Кто знаком со стандартами финансовых аудиторов - PCAOB (не путать с МСА), тот знает, что это кладезь для определения материальности, выборки и тд.

А что же касается #sox контролей? Тут можно еще и заглянуть в COSO Framework.

Внутренние и внешние аудиторы знают, что абсолютной уверенности не существует, тут могу напомнить всем тем, кто корпел над CIA экзаменами, про риск аудитора (альфа и Бетта риски), когда в виду выборки, подхода, наличия хорошо спланированного фрода, аудитор не может выявить все риски.

Однако, возвращаясь к контролям.

🔘В первые годы внедрения SOX контролей, важно понимать, что контрольная среда может быть не настолько эффективной, тут еще и влияет зрелость (maturity) компании

🔘консерватизм подходов - мой личный выбор в первые годы для SOX компаний. Больше - лучше

🔘и тут возникает вопрос, а как измерить разумную уверенность компании, чтобы пройти внешний SOX аудит

Приведу пример, где я застряла и уперлись рогами мои control performers 😅🤣

▪️есть контроль по подтверждению остатков контрагентов.

▪️существует ограничение - так как контрагентов очень много, со всеми подтвердить не получится и нет смысла , вспоминаем стандарты, что затраты на исполнение контроля не должны превышать риск

▪️периодичность контроля - квартальная , но как мы помним sox оценивается по всей головой фин отчётности

▪️предлагается выбирать контрагентов с ротацией каждый квартал, чтобы покрыть большинство и покрывать как минимум 80% от баланса на отчетный квартал

80% - разумная уверенность? Что-то мне подсказывает, что да 😉

🔴Владелец контроля отказывается покрывать 80 процентов, так как это больше работы. Предлагает 50, 60 или 70.

❌все эти предложения как бы не очень, опять же мое профессиональное суждение мне подсказывает : первый год, разумная уверенность , консерватизм

❓конечно, тут было ты все просто, если бы владелец контролей не произнес сакраментальную фразу - козырь «а где написано , что 80%?»

😤🫣🤬🤯 немного моей внутренней реакции

🤨 - реакция, вышедшая наружу

Мой ответ: «согласно всем перечисленным ранее стандартам и frameworks, количественный показатель не обозначен, но учитывая, что культура контролей пока низкая, первый год, чтобы избежать audit fail, мой профессионализм и уверенность, что мы стремимся к 100% корректности своей финансовой отчётности, это мое предложение»

Конечно же это не устраивает владельца контролей. У меня внутри сверлит «меня наняли, чтобы я определяла это»

Усмирив свое эго, я предлагаю снизить периодичность контроля и сделать 2 раза в год с тем же покрытие в 80%.

Ответ снова нет и предложение «давайте в течение года 60, а в конце года 80»😤😳

Мой аргумент « контроль должен быть последовательным в течение года»

В общем, в таких милых разговорах прошел час, результат - будет 80%, но владелец крайне недоволен 😤