J. Stephen McNally, CPA
Wielu specjalistów ds. rachunkowości i finansów po raz pierwszy "odkryło" ramy kontroli wewnętrznej Komitetu Organizacji Sponsorujących Komisję Treadway (COSO) około dziesięć lat temu, wraz z uchwaleniem ustawy Sarbanes-Oxley z 2002 r. (SOX).
Zgodnie z sekcją 404 ustawy SOX, spółki giełdowe "accelerated filers" muszą poświadczyć, że posiadają skuteczny system kontroli wewnętrznej nad zewnętrzną sprawozdawczością finansową. Ponieważ Komisja Papierów Wartościowych i Giełd (SEC) zezwoliła takim podmiotom na korzystanie z COSO przy dokonywaniu tej oceny, od tego czasu ramy te cieszą się dużym zainteresowaniem. Mimo to, COSO Internal Control - Integrated Framework (ICIF) została wydana w 1992 roku.
Przez dwadzieścia lat wiele się zmieniło, więc COSO spodziewa się wydać zaktualizowaną wersję ICIF na początku 2013 roku. Zarząd COSO uważa, że zasady zawarte w oryginalnym ICIF z 1992 roku są ponadczasowe, więc zaktualizowane ramy pomogą organizacjom skuteczniej stosować kontrolę wewnętrzną nad operacjami, sprawozdawczością i zgodnością.
Niniejszy artykuł zawiera przegląd COSO i jego ram oraz perspektywę tego, w jaki sposób został on wykorzystany przez firmy, takie jak mój pracodawca, Campbell Soup. Co ważniejsze, zapewnia wgląd w niedawny projekt odświeżenia ICIF COSO, w tym kluczowe czynniki stojące za inicjatywą, najważniejsze proponowane zmiany w oryginalnej strukturze, przewidywane korzyści i przemyślenia na temat wdrożenia.
Ramy z 1992 r.
COSO to wspólna inicjatywa pięciu organizacji z sektora prywatnego: American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Institute of Internal Auditors (IIA) i Institute of Management Accountants (IMA). W odpowiedzi na raport Komisji Treadwaya z 1987 roku, COSO opracowało i wydało ICIF w 1992 roku. Główną kwestią w tamtym czasie były nieuczciwe zachowania i brak kontroli w branży oszczędności i pożyczek.
COSO definiuje kontrolę wewnętrzną jako "proces realizowany przez zarząd jednostki, kierownictwo i innych pracowników, zaprojektowany w celu zapewnienia racjonalnej pewności co do osiągnięcia celów". Ramy COSO wyznaczają trzy zestawy celów biznesowych: operacje, sprawozdawczość i zgodność. Organizacja jest wspierana w swoich wysiłkach na rzecz osiągnięcia tych celów przez pięć elementów kontroli wewnętrznej: środowisko kontroli, ocenę ryzyka, działania kontrolne, informacje i komunikację oraz monitorowanie. Ramy COSO można również dostosować - od poziomu jednostki do poziomu działu, spółki zależnej, jednostki operacyjnej lub poziomu funkcjonalnego. (Patrz grafika "Kostka COSO" powyżej).
Wykorzystanie COSO
Ramy z 1992 r. są najpowszechniej stosowanymi ramami tego rodzaju w Stanach Zjednoczonych i są powszechnie stosowane na całym świecie, ale początkowo były wąsko uznawane w kręgach technicznych rachunkowości i audytu. Szeroka świadomość i przyjęcie nastąpiły dopiero na początku XXI wieku, kiedy to Enron, WorldCom i inne kryzysy finansowe skłoniły agencje regulacyjne do zajęcia się wpływem słabych kontroli wewnętrznych na niepowodzenia korporacyjne. Rezultatem była ustawa SOX.
Zgodnie z sekcją 404, kierownictwo spółek publicznych jest obecnie zobowiązane do wyboru ram kontroli wewnętrznej oraz corocznej oceny i raportowania na temat projektu i skuteczności kontroli wewnętrznej.
SEC ustaliła cztery kryteria dla akceptowalnych ram: muszą one (1) być wolne od stronniczości, (2) umożliwiać w miarę spójne jakościowe i ilościowe pomiary kontroli wewnętrznej, (3) być wystarczająco kompletne, aby nie pominąć tych istotnych czynników, które mogłyby zmienić wniosek o skuteczności kontroli wewnętrznej spółki, oraz (4) być odpowiednio istotne dla oceny kontroli wewnętrznej nad sprawozdawczością finansową. Od tego czasu większość firm przyjęła ramy COSO, aby spełnić swoje obowiązki wynikające z Sekcji 404.
Jako współprzewodniczący Globalnego Zespołu ds. SOX w Campbell Soup, odegrałem kluczową rolę w zdefiniowaniu metodologii i podejścia Campbell do zapewnienia zgodności z wymogami SOX. Na początek przeszkoliliśmy ponad 300 wielofunkcyjnych pracowników Campbell na całym świecie. Następnie utworzyliśmy zależne i funkcjonalne zespoły SOX, a następnie zleciliśmy tym zespołom rozpoczęcie dokumentowania projektu kontroli wewnętrznej Campbell według lokalizacji i procesów biznesowych. Po fazie dokumentacji każdy zespół przetestował każdą ze swoich kontroli i w razie potrzeby naprawił zidentyfikowane niedociągnięcia.
W przeszłości firma Campbell Soup konsekwentnie podkreślała znaczenie silnego środowiska kontroli wewnętrznej. W związku z tym głównym wyzwaniem Globalnego Zespołu SOX było zapewnienie, że każdy zespół skutecznie udokumentował i przetestował już istniejące mechanizmy kontrolne.
Jeden z aspektów zgodności był nieco trudniejszy. W szczególności SOX wymaga od kierownictwa wyboru ogólnych ram kontroli wewnętrznej oraz oceny projektu i skuteczności wszystkich elementów tych ram, a nie tylko elementu działań kontrolnych. Aby opracować naszą metodologię i podejście związane z ogólnymi ramami, zwróciliśmy się do ram COSO, dokonaliśmy przeglądu SOX i uzyskaliśmy wkład od publicznych konsultantów księgowych. Pomyślnie i terminowo zakończyliśmy naszą kompleksową ocenę kontroli na poziomie firmy Campbell, ale musieliśmy przekopać się przez mnóstwo wytycznych, aby znaleźć przydatne informacje. Co więcej, dostępne wytyczne często koncentrowały się na audycie, a nie na bardziej praktycznym zarządzaniu.
Czynniki stojące za projektem odświeżenia ICIF
Odkąd COSO opublikowało ICIF w 1992 r., oczekiwania interesariuszy ewoluowały i nastąpiły znaczące zmiany w środowisku biznesowym. Kilka przykładów obejmuje oczekiwania dotyczące zarządzania i nadzoru, globalizację rynków i operacji, zmiany w modelach biznesowych, wymagania i złożoność przepisów i standardów, oczekiwania dotyczące kompetencji i odpowiedzialności, wykorzystanie i poleganie na rozwijającej się technologii oraz oczekiwania dotyczące wykrywania i zapobiegania oszustwom.
W ciągu ostatnich dwudziestu lat wyciągnięto również wnioski ze stosowania oryginalnych ram. Oryginalny ICIF zawierał długą dyskusję na temat koncepcji kontroli wewnętrznej, które stały się wiedzą instytucjonalną. Ponadto, chociaż wyznaczono trzy kategorie celów biznesowych, główny nacisk położono na cel sprawozdawczy. Faktycznie, nacisk był często ograniczony, w szczególności do zewnętrznej sprawozdawczości finansowej w porównaniu z zewnętrzną sprawozdawczością niefinansową i/lub sprawozdawczością wewnętrzną. Chociaż koncepcja zasad kontroli wewnętrznej i atrybutów wspierających była osadzona w oryginalnych ramach, była ona ukryta w szczegółach. W związku z tym usprawnienie oryginalnych ram, kodyfikacja podstawowych zasad i atrybutów oraz zwiększenie koncentracji na operacjach, zgodności i celach niezwiązanych z zewnętrzną sprawozdawczością finansową były dodatkowymi czynnikami stojącymi za inicjatywą odświeżenia.
Proponowane zmiany
Nadal panuje zgoda co do tego, że kontrola wewnętrzna jest procesem realizowanym przez ludzi, zaprojektowanym w celu zapewnienia "rozsądnej", a nie "doskonałej" pewności i skutecznym w osiąganiu celów operacyjnych, sprawozdawczych i zgodności jednostki. W związku z tym definicja kontroli wewnętrznej COSO, elementy kontroli wewnętrznej, kryteria oceny skuteczności kontroli wewnętrznej oraz potrzeba stosowania osądu nie ulegają zmianie.
Głównym celem projektu odświeżenia nie jest zatem przepisanie ram z 1992 roku. COSO chce je raczej zaktualizować i odświeżyć, czyniąc je bardziej użytecznymi i odpowiednimi dla dzisiejszego środowiska biznesowego. W oparciu o ankietę przeprowadzoną wśród ponad 700 interesariuszy COSO w momencie rozpoczęcia projektu, około 85 procent respondentów opowiedziało się za aktualizacją zamiast gruntownego przeglądu istniejących ram.
Pierwszym wysiłkiem jest skodyfikowanie kryteriów, które można wykorzystać do opracowania systemów kontroli wewnętrznej oraz oceny projektu i skuteczności konkretnego systemu kontroli wewnętrznej. Kluczem do tej kodyfikacji jest siedemnaście zasad, które użytkownicy mogą stosować na podstawie osądu, przy czym każda zasada jest wyjaśniona przez jeden lub więcej atrybutów pomocniczych. Te zasady i atrybuty, które zostały osadzone w oryginalnej strukturze COSO, mają uniwersalne zastosowanie.
Drugim celem COSO jest rozszerzenie wytycznych dotyczących sprawozdawczości wewnętrznej i niefinansowej, aby wspierać rosnące zapotrzebowanie na raportowanie celów operacyjnych, zgodności i niefinansowych. COSO zawsze dążyło do tego, aby jego ramy były stosowane we wszystkich trzech kategoriach celów biznesowych, ale zaktualizowana wersja stara się podkreślić ten punkt poprzez bardziej solidną dyskusję i przykłady z perspektywy zewnętrznej sprawozdawczości finansowej, takie jak zgodność z normą ISO 9001.
Odzwierciedlając zmiany w środowisku biznesowym, trzecim celem jest wprowadzenie aktualizacji do oryginalnych ram, które poprawiają i wyjaśniają ich zastosowanie w dzisiejszym środowisku biznesowym i ryzyku. Na przykład komponent środowiska kontroli odnosi się do wyższych oczekiwań regulacyjnych i interesariuszy w zakresie nadzoru nad zarządzaniem. Inne komponenty odzwierciedlają wpływ globalizacji; zwiększone wykorzystanie i zależność od rozwijającej się technologii; wyższe oczekiwania w zakresie wykrywania oszustw i zapobiegania im; oraz nowe wymagania i złożoność zasad, przepisów i standardów. Podsumowując, zaktualizowane ramy będą znacznie bardziej solidne.
COSO jest przekonane, że udoskonalenia oryginalnych ram ostatecznie zaowocują bardziej elastycznym, niezawodnym i opłacalnym podejściem do projektowania i oceny systemów kontroli wewnętrznej.
Kodyfikacja zasad kontroli wewnętrznej
Jak wspomniano powyżej, kluczową zmianą w aktualizacji jest kodyfikacja siedemnastu zasad, które były osadzone w oryginalnych ramach. Zasady te, w podziale na komponenty kontroli wewnętrznej, zostały wstępnie sformułowane w następujący sposób:
Środowisko kontroli
- Organizacja wykazuje zaangażowanie na rzecz uczciwości i wartości etycznych.
- Zarząd wykazuje niezależność od kierownictwa i sprawuje nadzór nad rozwojem i funkcjonowaniem kontroli wewnętrznej.
- Kierownictwo ustanawia, pod nadzorem zarządu, struktury, linie raportowania oraz odpowiednie uprawnienia i obowiązki w realizacji celów.
- Organizacja wykazuje zaangażowanie w przyciąganie, rozwój i zatrzymywanie kompetentnych osób zgodnie z celami.
- Organizacja rozlicza poszczególne osoby z ich obowiązków w zakresie kontroli wewnętrznej w ramach realizacji celów.
Ocena ryzyka
- Organizacja określa cele z wystarczającą jasnością, aby umożliwić identyfikację i ocenę ryzyk związanych z celami.
- Organizacja identyfikuje ryzyka dla osiągnięcia swoich celów w całej jednostce i analizuje te ryzyka jako podstawę do określenia, w jaki sposób należy nimi zarządzać.
- Organizacja bierze pod uwagę możliwość oszustwa przy ocenie ryzyka związanego z realizacją celów.
- Organizacja identyfikuje i ocenia zmiany, które mogłyby znacząco wpłynąć na system kontroli wewnętrznej.
Działania kontrolne
- Organizacja wybiera i rozwija działania kontrolne, które przyczyniają się do ograniczania ryzyka dla osiągnięcia celów do akceptowalnych poziomów.
- Organizacja wybiera i rozwija ogólne działania kontrolne nad technologią, aby wspierać osiąganie celów.
- Organizacja wdraża działania kontrolne poprzez zasady, które określają, czego się oczekuje, oraz poprzez odpowiednie procedury, które realizują te zasady.
Informacje i komunikacja
- Organizacja uzyskuje lub generuje i wykorzystuje odpowiednie informacje wysokiej jakości w celu wsparcia funkcjonowania innych elementów kontroli wewnętrznej.
- Organizacja przekazuje wewnętrznie informacje - w tym cele i obowiązki w zakresie kontroli wewnętrznej - niezbędne do wspierania funkcjonowania innych elementów kontroli wewnętrznej.
- Organizacja komunikuje się ze stronami zewnętrznymi w sprawach mających wpływ na funkcjonowanie innych elementów kontroli wewnętrznej.
Działania monitorujące
- Organizacja wybiera, opracowuje i przeprowadza bieżące i/lub oddzielne oceny w celu ustalenia, czy komponenty kontroli wewnętrznej są obecne i funkcjonują.
- Organizacja ocenia i komunikuje niedociągnięcia kontroli wewnętrznej w odpowiednim czasie stronom odpowiedzialnym za podjęcie działań naprawczych, w tym kierownictwu wyższego szczebla i zarządowi, w stosownych przypadkach.
Propozycja wartości
Korzystanie ze zaktualizowanych ram kontroli wewnętrznej COSO przyniesie korzyści wielu interesariuszom, w tym kierownictwu i zarządom; stronom zewnętrznym, takim jak kluczowi dostawcy, klienci i inni partnerzy biznesowi; oraz innym użytkownikom, takim jak niezależni audytorzy, organy regulacyjne, analitycy finansowi i media informacyjne.
COSO oczekuje, że zaktualizowane ramy przyniosą szereg korzyści, w tym następujące:
- Lepsze zarządzanie
- Szersze zastosowanie poza sprawozdawczością finansową
- Lepsza jakość oceny ryzyka
- Wzmocnienie działań mających na celu zwalczanie nadużyć finansowych
- Możliwość dostosowania mechanizmów kontrolnych do zmieniających się potrzeb biznesowych
- Większa możliwość zastosowania w różnych modelach biznesowych
Zaktualizowane ramy będą lepiej wspierać wysiłki na rzecz projektowania i dostosowywania systemów kontroli wewnętrznej, oferując elastyczność, pewność i przejrzystość; w szczególności elastyczność w dostosowywaniu się do rosnącej złożoności, pewność w ograniczaniu ryzyka w celu osiągnięcia ważnych celów oraz przejrzystość w dostarczaniu wiarygodnych informacji wspierających podejmowanie właściwych decyzji. Zmienione wytyczne dotyczące kontroli wewnętrznej mają zastosowanie i mogą przynieść korzyści organizacjom dowolnej wielkości, o dowolnej strukturze prawnej, w dowolnym miejscu na świecie.
Framework 2012 i SOX
Rada COSO zamierza, aby zaktualizowane ICIF pozostały spójne z kryteriami odpowiedniości SEC i w pełni oczekuje, że będą one akceptowanymi ramami do wykorzystania przez kierownictwo i niezależnych audytorów w celu spełnienia wymogów SOX. Dla firmy takiej jak Campbell Soup, która skutecznie wykorzystuje ramy COSO z 1992 r. w celu spełnienia wymogów zgodności z SOX, zaktualizowana wersja powinna przysporzyć niewiele, jeśli w ogóle, dodatkowej pracy. Ponieważ zaktualizowana struktura stanowi ewolucję, ale pozostaje spójna z oryginałem, nie powinna narzucać wyższego poziomu kontroli. W rzeczywistości, kodyfikując zasady i atrybuty osadzone w oryginale, zaktualizowane ramy powinny wyjaśnić, jak skuteczniej stosować je w projektowaniu, wdrażaniu, obsłudze i ocenie skuteczności systemu kontroli wewnętrznej.
Dla niektórych organizacji większe skupienie się na zasadach może uwypuklić obszary, którymi wcześniej nie zajmowały się we właściwy sposób, prowadząc je do wzmocnienia niektórych elementów kontroli wewnętrznej. Podobnie, aby dostosować się do zaktualizowanych ram COSO, niektóre firmy mogą potrzebować zaktualizować swoją dokumentację lub testy projektu i skuteczności operacyjnej całego systemu kontroli wewnętrznej.
Jeśli chodzi o termin wdrożenia, rada COSO rozważa odpowiedni plan przejścia i oczekuje się, że wyda zalecenie na podstawie komentarzy otrzymanych podczas publicznego okresu ujawnienia. Rada COSO przewiduje, że organy regulacyjne przedstawią wytyczne dotyczące przejścia i wdrożenia po opublikowaniu ostatecznego projektu zaktualizowanych ram.
Kontrola wewnętrzna nad zewnętrzną sprawozdawczością finansową
Jak wspomniano wcześniej, zaktualizowane zasady ramowe rozszerzają pierwotny cel ramowy sprawozdawczości finansowej, aby szerzej reprezentować ogólną sprawozdawczość, uznając istnienie zewnętrznej sprawozdawczości niefinansowej, a także wewnętrznej sprawozdawczości finansowej i niefinansowej. Niektórzy wyrazili obawy, że nacisk na sprawozdawczość finansową dominujący w oryginalnych ramach może zostać utracony lub osłabiony w zaktualizowanej wersji, negatywnie wpływając na sprawozdawczość regulacyjną.
Rada COSO zamierza wydać dokument towarzyszący ogólnemu ICIF, obecnie zatytułowany Podejścia i przykłady kontroli wewnętrznej nad zewnętrzną sprawozdawczością finansową (ICEFR). Dokument ten będzie zawierał ilustrujące przykłady zastosowania zasad zaktualizowanych ram do zewnętrznej sprawozdawczości finansowej. Te praktyczne przykłady powinny pomóc kierownictwu w projektowaniu i wdrażaniu kontroli wewnętrznej nad tą podkategorią ogólnego celu sprawozdawczego. Dokument ICEFR nie zastąpi jednak, nie zastąpi ani nie zmodyfikuje wytycznych zawartych w zaktualizowanych ramach.
Odnosząc się do zmian, które zaszły w środowisku biznesowym i zmienionych oczekiwań na rynku, zaktualizowane ICIF COSO powinny pomóc większości organizacji w skuteczniejszym wdrażaniu kontroli wewnętrznej nad operacjami, sprawozdawczością i zgodnością. Wszystkie organizacje zobowiązane do stosowania osądu w zarządzaniu ryzykiem i poprawy wyników w coraz bardziej złożonym i szybko zmieniającym się środowisku powinny skorzystać ze zaktualizowanego ICIF COSO.
Zaktualizowany ICIF COSO był dostępny do publicznego wglądu i komentowania od połowy grudnia 2011 roku do marca 2012 roku. Zarząd COSO ma nadzieję formalnie opublikować zaktualizowane ramy na początku 2013 roku.
Powiązane artykuły:
- Komentarze napływające do COSO w sprawie ED kontroli wewnętrznej
- Nadzór zarządu i profesjonalny osąd: Najnowsze opracowanie COSO
O autorze:
J. Stephen McNally, CPA, jest dyrektorem finansowym i kontrolerem w łańcuchu dostaw Campbell Soup w Ameryce Północnej - Napoleon Operations w Napoleon, Ohio. McNally jest członkiem globalnego zarządu IMA, przedstawicielem IMA w COSO ICIF Refresh Project Advisory Council oraz członkiem Pennsylvania CPA Journal Editorial Board. Można się z nim skontaktować pod adresem [email protected].
Przedrukowano za zgodą Pennsylvania CPA Journal, publikacji Pennsylvania Institute of Certified Public Accountants.