Цель
В качестве экспертов по внутреннему контролю внутренние аудиторы могут востребованы для предоставления консультаций по системе внутреннего контроля организации для менеджмента, комитета по аудиту или тех и других. В частности, комитеты по аудиту в австралийских государственных учреждениях, подпадающих под действие «Закона огосударственном управлении, эффективности и подотчетности (PGPA)»1, обязаны рассматривать вопрос об «эффективности... системы внутреннего контроля».
Данный справочный документ предназначен для предоставления указаний внутренним аудиторам по вопросам:
Ø Что собой представляет система внутреннего контроля
Ø Что составляет «эффективную систему внутреннего контроля»
Ø Как оценивать систему внутреннего контроля.
Ø Как оценивать систему внутреннего контроля.
Справочная информация
Существуют различные толкования того, что такое «система внутреннего контроля». Кроме того, сами процессы определения, является ли система внутреннего контроля «эффективной», и проведения оценки этой системы внутреннего контроля носят субъективный характер, результаты которых можно открыто обсуждать.
Пояснение Тема
Что такое система внутреннего контроля, что такое «надлежащая» система внутреннего контроля, и как оценивается эффективность системы внутреннего контроля?
История
Практика внутреннего контроля существует с давних времен. Известно, что в эллинистическом Египте практиковалась двойная система внутреннего контроля для сбора налогов: одни чиновники собирали налоги, другие – присматривали за ними.
В последнее время наметилась тенденция к эволюции концепций управленческого контроля с целью признания более широкого спектра воздействий на управление организациями, и это нашло отражение в разработке «моделей» внутреннего контроля, которые интегрируют во внутренний контроль человеческий элемент, включая философию и рабочий стиль руководства.
Модель COSO2 является широко признанной моделью внутреннего контроля, и она объясняет, что «надлежащая/ эффективная система внутреннего контроля снижает до приемлемого уровня риск недостижения целей».
Международные основы профессиональной практики внутреннего аудита (МОПП) идут дальше и считают контроль надлежащим/ «эффективным», если он был разработан в такой форме, которая обеспечивает «разумную уверенность в том, что риски организации эффективно управляются и что цели и задачи организации будут достигнуты эффективно и экономично».
Что такое система внутреннего контроля?
Согласно COSO, система внутреннего контроля объединяет политики, процессы, задачи, поведение и другие аспекты организации, взятые вместе:
› Содействие ее эффективной и действенной деятельности, позволяя ей должным образом реагировать на коммерческие, операционные, финансовые, комплаенс- и другие риски для достижения целей. Это включает в себя защиту основных средств от ненадлежащего использования или от хищений и мошенничества, и обеспечение идентификации и управления обязательствами.
› Помощь в предоставлении гарантий качества внутренней и внешней отчетности – требует поддержания должных учета (записей) и процессов, которые образуют поток релевантной и достоверной информации как внутри организации, так и за ее пределами.
› Помощь в предоставлении гарантий соблюдения применимых законов и нормативных актов, а также внутренних политик в отношении ведения бизнеса.
Система внутреннего контроля — это не только правила и процедуры; она используется людьми и требует использования суждения. Основные 5 компонентов и 17 принципов системы внутреннего контроля, основанные на Концепции внутреннего контроля COSO, перечислены ниже:
Система внутреннего контроля
Контрольная среда
1. Организация демонстрирует приверженность порядочности и этическим ценностям.
2. Надзорный орган (совет директоров) осуществляет надзор за системой внутреннего контроля.
3. Менеджмент определяет организационную структуру, устанавливает ответственность и делегирует полномочия по достижению целей организации.
4. Менеджмент демонстрирует приверженность набору, развитию и удержанию компетентных личностей.
5. Менеджмент оценивает эффективность и устанавливает ответственность сотрудников за выполнение процедур внутреннего контроля.
Оценка риска
6. Менеджмент определяет цели с достаточной ясностью для выявления и оценки рисков, препятствующих их достижению.
7. Менеджмент определяет риски, препятствующие достижению целей в рамках всей организации, и анализирует риски для того, чтобы определить подходы к управлению ими. 8. Менеджмент оценивает риски возможного мошенничества, препятствующие достижению целей.
9. Менеджмент выявляет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля.
Контрольные процедуры
10. Организация выбирает и разрабатывает контрольные процедуры, которые способствуют достижению целей и отвечают рискам.
11. Организация выбирает и развивает общие средства контроля над технологиями для достижения поставленных целей.
12. Организация осуществляет контрольные действия с помощью политик, которые определяют, что ожидается, и процедур, которые приводят политики в действие.
Информация и коммуникации
13. Организация получает или сама генерирует и использует качественную информацию для поддержания функционирования внутреннего контроля.
14. Организация осуществляет внутренний обмен информацией, в том числе о целях и обязанностях в области внутреннего контроля.
15. Организация осуществляет обмен информацией с внешними сторонами по вопросам, влияющим на функционирование внутреннего контроля.
Процедуры мониторинга
16. Организация выбирает, разрабатывает и проводит непрерывные и/или периодические оценки компонентов внутреннего контроля с целью удостовериться, что они в наличии и работают.
17. Организация своевременно оценивает недостатки внутреннего контроля и своевременно сообщает о них сторонам, ответственным за принятие корректирующих мер, включая высшее руководство и совет директоров, в зависимости от обстоятельств.
Менеджмент несет ответственность за создание и поддержание эффективной системы внутреннего контроля, и, как правило, надзор за данной системой осуществляет комитет по аудиту.
Что такое «надлежащая» («эффективная») система внутреннего контроля?
Надлежащая система внутреннего контроля — это система внутреннего контроля, предназначенная для содействия достижению целей и помогающая гарантировать, что риски, связанные с этими целями, поддерживаются в пределах допустимых уровней риска (толерантность к риску) организации с учетом соображений затрат и выгод. Она является настраиваемой и способна учитывать изменения в приоритетах организации и рабочей среде.
Внутренние аудиторы могут оценить, является ли система внутреннего контроля надлежащей/ эффективной, сопоставив ее компоненты с признанной моделью, такой как COSO.
Как вы оцениваете эффективность системы внутреннего контроля?
Система внутреннего контроля – это процесс, способствующий достижению организацией своих целей и, как и любой процесс, требует пересмотра, чтобы убедиться, что она остается пригодной для своей задачи.
Эффективность системы внутреннего контроля может быть оценена посредством непрерывного мониторинга и/или периодические оценок.Модель трех линий IIA может использоваться для определения этих ролей.
При проведении отдельных оценок внутренние аудиторы могут использовать результаты работы первой и второй линий. Внутренние аудиторы должны полагаться на других поставщиков гарантий (другие стороны, осуществляющих проверки) только после проведения оценки их компетентности, объективности и независимости. Руководство по проведению такой оценки можно найти в Руководстве МОПП «Формирование и выражение мнений внутреннего аудита» и «Использование внутренним аудитом результатов работы других поставщиков гарантий».
Для оценки системы внутреннего контроля необходимо оценить все 5 компонентов и 17 принципов. Чтобы общая система была эффективной, все принципы и компоненты должны быть эффективными и функционировать совместно интегрированным образом.
«Функционирование интегрированным образом» означает определение того, что все пять компонентов коллективно реагируют на риски, связанные с целью, чтобы гарантировать, что эти риски остаются в пределах допустимых значений (толерантности к риску), поэтому все 5 компонентов должны работать совместно.
Важно отметить, что эти оценки являются объективными и включают применение профессионального суждения внутреннего аудитора. Поэтому необходимы внутренние процессы обеспечения качества аудита.
Кроме того, как объясняет COSO, хотя эффективная система внутреннего контроля обеспечивает уверенность в достижении целей, присущие ей ограничения действительно существуют. Сбои могут возникать даже в эффективной системе. Согласно COSO, ограничения могут возникнуть в результате:
· непригодности целей, установленных в качестве ориентиров для внутреннего контроля; · ошибочного суждения при принятии решений людьми или их субъективности;
· кризы могут возникать из-за человеческих факторов, например, из-за ошибок; · возможности намеренного обхода внутреннего контроля менеджментом;
· возможности менеджмента, другого персонала и третьих лиц обходить внутренний контроль посредством сговора;
· внешних событий, неподконтрольных организации.
Краткое содержание
Надлежащей системой внутреннего контроля является система, разработанная таким образом, чтобы повысить вероятность достижения организацией своих целей.
Оценка системы внутреннего контроля может выполняться на уровне процессов, на уровне подразделения организации (бизнес-единицы) или на уровне всей организации. При выполнении на уровне процесса или подразделения организации (бизнес-единицы), результаты могут быть объединены в общую оценку.
Как при оценке любого отдельного элемента внутреннего контроля, так и при оценке системы внутреннего контроля в целом должны учитываться и дизайн (контролей и СВК), и операционная эффективность.
Чтобы определить, является ли система внутреннего контроля эффективной, необходимо оценить дизайн и операционную эффективность всех 5 компонентов и 17 принципов по Концепции (внутреннего контроля) COSO. Если принцип или компонент не эффективен, или если эти компоненты не работают в интегрированном манере, то система внутреннего контроля не эффективна. Однако, даже если система оценена как эффективная, существуют ограничения, и система может дать сбой.
Заключение
Система внутреннего контроля может быть описана как политики, процессы, задачи, поведение и другие аспекты организации, которые, вместе взятые, помогают организации достичь ее целей, поддерживают и повышают эффективность. СВК должна быть разработана с возможностью адаптации к изменяющимся условиям деловой и операционной среды, обеспечивать управление рисками на приемлемом уровне, а также поддерживать принятие обоснованных решений и управление организацией.
Разработка и документирование системы внутреннего контроля организации с использованием такой признанной модели, как COSO, поможет обеспечить эффективность этой системы и будет способствовать общему пониманию внутреннего контроля как такового и системы внутреннего контроля.
Кроме того, это обеспечит прочную основу для оценки эффективности системы внутреннего контроля. Оценки могут проводиться на различных уровнях организации, в том числе на уровне процессов, на уровне подразделения организации (бизнес-единицы) и на уровне всей организации.
Внутренние аудиторы могут пожелать включить стандартные тесты, которые охватывают каждый компонент системы внутреннего контроля, в свои рабочие программы аудита. Затем результаты периодически объединяются, чтобы обеспечить отчет по системе внутреннего контроля на основе выполненной работы. В качестве альтернативы внутренние аудиторы выполняют отдельную общую оценку системы внутреннего контроля.
Цель документа
Это отчет, составленный и рецензируемый опытными практиками для предоставления рекомендаций по конкретному вопросу, связанному с управлением, рисками или контролем. Он направлен на то, чтобы проинформировать читателей о проблеме и представить идеи и варианты того, как с ней можно справиться. Это не обязательно отражает позицию или философию IIA.
Биография автора
Этот технический документ, написан Нарелл Шеппард, CIA, CGAP, CRMA, FCPA, AAICD
Нарелл является консультантом по вопросам управления и членом комитета по аудиту. Она имеет более чем 25-летний опыт работы как в частном, так и в государственном секторах. Нарелл занимала различные должности по внутреннему аудиту, в том числе в Австралийском налоговом управлении, Министерстве обороны и бывшем Министерстве промышленности, инноваций и науки, где она была главным аудитором. В настоящее время Нарелл предоставляет услуги по аудиту и управлению рисками для нескольких австралийских правительственных организаций и входит в ряд комитетов по аудиту. Нарелл была членом IIA с 2007 года и является директором IIA- Австралия. Нарелл является членом Комитета по аудиту и рискам IIA-Australia с 2018 года.
Редактор: Майкл Паркинсон, CIA, CISA, CRMA, CRISC
Авторское право
Этот технический документ содержит различные материалы, защищенные авторским правом. Часть из этого является интеллектуальной собственностью автора, часть принадлежит IIA или IIA-Австралия. Некоторые материалы принадлежат другим лицам, что подтверждается атрибуцией и ссылками. Некоторые материалы находятся в общественном пользовании. За исключением материалов, которые однозначно и бесспорно находятся в общественном пользовании, копировать можно только материалы, принадлежащие IIA или IIA-Австралия, и указанные таким образом, при условии, что текстовое и графическое содержание не изменено и источник указан. IIA-Австралия оставляет за собой право отозвать это разрешение в любое время. Разрешение не дается на какое-либо коммерческое использование или продажу материала.
Дисклеймер
Несмотря на то, что IIA-Австралия постарался обеспечить максимальную точность информации, содержащейся в этом документе, информация предназначена только для личного и образовательного использования и предоставляется добросовестно без каких–либо явных или подразумеваемых гарантий. Нет никаких гарантий в отношении точности или актуальности информации, содержащейся в этом документе. IIA-Австралия не несет ответственности за любые убытки или ущерб, возникшие в результате использования информации, содержащейся в настоящем документе.
› Помощь в предоставлении гарантий качества внутренней и внешней отчетности – требует поддержания должных учета (записей) и процессов, которые образуют поток релевантной и достоверной информации как внутри организации, так и за ее пределами.
› Помощь в предоставлении гарантий соблюдения применимых законов и нормативных актов, а также внутренних политик в отношении ведения бизнеса.
Система внутреннего контроля — это не только правила и процедуры; она используется людьми и требует использования суждения. Основные 5 компонентов и 17 принципов системы внутреннего контроля, основанные на Концепции внутреннего контроля COSO, перечислены ниже:
Система внутреннего контроля
Контрольная среда
1. Организация демонстрирует приверженность порядочности и этическим ценностям.
2. Надзорный орган (совет директоров) осуществляет надзор за системой внутреннего контроля.
3. Менеджмент определяет организационную структуру, устанавливает ответственность и делегирует полномочия по достижению целей организации.
4. Менеджмент демонстрирует приверженность набору, развитию и удержанию компетентных личностей.
5. Менеджмент оценивает эффективность и устанавливает ответственность сотрудников за выполнение процедур внутреннего контроля.
Оценка риска
6. Менеджмент определяет цели с достаточной ясностью для выявления и оценки рисков, препятствующих их достижению.
7. Менеджмент определяет риски, препятствующие достижению целей в рамках всей организации, и анализирует риски для того, чтобы определить подходы к управлению ими. 8. Менеджмент оценивает риски возможного мошенничества, препятствующие достижению целей.
9. Менеджмент выявляет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля.
Контрольные процедуры
10. Организация выбирает и разрабатывает контрольные процедуры, которые способствуют достижению целей и отвечают рискам.
11. Организация выбирает и развивает общие средства контроля над технологиями для достижения поставленных целей.
12. Организация осуществляет контрольные действия с помощью политик, которые определяют, что ожидается, и процедур, которые приводят политики в действие.
Информация и коммуникации
13. Организация получает или сама генерирует и использует качественную информацию для поддержания функционирования внутреннего контроля.
14. Организация осуществляет внутренний обмен информацией, в том числе о целях и обязанностях в области внутреннего контроля.
15. Организация осуществляет обмен информацией с внешними сторонами по вопросам, влияющим на функционирование внутреннего контроля.
Процедуры мониторинга
16. Организация выбирает, разрабатывает и проводит непрерывные и/или периодические оценки компонентов внутреннего контроля с целью удостовериться, что они в наличии и работают.
17. Организация своевременно оценивает недостатки внутреннего контроля и своевременно сообщает о них сторонам, ответственным за принятие корректирующих мер, включая высшее руководство и совет директоров, в зависимости от обстоятельств.
Менеджмент несет ответственность за создание и поддержание эффективной системы внутреннего контроля, и, как правило, надзор за данной системой осуществляет комитет по аудиту.
Что такое «надлежащая» («эффективная») система внутреннего контроля?
Надлежащая система внутреннего контроля — это система внутреннего контроля, предназначенная для содействия достижению целей и помогающая гарантировать, что риски, связанные с этими целями, поддерживаются в пределах допустимых уровней риска (толерантность к риску) организации с учетом соображений затрат и выгод. Она является настраиваемой и способна учитывать изменения в приоритетах организации и рабочей среде.
Внутренние аудиторы могут оценить, является ли система внутреннего контроля надлежащей/ эффективной, сопоставив ее компоненты с признанной моделью, такой как COSO.
Как вы оцениваете эффективность системы внутреннего контроля?
Система внутреннего контроля – это процесс, способствующий достижению организацией своих целей и, как и любой процесс, требует пересмотра, чтобы убедиться, что она остается пригодной для своей задачи.
Эффективность системы внутреннего контроля может быть оценена посредством непрерывного мониторинга и/или периодические оценок.Модель трех линий IIA может использоваться для определения этих ролей.
При проведении отдельных оценок внутренние аудиторы могут использовать результаты работы первой и второй линий. Внутренние аудиторы должны полагаться на других поставщиков гарантий (другие стороны, осуществляющих проверки) только после проведения оценки их компетентности, объективности и независимости. Руководство по проведению такой оценки можно найти в Руководстве МОПП «Формирование и выражение мнений внутреннего аудита» и «Использование внутренним аудитом результатов работы других поставщиков гарантий».
Для оценки системы внутреннего контроля необходимо оценить все 5 компонентов и 17 принципов. Чтобы общая система была эффективной, все принципы и компоненты должны быть эффективными и функционировать совместно интегрированным образом.
«Функционирование интегрированным образом» означает определение того, что все пять компонентов коллективно реагируют на риски, связанные с целью, чтобы гарантировать, что эти риски остаются в пределах допустимых значений (толерантности к риску), поэтому все 5 компонентов должны работать совместно.
Важно отметить, что эти оценки являются объективными и включают применение профессионального суждения внутреннего аудитора. Поэтому необходимы внутренние процессы обеспечения качества аудита.
Кроме того, как объясняет COSO, хотя эффективная система внутреннего контроля обеспечивает уверенность в достижении целей, присущие ей ограничения действительно существуют. Сбои могут возникать даже в эффективной системе. Согласно COSO, ограничения могут возникнуть в результате:
· непригодности целей, установленных в качестве ориентиров для внутреннего контроля; · ошибочного суждения при принятии решений людьми или их субъективности;
· кризы могут возникать из-за человеческих факторов, например, из-за ошибок; · возможности намеренного обхода внутреннего контроля менеджментом;
· возможности менеджмента, другого персонала и третьих лиц обходить внутренний контроль посредством сговора;
· внешних событий, неподконтрольных организации.
Краткое содержание
Надлежащей системой внутреннего контроля является система, разработанная таким образом, чтобы повысить вероятность достижения организацией своих целей.
Оценка системы внутреннего контроля может выполняться на уровне процессов, на уровне подразделения организации (бизнес-единицы) или на уровне всей организации. При выполнении на уровне процесса или подразделения организации (бизнес-единицы), результаты могут быть объединены в общую оценку.
Как при оценке любого отдельного элемента внутреннего контроля, так и при оценке системы внутреннего контроля в целом должны учитываться и дизайн (контролей и СВК), и операционная эффективность.
Чтобы определить, является ли система внутреннего контроля эффективной, необходимо оценить дизайн и операционную эффективность всех 5 компонентов и 17 принципов по Концепции (внутреннего контроля) COSO. Если принцип или компонент не эффективен, или если эти компоненты не работают в интегрированном манере, то система внутреннего контроля не эффективна. Однако, даже если система оценена как эффективная, существуют ограничения, и система может дать сбой.
Заключение
Система внутреннего контроля может быть описана как политики, процессы, задачи, поведение и другие аспекты организации, которые, вместе взятые, помогают организации достичь ее целей, поддерживают и повышают эффективность. СВК должна быть разработана с возможностью адаптации к изменяющимся условиям деловой и операционной среды, обеспечивать управление рисками на приемлемом уровне, а также поддерживать принятие обоснованных решений и управление организацией.
Разработка и документирование системы внутреннего контроля организации с использованием такой признанной модели, как COSO, поможет обеспечить эффективность этой системы и будет способствовать общему пониманию внутреннего контроля как такового и системы внутреннего контроля.
Кроме того, это обеспечит прочную основу для оценки эффективности системы внутреннего контроля. Оценки могут проводиться на различных уровнях организации, в том числе на уровне процессов, на уровне подразделения организации (бизнес-единицы) и на уровне всей организации.
Внутренние аудиторы могут пожелать включить стандартные тесты, которые охватывают каждый компонент системы внутреннего контроля, в свои рабочие программы аудита. Затем результаты периодически объединяются, чтобы обеспечить отчет по системе внутреннего контроля на основе выполненной работы. В качестве альтернативы внутренние аудиторы выполняют отдельную общую оценку системы внутреннего контроля.
Цель документа
Это отчет, составленный и рецензируемый опытными практиками для предоставления рекомендаций по конкретному вопросу, связанному с управлением, рисками или контролем. Он направлен на то, чтобы проинформировать читателей о проблеме и представить идеи и варианты того, как с ней можно справиться. Это не обязательно отражает позицию или философию IIA.
Биография автора
Этот технический документ, написан Нарелл Шеппард, CIA, CGAP, CRMA, FCPA, AAICD
Нарелл является консультантом по вопросам управления и членом комитета по аудиту. Она имеет более чем 25-летний опыт работы как в частном, так и в государственном секторах. Нарелл занимала различные должности по внутреннему аудиту, в том числе в Австралийском налоговом управлении, Министерстве обороны и бывшем Министерстве промышленности, инноваций и науки, где она была главным аудитором. В настоящее время Нарелл предоставляет услуги по аудиту и управлению рисками для нескольких австралийских правительственных организаций и входит в ряд комитетов по аудиту. Нарелл была членом IIA с 2007 года и является директором IIA- Австралия. Нарелл является членом Комитета по аудиту и рискам IIA-Australia с 2018 года.
Редактор: Майкл Паркинсон, CIA, CISA, CRMA, CRISC
Авторское право
Этот технический документ содержит различные материалы, защищенные авторским правом. Часть из этого является интеллектуальной собственностью автора, часть принадлежит IIA или IIA-Австралия. Некоторые материалы принадлежат другим лицам, что подтверждается атрибуцией и ссылками. Некоторые материалы находятся в общественном пользовании. За исключением материалов, которые однозначно и бесспорно находятся в общественном пользовании, копировать можно только материалы, принадлежащие IIA или IIA-Австралия, и указанные таким образом, при условии, что текстовое и графическое содержание не изменено и источник указан. IIA-Австралия оставляет за собой право отозвать это разрешение в любое время. Разрешение не дается на какое-либо коммерческое использование или продажу материала.
Дисклеймер
Несмотря на то, что IIA-Австралия постарался обеспечить максимальную точность информации, содержащейся в этом документе, информация предназначена только для личного и образовательного использования и предоставляется добросовестно без каких–либо явных или подразумеваемых гарантий. Нет никаких гарантий в отношении точности или актуальности информации, содержащейся в этом документе. IIA-Австралия не несет ответственности за любые убытки или ущерб, возникшие в результате использования информации, содержащейся в настоящем документе.