Sox control что это

Обновлено: 05.07.2024

Закон Sarbanes - Oxley (далее - SOX) был принят в 2002 г., как сказано в его тексте, ". для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей". Одним из поводов к выработке данного закона послужили случаи мошенничества относительно финансовой отчетности в некоторых крупных компаниях. Согласно этому документу фирмы, чьи акции представлены на фондовом рынке США и подпадают под действие законодательства о ценных бумагах 1934 г., должны в обязательном порядке соответствовать некоторым требованиям SOX. В частности, они обязаны создать систему внутреннего контроля финансовой отчетности и отчитываться в ее надежности и эффективности перед советом по контролю бухгалтерской отчетности публичных акционерных обществ (Public Company Accounting Oversight Board). Личную ответственность за соблюдение этого требования несут генеральные и финансовые директора предприятий.

Сегодня в России всего лишь несколько компаний, акции которых котируются на биржах США. Тем не менее нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей. Вот примерный "портрет" фирмы, которая, по данным "Бизнес-журнала", может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:

- стоимость активов, или годовой оборот, превышает 150 млн. долл.;

- средние темпы развития отрасли, в которой работает компания, - не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и т. д.);

- на протяжении последних двух-трех лет - стабильный рост выручки или активов, как минимум, на 30% в год.

СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности.

С другой стороны, поскольку в данном законе нет четкого определения системы внутреннего контроля (СВК), перед компанией, собирающейся создать у себя подобную систему, встает ряд естественных вопросов. Какие бывают СВК? Как они создаются? Какими средствами автоматизируются? Сколько времени потребуется на внедрение СВК?

Что и как контролировать

Ответ на вопрос, какой должна быть СВК, дает нам комитет спонсорских организаций комиссии Тредвея (COSO) в документе "Концептуальные основы внутреннего контроля", который, по определению самого же комитета, "выступает в качестве общепринятого стандарта при выполнении требований к предоставлению отчетности", а также в ряде актов, дополняющих этот документ.

Для начала разберемся, что же это такое - СВК. Вообще внутренний контроль - это процесс, совершаемый советом директоров, руководящими и другими сотрудниками компании с целью предоставления обоснованной гарантии эффективности и результативности финансовых операций, достоверности финансовой информации, соответствия того и другого законодательству и правилам бухгалтерского учета. Система такого контроля представляет собой совокупность инструментов, позволяющих объективно оценить эффективность процесса с точки зрения достигнутых результатов финансовых операций, правдивости публикуемой финансовой информации, соответствия всех этих действий законам и правилам.

Согласно COSO, внутренний контроль должен включать следующие компоненты.

- Контрольная среда. Это основа для всех остальных элементов, обеспечивающая дисциплину сотрудников компании по отношению к процессу и структурированность системы.

- Оценка рисков. Призвана выявлять и анализировать ситуации, при возникновении которых невозможно ни достижение поставленных целей финансовых операций, ни создание корректной отчетности о деятельности компании.

- Контрольные действия. Регламентированные процедуры, выполнение которых позволяет удостовериться, что директивы высшего руководства соблюдаются и риски, связанные с финансовыми операциями, учитываются и принимаются во внимание. Такие процессы должны осуществляться на всех уровнях деятельности компании и могут включать разнообразные методы: утверждение, авторизацию, проверку, урегулирование, а также рецензирование оперативной производительности бизнеса, сохранности активов и разделения ответственности.

- Информационная среда. Благодаря ей необходимая информация, имеющая отношение к СВК и внутреннему контролю в целом, определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять свои функциональные обязанности. Осуществляется также эффективный обмен информацией в рамках предприятия как по вертикали сверху вниз и снизу вверх, так и по горизонтали. Средства передачи информации между сотрудниками могут быть любыми.

- Мониторинг. Весь процесс управления рисками организации должен отслеживаться и по необходимости корректироваться. Мониторинг осуществляется в рамках текущей деятельности руководства или путем периодического проведения оценок.

СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности. Вся система должна гарантировать разумную детализацию учета, обеспечивающую достоверность отражения финансово-хозяйственных операций и финансового положения компании. Выполнение действий, предусмотренных системой внутреннего контроля, дает уверенность в том, что все указанные операции отражаются согласно установленным требованиям, а доходы и расходы санкционированы руководством. При этом любые попытки несанкционированного приобретения, использования или продажи активов, которые могут иметь существенное воздействие на финансовую отчетность, будут своевременно обнаружены.

Зоны ответственности

SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы, регулярную оценку, отражение эффективности в финансовой отчетности и подтверждение внутренней оценки качества системы путем внешнего аудита. Соответствующие разделы закона - 302 (обязывает высшее руководство компании подтверждать, что отчетность, составляемая согласно закону 1934 г. о ценных бумагах, просмотрена лицом, которое ставит в документах подпись, и не содержит ложных сведений; подписывающее лицо несет ответственность за то, что на предприятии в течение всего отчетного периода функционирует СВК, что она эффективна, не имеет существенных замечаний, а ее недостатки отражены в документах) и 404 (устанавливает ответственность высшего руководства компании за проверку системы внутреннего контроля и обязывает создавать отчеты о правильности и эффективности этого механизма).

SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы и регулярную оценку.

Система внутреннего контроля должна пройти внешний аудит на предмет соответствия требованиям SOX, если она разработана по методологии COSO, задокументирована в формате, понятном аудиторам, и актуальна (т. е. в ней действуют принятые регламенты). Если результаты исполнения контролирующих процедур фиксируются, в отношении отклонений предусматриваются эффективные корректирующие воздействия; осуществляется постоянный мониторинг СВК; руководством утверждаются и контролируются правила ее внутренней сертификации. Ответственность за эту систему в компании должна быть разделена, а генеральный и финансовый директора обязаны засвидетельствовать, что периодическая финансовая отчетность полностью соответствует требованиям закона о биржах 1934 г. и что информация, cодержащаяся в отчетности, дает справедливое представление обо всех существенных аспектах финансового состояния и результатах деятельности компании (раздел 906 SOX).

COSO не дает рекомендаций относительно выбора конкретных аудиторских фирм при формировании процесса внутреннего контроля, но во время создания такой системы компания должна привлечь специалистов из так называемой "большой четверки" - PricewaterhouseCoopers, Deloitte, Ernst & Young и KPMG, поскольку с некоторыми из них COSO взаимодействует при разработке концептуальных продуктов по аудиту предприятий.

Построение СВК - это не просто формирование набора документов и иных сущностей, составляющих так называемую контрольную среду; это выполнение действий по интеграции компонентов внутреннего контроля во все бизнес-процессы, связанные с созданием финансовой отчетности, подготовка персонала для обеспечения эффективности данного процесса и создание автоматизированной системы, обеспечивающей документирование исполнения регламентов, хранение подтверждений исполнения, анализ покрытия рисков контрольными действиями, возможность проводить тестирование элементов, формулировать замечания и рекомендации по устранению недостатков системы и составлять отчетность относительно состояния СВК. Реализацию всех перечисленных функций было бы разумно возложить на специальную автоматизированную систему.

Что следует автоматизировать

Необходимость автоматизации диктуется тем обстоятельством, что для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, связанных с порождением финансовой отчетности, а сделать это без тесно интегрированных информационных систем управления и контроля, связывающих данные о бизнес-процессе и об управлении его рисками, не представляется возможным (особенно в тех случаях, когда таких бизнес-процессов очень много). Автоматизированная система поможет реализовать процесс внутреннего контроля за изменениями состояния объектов, описанных в документах COSO на концептуальном уровне, в контексте бизнес-процессов. Поскольку очень важна возможность оценки СВК по аналитическим сводкам о функционировании такой системы, система должна быть прозрачной для руководства компании, предоставляя ему отчеты о своем состоянии и эффективности.

Одним из решений второго подхода является приложение Mercury Sarbanes - Oxley Corporate Assessment Accelerator (MSOXCA), входящее в состав продукта Mercury IT Governance Center (ITGC) и реализованное на платформе Java 2. Продукт ITGC призван решать задачи детализированного управления ИТ-проектами, реализуемыми в компании, посредством организации процессов взаимодействия внутри технических подразделений и их связей с другими отделами, а также через подсистему отчетов о состоянии инфраструктуры ИТ и связанных с нею проектов. По сути MSOXCA представляет собой пакет настроек модуля управления запросами ITGC. После того как описание структуры СВК будет сформировано в виде XML-документа и импортировано в систему, производится настройка правил осуществления процесса контроля.

Ко встроенным системам относится также модуль Oracle Internal Controls Manager (OICM), входящий в состав Oracle E-Business Suite, но лицензируемый отдельно. Реализован он на платформе Oracle и состоит из трех уровней: уровня базы данных (на Oracle Database), уровня приложений, управляющего модулями Oracle E-Business Suite, и клиентского уровня в виде Java-модуля для Web-браузера.

OICM связывает в единую систему компоненты для ведения внутреннего контроля, отвечающие за документирование, тестирование, мониторинг внутреннего контроля и его cоответствие требованиям законодательства.

Еще одним примером систем второго типа может быть SAP Management of Internal Controls (MIC), которая поставляется в составе SAP R/3. Большим ее преимуществом по сравнению с упомянутыми выше решениями является то, что она интегрируется практически со всеми популярными операционными системами, СУБД, средствами построения отчетов и клиентскими приложениями. Строго говоря, определение MIC как подсистемы технически не совсем верно, это скорее логическое объединение различных механизмов SAP для построения автоматизированной СВК.

В отличие от MOSASO встроенные системы позволяют не только создавать обособленные описания контролируемых процессов, но и интегрировать внутренний контроль с уже реализованной в ERP-решении бизнес-логикой. Отсюда следует, что для обеспечения взаимодействия автономной СВК с иными программными средствами придется затратить больше дополнительных ресурсов, в то время как модуль ERP-системы настроить для работы с уже отлаженным механизмом финансового или иного документооборота гораздо проще.

Для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, по которым требуется финансовая отчетность.

Несмотря на то что ERP-решения идеологически построены для автоматизации основных бизнес-процессов предприятия, они также позволяют реализовать взаимодействие с внешними приложениями: у SAP R/3 это модули интерфейса, осуществляющие импорт-экспорт данных для связи с внешними программами, и библиотечные функции; у Oracle E-Business Suite - интерфейсные таблицы СУБД и процессы, обеспечивающие взаимодействие; у Mercury ITGC - поддержка Web-сервисов и протокола SOAP; кроме того, существуют интерфейсные таблицы в БД и пакеты импорта наряду с поддержкой технологии портлетов.

Общие рекомендации

Следует отметить, что все перечисленные выше системы позволяют компаниям удовлетворять разделам 302 и 404 требований SOX. Автоматизация СВК занимает от 40 до 400 дней в зависимости от сложности проекта и выбранного программного продукта. Надо также иметь в виду, что такое внедрение - это в первую очередь создание логической и информационной структуры СВК с точки зрения задач управления рисками и только во вторую - автоматизация данного процесса.

В контексте затрат на лицензирование названных продуктов желательно учитывать следующие обстоятельства:

- если на предприятии уже установлены Microsoft Office и SQL Server 2000 Standard или Enterprise Edition, то основные расходы при внедрении MOSASO придутся на консалтинг, потому что SharePoint Services и MOSASO предоставляются бесплатно;

- лицензии на продукты SAP приобретаются на каждого пользователя системы, поэтому установка SAP MIC будет включать только стоимость консалтинга и лишь при создании или расширении отдела СВК - дополнительные пользовательские лицензии;

- лицензирование OICM происходит таким образом, что разрешение на использование необходимо приобрести для каждого сотрудника, работающего с системой (минимальное число таких лицензий - 500);

- информацию о схеме лицензирования продуктов Mercury можно получить только у официальных дистрибьюторов этой компании.

По опыту компании GMCS, начавшей одной из первых в нашей стране внедрять автоматизированные СВК, можно отметить некоторые сложности, которые возникают в процессе ввода в эксплуатацию решений такого рода.

- Концептуальную модель СВК необходимо строить одновременно с разработкой программно-технологических решений автоматизированной системы. Дело в том, что для каждого конкретного предприятия аудиторские фирмы разрабатывают уникальные механизмы управления рисками и в момент создания автоматизированной СВК не существует программного решения, позволяющего настроить нужным образом логику внутреннего контроля. В результате определенную часть функциональности будущей системы приходится реализовывать по ходу утверждения контрольных и иных регламентов, учитывая постоянно меняющиеся требования к концепции СВК. Для преодоления такого рода затруднений выполняется полный цикл производства программного решения: анализ требований к системе, проектирование, реализация, тестирование.

- В территориально распределенных холдингах существуют такие требования: разделение информации, относящейся к разным филиалам, консолидация сведений о состоянии и эффективности системы, управление доступом сотрудников к этой информации. С целью разделения информации организуются логические и физические хранилища для каждого филиала, что позволяет, в частности, разграничить доступ пользователей к данным филиалов. Консолидация показателей состояния и эффективности СВК осуществляется в процессе генерации соответствующих отчетов, что требует либо создания отдельной базы, где хранятся данные обо всей системе, либо специальной настройки программных средств построения отчетности.

В итоге клиенты получают систему, которая полностью удовлетворяет методологии COSO и требованиям SOX, прозрачна и удобна в эксплуатации для всех категорий пользователей - как для сотрудников самого предприятия, так и для внешних аудиторов.

Система внутреннего контроля на основе SOX

Элементы системы внутреннего контроля Sarbanes-Oxley (SOx)

Рассмотрим, из чего состоит система внутреннего контроля и какие другие элементы компании с ней связаны. Под контролем понимается набор действий, связанных с подготовкой, проверкой и визированием финансовых документов, которые направлены на выявление несоответствий стандартам в этих документах. Иными словами, каждый процесс подготовки значимых финансовых документов должен содержать эффективные действия по контролю за их составлением. Наличие таких действий в компании позволяет выявлять существенные ошибки до подписания документов ответственными лицами.

Важным элементом является и существенный счет. Под существенными понимаются те счета, объем операций по которым превышает заранее оговоренные границы, что, следовательно, делает их предметом рассмотрения в рамках системы внутреннего контроля. Помимо этого существенными могут быть признаны счета, обладающие качественными признаками, искажение информации по которым может ввести в заблуждение потенциальных инвесторов. Количество существенных счетов определяет необходимый объем контроля.

С организационной точки зрения в систему внутреннего контроля вовлечены сотрудники компании, представляющие различные подразделения и уровни управления. Главными ответственными лицами являются руководитель предприятия и финансовый управляющий, которые заинтересованы в том, чтобы система была внедрена и эффективно функционировала. Значимым организационным элементом является подразделение, ответственное за формирование методики и концепции системы внутреннего контроля, разработку и реализацию процедур, выбор и внедрение инструментов, обеспечение функционирования всей системы.

Выделяются также владельцы документов, контролеры и тестировщики. Вся ролевая концепция и распределение ответственности должны быть выполнены таким образом, чтобы гарантировать независимость друг от друга таких элементов, как подготовка и контроль документа, тестирование контроля. В структуре управления могут присутствовать и ответственные за отдельные области, выделяемые по функциональному, региональному и другим признакам.

Организационное устройство системы дополняют внешние консультанты и, безусловно, независимые аудиторы, обязанные подтвердить заявленную руководством компании оценку созданной системы внутреннего контроля. Немаловажным элементом системы внутреннего контроля являются инструментальные средства поддержки процедур контроля и тестирования. Их применение обоснованно в случае, если необходимо обеспечить единое информационное пространство по формированию структуры всей системы, а также по оперативному управлению контролем и тестами с последующим составлением отчетности для целей внутреннего и внешнего аудита.

При внедрении данной системы нельзя руководствоваться только формальными признаками соответствия закону. Важно проникнуться идеей необходимости системы управления соответствиями, что позволит получить эффективную систему внутреннего контроля и тестов. Вся система считается эффективной, если объем снижаемых финансовых рисков превышает затраты на выполнение контроля и их тестирование, а также на поддержание всей системы в работоспособном состоянии.

Основные документы в области создания системы внутреннего контроля

  • организация внутренней/управленческой среды в компании;
  • установление целей развития компании;
  • определение методов идентификации рисков и методов их оценки;
  • выбор методов управления рисками (уклонение от риска, сокращение, перераспределение или принятие);
  • установление основных принципов организации контрольных процедур;
  • определение средств коммуникации и обмена информацией, а также средств тестирования системы внутреннего контроля.

Подходы к построению систем внутреннего контроля (СВК)

Описные процессов для целей Sarbanes-Oxley (SOx)

Список отобранных таким образом счетов будет определять объем дальнейших работ по развертыванию системы внутреннего контроля. Следует понимать, что при большом числе существенных счетов система контроля будет достаточно громоздкой и дорогостоящей, тогда как при недостаточном количестве организация получит отрицательный результат при аудите. Далее необходимо определить, какие процессы компании связаны с формированием отобранных существенных счетов.

Для решения этой задачи целесообразно предварительно составить архитектуру процессов организации, содержащую полный набор как основных, так и вспомогательных и управляющих бизнес-процессов. За основу можно взять эталонную 13-процессную модель или соответствующую отраслевую модель деятельности. Отобранные процессы подвергаются более детальному рассмотрению, позволяющему выявить правила работы с существенными счетами и сформировать представление о методах контроля за формированием финансовых документов.

Анализ деятельности компании с точки зрения процессов играет существенную роль при построении системы внутреннего контроля. Такой подход обеспечивает контроль объема работ по документированию деятельности, при этом проводится описание только тех процессов компании, ее подразделений и филиалов, которые являются существенными с точки зрения выполняемого проекта.

Проведя детальное моделирование процессов, компания получает возможность определить, какие операции связаны с обработкой существенных счетов, как эти операции встроены в процесс и какие меры контроля применяются или могут быть применены для снижения финансовых рисков. Это также делает возможным провести точечную идентификацию всех рисков, связанных с формированием финансовых документов.

Помимо бизнес-процессов необходимо уделять внимание информационным системам, которые поддерживают выбранные процессы, поскольку в рамках их работы могут возникнуть ошибки, влияющие на достоверность финансовой отчетности. Выявленные риски должны быть подвержены определенной оценке. Это необходимо для выявления наиболее существенных рисков, для которых и будет разработана система внутреннего контроля.

Закон Sarbanes-Oxley (SOx)

По закону Sarbanes-Oxley требуются описание, тестирование и мониторинг всей внутренней системы контроля за рисками, влияющими на качество финансовой отчетности. Поэтому сегодня компании сталкиваются с проблемой, касающейся выполнения процессно-ориентированного аудита своих систем внутреннего контроля на предмет выявления их недостатков и непрерывного улучшения. Данный закон применим и к иностранным эмитентам. Им предоставляются лишь небольшие послабления в области построения системы внутреннего аудита.

Среди иностранных эмитентов под действие закона подпадают все компании, акции которых котируются на фондовом рынке США. Кроме того, закон распространяется на компании, которые либо имеют значительный объем деятельности на территории США, либо сотрудничают с правительственными организациями США, либо планируют слияние или тесно связаны по бизнесу с котирующимися на американском фондовом рынке компаниями. Это означает, что все российские компании, которые могут быть отнесены к перечисленным категориям, были обязаны к концу финансового года, заканчивающегося после 15 июля 2006 г., внедрить систему внутреннего контроля за формированием финансовой отчетности и произвести оценку эффективности этой системы.

Закон Sarbanes-Oxley (SOx) статьи 302,404

В настоящее время во многих странах работают над созданием аналогичных законов, что свидетельствует об актуальности задач по построению системы внутреннего контроля. Однако важно также отметить, что данная система, созданная по требованиям закона Sarbanes-Oxley, является лишь одним из элементов общей системы управления соответствиями. Такая система позволяет идентифицировать основные требования к деятельности компании и обеспечить соответствие им. К подобным требованиям могут относиться законодательные нормативные акты (такие, как закон Sarbanes-Oxley), требования по качеству продуктов/услуг и процессов их создания, отраслевые стандарты, частные требования, выставляемые акционерами и руководством компании. Следовательно, задача построения системы внутреннего контроля важна не только с точки зрения присутствия на американской или какой-либо другой фондовой бирже, но и с позиции минимизации рисков и снижения степени несоответствия различным стандартам.

SOX и Закупки. Правильный подход или дополнительная работа?


Я специально назвал тему заметки «SOX и Закупки» вместо более очевидной «SOX в Закупках» и вот почему.

С SOX я познакомился в самом начале 2010-х, в Банковской сфере. В то время из-за турбулентности на финансовых рынках и общей нестабильной экономической ситуации Банк, в котором я работал, взял за приоритет формат работы с учетом постоянного анализа рисков (risks based approach), который в т.ч. распространялся и на область Закупок. Отношение к контролю по стандарту SOX с того момента стало очень пристальным.

Нет, нам нужно начать с более исторического пункта…

Помните, в конце 90-х разгорелись крупные мировые скандалы, связанные с предоставлением некорректной отчетности и в связи с этим манипулированием на рынке ценных бумаг? Одними из крупных были: крах Worldcom, Enron, Marconi и т.д. В результате неподконтрольной на тот момент ситуации в формате работы по предоставлению финансовой отчетности был принят закон Мэриленда Пола Сарбейнза и Майка Оксли, который определял стандарты подготовки и предоставления финансовых результатов для компаний и способствовал повышению уровня ответственности управленцев за точность отражения информации в отчетности. Закон получил название Sarbanes-Oxley Act или кратко: SOX. Более детальную информацию можно легко найти в интернете.

Закон SOX распространяется на все американские и мировые компании, ценные бумаги которых котируются на фондовых биржах США. На мой взгляд, принципы построения контроля SOX можно и главное нужно применять вне зависимости от того, попадает ли компания под действие закона или нет.

В законе присутствует довольно большое кол-во статей, но со стороны закупок больше всего мы сфокусируемся на двух статьях: №302 и №404, которые кратко можно изложить как: Закон требует подтверждения руководством компании всех финансовых отчетов, включая ответственность за работу системы внутреннего контроля. И под внутренним контролем в данном случае имеется в виду не «аудит», который относится к поиску или оценке уже существующих слабых мест. Внутренний контроль – это построение эффективной системы предотвращения появления ошибок или мошенничества, которые смогут стать причиной искажения финансовой отчетности.

И если еще кратко: а построен ли у нас такой процесс, когда у сотрудников нет возможности его нарушить без уверенности, что это будет расследовано? А как часто мы проверяем наши процессы? А как часто мы смотрим на риски, которые могут возникнуть в наших процессах?

Как говорил один из аудиторов Большой Четверки, который занимался проверкой контролей SOX: Олег, а что ты хотел? Закупки могут быть с большим количеством нулей в P&L и в наше время инвесторы хотят быть уверены не только в прибыли.

Если вернутся к началу заметки, именно поэтому Закупки являются частью исполнения контроля закона SOX.

Ниже я опишу несколько принципов и видов контроля, которые, на мой взгляд, могут быть применимы к разным направлениям работы в Закупках. Нужно помнить, что любой контроль требует разработки, описания, внедрения и мониторинга. 🙂 В закупках, контроль может быть двух видов: выявляющий и предотвращающий. «Предотвращающий» – когда процесс построен таким образом, что не позволяет сотруднику нарушить его, а «Выявляющий» – когда сотрудник может его нарушить с уверенностью в полном информировании о таком нарушении.

Примеры контроля с комментариями:

  1. Проведение оплаты по счету именно к тому поставщику, с которым подписан договор:
  • Как в компании мониторится система, чтобы не допустить возможности оплаты счета неавторизованному поставщику. Например: договор заключен с «Ромашка» ИНН77777777, а оплата идет к «Ромашка» ИНН8888888?
  • Как в компании построен процесс ввода реквизитов юридического лица? Кто может менять реквизиты и какие стоят права доступа на такие действия? Ведется ли учет действий и авторизаций, связанных с модерацией реквизитов поставщиков? Если ведется – в каком формате?

2. Выбор поставщика не на условиях честности и прозрачности:

  • Каким способом происходит выбор поставщика для исключения возможностей заинтересованности или манипуляции? Как сохраняется информация о таком выборе? Насколько защищены данные по выбору поставщика со стороны последующих манипуляций?
  • Как описан и выполняется процесс «разделения обязанностей сотрудников» при взаимодействии с поставщиком на этапе тендера?
  • Есть ли процесс независимого подтверждения отсутствия аффилированности поставщика?

3. Если в компании используется система R2P: проведение сверки между уже оплаченными счетами, согласованными заявками на закупку и базой данных поставщиков.

  • В каком режиме происходит сверка данных по согласованным Заявкам на закупку с фактически оплаченными счетами? Валидация проходит автоматически или вручную?
  • Есть ли возможность вручную вносить изменения в уже согласованную Заявку на поставку? Как происходит учет таких действий?

4. Оплата счета без договора.

  • Есть ли возможность произвести оплату поставщику без договора и проведения тендера?
  • Есть ли соответствующие процедуры? Ведется ли проверка поставщика на аффилированность?
  • Какие сотрудники принимают решение о такой операции? Где и как хранится подтверждение и цель проведения действия, и кто имеет к ней доступ?

5. Контроль повторяющихся закупок.

  • При наличии повторяющихся закупок внутри компании как происходит процесс валидации заказанных и фактических оказанных услуг или поставленных товаров? Есть ли разграничение обязанностей между сотрудниками, которые производят заказ и подписывают акты?

На моей практике в Закупках внедряли порядка 19 видов контроля, которые в большинстве своем были упреждающими. Одним из важных аспектов работы с SOX и прохождения аудитов является четкое определение порядка хранения и контроля всех документов, логов и решений, которые могут относиться к процессу проведения закупок.

Я уверен, работая в Закупках, вы сталкивались или работаете с принципом: «минимума 4 глаз». Когда каждая итерация в осуществлении закупок от процесса заявки до итоговой оплаты счета поставщику должна быть подтверждена, одобрена или просмотрена минимум двумя сотрудниками, а для некоторых этапов это требование может быть расширено на уровни разных департаментов или отделов компании. Например: сотрудник не может создать заявку на закупку без авторизации держателя бюджета, а сотрудник бухгалтерии не может оплатить этот счет, если он выставлен от поставщика, который не одобрен отделом Procurement, даже если на нем есть подпись Генерального директора.

Для целей SOX наличие в компании такого процесса только плюс.

Если у Вас был опыт работы с аудитами SOX или постановкой контролей в Закупках, буду рад узнать Ваше мнение о законе и его исполнении.

P.S. Оценка и мониторинг рисков – это тоже контроль. Но данную тему я решил разобрать в следующей статье.

Ой, забыл, Сотрудники, отвечающие за предоставление отчетности согласно Закону SOX, несут уголовную ответственность 🙂

Состав проектной группы внедрения системы внутреннего контроля Sarbanes-Oxley (SOx)

Состав проектной группы и процедуры работы должны быть подобраны таким образом, чтобы обеспечить выполнение следующих важных условий проекта:

  • единство методов построения и оценки системы внутреннего контроля по всем подразделениям и филиалам компании;
  • формирование единой концепции и разработка целостной ролевой модели управления соответствиями;
  • достижение заданного уровня проработки системы внутреннего контроля в каждом подразделении и филиале с учетом ее общей экономической эффективности;
  • создание условий для информирования и коммуникации всех заинтересованных лиц;
  • эффективное обучение и передача знаний всем сотрудникам, которые будут вовлечены в функционирование системы внутреннего контроля; реализация процедур управления проектом и эскалации решений (под эскалацией понимается изменение уровня и правил принятия решений в случае, если решение не может быть принято по заранее установленной процедуре заранее определенным составом ответственных лиц).

Следующей задачей, решаемой в проекте, является определение существенных счетов. Все счета компании, связанные с движением денежных средств, а также материальных и нематериальных активов, оцениваются на предмет значимости их объемов с точки зрения индекса существенности (как процент от оборота компании или другого финансового показателя). Индекс существенности может быть рассчитан на основе не только количественных, но и качественных показателей.

Создание системы внутреннего контроля

  • все операции и сделки компании соответствующим образом авторизованы;
  • активы компании защищены от несанкционированного использования;
  • все операции нашли соответствующее отражение в учетных регистрах и финансовой отчетности.
  • идентификация критических процессов;
  • формализация процессов;
  • идентификация рисков в процессах;
  • оценка рисков;
  • разработка контрольных процедур;
  • тестирование контрольных процедур.


Идентификация критических процессов

Идентификация рисков в процессах

Следует определить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов. Так, для удовлетворения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также к мошенничеству. Если сравнивать общее число критичных рисков и рисков, влияющих на финансовую отчетность, то можно сделать вывод, что риски в области финансовой отчетности составляют, как минимум, четверть от всех операционных рисков компании. Число рисков может превышать тысячу, что обусловливает объем проекта по построению системы внутреннего контроля.
Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка на основании только опроса экспертов и без анализа процессов, как правило, не позволяет достичь его полноты. Это приводит к тому, что при внешнем аудите обнаруживается множество неучтенных рисков, и система внутреннего контроля признается неэффективной.

Оценка рисков

Деятельность по оптимизации процессов всегда присутствует (скрыто или явно) в любой компании. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения данного направления деятельности в компании.

Существуют четыре стратегии управления операционными рисками:

Тестирование контрольных процедур

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.

Данная проверка осуществляется с помощью набора тестов, которые состоят из нескольких последовательных шагов:
устанавливается наличие основного документа (политики, регламента), где определяются порядок и правила выполнения данного процесса;
проверяется выполнение на практике требований, описанных в основном документе, и документируются конкретные примеры выполнения.
По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьировать.

В настоящее время существует достаточное количество программных продуктов импортного производства (ERP, DMS и т. д.), обеспечивающих решение этой задачи в части внедрения контрольных процедур в функционал информационных систем. Однако, даже внедрив решение определенного поставщика, можно не получить эффективную систему внутреннего контроля, поскольку для большинства контрольных процедур все еще будут требоваться ручное исполнение и фиксация, что оставляет большой потенциал для совершенствования разработчиками своих ИТ-решений в данной области.
В заключение хочется отметить, что внутренний контроль должен быть регулярным процессом. Как всякий процесс, он требует правильного планирования, выполнения, проведения и совершенствования.

SOX-Sarbanes-Oxley

система внутреннего контроля

Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx)

Проект по разработке и внедрению эффективной системы внутреннего контроля предусматривает следующие этапы работ:

  • оценка объема проекта и планирование работ;
  • определение существенных счетов компании (материальных и нематериальных);
  • установление бизнес-процессов компании, важных с точки зрения существенных счетов;
  • описание структуры выделенных процессов;
  • определение рисков и их предварительное ранжирование; проведение оценки наиболее существенных рисков и их ранжирование;
  • описание/разработка системы внутреннего контроля;
  • проведение первичной оценки эффективности систем внутреннего контроля;
  • настройка системы тестов и процедур для проведения периодического тестирования системы внутреннего контроля и формирования рекомендаций по их улучшению.

Рассмотрим более подробно каждый из указанных этапов. На первом этапе необходимо четко определить границы выстраиваемой системы внутреннего контроля в соответствии с их предполагаемым объемом и степенью надежности.

Под объемом понимается количество существующих в компании направлений деятельности и, следовательно, подразделений и финансовых документов, которые подпадут под действие системы. Степень надежности определяется через индикаторы существенности, задающие уровень финансовых рисков, которые должны стать предметом контроля. Исходя из этих двух измерений устанавливаются предполагаемый объем работ, состав проектной группы, график выполнения проекта.

Контрольные процедуры для Sarbanes-Oxley (SOx)

Следующий этап работ подразумевает определение контрольных действий в бизнес-процессах, направленных на минимизацию рисков, которые связаны с существенными счетами (через контроль правильности формирования соответствующих финансовых документов). При этом основное внимание уделяется документированию контрольных действий, хотя можно сразу дополнять или видоизменять их, если эксперты видят в этом целесообразность и обоснованность.

Результатом работ должно стать полное документирование контрольных действий, включая название контроля, его детальное описание (цели, последовательность действий-, периодичность, исходные документы, ответственное лицо), а также ссылка на реестр или документ (если таковые имеются), в котором фиксируется факт и результат проведения обозначенных контрольных действий.

После документирования всех контрольных действий необходимо провести их первичную оценку на предмет эффективности. Данная работа выполняется экспертами на основе всей созданной в ходе проекта документации и при необходимости с использованием рабочих документов, в отношении которых осуществляется контроль. По результатам оценки формируется отчет о качестве каждого контрольного действия.

Качество подразумевает способность контроля выявлять ошибки и искажения информации, а также эффективность самих действий по выявлению и устранению этих ошибок. Качество контроля кодируется при помощи системы обозначений, что позволяет легко отбирать неэффективные контрольные действия и проводить общую оценку системы внутреннего контроля. Для всех некачественных контрольных действий должны быть разработаны рекомендации по улучшению, по результатам реализации которых вносятся изменения в документацию по системе внутреннего контроля.

Читайте также: