Управление бизнес-процессами и развитием информационных технологий
31. Прозрачная отчетность. Как построить эффективную систему внутреннего контроля
В. Беркович А.К. Коптелов Риск-менеджемент № 5-6 май-июнь 2007 г
«Подходы к построению систем внутреннего контроля»
КОПТЕЛОВ АНДРЕЙ
Директор департамента ИТ-консалтинга
БЕРКОВИЧ ВАДИМ
Старший консультант департамента ИТ-консалтинга
Консалтинговая компания IDS Scheer Россия и страны СНГ
Введение
В конце 90-х годов прошлого столетия и в начале нынешнего в мире произошло большое число падений, казалось бы, надежных и вполне прибыльных компаний. Наиболее известным случаем является крах энергетической корпорации Enron и ее подрядчика, компании Arthur Andersen, отвечающей за аудит Enron. Компания Arthur Andersen признала, что ее сотрудники уничтожали документы обанкротившейся компании, при чем руководство компании стало распродавать свои акции еще в 1999 году, задолго до того, как о проблемах компании стало известно мелким акционерам. В результате краха компании пострадало большое число мелких акционеров, что привело к потере доверия к финансовой отчетности компаний. Данный случай стал примером корпоративной коррупции и финансового мошенничества, поэтому, после данного кризиса и расследования проведенного Конгрессом США, был выявлен ряд других компаний, уличенных либо в мошенничестве, либо в неточном ведении финансовых записей. Причем во всех случаях оказывалось, что действия высшего руководящего состава компании вводили инвесторов в заблуждение посредством подделки финансовой отчетности.
Причинами возникших проблем стало отсутствие полноценной системы внутреннего контроля внутри компании, при этом проверки деятельности компаний проводились в рамках ежегодного внешнего аудита, что не позволяло обеспечить требуемый уровень достоверности финансовой информации. Следовательно, акционеры компании и другие заинтересованные лица не могли получать оперативную информацию о финансовом состоянии компаний и оперативно реагировать на изменения.
//------------- Закон SOX ----------------------------------//
Разразившиеся мировые скандалы по причине подделки финансовой отчетности показали, что система внутреннего контроля оказалась неудовлетворительной во многих компаниях. В связи с этим компании и их акционеры столкнулись со следующими проблемами:
o искажением финансовой отчетности;
o непрозрачностью финансовых процессов;
o уменьшением доверия к компаниям.
Для решения данных проблем 30 июля 2002 год был принят Закон Sarbanes-Oxley, направленный на укрепление систем внутреннего контроля в компаниях. Данный закон регламентирует корпоративную бухгалтерскую отчетность, и призван повысить эффективность борьбы с финансовыми нарушениями в компаниях. Закон также требует, чтобы все акционерные компании, акции которых зарегистрированы на фондовой бирже Соединенных Штатов (более 10000 по всему миру), должны создать внутреннюю систему контроля согласно закону Sarbanes-Oxley.
//----------------------Закон SOX----------------------------------//
Основные требования законов Sarbanes-Oxley
Наибольшее влияние на деятельность компаний оказали статьи 302 и 404 закона Sarbanes-Oxley (перевод статей приведен во врезках). В требованиях данных статей зафиксировано следующее:
o на конец каждого отчетного периода генеральный и финансовый директора должны подтвердить:
o что отчетность достоверна и во всех существенных отношениях, раскрывает требуемую информацию;
o свою ответственность за разработку и поддержание системы и процедур контроля за раскрытием информации, а также системы контроля за подготовкой финансовой отчетности;
o на конец каждого годового отчетного периода генеральный и финансовый директора должны подтвердить:
o свою ответственность за разработку и поддержание эффективной системы внутреннего контроля за подготовкой финансовой отчетности;
o свою оценку системы внутреннего контроля, сопровождающуюся подтверждением этой оценки аудитором.
Выполнение требований данных статей потребовало от компаний большого внутреннего ресурса и привлечения внешних консультантов, причем бюджеты данных проектов составляли миллионы долларов, что вызвало негативную реакцию бизнеса.
Фактически от высшего руководства и внешних аудиторов необходимы следующие документы:
o заявление о признании ответственности за внедрение и поддержание надлежащей системы внутреннего контроля за финансовой отчетностью;
o заявление о структуре системы внутреннего контроля, использованной для оценки эффективности внутреннего контроля за финансовой отчетностью;
o оценки эффективности внутреннего контроля за финансовой отчетностью, по состоянию на конец отчетного периода (заявление об эффективности или неэффективности системы);
o информация о любых «значительных недостатках» в системе внутреннего контроля за финансовой отчетностью;
o заявление о выдаче независимой аудиторской фирмой заключения о состоянии системы внутреннего контроля за финансовой отчетностью.
Уголовная ответственность за нарушения данных статей сделала работы по внедрению систем внутреннего контроля первоочередными для многих компаний. Однако соответствие требованиям SOX дороже всего обошлось небольшим компаниям, которым пришлось проделать огромную работу по встраиванию процедур контроля в свои процессы.
Анализ текста статей 302 и 404 не дает методики совершенствования системы внутреннего контроля, поэтому основные разъяснения даются регулирующими органами:
o Американской комиссией по ценным бумагам и биржам (Securities and Exchange Commission - SEC);
o Американской Комиссией по надзору за аудитом публичных компаний (Public Company Accounting Oversight Board - PCAOB).
Как правило, к аудиту привлекаются аудиторские фирмы «Большой четверки» - PricewaterhouseCoopers, Ernst & Young, KPMG и Deloitte & Touche. Их методические материалы очень часто содержат наиболее часто используемые подходы к совершенствованию систем внутреннего контроля.
//--------------------Статья 302----------------------------------//
СТАТЬЯ 302.
Каждая компания, представляющая периодическую финансовую отчетность в соответствии с 13(a) или 15(d) Атка КЦБ США 1934 (15 U.S.C. 78m, 78o(d)), должна дополнительно представлять для каждого отчетного периода заявления генерального и финансового директоров или лиц выполняющих аналогичные функции о том, что —
(1) должностное лицо ознакомлено с содержанием финансовой отчетности за период;
(2) на основании содержания финансовой отчетности должностное лицо удостоверяет, что отчетность не содержит ложных утверждений и не пропускает фактов, которые могут существенно повлиять на решения пользователя финансовой отчетности;
(3) на основании содержания финансовой отчетности должностное лицо удостоверяет, что отчетность верна во всех существенных отношениях;
(4) генеральный и финансовый директора (далее «Директора») —
(A) несут ответственность за внедрение и поддержание системы внутренних контролей (далее «СВК»);
(B) создавали СВК таким образом, чтобы удостовериться, что существенная информация, относящаяся к финансовой отчетности компании и ее подразделений, доведена до сведения Директоров соответствующими должностными лицами в период подготовки финансовой отчетности;
(C) произвели оценку эффективности СВК по состоянию на дату, предшествовавшую отчетности на 90 дней и
(D) опубликовали оценку эффективности СВК по состоянию на дату, предшествовавшую отчетности на 90 дней;
(5) генеральный и финансовый директора предоставили аудиторам и аудиторскому комитету Компании информацию —
(A) обо всех существенных недостатках в дизайне и выполнении внутренних контролей, которые могут негативно повлиять на способность Компании учитывать и обрабатывать финансовые данные в процессе формирования финансовой отчетности и
(B) обо всех, существенных или нет, фактах мошенничества, к которым имеют отношение руководство или сотрудники Компании, которые оказывают существенное влияние на СВК и
(6) Директора указали существенные изменения в СВК или факторы, способные повлиять на такие изменения, после даты составления финансовой отчетности, включая планы по доработке СВК.
//----------------------Статья 302----------------------------------//
//-------------------Статья 404----------------------------------//
CТАТЬЯ 404.
(а) Каждая Компания, представляющая ежегодную финансовую отчетность в соответствии с 13(a) или 15(d) Акта КЦБ США от 1934, должна включать в состав отчетности заявление о состоянии системы внутренних контролей по формированию финансовой отчетности, в котором —
(1) указывать ответственность руководства Компании по созданию и поддержке СВК и процедур формирования финансовой отчетности; и
(2) содержится оценка эффективности СВК по формированию финансовой отчетности по состоянию на конец последнего финансового года.
(б) ПРОВЕРКА ЭФФЕКТИВНОСТИ СВК— в отношении оценки эффективности СВК руководством Компании. Каждая аудиторская фирма, которая формирует аудиторское заключение для Компании должна проверить и сформировать отчет по достоверности заключения об эффективности СВК, сделанного руководством Компании. Проверка должна производиться в соответствии со стандартами, утвержденными специализированной организацией. Такая проверка не может быть предметом отдельного аудита.
//---------------------------Статья 404----------------------------------//
Стандарты PCAOB
В марте 2004 года Комиссия по надзору за аудитом публичных компаний США (PCAOB) утвердила Стандарт проведения аудита № 2 PCAOB под названием «Аудит внутреннего контроля за формированием финансовой отчетности». Он устанавливает требования к проведению аудита внутреннего контроля финансовой отчетности и содержит определенные требования к аудиторам.
Одним из основных требований стандарта является требование к знанию аудитором бизнес процессов той компании, в которой проводится аудит.
PCAOB выдвигает общие требования к внутреннему контролю, которые позволяют определить контрольную среду, показатели контроля и процессы контроля необходимые для управления бизнес рисками компании.
Методика построения системы внутреннего контроля на базе Sox
Если давать определение внутреннего контроля по формированию финансовой отчетности, то оно может выглядеть следующим образом - процесс, инициируемый советом директоров, руководством и иными сотрудниками, направленный на получение достаточной степени уверенности, относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами формирования финансовой отчетности для внешних пользователей, включая политики и процедуры в следующих областях:
o все операции и сделки компании соответствующим образом авторизованы;
o активы компании защищены от несанкционированного использования;
o
все
операции нашли соответствующее отражение в учетных регистрах и
финансовой отчетности.
По результатам анализа регламентирующей и методической документации, а так же на основании опыта проектов, можно проект по построению системы внутреннего контроля представить в виде следующих этапов.
Этап 0. Определение уровня материальности, существенных счетов. На данном этапе производится анализ и ранжирование счетов финансовой отчетности для определения тех из них, ошибки в которых могут повлиять на пользователя отчетности. Данный этап позволяет сузить объем проекта и не контролировать риски связанные со счетами, которые не критичны с точки зрения SOX. Основной принцип ранжирования – это количественная проверка остатков, либо оборота по счету, на превышение уровня существенности, рассчитываемый по специальной методике, и качественная проверка счетов на основании любой из следующих оценок:
o ожидания разумного пользователя;
o структура счета;
o вероятность ошибки или мошенничества;
o количество активностей по счету;
o субъективные оценки;
o тип счета;
o сложность расчета и отчетности;
o сделки со связанными с банком лицами (например, высшими служащими и директорами);
o изменения в характеристиках счета.
Этап 1. Описание бизнес-процессов. На данном этапе производится формализация связи между существенными счетами, хозяйственными операциями и процессами. Как только становятся понятны процессы, в которых изменяются существенные счета, то далее описываются детальные функции процесса, последовательность их выполнения, документы по процессу и ответственные за исполнение функций. Наиболее эффективно использование специализированных систем по описания бизнес-процессов, с помощью которых возможно представление процесса в удобном виде для анализа полноты и рискованности.
Этап 2. Идентификация рисков SOX. На данном этапе определяются риски, которые могут быть реализованы при исполнении каждой функции процесса и которые влияют на достоверность финансовой отчетности. Процедура идентификация рисков является наиболее сложной и требует участия экспертов по процессу и применения специальных методик. Одной из них является верификация рисков со следующими утверждениями руководства:
o существование - все признанные доходы \ расходы \ активы и обязательства существуют;
o полнота - все доходы \ расходы \ активы и обязательства отражены в отчетности в полном объеме;
o оценка - доходы \ расходы \ активы и обязательства отражены в отчетности в точной сумме;
o права и обязательства - компания способна в судебном порядке ограничить размер своих обязательств до сумм, указанных в отчетности, аналогично доказать свои права на активы и физически ограничить доступ третьих лиц к своим активам;
o классификация и раскрытие - все элементы финансовой отчетности должным образом классифицированы и раскрыты в финансовой отчетности и приложениях к ней;
o сохранность активов - все расходы производятся только для достижения целей компании и после соответствующей авторизации руководства.
Использование утверждений руководства позволяет проверить процесс на полноту определения рисков, при чем на этапе определения рисков одним из главных факторов является отделение бизнес-рисков от рисков SOX. Фактически главной задачей данного этапа является определение перечня рисков для которых необходима дальнейшая оценка.
Этап 3. Оценка значимости рисков. На данном этапе риски оцениваются по их значимости (например, по величине наносимого ущерба и вероятности). Незначительные риски не учитываются в проекте, однако их нельзя отбрасывать, поскольку их анализ должен быть произведен при следующем цикле оценки. Примером оценки рисков может служить следующая матрица 3 на 3.
|
В Е Р О Я Т H O С Ь |
высоковероятная |
НИЗКИЙ |
ВЫСОКИЙ |
ВЫСОКИЙ |
|
возможная |
НИЗКИЙ |
ВЫСОКИЙ |
ВЫСОКИЙ |
|
|
маловероятная |
НИЗКИЙ |
НИЗКИЙ |
НИЗКИЙ |
|
|
|
|
НИЗКИЙ |
СРЕДНИЙ |
ВЫСОКИЙ |
|
|
|
ОЦЕНКА УРОВНЯ ПОСЛЕДСТВИЙ |
||
Этап 4. Определение системы контроля. На данном этапе производится детальное описание контрольной процедуры, целей контроля, частоты выполнения контроля для каждой функции процесса, где присутствует тот или иной значимый с точки зрения SOX риск.
Можно определить риск через понятие контрольного действия, а именно: «недостаток системы контроля существует тогда, когда дизайн или выполнение контроля не позволяют руководству или сотрудникам компании предотвратить или своевременно обнаружить искажение финансовой отчетности в рамках выполнения своих повседневных обязанностей:
o недостаток Дизайна существует тогда, когда (А) нет контроля, который должен достигать цель контроля (предотвращение искажения) или (Б) существующий контроль создан таким образом, что даже выполнение контроля не всегда позволяет достичь цель контроля;
o недостаток Выполнения контроля существует тогда, когда необходимые контрольные действия не выполняются надлежащим образом или сотрудник, ответственный за реализацию контроля не обладает необходимыми полномочиями или квалификацией, чтобы выполнять контрольные действия эффективно.
При этом определяются свидетельства контроля, эффективность контроля, тип контроля (превентивный или детектирующий) и т. д. То есть на данном этапе проверяется присутствие существующих контрольных процедур или формируются новые контрольные процедуры, которые будут отвечать за минимизацию рисков SOХ.
Этап 5. Оценка эффективности полученных результатов. В рамках данного этапа формируется и выполняется система тестов, задача которых проверить правильность выполнения контрольных процедур в компании. Результаты данного этапа являются входной информацией для совершенствования контрольных процедур и системы внутреннего контроля в целом.
Для крупной компании число контрольных процедур может превышать 1000, причем тестов может быть близкое количество, поэтому процесс тестирования очень часто должен быть автоматизирован специализированным ИТ – решением. Наши клиенты используют для этого модуль ARIS Audit Manager из семейства продуктов ARIS компании IDS Scheer.
Рассмотрим пример построения системы внутреннего контроля для процесса «Подготовка документов на оплату товаров и услуг».
Процесс «Подготовка документов на оплату товаров и услуг»
Данный процесс определяет работу с документами на оплату продуктов или услуг. Без должного постоянного контроля сотрудники могут попытаться использовать денежные средства компании для собственных целей.
Этап 0. В рамках данного примера отсутствует анализ счетов, влияющих на финансовую отчетность, и принимается, что в данном процессе мы работаем только с существенными счетами.
Этап 1. Описание процесса. Модель данного процесса представлена на Рис.1 в нотации eEPC (extended Event Process Chain) модуля ARIS Toolset и в табличном виде, который был получен автоматически, на основе модели ARIS в Таблице 1.
Рис. 1. Пример процесса «Подготовка документов на оплату товаров и услуг»
Таблица 1. Описание процесса «Подготовка документов на оплату товаров и услуг»
|
Наименование шага процесса |
Исполнитель |
Комментарий |
|
Создание заявки на оплату |
Ответственный сотрудник подразделения (инициатора платежа) |
При поступлении счета от контрагента на оплату товара или услуги, ответственный сотрудник подразделения вводит в систему заявку на оплату данного счета |
|
Регистрация счета на оплату товаров и услуг |
Бухгалтерия |
Ответственный сотрудник Бухгалтерии регистрирует счет в системе |
|
Рассмотрение заявок на оплату |
Руководитель департамента |
Ответственный руководитель департамента заходит в систему и рассматривает все заявки на оплату в рамках подразделения. Руководитель департамента принимает решение об оплате или отказе в оплате заявок |
|
Создание платежного поручения |
Бухгалтерия |
Ответственный сотрудник Бухгалтерии авторизуется в системе Банк-Клиент, открывает форму создания платежей и на основании первичного документа (счет, счет-фактура) и данных, которые ввел Ответственный сотрудник подразделения в систему, создает платежное поручение |
|
Подтверждение платежа в электронном виде |
Генеральный директор, Главный бухгалтер |
После того, как Ответственный сотрудник Бухгалтерии создал платежные поручения в электронном виде в системе Банк-клиент, Главный бухгалтер и Генеральный директор, подписывают электронной подписью платежные поручения в системе Банк-Клиент и отправляет их в Банк |
Этап 2. Идентификация рисков влияющих на достоверность финансовой отчетности. Модель процесса с рисками представлена на Рис. 2. Риски на ней обозначены красными квадратами с восклицательными знаками. Подробное описание рисков приведено в Таблице 2. Риски процесса.
Рис. 2. Пример процесса «Подготовка документов на оплату товаров и услуг» с выявленными рискам.
Таблица 2. Риски процесса
|
Наименование шага процесса |
Утверждения руководства |
Риск |
Описание риска |
|
Создание заявки на оплату |
Сохранность активов |
Оплата не заказанных товаров и услуг |
Существует возможность того, что сотрудник создаст (возможно, совместно с руководителем) заявку на оплату товара для личных целей |
|
Создано платежное поручение на оплату дополнительных товаров и услуг |
Сохранность активов |
Могут быть оплачены дополнительные товары или услуги |
Существует возможность того, что сотрудник дополнит сумму электронного платежа на оплату товара для личных целей |
Этап 3. Оценка значимости рисков.
Риски можно оценивать по достаточно простой и удобной в использовании методике, которая заключается в выработке оценок двух наиболее часто используемых параметров каждого из рисков – влияния (impact) и вероятности (probability). Результатом произведения этих двух величин, является ожидаемая величина (exposure), которая является единой метрикой риска. Пример оценки рисков приведен в Таблице 3.
Таблица 3. Значимость рисков процесса
|
Название существенного процесса/Шаги |
Утверждения руководства |
Риск |
Преднамеренность |
Вероят-ность
|
Влияние |
Ожидаемая величина |
|
Создание заявки на оплату |
Сохранность активов |
Оплата не заказан-ных товаров и услуг |
Да |
Cредняя |
Значи-тельное |
Высокий уровень риска |
В колонках «Преднамеренность» ставится «Да», если риск преднамеренный и «Нет» – если риск вызван случайными обстоятельствами или ошибками. В колонке «Вероятность» могут быть записаны значения: «малая», «средняя» или «высокая». В колонке «Влияние» могут быть записаны значения: «малое», «среднее» или «высокое». В колонке «Ожидаемая величина» могут быть записаны следующие значения: «Незначительная» или «Значительная».
Например, при использовании шкалы для вероятности и влияния, состоящей из трех значений, возможные значения ожидаемой величины могут быть представлены матрицей представленной выше.
Этап 4. Определение системы контроля.
Для риска «Оплата не заказанных товаров и услуг» на шаге «Создание требования на оплату и передача документов в бухгалтерию» (Рис. 3.) осуществляется контроль в виде согласование заявки на оплату в системе.
Рис. 3. Шаг процесса «Создание заявки на оплату»
Цель контроля данной функции - не допустить потери активов.
Описание контрольной процедуры:
Как только заявка введена в систему, она становится доступной для просмотра. Заявки должны проверять все начальники структурных подразделений вплоть до генерального директора. При этом заявка переходит на следующий уровень согласования, только если оно согласовано на всех предыдущих уровнях. Данный контроль может быть предусмотрен для всех заявок или для заявок превышающих определенную сумму. Входящим документом для контроля является заявка на оплату в системе.
Свидетельством реализации контроля является отметка о согласовании в заявке на оплату в системе по каждому сотруднику, который производит согласование.
Ответственными за контроль являются начальники отделов, начальники управлений, финансовый директор, генеральный директор.
Но важно не только определить контроль, но и произвести оценку его эффективности.
Таблица 5. Охват рисков процедурами контроля
|
Наименование риска
|
Процедура контроля |
Контроль охватывает риск? |
Вид Контроля |
Существенный счет
|
|
|
Превентивный |
Детектирующий |
||||
|
Оплата не заказанных товаров и услуг |
Согласование заявки на оплату в системе |
Да |
Да |
Нет |
Денежные средства |
Этап 5. Оценка эффективности полученных результатов.
На заключительном этапе производится оценка эффективности внутреннего контроля, которая, в последствии, позволит произвести улучшение контрольной процедуры. Данная оценка формируется через систему тестов, которые показывают эффективность контрольной процедуры. Хотелось бы отметить, что процесс тестирования и совершенствования системы внутреннего контроля должен происходить непрерывно и ее пересмотр должен производиться постоянно, а не по результатам ежегодного аудита.
Заключение
Внедрение систем внутреннего контроля является комплексной задачей и связано с существенными затратами. Наиболее эффективно воспринимать работы по построению системы внутреннего контроля как регулярный бизнес-процесс, поскольку отношение к данной задаче как к разовому проекту не принесет требуемого результата – достоверности финансовой отчетности.
В связи с тем, что число законов, которым необходимо соответствовать растет, то для большинства компаний актуальна тема те только соответствия закону SOX, но и другим законам (приведены во врезке).
врезка о Законах:
· Sarbanes-Oxley Act (SOX) – определяет требования к системе внутреннего контроля и прозрачности финансовой отчетности компаний
· Graham-Leech-Bliley(GLBA) – обязывает финансовые институты защищать неприкосновенность частной информации клиентов
· USA Patriot Act (USAPA) – расширяет законодательство США и определяет дополнительные меры по борьбе с терроризмом в США и за пределами
· Basel II – предлагает единые международных стандарты ведения банковской деятельности, направленные на снижение рисков
· Health Insurance Portability and Accountability Act (HIPАA) - направлен на защиту личных данных пациентов медицинских учреждений и информации о состоянии их здоровья
И если говорить об интересе к теме управления соответствием законодательству и стандартам (в том числе стандартам менеджмента качества), то по результатам опроса, проведенного компанией IDS Scheer, выявлено следующее:
o повышенный интерес
o около 60% компаний проявляют повышенный интерес к задачам управления соответствиями;
o необходимость автоматизации функции управления соответствиями
o только 10% компаний выделяют менеджеров для задач управления соответствиями;
o повышение требований
o большое количество разнородных требований;
o продолжающиеся изменения;
o интеграция инструкций с текущей деятельностью;
o потенциал для интеграции, процессно-ориентированное решение для управления соответствиями
o более половины компаний рассматривают возможность такой интеграции.
При этом нужно понимать, что основными трудностями и ошибками, при внедрения системы внутреннего контроля для соответствия SOX, являются:
o недооценка объемов работ;
o невнимание к процессам и их описанию;
o внедрение «для галочки», которое не будет эффективно;
o попытка обойтись только контрольными процедурами без анализа рисков;
o отсутствие обучения;
o пренебрежение ИТ- решениями в данной области;
o отсутствие разграничения полномочий (в т.ч. в информационных системах);
o восприятие работ как проекта, тогда как необходимо выстраивать процесс внутреннего контроля.
В качестве заключения можно отметить, что использование процессно- ориентированного подхода, методологии управления операционными рисками, принципов построения системы внутреннего контроля (COSO, PCAOB 2) в совокупности позволяет построить процесс внутреннего контроля, который помимо соответствии компании закону SOX, будет приносить огромную пользу и выведет компанию на качественно новый уровень управления.
Контактная информация:
koptelovak@yandex.ru
