Описание контрольных процедур корпоративного уровня

4.6.1 Контроли корпоративного уровня (ККУ) - это управленческие механизмы, которые устанавливаются на уровне организации в целом или ее подразделений и способствуют достижению целей, исполнению поручений руководства, прямо или косвенно воздействуя на риски, присущие деятельности организации.

4.6.2 ККУ позволяют построить более эффективную структуру СВК за счет влияния на контрольную среду в целом, на эффективность и количество контрольных процедур, выполняемых на уровне отдельных бизнес-процессов.

4.6.3 Актуализацию состава ККУ организации необходимо проводить на основе анализа применимости контрольных процедур, применяемых в мировой практике и приводимых в актуальных стандартах аудита, для покрытия рисков верхнего уровня, присущих деятельности организации^[2].

4.6.4 Организации следует документировать результаты анализа контролей корпоративного уровня, например, в формате списка контрольных процедур, структурированных по компонентам системы внутреннего контроля^[3] или в формате матрицы контролей корпоративного уровня.

4.6.5 Контроли корпоративного уровня могут быть прямыми, т.е. оказывающими непосредственное влияние на финансовую отчетность и функционирующими на достаточно детальном уровне, чтобы адекватно предотвращать или выявлять искажения финансовой отчетности.

Примерами контролей корпоративного уровня прямого действия являются:

- Соблюдение принципа разделения обязанностей в области бухгалтерского учета;

- Процесс разработки, подготовки к утверждению и обновления учетной политики;

- Выявление нестандартных операций и фактов хозяйственной деятельности, которые могут оказать влияние на финансовую отчетность;

- Отслеживание изменений в законодательстве в области финансовой отчетности;

- Анализ протоколов Совета директоров и комитетов для отражения ключевых решений в финансовой отчетности.

4.6.6 Контроли корпоративного уровня могут быть также непрямыми (косвенными), влияющими на контрольную среду в целом, но не являющимися достаточно детальными или специфичными, для того чтобы адекватно предотвращать или выявлять искажения финансовой отчетности.

Примерами контролей корпоративного уровня косвенного действия являются:

- Наличие разработанного и внедренного кодекса этических норм и принципов;

- Наличие положений о Совете Директоров, Комитетах при Совете Директоров;

- Стандарты и процедуры;

- Организационная структура Организации;

- Разделение полномочий и обязанности работников;

- Приверженность принципу компетентности руководства Организации;

- Политики и процедуры в области управления персоналом.

4.6.7 Например, наличие учетной политики и детально разработанной процедуры закрытия отчетного периода могут снизить риск ручных ошибок или неправильной трактовки учетных принципов, повышая достоверность финансовой отчетности. Аналогично, внедренный кодекс этических норм и принципов позволяет снизить риски намеренного искажения финансовой отчетности руководством в целях улучшения финансовых показателей.

Тем не менее, для снижения риска до приемлемого уровня необходима комбинация контролей корпоративного уровня и контролей на уровне бизнес-процессов.

 

Описание общих ИТ контролей

4.7.1 Общие ИТ контроли – это политики, процедуры и практики в области разработки, тестирования, внедрения, сопровождения и эксплуатации информационных систем, включая поддерживающие работу приложений аппаратное и системное обеспечение, необходимые для управления рисками.

4.7.2 В организации должен быть определен порядок и требования к документированию общих ИТ контролей. Например, они могут быть представлены в виде отдельной матрицы общих ИТ контролей^[4].

Целесообразно документировать общие ИТ контроли только для существенных информационных систем организации.

4.7.3 Существенные информационные системы – это программные решения и поддерживающие их функционирование системные и аппаратные платформы, используемые при выполнении существенных бизнес-процессов.

4.7.4 Организации следует определить порядок документирования перечня существенных информационных систем. Например, состав существенных информационных систем может быть представлен в виде реестра с указанием следующих атрибутов:

− должность и имя владельца информационной системы со стороны бизнеса;

− перечень существенных бизнес-процессов, для автоматизации которых применяется информационная система;

− должность и имя ответственного лица со стороны подразделений ИТ;

− перечень элементов существенной ИТ инфраструктуры.

4.7.5 Перечень существенных информационных систем должен актуализироваться по мере возникновения необходимости и пересматриваться не реже одного раза в год.

4.7.6 Для целей построения СВК в области финансовой отчетности должны быть определены информационные системы, влияющие на подготовку финансовой отчетности и соответствующие общие ИТ контроли.