Секрет фирмы о Sarbanes-Oxley

Большая статья о Sarbanes-Oxley в Секрете Фирмы. Достаточно туманно и расплывчато, но есть краткое описание принципов COSO для системы внутренних контролей.

Меня несколько удивляет благодушие многих российских компаний, которые должны соответствовать, но внедряют систему очень неторопливо. Хотя сейчас процесс пошел все-таки чуть-чуть быстрее -:)   

Quote

COSO смотрит на тебя
Закон Сарбейнса–Оксли ссылается на модель внутреннего контроля, разработанную Комитетом спонсорских организаций (The Committee of Sponsoring Organizations of the Treadway Commission, COSO) так называемой комиссии Тредвея в Конгрессе США. Согласно методологии COSO, существуют три основных цели внутреннего контроля: проверка эффективности хозяйственных операций, соответствия операций и учета требованиям законов, а также обеспечение достоверности финансовой отчетности. Соответственно, задача построения эффективной системы внутреннего контроля в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих «сверхзадачи».
Модель COSO состоит из пяти ключевых компонентов: контрольной среды, оценки рисков, контролирующих мероприятий, внутренних коммуникаций и мониторинга.
1_Формирование эффективной внутренней среды (control environment). Это фундамент системы внутреннего контроля. Корпоративная культура, управленческий стиль высшего менеджмента, кадровая политика, корпоративный кодекс, организационная форма и полномочия службы внутреннего аудита, содержание программ по противодействию внутреннему мошенничеству, система бюджетирования, политика в сфере ИТ, закупок, сбыта – весь этот свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.
2_Рациональный риск-менеджмент (risk assessment). Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача – идентифицировать риски и составить «карту рисков», выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.
3_Разработка контрольных процедур «на все случаи жизни» (control activities). Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает – нужно четко разграничить сферы ответственности; трудно определить виновников ущерба – нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам – следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах – провести инвентаризацию складских остатков.
4_Беспрепятственная внутренняя коммуникация (information & communications). Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное – для полноценного информационного обмена между подразделениями и различными уровнями руководства.
5_Мониторинг (monitoring). Сюда относятся способы надзора высших уровней управления за работой низших. Это различные виды аудита, в том числе аудит качества, техники безопасности, внутренний аудит. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг.

Секрет фирмы

4 thoughts on “Секрет фирмы о Sarbanes-Oxley

    • Author gravatar

      не понял, как применяется американский закон Sarbanes-Oxley к российским компаниям?

    • Author gravatar

      Так же, как и ко всем другим. Если акции компании торгуются на американском фондовом рынке, если есть дочернии компании в США или просто большой объем торговых операций в Америке.

    • Author gravatar

      Разве есть компании торгующиеся напрямую? Думал, что все через депозитарные расписки.
      Остальные пункты вполне разумные.

    • Author gravatar

      Конечно есть: Ростелеком, Вымпелком, ВБД – NYSE; Golden Telecom – NASDAQ и т.д.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.