Что не изменилось в новой концепции COSO 2013.
- Определение внутреннего контроля / три категории целей внутреннего контроля.
Внутренний контроль является процессом, который осуществляется советом директоров, руководством и другими сотрудниками организации, с целью предоставления разумных гарантий достижения организацией целей по следующим категориям:
- Эффективность и результативность деятельности.
- Достоверность отчетности.
- Соблюдение законов и нормативных актов.
- Компоненты системы внутреннего контроля.
- Применение профессионального суждения при разработке, внедрении, управлении и оценке эффективности системы внутреннего контроля.
- Ограничения эффективности системы внутреннего контроля.
Общие изменения в концепции COSO.
- Разделение компонентов внутреннего контроля на 17 принципов.
Среда контроля
- Честность и приверженность этическим ценностям.
- Надзор над системой внутреннего контроля.
- Структура, полномочия и ответственность.
- Компетентность.
- Установление подотчетности.
Оценка рисков
- Уточнение целей.
- Идентификация и анализ рисков.
- Оценка рисков мошенничества.
- Идентификация и анализ существенных изменений.
Контрольные процедуры
- Выбор и внедрение средств контроля.
- Выбор и внедрение общих технологических контролей.
- Применение политик и процедур.
Информация и коммуникации
- Использование релевантной информации.
- Внутренняя коммуникация.
- Внешняя коммуникация.
Мониторинг
- Осуществление непрерывной и/или периодической оценки СВК.
- Оценка результатов. Информирование о недостатках.
- Детализация принципов до ключевых аспектов.
Оценка рисков – ключевые аспекты:
В процесс идентификации рисков вовлекается руководство требуемого уровня.
Идентификация рисков охватывает все уровни организации, хозяйственные единицы и дочерние предприятия.
Выполняется анализ как внутренних, так и внешних риск-факторов.
Дается оценка значимости выявленных рисков.
Определяются меры реагирования на риски.
- Разработка инструментов оценки системы внутреннего контроля
Оценка системы внутреннего контроля:
- Базируется на профессиональном суждении менеджмента организации.
- Включает в себя оценку всех пяти компонентов системы внутреннего контроля (их наличие и функционирование), а также оценку эффективности взаимодействия компонентов между собой (компоненты не должны рассматриваться отдельно друг от друга, так как являются частью общей интегрированной системы).
- Должна выполняться в разрезе компонентов и принципов системы внутреннего контроля.
- Должна учитывать недостатки системы внутреннего контроля, а также влияние данных недостатков на достижение целей организаций.
- Гибкий подход к построению СВК организации
Требования к системе внутреннего контроля организации сильно варьируются в зависимости от ряда факторов, в том числе:
- Размера организации;
- Формы собственности организации;
- Размещения акций организации на бирже;
- Вида деятельности (коммерческие/некоммерческие) организации;
- Организационной структуры;
- Передачи функций организации на аутсорсинг/ко-сорсинг.
- Ответственность сторон за формирование и поддержание СВК.
Основные изменения:
Рассмотрены три линии «обороны» внутри системы внутреннего контроля:
- Руководство и сотрудники организации;
- Сквозные (поддерживающие) бизнес-процессы;
- Внутренний аудит.
Установлены формальные требования для генерального и финансового директоров организации о подтверждении эффективности системы внутреннего контроля.
Детально рассмотрены роли и влияние различных комитетов совета директоров, сторонних организаций и регуляторов на формирование и поддержание системы внутреннего контроля организации.
Определена роль внутренних аудиторов в части предоставления гарантий и оказания консультационных услуг, направленных на совершенствование системы внутреннего контроля.
Основные изменения в концепции COSO по компонентам СВК.
Контрольная среда.
Основные изменения:
Детально рассмотрены основные элементы, составляющие контрольную среду, установлена взаимосвязь между ними.
Установлены требования к уровню компетенции членов совета директоров.
Рассмотрено влияние контрольной среды на другие компоненты системы внутреннего контроля организации.
Определена роль высшего руководства организации в системе внутреннего контроля с учетом специфики деятельности, формы собственности и размера организации.
Установлены ожидания в отношении приверженности руководителей и сотрудников организации принципам честности и этическим ценностям, принятым в организации.
Оценка рисков.
Основные изменения:
Установлены требования в отношении процесса постановки целей организации. Цели организации должны быть детализированы и сгруппированы таким образом, чтобы организация могла идентифицировать связанные с ними риски и выполнять их оценку.
Рассмотрена классификация рисков, включающая:
- Риски корпоративного уровня;
- Транзакционные риски.
Установлено, что «Оценка рисков» включает в себя:
- Идентификацию рисков (в том числе рисков мошенничества и коррупции);
- Анализ рисков;
- Реагирование на риск.
Определена ответственность менеджмента за отслеживание внутренних и внешних факторов, оказывающих влияние на систему внутреннего контроля организации.
Определено, что при оценке приемлемого уровня риска необходимо руководствоваться уровнем толерантности к риску (risk tolerance).
Контрольные процедуры.
Основные изменения:
Более широко рассмотрено влияние информационных технологий на систему внутреннего контроля.
Определены основные подходы к комбинированию контрольных процедур (control-mix). Рассмотрена обновленная классификация контрольных процедур, включающая:
- Транзакционные контроли;
- Периодический анализ бизнес-процессов;
- Разграничение полномочий.
Определена взаимосвязь и установлены различия между автоматизированными средствами контроля и общими технологическими контролями.
Уточнено, что средства контроля – это действия, определяемые политиками и процедурами организации, а не политики или процедуры сами по себе.
Информация и коммуникация.
Основные изменения:
Повышена значимость качества получаемой информации, в том числе рассмотрены вопросы надежности используемых источников информации. Рассмотрен процесс трансформации получаемых организацией данных в информацию, пригодную для использования заинтересованными сторонами.
Определено, что процесс передачи информации внутри организации связан с определенными рисками:
- «Заболачивание» информацией;
- Правовые риски по защите конфиденциальной информации;
- Хранения и утраты информации.
Проанализированы основные требования регуляторов в области надежности и защиты информации.
Проанализировано влияние технологий и механизмов коммуникации на скорость и качество передачи информации.
Определены требования в части создания и поддержания информационных каналов между организацией и третьими сторонами. Рассмотрены вопросы оценки надежности информации, формируемой за пределами организации.
Мониторинг.
Основные изменения:
Цели мониторинга были существенно расширены. В концепции COSO 1992 г., цели мониторинга были преимущественно сфокусированы на наблюдениях за эффективностью функционирования контрольных процедур, тогда как новая концепция COSO рассматривает мониторинг, как систему наблюдения и оценки эффективности всех компонентов системы внутреннего контроля.
Определено, что результаты мониторинга являются весомым подтверждением позиции менеджмента в отношении эффективности функционирования СВК.
Процедуры мониторинга были разделены на две группы: «непрерывная» и «периодическая» оценка СВК.
Определена ответственность менеджмента организации за внедрение и поддержание процедур непрерывной и/или периодической оценки.
Проанализировано влияние технологий на эффективность выполнения процедур мониторинга.