Co to jest ICFR? Wewnętrzna kontrola nad sprawozdawczością finansową

Co to jest ICFR? Wewnętrzna kontrola nad sprawozdawczością finansową

Znacznik czasu: 9 lutego 2024 r. 8:25
Co to jest ICFR? Wewnętrzna kontrola nad sprawozdawczością finansową PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

ICFR to coś więcej niż ćwiczenie „sprawdź blok”; skuteczność i jakość ICFR opisuje cały etos przejrzystości i odpowiedzialności finansowej. ICFR obsługuje całą gamę systemów kontroli i procesów, które firma podejmuje, aby zapewnić ważność swoich sprawozdań finansowych i uniknąć wchodzenia w konflikt z organami regulacyjnymi, inwestorami i interesariuszami.

Chociaż ICFR wydaje się skomplikowany, biorąc pod uwagę obfite dostępne zasoby, wiele kroków jest zdroworozsądkowych i łatwych do wdrożenia. Mimo to skuteczne wdrożenie zależy od szczegółowego zrozumienia mechanizmów kontrolnych i ekosystemu otaczającego ICFR – co w niniejszym przewodniku traktuje się jako orientację i początkowy punkt wyjścia do długoterminowej zgodności finansowej.

Podstawowe pojęcia, które warto znać

Zrozumienie podstawowych, kluczowych założeń ICFR jest pierwszym krokiem do całkowitego zrozumienia. Należy pamiętać, że kontrole wewnętrzne to procedury i procesy stosowane w zarządzaniu, mające na celu zapewnienie rzetelności rachunkowości i przejrzystości finansowej. W przypadku niektórych spółek, szczególnie tych notowanych na giełdzie, ICFR stanowi kluczowy element wymaganych sprawozdań finansowych i pomaga interesariuszom mieć pewność, że dane, które analizują, są dokładne i aktualne.

Ostatecznie pamiętaj, że ICFR to coś więcej niż zgodność. Obejmuje budowanie ekosystemu na fundamencie zaufania i przejrzystości, uspokajanie interesariuszy i inwestorów, a jednocześnie oferowanie najwyższej możliwej jakości danych finansowych w celu podejmowania dokładnych i skutecznych decyzji operacyjnych.

Definicja: Co to jest ICFR? „Wewnętrzna kontrola sprawozdawczości finansowej”

Kontrola wewnętrzna nad sprawozdawczością finansową, w skrócie ICFR, opisuje zakres formalnych procesów, procedur i mechanizmów stosowanych przez firmę w celu zapewnienia, że ​​sprawozdania finansowe są dokładne i odzwierciedlają rzeczywistość. Jednak prawdziwe znaczenie ICFR jest o wiele bardziej wszechstronne, niż sugeruje podstawowa definicja. Kontrole zapobiegają oszustwom i służą jako kontrole i salda umożliwiające wykrycie błędów ludzkich lub pomyłek podczas generowania lub analizowania sprawozdań finansowych.   

W pewnym sensie ICFR pełni rolę sędziego, który zarządza grą za pomocą podręcznika. W tym przypadku sędzia (rzeczywiste środki kontroli i kontrole) wykorzystuje podręcznik (procedury firmowe zbudowane na przyjętych zasadach rachunkowości) do zarządzania grą (sprawozdawczość finansowa). I tak jak zasady różnią się w piłce nożnej i koszykówce, zasady sędziego zależą od konkretnej branży. Ogólnie rzecz biorąc, codzienne działania ICFR obejmują wymagania dotyczące zatwierdzania transakcji, podział obowiązków pracowników, śledzenie, oprogramowanie monitorujące, a nawet coś tak podstawowego, jak obliczenia podwójnej kontroli.  

Co to jest SOX? „Ustawa Sarbanese-Oxley z 2002 r.”

SOX, czyli ustawa Sarbanes-Oxley Act, to amerykańskie prawo federalne mające na celu ochronę przed oszustwami i kreatywnymi technikami rachunkowości i ma zastosowanie do spółek notowanych na amerykańskich giełdach. Dotyczy to również firm księgowych, agencji audytorskich i wszelkich stron trzecich, z których korzysta spółka notowana na giełdzie w procesie zarządzania rachunkowością.

Ustawa nakłada na firmy obowiązek opracowywania, publikowania, audytowania i aktywnego korzystania z ICFR. Innymi słowy, prawo federalne wymaga, aby spółki te posiadały jasne i ugruntowane systemy zarządzania oszustwami lub błędami w sprawozdawczości finansowej oraz aby korzystały z tych systemów zgodnie z przeznaczeniem. Komisja Papierów Wartościowych i Giełd (SEC) nadzoruje ustawę Sarbanese-Oxley Act i odpowiada za jej egzekwowanie. Firmy muszą czasami składać raporty do SEC potwierdzające swoją odpowiedzialność za uchwalenie i egzekwowanie ICFR – i to udowodnić.

Co to jest §404 ustawy Sarbanes-Oxley Act z 2002 r.?

Sekcja 4 ustawy Sarbanes-Oxley Act jest zwykle nazywana w skrócie SOX 404. Ta sekcja jest jedną z najbardziej wpływowych części SOX i wymaga od kierownictwa i zewnętrznych zespołów audytowych sporządzania raportów na temat jakości ICFR firmy. Sekcja składa się z dwóch podsekcji:

  1. 401A: Ten podsekcja SOX 404 wymaga, aby firma dołączyła raport kontroli wewnętrznej, który potwierdza odpowiedzialność kierownictwa za ICFR. Oprócz potwierdzenia zrozumienia przez kierownictwo swojej odpowiedzialności, art. 404A wymaga również obiektywnej oceny ICFR spółki.
  2. 404B: Niniejsza podsekcja ma takie same uprawnienia jak art. 404A, ale ma zastosowanie do audytorów zewnętrznych i zewnętrznych i wymaga od nich poświadczenia, że ​​sprawozdawczość zarządcza na mocy art. 404A jest ważna.

ICFR promuje silniejszą kontrolę finansową poprzez budowanie podstaw dla firm do opracowywania i wdrażania swoich procesów i systemów w celu zapewnienia dokładności sprawozdawczości finansowej. ICFR oferuje ulepszoną serię powtarzających się i okresowych protokołów nadzoru, które pomagają zapewnić, że firma konsekwentnie postępuje właściwie, a jednocześnie wymaga, aby wewnętrzna ocena ryzyka uwzględniała obszary, które mogą budzić obawy, aby firma mogła zwrócić na nie szczególną uwagę pomiędzy okresami audytu a okresem raportowania .

Odpowiednie i wysokiej jakości ICFR służy również jako narzędzie komunikacji służące spłaszczeniu hierarchii w zakresie sprawozdawczości finansowej i rachunkowości. Wdrażając ICFR, masz pewność, że w Twojej firmie krążą prawidłowe informacje i że opuszczają ją tylko sprawdzone i prawidłowe informacje. Oprócz zarządzania zgodnością i oszustwami, kompleksowy ICFR pomaga również stworzyć kulturę komunikacji, jednocześnie pomagając kierownictwu szybko podejmować świadome decyzje.

Jakie ryzyko narażają firmy, jeśli ignoruje się kontrolę wewnętrzną nad sprawozdawczością finansową?

Ignorowanie uzgodnionych standardów i ICFR naraża firmy niezależnie od ich rodzaju i wielkości na znaczne ryzyko, do którego zalicza się między innymi kary finansowe i (w przypadku umyślnego niewłaściwego postępowania) kara więzienia dla zaangażowanych osób. Nawet jeśli nie jest to złe intencje, ignorowanie ICFR oznacza, że ​​osoby posiadające dostęp do informacji poufnych i zewnętrzni inwestorzy, organy regulacyjne i audytorzy nie mogą określić prawidłowości sprawozdań finansowych i odpowiednio „ukarają” spółkę, tj. poprzez brak inwestycji lub odmowę współpracy z podmiotem nieprzestrzegającym przepisów. firma.

Ignorowanie ICFR może prowadzić do:

  • Niedokładne sprawozdania finansowe: Najbardziej oczywisty skutek, czyli niewłaściwe kontrole lub ich brak, zwiększa ryzyko błędu lub pominięcia w sprawozdaniach finansowych.
  • Oszustwo: Tam, gdzie istnieją luźne standardy i uniemożliwiają to ograniczone kontrole działań, kwitnie oszustwo.
  • Kary: Nieprzestrzeganie ustalonych wytycznych, takich jak ustawa Sabanes-Oxley, może prowadzić do kar prawnych, grzywien i sankcji ze strony organów regulacyjnych, które je egzekwują.
  • Nieskuteczność: Twoje podejmowanie decyzji jest tak dobre, jak dane, które je zasilają, a niewłaściwe kontrole oznaczają, że Twoje dane są wątpliwe, co może prowadzić do złego lub nieskutecznego wdrożenia operacyjnego.
  • Zaufanie inwestorów: Inwestorzy nie ufają spółkom stosującym luźne praktyki księgowe i nie bez powodu. Ignorowanie ICFR oznacza, że ​​możesz nie przyciągnąć kapitału inwestorów tak łatwo, jak firmy, które chętnie się do tego zastosują.
  • Reputacja: Wystarczy jedna wpadka księgowa, aby kaskadowo zniszczyć reputację firmy wśród klientów, inwestorów, dostawców i konkurentów. Krótko mówiąc, brak ICFR może w bardzo namacalny sposób doprowadzić do upadku nawet dobrze zarządzanej firmy.

Co to jest raport kontroli wewnętrznej? I jak to wygląda?

Raport kontroli wewnętrznej (ICR) to dokument sporządzony przez zespół zarządzający firmy, który szczegółowo opisuje wysiłki i wyniki wdrożenia kontroli wewnętrznej w zakresie sprawozdawczości finansowej. ICR jest wymogiem dla spółek notowanych na giełdzie na mocy ustawy Sarbanes-Oxley Act i zwykle jest uwzględniany w okresowych dokumentach spółki SEC.

Raport kontroli wewnętrznej składa się zazwyczaj z:

  1. Oświadczenie potwierdzające odpowiedzialność kierownictwa za ustanowienie i utrzymywanie kontroli wewnętrznej.
  2. Ocena, jak adekwatne były kontrole wewnętrzne w poprzednim okresie.
  3. Oświadczenie o metodologii szczegółowo opisujące, w jaki sposób firma określa skuteczność kontroli.

ICR zazwyczaj zawiera również oświadczenie opisujące kontrole, sposób ich oceny oraz wszelkie istotne słabości kontroli, które mogą mieć wpływ na zgłoszenia. Mogą także obejmować ustalenia audytu wewnętrznego lub strony trzeciej, które szczegółowo opisują obszary problematyczne oraz plany kierownictwa dotyczące ich rozwiązania od tego momentu.

Przykład 

Spółki mogą sporządzić raport kontroli wewnętrznej, który obejmuje:

  • Streszczenie zawierające szczegółowe ustalenia i planowane przyszłe działania.
  • Deklaracja odpowiedzialności zarządczej potwierdzająca zrozumienie, że kontrole wewnętrzne są obowiązkowe.
  • Zakres i metodologia opisująca sposób, w jaki firma waliduje mechanizmy kontroli wewnętrznej.
  • Ramy stosowane do oceny kontroli wewnętrznych.
  • Ocena oceny kontroli obejmująca raporty wykrycia nadużyć, wyciągi bankowe, dane uzgodnieniowe, itp.
  • Szczegółowe spojrzenie na konkretne ustalenia i wszelkie problemy wynikające z audytu.

Co to jest audyt ICFR?

Audyt ICFR to formalne badanie lub inspekcja oceniająca zgodność przedsiębiorstwa z ICFR oraz skuteczność wdrożonych kontroli. Celem audytu jest zapewnienie, że sprawozdania finansowe spółki są dokładne i zgodne z ustalonymi ramami i wymogami, w tym z ustawą Sarbanes-Oxley Act.

W trakcie audytu ICFR osoby oceniające i audytorzy badają projekt i wdrożenie ICFR, testują mechanizmy kontrolne, aby upewnić się, że działają zgodnie z planem, i identyfikują wszelkie słabe strony lub braki, które mogą prowadzić do niedokładnych lub błędnych raportów. Przyjrzą się:

  1. Środowisko kontroli (w tym kultura firmy dotycząca zgodności z audytem)
  2. Ocena ryzyka obejmująca słabe strony i obszary budzące obawy, które należy uważnie obserwować
  3. Procesy informacyjne i komunikacyjne
  4. Plan monitorowania ICFR w przyszłości

Czym jest „istotna słabość” w ICFR?

Istotną słabością ICFR jest brak lub seria braków, które stwarzają realną możliwość wystąpienia w przyszłości zniekształceń lub błędów w sprawozdaniach finansowych. W szczególności istotna słabość odnosi się do tych braków, które stwarzają prawdopodobny scenariusz, w którym jest mało prawdopodobne, aby zapobiec zniekształceniom, je wykryć lub skorygować w rozsądnym terminie.

Konkluzja – istotne słabe strony to problemy z kontrolą wewnętrzną firmy w całym przedsiębiorstwie, które zwiększają ryzyko, że informacje finansowe będą błędne i pozostaną nieznane do czasu opublikowania lub rozpowszechnienia sprawozdania finansowego poza organizacją.

Kim są kluczowi interesariusze odpowiedzialni za IFCR w organizacji?

Typowi interesariusze lub osoby w firmie odpowiedzialne za utrzymanie ICFR to:

  • Kadra kierownicza: Ta grupa interesariuszy obejmuje kadrę kierowniczą wyższego szczebla (w szczególności dyrektora generalnego i dyrektora finansowego) i jest ostatecznie odpowiedzialna za całość ICFR firmy.
  • Audytorzy wewnętrzni: Grupa ta ocenia skuteczność ICFR, pracuje nad określeniem słabych punktów i opracowuje zalecenia dotyczące poprawek. Mogą stosować ręczne procesy badawcze, ale coraz częściej kroki audytu są zautomatyzowane już dziś i wymaga prostego nadzoru audytora, oszczędzając czas i pieniądze.
  • Komisja Rewizyjna: Zwykle obejmuje kadrę kierowniczą wysokiego szczebla i zarząd (jeśli ma to zastosowanie). Audyt wewnętrzny komisja jest organem nadzorczym, który ocenia wyniki audytu i w razie potrzeby wdraża poprawki.
  • Zewnętrzni audytorzy: Grupa ta pełni tę samą funkcję co grupa Audyt wewnętrzny zespołu, ale działa jako bezstronna strona trzecia.
  • Dział finansowy: Dział finansowy czuwa nad bieżącym przestrzeganiem ustalonych kontroli.
  • Ekipa IT: Obecnie wiele komponentów ICFR zależy od efektywnego wykorzystania technologii; Personel IT pomaga we wdrażaniu, zarządzaniu i monitorowaniu tych systemów.

Czym jest Przewodnik CAQ po ICFR?

Centrum Jakości Audytu (CAQ) opracowało Przewodnik CAQ po ICFR, aby zapewnić zainteresowanym stronom kompleksowe źródło informacji umożliwiające zrozumienie i zastosowanie wymagań ICFR. Przewodnik pomaga kierownictwu, zespołom audytowym i komitetom w projektowaniu, ocenie i naprawie ICFR.

Przewodnik zawiera przegląd ICFR, najlepsze praktyki, cenne listy kontrolne oraz ramy budowania i utrzymywania kontroli wewnętrznej jakości, a także kroki mające na celu rozwiązanie problemów lub ich naprawienie.

Jakie są ramy COSO?

Komitet Organizacji Sponsorujących Komisji Treadway (COSO) opracował Ramy COSO jako środek pomagający organizacjom w tworzeniu, ocenie i ulepszaniu ICFR. Ramy COSO w unikalny sposób opisują kontrolę wewnętrzną jako proces, a nie serię kroków, tworząc podejście zorientowane na ekosystem, które obejmuje całą organizację.

Ramy COSO mówią, że skuteczne kontrole obejmują:

  1. Kontrolować środowisko: Jest to spojrzenie na wysiłki ICFR organizacji z „ekosystemu”, obejmujące kulturę, uczciwość, etykę i kompetencje.
  2. Ocena ryzyka: Pomaga to firmom identyfikować i analizować ryzyko, które jest sprzeczne z celami firmy w zakresie przejrzystości finansowej.
  3. Działania kontrolne: Są to kroki, działania i metody, w tym zasady i procedury stosowane przez firmę do zarządzania działaniami ICFR. Może obejmować zatwierdzenia, autoryzacje, uzgodnienia i podobne kontrole.
  4. Informacja i komunikacja: Aspekt ten pomaga firmom uświadomić sobie, że informacja jest zasobem wymiennym, który należy zidentyfikować, przechwycić i rozpowszechnić, aby umożliwić interesariuszom wykonywanie ich obowiązków.
  5. Działania monitorujące: Ten komponent zapewnia odpowiednie monitorowanie całego ekosystemu i wprowadzanie ulepszeń lub dostosowań, jeśli to konieczne.

W jaki sposób niezależni audytorzy współpracują z ICFR?

Niezależni audytorzy współpracują z ICFR, przeprowadzając audyty wewnętrznych kontroli firmy w różnych dziedzinach, takich jak kontrole zobowiązań i inne systemy działowe, aby zapewnić ich skuteczność w zapobieganiu (lub wykrywaniu) istotnych nieprawidłowości w sprawozdaniach finansowych. Działania niezależnego audytora zazwyczaj obejmują:

  1. Planowanie audytu: Ponieważ każda firma jest inna, audytorzy muszą opracować unikalny plan ataku dla każdego audytu.
  2. Projekt sterowania: Audytorzy oceniają, jak dobrze opracowano kontrole i czy są one odpowiednio wdrożone.
  3. Testowanie: To działanie jest „testem warunków skrajnych” ICFR, który obejmuje zadawanie pytań, bezpośrednią obserwację, przegląd dokumentacji i umieszczanie specyficzne kontrole przez ich kroki.
  4. Przekazywanie ustaleń: Najlepszy audyt jest bezużyteczny, jeśli nie zapewnia interesariuszom wglądu w ICFR firmy; audytorzy opracowują i rozpowszechniają wnioski, aby zapewnić przejrzystość i pomóc w rozpoczęciu planowania w celu usunięcia wykrytych uchybień.
  5. Raportowanie: Jeżeli spółka jest notowana na giełdzie i podlega obowiązkowi składania sprawozdań na mocy ustawy Sarbanes-Oxley Act, ostatnim krokiem dla audytorów zewnętrznych są formalne wymogi dotyczące sprawozdawczości.

Co powinien zrobić Twój zespół, aby zapewnić zgodność i ICFR?

Ustrukturyzowane i zrozumiałe procedury operacyjne są kluczem do zapewnienia skutecznego ICFR i zgodności. Ustrukturyzowane podejście obejmuje: 

  1. Zrozumienie i udokumentowanie środowiska kontroli: Wiedza jest kluczowa, jeśli chodzi o ICFR, a zgodność zaczyna się od dokładnych przepisów i wymagań sekcji 404 SOX. Udokumentuj środowisko kontroli w swojej firmie, w tym kulturę i ton nadawany przez kierownictwo w odniesieniu do ICFR.
  2. Przeprowadź ocenę ryzyka: Przeprowadź kompleksową ocenę ryzyka, aby określić, gdzie mogą pojawić się istotne zniekształcenia spowodowane błędem lub oszustwem.
  3. Projektowanie i wdrażanie działań kontrolnych: Opracuj i wdrażaj kompleksowe mechanizmy kontrolne w celu zajęcia się konkretnymi ryzykami zidentyfikowanymi w ocenie ryzyka. Powinny one obejmować kontrole i równowagę, podział obowiązków, hierarchie zatwierdzania i inne odpowiednie kontrole.
  4. Kontrola monitora: Regularnie monitoruj te kontrole, aby upewnić się, że działają skutecznie. Może to obejmować zarówno bieżące działania monitorujące, jak i oddzielne oceny.
  5. Przejrzyj i przetestuj elementy sterujące: Okresowo przeglądaj i testuj kontrole, aby zweryfikować ich skuteczność. Dostosuj je i udoskonalaj według potrzeb w oparciu o wyniki testów.
  6. Zgłoś wewnętrznie: Niezwłocznie przekaż ustalenia, w tym wszelkie braki i słabe strony, kierownictwu i komitetowi ds. audytu.
  7. Kształcić i szkolić personel: Zapewnij ciągłą edukację i szkolenia, aby mieć pewność, że wszyscy odpowiedni członkowie zespołu rozumieją procesy kontroli wewnętrznej i swoje indywidualne role w tych procesach. Pamiętaj, że skuteczne kontrole nie są działaniem jednorazowym; są to ciągły, iteracyjny proces.
  8. Współpraca z audytorami zewnętrznymi: Współpracuj z audytorami zewnętrznymi, aby zapewnić im niezbędne informacje i wspierać ich niezależny audyt Twojego ICFR.

Dodatkowe zasoby 

ICFR to złożony temat, a to tylko punkt wyjścia. Aby uzyskać więcej informacji, możesz zapoznać się z:

Znak czasu:

Więcej z AI i uczenie maszynowe