Комитет организаций-спонсоров Комиссии Тредвея

The Committee of Sponsoring Organizations of the Treadway Commission (COSO)
The Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Тип	Некоммерческая организация
Дата основания	1985
Расположение	США: Altamonte Springs, Флорида
Сфера деятельности	корпоративное управление, бухгалтерский учёт и аудит
Сайт	COSO

Комитет организаций-спонсоров Комиссии Тредвея (англ. The Committee of Sponsoring Organizations of the Treadway Commission, COSO) — является добровольной частной организацией, созданной в Соединенных Штатах и предназначенной для выработки соответствующих рекомендаций для корпоративного руководства по важнейшим аспектам организационного управления, деловой этики, финансовой отчетности, внутреннего контроля, управления рисками компаний и противодействия мошенничеству.

COSO разработал общую модель внутреннего контроля, в сравнении с которой компании и организации могут оценить собственные системы управления. Согласно опросу журнала «Финансовый директор»^[1] проведенному в 2006 году, 82 % респондентов утверждали, что они использовали модель внутреннего контроля предложенную COSO.

В России перенимают опыт запада. Если еще несколько лет назад, представители малого и среднего бизнеса не задумывались о риск-ориентированном подходе по системе COSO, то по состоянию на 2022 год ситуация кардинально изменилась. Во многом это связано в внедрением налогового мониторинга. На рынке появилась новая услуга: внутренний налоговый контроль — это процедура наблюдение за правильностью ведения и сдачи налоговой отчетности, а также управления налоговыми рисками.

Общее представление об организации править

COSO был образован в 1985 году при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчетности (комиссия Тредвея). Комиссия Тредвея была организована и финансируется совместно пятью основными профессиональными бухгалтерскими ассоциациями и институтами, размещающимися в США:

Американским институтом дипломированных общественных бухгалтеров (AICPA (англ.) (рус.),
Американской ассоциацией бухгалтеров (AAA (англ.) (рус.),
Международной ассоциацией финансовых руководителей (FEI),
Институтом внутренних аудиторов (IIA) и
Институтом бухгалтеров по управленческому учёту (IMA (англ.) (рус.).

Комиссия Тредвея рекомендовала организациям, поддерживающим её работу совместно разработать комплексные рекомендации по внутреннему контролю. Эти пять организаций, сформировали то, что сейчас называется Комитет организаций-спонсоров Комиссии Тредвея.

Первоначально председателем Комиссии Тредвея был Джеймс C. Тредвей-младший, исполнительный вице-президент и генеральный советник Paine Webber Incorporated и бывший комиссар США по ценным бумагам и биржам. Отсюда, неофициальное название «Комиссия Тредвея». Дэвид Л. Лэндситтел (David L. Landsittel) является нынешним Председателем COSO, он сменил Ларри Е. Риттенберга.

История править

Из-за неоднозначной политики отдельных компаний в области корпоративных финансов и случаев международной коррупции в середине 1970-х годов Комиссия по ценным бумагам и биржам (SEC) и Конгресс США начали реформирование корпоративного финансового права, и в 1977 году был принят Закон США о коррупции за рубежом, который признал преступлением транснациональное взяточничество и потребовал от компаний проведения программ внутреннего контроля. В ответ на это, в качестве инициативы частного бизнеса, в 1985 году была создана Комиссия Тредвея с целью изучения, анализа и подготовки рекомендаций по вопросам мошенничества в корпоративной финансовой отчетности.

Комиссия Тредвея изучила информацию о финансовой отчетности за период с октября 1985 по сентябрь 1987 года и в октябре 1987 года опубликовала доклад с выводами и рекомендациями под названием «Доклад Национальной комиссии по вопросам мошенничества в финансовой отчетности» ^[2]. В результате этого первоначального доклада был сформирован Комитет спонсорских организаций (COSO), который впоследствии был сохранен компанией Coopers & Lybrand, для изучения вопросов и подготовке доклада о концептуальных основ внутреннего контроля.

В сентябре 1992 года четвёртый раздел доклада, озаглавленный как «Концептуальные основы внутреннего контроля» ^[3] был опубликован COSO и позднее переиздан с небольшими поправками в 1994 году. В настоящем докладе представлено общее определение внутреннего контроля, а также предусмотрена его модель, с которой системы внутреннего контроля могут сравниваться и совершенствоваться. Этот отчет стал одним из стандартов, который американские компании используют для оценки их соответствия FCPA. Согласно опросу журнала «Финансовый директор»^[1] проведенному в 2006 году, 82 % респондентов утверждали, что они использовали модель внутреннего контроля предложенную COSO. Были названы и другие концепции, используемые респондентами, в частности COBIT, AS2 (Стандарт аудита № 2, PCAOB (англ.) (рус.) и SAS 55/78 (AICPA).

Концептуальные основы внутреннего контроля править

Основные понятия Модели COSO править

Модель COSO включает в себя несколько основных понятий:

Внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель.
Внутренний контроль зависит от людей. Он представляет собой не только политики, руководства и формы, но и людей на всех уровнях организации.
Внутренний контроль может обеспечить руководству и Совету компании лишь достаточную уверенность, но не абсолютные гарантии,
Внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Определение внутреннего контроля и целей модели править

Модель COSO определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и остальным персоналом компании, предназначенный для обеспечения «разумной уверенности» касательно достижения целей в следующих категориях:

Эффективность и продуктивность операций
Надежность финансовой отчетности
Соблюдение законов и правил.

Пять компонентов модели править

Модель внутреннего контроля, предложенная COSO, состоит из пяти взаимосвязанных компонентов, происходящих из способов управления бизнесом. Согласно COSO, эти компоненты обеспечивают эффективную основу для описания и анализа системы внутреннего контроля, осуществляемой в организации в соответствии с требованиями финансового регламента^[4]. Пять компонентов включают в себя:

Контрольная среда: Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру. К факторам контрольной среды относятся целостность, этические ценности, стиль работы руководства, система делегирования полномочий, а также процессы управления и развития персонала в организации.

Оценка рисков: каждая организация сталкивается с различными рисками от внешних и внутренних источников, которые должны быть оценены. Предварительным условием для оценки риска является определение целей, поэтому оценка риска подразумевает выявление и анализ соответствующих рисков, связанных с достижением установленных целей. Оценка риска является необходимым условием для определения того, как необходимо управлять рисками.

Средства контроля: Средства контроля представляют собой внутренние документы и процедуры, которые помогают менеджменту в реализации своих решений. Они помогают обеспечить совершение необходимых действий, для устранения рисков, которые могут помешать организации достижению её целей. Средства контроля осуществляются в рамках всей организации, на всех её уровнях и во всех функциях. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, безопасности активов и разделению обязанностей.

Информация и коммуникация: Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности и соблюдению процедур и законодательства, которая позволяет развивать и управлять бизнесом. В более широком смысле, эффективная коммуникация должна обеспечить информационные потоки вниз, и вверх во всей организации. Например, типовые процедуры для сообщения сотрудниками подозрений в мошенничестве. Эффективная коммуникация, по вопросам связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.

Мониторинг: Система внутреннего контроля, требует мониторинга — процесса оценки качества работы системы в течение промежутка времени. Это достигается путём постоянного мониторинга деятельности или отдельных оценок. Недостатки внутреннего контроля, выявленные в ходе таких контрольных мероприятий следует доводить до сведения руководства и устранять для обеспечения непрерывного совершенствования системы.

Ограничения править

Внутренний контроль является разновидностью человеческой деятельности, которая предусматривает возможность ошибки в процессах или суждениях. Внутренний контроль может быть изменен в результате сговора между сотрудниками, либо в результате давления со стороны высшего руководства.

Журнал «Финансовый директор»^[1] сообщил, что компании пытаются применять комплексную модель предложенную COSO. «Одна из самых больших проблем: ограничения внутреннего аудита в одной из трех ключевых целей модели. В модели COSO, эти целей применяются к пяти ключевым компонентам (мониторинг, информация и коммуникации, средства контроля, оценка рисков и контрольная среда). Учитывая число возможных вариантов, это не удивительно, что количество проверок может выйти из-под контроля». Журнал «Финансовый директор» продолжил, заявив, что многие организации создают свои собственные модели сочетания «риск-контроль» на основе модели COSO и изменяют его, фокусируя внимание на компоненты, которые непосредственно относятся к разделу 404 Закона Сарбейнса-Оксли.

Концептуальные основы управления рисками организаций (ERM COSO) править

Обычно Концептуальные основы управления рисками организаций представляются в виде «Магического куба ERM COSO», показывающего взаимосвязь Целей (верхняя грань куба), Компонентов (горизонтальные ряды) и Подразделений организации (вертикальные ряды)

В 2001 году COSO инициировал проект по разработке концептуальных основ управления рисками для использования менеджментом компаний при оценке системы управления рисками и её дальнейшем усовершенствовании. Для реализации проекта была привлечена компания PricewaterhouseCoopers. В результате был принят закон Сарбейнса-Оксли. Данный закон расширяет давно существующее требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности этих систем, а на независимого аудитора — удостоверять предоставленные сведения. «Концептуальные основы внутреннего контроля» продолжает выступать в качестве общепринятого стандарта при выполнении данных требований к предоставлению отчетности, однако в 2004 COSO публикует «Концептуальные основы управления рисками организаций»^[5]. COSO считает, что эта модель продолжает рассмотрение вопросов внутреннего контроля, при этом акцент делается на более широком понятии управления рисками.

Четыре категории бизнес-задач править

Концептуальная основа управления рисками организаций по-прежнему направлена на достижение целей организации; однако теперь включает четыре категории:

стратегические цели (strategic) — цели высокого уровня, соотнесенные с миссией/видением организации;
операционные цели (operations) — эффективное и результативное использование ресурсов;
цели в области подготовки отчетности (reporting) — достоверность отчетности;
цели в области соблюдения законодательства (compliance) — соблюдение применимых законодательных и нормативных актов.

Восемь компонентов модели править

Восемь компонентов управления рисками включают предыдущие пять компонентов Концептуальных основ внутреннего контроля расширенных для удовлетворения растущего спроса на управление рисками:

Внутренняя среда (Internal environment). Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации, и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют.

Постановка целей (Objective setting). Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню её риск-аппетита.

Определение событий (Event identification). Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учётом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

Оценка рисков (Risk assessment). Риски анализируются с учётом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска.

Реагирование на риск (Risk response). Руководство выбирает метод реагирования на риск — уклонение от риска, принятие, сокращение или перераспределение риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации.

Средства контроля (Control activities). Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

Информация и коммуникации (Information and communication). Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.

Мониторинг (Monitoring). Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путём проведения периодических оценок.

COSO надеется, что Концептуальная основа управления рисками организаций позволит определить прямую взаимосвязь между компонентами системы управления рисками и целями, которые будут удовлетворять потребность введения новых законов, нормативных актов и новых требований к регистрации ценных бумаг на фондовых биржах и ожидает, что она получит широкое признание со стороны компаний и других организаций и заинтересованных сторон.

Ограничения править

COSO признает в своем докладе, что в то время как процесс управления рисками привносит важные преимущества, он имеет определенные ограничения. Управление рисками организации зависит от персональных суждений, и поэтому допускает принятие ошибочных решений. Простые человеческие ошибки могут привести к неадекватной реакции на риск. Например, контрольные процедуры могут быть не выполнены из-за сговора двух или более лиц, а руководство может пренебречь решениями по управлению рисками. Данные ограничения не позволяют совету директоров и руководству иметь абсолютную уверенность в достижении целей организации.

Несмотря на то, что расширенной модель COSO предполагает уделять больше внимания управлению рисками, компаниям не требуется переходить к новой модели, если они уже используют Концептуальные основы внутреннего контроля.

Другие значимые публикации COSO править

Внутренний контроль за подготовкой финансовой отчетности — Руководство для небольших публичных компаний править

Хотя Концептуальные основы внутреннего контроля распространяются на всех компании, малые и средние компании могут реализовать их иначе, чем крупные. Контроль в малых и средних компаниях может быть менее формальным и менее структурированным, при этом небольшая компания может иметь эффективный внутренний контроль.

В 2006 году в качестве помощи для малого и среднего бизнеса COSO опубликовала доклад «Внутренний контроль за подготовкой финансовой отчетности — Руководство для небольших публичных компаний»^[6] для поддержки небольших организаций в осуществлении надлежащего внутреннего контроля за подготовкой финансовой отчетности (ICoFR). Этот доклад не имеет целью заменить модель, но дает указания о том, как его применять. Они предназначены небольшим компаниям, которые столкнулись с непредвиденными проблемами, связанными с обеспечением соответствия требованиям COSO. Хотя каждый из компонентов системы контроля должен присутствовать и функционировать, это не означает, однако, что каждая компонента должна действовать одинаково, или даже на том же уровне в каждой компании.

Руководство COSO по мониторингу системы внутреннего контроля править

Компании вложили значительные средства в повышение качества внутреннего контроля, однако, COSO отметил, что многие организации не в полной мере понимают важность мониторинга компонентов модели COSO и его роль в оптимизации процесса оценки. В январе 2009 года, COSO опубликовала руководство по мониторингу системы внутреннего контроля (Руководство COSO по мониторингу)^[7], чтобы уточнить функцию мониторинга компонентов внутреннего контроля.

Со временем эффективный мониторинг может привести к организационной продуктивности и снижению затрат, связанных с публичной отчетностью по вопросам внутреннего контроля, потому, что проблемы были выявлены и рассмотрены активным, а не реактивным образом.

Руководство COSO по мониторингу основывается на двух фундаментальных принципах, заложенных в Руководстве COSO 2006:

Постоянные или разовые оценки позволяют руководству определить, функционируют ли другие компоненты внутреннего контроля в течение всего времени;
Недостатки внутреннего контроля установлены и своевременно доведены до лиц, ответственных за принятие мер по исправлению ситуации, а также руководства и совета по мере необходимости.

Кроме того руководство по мониторингу предполагает, что эти принципы лучше всего реализуются посредством мониторинга, который основывается на трех элементах:

Создание основы для мониторинга включает в себя:

Правильный настрой среди руководства;
Эффективную организационную структуру, которая определяет в рамках мониторинга роли для людей с соответствующими компетенциями, независимостью, полномочиями, и
Отправную точку или базовый уровень известных эффективных элементов внутреннего контроля, с помощью которых могут быть осуществлены постоянное наблюдение или отдельные оценки;

Разработка и осуществление процедур мониторинга сосредоточены на убедительной информации о работе ключевых элементов контроля, направленных на значимые для целей организации риски, а также

Формирование мнения и предоставление отчета по результатам, которые включают оценку существенности выявленных недостатков и отчетов по результатам мониторинга соответствующим лицам и совету для своевременных действий и, при необходимости, дальнейшего наблюдения.

Другие публикации править

Являясь идейным лидером, COSO стремится публиковать исследования и считает, что документы расширяют объем знаний в области внутреннего контроля, управления рисками и защиты от подделок. Вот некоторые из других изданий COSO:

Мошенничество при составлении финансовой отчетности: 1987—1997; опубликовано в 1999 году.
Эффективный надзор за управлением рисками: роль Совета директоров; опубликовано в 2009 году.
Укрепление управлением рисками организаций для стратегических целей, опубликовано в 2009 году.
Мошенничество при составлении финансовой отчетности: 1998—2007, опубликовано в 2010 году.

На веб-сайте Комитета эти публикации доступны для скачивания.

Значение внутреннего аудита править

Внутренние аудиторы играют важную роль в оценке эффективности систем управления. Как самостоятельное подразделение, отчитывающееся перед советом директоров, внутренний аудит в состоянии оценить систему внутреннего контроля, реализованную организацией и способствовать эффективности текущей деятельности. Таким образом, внутренний аудит часто выполняет важную роль мониторинга. Для того, чтобы сохранить независимость своих суждений внутренний аудит не должен нести какую-либо непосредственную ответственность за проектирование, создание, поддержание контроля того, что предполагается оценить. Он может только порекомендовать возможные улучшения, которые предстоит сделать.

Значение внешнего аудита править

В соответствии с разделом 404 Закона Сарбейнса-Оксли, менеджмент и внешние аудиторы должны представить отчет об адекватности системы внутреннего контроля компании за финансовой отчетностью. Аудиторский стандарт № 5, опубликованный Советом по надзору за учётом в публичных компаниях (англ. Public Company Accounting Oversight Board), требует от аудиторов «использовать для выполнения аудита системы внутреннего контроля за подготовкой финансовой отчетности такую-же подходящую и общепризнанную модель контроля, которую менеджмент использует для своей ежегодной оценки эффективности внутреннего контроля Общества за подготовкой финансовой отчетности» ^[8].

Ссылки править

COSO

Примечания править

↑ ¹ ² ³ CFO Magazine: The Trouble with COSO Архивная копия от 14 июня 2011 на Wayback Machine (англ.)
↑ Report of the National Commission on Fraudulent Financial Reporting, оctober 1987 Архивная копия от 21 июля 2011 на Wayback Machine (англ.)
↑ Internal Control — Integrated Framework Executive Summary Архивная копия от 28 февраля 2009 на Wayback Machine (англ.)
↑ Закон США о торговле ценными бумагами 1934 г., Раздел 24015D-15 (англ.)
↑ Enterprise Risk Management — Integrated Framework Архивная копия от 3 ноября 2016 на Wayback Machine (англ.)
↑ Internal Control over Financial Reporting — Guidance for Smaller Public Companies Архивная копия от 25 июля 2011 на Wayback Machine (англ.)
↑ Guidance on Monitoring Internal Control Systems Архивная копия от 25 июля 2011 на Wayback Machine (англ.)
↑ Auditing Standard No. 5 An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements Архивная копия от 2 апреля 2019 на Wayback Machine (англ.)

[cfo1-1] ¹ ² ³ CFO Magazine: The Trouble with COSO Архивная копия от 14 июня 2011 на Wayback Machine (англ.)

[ncffr-2] Report of the National Commission on Fraudulent Financial Reporting, оctober 1987 Архивная копия от 21 июля 2011 на Wayback Machine (англ.)

[ICIF-3] Internal Control — Integrated Framework Executive Summary Архивная копия от 28 февраля 2009 на Wayback Machine (англ.)

[4] Закон США о торговле ценными бумагами 1934 г., Раздел 24015D-15 (англ.)

[5] Enterprise Risk Management — Integrated Framework Архивная копия от 3 ноября 2016 на Wayback Machine (англ.)

[6] Internal Control over Financial Reporting — Guidance for Smaller Public Companies Архивная копия от 25 июля 2011 на Wayback Machine (англ.)

[7] Guidance on Monitoring Internal Control Systems Архивная копия от 25 июля 2011 на Wayback Machine (англ.)

[8] Auditing Standard No. 5 An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements Архивная копия от 2 апреля 2019 на Wayback Machine (англ.)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]