Новое в концепции COSO.

Что не изменилось в новой концепции COSO 2013.

  1. Определение внутреннего контроля / три категории целей внутреннего контроля.

Внутренний контроль является процессом, который осуществляется советом директоров, руководством и другими сотрудниками организации, с целью предоставления разумных гарантий достижения организацией целей по следующим категориям:

  • Эффективность и результативность деятельности.
  • Достоверность отчетности.
  • Соблюдение законов и нормативных актов.
  1. Компоненты системы внутреннего контроля.
  2. Применение профессионального суждения при разработке, внедрении, управлении и оценке эффективности системы внутреннего контроля.
  3. Ограничения эффективности системы внутреннего контроля.

Общие изменения в концепции COSO.

  1. Разделение компонентов внутреннего контроля на 17 принципов.

Среда контроля

  1. Честность и приверженность этическим ценностям.
  2. Надзор над системой внутреннего контроля.
  3. Структура, полномочия и ответственность.
  4. Компетентность.
  5. Установление подотчетности.

Оценка рисков

  1. Уточнение целей.
  2. Идентификация и анализ рисков.
  3. Оценка рисков мошенничества.
  4. Идентификация и анализ существенных изменений.

Контрольные процедуры

  1. Выбор и внедрение средств контроля.
  2. Выбор и внедрение общих технологических контролей.
  3. Применение политик и процедур.

Информация и коммуникации

  1. Использование релевантной информации.
  2. Внутренняя коммуникация.
  3. Внешняя коммуникация.

Мониторинг

  1. Осуществление непрерывной и/или периодической оценки СВК.
  2. Оценка результатов. Информирование о недостатках.
  3. Детализация принципов до ключевых аспектов.

Оценка рисков – ключевые аспекты:

В процесс идентификации рисков вовлекается руководство требуемого уровня.

Идентификация рисков охватывает все уровни организации, хозяйственные единицы и дочерние предприятия.

Выполняется анализ как внутренних, так и внешних риск-факторов.

Дается оценка значимости выявленных рисков.

Определяются меры реагирования на риски.

  1. Разработка инструментов оценки системы внутреннего контроля

Оценка системы внутреннего контроля:

  • Базируется на профессиональном суждении менеджмента организации.
  • Включает в себя оценку всех пяти компонентов системы внутреннего контроля (их наличие и функционирование), а также оценку эффективности взаимодействия компонентов между собой (компоненты не должны рассматриваться отдельно друг от друга, так как являются частью общей интегрированной системы).
  • Должна выполняться в разрезе компонентов и принципов системы внутреннего контроля.
  • Должна учитывать недостатки системы внутреннего контроля, а также влияние данных недостатков на достижение целей организаций.
  1. Гибкий подход к построению СВК организации

Требования к системе внутреннего контроля организации сильно варьируются в зависимости от ряда факторов, в том числе:

  • Размера организации;
  • Формы собственности организации;
  • Размещения акций организации на бирже;
  • Вида деятельности (коммерческие/некоммерческие) организации;
  • Организационной структуры;
  • Передачи функций организации на аутсорсинг/ко-сорсинг.
  1. Ответственность сторон за формирование и поддержание СВК.

Основные изменения:

Рассмотрены три линии «обороны» внутри системы внутреннего контроля:

  • Руководство и сотрудники организации;
  • Сквозные (поддерживающие) бизнес-процессы;
  • Внутренний аудит.

Установлены формальные требования для генерального и финансового директоров организации о подтверждении эффективности системы внутреннего контроля.

Детально рассмотрены роли и влияние различных комитетов совета директоров, сторонних организаций и регуляторов на формирование и поддержание системы внутреннего контроля организации.

Определена роль внутренних аудиторов в части предоставления гарантий и оказания консультационных услуг, направленных на совершенствование системы внутреннего контроля.

Основные изменения в концепции COSO по компонентам СВК.

Контрольная среда.

Основные изменения:

Детально рассмотрены основные элементы, составляющие контрольную среду, установлена взаимосвязь между ними.

Установлены требования к уровню компетенции членов совета директоров.

Рассмотрено влияние контрольной среды на другие компоненты системы внутреннего контроля организации.

Определена роль высшего руководства организации в системе внутреннего контроля с учетом специфики деятельности, формы собственности и размера организации.

Установлены ожидания в отношении приверженности руководителей и сотрудников организации принципам честности и этическим ценностям, принятым в организации.

Оценка рисков.

Основные изменения:

Установлены требования в отношении процесса постановки целей организации. Цели организации должны быть  детализированы и сгруппированы таким образом,  чтобы организация могла идентифицировать связанные с ними риски и выполнять их оценку.

Рассмотрена классификация рисков, включающая:

  • Риски корпоративного уровня;
  • Транзакционные риски.

Установлено, что «Оценка рисков» включает в себя:

  • Идентификацию рисков (в том числе рисков мошенничества и коррупции);
  • Анализ рисков;
  • Реагирование на риск.

Определена ответственность менеджмента за отслеживание внутренних и внешних факторов, оказывающих влияние на систему внутреннего контроля организации.

Определено, что при оценке приемлемого уровня риска необходимо руководствоваться уровнем толерантности к риску (risk tolerance).

Контрольные процедуры.

Основные изменения:

Более широко рассмотрено влияние информационных технологий на систему внутреннего контроля.

Определены основные подходы к комбинированию контрольных процедур (control-mix). Рассмотрена обновленная классификация контрольных процедур, включающая:

  • Транзакционные контроли;
  • Периодический анализ бизнес-процессов;
  • Разграничение полномочий.

Определена взаимосвязь и установлены различия между автоматизированными средствами контроля и общими технологическими контролями.

Уточнено, что средства контроля – это  действия, определяемые политиками и процедурами организации, а не политики или процедуры сами по себе.

Информация и коммуникация.

Основные изменения:

Повышена значимость качества получаемой информации, в том числе рассмотрены вопросы надежности используемых источников информации. Рассмотрен процесс трансформации получаемых организацией данных в информацию, пригодную для использования заинтересованными сторонами.

Определено, что процесс передачи информации внутри организации связан с определенными рисками:

  • «Заболачивание» информацией;
  • Правовые риски по защите конфиденциальной информации;
  • Хранения и утраты информации.

Проанализированы основные требования регуляторов в области надежности и защиты информации.

Проанализировано влияние технологий и механизмов коммуникации на скорость и качество передачи информации.

Определены требования в части создания и поддержания информационных каналов между организацией и третьими сторонами. Рассмотрены вопросы  оценки надежности информации, формируемой за пределами организации.

Мониторинг.

Основные изменения:

Цели мониторинга были существенно расширены. В концепции COSO 1992 г., цели мониторинга были преимущественно сфокусированы на наблюдениях за эффективностью функционирования контрольных процедур, тогда как новая концепция COSO рассматривает мониторинг, как систему наблюдения и оценки эффективности всех компонентов системы внутреннего контроля.

Определено, что результаты мониторинга являются весомым подтверждением позиции менеджмента в отношении эффективности функционирования СВК.

Процедуры мониторинга были разделены на две группы: «непрерывная» и «периодическая» оценка СВК.

Определена ответственность менеджмента организации за внедрение и поддержание процедур непрерывной и/или периодической оценки.

Проанализировано влияние технологий на эффективность выполнения процедур мониторинга.

X