Приложение 1. Компоненты системы внутреннего контроля. Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения"

Приложение 1
(см. пункты 4(c), 14-24, А76-А117)

Компоненты системы внутреннего контроля

1. Настоящее Приложение содержит пояснения относительно компонентов системы внутреннего контроля, описанных в пунктах 4(c), 14-24 и А76-А117, с учетом их связи с аудитом финансовой отчетности.

Контрольная среда

2. Контрольная среда охватывает следующие элементы:

(a) Информирование о принципе честности и этических ценностях. Эффективность средств контроля определяется уровнем честности и этическими ценностями людей, которые создают, применяют и осуществляют их мониторинг. Честность и этическое поведение являются результатом этических и поведенческих стандартов организации, способов их доведения до сведения персонала и продвижения на практике. Продвижение честности и этических ценностей предполагает, например, действия руководства, направленные на устранение или снижение стимулов и соблазнов, которые могут подтолкнуть персонал к участию в нечестной, незаконной или неэтичной деятельности. Информирование о политике организации в отношении честности и этических ценностей может включать доведение до персонала стандартов поведения с помощью сформулированных положений политики, кодексов поведения и личного примера.

(b) Приверженность профессиональной компетентности. Профессиональная компетентность - это знания и навыки, необходимые для выполнения задач, составляющих работу сотрудника.

(c) Участие лиц, отвечающих за корпоративное управление. На осознание организацией необходимости контроля оказывают значительное влияние лица, отвечающие за корпоративное управление. Важность обязанностей лиц, отвечающих за корпоративное управление, признается в корпоративных кодексах, законах, нормативных актах или руководствах, разработанных для лиц, отвечающих за корпоративное управление. Обязанности лиц, отвечающих за корпоративное управление, включают надзор за организацией и эффективным функционированием процедур информирования о нарушениях, а также процессом проверки эффективности системы внутреннего контроля организации.

(d) Философия и стиль управления руководства. Философия и стиль управления руководства охватывают широкий спектр характеристик. Например, отношение и действия руководства в отношении подготовки финансовой отчетности могут проявиться в выборе консервативных или агрессивных вариантов из имеющихся альтернативных принципов бухгалтерского учета или в добросовестности и консерватизме при расчете оценочных значений.

(e) Организационная структура. При создании надлежащей организационной структуры учитываются ключевые области полномочий и ответственности, а также соответствующий порядок подотчетности. Надлежащий характер организационной структуры, в числе прочего, определяется размером и характером деятельности организации.

(f) Распределение полномочий и ответственности. Распределение должностных полномочий и ответственности относится к политике в отношении надлежащей практики ведения бизнеса, знаниям и опыту ключевого персонала, ресурсам, предоставляемым для выполнения обязанностей. С распределением должностных полномочий и ответственности связаны политика и информирование, направленные на обеспечение понимания всеми сотрудниками целей организации, того, как действия отдельных сотрудников взаимосвязаны и способствуют достижению этих целей, и на осознание сотрудниками того, какую ответственность они несут.

(g) Кадровая политика и практика. Кадровая политика и практика часто отражают осознание необходимости контроля в организации. Например, стандарты набора наиболее квалифицированного персонала с особым вниманием к образованию, предыдущему опыту работы, прошлым достижениям, доказательствам честности и этического поведения, демонстрируют приверженность организации принципу набора компетентных и заслуживающих доверия людей. Политика по обучению, которая информирует о будущих функциях и ответственности, включает практические занятия, например, тренинги и семинары, иллюстрирует ожидаемый уровень результатов работы и поведения. Повышение в должности на основе периодической оценки результатов работы демонстрирует приверженность организации принципу продвижения более компетентных работников.

Процесс оценки рисков организации

3. Процесс оценки рисков организации в отношении финансовой отчетности включает то, каким образом руководство определяет бизнес-риски, связанные с подготовкой финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность их возникновения, а также принимает решение в отношении действий в ответ на эти риски и результатов таких действий. Например, процедуры оценки рисков в организации могут быть направлены на рассмотрение того, как руководство учитывает возможность существования неотраженных в учете операций или определяет и проводит анализ существенных оценочных значений, отраженных в финансовой отчетности.

4. Риски, связанные с финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства. Руководство может разрабатывать планы, программы или действия в ответ на отдельные риски или может решить принять риск в силу возможных издержек или по иным соображениям. Риски могут возникать или изменяться по причине ряда обстоятельств:

- Изменения в операционной среде. Изменения в нормативном регулировании или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски.

- Новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание.

- Новые или обновленные информационные системы. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля.

- Быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля.

- Новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля.

- Новые бизнес-модели, продукты и виды деятельности. Распространение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля.

- Корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями порядка надзора и разделения обязанностей, что может изменить риск, связанный с системой внутреннего контроля.

- Расширение зарубежных операций. Расширение деятельности или приобретение иностранных подразделений создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например, дополнительные или измененные риски, связанные с операциями в иностранной валюте.

- Новые требования бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности.

Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие

5. Информационные системы состоят из инфраструктуры (физических компонентов и компонентов аппаратного обеспечения), программного обеспечения, людей, процедур и данных. Многие информационные системы широко используют ИТ.

6. Информационная система, обеспечивающая цели и относящаяся к порядку подготовки финансовой отчетности, охватывает методы и записи, которые:

- выявляют и записывают все имеющие силу операции;

- своевременно и с достаточной детализацией описывают операции для надлежащей классификации операций в целях подготовки финансовой отчетности;

- оценивают сумму операций таким образом, который позволяет надлежащим образом отразить их стоимостное выражение в финансовой отчетности;

- определяют период, в котором осуществлена операция, с целью ее отражения в соответствующем отчетном периоде;

- надлежащим образом представляют операции и соответствующее раскрытие информации в финансовой отчетности.

7. Качество генерируемой системой информации оказывает влияние на способность руководства принимать надлежащие решения в рамках управления и контроля за деятельностью организации и обеспечивать подготовку заслуживающих доверия финансовых отчетов.

8. Информирование, которое включает получение понимания индивидуальных функций и обязанностей в рамках системы внутреннего контроля за подготовкой финансовой отчетности, может осуществляться в форме руководств по политике, ведению учета и подготовке финансовой отчетности или меморандумов. Информирование может также осуществляться в электронной или устной форме или посредством действий руководства.

Контрольные действия

9. Обычно контрольные действия, которые могут оказаться значимыми для проводимого аудита, классифицируются как политика и процедуры, регламентирующие ряд вопросов:

- Обзоры результатов деятельности. Эти контрольные действия включают обзор и анализ фактических результатов в сравнении с бюджетом, прогнозами и результатами прошедшего периода; определение взаимосвязи между разными видами данных, операционными и финансовыми, анализ этих взаимосвязей, а также исследование и внесение корректировок; сравнение внутренних данных с внешними источниками информации; обзор результатов в разрезе функций или видов деятельности.

- Обработка информации. К двум большим группам контрольных действий в отношении информационных систем относятся прикладные средства контроля, которые применяются в отношении обработки данных отдельными приложениями, и общие средства контроля за ИТ-системами, которые представляют собой политику и процедуры, связанные со многими приложениями и поддерживающие эффективное функционирование средств контроля за приложениями посредством обеспечения надлежащей работы информационной системы. Примерами средства контроля приложений являются проверка математической точности записей, ведение и проверка счетов и оборотно-сальдовых ведомостей, автоматизированные средства контроля, такие как контрольные проверки вводимых данных и проверка сквозной нумерации, а также принимаемые в ручном режиме меры по результатам отчетов об отклонениях. Примеры общих средств контроля за ИТ-системами включают средства контроля за изменениями программного обеспечения; средства контроля, ограничивающие доступ к программам или данным, средства контроля над внедрением новых версий пакетного программного обеспечения; средства контроля над системным программным обеспечением, ограничивающие доступ или осуществляющие мониторинг использования системных служебных программ, которые могут изменить финансовые данные или записи без возможности последующей проверки.

- Физические средства контроля. Средства контроля, охватывающие:

- физическую безопасность активов, включая надлежащие меры предосторожности, такие как устройства, регламентирующие доступ к активам и записям;

- санкционирование доступа к компьютерным программам и файлам данных;

- периодический пересчет и сравнение с суммами, указанными в контрольных записях (например, сравнение результатов инвентаризации денежных средств, ценных бумаг и запасов с данными бухгалтерского учета).

Степень значимости физических средств контроля, направленных на предотвращение хищения активов, для надежности подготовки финансовой отчетности и, следовательно, аудита, зависит от таких обстоятельств, как высокая подверженность активов присвоению.

- Разделение должностных обязанностей. Назначение разных лиц для выполнения обязанностей по санкционированию операций, записи операций, обеспечению сохранности активов. Разделение должностных обязанностей направлено на снижение возможностей любого лица совершить или скрыть ошибки или недобросовестные действия в процессе выполнения им своих обязанностей.

10. Некоторые контрольные действия могут зависеть от существования соответствующей политики более высокого уровня, разработанной руководством организации или лицами, отвечающими за корпоративное управление. Например, контроль за санкционированием операций, таких как установление критериев инвестирования, может быть делегирован лицами, отвечающими за корпоративное управление, на основе соответствующих директив; напротив, нестандартные операции, такие как крупные приобретения или выбытие инвестиций, могут потребовать утверждения на более высоком уровне, в том числе в некоторых случаях - утверждения акционерами.

Мониторинг средств контроля

11. Важной обязанностью руководства является разработка и постоянное поддержание системы внутреннего контроля. Мониторинг средств контроля руководством предполагает рассмотрение следующего: функционируют ли средства контроля в соответствии с установленными целями и модифицируются ли они, чтобы при необходимости соответствовать изменяющимся условиям. Мониторинг средств контроля может включать такие действия, как проверка руководством того, были ли своевременно подготовлены банковские сверки, оценка внутренними аудиторами соблюдения сотрудниками службы продаж политики организации в отношении условий договоров купли-продажи, а также надзор, осуществляемый юридической службой, за соблюдением политики организации в отношении этики и практики ведения бизнеса. Мониторинг также проводится для непрерывного обеспечения долгосрочного эффективного функционирования средств контроля. Например, если своевременность и точность банковских сверок не осуществляется, персонал может прекратить их подготовку.

12. Внутренние аудиторы или сотрудники, выполняющие аналогичные функции, могут вносит# вклад в мониторинг средств контроля организации, проводя отдельную оценку этих средств. Как правило, они регулярно предоставляют информацию о функционировании системы внутреннего контроля, уделяя значительное внимание оценке эффективности системы внутреннего контроля, а также информируют о сильных сторонах и недостатках системы внутреннего контроля и дают свои рекомендации по ее усовершенствованию.

13. В ходе мониторинга может использоваться информация, полученная от сторонних лиц, которая может указывать на наличие проблем или выделять области, требующие усовершенствования. Покупатели косвенно подтверждают данные по выставленным счетам, оплачивая их или предъявляя претензии в отношении начисленных сумм. Регулирующие органы могут информировать организацию о вопросах, оказывающих влияние на функционирование системы внутреннего контроля, например, сообщая о результатах проверки органами регулирования банковской деятельности. Также руководство может рассмотреть информацию, касающуюся системы внутреннего контроля, полученную от внешних аудиторов.