Сравнение концепций внутреннего контроля
Изучение доклада «Сравнение концепций внутреннего контроля» разрешает комплексно проанализировать различия и сходства подходов к стандартизации процесса внутреннего контроля. // Материал подготовлен Денежной секцией Университета внутренних аудиторов.
Изучение доклада «Сравнение концепций внутреннего контроля», размещённого в «IS Audit and Control Journal», № IV, стр. 26-35, 1996 г. (Janet направляться. Colbert, Ph.D., CPA, CIA, и Paul L. Bowen, Ph.D., CPA. «Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78»), разрешает комплексно проанализировать различия и сходства подходов к стандартизации процесса внутреннего контроля. При переводе доклада на русский язык нужно обратить внимание на особенности применения терминологии, исходя из этого отдельные тезисы доклада дополнены комментариями переводчиков.
Сравнение концепций внутреннего контроля: COBIT, SAC, COSO и SAS 55/78
Сейчас повышенное внимание внутреннему контролю уделяется со стороны аудиторов, менеджеров, бухгалтеров, юристов. В следствии длящейся работы сравнительно не так давно было выпущено пара документов, воображающих собой попытки выяснить, оценить, обрисовать и усовершенствовать внутренний контроль:
- Стандарт «Цели контроля при применении IT» (COBIT), созданный Ассоциацией контроля и аудита информационных совокупностей ISACA[1] (the Information Systems Audit and Control Foundation’s Control Objectives for Information and related Technology),
- Доклад «аудит и Контроль совокупностей» (SAC), подготовленный Исследовательским фондом Университета внутренних аудиторов (the Institute of Internal Auditors Research Foundation’s Systems Auditability and Control),
- Доклад «Внутренний контроль: интегрированный подход» (COSO), подготовленный Комитетом спонсорских организаций Рабочей группы Тридуэя (the Committee of Sponsoring Organizations of the Treadway Commission’s Internal control – Integrated Framework),
- Указание о рассмотрении структуры внутреннего контроля при аудите денежной отчетности (SAS 55), утвержденное Американским Университетом дипломированных бухгалтеров (the American Institute of Certified Public Accountants’ Consideration of the Internal Control Structure in a Financial Statement Audit), с внесенными позднее трансформациями (SAS 78).
Документ COBIT (1996 г.) – это системный подход, снабжающий обладателей бизнес — процессов инструментом для полного и действенного выполнения его обязанностей по контролю за безопасностью информационных совокупностей.
Документ SAC (1991 г., с трансформациями, внесенными в 1994 г.) предлагает помощь внутренним аудиторам в вопросах аудита и контроля информационных технологии и систем.
Документ COSO (1992 г.) дает советы менеджменту по вопросам оценки, совершенствования и описания совокупностей контроля[2].
Документы SAS 55 (1988 г.) и SAS 78 (1995 г.) дают управления внешним аудиторам относительно влияния внутреннего контроля на проведение и планирование аудита денежной отчетности организации.
Так как документы разрабатывали разные органы лишь для различных целевых групп, то вероятны кое-какие несоответствия между документами. Но любой документ фокусируется на внутреннем контроле и конкретной целевой группе (к примеру, на внутренних аудиторах, менеджменте, внешних аудиторах), уделяет громадное внимание оценке и созданию средств внутреннего контроля. Т.о., сравнение концепций внутреннего контроля, выраженных в этих документах, воображает интерес для всех трех целевых групп.
Сравнение пяти документов говорит о том, что любой из них применяет идеи прошлых документов. COBIT включает материалы источников COSO и SAC. Определение контроля по COBIT берется из COSO, а определение целей ИТ контроля – из SAC. SAC включает концепции внутреннего контроля, созданные в SAS 55, COSO применяет концепции внутреннего контроля из обоих документов SAS 55 и SAC, а SAS 78 вносит трансформации в SAS 55, отражая вклад COSO в концепцию внутреннего контроля.
В частности, SAS 78 учитывает требование о согласованности концепций внутреннего контроля[3], представленных в отчете COSO и SAS 55.
В данном отчете резюмируется 4 документа (SAS 55/ 78 объединены в один) и сравниваются концепции внутреннего контроля, представленные в каждом из них.
Краткое сравнение концепций контроля
|
| COBIT | SAC | COSO | SASs 55/ 78 |
| Главная целевая несколько | Менеджмент, пользователи, аудиторы информационных совокупностей | Внутренние аудиторы | Менеджмент | Внешние аудиторы |
| Внутренний контроль представляется как | Совокупность процессов, включая нормы, процедуры, организационные структуры и приёмы | Совокупность процессов, людей и подсистем | Процесс | Процесс |
| Организационные цели внутреннего контроля |
|
|
|
|
| Компоненты либо территории | Территории:
| Компоненты:
| Компоненты:
| Компоненты:
|
| Фокус | Информационные разработки | Информационные разработки | Вся организация | Денежная отчетность |
| Оценка эффективности внутреннего контроля | За период времени | За период времени | На момент времени | За период времени |
| Ответственность за совокупность внутреннего контроля | Управление | Управление | Управление | Управление |
| Размер текста | 187 страниц в 4 документах | 1193 страницы в 12 модулях | 353 страницы в 4 томах | 63 страницы в 2 документах |
Ассоциация ISACА создала документ «Цели контроля при применении IT» (COBIT), дабы он являлся основой для контроля и общеприменимых правил надёжности информационных совокупностей в целях контроля информационной разработке. Структура COBIT разрешает менеджменту сравнивать с лучшими примерами собственную практику контроля и обеспечения надёжности ИТ окружения, разрешает пользователям ИТ одолжений верить всуществовании контроля и адекватного уровня надёжности, и разрешает аудиторам обосновывать суждения о внутреннем контроле и консультировать на предмет контроля и надёжности ИТ совокупностей. Главным мотивом для таковой структуры было рвение выработать четкую политику и распространить хорошую практику ИТ контроля в мире.
Полный набор документов COBIT в настоящее время[4] включает Краткое содержание (Executive Summary), Структуру (Framework) ИТ контроля, перечень Целей Контроля (Control Objectives), и свод Аудиторских правил (Audit Guidelines). (Цели Контроля и Аудиторские Правила ссылаются на Структуру.)
Следующие этапы проекта разработки COBIT предусматривают разработку пособия для самооценки менеджментом и определение новых либо обновленных целей контроля при помощи объединения с другими установленными стандартами глобального контроля. Помимо этого, будут дополнены пособия по организации контроля и выяснены главные индикаторы производительности.
Определение. Документ COBIT обновил определение контроля из документа COSO: Нормы, процедуры, организационные структуры и приёмы, созданные для обеспечения разумной гарантии в том, что бизнес — цели будут достигнуты, а нежелательные ситуация будет предотвращены либо найдены и исправлены.
Документ COBIT адаптирует определение цели ИТ контроля, забранное из документа SAC: заявление желаемого результата либо цели, которую необходимо достигнуть при помощи внедрения процедур контроля в конкретной ИТ деятельности.
Документ COBIT подчеркивает влияние и роль ИТ контроля, поскольку это имеет отношение к бизнес – процессам, и очерчивает область применения свободных целей ИТ контроля.
ИТ ресурсы. COBIT классифицирует ИТ ресурсы на: «эти», «прикладные совокупности», «разработка», «технические средства» (facilities) и «люди». Эти определяются в их самом широком понимании и включают не только цифры, даты и текст, но и другие объекты, такие как звуки и графические данные.
Под прикладными совокупностями понимается совокупность ручных и автоматических процедур.
Разработка включает аппаратные средства (hardware), операционные совокупности, сетевое оборудование и т.п. Технические средства – это ресурсы, применяемые для поддержки и размещения информационных совокупностей. Ресурс «люди» подразумевает под собой способности и индивидуальные навыки планировать, организовывать, покупать, доставлять, поддерживать, и осуществлять контроль услуги и информационные системы.
Требования. Дабы соответствовать бизнес — целям, информация обязана отвечать определенным параметрам, каковые документ COBIT задает как бизнес — требования к информации. COBIT объединяет правила из уже существующих моделей в 3 широкие категории: уровень качества, ответственность доверенного лица и безопасность.
Из этих широких требований выбираются 7 пересекающихся категорий параметров для оценки того, в какой степени ИТ ресурсы отвечают бизнес — требованиям к информации. К таким параметрам относятся: эффективность, целесообразность, конфиденциальность, целостность, доступность, надёжность и законность информации.
зоны и Процесс. На базе анализа передового опыта в управлении ИТ, представленного в ранее созданной Базе знаний об Инфраструктуре IT (ITIL[5]), COBIT дробит ИТ процессы на 4 территории. К этим территориям относятся (1) организация и планирование, (2) внедрение и приобретение, (3) доставка и мониторинг и (4) поддержка.
Естественная группировка процессов по территориям довольно часто подразумевает территории ответственности в организационной структуре и следует за циклом менеджмента либо жизненным циклом, применимым к ИТ процессам в любом ИТ окружении. На примерах иллюстрируется связь между ИТ ресурсами и 4 ИТ территориями с перечислением 32 личных ИТ процессов в 4 территориях.
COBIT воображает структуру контроля для обладателя бизнес — процесса. Боле того, менеджмент наделен полномочиями и полной ответственностью по бизнес — процессам. COBIT включает определения обоих внутреннего — контроля и терминов, и целей ИТ контроля, 4 территорий процессов, 32 самые важных правил контроля для этих процессов, 271 цели контроля, обращенной к этим 32 процессам, и управления для аудиторов, которые связаны с целями контроля.
Структура. Структура COBIT предусматривает самые важные правила для конкретных ИТ процессов. Схема COBIT определяет бизнес — задачу, достигаемую посредством правила контроля, и ИТ ресурсы, управляемые процессами; формулирует список и возможные средства контроля самые важных целей контроля по конкретному случаю.
Доклад SAC
Доклад SAC дает определение совокупности внутреннего контроля, обрисовывает ее компоненты, предоставляет пара классификаций средств контроля, обрисовывает цели контроля и риски, и определяет роль внутреннего аудитора. В докладе предлагается управление по применению, защите и управлению ресурсов информационной разработке и рассматриваются влияния эффектов применения программ, созданных «конечным компьютерным пользователем» (end-user programming), развивающихся технологий и телекоммуникаций.
Определение. SAC определяет совокупность внутреннего контроля как совокупность процессов, функций, действий, людей и подсистем, объединенных совместно либо сознательно поделённых, предназначенная для обеспечения задач и эффективного достижения целей.
Доклад подчеркивает влияние и роль компьютеризированных информационных совокупностей на совокупность средств внутреннего контроля, делает упор на необходимости оценивать риски, сравнивать затраты и результаты, и на необходимости встраивания средств контроля в совокупности вместо добавления их по окончании внедрения совокупностей.
Компоненты. Совокупность внутреннего контроля складывается из 3 компонентов: контрольная среда, ручные и автоматические совокупности, процедуры контроля. Контрольная среда включает организационную структуру, структуру контроля, процедуры и нормы, и внешние действия.
Автоматические совокупности складываются из совокупностей и прикладного ПО. SAC затрагивает риски контроля, которые связаны с системами и конечным пользователем отдельных подразделений[6], но не обрисовывает и не дает определение ручным совокупностям. Процедуры контроля складываются из неспециализированных, прикладных и компенсирующих средств контроля.
Классификации. SAC воображает 5 классификационных схем для средств внутреннего контроля в информационных совокупностях: (1) предварительные (preventive), текущие (detective) и последующие (corrective)[7], (2) систематические и делаемые по усмотрению, (3) самостоятельно инициированные и предписанные, (4) ручные и автоматические, (5) прикладные и неспециализированные средства контроля. Эти схемы фокусируются на том, в то время, когда средство контроля введено в воздействие, возможно ли его обойти, кто настаивает на необходимости контроля, как контроль реализовывается, и где в программном обеспечении внедрено данное средство контроля.
Цели контроля и риски. Понятие риски включает в себя мошенничество, неточности, прерывание деятельности, непроизводительное и неэффективное применение ресурсов. Цели контроля обобщают эти риски и снабжают информационное единство, соответствие и надёжность установленным требованиям[8].
Информационное единство обеспечивается средствами контроля качества введения, выполнения, вывода, и средствами контроля качества ПО. Меры по обеспечению надежности включают средства контроля надежности данных, средства контроля надёжности программ и физической надёжности. Средства контроля соответствия снабжают соответствие правилам и законам, бухгалтерским и аудиторским стандартам, и процедурам и внутренним нормам.
Роль внутреннего аудитора. Обязанности внутренних аудиторов включают обеспечение адекватности совокупности внутреннего контроля, надежности данных, действенного применения ресурсов организации. Внутренние аудиторы также будут предотвращать и обнаруживать мошенничество и координировать сотрудничество с внешними аудиторами.
Интеграция аудиторских знания и навыков информационной совокупности, и познание влияния информационной разработке на аудиторский процесс нужны для внутренних аудиторов. Такие специалисты на данный момент выполняют денежный, аудит и операционный аудит информационных совокупностей.
Доклад COSO
В докладе COSO дается определение внутреннего контроля, обрисовывает его компоненты и предоставляет критерии оценки контрольных совокупностей. Доклад предлагает управление для составления общедоступных отчетов по внутреннему контролю, и предоставляет материалы, каковые менеджмент, другие стороны и аудиторы смогут применять для оценки совокупности внутреннего контроля. Две главные цели доклада – (1) ввести неспециализированное определение внутреннего контроля, которое устраивало бы различные стороны, (2) предложить стандарт, по которому организации смогут оценить и выяснить пути совершенствования совокупностей контроля.
Определение. Доклад COSO определяет внутренний контроль, как процесс, осуществляемый правлением организации, менеджментом, вторым персоналом, предназначенный для обеспечения разумной гарантии успехи целей в следующих категориях:
§ результативность и эффективность операций;
§ надежность денежной отчетности;
§ соблюдение соответствующих правил и законов.
В докладе подчеркивается, что совокупность внутреннего контроля – это инструмент, а не заменитель управления, и что средства контроля должны быть встроены в операционную деятельность (а не выстроены на ее базе). Не смотря на то, что в докладе внутренний контроль определяется как процесс, рекомендуется проводить оценку эффективности внутреннего контроля на определенный момент времени.
Компоненты. Совокупность внутреннего контроля складывается из 5 взаимосвязанных компонентов: (1) контрольная среда; (2) оценка риска; (3) действия по осуществлению контроля; (4) коммуникации и информация; (5) мониторинг. Контрольная среда снабжает базу для других компонентов.
Данный компонент затрагивает такие факторы, как стиль руководства и философия менеджмента, правила и приемы работы с трудовыми ресурсами, духовные и честность качества сотрудников, организационная структура, и руководящая роль и внимательность правления. Доклад COSO включает управление к оценке каждого из этих факторов. К примеру, стиль руководства и философия менеджмента смогут быть оценены методом рассмотрения природы управления бизнес — рисками, включая частоту общения с подчиненными и отношение к денежной отчетности.
Оценка риска подразделяется на идентификацию анализ и риска рисков. Идентификация риска включает рассмотрение внешних факторов, таких как технологический рост, борьба, трансформации в экономике, и внутренних факторов, таких как уровень качества персонала, природа деятельности организации, характеристики функционирования информационной совокупности. Анализ рисков затрагивает оценку значимости риска, возможности происхождения рассмотрение и риска вопроса управления риском.
Действия по осуществлению контроля включают процедуры и нормы, каковые снабжают исполнение сотрудниками директив управления. Действия по осуществлению контроля охватывают пересмотр совокупности контроля, физические средства контроля, средства контроля и выделение обязанностей информационной совокупности. Средства контроля информационных совокупностей делятся на неспециализированные и прикладные средства контроля.
Неспециализированные средства контроля – те, что охватывают права доступа, развитие системы и программное обеспечение. Прикладные средства контроля – те, что предотвращают неточности от внедрения совокупности либо выявляют и корректируют неточности, существующие в совокупности.
Организация приобретает подходящую данные и распространяет в нее. Информационная совокупность определяет, вылавливает и дает отчет о денежной и операционной информации, нужной для контроля деятельности организации. В организации: сотрудники должны приобретать сообщение о том, что они должны понимать свои роли в совокупности внутреннего контроля, относиться без шуток к их обязанностям по внутреннему контролю и, в случае если нужно, докладывать о проблемах вышестоящему управлению.
Снаружи организации: организации и частные лица, поставляющие либо приобретающие товары либо услуги, должны приобретать сообщение о том, что организация не допустит ненадлежащих действий.
Менеджмент осуществляет мониторинг совокупности контроля методом пересмотра результата стандартных действий по контролю и методом проведения особых оценок. Стандартные действия по контролю включают сравнение физических активов с учетными данными, обучающие проверки и семинары внутренних и внешних аудиторов. Особые оценки смогут быть периодичности и различного охвата.
О недочётах, отысканных в ходе стандартных действий по контролю, в большинстве случаев докладывается важному контролеру; недочёты, распознанные методом особых оценок, в большинстве случаев доводятся до вышестоящих уровней организации.
Другие понятия. Доклад COSO обращает внимание на ограничения совокупности внутреннего контроля, и на обязанности и роли сторон, воздействующих на совокупность. Ограничения включают ошибочное человеческое суждение, неправильное толкование руководств, неточности, злоупотребления менеджеров, тайный сговор, соотношение результатов и затрат.
Доклад COSO определяет недочёты как «условия совокупности внутреннего контроля, заслуживающие внимания». Отчет о недочётах должен быть предоставлен сотруднику, важному за рассмотренный участок, и вышестоящему управлению.
Считается, что совокупность внутреннего контроля действенна, в случае если все 5 представленных компонентов существуют и действенно функционируют в отношении операций, выполнения и финансовой отчётности установленных требований (комплайенс).
SAS 55 и 78: Аудиторские стандарты
Документы SAS 55 и 78 определяют внутренний контроль, обрисовывают его компоненты и предлагают советы по оценке влияния средств контроля при проведении и планировании аудита денежной отчетности.
Определение. Документ SAS 78 заменяет определение структуры внутреннего контроля, приведенное ранее в документе SAS 55, определением из доклада COSO, за исключением того, что SAS 78 делает упор на цели «надежность денежной отчетности», ставя ее на первое место. Другими словами SAS 78 определяет внутренний контроль как процесс, осуществляемый правлением организации, менеджментом, вторым персоналом, предназначенный для обеспечения разумной гарантии успехи целей в следующих категориях:
§ надежность денежной отчетности;
§ целесообразность и эффективность операций;
§ соблюдение соответствующих правил и законов.
Не смотря на то, что SAS 78 включает цели соответствия и операционные цели в собственном определении внутреннего контроля, в целом SAS 55 и 78 фокусируются на средствах контроля, каковые воздействуют на диагностику надежности денежной отчетности организации.
Компоненты. Документ SAS 78 заменяет 3 элемента структуры внутреннего контроля документа SAS 55 (контрольная среда, совокупность учета, процедуры контроля) 5 компонентами совокупности внутреннего контроля, представленными в COSO (контрольная среда, оценка риска, действия по осуществлению контроля, коммуникации и информация, мониторинг).
Влияние. SAS 55 и 78 требуют от внешнего аудитора выполнения процедур с целью достижения достаточного понимания каждого их 5 компонентов при планировании аудита. Т.е. внешний аудитор обязан осознавать и план процедур и норм организации, и реализован ли данный план.
Так как внешние аудиторы выносят суждение по денежной отчетности, покрывающей период времени, то они заинтересованы в средствах контроля, воздействующих на обработку и учёт денежной информации во всем периоде. Внешние аудиторы должны предоставлять отчет аудиторскому комитету о любых огромный недочёт внутреннего контроля, каковые бы имели возможность оказать влияние на денежную отчетность[9]. По собственному усмотрению внешние аудиторы смогут кроме этого распространять в организации другие вопросы по контролю, к примеру, возможности усовершенствования совокупности учета дебиторской задолженности.
Сравнение документов COBIT, SAC, COSO и SAS 55/78
Документы COBIT, SAC, COSO и SAS 55/78 дают определение внутреннему контролю, обрисовывают его компоненты и предусматривают инструменты оценки. SAC, COSO и SAS 55/78 кроме этого предлагают варианты отчетности о проблемах внутреннего контроля. COBIT дополнительно предлагает обсуждение вопросов реализации и всесторонний анализ модели внутреннего контроля.
В данной части статьи сравнивается вклад отдельных документов в каждую из областей.
Не смотря на то, что все 5 определений контроля содержат, по существу, одинаковые понятия, имеются кое-какие различия. COBIT разглядывает внутренний контроль как процесс, что включает нормы, процедуры, организационные структуры и приёмы, поддерживающие бизнес — цели и процессы. SAC делает упор на том, что внутренний контроль – это совокупность, другими словами внутренний контроль – это совокупность функций, подсистем и их взаимоотношений и людей.
COSO выделяет внутренний контроль как процесс, т.е. внутренний контроль должен быть составной частью текущей бизнес — деятельности. Документы SAS 55/78, не смотря на то, что и применяют определение документа COSO, но делают упор на надежности цели денежной отчетности.
Люди – это часть совокупности внутреннего контроля. COBIT классифицирует людей (определенных как навыки сотрудников, продуктивность и осведомлённость в планировании, организации, получении, поставке, помощи и мониторинге информационных услуг и систем) как один из главных ресурсов, управляемый разными процессами информационной разработке. Участие людей делается более очевидным, в то время, когда возрастает количество документов.
SAC очевидно определяет людей как составную часть совокупности внутреннего контроля. COSO и SAS 55/78 отмечают, что люди, вовлеченные во внутренний контроль, — это члены правления, другой персонал и менеджмент. Документы согласованно определяют, что менеджмент – это сторона, важная за создание, обеспечение и мониторинга совокупности внутреннего контроля.
Все 4 документа делают ударение на концепции разумной уверенности (assurance), так как это связано с внутренним контролем. Внутренний контроль не гарантирует, что организация добьется собственных целей либо кроме того останется в бизнесе. Скорее, внутренний контроль организован, дабы обеспечить менеджмент разумной уверенностью относительно достижения целей.
Документы кроме этого признают, что существуют характерные внутреннему контролю ограничения, и из-за мыслей о соотношении затраты/результаты не все вероятные средства контроля будут внедрены. Врожденные ограничения смогут послужить обстоятельством тому, что средства внутреннего контроля будут менее действенными, чем планировалось.
При определении понятия «внутренний контроль» в документах предполагается, что организация установила цели для собственных операций. COBIT допускает, что эти цели поддерживаются бизнес – процессами. Эти процессы, со своей стороны, поддерживаются информацией, предоставленной при помощи применения ресурсов информационной разработке. Бизнес – требования для данной информации удовлетворяются через адекватные контрольные меры.
В докладе SAC утверждается, что достижение целей организации должно быть осуществлено действенно, и подчеркивается, что цели должны быть переведены в измеряемые задачи. СOSO классифицирует цели на операционные, цели денежной отчетности и комплайенс-цели. В то время, как в докладах SAC и COSO рассматриваются цели во всех 3 категориях, документы SAS 55/78 концентрируют внимание в основном на целях денежной отчетности.
Доклад SAC обрисовывает 3 компонента совокупности внутреннего контроля. Доклад COSO разглядывает 5 компонентов. В документе SAS 78 модернизируются положения SAS 55, дабы применять 5 компонентов отчета COSO.
В COBIT объединяются 5 компонентов, представленных в докладе COSO, рассматриваются их особенности в высокотехнологичной контрольной среде. Модель COBIT заполняет пробелы между более широкими моделями бизнес – контроля, такими как COSO, и техническими моделями контроля информационных совокупностей, дешёвых в мире. Не смотря на то, что может показаться, что документы различаются в их подходах к средствам контроля, предстоящее изучение выявляет большое количество схожих элементов.
Контрольная среда. Документы COBIT, SAC, COSO и SAS 78, — все включают в себя контрольную среду как компонент и разглядывают, по существу, одинаковые понятия. Факторы, воздействующие на контрольную среду, включают этические ценности и честность менеджмента, компетенцию персонала, стиль руководства и философию менеджмента, то, как распределены обязанности и полномочия, и указания, даваемые правлением.
COBIT включает проявления контрольной среды во все подходящие цели контроля. Данный документ разделяет процессы на категории: организация и планирование, закупки и внедрение, поддержка и доставка, мониторинг. Документ обращается к контрольной среде, где это только возможно.
Документ SAC дробит контрольную среду на меньшее количество категорий, он по большей части ориентирован на информационные совокупности и включает намерения в состав контрольной среды, тогда как в других 3 документах намерения рассматриваются как часть другого компонента. В большинстве областей концепции внутреннего контроля развиваются от SAS 55 (1988) к SAC (1991, 1994), COSO (1992), SAS 78 (1995), COBIT (1996).
COSO и SAS 55/78 применяют много категорий концепции среды и исходя из этого четко определяют контрольную среду. Возросшее значение доклада COSO в отношении компетенции, этики и честности персонала организации отразилось в дополнениях к документу SAS 55, изложенных в SAS 78.
Информационные и коммуникационные совокупности. COBIT, SAC, COSO и на данный момент 55/78 различаются глубиной и подходом отношения к информационным совокупностям. Основной фокус документа COBIT – создание контроля связи и системы безопасности в информационной разработке. Документ определяет четкую связь между средствами контроля информационных совокупностей и бизнес – целями.
Дополнительно предусматриваются общепризнанные цели контроля для каждого процесса информационной разработке, что дает практические советы по контролю для всех заинтересованных сторон. COBIT кроме этого предоставляет средство для осуществления сотрудничества между менеджментом, пользователями и аудиторов относительно средств контроля информационных совокупностей.
Доклад SAC сфокусирован на автоматических информационных совокупностях. Документ разглядывает взаимоотношения между внутренним контролем и системным программным обеспечением, прикладными совокупностями, и совокупностями конечного пользователя и ведомственными совокупностями. Системное ПО включает ОС, телекоммуникации, управленческую данные и другие сервисные программы, требующиеся прикладным совокупностям.
Прикладные совокупности включают бизнес – совокупности организации, денежные и операционные (к примеру, по управлению трудовыми ресурсами, производственным графиком и дебиторской задолженностью, соответственно) совокупности. Совокупности конечного пользователя и ведомственные совокупности обслуживают потребности конкретных групп пользователей. Большинство доклада SAC предоставляет управление по внутреннему контролю, нужное в каждой из этих областей.
Документ COSO разглядывает и данные, и коммуникации. В отношении информации COSO производит перерасмотрение потребности фиксировать подходящую внутреннюю и внешнюю данные, потенциал стратегических и интегрированных совокупностей, и требования к качеству данных. Описание коммуникаций фокусируется на передаче информации по вопросам внутреннего контроля, и сборе конкурентной, экономической и законодательной информации.
Документ SAS 55, поменянный документом SAS 78, более маленький, чем другие документы; в нем тезисно излагаются цели совокупности учета и резюмируются материалы COSO.
Действия по осуществлению контроля. Документы COBIT и SAC разглядывают процедуры контроля, имеющие отношение к автоматическим информационным совокупностям организации; в COSO и SAS 55/78 обсуждаются действия и процедуры контроля по осуществлению контроля, применяемые во всей организации. В COBIT классифицируются средства контроля по 32 процессам, конечно объединенным в 4 территории, применимые к любой среде обработки информации.
В SAS употребляются 5 разных классификационных схем для процедур контроля информационных совокупностей. В COSO и SAS 55/78 употребляется лишь 1 классификационная схема для процедур контроля информационных совокупностей. При описании действий по осуществлению контроля в документе COSO делается выговор на то, кто реализует действия и операционные цели (в основном, чем цели денежной отчетности).
COSO кроме этого придает особенное значение желательности объединения действий по осуществлению оценки и контроля риска. Документ SAS 78 заменяет перечень процедур контроля документа SAS 55 укороченным перечнем действий по осуществлению контроля из документа COSO. В отличие от COSO, документ SAS 55/78 содержит маленькое описание этих действий.
Оценка риска. Документы COSO и SAS 78 определяют оценку риска как ответственный компонент внутреннего контроля. COBIT дает определение оценки рисков как процесса в окружении информационной разработке. Конкретный процесс принадлежит к организации и зоне планирования и имеет 6 особых целей контроля, которые связаны с ним. Не смотря на то, что оценка риска не есть явным компонентом совокупности SAC внутреннего контроля, документ содержит всестороннее рассмотрение риска.
SAS 55/78 дробит риск на неотъемлемый риск, риск обнаружения и риск контроля. Внешние аудиторы изучают, тестируют и оценивают средства контроля относительно риска значительных неправильных записей в денежной отчетности, другими словами риска недостижения целей денежной отчетности. Так как внешние аудиторы не смогут напрямую поменять средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля.
В COBIT углубленно рассматриваются пара компонентов оценки риска в среде IT. Эти компоненты включают в себя оценку бизнес – риска, подход к оценке риска, определение риска, измерение риска, замысел действий по реагированию на принятие и риск риска. Документ имеет дело конкретно с информационно-технологическими типами риска, такими как технологический, нарушения безопасности, потери бесперебойности и риски нарушения требований надзорных органов.
Дополнительно, документ обращается к риску с обеих сторон – глобальной и системно-своеобразной.
Концепции риска, представленные в документах SAC и COSO, похожи. В дополнение к риску недостижения целей денежной отчетности, SAC и COSO обращаются к рискам несоблюдения комплайенс-требований и, в особенности, недостижения операционных целей. COSO разглядывает определение внешних и внутренних рисков отдельных видов и всех организации деятельности. COSO кроме этого разглядывает управленческий анализ риска: оценку значимости риска, возможности происхождения, способы управления риском.
SAC предусматривает детализированный анализ рисков информационных совокупностей и исследует, как эти риски смогут быть уменьшены. SAC и COSO делают упор на соотношении затраты/результаты, на необходимости устанавливать связь между средствами контроля и целями организации, на текущей оценке и природе определения риска, способности менеджмента настраивать совокупность внутреннего контроля организации.
SAS 55/78 уделяет мало внимания риску и операционному риску комплайенс. Внешние аудиторы изчают, тестируют и оценивают средства контроля относительно риска значительных неправильных записей в денежной отчетности, другими словами риска недостижения целей денежной отчетности. SAS 55/78 дробит риск на неотъемлемый риск, риск контроля и риск обнаружения.
Так как внешние аудиторы не смогут напрямую поменять средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля.
Мониторинг. В отличие от документов COBIT, COSO и SAS 55/78, документ SAC очевидно не включает в себя мониторинг как компонент совокупности внутреннего контроля. Все документы определяют менеджмент важным за обеспечение должного функционирования средств контроля. COBIT видит ответственность менеджмента в мониторинге всех процессов обязанности и информационной технологии добиться работоспособности средств контроля независимо.
Документ классифицирует мониторинг как территорию – в соответствии с циклом менеджмента. SAC идентифицирует обязанности внутренних аудиторов выбирать области информационной разработке, где свободная оценка может принести громадные преимущества, и тестировать средства контроля для доказательства комплайенса и эффективности в текущем режиме. Так как средства внутреннего контроля предназначены для функционирования по прошествии долгого времени, то COSO определяет обязанности менеджмента следить за всей совокупностью внутреннего контроля по всем текущим видам деятельности, встроенным в совокупность контроля, и по всем особым оценкам, направленным на области и специальные виды деятельности.
Тогда как в SAC и COSO разделяется однообразная (внутренняя) точка зрения, доклад COSO разглядывает действия по мониторингу в широком смысле, а SAC разглядывает своеобразные действия по мониторингу, каковые должны быть предприняты при помощи либо в рамках автоматических информационных совокупностей организации. COBIT в подобном ключе, но глубже определяет обязанности и специфические требования мониторинга в рамках функции информационной разработке.
Документ SAS 55, с трансформациями в документе SAS 78, воображает сокращенную версию материала COSO, заостряющего внимание на цели денежной отчетности. Часть текущего мониторинга, осуществляемого внешним аудитором, осуществляется с предположением о том, что аудиторы применяют знания, полученные из прошлых испытаний всех организации.
Будучи системным документом, COBIT предусматривает целей средств контроля и определения контроля для своеобразных процессов информационной разработке. Подобно документу COSO, предполагается, что отчеты документа COBIT о проблемах внутреннего контроля дешёвы из разных источников для важного хозяина бизнес – процесса. Они смогут варьироваться от самооценки контроля до обзоров внутренних аудиторов – все выполнено с применением схемы COBIT.
SAC определяет обязанность внутренних аудиторов в оценке того, существуют ли подходящие средства контроля и функционируют ли они так, как вспоминало. Внутренние аудиторы предоставляют результаты их аудиторских испытаний денежных, операционных и информационных совокупностей аудиторскому комитету и менеджменту. Они должны четко разделять затраты и результаты предложенных трансформаций от исправленных недочётов в совокупности средств внутреннего контроля.
В докладе COSO рассматривается, как менеджмент собирает и распространяет данные о недочётах внутреннего контроля. Менеджмент может определить о недочётах через отчеты, сгенерированные самой совокупностью внутреннего контроля, через расчеты, произведенные менеджментом либо внутренними аудиторами, либо при помощи обмена информацией через внешние стороны, такие как клиенты, органы надзора либо внешние аудиторы.
Менеджменту нужна информация довольно любого недочёта, что может оказать влияние на свойство организации достигнуть операционные цели, цели цели и финансовой отчётности комплайенс. COSO рекомендует сотрудникам организации давать отчет о недочётах руководству и непосредственным контролёрам, стоящему хотя бы на позицию выше сотрудника, напрямую важного за данный участок. Отдельные каналы коммуникации должны существовать для предоставления отчетов о чувствительной информации.
Документы SAS 55 и 78 фокусируются на связи между средствами внутреннего контроля и планированием аудита денежной отчетности. Документ SAS 60, «Обсуждение вопросов о совокупности внутреннего контроля, распознанных на протяжении аудита» (с внесенными трансформациями в Приложении С к документу SAS 78), предоставляет советы внешним аудиторам относительно предоставления отчетности о проблемах внутреннего контроля, найденных в течение аудита денежной отчетности.
SAS 60 требует от аудиторов предоставлять отчет аудиторскому комитету о значительных недочётах, каковые смогут оказать влияние на денежную отчетность организации. Аудиторы смогут предоставлять отчеты менеджменту о вторых проблемах либо возможностях совершенствования.
Документ COBIT – модельная схема. Документ поддерживает проведение оценок и на момент времени, и за период времени в зависимости от предпочтения оценивающего лица.
Не смотря на то, что в SAC очевидно не утверждается, обязана ли внутренняя эффективность рассчитываться на момент времени либо за период времени, нам представляется, что данный документ больше поддерживает расчеты за период времени. К примеру, SAC говорит об обеспечении надежности денежных и операционных данных, обрисовывает применение встроенных аудиторских модулей, дабы всегда отслеживать и разбирать транзакции и советовать изменение средств контроля для обеспечения стабильности прикладного и системного ПО.
Не смотря на то, что в COSO делается выговор на том, что внутренний контроль это процесс, документ говорит, что эффективность внутреннего контроля – это состояние либо условие процесса на момент времени. В случае если недочёты внутреннего контроля исправлены на отчетную дату, то документ COSO разрешает составление управленческих отчетов для внешних сторон, в которых внутренний контроль описывается как действенный.
Документы SAS 55 и 78 определяют, что внешние аудиторы должны оценивать постоянство, с которым средства контроля функционировали в течение аудируемого периода. Стандарты дают предупреждение аудиторов дополнить тесты о средствах контроля, подходящие лишь на момент времени, процедурами, снабжающими подтверждением эффективности всего аудируемого периода.
Документ COBIT предусматривает четкое управление для всех 32 процессов, каковые он определяет. Это управление принимает форму более 250 целей контроля. Потом документ снабжает средствами навигации, каковые все пользователи, в зависимости от их конкретной возможности, внедряют для организации и категоризации целей контроля в соответствии с ИТ процессами, информационными параметрами либо ИТ взорами с позиций ресурсов на средства контроля.
Документ SAC предусматривает детальное управление по средствам контроля, нужным в развитии, действии и внедрении автоматических информационных совокупностей практически во всех 12 модулях. В частности, многие модули содержат секторы по средствам и рискам контроля, которые связаны с темами, рассмотренными в этом модуле.
Доклад COSO снабжает читателя инструментами, каковые смогут быть использованы для оценки совокупности внутреннего контроля. Целый том посвящен предполагаемым формам, применяемым в проверке средств контроля и для составления выборки из заполненных форм.
В то время как документы SAS 55/78 сами не воображают форм либо инструментов для оценки контроля, совокупность документов «Пособие по аудиту», «Рассмотрение структур внутреннего контроля при аудите денежной отчетности» воображают такие формы. «Пособие по аудиту» предоставляет исчерпывающие примеры документирования изучения оценки и внутреннего контроля риска контроля для 3 компаний разных размеров и с различными чертями. В дополнение, основная часть «Пособия по аудиту» подробно обрисовывает оценку внутреннего контроля и связанную документацию.
Внутреннее и внешнее давление мотивирует бухгалтерских работников и менеджмент к продолжению повышения и развития качества концепций внутреннего контроля. Отечественная статья резюмирует и сравнивает серьёзные документы, являющиеся результатом таких упрочнений: COBIT, SAC, COSO, SAS 55 и 78.
Документ COBIT – это общепризнанный комплект целей контроля, организованных в зоны и процессы, и связанных с бизнес — требованиями к информации. SAC предлагает детальное управление о влиянии разных качеств информационной разработке на совокупность средств внутреннего контроля.
COSO воображает неспециализированное определение внутреннего контроля совершает упор на том, что средства внутреннего контроля оказывают помощь организациям достигнуть действенных и результативных операций, надежной соответствия и финансовой отчётности с правилами и применимыми законами. Документ снабжает управлением по оценке совокупностей контроля, по предоставлению внешней отчетности о внутреннем контроле, по проведению оценок совокупностей контроля. Документ SAS 55, поменянный документом SAS 78, адаптирует 5 компонентов внутреннего контроля документа COSO, обрисовывает влияние внутреннего контроля организации на проведение и планирование аудита денежной отчетности, обращается к связи между средствами внутреннего контроля и риском контроля.
Документы COBIT, SAC, COSO, SAS 55 и 78 содержат большое количество неспециализированных концепций внутреннего контроля; вправду, более поздние документы выстроены на концепциях, созданных в более ранних документах. Документы различаются целевой группой, к которой обращаются, целью документа, степенью детализации предоставленного управления. Не смотря на то, что другие стороны будут вычислять любой из документов нужным, COBIT направлен на 3 отдельные целевые группы: управление, аудиторы и пользователи информационных совокупностей; SAC по большей части запланирован на внутренних аудиторов; COSO – на менеджеров и совет директоров; а SAS 55 и 78 – на внешних аудиторов.
Документ COBIT сфокусирован только на средствах контроля информационной разработке в поддержку бизнес – целей. SAC делает упор на информационной разработке, COSO воображает широкий взор с уровня организации, а SAS 55 и 78 фокусируются на аудите денежной отчетности. SAC и COSO – самодостаточные документы. SAS 55 и 78 являются частью свода стандартов.
4 документа дополняют и помогать друг другу. SAC, COSO и SAS 55/78 нужны для главных целевых групп вторых документов, для юристов, других лиц и акционеров, заинтересованных в совершенствовании и понимании внутреннего контроля.
[1] См. интернет сайт русского филиала Ассоциации — www.isaca.ru. Тут и потом примечания переводчиков.
[2] В 2004 г. COSO выпустил более неспециализированный документ «Управление рисками организации. Интегрированный подход» (COSO ERM). Документ 1992 г. есть составной частью документа 2004 г., и может в один момент употребляться как независимый документ.
[3] «Внутренний контроль: риски и развитие». Winters, Guy. Симпозиум по проблемам аудита, Университет Канзаса, Делойтт, 1992 г.
[4] По состоянию на 1992 г.
[5] Information Technology Infrastructure Library – методика (дословно – библиотека) инфраструктуры информационной разработке, правильнее — сервисного управления информационными разработками (Information Technology Service Management — ITSM)
[6] В оригинале использован термин «departmental systems», что возможно кроме этого перевести как «ведомственные совокупности», что методологически роднит его с термином «внутриведомственный контроль», ранее обширно употреблявшимся в сочетании с другим понятием — «вневедомственный контроль», что можно считать неким аналогом аудита.
[7] Заглавия «предварительный», «текущий», «последующий» в данной классификации средств контроля более привычны для русскоязычного читателя, не смотря на то, что дословный перевод терминов preventive, detective, corrective дает кое-какие дополнительные оттенки: «дающий предупреждение», «выявляющий», «корректирующий». В целях данного перевода мы, по возможности, используем самый распространенную терминологию.
[8] В оригинале использован термин compliance- «комплайенс», что в явном виде отсутствует в русском правовом пространстве. Подробнее см. в материале на Банкир.Ру «Кое-какие особенности организации комплайенс контроля в русских банках» http://www.bankir.ru/analytics/svk/216/67032
[9] Это требование изложено в другом стандарте — SAS 60 (AICPA, 1988 г.)
Улучшение завода по способу КАЙЗЕН
Темы которые будут Вам интересны:
-
К вопросу о стандартизации процессов управления рисками и внутреннего контроля
-
Внутренний аудит банка: регламентация и другие аспекты деятельности службы. часть 15
-
Сравнение функций аудиторского комитета и ревизионной комиссии
-
Внутренний аудит банка: регламентация и другие аспекты деятельности службы. часть 18
