Komitet Organizacji Sponsorujących Komisję Treadwaya

Komitet organizacji sponsorujących Komisji Treadwaya (COSO) to organizacja, która opracowuje wytyczne dla firm dotyczące oceny kontroli wewnętrznych, zarządzania ryzykiem i zapobiegania oszustwom. W 1992 r. (a następnie ponownie wydany w 2013 r.) COSO opublikowało Internal Control - Integrated Framework, powszechnie stosowane przez przedsiębiorstwa w Stanach Zjednoczonych do projektowania, wdrażania i prowadzenia systemów kontroli wewnętrznej nad sprawozdawczością finansową oraz oceny ich skuteczności.

Historia

W 1985 r. COSO rozpoczęło jako inicjatywa sektora prywatnego w celu zbadania czynników przyczynowych prowadzących do oszukańczej sprawozdawczości finansowej w wyniku szeregu skandali księgowych w latach 70. i połowie lat 80. XX wieku. Inicjatywę tę nazwano Krajową Komisją ds. Oszukańczej Sprawozdawczości Finansowej; pierwszym przewodniczącym Komisji był James C. Treadway, Jr., były komisarz amerykańskiej Komisji Papierów Wartościowych i Giełd, dlatego też inicjatywę potocznie nazwano „Komisją Treadwaya”. Komisja Treadwaya była wspólnie sponsorowana przez pięć głównych stowarzyszeń zawodowych z siedzibą w Stanach Zjednoczonych:

Amerykański Instytut Biegłych Księgowych (AICPA)
Dyrektorzy finansowi International (FEI)
Amerykańskie Stowarzyszenie Księgowych (AAA)
Instytut Audytorów Wewnętrznych (IIA)
Instytut Księgowości Zarządczej (IMA)

COSO po raz pierwszy zbadał sprawozdawczość finansową od października 1985 do września 1987, publikując „Raport Krajowej Komisji ds. Nieuczciwych Informacji Finansowych”. Raport zawierał obserwacje dotyczące zakresu oszukańczej sprawozdawczości finansowej, pierwotnych przyczyn takich oszustw, roli niezależnych księgowych w wykrywaniu oszustw oraz kroków, jakie firmy mogą podjąć, aby zapobiegać oszukańczym działaniom.

Jako rozszerzenie pierwotnego raportu i wypełniając swoją misję doskonalenia sprawozdawczości finansowej, COSO przygotowało zestaw wytycznych dotyczących zarządzania systemem kontroli wewnętrznej nad sprawozdawczością finansową. W 1992 roku COSO opublikowało „Kontrola wewnętrzna – zintegrowane ramy”, w którym wyszczególniono pięć kluczowych elementów skutecznego systemu kontroli wewnętrznej wraz z narzędziami do oceny skuteczności takiego systemu. W 2013 r. COSO ponownie wydała Zintegrowane Ramy, stwierdzając, że znaczące zmiany w technologii i światowych trendach biznesowych zwiększyły zapotrzebowanie na systemy jakości kontroli wewnętrznej oraz zapewniła ulepszone wytyczne dotyczące stosowania ogólnych zasad.

W ramach zmian ustawy Sarbanes-Oxley Act z 2002 roku spółki publiczne w Stanach Zjednoczonych zobowiązane są do stosowania systemu kontroli wewnętrznej w celu oceny skuteczności własnej sprawozdawczości finansowej oraz raportowania wyników tej oceny ich inwestorom w ich rocznych sprawozdaniach finansowych. Struktura COSO jest powszechnie stosowana, biorąc pod uwagę jej szerokie zastosowanie we wszystkich branżach i rozmiarach przedsiębiorstw.

Kontrola wewnętrzna — zintegrowane ramy

Wizualizacja ramowa COSO

Kluczowe koncepcje ram COSO

Ramy COSO definiują kontrolę wewnętrzną jako proces realizowany przez zarząd, administrację i pozostały personel jednostki, mający na celu zapewnienie „racjonalnego bezpieczeństwa” w odniesieniu do osiągania celów operacyjnych, sprawozdawczości finansowej oraz przestrzegania obowiązujące przepisy ustawowe i wykonawcze.

COSO organizuje swoje ramy w pięć powiązanych ze sobą komponentów, podzielonych na 17 zasad. COSO zauważa, że aby skuteczny system kontroli wewnętrznej ograniczał ryzyko nieosiągnięcia celów jednostki, (i) każdy z pięciu elementów kontroli wewnętrznej i odpowiednich zasad jest obecny i funkcjonuje oraz (ii) pięć elementów jest współpracując w sposób zintegrowany.

Kontrolować środowisko

Środowisko kontroli nadaje ton organizacji, wpływając na świadomość kontroli jej pracowników. Stanowi podstawę wszystkich innych elementów kontroli wewnętrznej, zapewniając dyscyplinę i strukturę. Czynniki w środowisku kontroli obejmują uczciwość, wartości etyczne, operacyjny styl administracji, systemy delegowania uprawnień, a także procesy zarządzania i rozwoju ludzi w organizacji.

Ocena ryzyka

Każda jednostka jest narażona na różnorodne ryzyka pochodzące ze źródeł zewnętrznych i wewnętrznych, które należy ocenić. Warunkiem wstępnym oceny ryzyka jest ustalenie celów, dlatego też ocena ryzyka to identyfikacja i analiza ryzyk istotnych dla osiągnięcia wyznaczonych celów. Ocena ryzyka jest warunkiem wstępnym określenia, w jaki sposób należy zarządzać ryzykiem. Cztery podstawowe zasady związane z oceną ryzyka są następujące: organizacja powinna mieć jasne cele, aby móc zidentyfikować i ocenić ryzyko związane z tymi celami; powinien określić, w jaki sposób należy zarządzać ryzykiem; powinni rozważyć możliwość oszukańczego zachowania; i powinien monitorować zmiany, które mogą mieć wpływ na kontrolę wewnętrzną.

Działania kontrolne

Czynności kontrolne to zasady i procedury, które pomagają zapewnić wykonanie dyrektyw kierownictwa. Pomagają zapewnić podjęcie niezbędnych środków w celu przeciwdziałania ryzyku, które może utrudnić osiągnięcie celów jednostki. Czynności kontrolne występują w całej organizacji, na wszystkich poziomach i we wszystkich funkcjach. Obejmują one szereg działań tak różnorodnych, jak zatwierdzenia, autoryzacje, weryfikacje, uzgodnienia, przeglądy wydajności operacyjnej, bezpieczeństwo aktywów i segregacja funkcji .

Informacja i komunikacja

Systemy informacyjne odgrywają kluczową rolę w systemach kontroli wewnętrznej, ponieważ generują raporty, w tym informacje operacyjne, finansowe i dotyczące zgodności, które umożliwiają działanie i kontrolę biznesu. W szerszym znaczeniu skuteczna komunikacja musi zapewniać przepływ informacji w dół, w poprzek i w górę organizacji. Przykładem są sformalizowane procedury zgłaszania podejrzenia oszustwa przez osoby fizyczne. Należy również zagwarantować efektywną komunikację z podmiotami zewnętrznymi, takimi jak klienci, dostawcy, organy regulacyjne i akcjonariusze zajmujący powiązane stanowiska polityczne.

Monitorowanie

Systemy kontroli wewnętrznej muszą być monitorowane, proces, który ocenia jakość działania systemu w czasie. Osiąga się to poprzez ciągłe działania monitorujące lub odrębne oceny. Niedociągnięcia kontroli wewnętrznej wykryte w ramach tych działań monitorujących należy zgłaszać na wcześniejszym szczeblu oraz należy podjąć środki naprawcze w celu zapewnienia ciągłego doskonalenia systemu.

Ograniczenia

Kontrola wewnętrzna obejmuje działanie ludzkie, które wprowadza możliwość popełnienia błędów w ściganiu lub procesie. Kontrolę wewnętrzną można również obejść w drodze zmowy między pracownikami (zob. rozdział obowiązków ) lub przymusu ze strony kierownictwa wyższego szczebla.

Magazyn CFO poinformował, że firmy mają trudności ze stosowaniem złożonego modelu oferowanego przez COSO. „Jeden z największych problemów: ograniczenie audytów wewnętrznych do jednego z trzech kluczowych celów ram. W modelu COSO cele te dotyczą pięciu kluczowych komponentów (środowiska kontroli, oceny ryzyka, działań kontrolnych, informacji i komunikacji oraz monitorowania” Biorąc pod uwagę liczbę możliwych macierzy, nie jest zaskakujące, że liczba audytów może wymknąć się spod kontroli.” Magazyn CFO kontynuował stwierdzenie, że wiele organizacji tworzy własne macierze ryzyka i kontroli, przyjmując model COSO i modyfikując go tak, aby skupiał się na elementy odnoszące się bezpośrednio do sekcji 404 ustawy Sarbanes-Oxley.

Zarządzanie Ryzykiem Biznesowym

W 2001 r. firma COSO zainicjowała projekt i zatrudniła firmę PricewaterhouseCoopers w celu opracowania ram, które administracje mogłyby z łatwością wykorzystać do oceny i usprawnienia zarządzania ryzykiem biznesowym w swoich organizacjach. Głośne skandale i niepowodzenia handlowe (np. Enron , Tyco International , Adelphia , Peregrine Systems i WorldCom ) wywołały wezwania do poprawy ładu korporacyjnego i zarządzania ryzykiem. W rezultacie uchwalono ustawę Sarbanes-Oxley . Ustawa ta rozszerza obowiązujący od dawna wymóg utrzymywania przez spółki publiczne systemów kontroli wewnętrznej, który wymaga od kierownictwa poświadczenia, a od niezależnego audytora poświadczenia skuteczności tych systemów. Zintegrowane ramy kontroli wewnętrznej nadal służą jako powszechnie akceptowany standard ^{[ potrzebne źródło ]} w celu spełnienia tych wymogów w zakresie sprawozdawczości; jednak w 2004 r. COSO opublikowało „Zarządzanie ryzykiem korporacyjnym – zintegrowane ramy”. COSO uważa, że ramy te są rozszerzone w zakresie kontroli wewnętrznej, zapewniając bardziej solidne i kompleksowe podejście do szerszego zagadnienia zarządzania ryzykiem biznesowym.

Cztery kategorie celów biznesowych

Te ramy zarządzania ryzykiem biznesowym nadal mają na celu osiągnięcie celów jednostki; Jednak ramy obejmują teraz cztery kategorie:

Strategiczne: cele wysokiego szczebla, dostosowanie polityki i wspieranie ich misji.
Operacje: efektywne i wydajne wykorzystanie zasobów.
Raporty: wiarygodność raportów
Zgodność: zgodność z obowiązującymi przepisami prawa i regulacjami

Osiem elementów ramy

Osiem komponentów zarządzania ryzykiem biznesowym obejmuje pięć poprzednich komponentów Zintegrowanych Ram Kontroli Wewnętrznej, jednocześnie rozszerzając model, aby sprostać rosnącemu zapotrzebowaniu na zarządzanie ryzykiem:

„Środowisko wewnętrzne”: Środowisko wewnętrzne obejmuje charakter organizacji i stanowi podstawę postrzegania ryzyka i postępowania z nim przez osoby w jednostce, w tym filozofię zarządzania ryzykiem i apetyt na ryzyko, uczciwość i wartości etyczne, a także środowisko w którymi operują.

„Wyznaczanie celów”: cele muszą istnieć, zanim kierownictwo będzie mogło zidentyfikować potencjalne zdarzenia, które mają wpływ na jego osiągnięcie. Zarządzanie ryzykiem biznesowym zapewnia, że kierownictwo wdrożyło proces ustalania celów oraz że wybrane cele wspierają i są zgodne z misją jednostki oraz są spójne z jej apetytem na ryzyko.

„Identyfikacja zdarzeń” : Należy zidentyfikować zdarzenia wewnętrzne i zewnętrzne, które mają wpływ na osiągnięcie celów podmiotu, z rozróżnieniem między ryzykiem a szansami. Możliwości są ponownie kierowane do strategii zarządzania lub procesów wyznaczania celów.

„Ocena ryzyka”: ryzyko jest analizowane z uwzględnieniem prawdopodobieństwa i wpływu, jako podstawa do określenia, w jaki sposób należy nim zarządzać. Ryzyko jest oceniane nieodłącznie i rezydualnie.

„Reakcja na ryzyko”: Kierownictwo wybiera reakcje na ryzyko, unikając, akceptując, zmniejszając lub dzieląc ryzyko, opracowując zestaw działań w celu dostosowania ryzyka do apetytu na ryzyko i apetytu na ryzyko jednostki.

„Działania kontrolne:” Zasady i procedury są ustanawiane i wdrażane w celu zapewnienia skutecznej reakcji na ryzyko.

„Informacja i komunikacja”: istotne informacje są identyfikowane, rejestrowane i przekazywane w sposób iw ramach czasowych, które pozwalają ludziom wypełniać swoje obowiązki. Efektywna komunikacja występuje również w szerszym znaczeniu, płynąc w dół, przez i w górę podmiotu.

„Monitorowanie”: Monitorowane jest całe zarządzanie ryzykiem biznesowym iw razie potrzeby wprowadzane są modyfikacje. Monitorowanie odbywa się poprzez bieżące działania zarządcze, osobne oceny lub obie te metody.

COSO uważa, że Zarządzanie Ryzykiem Przedsiębiorstwa - Zintegrowane Ramy zapewnia jasno określoną współzależność między komponentami a celami zarządzania ryzykiem organizacji, która zaspokoi potrzebę przestrzegania nowych praw, regulacji i standardów notowania i oczekiwania, że firmy je szeroko zaakceptują. oraz innymi organizacjami i zainteresowanymi stronami.

Ograniczenia

COSO przyznaje w swoim raporcie, że chociaż zarządzanie ryzykiem biznesowym przynosi znaczące korzyści, to ma swoje ograniczenia. Zarządzanie ryzykiem biznesowym zależy od ludzkiego osądu, a zatem jest podatne na podejmowanie decyzji. Błędy ludzkie, takie jak proste błędy lub pomyłki, mogą prowadzić do nieodpowiednich reakcji na ryzyko. Ponadto kontroli można uniknąć dzięki zmowie dwóch lub więcej osób, a kierownictwo ma możliwość unieważnienia decyzji dotyczących zarządzania ryzykiem biznesowym. Ograniczenia te uniemożliwiają zarządowi i kierownictwu absolutne bezpieczeństwo realizacji celów jednostki.

Filozoficznie COSO jest bardziej zorientowany na kontrolę. Dlatego ma tendencję do ryzyka, które może mieć negatywny wpływ, a nie do ryzyka utraconych możliwości. Patrz ISO 31000 .

Chociaż COSO twierdzi, że jego rozszerzony model zapewnia lepsze zarządzanie ryzykiem, firmy nie muszą przechodzić na nowy model, jeśli korzystają ze Zintegrowanych Ram Kontroli Wewnętrznej.

Kontrola wewnętrzna informacji finansowych – Wytyczne dla małych spółek publicznych

Niniejszy dokument zawiera wytyczne mające pomóc mniejszym spółkom publicznym w stosowaniu koncepcji kontroli wewnętrznej z 1992 r. — zintegrowanych ram. Niniejsza publikacja pokazuje zastosowanie tych koncepcji, aby pomóc mniejszym spółkom publicznym w projektowaniu i wdrażaniu kontroli wewnętrznej w celu wspierania osiągania celów w zakresie informacji finansowych. Podkreśla 20 kluczowych zasad ramowych z 1992 r., zapewniając oparte na zasadach podejście do kontroli wewnętrznej. Jak wyjaśniono w publikacji, wytyczne z 2006 r. dotyczą podmiotów każdej wielkości i rodzaju.

Wytyczne dotyczące monitorowania systemów kontroli wewnętrznej

Firmy dużo zainwestowały w poprawę jakości swoich kontroli wewnętrznych; COSO zauważyła jednak, że wiele organizacji nie w pełni rozumie znaczenie elementu monitorowania ram COSO i roli, jaką odgrywa w usprawnianiu procesu oceny. W styczniu 2009 r. COSO opublikowało „Wytyczne dotyczące monitorowania systemów kontroli wewnętrznej” w celu wyjaśnienia elementu monitorowania kontroli wewnętrznej.

Z biegiem czasu skuteczne monitorowanie może prowadzić do zwiększenia wydajności organizacyjnej i zmniejszenia kosztów związanych z publicznym informowaniem o kontroli wewnętrznej, ponieważ problemy są identyfikowane i rozwiązywane proaktywnie, a nie reaktywnie.

Przewodnik monitorowania COSO opiera się na dwóch podstawowych zasadach pierwotnie ustanowionych w przewodniku COSO z 2006 r.:

Ciągłe i/lub oddzielne oceny pozwalają kierownictwu ustalić, czy inne elementy kontroli wewnętrznej nadal funkcjonują w czasie, oraz
Niedociągnięcia kontroli wewnętrznej są identyfikowane i komunikowane w odpowiednim czasie stronom odpowiedzialnym za podjęcie działań naprawczych oraz odpowiednio kierownictwu i zarządowi.

W przewodniku dotyczącym monitorowania sugeruje się również, że zasady te najlepiej osiągnąć poprzez monitorowanie oparte na trzech ogólnych elementach:

Ustanowić podstawę monitorowania, w tym (a) odpowiedni ton górny ; (b) skuteczną strukturę organizacyjną, która przypisuje role monitorujące osobom o odpowiednich zdolnościach, obiektywizmie i autorytecie; oraz (c) punkt początkowy lub „linia bazowa” znanej skutecznej kontroli wewnętrznej, od której można wdrożyć ciągłe monitorowanie i oddzielne oceny;
Zaprojektuj i wykonaj procedury monitorowania skoncentrowane na „przekonujących informacjach” na temat działania „kluczowych kontroli”, które odnoszą się do „istotnych zagrożeń” dla celów organizacji;
Oceniaj i raportuj wyniki, w tym oceniając powagę wszelkich zidentyfikowanych niedociągnięć i zgłaszaj wyniki monitorowania odpowiednim pracownikom i zarządowi w celu podjęcia na czas działań i działań następczych, jeśli to konieczne.

Rola audytu wewnętrznego

Audytorzy wewnętrzni odgrywają ważną rolę w ocenie skuteczności systemów kontroli. Jako niezależna funkcja informująca kierownictwo wyższego szczebla, audyt wewnętrzny może oceniać systemy kontroli wewnętrznej wdrożone przez organizację i przyczyniać się do ciągłej skuteczności. W związku z tym audyt wewnętrzny często odgrywa ważną rolę „monitorującą”. Aby zachować niezależność osądu, audyt wewnętrzny nie powinien przyjmować żadnej bezpośredniej odpowiedzialności za projektowanie, ustanawianie lub utrzymywanie kontroli, które ma oceniać. Audyt wewnętrzny może jedynie doradzać w zakresie ewentualnych usprawnień, które należy wprowadzić.

Rola audytu zewnętrznego

Zgodnie z sekcją 404 ustawy Sarbanes-Oxley , kierownictwo i zewnętrzni audytorzy muszą składać sprawozdania na temat adekwatności wewnętrznej kontroli firmy nad informacjami finansowymi. Rada Nadzoru Księgowości Spółek Publicznych , utworzona w celu nadzorowania zawodu audytora zewnętrznego, opublikowała Standard Audytu 2201, który wymaga, aby biegli rewidenci „stosowali te same odpowiednie i uznane ramy kontroli do przeprowadzania audytu kontroli wewnętrznej informacji finansowych, które kierownictwo wykorzystuje do swojej rocznej oceny skuteczności kontroli wewnętrznej firmy nad informacjami finansowymi.” Sekcja 143 (3) (i) indyjskiej ustawy o spółkach z 2013 r. wymaga również, aby biegli rewidenci komentowali kontrolę wewnętrzną informacji finansowych

Zobacz też

Maiden Lane II LLC

Linki zewnętrzne

KOSO
www.cpa2biz.com/COSOEvalTools , szablon oceny COSO.

Kontrola autorytetu
Ogólny	ISNI 1 WIAF 1 WorldCat (przez VIAF)
Biblioteki Narodowe	Norwegia Hiszpania Francja (dane) Niemcy Izrael Stany Zjednoczone Japonia