«Внутренний контроль: интегрированный подход» icon

«Внутренний контроль: интегрированный подход»


Смотрите также:
Рабочая программа по дисциплине «Контроль и ревизия»...
Рабочая учебная программа содержательного модуля «Интегрированный подход в преподавании...
Доклад семинара...
Межличностное общение как коммуникативная технология...
Программы повышения квалификации по направлениям №...
В. Г. Афанасьев (1999) подчеркивает, что в более широком смысле...
Рекомендуемая литература к курсу социология коммуникации...
Не подлежит распространению до 16. 00 Gmt...
Финансово-экономический институт...
Финансово-экономический институт...
Контроль и внутренний аудит в управлении компанией...
Интегрированный урок...



Загрузка...
скачать
Сравнение концепций внутреннего контроля.

http://www.bankir.ru/analytics/svk/216/71629

Изучение доклада «Сравнение концепций внутреннего контроля», опубликованного в «IS Audit and Control Journal», № IV, стр. 26-35, 1996 г. (Janet L. Colbert, Ph.D., CPA, CIA, и Paul L. Bowen, Ph.D., CPA. «Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78»), позволяет комплексно проанализировать сходства и различия подходов к стандартизации процесса внутреннего контроля. При переводе доклада на русский язык необходимо обратить внимание на особенности применения терминологии, поэтому отдельные тезисы доклада дополнены комментариями переводчиков.

Материал подготовлен Финансовой секцией Института внутренних аудиторов.

- - - - - - - -

^ Сравнение концепций внутреннего контроля: COBIT, SAC, COSO и SAS 55/78

В последние годы повышенное внимание внутреннему контролю уделяется со стороны аудиторов, менеджеров, бухгалтеров, юристов. В результате продолжающейся работы недавно было выпущено несколько документов, представляющих собой попытки определить, оценить, описать и усовершенствовать внутренний контроль:

  • Стандарт «Цели контроля при использовании информационных технологий» (COBIT), разработанный Ассоциацией аудита и контроля информационных систем ISACA1 (the Information Systems Audit and Control Foundation’s Control Objectives for Information and related Technology),

  • Доклад «Контроль и аудит систем» (SAC), подготовленный Исследовательским фондом Института внутренних аудиторов (the Institute of Internal Auditors Research Foundation’s Systems Auditability and Control),

  • Доклад «Внутренний контроль: интегрированный подход» (COSO), подготовленный Комитетом спонсорских организаций Комиссии Тридуэя (the Committee of Sponsoring Organizations of the Treadway Commission’s Internal control – Integrated Framework),

  • Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55), утвержденное Американским Институтом дипломированных бухгалтеров (the American Institute of Certified Public Accountants’ Consideration of the Internal Control Structure in a Financial Statement Audit), с внесенными позднее изменениями (SAS 78).

Документ COBIT (1996 г.) – это системный подход, обеспечивающий владельцев бизнес - процессов инструментом для полного и эффективного исполнения его обязанностей по контролю за безопасностью информационных систем.

Документ SAC (1991 г., с изменениями, внесенными в 1994 г.) предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем и технологии.

Документ COSO (1992 г.) дает рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля2.

Документы SAS 55 (1988 г.) и SAS 78 (1995 г.) дают руководства внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации.

Так как документы разрабатывали различные органы только для разных целевых групп, то возможны некоторые несоответствия между документами. Однако каждый документ фокусируется на внутреннем контроле и конкретной целевой группе (например, на внутренних аудиторах, менеджменте, внешних аудиторах), уделяет большое внимание созданию и оценке средств внутреннего контроля. Т.о., сравнение концепций внутреннего контроля, выраженных в этих документах, представляет интерес для всех трех целевых групп.

Сравнение пяти документов показывает, что каждый из них использует идеи предыдущих документов. COBIT включает материалы первоисточников COSO и SAC. Определение контроля по COBIT берется из COSO, а определение целей ИТ контроля – из SAC. SAC включает концепции внутреннего контроля, разработанные в SAS 55, COSO использует концепции внутреннего контроля из обоих документов SAS 55 и SAC, а SAS 78 вносит изменения в SAS 55, отражая вклад COSO в концепцию внутреннего контроля. В частности, SAS 78 учитывает требование о согласованности концепций внутреннего контроля3, представленных в отчете COSO и SAS 55.

В данном отчете резюмируется 4 документа (SAS 55/ 78 объединены в один) и сравниваются концепции внутреннего контроля, представленные в каждом из них.
^

Краткое сравнение концепций контроля





COBIT

SAC

COSO

SASs 55/ 78

Основная целевая группа

Менеджмент, пользователи, аудиторы информационных систем

Внутренние аудиторы

Менеджмент

Внешние аудиторы

Внутренний контроль представляется как

Совокупность процессов, включая нормы, процедуры, приемы и организационные структуры

Совокупность процессов, подсистем и людей

Процесс

Процесс

Организационные цели внутреннего контроля

  • Эффективные и результативные операции

  • Конфиденциальность, целостность и доступность информации

  • Надежная финансовая отчетность

  • Соблюдение законов и правил (комплайенс)

  • Эффективные и результативные операции

  • Надежная финансовая отчетность

  • Соблюдение законов и правил (комплайенс)

  • Эффективные и результативные операции

  • Надежная финансовая отчетность

  • Соблюдение законов и правил (комплайенс)

  • Надежная финансовая отчетность

  • Эффективные и результативные операции

  • Соблюдение законов и правил (комплайенс)

Компоненты или зоны

Зоны:

  • Планирование и организация

  • Приобретение и внедрение

  • Доставка и поддержка

  • Мониторинг

Компоненты:

  • Среда контроля

  • Ручные и автоматические системы

  • Процедуры контроля

Компоненты:

  • среда контроля

  • Риск-менеджмент

  • Действия по осуществлению контроля

  • Информация и коммуникация

  • Мониторинг

Компоненты:

  • среда контроля

  • Оценка риска

  • Действия по осуществлению контроля

  • Информация и коммуникация

  • Мониторинг

Фокус

Информационные технологии

Информационные технологии

Вся организация

Финансовая отчетность

Оценка эффективности внутреннего контроля

За период времени

За период времени

На момент времени

За период времени

Ответственность за систему внутреннего контроля

Руководство

Руководство

Руководство

Руководство

Размер текста

187 страниц в 4 документах

1193 страницы в 12 модулях

353 страницы в 4 томах

63 страницы в 2 документах


^

Краткое изложение документов

COBIT: Цели контроля при использовании информационных технологий


Ассоциация ISACА разработала документ «Цели контроля при использовании информационных технологий» (COBIT), чтобы он служил основой для общеприменимых правил надежности и контроля информационных систем в целях контроля информационной технологии. Структура COBIT позволяет менеджменту сравнивать с лучшими образцами собственную практику обеспечения надежности и контроля ИТ окружения, позволяет пользователям ИТ услуг быть уверенными в существовании адекватного уровня надежности и контроля, а также позволяет аудиторам обосновывать суждения о внутреннем контроле и консультировать на предмет надежности и контроля ИТ систем. Главным мотивом для создания такой структуры было стремление выработать четкую политику и распространить положительную практику ИТ контроля по всему миру.

Полный комплект документов COBIT в настоящее время4 включает ^ Краткое содержание (Executive Summary), Структуру (Framework) ИТ контроля, список Целей Контроля (Control Objectives), а также свод Аудиторских принципов (Audit Guidelines). (Цели Контроля и Аудиторские Принципы ссылаются на Структуру.)

Следующие этапы проекта разработки COBIT предусматривают разработку пособия для самооценки менеджментом и определение новых или обновленных целей контроля посредством объединения с другими установленными стандартами глобального контроля. Кроме того, будут дополнены пособия по организации контроля и определены ключевые индикаторы производительности.

Определение. Документ COBIT обновил определение контроля из документа COSO: Нормы, процедуры, приемы и организационные структуры, разработанные для обеспечения разумной гарантии в том, что бизнес - цели будут достигнуты, а нежелательные события будут предотвращены или обнаружены и исправлены.

Документ COBIT адаптирует определение цели ИТ контроля, взятое из документа SAC: заявление желаемого результата или цели, которую нужно достичь посредством внедрения процедур контроля в конкретной ИТ деятельности.

Документ COBIT подчеркивает роль и влияние ИТ контроля, так как это имеет отношение к бизнес – процессам, и очерчивает область применения независимых целей ИТ контроля.

^ ИТ ресурсы. COBIT классифицирует ИТ ресурсы на: «данные», «прикладные системы», «технология», «технические средства» (facilities) и «люди». Данные определяются в их самом широком понимании и включают не только цифры, текст и даты, но и другие объекты, такие как графические данные и звуки. Под прикладными системами понимается совокупность ручных и автоматических процедур.

Технология включает аппаратные средства (hardware), операционные системы, сетевое оборудование и т.п. Технические средства – это ресурсы, используемые для размещения и поддержки информационных систем. Ресурс «люди» подразумевает под собой индивидуальные навыки и способности планировать, организовывать, приобретать, доставлять, поддерживать, и контролировать информационные системы и услуги.

Требования. Чтобы соответствовать бизнес - целям, информация должна отвечать определенным критериям, которые документ COBIT задает как бизнес - требования к информации. COBIT объединяет принципы из уже существующих моделей в 3 широкие категории: качество, ответственность доверенного лица и безопасность. Из этих широких требований выбираются 7 пересекающихся категорий критериев для оценки того, в какой степени ИТ ресурсы отвечают бизнес - требованиям к информации. К таким критериям относятся: эффективность, целесообразность, конфиденциальность, целостность, доступность, законность и надежность информации.

^ Процесс и зоны. На основе анализа передового опыта в управлении ИТ, представленного в ранее созданной Базе знаний об Инфраструктуре Информационных Технологий (ITIL5), COBIT делит ИТ процессы на 4 зоны. К этим зонам относятся (1) планирование и организация, (2) приобретение и внедрение, (3) доставка и поддержка и (4) мониторинг. Естественная группировка процессов по зонам часто подразумевает зоны ответственности в организационной структуре и следует за циклом менеджмента или жизненным циклом, применимым к ИТ процессам в любом ИТ окружении. На примерах иллюстрируется связь между ИТ ресурсами и 4 ИТ зонами с перечислением 32 индивидуальных ИТ процессов в 4 зонах.

COBIT представляет структуру контроля для владельца бизнес - процесса. Боле того, менеджмент наделен полной ответственностью и полномочиями по бизнес - процессам. COBIT включает определения обоих терминов - и внутреннего контроля, и целей ИТ контроля, 4 зон процессов, 32 наиболее важных правил контроля для этих процессов, 271 цели контроля, обращенной к этим 32 процессам, и руководства для аудиторов, связанные с целями контроля.

Структура. Структура COBIT предусматривает наиболее важные правила для конкретных ИТ процессов. Схема COBIT определяет бизнес - задачу, достигаемую с помощью правила контроля, и ИТ ресурсы, управляемые процессами; формулирует возможные средства контроля и список наиболее важных целей контроля по конкретному случаю.


^ Доклад SAC

Доклад SAC дает определение системы внутреннего контроля, описывает ее компоненты, предоставляет несколько классификаций средств контроля, описывает цели контроля и риски, а также определяет роль внутреннего аудитора. В докладе предлагается руководство по использованию, управлению и защите ресурсов информационной технологии и рассматриваются влияния эффектов использования программ, разработанных «конечным компьютерным пользователем» (end-user programming), телекоммуникаций и развивающихся технологий.

Определение. SAC определяет систему внутреннего контроля как совокупность процессов, функций, действий, подсистем и людей, объединенных вместе или сознательно разделенных, предназначенная для обеспечения эффективного достижения целей и задач.

Доклад подчеркивает роль и влияние компьютеризированных информационных систем на систему средств внутреннего контроля, делает акцент на необходимости оценивать риски, сравнивать затраты и результаты, а также на необходимости встраивания средств контроля в системы вместо добавления их после внедрения систем.

Компоненты. Система внутреннего контроля состоит из 3 компонентов: контрольная среда, ручные и автоматические системы, процедуры контроля. Контрольная среда включает организационную структуру, структуру контроля, нормы и процедуры, а также внешние воздействия. Автоматические системы состоят из систем и прикладного программного обеспечения. SAC затрагивает риски контроля, связанные с конечным пользователем и системами отдельных подразделений6, но не описывает и не дает определение ручным системам. Процедуры контроля состоят из общих, прикладных и компенсирующих средств контроля.

Классификации. SAC представляет 5 классификационных схем для средств внутреннего контроля в информационных системах: (1) предварительные (preventive), текущие (detective) и последующие (corrective)7, (2) систематические и выполняемые по усмотрению, (3) самостоятельно инициированные и предписанные, (4) ручные и автоматические, (5) прикладные и общие средства контроля. Эти схемы фокусируются на том, когда средство контроля введено в действие, можно ли его обойти, кто настаивает на необходимости контроля, как контроль реализовывается, и где в программном обеспечении внедрено данное средство контроля.

^ Цели контроля и риски. Понятие риски включает в себя мошенничество, ошибки, прерывание деятельности, непроизводительное и неэффективное использование ресурсов. Цели контроля обобщают эти риски и обеспечивают информационное единство, надежность и соответствие установленным требованиям8. Информационное единство обеспечивается средствами контроля качества введения, исполнения, вывода, а также средствами контроля качества программного обеспечения. Меры по обеспечению надежности включают средства контроля надежности данных, средства контроля физической надежности и надежности программ. Средства контроля соответствия обеспечивают соответствие законам и правилам, бухгалтерским и аудиторским стандартам, а также внутренним нормам и процедурам.

^ Роль внутреннего аудитора. Обязанности внутренних аудиторов включают обеспечение адекватности системы внутреннего контроля, надежности данных, эффективного использования ресурсов организации. Внутренние аудиторы также могут предотвращать и обнаруживать мошенничество и координировать взаимодействие с внешними аудиторами. Интеграция аудиторских навыков и знания информационной системы, а также понимание влияния информационной технологии на аудиторский процесс необходимы для внутренних аудиторов. Такие профессионалы сейчас проводят финансовый, операционный аудит и аудит информационных систем.


^ Доклад COSO

В докладе COSO дается определение внутреннего контроля, описывает его компоненты и предоставляет критерии оценки контрольных систем. Доклад предлагает руководство для составления общедоступных отчетов по внутреннему контролю, а также предоставляет материалы, которые менеджмент, аудиторы и другие стороны могут использовать для оценки системы внутреннего контроля. Две главные цели доклада – (1) ввести общее определение внутреннего контроля, которое устраивало бы разные стороны, (2) предложить стандарт, по которому организации могут оценить и определить пути совершенствования систем контроля.

Определение. Доклад COSO определяет внутренний контроль, как процесс, осуществляемый советом директоров организации, менеджментом, другим персоналом, предназначенный для обеспечения разумной гарантии достижения целей в следующих категориях:

  • эффективность и результативность операций;

  • надежность финансовой отчетности;

  • соблюдение соответствующих законов и правил.

В докладе подчеркивается, что система внутреннего контроля – это инструмент, а не заменитель управления, и что средства контроля должны быть встроены в операционную деятельность (а не построены на ее базе). Хотя в докладе внутренний контроль определяется как процесс, рекомендуется проводить оценку эффективности внутреннего контроля на определенный момент времени.

Компоненты. Система внутреннего контроля состоит из 5 взаимосвязанных компонентов: (1) контрольная среда; (2) оценка риска; (3) действия по осуществлению контроля; (4) информация и коммуникации; (5) мониторинг. Контрольная среда обеспечивает базу для других компонентов. Этот компонент затрагивает такие факторы, как философия менеджмента и стиль руководства, правила и приемы работы с трудовыми ресурсами, честность и духовные качества сотрудников, организационная структура, а также внимательность и руководящая роль совета директоров. Доклад COSO включает руководство к оценке каждого из этих факторов. Например, философия менеджмента и стиль руководства могут быть оценены путем рассмотрения природы управления бизнес - рисками, включая частоту общения с подчиненными и отношение к финансовой отчетности.

^ Оценка риска подразделяется на идентификацию риска и анализ рисков. Идентификация риска включает рассмотрение внешних факторов, таких как технологический рост, конкуренция, изменения в экономике, а также внутренних факторов, таких как качество персонала, природа деятельности организации, характеристики функционирования информационной системы. Анализ рисков затрагивает оценку значимости риска, вероятности возникновения риска и рассмотрение вопроса управления риском.

^ Действия по осуществлению контроля включают нормы и процедуры, которые обеспечивают выполнение сотрудниками директив руководства. Действия по осуществлению контроля охватывают пересмотр системы контроля, физические средства контроля, выделение обязанностей и средства контроля информационной системы. Средства контроля информационных систем делятся на общие и прикладные средства контроля. Общие средства контроля – те, что охватывают права доступа, программное обеспечение и развитие системы. Прикладные средства контроля – те, что предотвращают ошибки от внедрения системы или обнаруживают и корректируют ошибки, существующие в системе.

Организация получает подходящую информацию и распространяет внутри нее. ^ Информационная система определяет, вылавливает и дает отчет о финансовой и операционной информации, полезной для контроля деятельности организации. Внутри организации: сотрудники должны получать сообщение о том, что они должны понимать свои роли в системе внутреннего контроля, относиться серьезно к их обязанностям по внутреннему контролю и, если необходимо, докладывать о проблемах вышестоящему руководству. Снаружи организации: частные лица и организации, поставляющие или получающие товары или услуги, должны получать сообщение о том, что организация не допустит ненадлежащих действий.

Менеджмент осуществляет мониторинг системы контроля путем пересмотра результата стандартных действий по контролю и путем проведения специальных оценок. Стандартные действия по контролю включают сравнение физических активов с учетными данными, обучающие семинары и проверки внутренних и внешних аудиторов. Специальные оценки могут быть различного охвата и периодичности. О недостатках, найденных в процессе стандартных действий по контролю, обычно докладывается ответственному контролеру; недостатки, выявленные путем специальных оценок, обычно доводятся до вышестоящих уровней организации.

^ Другие понятия. Доклад COSO обращает внимание на ограничения системы внутреннего контроля, а также на роли и обязанности сторон, влияющих на систему. Ограничения включают ошибочное человеческое суждение, неправильное толкование инструкций, ошибки, злоупотребления менеджеров, тайный сговор, соотношение затрат и результатов.

Доклад COSO определяет недостатки как «условия системы внутреннего контроля, заслуживающие внимания». Отчет о недостатках должен быть предоставлен сотруднику, ответственному за рассмотренный участок, и вышестоящему руководству.

Считается, что система внутреннего контроля эффективна, если все 5 представленных компонентов существуют и эффективно функционируют в отношении операций, финансовой отчетности и выполнения установленных требований (комплайенс).


^ SAS 55 и 78: Аудиторские стандарты

Документы SAS 55 и 78 определяют внутренний контроль, описывают его компоненты и предлагают рекомендации по оценке влияния средств контроля при планировании и проведении аудита финансовой отчетности.

Определение. Документ SAS 78 заменяет определение структуры внутреннего контроля, приведенное ранее в документе SAS 55, определением из доклада COSO, за исключением того, что SAS 78 делает акцент на цели «надежность финансовой отчетности», ставя ее на первое место. То есть SAS 78 определяет внутренний контроль как процесс, осуществляемый советом директоров организации, менеджментом, другим персоналом, предназначенный для обеспечения разумной гарантии достижения целей в следующих категориях:

  • надежность финансовой отчетности;

  • эффективность и целесообразность операций;

  • соблюдение соответствующих законов и правил.

Хотя SAS 78 включает операционные цели и цели соответствия в своем определении внутреннего контроля, в целом SAS 55 и 78 фокусируются на средствах контроля, которые влияют на проверку надежности финансовой отчетности организации.

Компоненты. Документ SAS 78 заменяет 3 элемента структуры внутреннего контроля документа SAS 55 (контрольная среда, система учета, процедуры контроля) 5 компонентами системы внутреннего контроля, представленными в COSO (контрольная среда, оценка риска, действия по осуществлению контроля, информация и коммуникации, мониторинг).

Влияние. SAS 55 и 78 требуют от внешнего аудитора исполнения процедур для достижения достаточного понимания каждого их 5 компонентов при планировании аудита. Т.е. внешний аудитор должен понимать и замысел норм и процедур организации, и реализован ли этот замысел. Так как внешние аудиторы выносят суждение по финансовой отчетности, покрывающей период времени, то они заинтересованы в средствах контроля, влияющих на учет и обработку финансовой информации во всем периоде. Внешние аудиторы должны предоставлять отчет аудиторскому комитету о любых значительных недостатках внутреннего контроля, которые бы могли повлиять на финансовую отчетность9. По своему усмотрению внешние аудиторы могут также распространять в организации другие вопросы по контролю, например, возможности усовершенствования системы учета дебиторской задолженности.


^ Сравнение документов COBIT, SAC, COSO и SAS 55/78

Документы COBIT, SAC, COSO и SAS 55/78 дают определение внутреннему контролю, описывают его компоненты и предусматривают инструменты оценки. SAC, COSO и SAS 55/78 также предлагают варианты отчетности о проблемах внутреннего контроля. COBIT дополнительно предлагает всесторонний анализ реализации модели и обсуждение вопросов внутреннего контроля. В этой части статьи сравнивается вклад отдельных документов в каждую из областей.

Определения


Хотя все 5 определений контроля содержат, по существу, одни и те же понятия, имеются некоторые различия. COBIT рассматривает внутренний контроль как процесс, который включает нормы, процедуры, приемы и организационные структуры, поддерживающие бизнес - процессы и цели. SAC делает акцент на том, что внутренний контроль – это система, то есть внутренний контроль – это совокупность функций, подсистем и людей и их взаимоотношений. COSO выделяет внутренний контроль как процесс, т.е. внутренний контроль должен быть составной частью текущей бизнес - деятельности. Документы SAS 55/78, хотя и используют определение документа COSO, но делают акцент на надежности цели финансовой отчетности.

^ Люди – это часть системы внутреннего контроля. COBIT классифицирует людей (определенных как навыки сотрудников, осведомленность и продуктивность в планировании, организации, получении, поставке, поддержке и мониторинге информационных систем и услуг) как один из основных ресурсов, управляемый различными процессами информационной технологии. Участие людей становится более очевидным, когда возрастает количество документов. SAC явно определяет людей как составную часть системы внутреннего контроля. COSO и SAS 55/78 отмечают, что люди, вовлеченные во внутренний контроль, - это члены совета директоров, менеджмент и другой персонал. Документы согласованно определяют, что менеджмент – это сторона, ответственная за создание, обеспечение и мониторинга системы внутреннего контроля.

Все 4 документа делают ударение на концепции разумной уверенности (assurance), так как это связано с внутренним контролем. Внутренний контроль не гарантирует, что организация добьется своих целей или даже останется в бизнесе. Скорее, внутренний контроль организован, чтобы обеспечить менеджмент разумной уверенностью относительно достижения целей. Документы также признают, что существуют свойственные внутреннему контролю ограничения, и из-за соображений о соотношении затраты/результаты не все возможные средства контроля будут внедрены. Врожденные ограничения могут послужить причиной тому, что средства внутреннего контроля будут менее эффективными, чем планировалось.

При определении понятия «внутренний контроль» в документах предполагается, что организация установила цели для своих операций. COBIT допускает, что эти цели поддерживаются бизнес – процессами. Эти процессы, в свою очередь, поддерживаются информацией, предоставленной посредством использования ресурсов информационной технологии. Бизнес – требования для этой информации удовлетворяются через адекватные контрольные меры. В докладе SAC утверждается, что достижение целей организации должно быть осуществлено эффективно, и подчеркивается, что цели должны быть переведены в измеряемые задачи. СOSO классифицирует цели на операционные, цели финансовой отчетности и комплайенс-цели. В то время, как в докладах SAC и COSO рассматриваются цели во всех 3 категориях, документы SAS 55/78 концентрируют свое внимание преимущественно на целях финансовой отчетности.

Компоненты


Доклад SAC описывает 3 компонента системы внутреннего контроля. Доклад COSO рассматривает 5 компонентов. В документе SAS 78 модернизируются положения SAS 55, чтобы использовать 5 компонентов отчета COSO. В COBIT объединяются 5 компонентов, представленных в докладе COSO, рассматриваются их особенности в высокотехнологичной контрольной среде. Модель COBIT заполняет пробелы между более широкими моделями бизнес – контроля, такими как COSO, и техническими моделями контроля информационных систем, доступных по всему миру. Хотя может показаться, что документы различаются в их подходах к средствам контроля, дальнейшее исследование выявляет много схожих элементов.

^ Контрольная среда. Документы COBIT, SAC, COSO и SAS 78, - все включают в себя контрольную среду как компонент и рассматривают, по существу, одни и те же понятия. Факторы, влияющие на контрольную среду, включают честность и этические ценности менеджмента, компетенцию персонала, философию менеджмента и стиль руководства, то, как распределены полномочия и обязанности, а также указания, даваемые советом директоров. COBIT включает проявления контрольной среды во все подходящие цели контроля. Этот документ разделяет процессы на категории: планирование и организация, закупки и внедрение, доставка и поддержка, мониторинг. Документ обращается к контрольной среде, где это только возможно. Документ SAC делит контрольную среду на меньшее количество категорий, он в основном ориентирован на информационные системы и включает намерения в состав контрольной среды, в то время как в других 3 документах намерения рассматриваются как часть другого компонента. В большинстве областей концепции внутреннего контроля развиваются от SAS 55 (1988) к SAC (1991, 1994), COSO (1992), SAS 78 (1995), COBIT (1996). COSO и SAS 55/78 используют большое количество категорий концепции среды и поэтому четко определяют контрольную среду. Возросшее значение доклада COSO в отношении компетенции, честности и этики персонала организации отразилось в дополнениях к документу SAS 55, изложенных в SAS 78.

^ Информационные и коммуникационные системы. COBIT, SAC, COSO и SAS 55/78 различаются подходом и глубиной отношения к информационным системам. Главный фокус документа COBIT – создание системы связи безопасности и контроля в информационной технологии. Документ определяет четкую связь между средствами контроля информационных систем и бизнес – целями. Дополнительно предусматриваются общепризнанные цели контроля для каждого процесса информационной технологии, что дает практические рекомендации по контролю для всех заинтересованных сторон. COBIT также предоставляет средство для осуществления взаимодействия между менеджментом, пользователями и аудиторов относительно средств контроля информационных систем.

Доклад SAC сфокусирован на автоматических информационных системах. Документ рассматривает взаимоотношения между внутренним контролем и системным программным обеспечением, прикладными системами, а также системами конечного пользователя и ведомственными системами. Системное программное обеспечение включает операционную систему, телекоммуникации, управленческую информацию и другие сервисные программы, требующиеся прикладным системам. Прикладные системы включают бизнес – системы организации, финансовые и операционные (например, по управлению трудовыми ресурсами, дебиторской задолженностью и производственным графиком, соответственно) системы. Системы конечного пользователя и ведомственные системы обслуживают нужды конкретных групп пользователей. Большая часть доклада SAC предоставляет руководство по внутреннему контролю, необходимое в каждой из этих областей.

Документ COSO рассматривает и информацию, и коммуникации. В отношении информации COSO пересматривает потребности фиксировать подходящую внутреннюю и внешнюю информацию, потенциал стратегических и интегрированных систем, а также требования к качеству данных. Описание коммуникаций фокусируется на передаче информации по вопросам внутреннего контроля, а также сборе конкурентной, экономической и законодательной информации. Документ SAS 55, измененный документом SAS 78, более короткий, чем другие документы; в нем тезисно излагаются цели системы учета и резюмируются материалы COSO.

^ Действия по осуществлению контроля. Документы COBIT и SAC рассматривают процедуры контроля, имеющие отношение к автоматическим информационным системам организации; в COSO и SAS 55/78 обсуждаются процедуры контроля и действия по осуществлению контроля, используемые во всей организации. В COBIT классифицируются средства контроля по 32 процессам, естественно объединенным в 4 зоны, применимые к любой среде обработки информации. В SAS используются 5 различных классификационных схем для процедур контроля информационных систем. В COSO и SAS 55/78 используется только 1 классификационная схема для процедур контроля информационных систем. При описании действий по осуществлению контроля в документе COSO делается акцент на то, кто реализует действия и операционные цели (в большей степени, чем цели финансовой отчетности). COSO также придает особое значение желательности объединения действий по осуществлению контроля и оценки риска. Документ SAS 78 заменяет список процедур контроля документа SAS 55 укороченным списком действий по осуществлению контроля из документа COSO. В отличие от COSO, документ SAS 55/78 содержит небольшое описание этих действий.

^ Оценка риска. Документы COSO и SAS 78 определяют оценку риска как важный компонент внутреннего контроля. COBIT дает определение оценки рисков как процесса в окружении информационной технологии. Конкретный процесс принадлежит к зоне планирования и организации и имеет 6 специальных целей контроля, связанных с ним. Хотя оценка риска не является явным компонентом системы SAC внутреннего контроля, документ содержит всестороннее рассмотрение риска. SAS 55/78 делит риск на неотъемлемый риск, риск контроля и риск обнаружения. Внешние аудиторы изучают, тестируют и оценивают средства контроля относительно риска существенных неправильных записей в финансовой отчетности, то есть риска недостижения целей финансовой отчетности. Так как внешние аудиторы не могут напрямую изменить средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля.

В COBIT углубленно рассматриваются несколько компонентов оценки риска в среде информационных технологий. Эти компоненты включают в себя оценку бизнес – риска, подход к оценке риска, определение риска, измерение риска, план действий по реагированию на риск и принятие риска. Документ имеет дело непосредственно с информационно-технологическими типами риска, такими как технологический, нарушения безопасности, утраты бесперебойности и риски нарушения требований надзорных органов. Дополнительно, документ обращается к риску с обеих сторон – глобальной и системно-специфической.

Концепции риска, представленные в документах SAC и COSO, похожи. В дополнение к риску недостижения целей финансовой отчетности, SAC и COSO обращаются к рискам несоблюдения комплайенс-требований и, особенно, недостижения операционных целей. COSO рассматривает определение внешних и внутренних рисков всех организации и отдельных видов деятельности. COSO также рассматривает управленческий анализ риска: оценку значимости риска, вероятности возникновения, методы управления риском. SAC предусматривает детализированный анализ рисков информационных систем и исследует, как эти риски могут быть уменьшены. SAC и COSO делают акцент на соотношении затраты/результаты, на необходимости устанавливать взаимосвязь между целями организации и средствами контроля, на текущей природе определения и оценке риска, способности менеджмента настраивать систему внутреннего контроля организации.

SAS 55/78 уделяет немного внимания операционному риску и риску комплайенс. Внешние аудиторы изчают, тестируют и оценивают средства контроля относительно риска существенных неправильных записей в финансовой отчетности, то есть риска недостижения целей финансовой отчетности. SAS 55/78 делит риск на неотъемлемый риск, риск обнаружения и риск контроля. Так как внешние аудиторы не могут напрямую изменить средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля.

Мониторинг. В отличие от документов COBIT, COSO и SAS 55/78, документ SAC явно не включает в себя мониторинг как компонент системы внутреннего контроля. Все документы определяют менеджмент ответственным за обеспечение должного функционирования средств контроля. COBIT видит ответственность менеджмента в мониторинге всех процессов информационной технологии и обязанности добиться работоспособности средств контроля независимо. Документ классифицирует мониторинг как зону – в соответствии с циклом менеджмента. SAC идентифицирует обязанности внутренних аудиторов выбирать области информационной технологии, где независимая оценка может принести большие преимущества, и тестировать средства контроля для доказательства комплайенса и эффективности в текущем режиме. Так как средства внутреннего контроля предназначены для функционирования по прошествии длительного времени, то COSO определяет обязанности менеджмента наблюдать за всей системой внутреннего контроля по всем текущим видам деятельности, встроенным в систему контроля, и по всем специальным оценкам, направленным на специальные виды деятельности и области.

В то время как в SAC и COSO разделяется одинаковая (внутренняя) точка зрения, доклад COSO рассматривает действия по мониторингу в широком смысле, а SAC рассматривает специфические действия по мониторингу, которые должны быть предприняты посредством или в рамках автоматических информационных систем организации. COBIT в подобном ключе, но глубже определяет специфические требования мониторинга и обязанности в рамках функции информационной технологии. Документ SAS 55, с изменениями в документе SAS 78, представляет сокращенную версию материала COSO, акцентирующего внимание на цели финансовой отчетности. Часть текущего мониторинга, осуществляемого внешним аудитором, осуществляется с предположением о том, что аудиторы используют знания, полученные из предыдущих проверок всех организации.
^

Отчет о проблемах внутреннего контроля


Будучи системным документом, COBIT предусматривает определения средств контроля и целей контроля для специфических процессов информационной технологии. Аналогично документу COSO, предполагается, что отчеты документа COBIT о проблемах внутреннего контроля доступны из различных источников для ответственного хозяина бизнес – процесса. Они могут варьироваться от самооценки контроля до обзоров внутренних аудиторов – все выполнено с использованием схемы COBIT.

SAC определяет обязанность внутренних аудиторов в оценке того, существуют ли подходящие средства контроля и функционируют ли они так, как задумывалось. Внутренние аудиторы предоставляют результаты их аудиторских проверок финансовых, операционных и информационных систем менеджменту и аудиторскому комитету. Они должны четко разделять затраты и результаты предложенных изменений от исправленных недостатков в системе средств внутреннего контроля.

В докладе COSO рассматривается, как менеджмент собирает и распространяет информацию о недостатках внутреннего контроля. Менеджмент может узнать о недостатках через отчеты, сгенерированные самой системой внутреннего контроля, через расчеты, произведенные менеджментом или внутренними аудиторами, или посредством обмена информацией через внешние стороны, такие как клиенты, органы надзора или внешние аудиторы. Менеджменту нужна информация относительно любого недостатка, который может повлиять на способность организации достичь операционные цели, цели финансовой отчетности и цели комплайенс. COSO рекомендует сотрудникам организации давать отчет о недостатках непосредственным контролерам и руководству, стоящему хотя бы на позицию выше сотрудника, напрямую ответственного за этот участок. Отдельные каналы коммуникации должны существовать для предоставления отчетов о чувствительной информации.

Документы SAS 55 и 78 фокусируются на взаимосвязи между средствами внутреннего контроля и планированием аудита финансовой отчетности. Документ SAS 60, «Обсуждение вопросов о системе внутреннего контроля, выявленных в ходе аудита» (с внесенными изменениями в Приложении С к документу SAS 78), предоставляет рекомендации внешним аудиторам относительно предоставления отчетности о проблемах внутреннего контроля, обнаруженных в течение аудита финансовой отчетности. SAS 60 требует от аудиторов предоставлять отчет аудиторскому комитету о существенных недостатках, которые могут повлиять на финансовую отчетность организации. Аудиторы могут предоставлять отчеты менеджменту о других проблемах или возможностях совершенствования.
^

Период времени в сравнении с моментом времени


Документ COBIT – модельная схема. Документ поддерживает проведение оценок и на момент времени, и за период времени в зависимости от предпочтения оценивающего лица.

Хотя в SAC явно не утверждается, должна ли внутренняя эффективность рассчитываться на момент времени или за период времени, нам представляется, что этот документ больше поддерживает расчеты за период времени. Например, SAC говорит об обеспечении надежности финансовых и операционных данных, описывает использование встроенных аудиторских модулей, чтобы постоянно отслеживать и анализировать транзакции и рекомендовать изменение средств контроля для обеспечения стабильности прикладного и системного программного обеспечения.

Хотя в COSO делается акцент на том, что внутренний контроль это процесс, документ говорит, что эффективность внутреннего контроля – это состояние или условие процесса на момент времени. Если недостатки внутреннего контроля исправлены на отчетную дату, то документ COSO разрешает составление управленческих отчетов для внешних сторон, в которых внутренний контроль описывается как эффективный.

Документы SAS 55 и 78 определяют, что внешние аудиторы должны оценивать постоянство, с которым средства контроля функционировали в течение аудируемого периода. Стандарты предупреждают аудиторов дополнить тесты о средствах контроля, подходящие только на момент времени, процедурами, обеспечивающими подтверждением эффективности всего аудируемого периода.

Инструменты


Документ COBIT предусматривает четкое руководство для всех 32 процессов, которые он определяет. Это руководство принимает форму более 250 целей контроля. Далее документ обеспечивает средствами навигации, которые все пользователи, в зависимости от их конкретной перспективы, внедряют для организации и категоризации целей контроля в соответствии с ИТ процессами, информационными критериями или ИТ взглядами с точки зрения ресурсов на средства контроля.

Документ SAC предусматривает детальное руководство по средствам контроля, необходимым в развитии, внедрении и действии автоматических информационных систем почти во всех 12 модулях. В частности, многие модули содержат секторы по рискам и средствам контроля, связанные с темами, рассмотренными в этом модуле.

Доклад COSO обеспечивает читателя инструментами, которые могут быть использованы для оценки системы внутреннего контроля. Целый том посвящен предполагаемым формам, используемым в проверке средств контроля и для составления выборки из заполненных форм.

В то время как документы SAS 55/78 сами не представляют форм или инструментов для оценки контроля, совокупность документов «Пособие по аудиту», «Рассмотрение структур внутреннего контроля при аудите финансовой отчетности» представляют такие формы. «Пособие по аудиту» предоставляет исчерпывающие примеры документирования изучения внутреннего контроля и оценки риска контроля для 3 компаний различных размеров и с разными характеристиками. В дополнение, главная часть «Пособия по аудиту» детально описывает оценку внутреннего контроля и связанную документацию.


Заключение


Внутреннее и внешнее давление мотивирует бухгалтерских работников и менеджмент к продолжению развития и повышения качества концепций внутреннего контроля. Наша статья резюмирует и сравнивает важные документы, являющиеся результатом таких усилий: COBIT, SAC, COSO, SAS 55 и 78.

Документ COBIT – это общепризнанный набор целей контроля, организованных в процессы и зоны, и связанных с бизнес - требованиями к информации. SAC предлагает детальное руководство о влиянии различных аспектов информационной технологии на систему средств внутреннего контроля. COSO представляет общее определение внутреннего контроля и делает акцент на том, что средства внутреннего контроля помогают организациям достичь эффективных и результативных операций, надежной финансовой отчетности и соответствия с применимыми законами и правилами. Документ обеспечивает руководством по оценке систем контроля, по предоставлению внешней отчетности о внутреннем контроле, по проведению оценок систем контроля. Документ SAS 55, измененный документом SAS 78, адаптирует 5 компонентов внутреннего контроля документа COSO, описывает влияние внутреннего контроля организации на планирование и проведение аудита финансовой отчетности, обращается к взаимосвязи между средствами внутреннего контроля и риском контроля.

Документы COBIT, SAC, COSO, SAS 55 и 78 содержат много общих концепций внутреннего контроля; действительно, более поздние документы построены на концепциях, разработанных в более ранних документах. Документы различаются целевой группой, к которой обращаются, целью документа, степенью детализации предоставленного руководства. Хотя другие стороны будут считать каждый из документов полезным, COBIT направлен на 3 отдельные целевые группы: руководство, пользователи и аудиторы информационных систем; SAC в основном рассчитан на внутренних аудиторов; COSO – на менеджеров и совет директоров; а SAS 55 и 78 – на внешних аудиторов.

Документ COBIT сфокусирован исключительно на средствах контроля информационной технологии в поддержку бизнес – целей. SAC делает акцент на информационной технологии, COSO представляет широкий взгляд с уровня организации, а SAS 55 и 78 фокусируются на аудите финансовой отчетности. SAC и COSO – самодостаточные документы. SAS 55 и 78 являются частью свода стандартов. 4 документа дополняют и поддерживают друг друга. SAC, COSO и SAS 55/78 полезны для основных целевых групп других документов, для юристов, акционеров и других лиц, заинтересованных в понимании и совершенствовании внутреннего контроля.



1 См. интернет сайт российского филиала Ассоциации - www.isaca.ru. Здесь и далее примечания переводчиков.

2 В 2004 г. COSO выпустил более общий документ «Управление рисками организации. Интегрированный подход» (COSO ERM). Документ 1992 г. является составной частью документа 2004 г., и может одновременно использоваться как самостоятельный документ. http://www.bankir.ru/analytics/svk/216/47680

3 «Внутренний контроль: развитие и риски». Winters, Guy. Симпозиум по проблемам аудита, Университет Канзаса, Делойтт, 1992 г.

4 По состоянию на 1992 г.

5 Information Technology Infrastructure Library – методология (дословно – библиотека) инфраструктуры информационной технологии, точнее - сервисного управления информационными технологиями (Information Technology Service Management - ITSM)

6 В оригинале использован термин «departmental systems», который можно также перевести как «ведомственные системы», что методологически роднит его с термином «внутриведомственный контроль», ранее широко использовавшимся в сочетании с другим понятием - «вневедомственный контроль», который можно считать неким аналогом аудита.

7 Названия «предварительный», «текущий», «последующий» в этой классификации средств контроля более привычны для русскоязычного читателя, хотя дословный перевод терминов preventive, detective, corrective дает некоторые дополнительные оттенки: «предупреждающий», «выявляющий», «корректирующий». В целях данного перевода мы, по возможности, используем наиболее распространенную терминологию.

8 В оригинале использован термин compliance- «комплайенс», который в явном виде отсутствует в российском правовом пространстве. Подробнее см. в материале на Банкир.Ру «Некоторые особенности организации комплайенс контроля в российских банках» http://www.bankir.ru/analytics/svk/216/67032

9 Это требование изложено в другом стандарте - SAS 60 (AICPA, 1988 г.)







Скачать 295,19 Kb.
оставить комментарий
Дата08.11.2011
Размер295,19 Kb.
ТипДоклад, Образовательные материалы
Добавить документ в свой блог или на сайт

отлично
  1
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх