Контроль и ревизия: Шпаргалка - Коллектив авторов
Шрифт:
Интервал:
Закладка:
26. РИСКИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
Прежде всего называют «человеческий фактор»: человеку свойственно ошибаться, халатно относиться к работе, периодически обманывать и воровать, мошенничать самыми разными способами; человек может заболеть и не выйти на работу. Причем этот фактор может быть как внутренним (работник), так и внешним (мошенник, хакер и т. д.). Среди внешних источников риска можно назвать природные катастрофы (наводнения, землетрясения и т. п.), действия конкурентов, правительства т. д. Особое место среди источников стал занимать «сбой компьютерной техники», т. е. источники риска могут быть самыми разнообразными.
Процесс оценки рисков самой организацией представляет собой процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий.
При выявлении возможных рисков руководство рассматривает их значимость, вероятность возникновения и способы управления ими. Руководство может составлять планы, программы, осуществлять соответствующие действия для устранения этих рисков или принять решение игнорировать риски из-за дороговизны средств контроля в отношении этих рисков или из-за других причин.
Риски могут возникать или изменяться вследствие следующих обстоятельств:
а) изменения в окружении организации;
б) новый персонал;
в) внедрение новых или изменение уже применяемых информационных систем;
г) быстрый рост и развитие организации;
д) новые технологии;
е) новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг;
ж) реструктуризация деятельности;
з) расширение операций за рубежом;
и) новые принципы, стандарты, положения, инструкции в области ведения бухгалтерского учета и подготовки отчетности.
Контролер должен знать действия организации, направленные на выявление рисков хозяйственной деятельности, а также решения организации по поводу мер, предпринимаемых в отношении этих рисков и возможных их последствий. При оценке организации и оценке рисков аудируемым лицом аудитор выясняет, каким образом руководство аудируемого лица:
• выявляет риски хозяйственной деятельности, имеющие отношение к финансовой (бухгалтерской) отчетности. Процесс оценки риска включает в себя также анализ рисков на предмет того, какие из них могут, а какие – не могут контролироваться организацией. В отношении контролируемых рисков организация должна решить, принимать ли ей эти риски в полном объеме или уменьшить их путем применения процедур контроля; в отношении неконтролируемых рисков организация должна решить, принимать ли эти риски или отказаться от связанной с ними деятельности, или сократить ее масштабы;
• оценивает значимость рисков;
• оценивает вероятность возникновения рисков;
• решает вопрос о способах управления рисками.
27. КОНТРОЛЬНЫЕ ПРОЦЕДУРЫ (СРЕДСТВА КОНТРОЛЯ)
Контрольные процедуры (средства контроля) представляют собой действия, которые помогают удостовериться, что распоряжения руководства выполняются; например, необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей организации.
Контрольные действия могут быть сгруппированы по следующим категориям методов и процедур:
а) санкционирование (одобрение вышестоящим руководством). Например, одобрение крупных сделок должно производиться советом директоров или собранием акционеров;
б) проверка выполнения. Такие контрольные действия включают в себя: обзорные проверки и анализ фактических показателей по сравнению со сметными и прогнозными показателями; • обзорные проверки и анализ фактических показателей по сравнению с показателями за предыдущие периоды; • соотнесение между собой различных данных (управленческих и финансовых), анализ их соответствия, выводы об обнаруженных расхождениях и предпринимаемых в этих случаях корректирующих действиях;
в) обработка информации. Разнообразные контрольные процедуры в части обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля: общие средства контроля; прикладные средства контроля.
Примеры общих средств контроля: 1) средства контроля за изменением программного обеспечения;
2) средства контроля, которые ограничивают доступ к программному обеспечению или базам данных;
3) средства контроля за реализацией новых версий прикладных пакетов программного обеспечения.
Примеры прикладных средств контроля: 1) проверка арифметической точности бухгалтерских записей; 2) ведение учета и обзорная проверка счетов, и составление оборотных ведомостей; 3) автоматизированные процедуры контроля: тестирование компьютером вводимых данных или контроль сквозной нумерации с последующей выдачей персоналу, выполняющему учетные функции, сообщений или справок о выявленных несоответствиях, что предполагает исправление таких ошибок в момент ввода данных либо впоследствии;
г) проверка наличия и состояния объектов. Указанные контрольные действия, обеспечивающие сохранность активов, включают в себя: 1) меры предосторожности, ограничивающие доступ к активам или бухгалтерским записям; 2) санкционирование допуска к компьютерным программам и файлам: введение паролей, ограничение доступа к участкам программы или сети; 3) проведение периодических инвентаризаций (например, сравнение результатов пересчета наличных денежных средств, ценных бумаг с данными бухгалтерского учета);
д) разделение обязанностей. Разграничение ответственности. Наделение различных людей полномочиями санкционирования операций (выдача разрешения на совершение операции), регистрация операций в учете и хранении активов имеет целью уменьшить возможность совершения и утаивания ошибки или недобросовестных действий в процессе обычного выполнения персоналом своих обязанностей.
28. ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Эффективная система внутреннего контроля требует наличия адекватной и всеобъемлющей информации финансового, операционного характера и сведений о соблюдении установленных нормативных требований, а также поступающей извне рыночной информации о событиях и условиях, имеющих отношение к принятию решений. Информация должна быть надежной, своевременной, доступной, правильно и должным образом оформленной.
Информационные системы организации представляют собой совокупность каналов обмена информацией между сотрудниками и внешней средой и сгруппированы следующим образом:
1) информационные системы обмена с внешней средой – почта (в том числе переписка), телефонные линии, факсимильная связь, телетайп, сотовые системы связи, электронная почта, телекоммуникации, курьерская связь и др.;
2) информационная система между сотрудниками, в том числе система информирования персонала (Интернет и др.); включает в себя систему передачи кадровой документации, проектов документов, накладных, счетов-фактур, распоряжений, почты и других документов внутри организации;
3) собственно компьютерные информационные системы (Интернет и др.).
Информационные системы несут в себе ряд рисков: утрату информации (недоставление до адресата или уничтожение информации, потеря данных); • искажение информации; • предоставление ложной информации (например, ложное срабатывание пожарной сигнализации из-за сбоя в программе); • финансовые и иные потери из-за взлома информационных систем (взлом компьютерных файлов, прослушивание телефонных каналов связи и др.); • остановку в работе организации из-за сбоя информационной системы (например, не работает Интернет, невозможно отправлять или получать информацию и т. д.).
Составной частью информационных систем является система информирования персонала, которая обеспечивает понимание сотрудниками обязанностей и ответственности, связанных с организацией и применением системы внутреннего контроля в отношении финансовой (бухгалтерской) отчетности.
Система информирования обеспечивает понимание персоналом характера своего участия в процессе подготовки финансовой (бухгалтерской) отчетности, того, каким образом его действия в информационной системе связаны с работой других сотрудников, а также способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях. Открытые каналы связи должны способствовать тому, чтобы в исключительных ситуациях принимались соответствующие меры.
Система информирования персонала может принимать такие формы, как внутренние регламенты деятельности, руководства по составлению финансовой (бухгалтерской) отчетности, инструкции и указания. Доведение информации до сведения сотрудников может осуществляться с использованием средств электронной связи, устно и посредством распоряжений руководства.