Отличная пошаговая инструкция стратегу!
Секрет фирмы о Sarbanes-Oxley
Большая статья о Sarbanes-Oxley в Секрете Фирмы. Достаточно туманно и расплывчато, но есть краткое описание принципов COSO для системы внутренних контролей.
Меня несколько удивляет благодушие многих российских компаний, которые должны соответствовать, но внедряют систему очень неторопливо. Хотя сейчас процесс пошел все-таки чуть-чуть быстрее -:)
Quote
COSO смотрит на тебя
Закон Сарбейнса–Оксли ссылается на модель внутреннего контроля, разработанную Комитетом спонсорских организаций (The Committee of Sponsoring Organizations of the Treadway Commission, COSO) так называемой комиссии Тредвея в Конгрессе США. Согласно методологии COSO, существуют три основных цели внутреннего контроля: проверка эффективности хозяйственных операций, соответствия операций и учета требованиям законов, а также обеспечение достоверности финансовой отчетности. Соответственно, задача построения эффективной системы внутреннего контроля в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих «сверхзадачи».
Модель COSO состоит из пяти ключевых компонентов: контрольной среды, оценки рисков, контролирующих мероприятий, внутренних коммуникаций и мониторинга.
1_Формирование эффективной внутренней среды (control environment). Это фундамент системы внутреннего контроля. Корпоративная культура, управленческий стиль высшего менеджмента, кадровая политика, корпоративный кодекс, организационная форма и полномочия службы внутреннего аудита, содержание программ по противодействию внутреннему мошенничеству, система бюджетирования, политика в сфере ИТ, закупок, сбыта – весь этот свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.
2_Рациональный риск-менеджмент (risk assessment). Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача – идентифицировать риски и составить «карту рисков», выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.
3_Разработка контрольных процедур «на все случаи жизни» (control activities). Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает – нужно четко разграничить сферы ответственности; трудно определить виновников ущерба – нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам – следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах – провести инвентаризацию складских остатков.
4_Беспрепятственная внутренняя коммуникация (information & communications). Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное – для полноценного информационного обмена между подразделениями и различными уровнями руководства.
5_Мониторинг (monitoring). Сюда относятся способы надзора высших уровней управления за работой низших. Это различные виды аудита, в том числе аудит качества, техники безопасности, внутренний аудит. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг.
не понял, как применяется американский закон Sarbanes-Oxley к российским компаниям?
Так же, как и ко всем другим. Если акции компании торгуются на американском фондовом рынке, если есть дочернии компании в США или просто большой объем торговых операций в Америке.
Разве есть компании торгующиеся напрямую? Думал, что все через депозитарные расписки.
Остальные пункты вполне разумные.
Конечно есть: Ростелеком, Вымпелком, ВБД – NYSE; Golden Telecom – NASDAQ и т.д.