Výbor sponzorujících organizací Treadwayovy komise (COSO)¹ vydal 14. května, 2013 aktualizovanou verzi svého integrovaného rámce vnitřní kontroly („rámec 2013“). Kromě toho COSO vydal dva ilustrační dokumenty: Ilustrativní nástroje pro hodnocení účinnosti systému vnitřní kontroly („Ilustrativní nástroje“) a Vnitřní kontrola externího finančního výkaznictví:

Původně vydaný v roce 1992 se integrovaný rámec vnitřní kontroly COSO („rámec z roku 1992“) stal jedním z nejrozšířenějších rámců vnitřní kontroly na světě. Hlavním cílem COSO při aktualizaci a zdokonalování rámce je reagovat na významné změny v podnikatelském a provozním prostředí, k nimž došlo za posledních 20 let.

Rámec 2013 a ilustrační nástroje lze zakoupit u AICPA. Shrnutí Rámce 2013 je zdarma k dispozici na webových stránkách COSO.

Níže je uveden přehled z bulletinu Heads Up společnosti Deloitte vydaného 10. června 2013 o vylepšeních v Rámci 2013, diskuse o úvahách pro subjekty, které používají Rámec 1992 při plnění § 404 zákona Sarbanes-Oxley z roku 2002 (SOX), a informace o provedení přechodu z Rámce 1992 na Rámec 2013, včetně dopadů na další dokumenty související s COSO. Kromě toho přílohy v bulletinu Heads Up z 10. června porovnávají rámec 2013 s rámcem 1992 a upozorňují na některé rozšířené koncepty v rámci 2013. Další informace o rámcích naleznete v bulletinech Heads Up společnosti Deloitte z 6. února 2012 a 7. srpna 2012.

Vylepšení v rámci 2013

Rámec 2013 vytváří formálnější strukturu pro navrhování a hodnocení účinnosti vnitřní kontroly tím, že:

1. Používá zásady pro popis složek vnitřní kontroly. Rámec 2013 obsahuje 17 zásad, které vysvětlují pojmy související s pěti složkami Rámce COSO (kontrolní prostředí, hodnocení rizik, kontrolní činnosti, informace a komunikace a monitorovací činnosti). Při vytváření 17 principů se organizace COSO zaměřila na koncepty z rámce z roku 1992, zvážila principy, které byly vypracovány a formulovány v dokumentu COSO Internal Control Over Financial Reporting-Guidance for Smaller Public Companies z roku 2006 („Small Business Guidance“), a zohlednila významné změny v podnikání, provozním prostředí a řízení od roku 1992. Záměrem COSO je pomoci společnostem navrhnout účinné systémy vnitřní kontroly a vyhodnotit, zda tyto systémy fungují efektivně. Rámec 2013 předpokládá, že vzhledem k tomu, že 17 zásad je základními koncepty pěti složek, je všech 17 zásad relevantních pro všechny účetní jednotky. Z toho vyplývá, že pokud některá zásada není přítomna a nefunguje, není přítomna a nefunguje ani související složka. Ve výjimečných případech může vedení z důvodu odvětvových, regulačních nebo provozních záležitostí určit, že princip není pro danou složku relevantní. k dalšímu popisu principů používá Rámec 2013 body zaměření, které obvykle představují důležité charakteristiky principů. Přestože body zaměření mohou pomoci vedení navrhnout, zavést a vyhodnotit vnitřní kontrolu a posoudit, zda jsou příslušné zásady přítomny a fungují, nejsou vyžadovány pro hodnocení účinnosti vnitřní kontroly. Vedení může zjistit, že některé z bodů zaměření nejsou vhodné nebo relevantní, a může určit a zvážit jiné.

2. Vytvoření formálnějšího způsobu navrhování a vyhodnocování vnitřní kontroly v souladu se zásadami. Viz diskuse níže v části „Efektivní systémy vnitřní kontroly“.

Přestože základní koncepty v Rámci 2013 jsou podobné těm v Rámci 1992, Rámec 2013 přidává nebo rozšiřuje diskuse o jednotlivých složkách a zásadách, včetně vylepšení, jako jsou podrobné body zaměření. Například ačkoli koncept identifikace rizik a reakce na ně byl přítomen v Rámci 1992, Rámec 2013 obsahuje podrobnější diskuse o konceptech hodnocení rizik, včetně těch, které se týkají inherentního rizika, tolerance k riziku, způsobu řízení rizik a vazby mezi hodnocením rizik a kontrolními činnostmi.

Na rozdíl od Rámce 1992 navíc Rámec 2013 výslovně zahrnuje koncept zvažování potenciálního rizika podvodu při hodnocení rizik pro dosažení cílů organizace (viz zásada 8). Rámec 2013 vysvětluje, že „v rámci procesu posuzování rizik by organizace měla identifikovat různé způsoby, jakými může dojít k podvodnému vykazování, a to s ohledem na:

• Předpojatost vedení, například při výběru účetních zásad
• Míra odhadů a úsudků v externím výkaznictví
• Schémata a scénáře podvodů běžné v průmyslových odvětvích a na trzích, kde účetní jednotka působí
• Geografické regiony, kde účetní jednotka podniká
• Motivace, které mohou motivovat k podvodnému jednání
• Podoba technologie a schopnost managementu manipulovat s informacemi
• Neobvyklé nebo složité transakce podléhající významnému vlivu managementu
• Zranitelnost vůči přehlasování managementu a potenciálním schématům obcházení stávajících kontrolních činností“

Princip 8 rovněž pojednává o úvahách týkajících se přehlasování managementu, ochranou majetku, pobídkami a tlaky, příležitostmi k nevhodnému jednání, jakož i postoji a racionalizacemi, které mohou ospravedlnit nevhodné jednání. (Viz další diskuse k zásadě 8 v dodatku A v Heads Up, Volume 20, Issue 17.)

Dále COSO přidal v celém Rámci 2013 úvahy týkající se:

• Využívání externích poskytovatelů služeb (viz dodatek B v Heads Up, Volume 20, Issue 17).
• Zvýšený význam informačních technologií (viz dodatek C v Heads Up, Volume 20, Issue 17).

Následující tabulka shrnuje zásady podle jednotlivých složek. Příloha A přiřazuje principy k tematickým oddílům Rámce 1992 (podle potřeby) a na vysoké úrovni shrnuje některé rozšířené koncepty Rámce 2013.

Složky a principy kontroly

Efektivní systémy vnitřní kontroly

V účinném systému vnitřní kontroly podle Rámce 2013:

1. Zásady a principy kontroly

Složky a principy kontroly

Složky a principy kontroly

Složky a principy kontroly Každá z pěti složek a příslušných zásad musí být přítomna a fungovat. Podle Rámce 2013:

• Přítomnost je definována jako „zjištění, že složky a příslušné zásady existují při navrhování a provádění systému vnitřní kontroly k dosažení stanovených cílů.“
• Fungování je definováno jako „zjištění, že složky a příslušné zásady nadále existují při provádění systému vnitřní kontroly k dosažení stanovených cílů.“

2. Pět složek musí fungovat společně integrovaným způsobem. Rámec 2013 vysvětluje, že:

• Společné fungování znamená „zjištění, že všech pět složek společně snižuje na přijatelnou úroveň riziko nedosažení cíle.“
• Vedení může prokázat, že složky fungují společně, když 1) „složky jsou přítomny a fungují“ a 2) „nedostatky vnitřní kontroly agregované napříč složkami nevedou ke zjištění, že existuje jeden nebo více závažných nedostatků“.“

Poznámka redakce: Podle pravidel SEC souvisejících s dodržováním § 404 zákona SOX „musí být hodnocení vnitřní kontroly společnosti nad finančním výkaznictvím založeno na postupech dostatečných jak k vyhodnocení jejího návrhu, tak k otestování její provozní účinnosti.“² Stejně tak auditorský standard PCAOB 5³ vyžaduje, aby auditor vyhodnotil návrh a provozní účinnost vnitřní kontroly nad finančním výkaznictvím. Domníváme se, že „přítomnost“ a „fungování“ jsou ekvivalentní pojmům „návrh“, respektive „provozní účinnost“.

Rámec 2013 používá pojmy „nedostatek vnitřní kontroly“ a „významný nedostatek“ k popisu stupňů závažnosti nedostatků vnitřní kontroly. Podle Rámce 2013 se nedostatkem vnitřní kontroly rozumí „nedostatek ve složce nebo složkách a příslušné zásadě (příslušných zásadách), který snižuje pravděpodobnost, že účetní jednotka dosáhne svých cílů“, a závažným nedostatkem se rozumí „nedostatek vnitřní kontroly nebo kombinace nedostatků, která vážně snižuje pravděpodobnost, že účetní jednotka může dosáhnout svých cílů“. Rámec 2013 dále vysvětluje, že závažný nedostatek existuje, když „složka a jeden nebo více relevantních principů nejsou přítomny nebo nefungují“ nebo když „složky nefungují společně“. Navíc, pokud existuje závažný nedostatek, organizace nemůže dojít k závěru, že splnila požadavky na účinný systém vnitřní kontroly.

Důležité je, že Rámec 2013 uznává, že při hodnocení nedostatků ve vnitřní kontrole mohou regulační orgány, tvůrci standardů a další strany stanovit kritéria pro definování závažnosti nedostatků ve vnitřní kontrole, jejich hodnocení a vykazování. Pro splnění požadavků na vykazování vnitřní kontroly podle SOX by vedení nadále používalo terminologii SEC týkající se významných nedostatků a významných slabých stránek a auditoři by nadále používali stejnou terminologii podle standardů PCAOB. Pokud tedy společnost vyhodnocuje koncepci a provozní účinnost své vnitřní kontroly externího finančního výkaznictví (ICEFR) (tj, zda jsou zásady přítomny a fungují) a zjistí nedostatek, společnost by byla povinna použít definice a pokyny SEC k posouzení závažnosti nedostatku a auditor by byl povinen použít definice a pokyny podle standardů PCAOB.

Pokyny pro přechod z rámce 1992 na rámec 2013 a dopad na další dokumenty COSO

V průběhu veřejného připomínkového řízení k návrhu rámce 2013 různé zúčastněné strany požadovaly, aby COSO stanovil konkrétní datum dokončení přechodu z rámce 1992 na rámec 2013. Na základě této zpětné vazby poskytl COSO některá specifika přechodu a vyzývá uživatele, aby „převedli své aplikace a související dokumentaci na aktualizovaný Rámec co nejdříve, jak je to v jejich konkrétních podmínkách možné“. COSO rovněž uvedl, že „bude nadále zpřístupňovat svůj původní rámec během přechodného období, které trvá do 15. prosince 2014, po tomto datu jej bude COSO považovat za nahrazený“. Hlavní účetní SEC Paul Beswick navíc uvedl, že „pracovníci SEC plánují sledovat přechod u emitentů, kteří používají rámec z roku 1992, aby vyhodnotili, zda a zda budou v určitém okamžiku v budoucnu nutná nebo vhodná nějaká opatření pracovníků nebo Komise“. Dále uvedl, že v tuto chvíli „jednoduše odkazuje uživatele rámce COSO na prohlášení COSO o jejich novém rámci a na jejich úvahy o přechodu.“

V průběhu přechodného období (od 14. května 2013 do 15. prosince 2014) COSO navrhuje, aby každá „aplikace jejího rámce vnitřní kontroly – integrovaného rámce, která zahrnuje externí výkaznictví, jasně zveřejnila, zda byla použita původní verze nebo verze z roku 2013“. V důsledku toho by bylo vhodné, aby společnosti při předkládání ročního hodnocení ICEFR v souladu se SOX uvedly, jaký přesně rámec COSO při provádění hodnocení použily.

Poznámka redakce: Auditorský standard PCAOB č. 5 uvádí, že „auditor by měl při provádění auditu vnitřní kontroly nad finančním výkaznictvím používat stejný vhodný uznávaný kontrolní rámec, jaký používá vedení společnosti při ročním hodnocení účinnosti vnitřní kontroly nad finančním výkaznictvím“. V důsledku toho bude načasování, kdy auditor přejde na rámec 2013 pro audit ICEFR, záviset na načasování přechodu společnosti. Pokud bude společnost v kalendářním roce končícím 31. prosince 2013 používat Rámec 1992, auditor bude rovněž používat Rámec 1992. Domníváme se, že způsobem, který je konzistentní s přístupem ke zveřejňování přesného rámce COSO použitého při hodnocení ICEFR vedením, by bylo vhodné uvést ve zprávě auditora přesný použitý rámec.

Pokyny pro malé podniky COSO budou po 15. prosinci 2014 nahrazeny Sborníkem ICEFR.

Rámec řízení podnikových rizik – integrovaný rámec COSO (dále jen „rámec ERM“) nebyl nahrazen rámcem 2013. Přestože Rámec ERM a Rámec 2013 mají mít odlišné zaměření, oba rámce jsou navrženy tak, aby se vzájemně doplňovaly. COSO se domnívá, že i když rámec ERM obsahuje části textu z rámce 1992, je rámec ERM i nadále vhodný pro navrhování, zavádění, provádění a hodnocení řízení podnikových rizik.

Pokyny COSO k monitorování systémů vnitřní kontroly, které byly sepsány s cílem pomoci organizacím pochopit a uplatňovat monitorovací činnosti v systému vnitřní kontroly, zůstávají rovněž nadále relevantní (tj. nebyly nahrazeny rámcem 2013). V příloze F Rámce 2013 se uvádí, že „změny zásad v Rámci nebudou podstatně měnit přístupy vypracované pro Pokyny COSO k monitorování systémů vnitřní kontroly.“

Vnitřní kontrola nad vnějším finančním výkaznictvím

Vliv Rámce 2013 na hodnocení účinnosti ICEFR vedením společnosti (tj. na splnění požadavků článku 404 SOX) bude záviset na tom, jak společnost aplikovala a interpretovala koncepty v Rámci 1992. Například stávající systém vnitřní kontroly nemusí jasně prokazovat nebo dokumentovat, že jsou přítomny a fungují všechny příslušné zásady. Organizace COSO vytvořila Kompendium ICEFR, které má společnostem pomoci aplikovat rámec z roku 2013. Přístupy popsané v dokumentu popisují, jak mohou organizace uplatňovat zásady ve svém systému ICEFR, a jeho příklady ilustrují aplikaci jednotlivých zásad. Společnosti, které používají COSO pro vykazování ICEFR, mohou zvážit:

1. Přečtení Rámce 2013 a identifikaci nových pojmů a změn.

2. Posouzení svých potřeb v oblasti školení a vzdělávání.

3. Zjištění, jak Rámec 2013 ovlivňuje návrh a hodnocení ICEFR, a to:

a. Posouzení pokrytí zásad stávajícími procesy a souvisejícími kontrolami a zvážení bodů, na které je třeba se zaměřit.

b. Posouzení stávajících procesů, činností a dostupné dokumentace související s uplatňováním zásad.

c. Identifikace případných mezer ve výše uvedeném.

4. Určení případných kroků, které je třeba provést při přechodu na rámec 2013, a:

a. Formulování plánu na dokončení přechodu do 15. prosince 2014 (tj. společnosti, které končí kalendářní rok a splňují požadavky oddílu 404 SOX, by měly provést přechod na rámec 2013 pro vykazovací období končící po 31. prosinci 2014).

b. Zvážit využití činností provedených v roce 2013 (např. procházky, testování příslušných kontrol, vyhodnocení nedostatků) k identifikaci nezbytných změn a pilotnímu nebo terénnímu testování aplikace Rámce 2013.

c. Potvrzení řádného zveřejnění použitého rámce během přechodného období a v době přijetí Rámce 2013.

5. Potvrzení řádného zveřejnění použitého rámce během přechodného období a v době přijetí Rámce 2013. Koordinace a interní komunikace se všemi skupinami, které jsou odpovědné za implementaci, monitorování a vykazování ICEFR organizace.

6. Projednání a koordinace činností s interním auditem (pokud je to relevantní) a externím auditorem.

Ilustrativní nástroje

Ilustrativní nástroje COSO poskytují příklady, jak může společnost aplikovat Rámec 2013 při hodnocení účinnosti svého systému vnitřní kontroly. Dokument poskytuje názorné šablony a obsahuje scénáře s příklady, jak vyplnit různé šablony. Účelem Ilustrativních nástrojů však není:

• Uspokojit jakékoli regulatorní požadavky na vyhodnocení nedostatků vnitřní kontroly.
• Ilustrovat výběr kontrolních mechanismů vedením k uskutečnění zásad nebo řešení identifikovaných rizik.
• Zobrazte rozhodnutí o povaze, načasování nebo rozsahu testování kontrol k zajištění účinného systému vnitřní kontroly.

-Produced by Jennifer Burns and Brent Simer, Deloitte LLP

Endnotes
1. COSO je společná iniciativa pěti organizací soukromého sektoru a jejím cílem je poskytovat vedoucí postavení v myšlení prostřednictvím vývoje rámců a pokynů pro řízení podnikových rizik, vnitřní kontrolu a odrazování od podvodů. Těmito pěti organizacemi soukromého sektoru jsou American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants a Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File No. S7-40-02 and S7-06-03 (14. srpna 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.

.