Концепция coso руководство по мониторингу системы внутреннего контроля 2009

IT Audit Components

Stephen D. Gantz, in The Basics of IT Audit, 2014

Relevant source material

Guidance and useful references for identifying, categorizing, and auditing different IT components include IT governance and management frameworks such as COSO’s Internal Control—Integrated Framework[2] and ISACA’s COBIT model [8]. Relevant standards and guidance on decomposing IT architecture, systems, processes, or capabilities include:

ISO/IEC/IEEE 42010, Systems and Software Engineering—Architecture Description[10].

ISO/IEC 7498-1, Open Systems Interconnection[11].

ISO/IEC 12207, Systems and Software Engineering—Software Life Cycle Processes[12] and ISO/IEC 15288, Systems and Software Engineering—System Life Cycle Processes[24].

Read full chapter

URL: 

https://www.sciencedirect.com/science/article/pii/B9780124171596000067

Introduction to IT Compliance

Craig Wright, in The IT Regulatory and Standards Compliance Handbook, 2008

COBIT

Control Objectives for Information and related Technology (COBIT) is a framework for control over IT that fits with and supports the Committee of Sponsoring Organisations of the Treadway Commission’s (COSO’s) Internal Control—Integrated Framework. This is a widely accepted control framework for enterprise governance and risk management, and similar compliant frameworks. ISACA states that: “COBIT is an IT governance framework and supporting toolset that allows managers to bridge the gap between control requirements, technical issues, and business risks. COBIT enables clear policy development and good practice for IT control throughout organizations. COBIT emphasizes regulatory compliance, helps organizations to increase the value attained from IT, enables alignment, and simplifies implementation of the COBIT framework.”

Read full chapter

URL: 

https://www.sciencedirect.com/science/article/pii/B9781597492669000011

Auditing in Context

Stephen D. Gantz, in The Basics of IT Audit, 2014

Relevant source material

Each of the organizational functions addressed in this chapter represent business disciplines that are the subject of abundant business and management literature and the focus of multiple professional associations, standards bodies, and other organizations. Key sources of additional information include:

IT governance

Control Objectives for Information and Related Technology (COBIT) [3]

COSO’s Internal Control—Integrated Framework[29]

ISO/IEC 38500:2008, Corporate Governance of Information Technology[30]

Web sites and online resources of the IT Governance Institute (http://www.itgi.org) and ISACA (http://www.isaca.org)

Risk management

COSO’s Enterprise Risk Management—Integrated Framework[10]

ISO/IEC 31000:2009, Risk Management—Principles and Guidelines[5]

NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View[6]

Compliance and certification

Statement on Auditing Standards 117, Compliance Audits[17]

ISO online guidance on certification [31] and standards and guidance from the ISO Committee on Conformity Assessment (CASCO)

Quality management

The ASQ Auditing Handbook[22]

ISO 9001:2008, Quality Management Systems—Requirements[21]

IAASB Handbook of International Quality Control, Auditing Review, Other Assurance, and Related Services Pronouncements[32]

Information security management

ISO/IEC 27001:2005, Information—Security Techniques—Information Security Management Systems—Requirements[26]

ISO/IEC 27002:2005, Information Technology—Security Techniques—Code of Practice for Information Security Management[33]

NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations[34]

Read full chapter

URL: 

https://www.sciencedirect.com/science/article/pii/B978012417159600002X

Methodologies and Frameworks

Stephen D. Gantz, in The Basics of IT Audit, 2014

Committee of Sponsoring Organizations integrated framework

The Committee of Sponsoring Organizations of the Treadway Commission (COSO) is a collaborative body focused on understanding, analyzing, and developing and disseminating guidance on effective organizational governance. Originally established in 1985 to sponsor the National Commission on Fraudulent Financial Reporting, COSO gets its current familiar full name in part by association with its first commissioner, James Treadway. The sponsoring organizations COSO comprises include the American Accounting Association, the American Institute of Certified Public Accountants, Financial Executives International, the Institute of Internal Auditors, and the Institute of Management Accountants. With the active participation of many private sector firms in accounting, investment banking, securities trading, and financial services, COSO develops management frameworks and industry guidance on internal controls, fraud deterrence, and enterprise risk management. The Commission has published formal guidance on all three subjects, including the Enterprise Risk Management—Integrated Framework referenced in Chapter 2, two research studies on fraud in financial reporting, and multiple guidance documents on internal controls. COSO’s most significant internal control guidance is its Internal Control—Integrated Framework, first published in 1992 and significantly updated in 2013, which defines a structured framework and set of processes for implementing, managing, and overseeing an enterprise-wide system of internal controls [5]. The internal control framework provides both a foundation for effective operational management and a basis for auditing internal controls implemented in an organization, including those related to information technology.

The COSO internal control framework begins with a focus on organizational objectives for operations, reporting, and compliance and identifies five components of internal control—a control environment, risk assessment, control activities, information and communication, and monitoring activities—that support the achievement of those objectives. Consideration of these objectives and components occurs not only at the enterprise level, but also at the level of subsidiaries, divisions, operating units, and business or functional areas of operation. COSO’s framework integrates the three dimensions of objectives, components, and organizational structure, represented graphically in the multilevel cube shown in Figure 9.1 and considers the relationships among these elements.

Figure 9.1. The COSO Internal Control Integrated Framework [5] reflects the close interrelationship among control objectives and components and organizational structure.

Source: Internal Control — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, ©2013. All rights reserved. Used by permission.

Beneath this conceptual view of the framework, COSO defines 17 principles of internal control associated with each component and 81 attributes of the control principles. Audits of internal controls in an organization that has adopted the COSO framework focus on evaluating the extent to which the organization effectively implements and operationalizes the control principles. To do so, auditors look for evidence of each attribute associated with a given control principle to arrive at a subjective but evidence-based opinion as to the effectiveness of each internal control, the five control components, and the overall system of organizational internal controls. The principles associated with each internal control component are listed in Table 9.4.

Table 9.4. COSO Internal Control Components and Associated Principles [5]

Component Principles
Control Environment
1.

The organization demonstrates commitment to integrity and ethical values.

2.

The Board of Directors demonstrates independence of management exercises oversight for the development and performance of internal control.

3.

Management establishes, with board oversight, structure, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

4.

The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.

5.

The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.
Risk Assessment
6.

The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

7.

The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.

8.

The organization considers the potential for fraud in assessing risks to the achievement of its objectives.

9.

The organization identifies and assesses changes that could significantly impact the system of internal control.
Control Activities
10.

The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.

11.

The organization selects and develops general control activities over technology to support the achievement of objectives.

12.

The organization deploys control activities as manifested in policies that establish what is expected and in relevant procedures to effect the policies.
Information and Communication
13.

The organization obtains or generates and uses relevant, quality information to support the functioning of other components of internal control.

14.

The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of other components of internal control.

15.

The organization communicates with external parties regarding matters affecting the functioning of other components of internal control.
Monitoring Activities
16.

The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.

17.

The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

Read full chapter

URL: 

https://www.sciencedirect.com/science/article/pii/B9780124171596000092

Control and Auditing

Mary S. Doucet, Thomas A. Doucet, in Encyclopedia of Information Systems, 2003

II.A.1 COSO Framework

The internal control of information systems must be discussed within the broader framework of an organization-wide control system. In fact, one of the key issues that organization managements are concerned with is how to integrate the internal control system with the organization’s overall objectives. In 1992, COSO published Internal Control—Integrated Framework. The purpose of the COSO Framework was to integrate various internal control concepts into a framework that would help managers to better control their organizations’ activities. This framework provides a useful structure from which to design and implement an organization-wide control system.

The COSO Framework suggests that internal control consists of five interrelated components: (1) control environment, (2) risk assessment, (3) control activities, (4) information and communication, and (5) monitoring. The control activities and the information and communication components of this model relate more directly to internal control of information systems; however, to better understand the COSO internal control model it is beneficial to look at all the components.

The first component, the control environment, is the foundation for all of the other components in that it provides the climate in which the people (the core of any organization) perform their tasks and carry out their control responsibilities. The control environment includes the “tone at the top” and reflects the corporate culture inherent in the ethical values adopted by and the integrity of management. An important aspect of the control environment that has a direct impact on control of information systems is that the control environment is influenced by the degree to which employees recognize that they will be held accountable.

The second component, risk assessment, is the process by which management identifies and analyzes the risks that might prevent the achievement of organizational objectives and, thus, is a vital component of any organization’s internal control. An organization’s ability to survive, compete, maintain its financial strength, maintain the quality of its deliverables, and maintain its positive image are all affected by risks to the attainment of these objectives. Therefore, before an organization can assess risks to meeting its goals, it must first develop operational and fiduciary (reporting and compliance) objectives at all levels in the organization.

The risk assessment process involves identifying factors that contribute to or increase risks as well as performing a risk analysis to estimate the significance of the risk and assessing the probability of the risk occurring. Risks that do not have a significant impact on the organization, or that have a low probability of occurring, should not receive as much attention as those that have a high probability and/or a significant impact on the organization. Once the risk assessment process has identified the potential risks that need to be addressed, management needs to implement policies and procedures that are necessary to address the risks. In essence, the result of risk assessment is an evaluation or reevaluation of the control activities of the organization.

The policies and procedures that management implements constitute the control activities identified as the third component of the COSO Framework. These control activities are designed to help ensure that management directives are satisfied. The information systems of most organizations include both manual and computerized elements. The control activities component, as discussed in the COSO Framework, assumes this environment. It is this aspect of the COSO Framework that has been almost universally adopted as a means for discussing the control of information systems.

The COSO Framework categorizes information systems control activities by scope: (1) general controls (also referred to as information technology controls or general computer controls) and (2) application controls. General controls are broader in nature and are designed to prevent or detect errors or irregularities on a more extensive basis than application controls. They include all controls over the information processing facility, access controls, environmental controls, business continuity planning controls, systems and program software acquisition and maintenance controls, network controls, and data communication controls. The information systems environment in large and complex organizations can be thought of as consisting of a group of independent segments to which general controls must be applied. With distributed processing and distributed information systems becoming the norm for these organizations, it is important to recognize that general controls may not be implemented uniformly across all segments in the organization. Application controls affect only specific applications and include the steps within application software and the manual procedures designed to control the processing of various types of transactions. These controls allow for the secure capture and communication of information.

Information and communication comprise the fourth component of the COSO Framework. Information and communication, along with control activities, are perhaps the most critical components of the COSO Framework for the control of information systems. Information, as used in the COSO Framework, refers to information systems that identify, capture, process, and report information. It is important, and increasingly so, that an organization’s information system generates high quality information (information that meets the security and fiduciary objectives described earlier) in order for management to make the appropriate decisions in controlling and managing an organization’s activities.

Communication means that an organization should communicate to all personnel the importance of the internal control system and their responsibilities regarding internal control. In order for an internal control system to work, personnel must be given clear guidance as to what their responsibilities are, must be provided with relevant information to perform their duties, and must be given a mechanism for communicating significant information upstream in their organization.

Monitoring is the fifth component of the COSO Framework and involves assessing the system’s performance over time either through ongoing monitoring activities, separate evaluations, or a combination of the two. All internal control systems need to be monitored. Monitoring helps an organization to determine whether its internal control system continues to be effective. When deficiencies are addressed in a timely manner through the monitoring process, the operating effectiveness of the internal control system is ensured.

The COSO Framework broadly defines the components of an organization’s internal control system. While the COSO Report is intended to provide a broad framework to help managers to better control their organizations’ activities, the SAC Report discussed below is intended for a wider audience, provides more extensive control principles and techniques, and addresses specific concerns with the widespread use of current information technologies. While its purpose differs somewhat from that of the COSO Framework, the control principles and techniques described in the SAC Report are consistent with and complementary to the framework described in COSO.

Read full chapter

URL: 

https://www.sciencedirect.com/science/article/pii/B0122272404000198

Источник

На чтение 7 мин Просмотров 11.3к.

Модель COSO внутреннего контроля представляет собой методику управления компанией, направленную на обеспечение эффективности и продуктивности деятельности, правильное составление финансовой отчетности и соблюдение законодательных норм.

Содержание

  1. Понятие модель COSO внутреннего контроля
  2. Принципы модели COSO
  3. Смысловая база координации рисков
  4. Компоненты модели COSO внутреннего управления
  5. Внутренняя среда
  6. Постановка целей
  7. Определение событий
  8. Оценка рисков
  9. Реагирование на риск
  10. Средства контроля
  11. Информация и коммуникация
  12. Мониторинг
  13. Заключение

Понятие модель COSO внутреннего контроля

Модель COSO была разработана в 1992 году комитетом организаций спонсоров Комиссии Тредвея. Свое название она получила по первым буквам автора (The Committee Of Sponsoring Organizations). Сам комитет организаций был учрежден еще в 1985 году. Совместно с комиссией по вопросам мошенничества в финансовой отчетности они создали модель внутреннего управления.

Модель COSO предполагает осуществление контроля со стороны руководства предприятия, его заместителей, главных менеджеров и работников других подразделений. Целью управления является:

  • обеспечение эффективности и продуктивности деятельности компании;
  • гарантия формирования достоверной отчетности;
  • соблюдение норм действующего законодательства.

Если говорить простым языком, каждый управленец должен следить за тем, насколько хорошо выполняется работа, правильно ли составляется отчетность, и не нарушают ли работники или компания в целом нормы действующего законодательства.

Принципы модели COSO

Модель COSO – это не цель, а инструмент для ее достижения. Сам по себе контроль является многомерным, хорошо распланированным процессом. Он не может существовать сам по себе и находится в прямой зависимости от человеческого фактора. То есть, без людей невозможно реализовать модель COSO. Причем успех управления заключается в многоуровневом контроле — от руководства до простого рабочего.

Важно! Главными принципами модели COSO являются оценка риска и управление им. То есть, для успешного функционирования компании нужно заранее просчитать, в чем заключается главная опасность, и постараться повлиять на нее.

В любом случае, модель COSO внутреннего контроля не сможет на все 100% дать гарантию успеха, но в несколько раз повышает уверенность руководства.

Смысловая база координации рисков

В 2001 году COSO поручила создать новый проект, направленный на координацию рисков. Именно он вошел в основу закона Сарбейнса-Оксли. Если говорить простым языком, данная программа предусматривает многократное ужесточение ответственности руководителей за предоставление искаженной финансовой отчетности. Согласно ей, теперь главные управленцы фирмы обязаны поддерживать внутренний контроль. Надо отметить, что до введения новых правил данная ответственность ложилась на внешних аудиторов.

Модель COSO принято изображать в виде куба, каждая из осей которого описывает свои функции. На первой, передней, оси отражены элементы контроля. На второй, боковой – уровни руководства. Третью можно найти на макушке куба, на ней располагаются цели управления.

Компоненты модели COSO внутреннего управления

Модель  COSO включает в себя 8 компонентов. Они расположены на первой, лицевой оси Магического куба. Именно ими обязаны заниматься управленцы всех уровней.

Внутренняя среда

Внутренняя среда говорит о настроении внутри компании. То есть, каким образом построен контроль, и насколько ответственно все сотрудники фирмы подходят к рискам. Согласно модели COSO, в компании должен быть высоко развит корпоративный дух. Каждый работник заинтересован в успешном функционировании фирмы и считает себя ответственным за происходящее.

Например, на складе предприятия работник увидел дыру, через которую могут пролезть воры, и похитить ценности компании. Простой сотрудник не отвечает за это, поэтому может просто пройти мимо и не обратить внимания на данный факт. Но работник компании, воспитанный по модели COSO, обязательно сообщит об инциденте руководству и предпримет попытки к исправлению ситуации.

Internal environment (или по-другому, внутренняя среда) включает в себя:

  • смысловую базу координации рисками;
  • риск-аппетит;
  • внутренние ценности человека, в том числе и честность;
  • компетенцию работников всех уровней;
  • управленческую структуру, а также делегирование полномочий;
  • равномерное распределение ответственности;
  • нормы управления сотрудниками.

Именно  на этих принципах должна держаться внутренняя среда корпорации, воспитанная по модели COSO.

Постановка целей

Цели в обязательном порядке устанавливают до нахождения событий, влияющих на достижение задачи. В узком представлении данного компонента модели COSO можно сказать, что управленцы должны наладить процесс таким образом, чтобы все свершаемые события были запланированными. Только тогда координация считается эффективной. У руководства должны быть гарантии хорошей организации процесса деятельности компании, а цели должны соответствовать назначению предприятия и уроню объема рисков.

Определение событий

Любые события так или иначе влияют на конченый итог деятельности предприятия. Руководство обязано разработать такую стратегию развития фирмы, чтобы предугадать, какие явления могут повлиять на достижение целей.

Условно события делят на две группы: риск и возможности. Первый управленцы должны оценить и повлиять на них, пытаясь предотвратить. Возможности нужно использовать по максимуму. Желательно их учитывать еще на этапе разработки стратегии развития фирмы, а также в процессе постановки целей.

Оценка рисков

Руководство обязано оценить риски до их возникновения. Кроме того, нужно понять, насколько вероятно их появление, а также в какой степени они повлияют на достижение целей. На этом же этапе необходимо определить порядок действий для устранения рисков или снижения их влияния.

Риски также оцениваются по присущему и остаточному принципу. В первом случае негативный инцидент уже случился и нужно срочно предпринимать меры по его устранению. Во втором – руководство оказало влияние на риски, но не до конца.

Для правильной оценки рисков, нужно определиться с его источниками. Их группируют по признаку возникновения:

Источник возникновения риска Риск Описание риска
Внутренний (внутри компании) Работники Человеку свойственно ошибаться, поэтому некоторые его решения, действия или, наоборот, бездействие могут привести к возникновению рисков.
Оборудование Техника всегда может сломаться, дать временный сбой.
Неправильно расставленные приоритеты и цели Такое случается от неправильной работы стратегического или управленческого отдела. Данный источник риска напрямую связан с человеческим фактором.
Внешние (независящие от компании) Человеческий фактор Риски могут возникнуть из-за плохо налаженной работы с поставщиками, из-за отказа покупателя приобретать товары или из-за усовершенствования работы конкурентами.
Законодательство За нарушение законодательства компания понесет ответственность. Ситуация усугубляется недобросовестным изучением действующих норм.
Внешнеполитическая ситуация Риски компании могут возникнуть по политическим соображениям. Например, ввод санкций может приостановить сотрудничество между двумя странами.
Мнение людей, навязанное общественное мнение Если один человек отказывается от приобретения товаров компании — ничего страшного, но если этого мнения придерживается огромная часть населения, в таком случае фирма уже рискует прекратить деятельность.
Экономическая ситуация в стране К примеру, обесценивание национальной валюты и рост зарубежной может привести к удорожанию продукции, что, в свою очередь, повлияет на спрос.
Природные Стихийные бедствия Это маловероятные явления, однако, от их возникновения никто не застрахован.
Обыденные природные явления (снег, дождь, гроза, молния и др.)

Реагирование на риск

После проведения оценки рисков руководство обязано отреагировать на них. Различают несколько типов поведения управленцев, выбор которых напрямую зависит от влияния негативных инцидентов на конечную цель:

  1. Уклонение. В таком случае руководство либо пытается закрыть глаза на возникновение негативного явления, либо риск незначительный, а для его устранения потребуется гораздо больше ресурсов, несоизмеримых с его последствиями.
  2. Принятие. После возникновения и оценки риска, руководство смиряется с ним. Ни в коем случае нельзя отрицать его существование.
  3. Сокращение. Управленцы обязаны повлиять на негативный инцидент и попытаться сократить его. Если же не получается, тогда рекомендуется провести перераспределение.

Таким образом, руководство обязано отреагировать на риск путем разработки мероприятий, направленных на его устранение, перераспределение или сокращение.

Средства контроля

Руководство обязано наладить управленческий контроль таким образом, чтобы предотвратить появление рисков. Для этого важно разработать порядок действий:

  • понятное распределение ответственности;
  • контроль над системным и физическим доступом;
  • надзор;
  • все транзакции регистрируются и авторизуются;
  • все действия, происходящие в компании, документируются;
  • постоянное обучение работников фирмы;
  • распределение обязанностей;
  • регулярное проведение анализа финансово-хозяйственной деятельности.

Таким образом, чтобы наладить управленческий контроль, нужно разработать план адекватных и вполне понятных действий.

Информация и коммуникация

Рабочий процесс должен быть организован таким образом, чтобы сотрудники всех уровней вовремя получали информацию, чего можно добиться путем налаживания коммуникации. То есть, у работников должно быть время для того, чтобы довести сведения до ответственных специалистов, а вторым должно его хватить для должного реагирования.

Мониторинг

Деятельность компании должна постоянно отслеживаться. То есть, руководство регулярно наблюдает за происходящим внутри и за пределами фирмы, а в случае необходимости — меняет тактику управления.

Заключение

Таким образом, в компании, воспитанной по модели COSO, большое предпочтение отдается внутренней среде и атмосфере, царящей в кругу персонала. Вся модель построена на мониторинге. То есть, фундаментально важно отслеживать происходящее в компании. Именно исходя из наблюдений ставятся цели и задачи, оцениваются риски, и разрабатываются мероприятия по их устранению.

Источник

Главная » Аналитика

Комитет организаций – спонсоров Комиссии Тредвея (The committee of sponsoring organizations of the treadway commission – COSO) разработал общую модель внутреннего контроля [8], в сравнении с которой компании и организации, в том числе и банки, могут оценить собственные системы управления. COSO был образован в 1985г. при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчетности (Комиссия Тредуэя).

Модель COSO определяет внутренний контроль организации как процесс, осуществляемый советом директоров, топ-менеджментом и остальным персоналом организации, предназначенный для обеспечения «разумной уверенности» касательно достижения целей в следующих категориях:

  • эффективность и продуктивность операций;
  • надежность финансовой отчетности;
  • соблюдение законов и правил.

Модель COSO внутреннего контроля включает в себя несколько основных понятий:

  1. внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель;

  2. внутренний контроль зависит от людей. Он представляет собой не только политики руководства и формы, но и людей на всех уровнях компании;

  3. внутренний контроль может обеспечить руководству и совету директоров компании лишь достаточную уверенность, но не абсолютные гарантии;

  4. внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Суть модели COSO можно выразить так: вы управляете тогда, когда риск оценен и управляем.

Элементы внутреннего контроля согласно системе COSO включают (табл. 1):

1) контрольную среду;
2) оценку риска;
3) мероприятия контроля;
4) сбор и анализ информации, а также передачу ее по назначению;
5) мониторинг и исправление ошибок.[2]

Таблица 1. Компоненты системы внутреннего контроля

Компонент Описание Основные элементы
Контрольная среда Осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля организации, а также понимание значения такой системы для деятельности этой организации — надежность, честность и нравственность;
— компетентность;
— философия и стиль управления;
— организационнаяструктура;
— распределение прав и обязанностей;
— кадровая политика и практика.
Оценка риска Определение и оценка возможных рисков при подготовке финансовой отчетности — изменения законодательства;
— изменения условий хозяйствования;
— оценка последствий.
Информация и сети Обеспечивают понимание персоналом роли своего участия в процессе подготовки финансовой (бухгалтерской) отчетности — запись, обработка, обобщение и представление операций организаций;
— распределение обязанностей;
— обеспечение руководителей различных уровней информацией.
Контрольные процедуры Обеспечивают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются — проверка выполнения распоряжения (отчеты);
— обработка информации;
— проверка наличия и состояния объектов;
— распределение обязанностей.
Мониторинг Наблюдение за тем, функционируют ли средства контроля должным образом. Это процесс оценки эффективного функционирования системы внутреннего контроля во времени — непрерывный мониторинг;
— периодический контроль.

Модель включает в себя восемь компонентов:

  • внутренняя среда (internal environment). Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют;

  • постановка целей (objective setting). Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение. Процесс управления рисками предоставляет разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и они соответствуют миссии организации и уровню ее риск-аппетита;

  • определение событий (event identification). Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей;

  • оценка рисков (risk assessment). Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска;

  • реагирование на риск (risk response). Руководство выбирает метод реагирования на риск – уклонение от риска, принятие, сокращение или перераспределение риска, – разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации;

  • средства контроля (control activities). Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать разумную гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно;

  • информация и коммуникации (information and communication). Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали;

  • мониторинг (monitoring). Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Подводя итоги, отметим что:

  1. В COSO большое значение придается внутренней среде.

  2. В COSO гораздо большее значение придается мониторингу внутреннего контроля как форме последующего контроля. Мониторинг – один из основных элементов модели COSO.

  3. В COSO большое значение придается работе совета директоров.

Литература:

  1. Каковкина Т.В. Система внутреннего контроля как средство выявления рисков организации // Международный бухгалтерский учет. 2014, №36
  2. Калачева О.Н. Проблемы внутреннего контроля в организациях малого и среднего бизнеса // Аудитор. 2015, №10
  3. Крайнова В.В. Обоснование направлений развития внутреннего контроля в организациях внутреннего водного транспорта // Международный бухгалтерский учет. 2014, №46
  4. Коське М.С., Мишучкова Ю.Г., Воюцкая И.В. Внутренний контроль как трудовая функция главного бухгалтера // Международный бухгалтерский учет. 2015, №6
  5. Пучкова А.О. Необходимость оценки системы внутреннего контроля и ее элементов при проведении аудита // Аудиторские ведомости. 2012. №1/2
  6. Пашков Р. Мониторинг системы внутреннего контроля // Бухгалтерия и банки. 2015. №1
  7. Янова Я.Ю. Концепция ориентированного на риск внутреннего контроля — идеал, к которому нужно стремиться // Внутренний контроль в кредитной организации. 2014. №4
  8. Internal Control — Integrated Framework (2013)

Версия для печати

Похожие материалы:

  • Мониторинг системы внутреннего контроля банка
  • Методы инвестиционного анализа
  • Интерпретация активов организации в соответствии с бухгалтерскими концепциями
  • SWOT-анализ в стратегии развития предприятия
  • Проблемы реализации федеральных адресных инвестиционных программ
Источник

The Committee of Sponsoring Organizations of the Treadway Commission (COSO) is an organization that develops guidelines for businesses to evaluate internal controls, risk management, and fraud deterrence. In 1992 (and subsequently re-released in 2013), COSO published the Internal Control — Integrated Framework, commonly used by businesses in the United States to design, implement, and conduct systems of internal control over financial reporting and assessing their effectiveness.

History[edit]

In 1985, COSO began as a private sector initiative to investigate the causal factors that lead to fraudulent financial reporting as a result of a number of accounting scandals in the 1970s and mid-1980s. This initiative was termed the National Commission on Fraudulent Financial Reporting; the first president of the Commission was James C. Treadway, Jr., a former Commissioner of the US Securities and Exchange Commission, and therefore the initiative was commonly called the «Treadway Commission». The Treadway Commission was sponsored jointly by five major professional associations based in the United States:

  • American Institute of Certified Public Accountants (AICPA)
  • Financial Executives International (FEI)
  • American Accounting Association (AAA)
  • Institute of Internal Auditors (IIA)
  • Institute of Management Accountants (IMA)

COSO first examined financial reporting from October 1985 to September 1987, releasing «Report of the National Commission on Fraudulent Financial Information».[1] The report included observations on the extent of fraudulent financial reporting, the root causes of such fraud, the role of independent public accountants in detecting fraud, and the steps companies could take to prevent fraudulent activity.

As an extension of the original report and to fulfill its mission of improving financial reporting, COSO prepared a set of guidelines for managing a system of internal controls over financial reporting. In 1992, COSO published «Internal Control — Integrated Framework»[2] which detailed five key components of an effective internal control system, along with tools to evaluate the effectiveness of such a system. In 2013, COSO re-released the Integrated Framework, stating that significant changes in technology and global business trends increased the need for quality systems of internal control, and provided enhanced guidance for the application of the overall principles.[3]

As part of the changes of the Sarbanes-Oxley Act of 2002, public companies in the United States are required to use a system of internal controls in order to evaluate the effectiveness of their own financial reporting, and to report on the results of that evaluation to their investors in their annual financial statements.[4] The COSO framework is commonly used, given its broad applicability to all industries and enterprise sizes.

Internal Control — Integrated Framework [edit]

COSO Framework Visualization

Key concepts of the COSO framework[edit]

The COSO framework defines internal control as a process, carried out by the board of directors, the administration and other personnel of an entity, designed to provide «reasonable security» with respect to the achievement of objectives in operations, financial reporting, and compliance with applicable laws and regulations.

COSO organizes its framework into five interrelated components, subdivided in 17 principles. COSO notes that in order for an effective system of internal control to reduce the risk of not achieving an entity’s objectives, (i) each of the five components of internal control and relevant principles is present and functioning, and (ii) the five components are operating together in an integrated manner.

Control environment[edit]

The control environment sets the tone of an organization, influencing the control consciousness of its people. It is the basis of all other components of internal control, providing discipline and structure. Factors in the control environment include integrity, ethical values, the operational style of administration, the delegation of authority systems, as well as the processes for managing and developing people in the organization.

Risk assessment[edit]

Each entity faces a variety of risks from external and internal sources that must be assessed. A prerequisite for risk assessment is the establishment of objectives and, therefore, risk assessment is the identification and analysis of risks relevant to the achievement of the assigned objectives. Risk assessment is a prerequisite for determining how risks should be managed. The four underlying principles related to risk assessment are that the organization should have clear objectives in order to be able to identify and assess the risks relating to those objectives; should determine how the risks should be managed; should consider the potential for fraudulent behavior; and should monitor changes that could impact internal controls.

Control activities[edit]

Control activities are the policies and procedures that help ensure that management directives are carried out. They help to ensure that the necessary measures are taken to address the risks that may hinder the achievement of the entity’s objectives. Control activities occur throughout the organization, at all levels and in all functions. They include a range of activities as diverse as approvals, authorizations, verifications, reconciliations, operational performance reviews, asset safety and segregation of functions.

Information and communication[edit]

Information systems play a key role in internal control systems, as they produce reports, including operational, financial and compliance-related information, which make the operation and control of the business possible . In a broader sense, effective communication must ensure information flows down, across and up the organization. An example is the formalized procedures for individuals to report suspected fraud. Effective communication with external parties, such as customers, suppliers, regulators and shareholders on related political positions, must also be guaranteed.

Monitoring[edit]

Internal control systems must be monitored, a process that evaluates the quality of system performance over time. This is achieved through continuous monitoring activities or separate evaluations. Internal control deficiencies detected through these monitoring activities must be reported upstream and corrective measures must be taken to ensure continuous improvement of the system.

Limitations[edit]

Internal control involves human action, which introduces the possibility of errors in prosecution or trial. Internal control can also be overridden by collusion among employees (see separation of duties) or coercion by senior management.

The magazine CFO reported that companies are struggling to apply the complex model provided by COSO. «One of the biggest problems: limiting internal audits to one of the three key objectives of the framework. In the COSO model, these objectives apply to five key components (control environment, risk assessment, control activities, information and communication , and monitoring «Given the number of possible matrices, it is not surprising that the number of audits can get out of control.»[5] CFO magazine continued to state that many organizations are creating their own risk and control matrix by taking the COSO model and modifying it to focus on the components that relate directly to Section 404 of the Sarbanes-Oxley Act.

Business Risk Management [edit]

In 2001, COSO initiated a project and hired PricewaterhouseCoopers to develop a framework that administrations could easily use to evaluate and improve the business risk management of their organizations. High-profile commercial scandals and failures (e.g., Enron, Tyco International, Adelphia, Peregrine Systems and WorldCom) prompted calls to improve corporate governance and risk management. As a result, Sarbanes-Oxley Act was enacted. This law extends the long-standing requirement for public companies to maintain internal control systems, which requires management to certify and the independent auditor to certify the effectiveness of those systems. The Internal Control — Integrated Framework continues to serve as the widely accepted standard[citation needed] to meet those reporting requirements; however, in 2004 COSO published «Enterprise Risk Management — Integrated Framework.»[6] COSO believes that this framework is expanded in internal control, providing a more robust and extensive approach to the broader issue of business risk management.

Four categories of business objectives[edit]

This business risk management framework is still aimed at achieving the objectives of an entity; However, the framework now includes four categories:

  • Strategic: high-level objectives, policy alignment and supporting their mission.
  • Operations: effective and efficient use of resources.
  • Reports: reliability of reports
  • Compliance: compliance with applicable laws and regulations

Eight frame components[edit]

The eight components of business risk management encompass the five previous components of the Integrated Internal Control Framework while expanding the model to meet the growing demand for risk management:

‘Internal environment’: The internal environment encompasses the tone of an organization and establishes the basis of how risk is seen and addressed by the persons of an entity, including the risk management philosophy and risk appetite, integrity and ethical values, and the environment in which they operate.

‘Setting objectives’: The objectives must exist before management can identify potential events that affect its achievement. Business risk management ensures that management has implemented a process to establish objectives and that the chosen objectives support and align with the mission of the entity and are consistent with its appetite for risk.

‘Event identification’: Internal and external events that affect the achievement of the objectives of an entity must be identified, distinguishing between risks and opportunities. The opportunities are re-channeled into management strategy or goal-setting processes.

‘Risk assessment’: The risks are analyzed, considering the probability and impact, as a basis for determining how they should be managed. The risks are inherently and residually assessed.

‘Risk response:’ Management selects risk responses, avoiding, accepting, reducing or sharing risk, developing a set of actions to align risks with the entity’s risk appetite and risk appetite.

‘Control activities:’ Policies and procedures are established and implemented to help ensure that risk responses are carried out effectively.

‘Information and communication:’ The relevant information is identified, captured and communicated in a way and time frame that allow people to fulfill their responsibilities. Effective communication also occurs in a broader sense, flowing down, through and up the entity.

‘Monitoring:’ The entire business risk management is monitored and modifications are made as necessary. Monitoring is achieved through ongoing management activities, separate evaluations or both.

COSO believes that Enterprise Risk Management — Integrated Framework provides a clearly defined interrelation between the components and risk management objectives of an organization that will satisfy the need to comply with the new laws, regulations and standards of listing and waiting that companies accept it widely. and other organizations and stakeholders.

Limitations[edit]

COSO admits in its report that, although business risk management provides significant benefits, there are limitations. Business risk management depends on human judgment and, therefore, is susceptible to decision making. Human failures, such as simple errors or errors, can lead to inadequate risk responses. In addition, controls can be avoided by collusion of two or more people, and management has the ability to override business risk management decisions. These limitations prevent a board and management from having absolute security regarding the achievement of the entity’s objectives.

Philosophically, COSO is more oriented towards controls. Therefore, it has a bias towards risks that could have a negative impact instead of the risks of missing opportunities. See ISO 31000.

While COSO states that its expanded model provides more risk management, companies are not required to change to the new model if they are using the Integrated Internal Control Framework.

Internal control over financial information — Guidance for small public companies[edit]

This document contains guidance to help smaller public companies to apply the concepts of 1992 Internal Control — Integrated Framework. This publication shows the applicability of these concepts to help smaller public companies design and implement internal controls to support the achievement of financial information objectives. It highlights 20 key principles of the 1992 framework, providing a principles-based approach to internal control. As explained in the publication, the 2006 guideline applies to entities of all sizes and types.[7]

Guidance on monitoring internal control systems[edit]

Companies have invested heavily in improving the quality of their internal controls; However, COSO noted that many organizations do not fully understand the importance of the monitoring component of the COSO framework and the role it plays in streamlining the evaluation process. In January 2009, COSO published its «Guidance on the monitoring of internal control systems» to clarify the internal control monitoring component.

Over time, effective monitoring can lead to organizational efficiencies and reduced costs associated with public information about internal control because problems are identified and addressed proactively, rather than reactively.

The COSO Monitoring Guide is based on two fundamental principles originally established in the 2006 COSO Guide:

  • Continuous and / or separate evaluations allow management to determine if the other components of internal control continue to function over time, and
  • Internal control deficiencies are identified and communicated in a timely manner to the parties responsible for taking corrective measures and to management and the board, as appropriate.

The monitoring guide also suggests that these principles are best achieved through monitoring based on three general elements:

  • Establish a basis for monitoring, including (a) an appropriate top tone; (b) an effective organizational structure that assigns monitoring roles to people with appropriate capacities, objectivity and authority; and (c) a starting point or «baseline» of known effective internal control from which continuous monitoring and separate evaluations can be implemented;
  • Design and execute monitoring procedures focused on «persuasive information» on the operation of «key controls» that address «significant risks» for organizational objectives;
  • Evaluate and report the results, including assessing the severity of any identified deficiencies and reporting the results of monitoring to appropriate staff and the board for timely action and follow-up if necessary.

Role of the internal audit[edit]

Internal auditors play an important role in assessing the effectiveness of control systems. As an independent function that informs senior management, internal audit can evaluate the internal control systems implemented by the organization and contribute to continued effectiveness. As such, internal auditing often plays an important «monitoring» role. To preserve its independence of judgment, the internal audit should not assume any direct responsibility in the design, establishment or maintenance of the controls that it is supposed to evaluate. Internal audit may only advise on possible improvements to be made.

Role of the external audit[edit]

Under Section 404 of the Sarbanes-Oxley Act, management and external auditors must report on the adequacy of the company’s internal control over financial information. The Public Company Accounting Oversight Board, formed to oversee the external audit profession, published Auditing Standard 2201 which requires that auditors «use the same appropriate and recognized control framework to conduct their internal control audit on the financial information that management uses to its annual evaluation of the effectiveness of the company’s internal control over financial information. «[8] Section 143 (3) (i) of the Indian Companies Act, 2013 also requires Legal Auditors to comment on internal control over financial information

See also[edit]

  • Maiden Lane II LLC

References[edit]

  1. ^ «Report of the National Commission on Fraudulent Financial Reporting». Docslib. Retrieved 2022-10-12.
  2. ^ «Internal control — Integrated framework». Archived from the original on 2009-02-28. Retrieved 2009-04-21.
  3. ^ «COSO FAQs May 2013» (PDF). COSO.org. Retrieved 12 October 2022.
  4. ^ «Final Rule: Management’s Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports; Rel. No. 33-8238». www.sec.gov. Retrieved 2022-10-12.
  5. ^ «CFO: Corporate Finance for Executive Leadership». CFO Magazine. Retrieved March 23, 2011.
  6. ^ http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf, «Enterprise Risk Management — Integrated Framework», accessed March 23, 2011.
  7. ^ www.coso.org http://www.coso.org/IC.htm. Retrieved December 28, 2012.
  8. ^ «Welcome to the US Petabox». Archived from the original (PDF) on 2007-10-07. Retrieved 2009-04-21., (AS No. 5.5), retrieved on March 23, 2011.

External links[edit]

  • COSO
  • www.cpa2biz.com/COSOEvalTools, COSO evaluation template.
Источник

Понравилась статья? Поделить с друзьями:
  • Настольное руководство по морфологии зубов
  • Руководство пользователя к радиотелефону
  • Откосы из сэндвич панелей своими руками пошаговая инструкция видео
  • Ацц 200 мг инструкция по применению цена для детей порошок
  • Стиральная машина канди 4 кг инструкция в картинках