Hodnocení rizika SOX 404 shora dolů - SOX 404 top–down risk assessment

tento článek potřebuje další citace pro ověření. Prosím pomozte vylepšit tento článek podle přidávání citací ke spolehlivým zdrojům. Zdroj bez zdroje může být napaden a odstraněn. Najít zdroje: „Hodnocení rizika SOX 404 shora dolů“  – zprávy  · noviny  · knihy  · učenec  · JSTOR (Květen 2013) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Část série na
Účetnictví
Historická cena Konstantní kupní síla Řízení Daň
Hlavní typy Audit Rozpočet Náklady Forenzní Finanční Fond Vládní Řízení Sociální Daň
Klíčové koncepty Účetní období Časové rozlišení Konstantní kupní síla Ekonomický subjekt Reálná hodnota Chystáte se dělat starosti Historická cena Shodný princip Významnost Vykazování výnosů Zúčtovací jednotka
Vybrané účty Aktiva Hotovost Náklady na prodané zboží Amortizace  / Amortizace Spravedlnost Výdaje Dobrou vůli Závazky Zisk Příjmy
Účetní standardy Obecně přijímané zásady Obecně přijímané auditorské standardy Konvergence Mezinárodní standardy účetního výkaznictví Mezinárodní auditorské standardy Zásady manažerského účetnictví
Finanční výkazy Výroční zpráva Rozvaha Tok peněz Spravedlnost Příjem Diskuse vedení Příloha k účetní závěrce
Vedení účetnictví bankovní vyúčtování Debety a kredity Systém podvojného vstupu FIFO a LIFO Časopis účetní kniha  / Hlavní kniha T účty Zkušební zůstatek
Auditování Finanční Vnitřní Firmy Zpráva
Lidé a organizace Účetní Účetní organizace Luca Pacioli
Rozvoj Dějiny Výzkum Pozitivní účetnictví Sarbanes – Oxleyův zákon

v finanční audit z veřejné společnosti ve Spojených státech, Hodnocení rizika SOX 404 shora dolů (TDRA) je finanční posouzení rizik provedeny v souladu s § 404 zákona Zákon Sarbanes-Oxley z roku 2002 (SOX 404). Pod SOX 404 musí vedení otestovat jeho vnitřní kontroly; k určení rozsahu takového testování se používá TDRA. Používá ho také externí auditor k vydání formálního stanoviska k vnitřním kontrolám společnosti. V důsledku přijetí auditorského standardu č. 5, který SEC od té doby schválila, však externí auditoři již nejsou povinni vydávat stanoviska k hodnocení vlastních vnitřních kontrol vedením.

Podrobné pokyny k provádění TDRA jsou obsaženy ve standardu PCAOB Auditing Standard č. 5 (vydání 2007-005 „Audit vnitřní kontroly finančního výkaznictví, který je integrován do auditu účetní závěrky“)^[1] a interpretační pokyny SEC (zpráva 33-8810 / 34-55929) „Zpráva vedení o vnitřní kontrole nad finančním výkaznictvím“.^[2][3] Tyto pokyny platí pro hodnocení 2007 pro společnosti s 31. 12. fiskální rok -končí. Vydání PCAOB nahradilo stávající auditorský standard PCAOB č. 2, zatímco pokyny SEC jsou prvními podrobnými pokyny pro konkrétní správu. PCAOB reorganizoval auditorské standardy k 31. prosinci 2017, přičemž příslušné pokyny SOX jsou nyní zahrnuty pod AS2201: Audit vnitřní kontroly nad finančním výkaznictvím, který je integrován s auditem účetní závěrky.^[4]

Jazyk, který předseda SEC použil při ohlašování nových pokynů, byl velmi přímý: „Kongres nikdy neměl v úmyslu, aby se proces 404 stal nepružným, zatěžujícím a plýtváním. Cílem oddílu 404 je poskytnout investorům smysluplné informace o účinnosti systémy vnitřní kontroly společnosti, aniž by docházelo k zbytečné zátěži nebo plýtvání dodržováním předpisů akcionář zdroje." ^[5] Na základě pokynů z roku 2007 společnosti SEC a PCAOB zaměřily významné snížení nákladů souvisejících s dodržováním předpisů SOX 404 zaměřením úsilí na oblasti s vyšším rizikem a snížením úsilí v oblastech s nízkým rizikem.

TDRA je hierarchický rámec, který zahrnuje použití konkrétních rizikových faktorů k určení rozsahu a důkazů požadovaných při hodnocení vnitřní kontroly. Pokyny PCAOB i SEC obsahují podobné rámce. V každém kroku se používají kvalitativní nebo kvantitativní rizikové faktory k zaměření rozsahu úsilí při hodnocení SOX404 a stanovení požadovaných důkazů. Mezi klíčové kroky patří:

1. identifikace významných prvků finančního výkaznictví (účty nebo zveřejnění)
2. identifikační materiál finanční prohlášení rizika v rámci těchto účtů nebo zveřejnění
3. určování které kontroly na úrovni entit by tato rizika řešila s dostatečnou přesností
4. určování které transakce -úrovňové kontroly by tato rizika řešily, kdyby neexistovaly přesné kontroly na úrovni entit
5. stanovení povahy, rozsahu a načasování důkazů shromážděných k dokončení posouzení kontrol na místě

Vedení je povinno dokumentovat, jak interpretovalo a aplikovalo svůj TDRA, aby dospělo k rozsahu testovaných kontrol. Dostatek požadovaných důkazů (tj. Načasování, povaha a rozsah kontrolních testů) je navíc založen na TDRA vedení (a auditora). Jako takový má TDRA významné náklady na dodržování předpisů důsledky pro SOX404.

Metoda

Pokyny jsou založeny na principech a poskytují významnou flexibilitu v přístupu TDRA. Existují dva hlavní kroky: 1) Určení rozsahu ovládacích prvků, které mají být zahrnuty do testování; a 2) určení povahy, načasování a rozsahu prováděných testovacích postupů.

Určení rozsahu

Klíčovou zásadu SEC týkající se stanovení rozsahu kontrol pro testování lze uvést následovně: „Zaměřte se na kontroly, které adekvátně řeší riziko významné nesprávnosti.“ Jedná se o následující kroky:

Určete významnost a riziko nesprávnosti pro prvky finančního výkaznictví (účty a zveřejnění)

Podle pokynů PCAOB AS 5 je auditor povinen určit, zda je účet „významný“ či nikoli (tj. Ano či ne), na základě řady rizikových faktorů souvisejících s pravděpodobností chyby a rozsahu účetní závěrky (hodnota dolaru ) účtu. Významné účty a zveřejnění jsou předmětem posouzení, takže vedení obvykle tyto informace zahrne do své dokumentace a tuto analýzu obvykle provede ke kontrole auditorem. Tato dokumentace může být v praxi označována jako „významná analýza účtu“. Účty s velkými zůstatky se obecně považují za významné (tj. V rozsahu) a vyžadují určitý typ testování.

Novinkou v pokynech SEC je také koncept hodnocení každého významného účtu pro „riziko nesprávnosti“ (nízké, střední nebo vysoké) na základě podobných faktorů použitých ke stanovení významnosti. Hodnocení rizika nesprávnosti je klíčovým faktorem používaným k určení povahy, načasování a rozsahu důkazů, které je třeba získat. Jak se zvyšuje riziko, zvyšuje se očekávaná dostatečnost důkazních informací nahromaděných pro kontroly související s významnými účty (viz část níže týkající se rozhodnutí o testování a důkazech).

Riziko významnosti i nesprávnosti je inherentním konceptem rizika, což znamená, že závěry týkající se toho, které účty jsou v rozsahu, jsou stanoveny před zvážením účinnosti kontrol.

Určete cíle finančního výkaznictví

Cíle pomáhají stanovit kontext a hranice, ve kterých dochází k hodnocení rizik. The COSO Integrovaný rámec vnitřní kontroly, standard interní kontrola široce používaný pro dodržování SOX, uvádí: „Předpokladem pro posouzení rizik je stanovení cílů ...“ a „Hodnocení rizik je identifikace a analýza relevantních rizik pro dosažení cílů.“ Pokyny SOX stanoví několik hierarchických úrovní, na kterých může dojít k posouzení rizik, jako je entita, účet, tvrzení, proces a třída transakce. Cíle, rizika a kontroly lze analyzovat na každé z těchto úrovní. Pojem hodnocení rizik shora dolů znamená nejprve zohlednit vyšší úrovně rámce a odfiltrovat z úvahy co nejvíce činnosti hodnocení na nižší úrovni.

Existuje mnoho přístupů k hodnocení rizik shora dolů. Vedení může výslovně zdokumentovat cíle kontroly nebo použít texty a další odkazy k zajištění úplnosti dokumentace o rizicích a prohlášení o kontrole. Existují dvě hlavní úrovně, na kterých jsou definovány cíle (a také kontroly): na úrovni entity a tvrzení úroveň.

Příklad na úrovni entity kontrolní cíl je: „Zaměstnanci jsou si vědomi Kodexu chování společnosti.“ Rámec COSO 1992/1994 definuje každou z pěti složek vnitřní kontroly (tj. Kontrolní prostředí, hodnocení rizik, informace a komunikace, monitorování a kontrolní činnosti). Návrhy na hodnocení jsou zahrnuty na konci klíčových kapitol COSO a ve svazku „Nástroje hodnocení“; lze je upravit na objektivní výroky.

Příklad úroveň tvrzení cílem kontroly je „Výnosy jsou uznány pouze po splnění závazku k plnění.“ Seznamy cílů kontroly na úrovni tvrzení jsou k dispozici ve většině učebnic finančního auditu. Vynikající příklady jsou k dispozici také ve Vyhlášení AICPA k auditorským standardům č. 110 (SAS 110) ^[6] pro proces inventury. SAS 106 obsahuje nejnovější pokyny k tvrzením o finančních výkazech.^[7]

Cíle kontroly mohou být organizovány v rámci procesů, aby pomohly uspořádat dokumentaci, vlastnictví a přístup TDRA. Typické finanční procesy zahrnují výdaje a závazky (nákup k platbě), výplaty, výnosy a pohledávky (příkaz k inkasu peněz), kapitálová aktiva atd. Takto většina učebnic o auditu organizuje kontrolní cíle. Procesy lze také hodnotit podle rizika.

COSO vydal revidované pokyny v roce 2013 účinné pro společnosti s daty konce roku po 15. prosinci 2014. To v zásadě vyžaduje, aby kontrolní prohlášení odkazovala na 17 „principů“ pod pěti „složkami COSO“. Existuje přibližně 80 „bodů zaměření“, které lze hodnotit konkrétně proti kontrolám společnosti, aby bylo možné učinit závěr o 17 principech (tj. Každý princip má několik relevantních bodů zaměření). Většina zásad a bodů zaměření se týká kontrol na úrovni entit. Od června 2013 byly přístupy používané v praxi v raných fázích vývoje.^[8] Jedním z přístupů by bylo přidat principy a body zaměření jako kritéria do databáze a každý odkazovat na příslušné ovládací prvky, které je řeší.

Identifikujte podstatná rizika pro dosažení cílů

Jednou z definic rizika je cokoli, co může narušit dosažení cíle. Prohlášení o riziku je výrazem „co se může pokazit“. Podle pokynů z roku 2007 (tj. Výkladové pokyny SEC a PCAOB AS5) jsou rizika, která ve své podstatě mají „přiměřeně možnou“ pravděpodobnost, že způsobí významnou chybu v zůstatku účtu nebo zveřejnění, významná rizika nesprávnosti („MMR“). Všimněte si, že se jedná o drobnou změnu „více než vzdáleného“ jazyka pravděpodobnosti PCAOB AS2, jehož cílem je omezit rozsah na méně kritických rizik materiálu a souvisejících kontrol.

Příkladem prohlášení o riziku, které odpovídá výše uvedenému cíli kontroly úrovně tvrzení, může být: „Riziko, že jsou vykázány výnosy před dodávka produktů a služeb. “Pamatujte, že to zní velmi podobně jako kontrolní cíl, pouze negativní.

Vedení vytvoří seznam MMR, spojený s konkrétními účty a / nebo cíli kontroly vyvinutými výše. MMR lze identifikovat položením otázky: „Co se může pokazit v souvislosti s účtem, tvrzením nebo cílem?“ MMR může vzniknout v rámci účetní funkce (např. Pokud jde o odhady, úsudky a politická rozhodnutí) nebo interního a externího prostředí (např. Podniková oddělení, která krmí informace účetního oddělení, ekonomické a burzovní proměnné atd.) Komunikační rozhraní, změny (lidé, proces nebo systémy), zranitelnost vůči podvodům, potlačování kontroly ze strany managementu, struktura pobídek, složité transakce a míra úsudku nebo lidského zásahu při zpracování jsou další vysoce riziková témata.

Vedení obecně zvažuje otázky jako: Co je opravdu těžké napravit? Jaké účetní problémy jsme měli v minulosti? Co se změnilo? Kdo by mohl být schopen nebo motivovaný ke spáchání podvodu nebo podvodného finančního výkaznictví? Jelikož vysoké procento finančních podvodů historicky zahrnovalo nadhodnocení příjmů, tyto účty si obvykle zaslouží další pozornost. Prohlášení AICPA k auditorským standardům č. 109 (SAS 109)^[9] také poskytuje užitečné pokyny týkající se hodnocení finančních rizik.

Podle pokynů z roku 2007 jsou společnosti povinny provést posouzení rizik podvodu a posouzení souvisejících kontrol. To obvykle zahrnuje identifikaci scénářů, ve kterých by mohlo dojít ke krádeži nebo ztrátě, a určení, zda stávající kontrolní postupy účinně řídí riziko na přijatelnou úroveň.^[10] Riziko, že vyšší vedení může přepsat důležité finanční kontroly, aby manipulovalo s finančním výkaznictvím, je také klíčovou oblastí, na kterou se při hodnocení rizika podvodu zaměřuje.^[11]

V praxi mnoho společností kombinuje objektivní a riziková prohlášení při popisu MMR. Tato prohlášení MMR slouží jako cíl a zaměřují úsilí na identifikaci zmírňující kontroly.

Určete ovládací prvky, které řeší rizika významné nesprávnosti (MMR)

U každého MMR management určí, která kontrola (nebo kontroly) řeší riziko dostatečně „a„ přesně “(PCAOB AS # 5) nebo„ efektivně “(Směrnice SEC) k jeho zmírnění. Slovo „zmírnit“ v tomto kontextu znamená, že kontrola (nebo kontroly) snižuje pravděpodobnost významné chyby prezentované MMR na „vzdálenou“ pravděpodobnost. Tato úroveň jistoty je vyžadována, protože je třeba zveřejnit významnou slabost, pokud existuje „přiměřeně možná“ nebo „pravděpodobná“ možnost významné nesprávnosti významného účtu. Přestože riziko může nést více kontrol, do hodnocení jsou zahrnuty pouze ty, které se jím zabývají, jak je definováno výše. V praxi se jim říká ovládací prvky „v rozsahu“ nebo „klíč“, které vyžadují testování.

Pokyny SEC definují pojmy pravděpodobnosti následujícím způsobem podle FAS5 Účtování podmíněných závazků:

1. „Pravděpodobné: Budoucí událost nebo události se pravděpodobně vyskytnou.“
2. „Přiměřeně možná: Šance na budoucí událost nebo události, ke kterým dojde, je více než vzdálená, ale méně než pravděpodobná.“
3. „Vzdálené: Šance na budoucí událost nebo události, ke kterým dojde, je malá.“^[12]

Rozsudek je obvykle nejlepším vodítkem pro výběr nejdůležitějších kontrol ve vztahu ke konkrétnímu riziku pro testování. PCAOB AS5 zavádí tříúrovňový rámec popisující ovládací prvky na úrovni entit na různých úrovních přesnosti (přímé, monitorovací a nepřímé.) Z praktického hlediska může být interpretována přesnost kontroly podle typu ovládacího prvku v pořadí od nejpřesnějšího po nejméně. tak jako:

1. Transaction-specific (transaction-level) - Authorization or review (or preventive system controls) related to specific, individual transactions;
2. Souhrn transakcí (na úrovni transakce) - kontrola přehledů se seznamem jednotlivých transakcí;
3. Hlášení na konci období (na úrovni účtu) - Kontrola zápisu do deníku, odsouhlasení účtu nebo podrobná analýza účtu (např. Výdaje na služby v obchodě);
4. Kontroly kontroly vedením (přímá úroveň účetní jednotky) - Fluktuační analýzy účtů výkazu zisku a ztráty na různých úrovních agregace nebo balíček měsíčních zpráv obsahující souhrnné finanční a provozní informace;
5. Monitorovací kontroly (úroveň monitorovacího subjektu) - sebehodnocení a kontroly interního auditu za účelem ověření, že jsou kontroly navrženy a implementovány efektivně; a
6. Nepřímé (úroveň nepřímé entity) - Ovládací prvky, které nejsou spojeny s konkrétními transakcemi, jako je například kontrolní prostředí (např. Tón nastavený správními a náborovými postupy).

Je stále obtížnější tvrdit, že spoléhání se na kontroly je rozumné při dosahování cílů na úrovni tvrzení, když se člověk pohybuje tímto kontinuem od nejpřesnějšího k nejmenšímu a jak se zvyšuje riziko. Kombinace ovládacích prvků typu 3-6 výše může pomoci snížit počet ovládacích prvků typu 1 a 2 (na úrovni transakce), které vyžadují posouzení konkrétních rizik, zejména v procesech náročných na transakce s nižším rizikem.

Podle pokynů z roku 2007 se zdá být přijatelné výrazněji spoléhat na kontroly na konci období (tj. Kontrolu záznamů v deníku a odsouhlasení účtů) a kontroly kontroly ze strany vedení než v minulosti, což účinně řeší mnoho významných rizik nesprávnosti a umožňuje buď : a) vyloučení významného počtu kontrol transakcí z rozsahu testování z předchozího roku; nebo b) snížení získaných získaných důkazů. Počet kontrol na úrovni transakcí může být významně snížen, zejména u účtů s nízkým rizikem.

Úvahy při testování a rozhodování o důkazech

Diagram rizika SEC plus další titulky

Klíčovou zásadu SEC týkající se rozhodování o důkazech lze shrnout takto: „Sladit povahu, načasování a rozsah postupů hodnocení v těch oblastech, které představují největší riziko pro spolehlivé finanční výkaznictví.“ Komise SEC uvedla, že dostatečnost důkazů požadovaných na podporu posouzení konkrétních MMR by měla být založena na dvou faktorech: a) riziko nesprávnosti finančních prvků („riziko nesprávnosti“) ab) riziko selhání kontroly. Tyto dva pojmy společně (rizika související s účtem nebo zveřejněním a rizika související s kontrolou) se nazývají „Interní kontrola nad rizikem účetního výkaznictví“ nebo „ICFR“. K ilustraci této koncepce byl do pokynů zahrnut diagram (zobrazený v této části); je to jediný takový diagram, který naznačuje důraz kladený na něj SEC. Riziko ICFR by mělo být spojeno s výše uvedenými kontrolami rozsahu a může být součástí této analýzy. Jedná se o následující kroky:

Propojte každou klíčovou kontrolu s „rizikem nesprávnosti“ souvisejícího účtu nebo zveřejnění

Vedení přidělilo hodnocení rizika nesprávnosti (vysoké, střední nebo nízké) pro každý významný účet a zveřejnění v rámci výše uvedeného hodnocení rozsahu. Posouzení s nízkým, středním nebo vysokým hodnocením by mělo být také spojeno s prohlášeními o rizicích a kontrolními prohlášeními týkajícími se účtu. Jedním ze způsobů, jak toho dosáhnout, je zahrnout hodnocení do dokumentace k prohlášení o riziku a kontrolním prohlášení společnosti. Mnoho společností používá k tomuto účelu databáze, které vytvářejí datová pole v rámci své dokumentace rizik a kontroly k zachycení těchto informací.

Ohodnoťte každou klíčovou kontrolu pro „riziko selhání kontroly (CFR)“ a „riziko ICFR“

CFR se aplikuje na úrovni jednotlivé kontroly na základě faktorů v pokynech týkajících se složitosti zpracování, manuální vs. automatizované povahy kontroly, použitého úsudku atd. Vedení si zásadně klade otázku: „Jak obtížné je tuto kontrolu provést správně pokaždé? “

S definovaným rizikem nesprávnosti účtu a definovaným CFR může vedení následně vyvodit závěr o riziku ICFR (nízké, střední nebo vysoké) pro kontrolu. ICFR je klíčový koncept rizika používaný při rozhodování o důkazech.

Hodnocení ICFR je zachyceno pro každý kontrolní výpis. Větší společnosti mají obvykle stovky významných účtů, výkazů rizik a kontrolních prohlášení. Ty mají vztah „mnoho k mnoha“, což znamená, že rizika se mohou vztahovat na více účtů a kontroly se mohou vztahovat na více rizik.

Zvažte dopad rizika na načasování, povahu a rozsah testování

Pokyny poskytují flexibilitu v načasování, povaze a rozsahu důkazů založených na interakci rizika nesprávnosti a rizika selhání kontroly (společně, riziko ICFR). Tyto dva faktory by měly být použity k aktualizaci příručky „Sampling and Evidence Guide“ používané většinou společností. Jak se tyto dva rizikové faktory zvyšují, zvyšuje se dostatečnost důkazů potřebných k řešení každého MMR.

Vedení má značnou flexibilitu, pokud jde o následující aspekty testování a důkazů, v kontextu rizika ICFR souvisejícího s danou kontrolou:

Dopad rizika ICFR na načasování, povahu a rozsah testování

• Rozsah (velikost vzorku): Velikost vzorku se zvyšuje úměrně s rizikem ICFR.
• Povaha důkazu: Vyšetřování, pozorování, kontrola a opětovné provádění jsou čtyři typy důkazů, které jsou uvedeny v pořadí podle dostatečnosti. Důkazy nad rámec šetření, obvykle kontrola dokumentů, jsou vyžadovány pro testy provozní účinnosti kontroly. Důkazy o opětovném výkonu by se očekávaly u kontrol s nejvyšším rizikem, například v procesu podávání zpráv na konci období.
• Povaha kontroly (manuální vs. automatizovaná): U plně automatizovaných kontrol buď velikost vzorku jednoho, nebo „srovnávací test“ testovací strategie může být použit. Pokud jsou obecné kontroly IT související se správou změn účinné a plně automatizovaná kontrola byla v minulosti testována, není každoroční testování nutné. Referenční hodnota musí být pravidelně stanovována.
• Rozsah požadovaného testování zpětného chodu: Jak se zvyšuje riziko, je stále pravděpodobnější, že k prodloužení účinku prozatímního testování do konce roku bude nutné provést zkušební testování. Ovládací prvky s nižším rizikem pravděpodobně nevyžadují testování přehazování.

Všudypřítomné faktory, které také ovlivňují výše uvedené úvahy o důkazech, zahrnují:

• Celková síla kontrol na úrovni entit, zejména kontrolního prostředí: Silné kontroly na úrovni entit fungují jako všudypřítomná „protiváha“ rizika plošně, což snižuje dostatečnost důkazů požadovaných v oblastech s nízkým rizikem a podporuje ducha nové pokyny, pokud jde o snížení celkového úsilí.
• Kumulativní znalosti z předchozích hodnocení konkrétních kontrol: Pokud konkrétní procesy a kontroly v minulosti fungovaly efektivně, lze snížit rozsah důkazů požadovaných v oblastech s nízkým rizikem.

Při rozhodování o testování zvažte riziko, objektivitu a kompetence

Vedení má značnou volnost v tom, kdo provádí jeho testování. Pokyny SEC naznačují, že objektivita osoby testující danou kontrolu by se měla úměrně zvýšit s rizikem ICFR souvisejícím s touto kontrolou. Proto jsou techniky, jako je sebehodnocení, vhodné pro oblasti s nízkým rizikem interní auditoři (nebo ekvivalent) by obecně měly testovat oblasti s vyšším rizikem. Střední technikou v praxi je „zajišťování kvality“, kde manažer A testuje práci manažera B a naopak.

Schopnost externích auditorů spoléhat se na testování managementu se řídí podobnou logikou. Spoléhání se je úměrné kompetenci a objektivitě vedoucího pracovníka, který testování dokončil, a to i v kontextu rizika. Pro oblasti s nejvyšším rizikem, jako je kontrolní prostředí a proces podávání zpráv ke konci období, jsou interní auditoři nebo týmy pro dodržování předpisů pravděpodobně nejlepší volbou pro provedení testování, pokud se od externího auditora očekává značná míra spolehlivosti. Schopnost externího auditora spoléhat se na hodnocení vedení je hlavním nákladovým faktorem při zajišťování souladu.

Strategie pro efektivní hodnocení SOX 404

Existuje řada konkrétních příležitostí, jak učinit hodnocení SOX 404 co nejefektivnějším.^[13][14] Některé mají dlouhodobější charakter (například centralizaci a automatizaci zpracování), jiné lze snadno implementovat. Častá interakce mezi vedením a externím auditorem je nezbytná pro určení, které strategie efektivnosti budou účinné za konkrétních okolností každé společnosti a do jaké míry je vhodné omezení rozsahu kontroly.

Centralizace a automatizace

Centralizovat: Použití modelu sdílené služby v klíčových rizikových oblastech umožňuje, aby bylo pro účely testování zacházeno s více místy jako s jedním. Sdílené modely služeb se obvykle používají pro procesy zpracování mezd a účtů, ale lze je použít na mnoho typů zpracování transakcí. Podle nedávného průzkumu společnosti Finance Executives International měly decentralizované společnosti dramaticky vyšší náklady na dodržování předpisů SOX než centralizované společnosti.^[15]

Automatizovat a srovnávat: Klíčové plně automatizované ovládací prvky IT aplikací mají minimální požadavky na velikost vzorku (obvykle jeden, na rozdíl od až 30 u ručních ovládacích prvků) a nemusí být vůbec testovány přímo v rámci konceptu srovnávání. Srovnávací test (viz dodatek B pokynů PCAOB) umožňuje vyloučení plně automatizovaných kontrol aplikací IT z testování, pokud jsou určité kontroly řízení změn IT účinné. Například mnoho společností se silně spoléhá na manuální rozhraní mezi systémy, s tabulkami vytvořenými pro stahování a nahrávání ručních záznamů deníku. Některé společnosti zpracovávají tisíce takových záznamů každý měsíc. Automatizací manuálních zápisů do deníku lze dramaticky snížit náklady na práci i hodnocení SOX. Kromě toho se zvyšuje spolehlivost finančních výkazů.

Přístup celkového hodnocení

Přezkoumat přístup a dokumentaci k testování: Mnoho společností nebo externích auditorských společností se omylem pokusilo zavést obecné rámce přes jedinečné procesy na úrovni transakcí nebo napříč místy. Například většina prvků COSO Framework představuje nepřímé ovládací prvky na úrovni entity, které by měly být testovány odděleně od transakčních procesů. Kromě toho lze do samostatné dokumentace procesu umístit ovládací prvky zabezpečení IT (podmnožina ITGC) a sdílené ovládací prvky služby, což umožňuje efektivnější přiřazení odpovědnosti za testování a odstranění redundance napříč místy. Testování klíčových záznamů deníku a odsouhlasení účtu jako samostatného úsilí umožňuje zvýšit efektivitu a zaměření na tyto kritické ovládací prvky.

Spolehněte se na přímé kontroly na úrovni účetní jednotky: Pokyny zdůrazňují identifikaci, které přímé kontroly na úrovni účetní jednotky, zejména proces na konci období a určité kontrolní kontroly, jsou dostatečně přesné, aby odstranily z rozsahu kontroly (transakční). Klíčem je určit, která kombinace ovládacích prvků na úrovni entity a na úrovni tvrzení řeší konkrétní MMR.

Minimalizujte průběžné testování: Správa má podle nových pokynů větší flexibilitu, aby prodloužila datum účinnosti testování prováděného během období v polovině roku („prozatímní“) do data konce roku. Pouze kontroly s vyšším rizikem pravděpodobně budou podle nových pokynů vyžadovat testování přehazování. PCAOB AS5 naznačuje, že vyšetřovací postupy týkající se toho, zda ke změnám v kontrolním procesu došlo mezi prozatímním a koncem roku, mohou být v mnoha případech dostatečné k omezení testování přehrání.

Znovu posoudit rozsah hodnocených lokalit nebo obchodních jednotek: Jedná se o komplexní oblast vyžadující důkladný úsudek a analýzu. Pokyny z roku 2007 se při určování rozsahu a dostatečnosti důkazů, které je třeba získat u decentralizovaných jednotek, zaměřily spíše na konkrétní MMR než na velikost dolaru. Výklad (běžný podle pokynů před rokem 2007), že jednotka nebo skupina jednotek byla významná, a proto velký počet kontrol napříč více procesy vyžaduje testování bez ohledu na riziko, byl nahrazen. Pokud jsou zůstatky na účtu od jednotlivých jednotek nebo skupin podobných jednotek podstatnou částí konsolidovaného zůstatku na účtu, vedení by mělo pečlivě zvážit, zda MMR může v konkrétní jednotce existovat. Poté by mělo být provedeno testování zaměřené pouze na ovládací prvky související s MMR. Měly by se také zvážit monitorování kontrol, jako jsou podrobné schůzky kontroly výkonu s robustními balíčky zpráv, aby se omezilo testování specifické pro transakci.

Přístup k hodnocení IT

Testování IT IT zaměřené na obecnou kontrolu (ITGC): ITGC jsou ne zahrnuto do definice kontrol na úrovni entity podle pokynů SEC nebo PCAOB. Testování ITGC by proto mělo být prováděno v rozsahu, v jakém řeší konkrétní MMR. ITGC přirozeně umožňuje vedení spoléhat se na plně automatizované ovládací prvky aplikací (tj. Ty, které fungují bez lidského zásahu) a na IT závislé kontroly (tj. Ty, které zahrnují kontrolu automaticky generovaných zpráv). Cílené testování ITGC si zaslouží podporu cílů kontroly nebo tvrzení, že plně automatizované kontroly nebyly změněny bez povolení a že generované kontrolní zprávy jsou přesné a úplné. Mezi klíčové oblasti ITGC, které budou pravděpodobně kritické, patří: postupy řízení změn aplikované na konkrétní implementace finančního systému během období; postupy řízení změn dostatečné k podpoře srovnávací strategie; a pravidelné sledování bezpečnosti aplikací, včetně oddělení povinností.

Pokyny PCAOB po roce 2007

PCAOB pravidelně vydává „Upozornění na praxi při auditu zaměstnanců“ (SAPA), které „upozorňují na nové, vznikající nebo jinak pozoruhodné okolnosti, které mohou ovlivnit, jak auditoři provádějí audity podle stávajících požadavků standardů ...“ Podle SAPA # 11 Úvahy pro audity vnitřní kontroly nad finančním výkaznictvím (24. října 2013) PCAOB diskutovala o významných problémech s auditorskou praxí týkající se hodnocení ICFR. Mezi ně patří mimo jiné:

• Systémem generované zprávy („Informace poskytované účetní jednotkou“ nebo „IPE“): Požadavky, aby auditoři (a prostřednictvím správy proxy) získali další důkazy o tom, že plně automatické zprávy a manuální dotazy používané jako kontrolní vstupy jsou přesné a úplné.
• Kontroly na úrovni účetní jednotky a kontroly kontroly: Někdy se příliš často spoléhalo na kontroly na úrovni účetní jednotky a kontroly kontroly (obdobně koncepčně jako kontroly na konci období), které nebyly dostatečně přesné, aby snížily riziko významné nesprávnosti na „vzdálenou“ úroveň . SAPA # 11 poskytuje další kritéria, která pomáhají při tomto hodnocení přesnosti.
• Kritéria pro vyšetřování: Auditoři ne vždy získali dostatečné důkazy o tom, že kontroly vedení byly prováděny efektivně, pokud byly zaznamenány neobvyklé odchylky mimo stanovené tolerance. Například vedení mohlo podepsat kontrolní zprávu, že bylo zkontrolováno, ale neposkytlo žádnou další dokumentaci vyšetřování, a to navzdory neobvyklé činnosti týkající se této zprávy. SAPA # 11 uvádí: „Ověření, že byla recenze odhlášena, samo o sobě poskytuje jen malé nebo žádné důkazy o účinnosti kontroly.“^[16]

SAPA # 11 se může promítnout do další práce pro manažerské týmy, kterou mohou auditoři požadovat, aby uchovali důkazy o tom, že tyto zprávy a dotazy byly přesné a úplné. Dále může být vyžadováno vedení, aby uchovalo další důkazy o vyšetřování, pokud částky zprávy detektivní kontroly obsahují transakce nebo trendy mimo předem definované rozsahy tolerancí.

Reference