем для тех автоматических и ИТ-зависимых контрольных процедур на уровне процессов, которые являются неэффективными из-за недостатка общего компьютерного контроля.
Недостатки общего компьютерного контроля, которые невозможно связать с контрольными процедурами бизнес-процессов, подлежат качественной оценке исходя из их возможного влияния на финансовую отчетность.
При качественной оценке недостатков необходимо учитывать следующие факторы:
- Сколько бизнес-процессов поддерживается системой, и какова их критичность?
- Какое количество пользователей системы затрагивается недостатком?
- Сколько и какие из ключевых контрольных процедур были признаны не эффективными?
- Какова стоимость информационной системы (аппаратные средства, программное обеспечение, поддержка системы и пользователей)?
- Каковы стоимость или вероятный ущерб от утери или искажения информации, обрабатываемой в информационной системе?
- Какое количество транзакций / операций, осуществляемых в системе за период?
- Каков возраст прикладной системы, и как часто она обновляется?
- Существует ли информация о сбоях в обработке данных?
- Существует ли информация о сбоях ключевых прикладных систем?
- Существуют ли ключевые отчеты, на основании которых принимаются стратегические решения по управлению?
- Насколько глубоко была модифицирована покупная прикладная система?
- Каковы были причины запросов на изменения с высоким приоритетом?
- Как часто появлялась необходимость внесения срочных изменений в информационные системы?
- Какова текучесть кадров на ключевых позициях?
- Является ли выявленный недостаток системным (был ли он обнаружен впервые или повторно)?
- Существуют компенсирующие контрольные процедуры, покрывающие данный риск?