sox controls что это
Sidebar
Свежие записи
Свежие комментарии
Архивы
Рубрики
SOX и Закупки. Правильный подход или дополнительная работа?
ОПУБЛИКОВАНО oremizov в 02.03.2017
SOX and Procurement
Я специально назвал тему заметки «SOX и Закупки» вместо более очевидной «SOX в Закупках» и вот почему.
С SOX я познакомился в самом начале 2010-х, в Банковской сфере. В то время из-за турбулентности на финансовых рынках и общей нестабильной экономической ситуации Банк, в котором я работал, взял за приоритет формат работы с учетом постоянного анализа рисков (risks based approach), который в т.ч. распространялся и на область Закупок. Отношение к контролю по стандарту SOX с того момента стало очень пристальным.
Нет, нам нужно начать с более исторического пункта…
Помните, в конце 90-х разгорелись крупные мировые скандалы, связанные с предоставлением некорректной отчетности и в связи с этим манипулированием на рынке ценных бумаг? Одними из крупных были: крах Worldcom, Enron, Marconi и т.д. В результате неподконтрольной на тот момент ситуации в формате работы по предоставлению финансовой отчетности был принят закон Мэриленда Пола Сарбейнза и Майка Оксли, который определял стандарты подготовки и предоставления финансовых результатов для компаний и способствовал повышению уровня ответственности управленцев за точность отражения информации в отчетности. Закон получил название Sarbanes-Oxley Act или кратко: SOX. Более детальную информацию можно легко найти в интернете.
Закон SOX распространяется на все американские и мировые компании, ценные бумаги которых котируются на фондовых биржах США. На мой взгляд, принципы построения контроля SOX можно и главное нужно применять вне зависимости от того, попадает ли компания под действие закона или нет.
В законе присутствует довольно большое кол-во статей, но со стороны закупок больше всего мы сфокусируемся на двух статьях: №302 и №404, которые кратко можно изложить как: Закон требует подтверждения руководством компании всех финансовых отчетов, включая ответственность за работу системы внутреннего контроля. И под внутренним контролем в данном случае имеется в виду не «аудит», который относится к поиску или оценке уже существующих слабых мест. Внутренний контроль – это построение эффективной системы предотвращения появления ошибок или мошенничества, которые смогут стать причиной искажения финансовой отчетности.
И если еще кратко: а построен ли у нас такой процесс, когда у сотрудников нет возможности его нарушить без уверенности, что это будет расследовано? А как часто мы проверяем наши процессы? А как часто мы смотрим на риски, которые могут возникнуть в наших процессах?
Как говорил один из аудиторов Большой Четверки, который занимался проверкой контролей SOX: Олег, а что ты хотел? Закупки могут быть с большим количеством нулей в P&L и в наше время инвесторы хотят быть уверены не только в прибыли.
Если вернутся к началу заметки, именно поэтому Закупки являются частью исполнения контроля закона SOX.
Ниже я опишу несколько принципов и видов контроля, которые, на мой взгляд, могут быть применимы к разным направлениям работы в Закупках. Нужно помнить, что любой контроль требует разработки, описания, внедрения и мониторинга. 🙂 В закупках, контроль может быть двух видов: выявляющий и предотвращающий. «Предотвращающий» – когда процесс построен таким образом, что не позволяет сотруднику нарушить его, а «Выявляющий» – когда сотрудник может его нарушить с уверенностью в полном информировании о таком нарушении.
Примеры контроля с комментариями:
2. Выбор поставщика не на условиях честности и прозрачности:
3. Если в компании используется система R2P: проведение сверки между уже оплаченными счетами, согласованными заявками на закупку и базой данных поставщиков.
4. Оплата счета без договора.
5. Контроль повторяющихся закупок.
На моей практике в Закупках внедряли порядка 19 видов контроля, которые в большинстве своем были упреждающими. Одним из важных аспектов работы с SOX и прохождения аудитов является четкое определение порядка хранения и контроля всех документов, логов и решений, которые могут относиться к процессу проведения закупок.
Я уверен, работая в Закупках, вы сталкивались или работаете с принципом: «минимума 4 глаз». Когда каждая итерация в осуществлении закупок от процесса заявки до итоговой оплаты счета поставщику должна быть подтверждена, одобрена или просмотрена минимум двумя сотрудниками, а для некоторых этапов это требование может быть расширено на уровни разных департаментов или отделов компании. Например: сотрудник не может создать заявку на закупку без авторизации держателя бюджета, а сотрудник бухгалтерии не может оплатить этот счет, если он выставлен от поставщика, который не одобрен отделом Procurement, даже если на нем есть подпись Генерального директора.
Для целей SOX наличие в компании такого процесса только плюс.
Отношение к SOX моих коллег в большинстве случаев негативное, а аудит контроля SOX для них – что-то из разряда пожара. Считаю, что в этом есть доля правды, но она не относится к процессам. Она больше касается отношения, как со стороны Закупок, так и со стороны Аудиторов. Сколько раз Аудиторы проводили тренинг по SOX, который был разработан «не для аудиторов»? Скорее всего, 0 (НОЛЬ) раз. В прошлом году я был на большом внешнем тренинге по контролям SOX и тренер чуть ли не аплодировал мне, т.к. я был первым сотрудником от направления Закупок, который посетил тренинг. В основном участники таких тренингов — аудиторы и финансовые специалисты, которые доносят требования через свою призмы.
Если у Вас был опыт работы с аудитами SOX или постановкой контролей в Закупках, буду рад узнать Ваше мнение о законе и его исполнении.
P.S. Оценка и мониторинг рисков – это тоже контроль. Но данную тему я решил разобрать в следующей статье.
Ой, забыл, Сотрудники, отвечающие за предоставление отчетности согласно Закону SOX, несут уголовную ответственность 🙂
Акт Сарбейнс-Оксли от 2002 г. (SOX)
Обзор SOX
Закон Сарбейнса-Оксли от 2002 г. (SOX) — федеральный закон США, управляемый Комиссией по ценным бумагам и Exchange (SEC). Помимо прочего, soX требует, чтобы общедоступные компании были надлежащими внутренними структурами управления, чтобы проверить, правильно ли их финансовые отчеты отражают их финансовые результаты. На SOX сильно влияют внутренние процессы клиента, особенно если речь идет о контроле за финансовой отчетностью. Например, требования SOX связаны с внутренними средствами управления клиентами для подготовки и проверки финансовых отчетов и, в особенности, с контролем, влияющим на точность, полноту, эффективность и публичное раскрытие материальных изменений, связанных с финансовой отчетностью.
SEC не определяет и не навязывает процесс сертификации SOX. Вместо этого он предоставляет широкие рекомендации для публично торгуемой компании, чтобы определить, как выполнять требования к отчетности SOX.
Microsoft и SOX
Клиенты облачных служб Майкрософт при соблюдении закона Sarbanes-Oxley (SOX) могут использовать проверку SOC 1 Type 2, полученную Корпорацией Майкрософт от независимой аудиторской фирмы при выполнении собственных обязательств по обеспечению соответствия требованиям SOX. Эта засвидетельстация подходит для отчетов о внутреннем контроле над финансовой отчетностью.
Несмотря на отсутствие сертификации или проверки SOX для поставщиков облачных служб, Корпорация Майкрософт может помочь клиентам выполнить свои обязательства по SOX. Например, soX требует внутреннего контроля для подготовки и проверки финансовых отчетов, особенно элементов управления, влияющих на точность, полноту, эффективность и публичное раскрытие материальных изменений, связанных с финансовой отчетностью. Чтобы помочь компаниям, Корпорация Майкрософт поддерживает проверку soC 1 Type 2, соответствующую отчетности по таким средствам управления в широком портфеле служб, которые можно использовать для создания широкого спектра приложений. Она основана на заявлении Американского института сертифицированных бухгалтеров (AICPA) о стандартах для обязательств по аттестации 18 (SSAE 18) и Международном стандарте обязательств по гарантиям No. 3402 (ISAE 3402). (Это заверение заменило SAS 70.)
В отчете аудита, подготовленном стороной аудиторской фирмой, подтверждается, что элементы управления Майкрософт были разработаны надлежащим образом, в течение указанной даты и эффективно функционируют в течение указанного периода времени. Клиенты могут просмотреть отчеты, чтобы узнать о задачах управления Майкрософт и эффективности управления, а также получить доступ к дополнительным средствам управления.
В Корпорации Майкрософт мы разделяем ответственность за соблюдение требований к нашим клиентам. Мы поставляем сведения о наших программах соответствия требованиям, которые можно проверить, запросив подробные результаты аудита у третьих лиц, удостоверяющих их. В конечном счете, однако, вы должны определить, соответствуют ли наши службы определенным законам и нормативным требованиям, применимым к вашему бизнесу. Например, вы несете ответственность за связанные с SOX средства управления безопасностью, такие как доступ пользователей к облачным ресурсам: организация должна разработать соответствующий аудит этих элементов управления в рамках соответствия требованиям SOX.
Затрагиваемые облачные платформы и службы Майкрософт
Azure, Dynamics 365 и SOX
По мере увеличения принятия облачных технологий все больше клиентов изучают возможность переноса приложений и рабочих нагрузок с учетом обязательств по обеспечению соответствия требованиям SOX в облако. Несмотря на отсутствие сертификата SOX или проверки для поставщиков облачных служб, Azure может помочь вам выполнить свои обязательства по SOX.
Если на вас налагаются обязательства по обеспечению соответствия требованиям SOX, следует просмотреть проверку проверки Azure SOC 1 Type 2,которая выполняется в соответствии с:
Стандарт AICPA SSAE 18 заменил SAS 70, и он подходит для отчетности по средствам управления в организации-службе, соответствующей внутреннему контролю субъектов пользователей над финансовой отчетностью. Это формальный аудит, на который можно положиться для сторонних обзоров поставщиков технологических услуг при выполнении собственных отраслевых обязательств по обеспечению соответствия требованиям для активов, развернутых в Azure. Он включает заключение аудитора об эффективности контроля для достижения связанных целей контроля в указанный период мониторинга.
Кроме того, Azure подготовила документацию по рекомендациям, которые помогут вам использовать существующие отчеты о соответствии требованиям Azure при выполнении собственных обязательств по обеспечению соответствия требованиям SOX. Он опирается на внутренний опыт Microsoft по переносу соответствующих приложений SOX в Azure. Кроме того, это руководство содержит рекомендации по миграции, включая последствия соответствия требованиям SOX, обзоры двух общедоступных кейсов и уроки, извлеченные из проектов внутренней миграции Майкрософт.
Office 365 и SOX
Облачные среды Office 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
Этот раздел посвящен следующим облачным средам Office 365.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Цикл расширения, текст автоматического альта, защита от лазурной информации, службы двоичного преобразования, бронирования, Delve, элемент документа, редактор, Exchange Online, формы, вставка Online Media, Аналитика, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 groups, OneDrive для бизнеса, planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Конструктор, PowerPoint служба документов, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, To-Do, служба веб-визуализации, Yammer корпоративный |
Аудит, отчеты и сертификаты
Вопросы и ответы
Как использовать соответствие требованиям Microsoft SOX для облегчения процесса соответствия требованиям организации?
При переносе приложений и данных в закрытые облачные службы Майкрософт можно использовать аттестации и сертификации, которые имеет Корпорация Майкрософт. Независимые отчеты аудитора свидетельствуют об эффективности элементов управления, реализованных Корпорацией Майкрософт для обеспечения безопасности и конфиденциальности данных. Однако вы несете полную ответственность за обеспечение соответствия организации всем применимым законам и правилам.
Построение системы внутреннего контроля — СВК по Sarbanes-Oxley (SOx)
В последние годы у многих компаний в очередной раз возникли проблемы, связанные с финансовой отчетностью, что привело к росту давления акционеров на них в целях существенного повышения качества управления рисками и улучшения контроля за эффективностью системы управления. Согласно закону Sarbanes-Oxley (SOx) эти компании должны принять меры к минимизации рисков ошибок в финансовой отчетности и построению системы контроля за процессами ее составления. Сегодня обязательное требование при проведении таких работ — внедрение эффективных бизнес-процессов и их мониторинг с целью обеспечения гарантии эффективной работы системы управления.
Закон Sarbanes-Oxley (SOx)
Закон Sarbanes-Oxley является одним из основных нормативных документов Комиссии по ценным бумагам США, определяющих специализированные требования ко всем компаниям, акции которых котируются на американских фондовых биржах. С 2004 г. все компании, зарегистрированные на фондовой бирже США (US Stock Exchange), и все их дочерние компании обязаны продемонстрировать эффективность системы внутреннего контроля при составлении финансовой отчетности. Генеральные директора и финансовые управляющие должны нести повышенную персональную ответственность за точность и полноту финансовой информации.
По закону Sarbanes-Oxley требуются описание, тестирование и мониторинг всей внутренней системы контроля за рисками, влияющими на качество финансовой отчетности. Поэтому сегодня компании сталкиваются с проблемой, касающейся выполнения процессно-ориентированного аудита своих систем внутреннего контроля на предмет выявления их недостатков и непрерывного улучшения. Данный закон применим и к иностранным эмитентам. Им предоставляются лишь небольшие послабления в области построения системы внутреннего аудита.
Среди иностранных эмитентов под действие закона подпадают все компании, акции которых котируются на фондовом рынке США. Кроме того, закон распространяется на компании, которые либо имеют значительный объем деятельности на территории США, либо сотрудничают с правительственными организациями США, либо планируют слияние или тесно связаны по бизнесу с котирующимися на американском фондовом рынке компаниями. Это означает, что все российские компании, которые могут быть отнесены к перечисленным категориям, были обязаны к концу финансового года, заканчивающегося после 15 июля 2006 г., внедрить систему внутреннего контроля за формированием финансовой отчетности и произвести оценку эффективности этой системы.
Закон Sarbanes-Oxley (SOx) статьи 302,404
Согласно ст. «302 — Корпоративная ответственность за финансовые отчеты» закона Sarbanes-Oxley руководители предприятий несут личную ответственность, вплоть до уголовной, за достоверность информации в создаваемых финансовых документах, а также за эффективность системы внутреннего контроля по формированию финансовой отчетности. В ст. «404 — Управление и оценка финансового контроля» определены требования к этой системе и процедурам ее оценки. Руководители компаний обязаны документально оценивать систему внутреннего контроля, отразив в отчете все ее существенные недостатки и предполагаемые меры по их устранению. Оценка, утвержденная генеральным и финансовым директорами, должна пройти проверку у внешних аудиторов, обязанных сформировать отдельное заключение, которое будет опубликовано вместе с годовой финансовой отчетностью компании. Таковы основные требования рассматриваемого закона.
В настоящее время во многих странах работают над созданием аналогичных законов, что свидетельствует об актуальности задач по построению системы внутреннего контроля. Однако важно также отметить, что данная система, созданная по требованиям закона Sarbanes-Oxley, является лишь одним из элементов общей системы управления соответствиями. Такая система позволяет идентифицировать основные требования к деятельности компании и обеспечить соответствие им. К подобным требованиям могут относиться законодательные нормативные акты (такие, как закон Sarbanes-Oxley), требования по качеству продуктов/услуг и процессов их создания, отраслевые стандарты, частные требования, выставляемые акционерами и руководством компании. Следовательно, задача построения системы внутреннего контроля важна не только с точки зрения присутствия на американской или какой-либо другой фондовой бирже, но и с позиции минимизации рисков и снижения степени несоответствия различным стандартам.
Элементы системы внутреннего контроля Sarbanes-Oxley (SOx)
Рассмотрим, из чего состоит система внутреннего контроля и какие другие элементы компании с ней связаны. Под контролем понимается набор действий, связанных с подготовкой, проверкой и визированием финансовых документов, которые направлены на выявление несоответствий стандартам в этих документах. Иными словами, каждый процесс подготовки значимых финансовых документов должен содержать эффективные действия по контролю за их составлением. Наличие таких действий в компании позволяет выявлять существенные ошибки до подписания документов ответственными лицами.
Следующим важным элементом является тест. Тест — это набор мероприятий, выполняемых для оценки эффективности внутреннего контроля. По результатам тестов становится понятно, приводят ли действия по контролю к выявлению существенных ошибок и являются ли они эффективными. Таким образом, мы получаем двухуровневую систему контроля — в оперативном порядке осуществляется контроль за процессами формирования финансовой отчетности, а на периодической основе проводится тестирование используемых средств контроля.
Важным элементом является и существенный счет. Под существенными понимаются те счета, объем операций по которым превышает заранее оговоренные границы, что, следовательно, делает их предметом рассмотрения в рамках системы внутреннего контроля. Помимо этого существенными могут быть признаны счета, обладающие качественными признаками, искажение информации по которым может ввести в заблуждение потенциальных инвесторов. Количество существенных счетов определяет необходимый объем контроля.
С организационной точки зрения в систему внутреннего контроля вовлечены сотрудники компании, представляющие различные подразделения и уровни управления. Главными ответственными лицами являются руководитель предприятия и финансовый управляющий, которые заинтересованы в том, чтобы система была внедрена и эффективно функционировала. Значимым организационным элементом является подразделение, ответственное за формирование методики и концепции системы внутреннего контроля, разработку и реализацию процедур, выбор и внедрение инструментов, обеспечение функционирования всей системы.
Выделяются также владельцы документов, контролеры и тестировщики. Вся ролевая концепция и распределение ответственности должны быть выполнены таким образом, чтобы гарантировать независимость друг от друга таких элементов, как подготовка и контроль документа, тестирование контроля. В структуре управления могут присутствовать и ответственные за отдельные области, выделяемые по функциональному, региональному и другим признакам.
Организационное устройство системы дополняют внешние консультанты и, безусловно, независимые аудиторы, обязанные подтвердить заявленную руководством компании оценку созданной системы внутреннего контроля. Немаловажным элементом системы внутреннего контроля являются инструментальные средства поддержки процедур контроля и тестирования. Их применение обоснованно в случае, если необходимо обеспечить единое информационное пространство по формированию структуры всей системы, а также по оперативному управлению контролем и тестами с последующим составлением отчетности для целей внутреннего и внешнего аудита.
При внедрении данной системы нельзя руководствоваться только формальными признаками соответствия закону. Важно проникнуться идеей необходимости системы управления соответствиями, что позволит получить эффективную систему внутреннего контроля и тестов. Вся система считается эффективной, если объем снижаемых финансовых рисков превышает затраты на выполнение контроля и их тестирование, а также на поддержание всей системы в работоспособном состоянии.
Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx)
Проект по разработке и внедрению эффективной системы внутреннего контроля предусматривает следующие этапы работ:
Рассмотрим более подробно каждый из указанных этапов. На первом этапе необходимо четко определить границы выстраиваемой системы внутреннего контроля в соответствии с их предполагаемым объемом и степенью надежности.
Под объемом понимается количество существующих в компании направлений деятельности и, следовательно, подразделений и финансовых документов, которые подпадут под действие системы. Степень надежности определяется через индикаторы существенности, задающие уровень финансовых рисков, которые должны стать предметом контроля. Исходя из этих двух измерений устанавливаются предполагаемый объем работ, состав проектной группы, график выполнения проекта.
Состав проектной группы внедрения системы внутреннего контроля Sarbanes-Oxley (SOx)
Состав проектной группы и процедуры работы должны быть подобраны таким образом, чтобы обеспечить выполнение следующих важных условий проекта:
Следующей задачей, решаемой в проекте, является определение существенных счетов. Все счета компании, связанные с движением денежных средств, а также материальных и нематериальных активов, оцениваются на предмет значимости их объемов с точки зрения индекса существенности (как процент от оборота компании или другого финансового показателя). Индекс существенности может быть рассчитан на основе не только количественных, но и качественных показателей.
Описные процессов для целей Sarbanes-Oxley (SOx)
Список отобранных таким образом счетов будет определять объем дальнейших работ по развертыванию системы внутреннего контроля. Следует понимать, что при большом числе существенных счетов система контроля будет достаточно громоздкой и дорогостоящей, тогда как при недостаточном количестве организация получит отрицательный результат при аудите. Далее необходимо определить, какие процессы компании связаны с формированием отобранных существенных счетов.
Для решения этой задачи целесообразно предварительно составить архитектуру процессов организации, содержащую полный набор как основных, так и вспомогательных и управляющих бизнес-процессов. За основу можно взять эталонную 13-процессную модель или соответствующую отраслевую модель деятельности. Отобранные процессы подвергаются более детальному рассмотрению, позволяющему выявить правила работы с существенными счетами и сформировать представление о методах контроля за формированием финансовых документов.
Анализ деятельности компании с точки зрения процессов играет существенную роль при построении системы внутреннего контроля. Такой подход обеспечивает контроль объема работ по документированию деятельности, при этом проводится описание только тех процессов компании, ее подразделений и филиалов, которые являются существенными с точки зрения выполняемого проекта.
Проведя детальное моделирование процессов, компания получает возможность определить, какие операции связаны с обработкой существенных счетов, как эти операции встроены в процесс и какие меры контроля применяются или могут быть применены для снижения финансовых рисков. Это также делает возможным провести точечную идентификацию всех рисков, связанных с формированием финансовых документов.
Помимо бизнес-процессов необходимо уделять внимание информационным системам, которые поддерживают выбранные процессы, поскольку в рамках их работы могут возникнуть ошибки, влияющие на достоверность финансовой отчетности. Выявленные риски должны быть подвержены определенной оценке. Это необходимо для выявления наиболее существенных рисков, для которых и будет разработана система внутреннего контроля.
Такой подход позволяет гарантировать внедрение эффективной системы управления. Каждый риск оценивается по двум параметрам — периодичность возникновения и объемы потерь на каждый случай. Оценка может быть как количественной, так и качественной. В случае качественной оценки доли каждого параметра используется шкала из 3-4 значений, что определяет от 9 до 16 зон градаций существенности риска.
По результатам проведенной оценки осуществляется ранжирование всех выявленных рисков — либо по оцененному объему убытков (при количественной оценке), либо по отнесению к зонам существенности (в случае качественной оценки). Важна также классификация рисков с точки зрения преднамеренности приводящих к ним действий, что дает дополнительную информацию для определения существенности риска.
Контрольные процедуры для Sarbanes-Oxley (SOx)
Следующий этап работ подразумевает определение контрольных действий в бизнес-процессах, направленных на минимизацию рисков, которые связаны с существенными счетами (через контроль правильности формирования соответствующих финансовых документов). При этом основное внимание уделяется документированию контрольных действий, хотя можно сразу дополнять или видоизменять их, если эксперты видят в этом целесообразность и обоснованность.
Результатом работ должно стать полное документирование контрольных действий, включая название контроля, его детальное описание (цели, последовательность действий-, периодичность, исходные документы, ответственное лицо), а также ссылка на реестр или документ (если таковые имеются), в котором фиксируется факт и результат проведения обозначенных контрольных действий.
После документирования всех контрольных действий необходимо провести их первичную оценку на предмет эффективности. Данная работа выполняется экспертами на основе всей созданной в ходе проекта документации и при необходимости с использованием рабочих документов, в отношении которых осуществляется контроль. По результатам оценки формируется отчет о качестве каждого контрольного действия.
Качество подразумевает способность контроля выявлять ошибки и искажения информации, а также эффективность самих действий по выявлению и устранению этих ошибок. Качество контроля кодируется при помощи системы обозначений, что позволяет легко отбирать неэффективные контрольные действия и проводить общую оценку системы внутреннего контроля. Для всех некачественных контрольных действий должны быть разработаны рекомендации по улучшению, по результатам реализации которых вносятся изменения в документацию по системе внутреннего контроля.
Далее наступает в некотором смысле ответственный момент, когда необходимо внедрить систему тестов и процедур, направленную на периодическое тестирование качества внутреннего контроля и его корректировку. Система должна действовать на постоянной основе, обеспечивая постоянную оценку и актуализацию, а также документирование контрольных действий для целей внешнего и внутреннего аудита. Инструментарием, способным поддержать как проект по разработке системы внутреннего контроля, так и оперативную работу по ее тестированию и документированию, являются ИТ решения. Эти решения, с одной стороны, обеспечивают удобный интерфейс и надежную базу для документирования контрольных действий, а с другой — позволяют упростить работу, связанную с проведением тестов, фиксацией результатов, уведомлением и формированием периодической отчетности для целей внешнего и внутреннего аудита.