Комитет организаций-спонсоров Комиссии Тредуэя - Committee of Sponsoring Organizations of the Treadway Commission
Часть серия на |
Бухгалтерский учет |
---|
Аудиторская проверка |
Люди и организации
|
«Комитет организаций-спонсоров Комиссии Тредуэя» («COSO») - это совместная инициатива по борьбе с корпоративным мошенничеством. Он был основан в Соединенных Штатах пятью организациями частного сектора, призванными руководить исполнительным руководством и государственными структурами в соответствующих аспектах организационного управления, деловой этики, внутреннего контроля, управления бизнес-рисками, мошенничества и финансовых отчетов. COSO разработала общую модель внутреннего контроля, по которой компании и организации могут оценивать свои системы контроля. COSO имеет поддержку пяти организаций поддержки: Американский институт сертифицированных бухгалтеров (AICPA), Американская бухгалтерская ассоциация (AAA), Financial Executives International (FEI), Институт внутренних аудиторов (IIA) и Институт управленческих бухгалтеров (IMA)
Организационное резюме
COSO была создана в 1985 году для спонсирования Национальной комиссии по борьбе с мошенничеством в области финансовой информации (Комиссия Тредуэя). Комиссия Тредуэя изначально спонсировалась и совместно финансировалась пятью основными профессиональными бухгалтерскими ассоциациями и институтами, базирующимися в Соединенных Штатах: Американским институтом сертифицированных бухгалтеров (AICPA), Американской ассоциацией бухгалтеров (AAA), Financial Executives International (FEI), Институтом внутренних дел. Аудиторы (IIA) и Институт управленческих бухгалтеров (IMA). Комиссия Тредуэя рекомендовала организациям-спонсорам Комиссии совместно разработать комплексное руководство по внутреннему контролю. Эти пять организаций сформировали то, что сейчас называется Комитетом спонсорских организаций Комиссии Тредуэя.
Первоначальным президентом Комиссии Тредуэя был Джеймс С. Тредуэй младший, исполнительный вице-президент и главный юрисконсульт. Пейн Уэббер и бывший комиссар Комиссии по ценным бумагам и биржам США. UU. Отсюда и популярное название «Комиссия Тредуэя». Роберт Б. Херт-младший стал президентом COSO в 1 июня 2013 г.. Он занимал эту должность 4,5 года. В 1 февраля 2018 г., Пол Дж. Собель стал новым президентом COSO.
История
Из-за сомнительной практики финансирования корпоративных политических кампаний и коррупции за рубежом в середине 1970-х гг. Комиссия по ценным бумагам и биржам США (SEC) и Конгресс США провела реформы закона о финансировании избирательных кампаний и Закон о коррупции за рубежом (FCPA) 1977 года, который криминализировал транснациональный взяточничество и требовал от компаний реализации программ внутреннего контроля. В ответ на это в 1985 году была создана Комиссия Тредуэя, инициатива частного сектора, для проверки, анализа и выработки рекомендаций по поддельным корпоративным финансовым отчетам.[нужна цитата ]
Комиссия Тредуэя изучала финансовую информационную систему в период с октября 1985 года по сентябрь 1987 года и в октябре 1987 года выпустила отчет с выводами и рекомендациями «Отчет Национальной комиссии по мошенничеству с финансовой информацией».[1] В результате этого первоначального отчета был сформирован и сохранен Комитет спонсорских организаций (COSO). Куперс и Лайбранд, крупная бухгалтерская фирма, чтобы изучить проблемы и написать отчет о интегрированной системе внутреннего контроля.
В сентябре 1992 г. вышел четырехтомный отчет «Внутренний контроль: интегрированная система».[2] был опубликован COSO, а затем опубликован снова с небольшими поправками в 1994 году. В этом отчете представлено общее определение внутреннего контроля и предоставлена основа для оценки и улучшения систем внутреннего контроля. Этот отчет является стандартом, который компании США используют для оценки соблюдения FCPA. Согласно опросу, проведенному журналом `` Финансовый директор опубликованная в 2006 году, 82% респондентов заявили, что использовали структуру COSO для внутреннего контроля. Другие структуры, используемые респондентами, включали COBIT, AS2 (Стандарт аудита № 2, PCAOB ) и SAS 55/78 (AICPA).[3][нуждается в обновлении ]
Внутренний контроль - интегрированная система
Ключевые концепции структуры COSO
Структура COSO включает в себя несколько ключевых концепций:
- Внутренний контроль это «процесс». Это средство для достижения цели, а не самоцель.
- Внутренний контроль осуществляется «людьми». Речь идет не только о политиках, руководствах и формах, но и о людях на всех уровнях организации.
- Можно ожидать, что внутренний контроль обеспечит только «разумную безопасность», а не абсолютную безопасность для администрации и управления организацией.
- Внутренний контроль направлен на достижение «целей» в одной или нескольких отдельных, но частично совпадающих категориях.
Определение внутреннего контроля и целей структуры
Структура COSO определяет внутренний контроль как процесс, осуществляемый советом директоров, администрацией и другим персоналом организации, призванный обеспечить «разумную безопасность» в отношении достижения целей в следующих категориях:
- Эффективность и действенность 'операции'
- Надежность 'Финансовые отчеты'
- 'Согласие' с применимыми законами и правилами
Пять компонентов рамы
Система внутреннего контроля COSO состоит из пяти взаимосвязанных компонентов, вытекающих из способа, которым администрация управляет бизнесом. «Согласно COSO, эти компоненты обеспечивают эффективную основу для описания и анализа системы внутреннего контроля, внедренной в организации» в соответствии с требованиями финансового законодательства (см. Закон о фондовых биржах 1934 года,[4]) Пять компонентов следующие:
'Контрольная среда:' В контрольная среда задает тон организации, влияя на контрольное сознание ее людей. Это основа всех других компонентов внутреннего контроля, обеспечивающая дисциплину и структуру. Факторы контрольной среды включают целостность, этические ценности, операционный стиль администрирования, системы делегирования полномочий, а также процессы управления и развития людей в организации.
'Оценка рисков:' Каждая организация сталкивается с различными рисками из внешних и внутренних источников, которые необходимо оценить. Предпосылкой для оценки риска является постановка целей, и, следовательно, оценка риска - это идентификация и анализ рисков, относящихся к достижению поставленных целей. Оценка риска является предпосылкой для определения того, как следует управлять рисками. Четыре основных принципа, относящихся к оценке рисков, заключаются в том, что организация должна иметь четкие цели, чтобы иметь возможность идентифицировать и оценивать риски, связанные с этими целями; должен определить, как следует управлять рисками; следует учитывать возможность мошенничества; и должен отслеживать изменения, которые могут повлиять на внутренний контроль.
«Контрольные мероприятия:» Контрольные действия - это политика и процедуры, которые помогают обеспечить выполнение указаний руководства. Они помогают обеспечить принятие необходимых мер для устранения рисков, которые могут помешать достижению целей организации. Контрольные действия происходят во всей организации, на всех уровнях и во всех функциях. Они включают в себя ряд таких разнообразных мероприятий, как утверждения, авторизации, проверки, согласования, обзоры эксплуатационных характеристик, безопасность активов и разделение функций.
'Информация и коммуникация:' Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включая операционную, финансовую информацию и информацию, связанную с соблюдением нормативных требований, что делает возможным функционирование и контроль бизнеса. В более широком смысле эффективная коммуникация должна обеспечивать поток информации вниз, по всей организации и вверх по ней. Например, формализованные процедуры для лиц, сообщающих о подозрениях в мошенничестве. Также необходимо гарантировать эффективную коммуникацию с внешними сторонами, такими как клиенты, поставщики, регулирующие органы и акционеры, по соответствующим политическим позициям.
'Мониторинг' : Системы внутреннего контроля должны отслеживаться, это процесс, который оценивает качество работы системы с течением времени. Это достигается за счет непрерывного мониторинга или отдельных оценок. О недостатках внутреннего контроля, обнаруженных в ходе этих мероприятий по мониторингу, необходимо сообщать на начальном этапе, и необходимо принимать корректирующие меры для обеспечения постоянного улучшения системы.
Ограничения
Внутренний контроль предполагает действия человека, что создает возможность ошибок в судебном преследовании или суде. Внутренний контроль также может быть отменен сговором между сотрудниками (см. разделение обязанностей ) или принуждение со стороны высшего руководства.
Журнал `` Финансовый директор сообщил, что компании изо всех сил пытаются применить сложную модель, предоставленную COSO. «Одна из самых больших проблем: ограничение внутреннего аудита одной из трех ключевых целей структуры. В модели COSO эти цели применяются к пяти ключевым компонентам (контрольная среда, оценка рисков, контрольные действия, информация и коммуникация, а также мониторинг» Учитывая количество возможных матриц, неудивительно, что количество проверок может выйти из-под контроля ».[5] Журнал CFO продолжал утверждать, что многие организации создают свою собственную матрицу рисков и контроля, взяв модель COSO и модифицируя ее, чтобы сосредоточиться на компонентах, которые напрямую связаны с разделом 404 Закона Сарбейнса-Оксли.
Управление бизнес-рисками
В 2001 году COSO инициировала проект и наняла PricewaterhouseCoopers разработать структуру, которую администрация могла бы легко использовать для оценки и улучшения управления бизнес-рисками в своих организациях. Громкие коммерческие скандалы и неудачи (например, Enron, Tyco International, Адельфия, Системы Peregrine и WorldCom ) вызвали призывы улучшить корпоративное управление и управление рисками. Как результат, Закон Сарбейнса-Оксли был принят. Этот закон расширяет давнее требование к публичным компаниям поддерживать системы внутреннего контроля, согласно которому руководство должно сертифицировать, а независимый аудитор удостоверять эффективность этих систем. В Внутренний контроль - интегрированная система продолжает служить `` общепринятым стандартом[нужна цитата ] соответствовать этим требованиям к отчетности; однако в 2004 г. COSO опубликовала «Управление рисками предприятия - интегрированная концепция».[6] COSO считает, что эта структура расширена во внутреннем контроле, обеспечивая более надежный и обширный подход к более широкому вопросу управления бизнес-рисками.
Четыре категории бизнес-целей
Эта система управления бизнес-рисками по-прежнему направлена на достижение целей организации; Однако теперь структура включает четыре категории:
- Стратегические: цели высокого уровня, согласованные и поддерживающие их миссию.
- Операции: эффективное и рациональное использование ваших ресурсов.
- Отчеты: надежность отчетов
- Соответствие: соблюдение применимых законов и правил
Восемь компонентов рамы
Восемь компонентов управления бизнес-рисками охватывают пять предыдущих компонентов интегрированной системы внутреннего контроля, расширяя модель для удовлетворения растущего спроса на управление рисками:
'Внутренняя среда': Внутренняя среда включает в себя тон организации и устанавливает основу того, как риск рассматривается и решается лицами организации, включая философию управления рисками и риск-аппетит, целостность и этические ценности, а также среду, в которой они действуют.
«Постановка целей»: Цели должны существовать до того, как руководство сможет определить потенциальные события, которые повлияют на их достижение. Управление бизнес-рисками гарантирует, что руководство внедрило процесс для установления целей, и что выбранные цели поддерживают и согласовываются с миссией организации и соответствуют ее аппетиту к риску.
'Идентификация события': Внутренние и внешние события, которые влияют на достижение целей организации, должны быть идентифицированы, различая риски и возможности. Возможности перенаправляются в стратегию управления или процессы постановки целей.
'Оценка рисков': Риски анализируются с учетом вероятности и воздействия в качестве основы для определения того, как ими следует управлять. Риски оцениваются по сути и на остаточной основе. Оставить комментарийRecordSavedCommunity
«Реакция на риск:» Руководство выбирает меры реагирования на риски, избегая, принимая, снижая или разделяя риски, разрабатывая набор действий для согласования рисков с аппетитом к риску и аппетитом к риску организации.
«Контрольные мероприятия:» Разработаны и внедрены политики и процедуры, помогающие обеспечить эффективное реагирование на риски.
'Информация и коммуникация:' Соответствующая информация идентифицируется, фиксируется и передается таким образом и в сроки, которые позволяют людям выполнять свои обязанности. Эффективное общение также происходит в более широком смысле: оно течет вниз, через и вверх по сущности.
'Мониторинг:' Контролируется все управление бизнес-рисками, и при необходимости вносятся изменения. Мониторинг достигается посредством текущей управленческой деятельности, отдельных оценок или того и другого.
COSO считает, что Управление рисками предприятия - интегрированная структура обеспечивает четко определенную взаимосвязь между компонентами и целями управления рисками организации, которая удовлетворяет потребность в соблюдении новых законов, нормативных актов и стандартов листинга и ожидания, что компании примут его широко. и другие организации и заинтересованные стороны.
Ограничения
В своем отчете COSO признает, что, хотя управление бизнес-рисками дает значительные преимущества, существуют ограничения. Управление бизнес-рисками зависит от человеческого суждения и, следовательно, зависит от принятия решений. Ошибки человека, такие как простые ошибки или ошибки, могут привести к неадекватному реагированию на риски. Кроме того, контроля можно избежать путем сговора двух или более человек, и руководство имеет возможность отменять решения по управлению бизнес-рисками. Эти ограничения не позволяют совету директоров и руководству иметь абсолютную безопасность в отношении достижения целей организации.
Философски COSO больше ориентирована на контроль. Следовательно, он склонен к рискам, которые могут оказать негативное воздействие, а не к рискам упущенных возможностей. Видеть ISO 31000.
Хотя COSO заявляет, что его расширенная модель обеспечивает большее управление рисками, компаниям не требуется переходить на новую модель, если они используют интегрированную структуру внутреннего контроля.
Внутренний контроль над финансовой информацией - Руководство для малых публичных компаний
Этот документ содержит руководство, которое поможет небольшим публичным компаниям применять концепции Внутреннего контроля 1992 года - Интегрированная структура. Эта публикация показывает применимость этих концепций, чтобы помочь небольшим публичным компаниям разрабатывать и внедрять внутренний контроль для поддержки достижения целей финансовой информации. В нем освещены 20 ключевых принципов концепции 1992 года, обеспечивающих основанный на принципах подход к внутреннему контролю. Как поясняется в публикации, руководство 2006 г. применяется к объектам всех размеров и типов.[7]
Руководство по мониторингу систем внутреннего контроля
Компании вложили значительные средства в повышение качества своего внутреннего контроля; Тем не менее, COSO отметила, что многие организации не полностью осознают важность компонента мониторинга в структуре COSO и ту роль, которую он играет в оптимизации процесса оценки. В январе 2009 года COSO опубликовал «Руководство по мониторингу систем внутреннего контроля», чтобы прояснить компонент мониторинга внутреннего контроля.
Со временем эффективный мониторинг может привести к повышению эффективности организации и снижению затрат, связанных с общедоступной информацией о внутреннем контроле, поскольку проблемы выявляются и решаются заранее, а не реагировать.
Руководство по мониторингу COSO основано на двух фундаментальных принципах, изначально установленных в Руководстве COSO 2006:
- Непрерывная и / или раздельная оценка позволяет руководству определить, продолжают ли другие компоненты внутреннего контроля функционировать с течением времени, и
- Недостатки внутреннего контроля выявляются и своевременно доводятся до сведения сторон, ответственных за принятие корректирующих мер, а также, при необходимости, руководства и совета директоров.
Руководство по мониторингу также предполагает, что эти принципы лучше всего достигаются посредством мониторинга, основанного на трех общих элементах:
- Создать основу для мониторинга, включая (а) соответствующий верхний тон; (б) эффективная организационная структура, которая распределяет роли по мониторингу людям с соответствующими возможностями, объективностью и властью; и (c) отправная точка или «базовый уровень» известного эффективного внутреннего контроля, на основе которого может осуществляться непрерывный мониторинг и отдельные оценки;
- Разработка и выполнение процедур мониторинга, сфокусированных на «убедительной информации» о работе «ключевых средств контроля», направленных на устранение «значительных рисков» для целей организации; Y
- Оценивать и сообщать о результатах, в том числе оценивать серьезность любых выявленных недостатков и сообщать результаты мониторинга соответствующему персоналу и совету директоров для своевременных действий и последующих действий, если это необходимо.
Роль внутреннего аудита
Внутренние аудиторы играют важную роль в оценке эффективности систем контроля. Как независимая функция, информирующая высшее руководство, внутренняя ревизия может оценить системы внутреннего контроля, внедренные в организации, и внести свой вклад в постоянную эффективность. Таким образом, внутренний аудит часто играет важную роль «мониторинга». Чтобы сохранить независимость суждений, внутренний аудит не должен брать на себя прямую ответственность за разработку, внедрение или поддержание средств контроля, которые он должен оценивать. Вы можете только посоветовать возможные улучшения, которые необходимо внести.
Роль внешнего аудита
1141/5000 В соответствии с разделом 404 Закон Сарбейнса-Оксли, менеджмент и внешние аудиторы должен отчитываться об адекватности внутреннего контроля компании над финансовой информацией. Стандарт аудита № 5, опубликованный Совет по надзору за бухгалтерским учетом публичных компаний требует, чтобы аудиторы «использовали ту же соответствующую и признанную систему контроля для проведения аудита внутреннего контроля финансовой информации, которую руководство использует для ежегодной оценки эффективности внутреннего контроля компании над финансовой информацией».[8] Раздел 143 (3) (i) Закона об индийских компаниях 2013 г. также требует от юридических аудиторов давать комментарии по вопросам внутреннего контроля над финансовой информацией.
Внутренний контроль - Интегрированная структура Обновить проект
В ноябре 2010 года COSO объявила о проекте по пересмотру и обновлению «Внутреннего контроля - интегрированная система», чтобы сделать ее более актуальной во все более сложной бизнес-среде.[9] Пять компонентов структуры остаются прежними. Новой особенностью обновленной структуры является то, что концепции внутреннего контроля, представленные в исходной структуре, теперь будут закодированы в 17 принципов, явно перечисленных среди пяти компонентов.[10] Изменения в структуре включают внутренний контроль над технологиями, такими как электронная почта и Интернет, которые широко не использовались. когда исходная структура была опубликована в 1992 году.[11]Вместе с обновленной Концепцией COSO намеревается опубликовать следующие документы:
- Внутренний контроль внешней финансовой информации (ICEFR): Сборник подходов и примеров - разработан, чтобы помочь пользователям, когда они применяют концепцию к задачам внешней финансовой информации.
- Иллюстративные инструменты : разработан, чтобы помочь пользователям оценить эффективность системы внутреннего контроля на основе требований, перечисленных в обновленной Концепции.[12]
Смотрите также
Рекомендации
- ^ http://www.coso.org/Publications/NCFFR.pdf, «Отчет Национальной комиссии по мошенничеству с финансовой информацией», получено 23 марта 2011 г.
- ^ «Архивная копия». Архивировано из оригинал на 2009-02-28. Получено 2009-04-21.CS1 maint: заархивированная копия как заголовок (связь), " Внутренний контроль - Интегрированная структура ", получено 23 марта 2011 г.
- ^ http://www.cfo.com/article.cfm / 5598405 / c_2984409 /? f = архивы В архиве 2011-06-14 на Wayback Machine, "Проблема с COSO", 15 марта 2006 г., по состоянию на 23 марта 2011 г.
- ^ 17 CFR Раздел 240 15d-15, получено 23 марта 2011 г.
- ^ http://www.cfo.com/article.cfm/5598405/2/c_5620756, CFO Magazine, дата обращения 23 марта 2011 г.
- ^ http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf, «Enterprise Risk Management - Integrated Framework», по состоянию на 23 марта 2011 г.
- ^ http://www.coso.org/IC.htm, по состоянию на 28 декабря 2012 г.
- ^ «Архивная копия». Архивировано из оригинал (PDF) на 2007-10-07. Получено 2009-04-21.CS1 maint: заархивированная копия как заголовок (связь), (AS No. 5.5), получено 23 марта 2011 г.
- ^ http://www.coso.org/documents/ COSOReleaseNov2010_000.pdf, пресс-релиз COSO, 18 ноября 2010 г.
- ^ http://www.coso.org/documents/COSO%20ICIF% 20Press% 20Release% 2012% 2019% 2011% 20FINAL2.pdf, пресс-релиз COSO, 19 декабря 2011 г.
- ^ Тисиак, Кен (март 2012 г.). "Внутренний контроль, новый взгляд". Бухгалтерский журнал. Американский институт сертифицированных бухгалтеров. 213 (3): 24–29. ISSN 0021-8448.
- ^ http://www.coso.org/documents/COSO%20ICIF% 20Press% 20Release% 2009% 2018% 202012.pdf, пресс-релиз COSO, 18 сентября 2012 г.
внешняя ссылка
- COSO
- www.cpa2biz.com/COSOEvalTools, Шаблон оценки COSO.