Zrozumienie ram kontroli wewnętrznej
Ramy kontroli wewnętrznej zapewniają strukturę, której organizacje używają do projektowania, wdrażania i oceny swoich kontroli wewnętrznych. Dobrze dobrane ramy pomagają zapewnić wiarygodność sprawozdawczości finansowej, efektywność operacji, a organizacja przestrzega obowiązujących przepisów prawa i regulacji.
Co to są ramy kontroli wewnętrznej?
Ramy kontroli wewnętrznej to ustrukturyzowany zbiór wytycznych definiujących, w jaki sposób organizacja powinna ustanowić i utrzymywać swój system kontroli wewnętrznej. Zapewnia wspólny język do omawiania kontroli, metodologię oceny ich skuteczności oraz podstawę do raportowania do interesariuszy.
Bez ram organizacje ryzykują przyjęcie ad hoc podejścia do kontroli, które pozostawia luki w zasięgu, powoduje zwolnienia i utrudnia komunikowanie stanu środowiska kontroli audytorom, organom regulacyjnym i radzie.
Ramy COSO
Ramy Komitetu Organizacji Sponsorujących Komisji Treadway (COSO) to najszerzej przyjęte ramy kontroli wewnętrznej w Stanach Zjednoczonych i wielu innych jurysdykcjach. Pierwotnie opublikowany w 1992 r. i zaktualizowany w 2013 r., definiuje kontrolę wewnętrzną poprzez pięć powiązanych ze sobą elementów.
Środowisko kontroli stanowi podstawę. Obejmuje kulturę organizacji, wartości etyczne, strukturę zarządzania i zaangażowanie kierownictwa w kontrolę wewnętrzną. Silne środowisko kontroli nadaje ton całej organizacji.
Ocena ryzyka to proces identyfikacji i analizy ryzyk, które mogą uniemożliwić organizacji osiągnięcie jej celów. Obejmuje to ocenę prawdopodobieństwa i wpływu ryzyk oraz określenie, w jaki sposób należy nimi zarządzać.
Działania kontrolne to zasady i procedury, które pomagają zapewnić wykonanie dyrektyw kierownictwa. Obejmują one zgody, autoryzacje, uzgodnienia, podział obowiązków oraz kontrole ręczne i automatyczne.
Informacja i komunikacja zapewnia terminowy przepływ odpowiednich informacji w całej organizacji. Obejmuje to zarówno komunikację wewnętrzną pomiędzy działami, jak i komunikację zewnętrzną z organami regulacyjnymi, audytorami i inwestorami.
Działania monitorujące oceniają, czy pięć elementów jest obecnych i funkcjonuje w miarę upływu czasu. Obejmuje to ciągłe monitorowanie poprzez regularne działania zarządcze i oddzielne oceny, takie jak audyty wewnętrzne.
17 zasad COSO
W aktualizacji ram COSO z 2013 r. wprowadzono 17 zasad odnoszących się do pięciu komponentów. Zasady te dostarczają bardziej szczegółowych wskazówek na temat tego, jak w praktyce wygląda skuteczna kontrola wewnętrzna. Na przykład Zasada 1 stanowi, że organizacja wykazuje zaangażowanie w uczciwość i wartości etyczne, podczas gdy Zasada 16 dotyczy wyboru, rozwoju i przeprowadzania ocen ciągłych i odrębnych.
Inne struktury
Chociaż COSO dominuje w USA, inne ramy służą konkretnym celom lub regionom geograficznym.
COBIT (Cele kontroli informacji i technologii pokrewnych) koncentruje się na ładzie i zarządzaniu IT. Jest szczególnie przydatny dla organizacji pragnących wzmocnić kontrolę nad systemami informatycznymi i ryzykiem technologicznym.
Wytyczne Turnbulla były szeroko stosowane w Wielkiej Brytanii, zanim zostały zastąpione zaktualizowanymi wytycznymi. Podkreśla odpowiedzialność zarządu za utrzymanie solidnego systemu kontroli wewnętrznej i kontrolę jego efektywności.
Model Trzech Linii (zaktualizowany na podstawie Trzech Linii Obrony) opublikowany przez Instytut Audytorów Wewnętrznych zapewnia ramy zarządzania i zapewniania pewności. Wyjaśnia role i obowiązki w obrębie funkcji zarządzania, ryzyka i zgodności oraz audytu wewnętrznego.
Wybór odpowiedniego frameworka
Wybór ram zależy od kilku czynników, w tym wymogów regulacyjnych, branży, wielkości organizacji i dojrzałości istniejących kontroli. Wiele organizacji wykorzystuje COSO jako podstawową platformę i uzupełnia ją COBIT na potrzeby kontroli specyficznych dla IT.
Spółki notowane na giełdzie w USA są faktycznie zobowiązane do stosowania uznanych ram, takich jak COSO, w swoich ocenach SOX zgodnie z sekcją 404. SEC stwierdziła, że przy ocenie kontroli wewnętrznej nad sprawozdawczością finansową kierownictwo musi stosować odpowiednie, uznane ramy.
Uwagi dotyczące implementacji
Przyjęcie frameworku nie jest projektem jednorazowym. Wymaga ciągłego zaangażowania w dokumentację, testowanie i doskonalenie. Kluczowe kroki obejmują mapowanie istniejących kontroli na elementy i zasady ram, identyfikację luk, projektowanie nowych kontroli, w razie potrzeby, oraz ustanowienie procesów monitorowania.
Dokumentacja jest szczególnie ważna. Każda kontrola powinna być powiązana z ryzykiem, którego dotyczy, wspieranym przez nią elementem ram oraz dostarczanymi dowodami. Narzędzia audytowe, które utrzymują możliwe do prześledzenia powiązania pomiędzy kontrolami, dowodami i dokumentami potwierdzającymi, ułatwiają zarządzanie tym procesem, szczególnie w przypadku organizacji o złożonym środowisku kontroli.
Konkluzja
Ramy kontroli wewnętrznej to nie tylko wymóg zgodności. Jest to narzędzie zarządzania, które odpowiednio wdrożone wzmacnia zarządzanie, poprawia efektywność operacyjną i zwiększa wiarygodność sprawozdawczości finansowej. Ramy, które wybierzesz, mają mniejsze znaczenie niż dyscyplina, z jaką je zastosujesz.