По всем вопросам звоните:

+7 495 274-22-22

УДК: 657

Исследование методических подходов к анализу разграничения должностных полномочий (Segregation of Duties) в целях оценки системы внутреннего контроля

Владислав Сергеевич Сорокоумов аспирант кафедры аудита, ФГБОУ ВО «Ростовский государственный экономический университет (РИНХ)», Россия, 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69, vla.1990@me.com
Ключевые слова: внешний аудит , разграничение полномочий , SoD , система внутреннего контроля , СВК , контрольные процедуры , оценка СВК

Разграничение должностных полномочий, или Segregation of Duties (далее — SoD), представляет собой один из принципов построения системы внутреннего контроля (далее — СВК), направленный на предотвращение ошибок и искажений бухгалтерской (финансовой) отчетности, а также на снижение вероятности мошеннических действий и нарушений процессов организации. В статье рассмотрены нормативные, методические и эмпирические основания необходимости анализа SoD в рамках оценки СВК аудитором, включая положения моделей COSO, ISO/IEC, Национального института стандартов и технологий (далее — NIST), а также профессиональных материалов ISACA и аудиторских организаций. Проведен анализ трактовок термина SoD в международных стандартах и профессиональных источниках, выделены его широкое и узкое понимание как принципа СВК и как превентивной контрольной процедуры в информационных системах. На основе систематизации подходов (Ferroni, Omland, Deloitte, KPMG и др.) представлена классификация источников для оценки SoD в рамках оценки СВК при проведении внешнего аудита, включая академические модели, стандарты информационной безопасности и методики аудиторских организаций. Проведено сопоставление подходов и выявлены их ограничения с точки зрения применения для оценки СВК при проведении внешнего аудита. Результаты анализа позволяют обосновать необходимость разработки методики, сочетающей проверку ключевых элементов SoD с оценкой его эффективности и зрелости для целей аудита бухгалтерской (финансовой) отчетности.

Литература:

1. Committee of Sponsoring Organizations of the Treadway Commission (COSO). Internal Control — Integrated Framework. COSO, 2013.

2. Банк России. Положение от 16.12.2003 № 242-П (ред. от 15.11.2023) «Об организации внутреннего контроля в кредитных организациях и банковских группах».

3. Аудиторская палата России (СРО). Комитет по стандартизации аудиторской деятельности и практики. Система внутреннего контроля: методические материалы. 2009.

4. ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.

5. NIST Special Publication 800-53 Rev. 5. Security and Privacy Controls for Information Systems and Organizations. Gaithersburg, MD: NIST, 2020.

6. NIST Special Publication 800-53A Rev. 5. Assessing Security and Privacy Controls in Information Systems and Organizations. Gaithersburg, MD: NIST, 2022.

7. Ferroni S. Implementing Segregation of Duties: A Practical Experience Based on Best Practices. ISACA Journal, 2016, Vol. 3.

8. Ferroni S. A Step-by-Step SoD Implementation Guide. ISACA Journal, 2022.

9. Association of Certified Fraud Examiners. Report to the Nations: 2024 Global Study on Occupational Fraud and Abuse. Austin, TX: ACFE, 2024.

10. Audit Analytics. SOX 404 Disclosure Trends (2018–2022). Audit Analytics, 2022.

11. Donelson D.C., Ege M.S., McInnis J.M. Internal control weaknesses and financial reporting fraud // Auditing: A Journal of Practice & Theory, 2017, Vol. 36, No. 4, pp. 45–69. DOI 10.2308/ajpt-51727.

12. Gordon J.R. Formalizing segregation of duties to prevent one-person fraud // Journal of Forensic Accounting Research, 2020, Vol. 5, No. 1, pp. 36–51. DOI 10.2308/jfar-52548.

13. International Auditing and Assurance Standards Board. International Standard on Auditing 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement. IFAC, 2019.

14. International Auditing and Assurance Standards Board. International Standard on Auditing 240, The Auditor’s Responsibilities Relating to Fraud in an Audit of Financial Statements. IFAC, 2009.

15. ISACA. COBIT 2019 Framework: Governance and Management Objectives. Schaumburg, IL: ISACA, 2019.

16. ISACA. IT Control Objectives for Sarbanes-Oxley: Using COBIT 5 in the Design and Implementation of Internal Control over Financial Reporting. 3rd ed. Rolling Meadows, IL: ISACA, 2014.

17. Kobelsky K.W. A Conceptual Model for Segregation of Duties: Integrating Theory and Practice for Manual and IT-Supported Processes // International Journal of Accounting Information Systems, 2014, Vol. 15, No. 4, pp. 304–322.

18. Kim R., Gangolly J., Ravi S.S., Rosenkrantz D.J. Formal Analysis of Segregation of Duties (SoD) in Accounting: A Computational Approach // Abacus, 2020, Vol. 56, No. 2, pp. 165–212. DOI 10.1111/abac.12190.

19. Washington State Auditor’s Office. Segregation of Duties Guide. 1st ed. Washington, 2019.

20. Omland J., Gehrke N., Müller-Wickop N. A Maturity Model for Segregation of Duties in Standard Business Software // Governance and Sustainability in Information Systems: Managing the Transfer and Diffusion of IT. IFIP AICT, Vol. 366. Berlin: Springer, 2011, pp. 288–294.

21. ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

22. U.S. Government Accountability Office. Standards for Internal Control in the Federal Government (Green Book). GAO-14-704G. Washington, DC: GAO, 2014.

23. Deloitte. Разделение должностных обязанностей в системе внутреннего контроля (компонент «Контрольные мероприятия» модели COSO). Методические рекомендации. Deloitte, 2017.

24. KPMG. SOD 3.0: Next-Generation Separation of Duties for the Modern ERP. KPMG, 2019.

1. Committee of Sponsoring Organizations of the Treadway Commission (COSO). Internal Control — Integrated Framework. COSO, 2013.

2. Bank of Russia. Regulation of 16.12.2003 No. 242-P (as amended on 15.11.2023) “On the Organization of Internal Control in Credit Institutions and Banking Groups”.

3. Auditing Chamber of Russia (SRO). Committee on Standardization of Auditing Activities and Practice. Internal Control System: Methodological Materials. 2009.

4. ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.

5. NIST Special Publication 800-53 Rev. 5. Security and Privacy Controls for Information Systems and Organizations. Gaithersburg, MD: NIST, 2020.

6. NIST Special Publication 800-53A Rev. 5. Assessing Security and Privacy Controls in Information Systems and Organizations. Gaithersburg, MD: NIST, 2022.

7. Ferroni S. Implementing Segregation of Duties: A Practical Experience Based on Best Practices. ISACA Journal, 2016, Vol. 3.

8. Ferroni S. A Step-by-Step SoD Implementation Guide. ISACA Journal, 2022.

9. Association of Certified Fraud Examiners. Report to the Nations: 2024 Global Study on Occupational Fraud and Abuse. Austin, TX: ACFE, 2024.

10. Audit Analytics. SOX 404 Disclosure Trends (2018–2022). Audit Analytics, 2022.

11. Donelson D.C., Ege M.S., McInnis J.M. Internal control weaknesses and financial reporting fraud // Auditing: A Journal of Practice & Theory, 2017, Vol. 36, No. 4, pp. 45–69. DOI 10.2308/ajpt-51727.

12. Gordon J.R. Formalizing segregation of duties to prevent one-person fraud // Journal of Forensic Accounting Research, 2020, Vol. 5, No. 1, pp. 36–51. DOI 10.2308/jfar-52548.

13. International Auditing and Assurance Standards Board. International Standard on Auditing 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement. IFAC, 2019.

14. International Auditing and Assurance Standards Board. International Standard on Auditing 240, The Auditor’s Responsibilities Relating to Fraud in an Audit of Financial Statements. IFAC, 2009.

15. ISACA. COBIT 2019 Framework: Governance and Management Objectives. Schaumburg, IL: ISACA, 2019.

16. ISACA. IT Control Objectives for Sarbanes-Oxley: Using COBIT 5 in the Design and Implementation of Internal Control over Financial Reporting. 3rd ed. Rolling Meadows, IL: ISACA, 2014.

17. Kobelsky K.W. A Conceptual Model for Segregation of Duties: Integrating Theory and Practice for Manual and IT-Supported Processes // International Journal of Accounting Information Systems, 2014, Vol. 15, No. 4, pp. 304–322.

18. Kim R., Gangolly J., Ravi S.S., Rosenkrantz D.J. Formal Analysis of Segregation of Duties (SoD) in Accounting: A Computational Approach // Abacus, 2020, Vol. 56, No. 2, pp. 165–212. DOI 10.1111/abac.12190.

19. Washington State Auditor’s Office. Segregation of Duties Guide. 1st ed. Washington, 2019.

20. Omland J., Gehrke N., Müller-Wickop N. A Maturity Model for Segregation of Duties in Standard Business Software // Governance and Sustainability in Information Systems: Managing the Transfer and Diffusion of IT. IFIP AICT, Vol. 366. Berlin: Springer, 2011, pp. 288–294.

21. ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

22. U.S. Government Accountability Office. Standards for Internal Control in the Federal Government (Green Book). GAO-14-704G. Washington, DC: GAO, 2014.

23. Deloitte. Segregation of Duties in the System of Internal Control (Component “Control Activities” of the COSO Model). Methodological Recommendations. Deloitte, 2017.

24. KPMG. SOD 3.0: Next-Generation Separation of Duties for the Modern ERP. KPMG, 2019.

Актуальность выбранной темы исследования обусловлена тем, что оценка SoD является важным элементом, обеспечивающим корректную оценку СВК в рамках проведения внешнего аудита, которая, в свою очередь, влияет на оценку рисков и объем аудиторских процедур по существу.

Цель исследования: систематизировать подходы к анализу и оценке SoD и определить необходимость разработки методики оценки зрелости SoD в рамках оценки СВК при проведении внешнего аудита.

Задачи исследования: интеграция двух подходов к трактовке SoD — как принципа СВК и как превентивной контрольной процедуры в формировании авторского определения SoD, а также классификация требований международных стандартов ISO, NIST, COSO, Ассоциации аудита и контроля информационных систем (далее — ISACA) и методических подходов применительно к оценке SoD в рамках оценки СВК при проведении внешнего аудита; в работе обоснована необходимость разработки методики оценки зрелости SoD.

Материалы и методы исследования

При проведении исследования применялись методы анализа, группировки, сравнения и обобщения.

SoD — один из принципов построения СВК, направленный на предотвращение возникновения ошибок и искажений в бухгалтерской (финансовой) отчетности, совершения мошеннических действий сотрудниками и нарушения порядка выполнения процессов в организации посредством недопущения совмещения конфликтующих полномочий у одного сотрудника. Модель COSO и банковские регуляторы подчеркивают важность SoD [1; 2]. В модели COSO среди принципов контрольной среды прямо выделяется: «организационная структура и разграничение полномочий» [1].

В банковском регулировании требование также сформулировано однозначно — система внутреннего контроля кредитной организации должна включать направление «контроль за распределением полномочий при совершении банковских операций и других сделок» [2].

В профессиональных методических материалах комитета по стандартизации аудиторской деятельности и практики Аудиторской палаты России / СРО АПР упоминаются такие средства контроля, как авторизация операций, обработка информации, средства физического контроля, разграничение обязанностей, что подразумевает наличие SoD в рамках СВК [3].

Для Цитирования:
Владислав Сергеевич Сорокоумов, Исследование методических подходов к анализу разграничения должностных полномочий (Segregation of Duties) в целях оценки системы внутреннего контроля. Бухучет в строительных организациях. 2025;6.
Полная версия статьи доступна подписчикам журнала
Язык статьи:
Действия с выбранными:
В избранное
Рекомендовать
Цитировать
Получить выпуск бесплатно!

Цитировать

Для Цитирования:

Получить бесплатно

Нажимая кнопку "Получить доступ" вы даёте своё согласие обработку своих персональных данных

Войти

Забыли пароль?
Сменить через SMS или по Email

Регистрация

Ошибка капчи

Введите код подтверждения

На указанный Вами номер телефона был отправлен код подтверждения.
Повторно запросить код можно будет через секунд.

Войдите в учетную запись

Активация промокода

Введите код подтверждения

На указанный Вами номер телефона был отправлен код подтверждения.
Повторно запросить код можно будет через секунд.

Введите код подтверждения

На указанный Вами номер телефона был отправлен код подтверждения.
Повторно запросить код можно будет через секунд.

Введите код подтверждения

На указанный Вами номер телефона был отправлен код подтверждения.
Повторно запросить код можно будет через секунд.

Войдите в учетную запись

Войдите в учетную запись

Заявка на подписку

Обратная связь

Использовать это устройство?

Одновременно использовать один аккаунт разрешено только с одного устройства.

Введите код подтверждения

На указанный Вами номер телефона был отправлен код подтверждения.
Повторно запросить код можно будет через секунд.

Выберите тип

Мы перевели вас на Русскую версию сайта
You have been redirected to the Russian version
Этот сайт использует cookies
Подробности