Общий характер и особенности системы внутреннего контроля

Назначение системы внутреннего контроля

A51. Система внутреннего контроля разрабатывается, внедряется и поддерживается с целью снижения выявленных бизнес-рисков, которые ставят под угрозу достижение любой из целей организации, касающихся:

· надежности финансовой отчетности организации;

· результативности и эффективности ее операционной деятельности;

· соблюдения ею применимого законодательства и нормативных актов. 

Поход к разработке, внедрению и поддержанию системы внутреннего контроля зависит от размера и сложности организации.

Особенности малых организаций

A52. Малые организации могут использовать менее структурированные средства и более простые процессы и процедуры для достижения своих целей.

Ограничения системы внутреннего контроля

A53. Независимо от того, насколько эффективна система внутреннего контроля организации, она может обеспечить лишь разумную уверенность в достижении организацией целей финансовой отчетности. На вероятность их достижения влияют присущие системе внутреннего контроля ограничения. Они связаны с тем, что суждение человека при принятии решения может оказаться неверным и что в системе внутреннего контроля могут возникнуть сбои вследствие влияния человеческого фактора. Например, ошибка может быть допущена при разработке средства контроля или при внесении последующих изменений. Также функционирование того или иного средства контроля может оказаться неэффективным, например, когда информация, полученная для целей внутреннего контроля (например, отчет об отклонениях), используется недостаточно эффективно, поскольку лицо, ответственное за анализ такой информации, не понимает ее назначения или не в состоянии предпринять соответствующие действия.

A54. Кроме того, средства контроля можно обойти посредством сговора двух или более лиц или за счет неправомерных действий руководства в обход действующей системы внутреннего контроля. Например, руководство может заключить с покупателями дополнительные соглашения, изменяющие условия типовых договоров купли-продажи организации, что может привести к неправомерному признанию выручки. Кроме того, контрольные проверки средствами программного обеспечения, разработанные для выявления и получения отчетов по операциям, превышающим определенные кредитные лимиты, можно обойти или заблокировать.

A55. Более того, при разработке и внедрении средств контроля руководство может формировать суждения о характере и объеме средств контроля, которые оно намерено внедрить, а также о характере и объеме рисков, которые оно готово принять.

Особенности малых организаций

A56. Малые организации во многих случаях имеют меньше сотрудников, что может ограничивать степень, в которой разделение должностных обязанностей является практически возможным. Однако в малой организации, управляемой собственником, собственник-руководитель может иметь возможность осуществлять более эффективный надзор по сравнению с крупной организацией. Такой надзор может компенсировать в целом более ограниченные возможности разделения обязанностей. 

A57. Кроме того, собственник-руководитель может иметь больше возможностей обойти средства контроля, потому что система внутреннего контроля является менее структурированной. Аудитор должен принимать этот факт во внимание при выявлении рисков существенного искажения по причине недобросовестных действий.

Разделение системы внутреннего контроля на компоненты

A58. Разделение системы внутреннего контроля на следующие пять компонентов для целей Международных стандартов аудита служит полезной основой для анализа аудиторами того, каким образом различные аспекты системы внутреннего контроля организации могут влиять на проводимый аудит:

(a) контрольная среда;

(b) процесс оценки рисков в организации;

(c) информационная система, связанная с финансовой отчетностью, включая соответствующие бизнес-процессы, и информационное взаимодействие;

(d) контрольные действия;

(e) мониторинг средств контроля.

Это разделение не обязательно отражает то, каким образом организация разрабатывает, внедряет и поддерживает систему внутреннего контроля или как организация может классифицировать тот или иной компонент. Аудиторы могут использовать иные термины или принципы для описания различных аспектов системы внутреннего контроля и их влияния на проводимый аудит, и эти термины могут отличаться от используемых в настоящем стандарте, при условии что все компоненты, описанные в настоящем стандарте, будут рассмотрены.

A59. Материалы по применению, рассматривающее пять компонентов системы внутреннего контроля в их взаимосвязи с аудитом финансовой отчетности, изложены ниже в пунктах A76–A117. Приложение 1 содержит дальнейшие разъяснения этих компонентов системы внутреннего контроля.

Особенности ручных и автоматизированных элементов системы внутреннего контроля, которые являются значимыми для оценки аудитором рисков

A60. Система внутреннего контроля организации содержит ручные элементы и во многих случаях – автоматизированные элементы. Особенности ручных или автоматизированных элементов являются значимыми для оценки аудитором рисков и для дальнейших аудиторских процедур, основанных на этой оценке.

A61. Использование ручных или автоматизированных элементов в системе внутреннего контроля также влияет на порядок инициирования, учета, обработки операций и отражения их в отчетности.

· Средства контроля в ручной системе могут включать такие процедуры, как одобрение и проверка операций, сверка и последующие действия по результатам сверки. В качестве альтернативы организация может использовать автоматизированные процедуры для инициирования, учета, обработки операций и отражения их в отчетности, в этом случае записи в электронном виде заменяют бумажные документы.

· Средства контроля в автоматизированных информационных системах представляют собой сочетание автоматизированных средств контроля (например, средства контроля, встроенные в компьютерные программы) и ручных средств контроля. Кроме того, ручные средства контроля могут быть независимыми от средств ИТ, могут использовать информацию, созданную информационной системой, либо ограничиваться мониторингом эффективности функционирования ИТ и автоматизированных средств контроля, а также обработкой нестандартных операций. Если ИТ используются для инициирования, записи, обработки операций, отражения их в отчетности или другой финансовой информации для включения в финансовую отчетность, системы и программы могут включать средства контроля в отношении связанных с ними предпосылок по существенным счетам или играть важную роль в эффективном функционировании ручных средств контроля, зависящих от применения ИТ.

Сочетание используемых организацией ручных и автоматизированных элементов внутреннего контроля зависит от характера и сложности применяемых организацией ИТ.

A62. Обычно ИТ помогают системе внутреннего контроля организации, поскольку они дают организации возможность:

· последовательно применять заранее установленные правила ведения бизнеса и выполнять сложные расчеты при обработке больших объемов операций или данных;

· обеспечивать своевременность и наличие информации, повышать ее точность;

· способствовать дополнительному анализу информации;

· расширять возможность мониторинга осуществления деятельности организации и выполнения ее политик и процедур;

· снижать риск обхода средств контроля;

· расширять возможность эффективного разделения обязанностей посредством внедрения средств контроля за безопасностью в прикладные программы, базы данных и операционные системы.

A63. ИТ также создают специфические риски системы внутреннего контроля организации, например:

· зависимость от систем или программ, которые неточно обрабатывают данные, обрабатывают неточные данные либо делают то и другое одновременно;

· несанкционированный доступ к данным, что может вызвать уничтожение данных или ненадлежащие изменения в данных, включая отражение несанкционированных или несуществующих операций или неточное отражение операций. Такие риски могут возникать, если к общей базе данных имеет доступ большое количество пользователей;

· возможность получения персоналом ИТ-отдела прав доступа, превышающих необходимые права доступа для выполнения их обязанностей, что нарушает порядок разделения обязанностей;

· несанкционированные изменения данных в основных файлах;

· несанкционированные изменения систем или программ;

· неспособность внесения необходимых изменений в системы или программы;

· ненадлежащее ручное вмешательство;

· возможная потеря данных или неспособность получить необходимый доступ к данным.

A64. Ручные элементы системы внутреннего контроля могут оказаться более подходящими в случае, когда требуется формирование суждения и принятие решений, например, в следующих ситуациях:

· крупные, необычные или нерегулярные операции;

· обстоятельства, при которых сложно выявить, предвидеть или предсказывать ошибки;

· при изменении обстоятельств, когда требуется реагирование со стороны средств контроля, выходящее за рамки существующего автоматизированного контроля;

· при мониторинге эффективности автоматизированных средств контроля.

A65. Ручные элементы в системе внутреннего контроля могут оказаться менее надежными в сравнении с автоматизированными, так как их легче обойти, проигнорировать или преодолеть и они более подвержены простым ошибкам. Поэтому нельзя исходить из предположения, что ручные элементы системы контроля применяются последовательно. Ручные элементы системы контроля могут оказаться менее подходящими в следующих случаях:

· большой объем операций или повторяющиеся операции либо ситуации, когда ошибки, которые можно предсказать или прогнозировать, могут быть предотвращены или обнаружены и исправлены при помощи автоматизированных элементов контроля;

· контрольные действия, при которых конкретные способы осуществления контроля могут быть адекватно разработаны и автоматизированы.

A66. Масштаб и характер рисков, связанных с системой внутреннего контроля, меняются в зависимости от особенностей информационной системы организации. Организация принимает меры в ответ на риски, связанные с использованием ИТ или ручных элементов в системе внутреннего контроля, посредством создания эффективных средств контроля с учетом особенностей информационной системы.