Sarbanes Oxley (SOX)-Sectiunea 404: Controalele Interne

As dori ca pe langa prezentarea unor experiente proprii/sau teoretice sa incep sa deschid cat mai multe subiecte de relationare cu cei ce lucreaza in acelasi domeniu cu scopul vadit de a impartasi din experienta fiecaruia pentru ca numai asa consider ca putem sa ajungem la acel “state of art” sau ca sa nu folosesc terminologia englezeasca la “excelenta in ceea ce facem”.

In acest numar as dori sa ridic urmatoarele intrebari:

  1. Credeti ca, conceptul de Controale Interne (evaluare, documentare si testare) aduce valoare unei firme sau reprezinta o activitate suplimentara fara prea mare valoare?
  2. Aveti o astfel de functie in cadrul companiei voastre (Internal Controls, Business Controls, Risk and Controls, etc)?

Dupa ce intr-un articol anterior prezentam pe scurt Sarbanes Oxley Act 2002 in acest articol m-am oprit asupra unei sectiuni din cadrul SOX care este in stansa legatura cu pozitia mea actuala.

Este vorba despre Sectiunea 404 “Controalele Interne” care a fost una care a starnit cel mai mult interes, scopul sectiunii fiind reglementarea crearii si asigurarii unui sistem adecvat de controale interne. Pe langa existenta unui sistem de controale interne este important de stiut ca de asemenea acest sistem trebui sa fie documentat si testat pentru a-si demonstra eficacitatea. Procesul de documentare si testare  a controalelor necesita un volum mare de munca si trebuie realizat  de specialisti, de aceea exista pareri care critica implementarea SOX pentru ca implica un cost semnificativ, in deosebi pentru firmele mici.

Poate pentru multi terminologia de “Controale Interne”, reprezinta un concept destul de teoretic asa ca o sa incep prin a explica pe intelesul tuturor conceptul si rolul ca apoi sa dezvolt conceptul din punct de vedere teoretic.

Orice firma are aceleasi scop principal de a-si duce la indeplinire anumite obiective iar atingerea acestor obiective este inevitatabil impactata de diverse riscuri. Managementul firmei este responsabil de atingerea acestor obiective iar pentru ca acesta sa se asigure de realizarea lor  va implementa  controale interne la nivelul fiecarui proces asa numitul “Sistem de controale interne”.

Sistemul de controale interne si managementul riscurilor sunt procese care isi propun sa dea o asigurare rezonabila ca obiectivele firmei vor fi atinse implicit rezulta necesitatea existentei acestor procese in fiecare afacere. Un alt rol al controalelor interne pe langa asigurarea rezonabila de atingere a obiectivelor este acela de eliminare a a riscului de frauda sau alte activitati neautorizate corespunzator,  evitarea pierderilor.

Este important de stiut ca sistemul de controale interne trebuie sa existe si in cadrul unor firme mici sau mijlocii si nu numai la nivelul firmelor mari. Cu toate ca firmele mai mari au activitati mai complexe ele au de asemenea un numar mai mare de functii si exista o posibilitate de segregare a indatoririlor mai buna. In cazul firmelor mici si mijlocii numarul de angajati este mai mic si inevitabil o persoana poate avea mai multe responsabilitati diferite, unele dintre ele putand genera o probleme de segregare a indatoririlor. In acest caz managementul trebuie sa gandeasca controale care sa inlature sau cel putin sa diminueze riscul inexistentei unei segregari corespunzatore.

Metodologia COSO reprezinta cel mai cunoscut cadru general de implementare a sistemului de Controale Interne si inregistreaza o recunoastere la nivel international din ce in ce mai mare. In conformitate cu metodologia COSO controalele interne sunt un proces executat de catre consiliul director, management, alti angajati ai firmei, construit in vederea obtinerii unei asigurari rezonabile cu privire la realizarea urmatoarelor 3 obiective principale:

  • Eficienta si eficacitatea operatiunilor
  • Increderea in raporatarile financiare
  • Respectarea legilor si reglementarilor aplicabile

 

Concepte cheie ale metodologiei COSO:

  • Controalele interne sunt un proces continuu si nu un exercitiu realizat la un moment dat.
  • Controalele interne se realizeza de catre oameni, la toate nivelurile din cadrul organizatiei si nu reprezinta numai proceduri, politici, etc.
  • Controalele interne nu vor elimina riscurile dar vor furniza o asigurare rezonabila caci exista controale implementate care sa mitigheze riscurile.

In cadrul firmelor exista numeroase procese in cadrul carora lipsesc controalele necesare sau controalele exista in teorie dar nu sunt aplicate corespunzator in practica. In continuare voi da cateva exemple:

  1. Sisteme financiare/de planificare diferite

Companiile folosesc diverse sisteme financiare /de planificare: ERP-uri, CRM (Customer Relationship Management), Sisteme logistice, Sisteme financiare. Informatiile rezultate din aceste sisteme sunt ulterior integrate manual in spreadsheet-uri la nivelul carora nu exista controale necesare de acces si revizuire.

  1. Reconcilieri de conturi/solduri

Reconcilieri de conturi/solduri nu se realizeaza in mod regulat astfel incat exista riscul de erori in raportarea financiara

  1. Un control slab asupra activelor

Multe companii au sume foarte mari capitalizate in active care adeseori nu sunt controlate in mod regulat. Miscarea activelor, conditiile de functionare si valoarea acestora nu este evidentiata in timp util  si corect. Procedura de inventariere nu este intodeauna aplicata corect.

  1. O vizibilitate slaba a comenzilor de cumparare si vanzare

Multe companii nu au o evidenta corecta, actualizata a comenzilor deschise de cumparare sau cele de vanzare. Lipsa monitorizarii acestor comenzi poate genera intarzieri majore si va face imposibila o planificare corecta a Cash Flowlui de catre departamentul financiar deoarece lipsesc informatii cheie.

  1. Management slab al stocurilor

Multe companii nu au un management performant al stocurilor incepand de la planificarea productiei  sau achizitiilor, corelarea cu vanzarile, aceasta generand stocuri in exces, deprecierea acestora sau lipsa anumitor stocuri.

  1. Operatiuni necorespunzator aprobate

Exista companii unde o serie de operatiuni nu sunt corect aprobate sau operatiunile sunt divizate pentru a evita aprobarile necesare fara a exista un control care sa detecteze in timp util acest lucru

  1. Segregarea indatoririlor si Conflictul de interese

Multe companii nu reusesc sa aloce si sa monitorizeze corect segregarea indatorilor/responsabilitatilor astfel incat spre exemplu aceleasi persoane pot crea un furnizor, si comenzi de cumparare dar de asemenea pot inregistra facturile si platile, de aici rezultand un risc de frauda.

Un exemplu de conflict de interese este cazul unui departament de evaluare rezerve de petrol intr-o firma Oil and Gas, unde managerii acestui departament pot primi un bonus anual care este calculat in legatura directa ca valoarea rezervelor declarate. Implicit aici exista un conflict de interese deoarece managerii pot fi tentati sa supraevalueze valoarea rezervelor pentru a obtine un bonus mai mare.

Conform SOX, raportul financiar anual trebuie sa includa un raport al managementului asupra controalelor interne care include:

  • o declaratie a responsabilitatii managementului de stabilire si mentinere a unor controale interne adecvate asupra raportarii financiare a companiei
  • o declaratie cu privire la cadrul si instrumentele folosite de catre management pentru evaluarea eficacitatii controalelor interne ale companiei asupra raportarii financiare a companiei
  • evaluarea managementului asupra eficacitatii controalelor interne ale companiei asupra raportarii financiare a companiei la sfarsitul fiecarui an fiscal prin care se specifica daca controalele interne ale companiei sunt sau nu eficace. Managementul nu poate declara existenta unor controale interne eficace daca exista deficiente materiale in controalelor interne ale companiei asupra raportarii financiare a companiei
  • pe langa self-asessmentul (auto-evaluarea) realizata de catre management, compania de audit care auditeaza situatiile financiare va includ in raportul anual un raport de atestare a auto-evaluarii controalelor interne realizate de management.

SOX a venit cu o schimbare majora in cazul controalelor interne facandu-i responsabili legal si penal pe CEO si CFO (directorii generali si directorii financiari) pentru calitatea si eficacitatea sistemului de controale interne din organizatie. Acesta schimbare a pus o responsabilitate majora pe umerii managementului firmelor cotate la bursa americana si implicit acestia trebuie sa ia toate masurile necesare pentru a se asigura de implementarea unui sistem de controale interne si de eficacitatea acestui sistem.

Cu toate ca nu exista o documentare standard mentionata de SOX, o documentare minimala ar trebui sa furnizeze informatii cu privire la urmatoarele:

  • Designul controalelor interne pentru asigurarea acuratetii raportarii financiare
  • Modul cum tranzactiile majore sunt initiate, procesate, inregistrate si raportate
  • Identificarea zonelor unde pot aparea deficiente majore
  • Identificarea controalelor create pentru a preveni sau detecta frauda
  • Controalele create pentru procesul de raportare financiara anuala
  • Controalele pentru protectia activelor

In mod normal companiile folosesc diverse aplicatii pentru a documenta controalele interne, in principal: MC project, Excel sau Visio. Controalele pot fi documentate prin:

  • Descrieri narative a procesului
  • Flow charts
  • Risk and Controls Matrix

Asa cum metionam anterior pe langa documentarea controalelor interne acestea trebuiesc testate pentru a se valida eficacitatea lor. Acest pas este de asemenea important pentru ca putem avea cazul in care un control exista in teorie dar ca el in practica sa nu se aplice sau altfel spus “teoria e buna dar practica ne mananca”.

 

 

Advertisements
This entry was posted in Managementul Riscurilor/Audit. Bookmark the permalink.

One Response to Sarbanes Oxley (SOX)-Sectiunea 404: Controalele Interne

  1. Pingback: De ce avem nevoie de proceduri? « Alina Demeter's Blog

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s