Committee of Sponsoring Organizations of the Treadway Commission
Committee of Sponsoring Organizations of the Treadway Commission (COSO) to dobrowolna organizacja sektora prywatnego, z siedzibą w Stanach Zjednoczonych, której głównym celem jest zapewnianie przywództwa myśli do kierownictwa wykonawczego i podmiotów zarządzających na kluczowych aspektach organizacyjnych zarządzania, etyki biznesu, kontroli wewnętrznej, zarządzania ryzykiem w przedsiębiorstwie, oszustwa, i sprawozdawczości finansowej. COSO ustanowiła wspólny wewnętrzny model kontroli na podstawie którego firmy i organizacje mogą ocenić ich systemy kontroli. COSO jest wspierana przez pięć organizacji, w tym Institute of Management Accountants (IMA), American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Instytut Audytorów Wewnętrznych (IIA) oraz Financial Executives International (FEI).
Misja i wizja
[edytuj | edytuj kod]Misja
[edytuj | edytuj kod]Misją COSO jest zapewnienie wizjonerstwa poprzez rozwój kompleksowych ram i wytycznych dotyczących zarządzania ryzykiem przedsiębiorstwa, kontroli wewnętrznej i przeciwdziałania oszustwom, mające na celu poprawę funkcjonowania organizacji i zarządzania oraz zmniejszenia zakresu nadużyć finansowych w organizacjach.
Wizja
[edytuj | edytuj kod]Wizja COSO to bycie uznanym za lidera na rynku globalnym w rozwoju doradztwa w zakresie ryzyka i kontroli, które umożliwiają dobrą organizację zarządzania i zmniejszenie nadużyć finansowych[1].
Historia
[edytuj | edytuj kod]COSO została utworzona w 1985 do sponsorowania Krajowej Komisji Oszustwa Sprawozdawczości Finansowej (National Commission on Fraudulent Financial Reporting) jako niezależna inicjatywa sektora prywatnego do analizy przyczynowych czynników, które mogą prowadzić do nadużyć w sprawozdawczości finansowej. Również polepszyła znacząco opracowywanie zaleceń dla spółek publicznych i ich niezależnych audytorów, dla SEC i innych organów regulacyjnych oraz dla instytucji edukacyjnych.
Krajowa Komisja była sponsorowana wspólnie przez pięć głównych związków zawodowych z siedzibą w Stanach Zjednoczonych: Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Instytut Audytorów Wewnętrznych (IIA) i National Association of Accountants (obecnie Institute of Management Accountants (IMA)). Niezależnie od każdej z organizacji sponsorujących, Komisja składała się z przedstawicieli przemysłu, rachunkowości publicznej, firm inwestycyjnych oraz New York Stock Exchange.
Pierwszym przewodniczącym Komisji Krajowej był James C. Treadway Jr, wiceprezes i radca prawny, Paine Webber Incorporated i były komisarz amerykańskiej Securities and Exchange Commission. Stąd popularna nazwa „Komisja Treadway”. Obecnie przewodniczącym COSO jest David Landsittel.
Celem COSO jest zapewnienie przywództwa z trzech powiązanych ze sobą tematów: zarządzanie ryzykiem w przedsiębiorstwie (ERM), kontrola wewnętrzna i odstraszanie oszustwa.
W 2004 roku COSO wydało Enterprise Risk Management – Integrated Framework. W zakresie kontroli wewnętrznej, w 1992 COSO opublikowało Kontrola wewnętrzna – zintegrowana struktura ramowa”. Framework[2] Następnie, w 1996 wydało „Kwestia kontroli wewnętrznej w wykorzystaniu instrumentów pochodnych”. W 2006 COSO opublikowano „Kontrola wewnętrzna nad sprawozdawczością finansową – wytyczne dla mniejszych spółek publicznych”, a następnie „Wytyczne w sprawie monitorowania systemów kontroli wewnętrznej”, opublikowane w 2009 roku. Pod koniec 2010, COSO ogłosiła uaktualnienie projektu z 1992 roku „Kontrola wewnętrzna – zintegrowana struktura ramowa”.
Wreszcie w dziedzinie przeciwdziałania nadużyciom, COSO opublikowała dwa badania. Pierwsze badanie wydane zostało w 1999 roku, zatytułowane „Fraudulent Financial Reporting: 1987-1997 – An Analysis of U.S. Public Companies”. W 2010 roku zostało wydane badanie „Fraudulent Financial Reporting: 1998-2007 – An Analysis of U.S. Public Companies” które jest kontynuacją poprzedniego[1].
Według badań przeprowadzonych przez magazyn CFO w 2006 roku, 82% respondentów stwierdziło, że stosują ramy COSO dla kontroli wewnętrznej. Inne ramy używane przez respondentów to COBIT, AS2 (Auditing Standard Nr 2, PCAOB) i SAS 55/78 (AICPA)[2].
Kontrola Wewnętrzna: Internal Control – Integrated Framework
[edytuj | edytuj kod]Główne koncepcje ram COSO
[edytuj | edytuj kod]Ramy COSO obejmują kilka kluczowych pojęć:
- Kontrola wewnętrzna jest procesem. Jest środkiem do celu, a nie celem samym w sobie.
- Kontrola wewnętrzna zależy od ludzi. To nie tylko polityka, podręczniki i formy, ale ludzie na każdym poziomie organizacji.
- Kontrola wewnętrzna jest spodziewana do dostarczania tylko racjonalnej, a nie absolutnej pewności do jednostki zarządzania.
- Kontrola wewnętrzna jest nastawiona na osiągnięcie celów w jednej lub kilku odrębnych, ale powiązanych między sobą kategoriach.
Definicja kontroli wewnętrznej i celów ramowych
[edytuj | edytuj kod]Ramy COSO definiują kontrolę wewnętrzną jako proces; dokonywany przez jednostki zarządu, zarząd i innych ludzi; mający na celu „racjonalne zapewnienie” dotyczące realizacji celów w następujących kategoriach:
- Skuteczność i efektywność operacji;
- Wiarygodności sprawozdawczości finansowej;
- Zgodności z obowiązującymi przepisami prawa.
Pięć elementów ramowych
[edytuj | edytuj kod]Ramy kontroli wewnętrznej COSO składają się z pięciu powiązanych ze sobą składników pochodzących ze sposobu zarządzania prowadzeniem firmy. Według COSO, elementy te zapewniają skuteczne ramy dla opisu i analizy systemu kontroli wewnętrznej, które są wdrażane w organizacji, zgodnie z wymogami przepisów finansowych (patrz Securities Exchange Act of 1934[3]). Tymi pięcioma elementami są następujące:
Środowisko kontroli: Środowisko kontroli nadaje ton organizacji, wpływając na świadomość kontroli jej ludzi. Jest to podstawą dla wszystkich innych elementów kontroli wewnętrznej, zapewniając dyscypliny i struktury. Czynniki środowiska kontroli obejmują uczciwość, wartości etyczne, styl kierownictwa operacyjnego, delegację systemów władzy, jak również procesy zarządzania i rozwoju ludzi w organizacji.
Oceny ryzyka: Każdy podmiot napotyka szereg zagrożeń ze źródeł zewnętrznych i wewnętrznych, które muszą zostać ocenione. Warunkiem koniecznym do oceny ryzyka jest ustalenie celów, a tym samym oceną ryzyka jest identyfikacja i analiza odpowiedniego ryzyka dla osiągnięcia celów. Ocena ryzyka jest warunkiem dla ustalenia, w jaki sposób powinno się zarządzać ryzykiem.
Kontrola działania: działaniami kontrolnymi są zasady i procedury, które pomagają zapewnić wykonywalność dyrektyw zarządzania. Pomagają one zapewnić, że podjęte są niezbędne działania w celu przekazania zagrożeń, które mogą utrudnić osiągnięcie celów jednostki. Działania kontrolne występują w całej organizacji, na wszystkich szczeblach i we wszystkich funkcjach. Obejmują one szereg działań, tak różnorodnych jak zgody, zezwolenia, weryfikacje, uzgodnienia, przeglądy działalności operacyjnej, bezpieczeństwa aktywów i podziały obowiązków.
Informacja i komunikacja: systemy informacyjne odgrywają kluczową rolę w systemach kontroli wewnętrznej, jako że one tworzą raporty, które zawierają informacje operacyjne, finansowe oraz te dotyczące zgodności, które pozwalają prowadzić i kontrolować działalność. W szerszym znaczeniu, skuteczna komunikacja musi zapewnić przepływ informacji z, do i poprzez organizację. Na przykład sformalizowane procedury istnieją dla ludzi do zgłoszenia podejrzenia oszustwa. Skuteczna komunikacja powinna być również zapewniona z podmiotami zewnętrznymi, np. klientami, dostawcami, regulatorami i udziałowcami o podobnych stanowiskach politycznych.
Monitoring: Systemy kontroli wewnętrznej powinny być monitorowane, to proces, który ocenia jakość wydajności systemu w czasie. Cel ten realizowany jest poprzez bieżące działania monitorujące lub oddzielne ocenianie. Wady kontroli wewnętrznej wykrywane przez te działania monitorujące powinny być zgłoszone i działania korygujące powinny być podjęte w celu zapewnienia ciągłej poprawy systemu.
Ograniczenia
[edytuj | edytuj kod]Wewnętrzna kontrola obejmuje działania człowieka, który wprowadza możliwość wystąpienia błędów w przetwarzaniu lub osądzaniu. Kontrola wewnętrzna może być przesłonięta przez zmowy wśród pracowników (patrz rozdział obowiązków) lub przymusu ze strony najwyższego kierownictwa. CFO Magazyn poinformował, że firmy walczą o zastosowanie kompleksowego modelu dostarczonego przez COSO. „Jednym z największych problemów jest ograniczenie audytów wewnętrznych do jednego z trzech głównych celów. W modelu COSO, cele te są stosowane w pięciu głównych komponentach (monitoring, informacja i komunikacja, działania kontrolne, ocena ryzyka i środowisko kontroli). Z taką liczbą możliwych matryc, nie dziwi fakt, że liczba kontroli może wymknąć się spod kontroli”[4]. CFO Magazyn kontynuował, wskazując, że wiele organizacji tworzy własne matryce ryzyka i kontroli, przyjmując model COSO i zmieniając go skupiając się na części, która odnosi się bezpośrednio do sekcji 404 Ustawy Sarbanes-Oxley.
Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura
[edytuj | edytuj kod]W 2001 roku COSO zainicjował projekt i zaangażował PricewaterhouseCoopers, dla rozwoju ram, które byłyby łatwe do wykorzystania przez zarządy do oceny i poprawy zarządzania ryzykiem w ich organizacji. Głośne skandale biznesowe i porażki (np. Enron, Tyco International, Adelphia, Peregrine Systems i WorldCom) wezwały do ściślejszego zwiększenia ładu korporacyjnego i zarządzania ryzykiem. W rezultacie została uchwalona ustawa Sarbanes-Oxley. Ta ustawa rozszerza dawny wymóg wobec spółek publicznych do utrzymywania systemów kontroli wewnętrznej, wymagając zarząd do poświadczenia, i niezależnego audytora w celu potwierdzenia efektywności tych systemów. „Kontrola wewnętrzna – zintegrowana struktura ramowa” nadal służy jako szeroko akceptowany standard spełniający te wymogi sprawozdawczości. Jednakże w 2004 roku COSO opublikowało „Enterprise Risk Management – Integrated Framework”[5]. COSO wierzy, że ta rama rozszerza kontrolę wewnętrzną, zapewniając bardziej wytrzymałe i krzepkie spojrzenie na szeroki temat zarządzania ryzykiem w przedsiębiorstwie.
Cztery kategorie celów biznesowych
[edytuj | edytuj kod]Te ramy zarządzania ryzykiem w przedsiębiorstwach są nadal nastawione na osiąganie celów jednostki, jednakże teraz obejmują cztery kategorie:
- Strategiczne: wysokopoziomowe cele, dostosowane i wspierające ich misję;
- Operacyjne: skuteczne i efektywne korzystanie z jego zasobów;
- Raportowanie: wiarygodność sprawozdawczości;
- Zgodność: zgodność z obowiązującym prawem i przepisami.
Osiem elementów ramowych
[edytuj | edytuj kod]Do ośmiu elementów zarządzania ryzykiem w przedsiębiorstwie zalicza się poprzednie pięć komponentów ram kontroli wewnętrznej, natomiast uzupełniają te zasady dodatkowe trzy komponenty, aby sprostać rosnącemu zapotrzebowaniu w zakresie zarządzania ryzykiem:
Cel ustawienia: Cele muszą istnieć przed tym jak zarząd ustala potencjalne wydarzenia mające wpływ na ich osiągnięcia. Zarządzanie ryzykiem przedsiębiorstwa zapewnia, że zarząd ustala proces do określania celów i że wybrane cele wspierają i dostosowują się do jednostki misji i są zgodne z jego apetytem na ryzyko.
Identyfikacja zdarzeń: wewnętrzne i zewnętrzne zdarzenia wpływające na osiągnięcia danego podmiotu muszą zostać określone z rozróżnieniem zagrożeń i szans. Szanse są kierowane z powrotem do strategii zarządu lub obiektywnego ustalania procesów.
Reakcja na ryzyko: Zarząd wybiera odpowiedzi na ryzyko – unikanie, akceptacja, ograniczenia lub podział ryzyka – opracowanie zestawu działań w celu zrównoważenia ryzyka.
COSO wierzy, że „Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa”, zapewnia jasno określone wzajemne powiązania między komponentami i celami zarządzania ryzykiem w organizacji, które wypełnią potrzebę zapoznania się z nowym prawem, przepisami i standardami ofert, oraz oczekuje, że ta struktura stanie się powszechnie akceptowana przez firmy, inne organizacje i zainteresowane strony.
Ograniczenia
[edytuj | edytuj kod]COSO przyznaje w swoim raporcie, że, podczas gdy zarządzanie ryzykiem przedsiębiorstwa zapewnia istotne korzyści, istnieją też ograniczenia. Zarządzanie ryzykiem w przedsiębiorstwie zależy od osądu i dlatego jest podatne na podejmowanie decyzji. Proste ludzkie błędy lub pomyłki mogą prowadzić do niewłaściwych reakcji na ryzyko. Ponadto kontrole mogą być obchodzone w zmowie dwóch lub więcej osób, a kierownictwo ma możliwości pominięcia decyzji zarządzającego ryzykiem przedsiębiorstwa. Ograniczenia te sprzeciwiają się radzie i zarządowi z powodu posiadania absolutnej pewności co do osiągnięcia celów jednostki. Chociaż COSO twierdzi, że ich rozszerzony model zapewnia więcej aspektów z zarządzania ryzykiem, przedsiębiorstwa nie są zmuszone do przyjęcia nowego modelu, jeśli już korzystają one z Internal Control – Integrated Framework.
Wytyczne COSO o monitorowaniu systemów kontroli wewnętrznej
[edytuj | edytuj kod]Organizacja COSO zauważyła, że wiele organizacji nie w pełni rozumie znaczenia elementu monitoringu w modelu COSO oraz roli, jaką odgrywa usprawnienie procesu oceny. W styczniu 2009 COSO opublikowała „Wytyczne w sprawie monitorowania systemów kontroli wewnętrznej.” w celu wyjaśnienia jej komponentów. Z biegiem czasu skuteczny monitoring może prowadzić do organizowanej efektywności oraz obniżenia kosztów związanych z publicznym zgłoszeniem się do kontroli wewnętrznej, ponieważ problemy są identyfikowane i kierowane w sposób proaktywny, bardziej niż reaktywny. Wytyczne COSO w monitoringu opierają się na dwóch podstawowych zasadach założonych w 2006 (COSO’s 2006 Guidance):
- Trwające i/lub oddzielne oceny umożliwiają zarządowi ustalić, czy inne elementy kontroli wewnętrznej nadal funkcjonują w czasie;
- Braki kontroli wewnętrznej są oznaczone i przekazane w odpowiednim czasie do stron odpowiedzialnych za podejmowanie działań korygujących oraz kierownictwu i zarządowi jako właściwe.
Prowadzenie monitoringu sugeruje ponadto, że zasady te są najlepiej osiągane poprzez monitoring, który jest oparty na trzech elementach:
- Ustalanie podstawy do monitorowania, w tym: (a) odpowiedniej decyzji na szczycie (b) skutecznej struktury organizacyjnej, która przypisuje monitorowanie ról dla osób z odpowiednimi możliwościami, obiektywizmem i władzą, oraz (c) punkt wyjściowy lub „bazowy” z wiadomo skuteczną kontrolą wewnętrzną, z której w monitorowanie mogą zostać wdrożone bieżące oraz odrębne oceny;
- Projektowanie i wykonywanie procedur monitorowania koncentruje się na przekonującej informacji na temat funkcjonowania kluczowych mechanizmów kontrolnych, które kierują znaczące ryzyko do celów organizacyjnych;
- Ocena i wyniki, które zawierają surowa ocenę stwierdzonych niedociągnięć i raportowanie wyników monitoringu do odpowiednich pracowników i zarządu, mające na celu szybkie usprawnienie systemu.
Rola audytu wewnętrznego
[edytuj | edytuj kod]Audytorzy wewnętrzni odgrywają ważną rolę w ocenie skuteczności systemów kontroli. Jako niezależny organ kierowania raportów do ścisłego kierownictwa, audyt wewnętrzny jest w stanie ocenić systemy kontroli wewnętrznej realizowane przez organizację, przyczyniając się do trwającej skuteczności. Audyt wewnętrzny często odgrywa istotną rolę monitorowania. W celu zachowania niezależności osądu, audyt wewnętrzny nie powinien podejmować żadnej bezpośredniej odpowiedzialności w zakresie projektowania, tworzenia, lub utrzymania kontroli, która jest przygotowana do oceny. Może jedynie doradzać jakie potencjalne usprawnienia mogą zostać wprowadzone.
Rola audytu zewnętrznego
[edytuj | edytuj kod]W ramach sekcji 404 Ustawy Sarbanes-Oxley, zarządcy i audytorzy zewnętrzni są zobowiązani do zdawania raportów z adekwatności kontroli wewnętrznej ze sprawozdawczości finansowej spółki. Audyt Standard Nr 5, opublikowany przez Public Company Accounting Oversight Board, wymaga od audytorów, aby korzystali z tych samych odpowiednich, uznanych ram kontroli do prezentowania audytu wewnętrznego ze sprawozdawczości finansowej, jako że zarząd wykorzystuje to przy corocznej ocenie skuteczności kontroli wewnętrznej ze sprawozdawczości finansowej spółki”[6].
Aktualizacja w 2012 r.
[edytuj | edytuj kod]Struktura kontroli wewnętrznej jest w procesie aktualizowania w 2012 roku. Pięć części ramowych pozostaje, ale 17 zasad z oryginalnej struktury będzie teraz wyraźnie zmienione wśród tych pięciu elementów. Zmiany obejmują kontrolę wewnętrzną technologii, takich jak e-mail i internet, które nie były w powszechnym użyciu, gdy oryginalny przypis został wydany w 1992 roku.
Przypisy
[edytuj | edytuj kod]- ↑ a b https://web.archive.org/web/20121227112705/http://www.coso.org/aboutus.htm, COSO About us page, Retrieved December 23, 2012.
- ↑ a b https://web.archive.org/web/20110614014834/http://www.cfo.com/article.cfm/5598405/c_2984409/?f=archives „The Trouble with COSO”, March 15, 2006, Retrieved March 23, 2011.
- ↑ 17 CFR Section 240 15d-15, Retrieved March 23, 2011.
- ↑ http://www.cfo.com/article.cfm/5598405/2/c_5620756, CFO Magazine, Retrieved March 23, 2011.
- ↑ http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf, „Enterprise Risk Management – Integrated Framework”, Retrieved March 23, 2011.
- ↑ https://web.archive.org/web/20071007021924/http://http/ (AS No. 5.5), Retrieved March 23, 2011.