Политика и процедуры, обеспечивающие достоверность финансовой отчетности
Что такое внутренний контроль?
Внутренний контроль – это политика и процедуры, применяемые руководством для обеспечения, среди прочего, достоверности финансовой отчетности компании. Некоторые элементы внутреннего контроля, имеющие отношение к аудиту, включают сверку банковских счетов, систему контроля паролей для бухгалтерского программного обеспечения и инвентаризацию.
Целью аудитора является выявление и оценка риска существенных искажений, допущенных вследствие мошенничества или ошибок, на уровне финансовой отчетности и утверждений. Это включает в себя понимание организации и ее окружения, а также системы внутреннего контроля организации с целью разработки надлежащих аудиторских процедур для достижения желаемого уровня уверенности.
Ограничения системы внутреннего контроля
Несмотря на то, что руководство внедряет систему внутреннего контроля для обеспечения большей надежности финансовой отчетности и меньшей подверженности ошибкам, все еще существуют ограничения, такие как возможность сговора. Даже если для определенных операций требуется одобрение руководителя, если сотрудник более низкого уровня и его/ее руководитель работают сообща, чтобы санкционировать транзакцию, внутренний контроль не очень эффективен для предотвращения такого мошенничества.
Аналогичным образом, другим ограничением является злоупотребление со стороны руководства. Независимо от того, какой внутренний контроль применяется, если руководство обходит его и решает ввести что-то другое, остановить эту практику невозможно. Кроме того, внутренний контроль предназначен для обработки обычных транзакций, а не необычных транзакций. Таким образом, если многочисленные необычные транзакции происходят вне рамок обычного контроля, это может поставить под угрозу достоверность финансовых данных компании.
Наконец, существует риск человеческих ошибок, связанных с тем, что сотрудники совершают обычные ошибки, например, в периоды занятости, когда объемы транзакций значительно увеличиваются. Ошибки также могут возникать в результате текучести кадров.
Компоненты внутреннего контроля
Система внутреннего контроля компании обычно состоит из пяти различных аспектов, как показано ниже:
Среда контроля
Среда контроля на самом верху подразумевает отношение, осведомленность и действия руководства и лиц, отвечающих за корпоративное управление, к системе внутреннего контроля. Проще всего это описать как “тон на самом верху”. Это очень важно, поскольку информация распространяется на других сотрудников и все другие компоненты контроля и, следовательно, может оказать огромное влияние на компанию.
Например, при менее целеустремленном и более расслабленном поведении руководства, сотрудники низшего звена с меньшей вероятностью будут надлежащим образом соблюдать правила внутреннего контроля.
Оценка рисков организации
Оценка рисков организации связана с тем, как компания идентифицирует бизнес-риски, такие как новый персонал и новые положения бухгалтерского учета, и реагирует на них. Проводится ли надлежащее обучение сотрудников? Полностью ли подготовлены и эффективно ли применяются новые положения?
Информационные системы и коммуникации
Компонент информационных систем относится к тому, как компания собирает, обрабатывает, создает отчеты и передает информацию о транзакциях. Например, использует ли компания распределенную обработку данных? Как она справляется с перенастройкой системы? Использует ли она хорошо зарекомендовавшее себя бухгалтерское программное обеспечение или просто какие-то дешевые аналоги.
Контрольные мероприятия
Контрольные мероприятия включают в себя конкретные подробные политики и процедуры, такие как анализ эффективности деятельности компании с помощью анализа отклонений, физический и логический контроль, а также разделение обязанностей. Разделение обязанностей является важным внутренним контролем, который помогает предотвратить множество проблем, одной из которых является мошенничество. Благодаря тому, что разные сотрудники подсчитывают запасы и имеют доступ к записям бухгалтерской книги, это помогает предотвратить кражу запасов сотрудниками и их списание во вспомогательную бухгалтерскую книгу.
Мониторинг
Наконец, контрольные мероприятия по мониторингу связаны с постоянной и периодической оценкой руководством качества системы внутреннего контроля для определения того, какие средства контроля нуждаются в модификации. Распространенным примером этого в крупных компаниях является работа, выполняемая внутренними аудиторами.
Роль аудитора в процессе контроля
Как только аудитор получит представление о системе внутреннего контроля компании, он должен оценить риск для системы контроля. Риск для системы контроля – это риск того, что система компании не сможет предотвратить, обнаружить и исправить ошибку. Оценки варьируются от низких до высоких и вплоть до максимальных. Низкий уровень означает, что система внутреннего контроля клиента является надежной, а максимальный – что она практически бесполезна.
Если система внутреннего контроля компании оценивается ниже максимальной, аудитор должен протестировать систему внутреннего контроля, чтобы убедиться, что она функционирует в соответствии с пониманием аудитора.
Тестирование системы внутреннего контроля включает в себя проведение опросов руководства и сотрудников, проверку первичных документов, проведение инвентаризации и фактическое повторное выполнение клиентских процедур. Наконец, аудитор выполнит более существенные процедуры для оценки уровня общего риска в соответствии со стратегией аудита.
Существует два типа стратегий аудита:
- Комбинированный подход к аудиту – включает проверку средств контроля и проверку по существу (когда риск для контроля оценивается ниже максимального)
- Подход к аудиту исключительно по существу – проверки средств контроля не проводятся; проводятся только проверки по существу (когда риск для контроля оценивается как максимальный)