sox контроль что это такое
Sidebar
Свежие записи
Свежие комментарии
Архивы
Рубрики
SOX и Закупки. Правильный подход или дополнительная работа?
ОПУБЛИКОВАНО oremizov в 02.03.2017
SOX and Procurement
Я специально назвал тему заметки «SOX и Закупки» вместо более очевидной «SOX в Закупках» и вот почему.
С SOX я познакомился в самом начале 2010-х, в Банковской сфере. В то время из-за турбулентности на финансовых рынках и общей нестабильной экономической ситуации Банк, в котором я работал, взял за приоритет формат работы с учетом постоянного анализа рисков (risks based approach), который в т.ч. распространялся и на область Закупок. Отношение к контролю по стандарту SOX с того момента стало очень пристальным.
Нет, нам нужно начать с более исторического пункта…
Помните, в конце 90-х разгорелись крупные мировые скандалы, связанные с предоставлением некорректной отчетности и в связи с этим манипулированием на рынке ценных бумаг? Одними из крупных были: крах Worldcom, Enron, Marconi и т.д. В результате неподконтрольной на тот момент ситуации в формате работы по предоставлению финансовой отчетности был принят закон Мэриленда Пола Сарбейнза и Майка Оксли, который определял стандарты подготовки и предоставления финансовых результатов для компаний и способствовал повышению уровня ответственности управленцев за точность отражения информации в отчетности. Закон получил название Sarbanes-Oxley Act или кратко: SOX. Более детальную информацию можно легко найти в интернете.
Закон SOX распространяется на все американские и мировые компании, ценные бумаги которых котируются на фондовых биржах США. На мой взгляд, принципы построения контроля SOX можно и главное нужно применять вне зависимости от того, попадает ли компания под действие закона или нет.
В законе присутствует довольно большое кол-во статей, но со стороны закупок больше всего мы сфокусируемся на двух статьях: №302 и №404, которые кратко можно изложить как: Закон требует подтверждения руководством компании всех финансовых отчетов, включая ответственность за работу системы внутреннего контроля. И под внутренним контролем в данном случае имеется в виду не «аудит», который относится к поиску или оценке уже существующих слабых мест. Внутренний контроль – это построение эффективной системы предотвращения появления ошибок или мошенничества, которые смогут стать причиной искажения финансовой отчетности.
И если еще кратко: а построен ли у нас такой процесс, когда у сотрудников нет возможности его нарушить без уверенности, что это будет расследовано? А как часто мы проверяем наши процессы? А как часто мы смотрим на риски, которые могут возникнуть в наших процессах?
Как говорил один из аудиторов Большой Четверки, который занимался проверкой контролей SOX: Олег, а что ты хотел? Закупки могут быть с большим количеством нулей в P&L и в наше время инвесторы хотят быть уверены не только в прибыли.
Если вернутся к началу заметки, именно поэтому Закупки являются частью исполнения контроля закона SOX.
Ниже я опишу несколько принципов и видов контроля, которые, на мой взгляд, могут быть применимы к разным направлениям работы в Закупках. Нужно помнить, что любой контроль требует разработки, описания, внедрения и мониторинга. 🙂 В закупках, контроль может быть двух видов: выявляющий и предотвращающий. «Предотвращающий» – когда процесс построен таким образом, что не позволяет сотруднику нарушить его, а «Выявляющий» – когда сотрудник может его нарушить с уверенностью в полном информировании о таком нарушении.
Примеры контроля с комментариями:
2. Выбор поставщика не на условиях честности и прозрачности:
3. Если в компании используется система R2P: проведение сверки между уже оплаченными счетами, согласованными заявками на закупку и базой данных поставщиков.
4. Оплата счета без договора.
5. Контроль повторяющихся закупок.
На моей практике в Закупках внедряли порядка 19 видов контроля, которые в большинстве своем были упреждающими. Одним из важных аспектов работы с SOX и прохождения аудитов является четкое определение порядка хранения и контроля всех документов, логов и решений, которые могут относиться к процессу проведения закупок.
Я уверен, работая в Закупках, вы сталкивались или работаете с принципом: «минимума 4 глаз». Когда каждая итерация в осуществлении закупок от процесса заявки до итоговой оплаты счета поставщику должна быть подтверждена, одобрена или просмотрена минимум двумя сотрудниками, а для некоторых этапов это требование может быть расширено на уровни разных департаментов или отделов компании. Например: сотрудник не может создать заявку на закупку без авторизации держателя бюджета, а сотрудник бухгалтерии не может оплатить этот счет, если он выставлен от поставщика, который не одобрен отделом Procurement, даже если на нем есть подпись Генерального директора.
Для целей SOX наличие в компании такого процесса только плюс.
Отношение к SOX моих коллег в большинстве случаев негативное, а аудит контроля SOX для них – что-то из разряда пожара. Считаю, что в этом есть доля правды, но она не относится к процессам. Она больше касается отношения, как со стороны Закупок, так и со стороны Аудиторов. Сколько раз Аудиторы проводили тренинг по SOX, который был разработан «не для аудиторов»? Скорее всего, 0 (НОЛЬ) раз. В прошлом году я был на большом внешнем тренинге по контролям SOX и тренер чуть ли не аплодировал мне, т.к. я был первым сотрудником от направления Закупок, который посетил тренинг. В основном участники таких тренингов — аудиторы и финансовые специалисты, которые доносят требования через свою призмы.
Если у Вас был опыт работы с аудитами SOX или постановкой контролей в Закупках, буду рад узнать Ваше мнение о законе и его исполнении.
P.S. Оценка и мониторинг рисков – это тоже контроль. Но данную тему я решил разобрать в следующей статье.
Ой, забыл, Сотрудники, отвечающие за предоставление отчетности согласно Закону SOX, несут уголовную ответственность 🙂
Сегодня в России всего лишь несколько компаний, акции которых котируются на биржах США. Тем не менее нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей. Вот примерный «портрет» фирмы, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:
— стоимость активов, или годовой оборот, превышает 150 млн. долл.;
СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности.
С другой стороны, поскольку в данном законе нет четкого определения системы внутреннего контроля (СВК), перед компанией, собирающейся создать у себя подобную систему, встает ряд естественных вопросов. Какие бывают СВК? Как они создаются? Какими средствами автоматизируются? Сколько времени потребуется на внедрение СВК?
Что и как контролировать
Ответ на вопрос, какой должна быть СВК, дает нам комитет спонсорских организаций комиссии Тредвея (COSO) в документе «Концептуальные основы внутреннего контроля», который, по определению самого же комитета, «выступает в качестве общепринятого стандарта при выполнении требований к предоставлению отчетности», а также в ряде актов, дополняющих этот документ.
Согласно COSO, внутренний контроль должен включать следующие компоненты.
— Контрольная среда. Это основа для всех остальных элементов, обеспечивающая дисциплину сотрудников компании по отношению к процессу и структурированность системы.
— Оценка рисков. Призвана выявлять и анализировать ситуации, при возникновении которых невозможно ни достижение поставленных целей финансовых операций, ни создание корректной отчетности о деятельности компании.
— Контрольные действия. Регламентированные процедуры, выполнение которых позволяет удостовериться, что директивы высшего руководства соблюдаются и риски, связанные с финансовыми операциями, учитываются и принимаются во внимание. Такие процессы должны осуществляться на всех уровнях деятельности компании и могут включать разнообразные методы: утверждение, авторизацию, проверку, урегулирование, а также рецензирование оперативной производительности бизнеса, сохранности активов и разделения ответственности.
— Информационная среда. Благодаря ей необходимая информация, имеющая отношение к СВК и внутреннему контролю в целом, определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять свои функциональные обязанности. Осуществляется также эффективный обмен информацией в рамках предприятия как по вертикали сверху вниз и снизу вверх, так и по горизонтали. Средства передачи информации между сотрудниками могут быть любыми.
— Мониторинг. Весь процесс управления рисками организации должен отслеживаться и по необходимости корректироваться. Мониторинг осуществляется в рамках текущей деятельности руководства или путем периодического проведения оценок.
СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности. Вся система должна гарантировать разумную детализацию учета, обеспечивающую достоверность отражения финансово-хозяйственных операций и финансового положения компании. Выполнение действий, предусмотренных системой внутреннего контроля, дает уверенность в том, что все указанные операции отражаются согласно установленным требованиям, а доходы и расходы санкционированы руководством. При этом любые попытки несанкционированного приобретения, использования или продажи активов, которые могут иметь существенное воздействие на финансовую отчетность, будут своевременно обнаружены.
SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы и регулярную оценку.
Система внутреннего контроля должна пройти внешний аудит на предмет соответствия требованиям SOX, если она разработана по методологии COSO, задокументирована в формате, понятном аудиторам, и актуальна (т. е. в ней действуют принятые регламенты). Если результаты исполнения контролирующих процедур фиксируются, в отношении отклонений предусматриваются эффективные корректирующие воздействия; осуществляется постоянный мониторинг СВК; руководством утверждаются и контролируются правила ее внутренней сертификации. Ответственность за эту систему в компании должна быть разделена, а генеральный и финансовый директора обязаны засвидетельствовать, что периодическая финансовая отчетность полностью соответствует требованиям закона о биржах 1934 г. и что информация, cодержащаяся в отчетности, дает справедливое представление обо всех существенных аспектах финансового состояния и результатах деятельности компании (раздел 906 SOX).
Что следует автоматизировать
Необходимость автоматизации диктуется тем обстоятельством, что для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, связанных с порождением финансовой отчетности, а сделать это без тесно интегрированных информационных систем управления и контроля, связывающих данные о бизнес-процессе и об управлении его рисками, не представляется возможным (особенно в тех случаях, когда таких бизнес-процессов очень много). Автоматизированная система поможет реализовать процесс внутреннего контроля за изменениями состояния объектов, описанных в документах COSO на концептуальном уровне, в контексте бизнес-процессов. Поскольку очень важна возможность оценки СВК по аналитическим сводкам о функционировании такой системы, система должна быть прозрачной для руководства компании, предоставляя ему отчеты о своем состоянии и эффективности.
Ко встроенным системам относится также модуль Oracle Internal Controls Manager (OICM), входящий в состав Oracle E-Business Suite, но лицензируемый отдельно. Реализован он на платформе Oracle и состоит из трех уровней: уровня базы данных (на Oracle Database), уровня приложений, управляющего модулями Oracle E-Business Suite, и клиентского уровня в виде Java-модуля для Web-браузера.
OICM связывает в единую систему компоненты для ведения внутреннего контроля, отвечающие за документирование, тестирование, мониторинг внутреннего контроля и его cоответствие требованиям законодательства.
Еще одним примером систем второго типа может быть SAP Management of Internal Controls (MIC), которая поставляется в составе SAP R/3. Большим ее преимуществом по сравнению с упомянутыми выше решениями является то, что она интегрируется практически со всеми популярными операционными системами, СУБД, средствами построения отчетов и клиентскими приложениями. Строго говоря, определение MIC как подсистемы технически не совсем верно, это скорее логическое объединение различных механизмов SAP для построения автоматизированной СВК.
В отличие от MOSASO встроенные системы позволяют не только создавать обособленные описания контролируемых процессов, но и интегрировать внутренний контроль с уже реализованной в ERP-решении бизнес-логикой. Отсюда следует, что для обеспечения взаимодействия автономной СВК с иными программными средствами придется затратить больше дополнительных ресурсов, в то время как модуль ERP-системы настроить для работы с уже отлаженным механизмом финансового или иного документооборота гораздо проще.
Для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, по которым требуется финансовая отчетность.
В контексте затрат на лицензирование названных продуктов желательно учитывать следующие обстоятельства:
— если на предприятии уже установлены Microsoft Office и SQL Server 2000 Standard или Enterprise Edition, то основные расходы при внедрении MOSASO придутся на консалтинг, потому что SharePoint Services и MOSASO предоставляются бесплатно;
— информацию о схеме лицензирования продуктов Mercury можно получить только у официальных дистрибьюторов этой компании.
По опыту компании GMCS, начавшей одной из первых в нашей стране внедрять автоматизированные СВК, можно отметить некоторые сложности, которые возникают в процессе ввода в эксплуатацию решений такого рода.
— Концептуальную модель СВК необходимо строить одновременно с разработкой программно-технологических решений автоматизированной системы. Дело в том, что для каждого конкретного предприятия аудиторские фирмы разрабатывают уникальные механизмы управления рисками и в момент создания автоматизированной СВК не существует программного решения, позволяющего настроить нужным образом логику внутреннего контроля. В результате определенную часть функциональности будущей системы приходится реализовывать по ходу утверждения контрольных и иных регламентов, учитывая постоянно меняющиеся требования к концепции СВК. Для преодоления такого рода затруднений выполняется полный цикл производства программного решения: анализ требований к системе, проектирование, реализация, тестирование.
— В территориально распределенных холдингах существуют такие требования: разделение информации, относящейся к разным филиалам, консолидация сведений о состоянии и эффективности системы, управление доступом сотрудников к этой информации. С целью разделения информации организуются логические и физические хранилища для каждого филиала, что позволяет, в частности, разграничить доступ пользователей к данным филиалов. Консолидация показателей состояния и эффективности СВК осуществляется в процессе генерации соответствующих отчетов, что требует либо создания отдельной базы, где хранятся данные обо всей системе, либо специальной настройки программных средств построения отчетности.
Акт Сарбейнс-Оксли от 2002 г. (SOX)
Обзор SOX
Закон Сарбейнса-Оксли от 2002 г. (SOX) — федеральный закон США, управляемый Комиссией по ценным бумагам и Exchange (SEC). Помимо прочего, soX требует, чтобы общедоступные компании были надлежащими внутренними структурами управления, чтобы проверить, правильно ли их финансовые отчеты отражают их финансовые результаты. На SOX сильно влияют внутренние процессы клиента, особенно если речь идет о контроле за финансовой отчетностью. Например, требования SOX связаны с внутренними средствами управления клиентами для подготовки и проверки финансовых отчетов и, в особенности, с контролем, влияющим на точность, полноту, эффективность и публичное раскрытие материальных изменений, связанных с финансовой отчетностью.
SEC не определяет и не навязывает процесс сертификации SOX. Вместо этого он предоставляет широкие рекомендации для публично торгуемой компании, чтобы определить, как выполнять требования к отчетности SOX.
Microsoft и SOX
Клиенты облачных служб Майкрософт при соблюдении закона Sarbanes-Oxley (SOX) могут использовать проверку SOC 1 Type 2, полученную Корпорацией Майкрософт от независимой аудиторской фирмы при выполнении собственных обязательств по обеспечению соответствия требованиям SOX. Эта засвидетельстация подходит для отчетов о внутреннем контроле над финансовой отчетностью.
Несмотря на отсутствие сертификации или проверки SOX для поставщиков облачных служб, Корпорация Майкрософт может помочь клиентам выполнить свои обязательства по SOX. Например, soX требует внутреннего контроля для подготовки и проверки финансовых отчетов, особенно элементов управления, влияющих на точность, полноту, эффективность и публичное раскрытие материальных изменений, связанных с финансовой отчетностью. Чтобы помочь компаниям, Корпорация Майкрософт поддерживает проверку soC 1 Type 2, соответствующую отчетности по таким средствам управления в широком портфеле служб, которые можно использовать для создания широкого спектра приложений. Она основана на заявлении Американского института сертифицированных бухгалтеров (AICPA) о стандартах для обязательств по аттестации 18 (SSAE 18) и Международном стандарте обязательств по гарантиям No. 3402 (ISAE 3402). (Это заверение заменило SAS 70.)
В отчете аудита, подготовленном стороной аудиторской фирмой, подтверждается, что элементы управления Майкрософт были разработаны надлежащим образом, в течение указанной даты и эффективно функционируют в течение указанного периода времени. Клиенты могут просмотреть отчеты, чтобы узнать о задачах управления Майкрософт и эффективности управления, а также получить доступ к дополнительным средствам управления.
В Корпорации Майкрософт мы разделяем ответственность за соблюдение требований к нашим клиентам. Мы поставляем сведения о наших программах соответствия требованиям, которые можно проверить, запросив подробные результаты аудита у третьих лиц, удостоверяющих их. В конечном счете, однако, вы должны определить, соответствуют ли наши службы определенным законам и нормативным требованиям, применимым к вашему бизнесу. Например, вы несете ответственность за связанные с SOX средства управления безопасностью, такие как доступ пользователей к облачным ресурсам: организация должна разработать соответствующий аудит этих элементов управления в рамках соответствия требованиям SOX.
Затрагиваемые облачные платформы и службы Майкрософт
Azure, Dynamics 365 и SOX
По мере увеличения принятия облачных технологий все больше клиентов изучают возможность переноса приложений и рабочих нагрузок с учетом обязательств по обеспечению соответствия требованиям SOX в облако. Несмотря на отсутствие сертификата SOX или проверки для поставщиков облачных служб, Azure может помочь вам выполнить свои обязательства по SOX.
Если на вас налагаются обязательства по обеспечению соответствия требованиям SOX, следует просмотреть проверку проверки Azure SOC 1 Type 2,которая выполняется в соответствии с:
Стандарт AICPA SSAE 18 заменил SAS 70, и он подходит для отчетности по средствам управления в организации-службе, соответствующей внутреннему контролю субъектов пользователей над финансовой отчетностью. Это формальный аудит, на который можно положиться для сторонних обзоров поставщиков технологических услуг при выполнении собственных отраслевых обязательств по обеспечению соответствия требованиям для активов, развернутых в Azure. Он включает заключение аудитора об эффективности контроля для достижения связанных целей контроля в указанный период мониторинга.
Кроме того, Azure подготовила документацию по рекомендациям, которые помогут вам использовать существующие отчеты о соответствии требованиям Azure при выполнении собственных обязательств по обеспечению соответствия требованиям SOX. Он опирается на внутренний опыт Microsoft по переносу соответствующих приложений SOX в Azure. Кроме того, это руководство содержит рекомендации по миграции, включая последствия соответствия требованиям SOX, обзоры двух общедоступных кейсов и уроки, извлеченные из проектов внутренней миграции Майкрософт.
Office 365 и SOX
Облачные среды Office 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
Этот раздел посвящен следующим облачным средам Office 365.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Цикл расширения, текст автоматического альта, защита от лазурной информации, службы двоичного преобразования, бронирования, Delve, элемент документа, редактор, Exchange Online, формы, вставка Online Media, Аналитика, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 groups, OneDrive для бизнеса, planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Конструктор, PowerPoint служба документов, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, To-Do, служба веб-визуализации, Yammer корпоративный |
Аудит, отчеты и сертификаты
Вопросы и ответы
Как использовать соответствие требованиям Microsoft SOX для облегчения процесса соответствия требованиям организации?
При переносе приложений и данных в закрытые облачные службы Майкрософт можно использовать аттестации и сертификации, которые имеет Корпорация Майкрософт. Независимые отчеты аудитора свидетельствуют об эффективности элементов управления, реализованных Корпорацией Майкрософт для обеспечения безопасности и конфиденциальности данных. Однако вы несете полную ответственность за обеспечение соответствия организации всем применимым законам и правилам.
Внутренний аудит после SOX
Автор: Корнилович Евгений Михайлович — менеджер по аудиту корпорации Microsoft, регион ЕМЕА, MBA (University of Pittsburgh), член Института внутренних аудиторов (IIA), член Института управленческих бухгалтеров (IMA)
Опубликовано: 30 января 2009
В статье особое внимание уделяется роли корпоративного внутренного аудита с учетом снижения значимости SOX compliance. Автор рассматривает историю появления и роль закона Sarbanes-Oxley для корпоративного управления и внутреннего аудита, последние тенденции по смягчению требования регуляторов, а также оценивает потенциальные области, где внутренний аудит будет применяться, по его мнению, в ближайшие годы особенно активно.
ВНУТРЕННИЙ АУДИТ И ЕГО РОЛЬ В КОРПОРАЦИИ
Внутренний аудит как система управленчески ориентированной корпоративной дисциплины динамично развивался во второй половине XX в. и в конце века сформировался в привычном виде. Первоначально сфокусированный на анализе рисков, связанных с бухгалтерской отчетностью и налогообложением, в данный момент внутренний аудит затрагивает широкий спектр аспектов деятельности компании, помогая выявлять риски на различных этапах экономической активности. Принципиальна независимая позиция внутреннего аудита, подкрепленная организационно: подразделение подчиняется аудиторскому комитету, который, в свою очередь, формируется из неисполнительных или независимых директоров в составе совета директоров корпорации.
Международный институт внутренних аудиторов (Institute of Internal Auditors, IIA) — крупнейшая международная организация внутренних аудиторов — дает следующее определение: внутренний аудит — независимая и объективная деятельность по предоставлению гарантий и консультаций, направленная на достижение конкретных результатов и улучшение в работе организаций; помогает организации достигать поставленных целей путем внедрения систематизированного, дисциплинированного подхода к оценке и повышению эффективности процессов руководства, контроля и управления рисками.
Несмотря на динамичное развитие внутреннего аудита к концу XX в. его роль и место в американских и международных компаниях определялись следующей схемой.
При достаточном уровне подготовки управления рисками менеджмент проводит работу, направленную на внедрение некоторых ключевых составляющих внутреннего контроля, прежде всего в зонах с высокими рисками (например, управление денежными средствами, закупки, склады, реализация). При этом компания не имеет полноценного внутреннего контроля или риск-менеджмента на всех уровнях организации, и, несмотря на то, что некоторые уровни контроля разработаны и эффективно внедрены, формально они не задокументированы. Другой характерной чертой на этом этапе является зависимость контроля от людей, меньше — от процессов. В свою очередь, внутренний аудит рассматривается как единственная служба в организации, способная проводить оценку рисков, а ее деятельность противопоставляется деятельности менеджмента.
РОССИЙСКАЯ СПЕЦИФИКА
В российских компаниях до сих пор крайне редко существует полноценная и независимая служба внутреннего аудита; ее отсутствие частично заменяется контрольно-ревизионным управлением или службой внутреннего контроля.
В общем случае контрольно-ревизионные управления (КРУ) фокусируются на вопросах проверки сохранности товарно-материальных ценностей, эффективности использования ресурсов, выполнения распоряжений вышестоящих органов, а также на расследовании мошенничеств. Внутренний аудит призван выполнять более широкие задачи по оценке процессов внутреннего контроля, управления рисками, корпоративного управления. Однако, в зависимости от уровня развития корпоративной культуры (в том числе, среды контроля), приоритетом службы внутреннего аудита может являться решение задач, обычно стоящих перед КРУ.
В данный момент вопросы, связанные с внутренним аудитом, не регулируются российским законодательством, за исключением отдельных положений, касающихся финансово-кредитных организаций и профессиональных участников фондового рынка. Однако российские компании, имеющие листинг на Нью-Йоркской фондовой бирже через ADR (Американские депозитарные расписки), также попадают под действие закона Sarbanes-Oxley, и, следовательно, имеют независимую службу внутреннего аудита, занимающуюся периодическими проверками на соответствие SOX. Тем не менее, по мнению Российского института внутренних аудиторов на текущий момент подавляющее большинство российских компаний, в том числе имеющих международные операции и филиалы, находятся в лучшем случае на этапе развития, описанном выше и соответствующем 1980–1990-м гг.
Особое исключение составляют российские представительства, филиалы или дочерние компании международных организаций, прежде всего транснациональных корпораций с листингом на биржах США. Такие компании имеют полноценную службу внутреннего аудита, однако, как правило, она базируется в головном офисе компании либо в ее субрегиональных подразделениях, очень редко — в российских филиалах.
ЗАКОН SARBANES-OXLEY
Руководство несет ответственность за обеспечение соответствия организации требованиям §302 и §404, а также другим требованиям закона, при этом данная ответственность не может делегироваться или слагаться. Поддержка руководства в выполнении данных обязанностей является необходимой ролью внутреннего аудита.
В октябре 2004 г. была издана новая разработка COSO — модель COSO ERM — Integrated Framework (ERM — enterprise risk model), объединившая в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками (рис. 1).
РОЛЬ ВНУТРЕННЕГО АУДИТА ПОСЛЕ SOX
Направленность внутреннего аудита на проверку соответствия требованиям закона Sarbanes-Oxley постепенно уменьшается. По данным последнего исследования аудиторской фирмы PricewaterhouseCoopers (PwC) только 27% респондентов подтвердили, что выделяют более чем половину ресурсов службы внутреннего аудита на проверку соответствия §404 SOX. Согласно аналогичному исследованию 2007 г. доля таких компаний в ответах составляла 41%.
Таким образом, ожидается, что в среднесрочной перспективе задача внутреннего аудита будет все больше отходить от проверки соответствия SOX и переходить к новым вопросам. Невероятное преимущество внутреннего аудита перед любыми другим службами компании заключается в его независимости, обеспеченной структурой подчинения и специфическими взаимоотношениями с менеджментом, в том числе и с высшим руководством, а также уникальной базой знаний и опыта, накопленной за годы аудита совершенно разных подразделений компании. Эти преимущества позволяют внутренним аудиторам как сотрудниками компании, действующим исключительно в ее интересах и в то же время остающимся формально и фактически независимым и в оценках и рекомендациях, смотреть на компанию как на единый организм и проводить привычную работу по оценке рисков, уязвимости системы, выявлению слабостей и подготовке независимых и объективных рекомендаций по их устранению.
НАЗАД К ОСНОВАМ
В последнее время очевидно возвращение внимания к операционным рискам, иначе говоря, рискам, связанным с текущей деятельностью предприятия. Классическая схема МакКинси (McKinsey), доработанная Майклом Портером (Porter), представлена на рис. 2.
Соответственно, операционный аудит ори-ентирирован на специфические риски, присущие вышеперечисленным сферам деятельности компании.
Согласно ранее упомянутому исследованию PricewaterhouseCoopers, 87% респондентов из компаний Fortune 500 (ежегодный список крупнейших по объему выручки корпораций США, публикуемый журналом Fortune) тратят менее 20% ресурсов на аудит, не связанный с соблюдением требований регуляторов (financial compliance). Тем не менее, по результатам того же исследования, аудиторские комитеты и руководители крупнейших мировых компаний все более обеспокоены операционными рисками.
Для аудита операционных процессов требуются совершенно новые знания и опыт. Прежде всего, на одно из первых мест выходит знание компьютерных технологий, умение работать с массивами данных и аналитические способности. К примеру, исследование международного Института Внутренних Аудиторов (IIA Research Foundation’s Common Body of Knowledge Study, 2008) показало, что более 75% опрошенных главных аудиторов назвало работу с данными и аналитику основными требуемыми техническими навыками в данной профессии.
Также аудитор должен отлично разбираться в тонкостях бизнеса, деталях процесса и мотивирующих силах, двигающих бизнес и стимулирующих отдельных сотрудников. Аудиторы, «выращенные» на стандартизованном SOX-аудите, как правило не готовы действовать менее шаблонно, либо просто не могут оценить полноту и сложность бизнес-процесса. Так же и «выходцы» из Big 4, обладая прекрасным финансовым образованием и отличным опытом внешних аудиторов, могут встать в тупик при оценке рисков хранения и перемещения складских запасов или манипулирования продажами в целях достижения годовых результатов, влияющих на размер компенсаций в каком-либо отдельном специфическом предприятии. Это основная причина того, что крупные компании предпочитают включать в свою команду аудиторов специалистов из разных подразделений или регионов, предоставляя им возможность карьерного роста и получая в ответ бесценный опыт «с полей».
РАСШИРЕНИЕ ГОРИЗОНТОВ
Другое направление развития внутреннего аудита заключается в расширении фокуса: аудит областей, в прежние годы не бывших в зоне внимания: менеджмент и, в особенности, правильный тон руководства, вопросы стратегии, включая расширение бизнеса, сделки слияния и поглощения, либо наоборот продажа активов или брендов, расследование случаев мошенничества и других нарушений законодательства, а также такая новая область как аудит качества продаваемого потребителям продукта и его сервисной поддержки. Список, конечно же, неполный, поскольку каждой компании под силу самой определить область рисков и разработать собственную программу внутреннего контроля за ними, включая периодический аудит.
Мошенничество и нарушения законодательства
Одной из целей аудита (по издании SOX) становится обнаружение и предотвращение мошенничества внутри компании. Аудит может обнаружить случаи мошенничества и других нарушений закона, однако в первую очередь функцией аудита остается оценка рисков и системы защиты от мошенничества, начиная от потенциальных конфликтов интересов и заканчивая общей атмосферой в подразделении компании. В фокусе внутреннего аудита будет контроль за разделением обязанностей, горизонтальный и вертикальный финансовый анализ, контроль за дебиторской задолженностью и списание безнадежных долгов, особенному вниманию должны подвергаться родственные и личные связи между сотрудниками. Все большее значение в современном мире получает информационная безопасность и защита персональных данных сотрудников или клиентов.
Сделки слияния и поглощения
Гарантия качества и взаимоотношения с потребителями
Этическое поведение менеджмента
Серьезное ужесточение регулирования, вызванное в первую очередь американскими корпоративными скандалами, подверглось массовой критике. Критикующая сторона вполне резонно отметила, что жесткая регламентация скорее защищает от последствий, нежели устраняет причину болезни. Внутренний аудит, используя свою независимость от менеджмента, способен объективно оценить, насколько тон и поведение менеджмента на всех уровнях соответствуют миссии и целям организации.
Известна история с компанией Exxon, которая в 1989 г. после катастрофы своего танкера в порту Валдез на Аляске отказалась взять на себя полную вину, несмотря на то, что впоследствии было доказано серьезное нарушение правил экипажем. Неэтичное поведение менеджмента, неправильная реакция на инцидент, отложенная и неверно организованная коммуникация привели к тому, что даже сейчас Exxon у многих ассоциируется с экологической катастрофой, а менеджмент этой компании, как и других компаний, добывающих углеводороды, — с приоритетом корпоративных интересов над гражданскими.
Чем чаще проводится аудит, тем меньше его ориентированность на прошлые периоды, и тем более точную текущую картину он может показать аудиторскому комитету, совету директоров и акционерам компании. В последнее время все чаще обсуждается возможность организации самосовершенствующейся системы постоянного управления рисками, анализа и мониторинга — непрерывного аудита (continiuos audit).
НЕПРЕРЫВНОЕ УПРАВЛЕНИЕ РИСКАМИ
Предполагается, что в правильно организованной и технически обеспеченной среде непрерывного управления рисками дискретность аудиторских проектов и отчетов будет стремиться к нулю, а скорость обновления и объем информации — к бесконечности. Таким образом, предполагается нивелировать семь типов временных и ресурсных потерь в аудите, а именно: время ожидания сбора информации, задержки и сдвиги сроков, анализ информации, сам процесс аудита, ревьюирование результатов, ошибки и дополнительную работу.
Концепция непрерывного аудита предполагает, что архитектура аудиторской информации должна быть построена и информатизирована таким образом, чтобы максимально удовлетворить растущий спрос пользователей (менеджмента, аудиторского комитета, акционеров) на аналитику рисков, проблемных зон и уровня контроля в режиме реального времени.
ЛИТЕРАТУРА
Автор: Корнилович Евгений Михайлович — менеджер по аудиту корпорации Microsoft, регион ЕМЕА, MBA (University of Pittsburgh), член Института внутренних аудиторов (IIA), член Института управленческих бухгалтеров (IMA)