Komitet Organizacji Sponsorujących Komisji Treadwaya (COSO)¹ wydał 14 maja, 2013 r. zaktualizowaną wersję Zintegrowanych Ram Kontroli Wewnętrznej („Ramy z 2013 r.”). Ponadto, COSO opublikowało dwa dokumenty ilustracyjne: Illustrative Tools for Assessing Effectiveness of a System of Internal Control („Illustrative Tools”) oraz Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples („Kompendium ICEFR”), jak również streszczenie Ram Odniesienia 2013.

Pierwotnie wydane w 1992 roku, Zintegrowane Ramy Kontroli Wewnętrznej COSO („Ramy Odniesienia 1992”) stały się jednymi z najszerzej akceptowanych ram kontroli wewnętrznej na świecie. Głównym celem COSO przy aktualizacji i udoskonalaniu ram jest uwzględnienie znaczących zmian w środowisku biznesowym i operacyjnym, które miały miejsce w ciągu ostatnich 20 lat.

Ramy 2013 i narzędzia ilustrujące można nabyć w AICPA. Streszczenie Ram Odniesienia 2013 jest dostępne bezpłatnie na stronie internetowej COSO.

Poniżej znajduje się przegląd udoskonaleń zawartych w Ramach Odniesienia 2013, pochodzący z biuletynu „Heads Up” firmy Deloitte wydanego 10 czerwca 2013 r., omówienie względów dla podmiotów, które stosują Zasady Odniesienia 1992 w celu spełnienia wymogów sekcji 404 ustawy Sarbanes-Oxley z 2002 r. (SOX) oraz informacje na temat przejścia z Ram Odniesienia 1992 na Zasady Odniesienia 2013, w tym wpływu na inne dokumenty związane z COSO. Ponadto, załączniki do biuletynu Heads Up z 10 czerwca zawierają porównanie Ram Odniesienia z 2013 roku z Ramami Odniesienia z 1992 roku, jak również podkreślają niektóre z rozszerzonych koncepcji w Ramach Odniesienia z 2013 roku. Dodatkowe informacje na temat ram znajdują się w biuletynach Deloitte Heads Up z 6 lutego 2012 r. i 7 sierpnia 2012 r.

Ulepszenia w Ramach 2013

Ramy 2013 tworzą bardziej formalną strukturę do projektowania i oceny skuteczności kontroli wewnętrznej poprzez:

1. Wykorzystanie zasad do opisu komponentów kontroli wewnętrznej. Założenia koncepcyjne z 2013 roku zawierają 17 zasad, które wyjaśniają koncepcje związane z pięcioma komponentami Ram COSO (środowisko kontroli, ocena ryzyka, działania kontrolne, informacja i komunikacja oraz działania monitorujące). Opracowując 17 zasad, COSO skoncentrowało się na koncepcjach zawartych w Założeniach koncepcyjnych z 1992 roku, uwzględniło zasady, które zostały opracowane i wyrażone w wydanym przez COSO w 2006 roku dokumencie Internal Control Over Financial Reporting-Guidance for Smaller Public Companies („Small Business Guidance”) oraz wzięło pod uwagę znaczące zmiany w biznesie, środowisku operacyjnym i zarządzaniu od 1992 roku. W zamierzeniu COSO zasady te mają pomóc spółkom w opracowaniu skutecznych systemów kontroli wewnętrznej i ocenie, czy systemy te funkcjonują efektywnie. Założeniem Ram Odniesienia 2013 jest to, że ponieważ 17 zasad jest podstawowymi koncepcjami pięciu komponentów, wszystkie 17 są istotne dla wszystkich jednostek. W związku z tym, jeśli zasada nie jest obecna i nie funkcjonuje, powiązany z nią komponent nie jest obecny i nie funkcjonuje. W rzadkich okolicznościach, ze względu na kwestie branżowe, regulacyjne lub operacyjne, kierownictwo może stwierdzić, że dana zasada nie jest istotna dla danego komponentu.Aby dokładniej opisać zasady, Założenia koncepcyjne z 2013 r. wykorzystują punkty ciężkości, które zazwyczaj są ważnymi cechami zasad. Chociaż punkty ciężkości mogą pomóc kierownictwu w projektowaniu, wdrażaniu i ocenie kontroli wewnętrznej oraz w ocenie, czy odpowiednie zasady są obecne i funkcjonują, nie są one wymagane do oceny skuteczności kontroli wewnętrznej. Kierownictwo może stwierdzić, że niektóre z punktów ciężkości nie są odpowiednie lub właściwe oraz może zidentyfikować i rozważyć inne.

2. Stworzenie bardziej formalnego sposobu projektowania i oceny kontroli wewnętrznej zgodnie z zasadami. Patrz dyskusja poniżej w punkcie „Efektywne systemy kontroli wewnętrznej.”

Podstawowe koncepcje w Założeniach koncepcyjnych na rok 2013 są podobne do tych w Założeniach koncepcyjnych na rok 1992, jednak Założenia koncepcyjne na rok 2013 dodają lub rozszerzają dyskusje na temat każdego komponentu i zasady, w tym udoskonalenia, takie jak szczegółowe punkty skupienia. Na przykład, chociaż koncepcja identyfikacji i reagowania na ryzyko była obecna w Ramach z 1992 r., to w Ramach z 2013 r. zawarto bardziej szczegółowe dyskusje na temat koncepcji oceny ryzyka, w tym tych związanych z ryzykiem nieodłącznym, tolerancją na ryzyko, sposobami zarządzania ryzykiem oraz powiązaniem między oceną ryzyka a działaniami kontrolnymi.

Dodatkowo, w przeciwieństwie do Ram z 1992 r., w Ramach z 2013 r. wyraźnie zawarto koncepcję rozważenia potencjału ryzyka oszustwa przy ocenie ryzyka dla osiągnięcia celów organizacji (zob. Zasada 8). Zasady Ramowe 2013 wyjaśniają, że „w ramach procesu oceny ryzyka organizacja powinna zidentyfikować różne sposoby, w jakie może wystąpić raportowanie oszustw, biorąc pod uwagę:

• Skłonność kierownictwa, na przykład w wyborze zasad rachunkowości
• Stopień szacunków i osądów w sprawozdawczości zewnętrznej
• Schematy i scenariusze oszustw powszechne w sektorach przemysłu i na rynkach, na których jednostka prowadzi działalność
• Regiony geograficzne, w których jednostka prowadzi działalność
• Bodźce, które mogą motywować do oszukańczego zachowania
• Natura technologii i zdolność kierownictwa do manipulowania informacjami
• Nietypowe lub złożone transakcje podlegające znacznemu wpływowi kierownictwa
• Podatność na manipulacje kierownictwa i potencjalne schematy omijania istniejących działań kontrolnych”

Zasada 8 omawia również rozważania odnoszące się do kontroli kierownictwa, ochronę aktywów, bodźce i naciski, okazje do niewłaściwych działań, jak również postawy i racjonalizacje, które mogą usprawiedliwiać niewłaściwe działania. (Patrz dodatkowe omówienie Zasady 8 w Załączniku A w Heads Up, Volume 20, Issue 17.)

Ponadto, COSO dodało rozważania w Ramach 2013 dotyczące:

• Korzystania z zewnętrznych dostawców usług (patrz Załącznik B w Heads Up, Volume 20, Issue 17).
• Większego znaczenia technologii informacyjnych (zob. Załącznik C w Heads Up, Volume 20, Issue 17).

W poniższej tabeli podsumowano zasady według komponentów. Załącznik A mapuje zasady do sekcji tematycznych w Ramach 1992 (jeśli dotyczy) i podsumowuje, na wysokim poziomie, niektóre z rozszerzonych koncepcji w Ramach 2013.

Komponenty i zasady kontroli

Efektywne systemy kontroli wewnętrznej

W efektywnym systemie kontroli wewnętrznej zgodnie z Ramami 2013:

1. Każdy z pięciu komponentów i odpowiednich zasad musi być obecny i funkcjonować. Zgodnie z Założeniami koncepcyjnymi z 2013 roku:

• Obecność definiuje się jako „stwierdzenie, że komponenty i odpowiednie zasady istnieją w projekcie i wdrożeniu systemu kontroli wewnętrznej w celu osiągnięcia określonych celów.”
• Funkcjonowanie definiuje się jako „stwierdzenie, że komponenty i odpowiednie zasady nadal istnieją w prowadzeniu systemu kontroli wewnętrznej w celu osiągnięcia określonych celów.”

2. Wymaga się, aby pięć komponentów działało razem w sposób zintegrowany. W Założeniach koncepcyjnych z 2013 roku wyjaśniono, że:

• Wspólne działanie odnosi się do „stwierdzenia, że wszystkie pięć komponentów wspólnie zmniejsza, do akceptowalnego poziomu, ryzyko nieosiągnięcia celu.”
• Zarządzanie może wykazać, że komponenty działają wspólnie, gdy 1) „komponenty są obecne i funkcjonują” oraz 2) „Uchybienia w kontroli wewnętrznej zagregowane w komponentach nie skutkują stwierdzeniem istnienia jednego lub więcej poważnych uchybień.”

Uwaga redaktora: Zgodnie z zasadami SEC dotyczącymi zgodności z sekcją 404 SOX, „ocena kontroli wewnętrznej spółki nad sprawozdawczością finansową musi opierać się na procedurach wystarczających zarówno do oceny jej projektu, jak i do zbadania jej efektywności operacyjnej.”² Podobnie, Standard badania sprawozdań finansowych 5³ PCAOB wymaga od biegłego rewidenta oceny projektu i efektywności operacyjnej kontroli wewnętrznej nad sprawozdawczością finansową. Uważamy, że „obecny” i „funkcjonujący” są równoważne odpowiednio „projektowi” i „efektywności operacyjnej”.

W Założeniach koncepcyjnych z 2013 r. użyto terminów „niedoskonałość kontroli wewnętrznej” i „istotna niedoskonałość” do opisania stopni nasilenia niedoskonałości kontroli wewnętrznej. Zgodnie z Założeniami koncepcyjnymi z 2013 r., niedociągnięcie kontroli wewnętrznej odnosi się do „niedociągnięcia w komponencie lub komponentach i odpowiedniej zasadzie (zasadach), które zmniejsza prawdopodobieństwo osiągnięcia przez jednostkę jej celów”, a poważny brak odnosi się do „niedociągnięcia kontroli wewnętrznej lub kombinacji niedociągnięć, które poważnie zmniejszają prawdopodobieństwo osiągnięcia przez jednostkę jej celów”. Ponadto Założenia koncepcyjne z 2013 r. wyjaśniają, że poważny brak występuje, gdy „komponent i jedna lub więcej odpowiednich zasad nie są obecne lub nie funkcjonują” lub gdy „komponenty nie działają razem.” Ponadto, jeżeli istnieje poważna wada, organizacja nie może stwierdzić, że spełniła wymagania dotyczące skutecznego systemu kontroli wewnętrznej.

Co ważne, Założenia koncepcyjne z 2013 r. uznają, że przy ocenie braków w kontroli wewnętrznej organy regulacyjne, podmioty ustalające standardy i inne strony mogą ustanowić kryteria definiowania dotkliwości, oceny i raportowania braków kontroli wewnętrznej. Aby spełnić wymagania dotyczące raportowania kontroli wewnętrznej zgodnie z SOX, kierownictwo będzie nadal używać terminologii SEC dotyczącej istotnych braków i istotnych słabości, a audytorzy będą nadal używać tej samej terminologii zgodnie ze standardami PCAOB. W związku z tym, gdy spółka ocenia projekt i skuteczność działania kontroli wewnętrznej nad zewnętrzną sprawozdawczością finansową (ICEFR) (tj, czy zasady są obecne i funkcjonują) i zidentyfikuje niedociągnięcie, spółka będzie zobowiązana do stosowania definicji i wytycznych SEC w celu oceny dotkliwości niedociągnięcia, a biegły rewident będzie zobowiązany do stosowania definicji i wytycznych zgodnie ze standardami PCAOB.

Wskazówki przejściowe COSO i wpływ na inne dokumenty COSO

Podczas publicznego procesu zgłaszania uwag do projektu założeń koncepcyjnych Założeń koncepcyjnych na rok 2013, różni interesariusze zwrócili się do COSO o podanie konkretnej daty zakończenia przejścia z Założeń koncepcyjnych z 1992 r. na Założenia koncepcyjne na rok 2013. Na podstawie tych opinii COSO podało pewne szczegóły przejścia i zachęca użytkowników do „przejścia swoich aplikacji i związanej z nimi dokumentacji na zaktualizowane Zasady Ramowe tak szybko, jak jest to wykonalne w ich szczególnych okolicznościach”. COSO stwierdziło również, że „będzie nadal udostępniać pierwotne Zasady Ramowe podczas okresu przejściowego trwającego do 15 grudnia 2014 r., po którym to terminie COSO uzna je za zastąpione.” Ponadto główny księgowy SEC Paul Beswick oświadczył, że „personel SEC planuje monitorować przejście emitentów korzystających z ram z 1992 r., aby ocenić, czy i czy jakiekolwiek działania personelu lub Komisji staną się konieczne lub właściwe w pewnym momencie w przyszłości.” W okresie przejściowym (od 14 maja 2013 r. do 15 grudnia 2014 r.) COSO sugeruje, że każde „zastosowanie Zintegrowanych Ram Kontroli Wewnętrznej, które obejmuje sprawozdawczość zewnętrzną, powinno wyraźnie ujawnić, czy wykorzystano wersję oryginalną czy wersję z 2013 r.”. W rezultacie, kiedy spółki dostarczają swoją roczną ocenę ICEFR zgodnie z SOX, właściwe byłoby wskazanie dokładnych ram COSO, z których korzystały przy przeprowadzaniu oceny.

Uwaga edytora: PCAOB Auditing Standard 5 stwierdza, że „biegły rewident powinien korzystać z tych samych odpowiednich, uznanych ram kontroli w celu przeprowadzenia swojego badania kontroli wewnętrznej nad sprawozdawczością finansową, które kierownictwo wykorzystuje do swojej rocznej oceny skuteczności kontroli wewnętrznej spółki nad sprawozdawczością finansową.” W rezultacie czas, w którym biegły rewident dokona przejścia na Założenia koncepcyjne z 2013 r. do badania ICEFR, będzie zależał od czasu przejścia firmy. Jeśli spółka stosuje Założenia koncepcyjne z 1992 r. w roku kalendarzowym kończącym się 31 grudnia 2013 r., biegły rewident również zastosuje Założenia koncepcyjne z 1992 r. Uważamy, że w sposób spójny z podejściem do ujawniania dokładnych ram COSO stosowanych w ocenie ICEFR przez kierownictwo, byłoby właściwe wskazanie w raporcie biegłego rewidenta dokładnych zastosowanych ram.

Wskazówki COSO dla małych przedsiębiorstw zostaną zastąpione Kompendium ICEFR po 15 grudnia 2014 r.

Zintegrowane ramy zarządzania ryzykiem w przedsiębiorstwie COSO („ERM Framework”) nie zostały zastąpione przez 2013 Framework. Mimo, że Założenia koncepcyjne ERM i Założenia koncepcyjne 2013 mają mieć różne cele, oba założenia koncepcyjne mają się wzajemnie uzupełniać. COSO uważa, że pomimo tego, że Założenia koncepcyjne ERM zawierają fragmenty tekstu z Założeń koncepcyjnych z 1992 roku, Założenia koncepcyjne ERM nadal są odpowiednie do projektowania, wdrażania, prowadzenia i oceny zarządzania ryzykiem w przedsiębiorstwie.

Wytyczne COSO dotyczące monitorowania systemów kontroli wewnętrznej, które zostały napisane, aby pomóc organizacjom w zrozumieniu i stosowaniu działań monitorujących w systemie kontroli wewnętrznej, również pozostają aktualne (tj. nie zostały zastąpione przez Założenia koncepcyjne z 2013 roku). Załącznik F do Założeń koncepcyjnych z 2013 r. stwierdza, że „zmiany zasad w Założeniach koncepcyjnych nie zmienią zasadniczo podejścia opracowanego w Poradniku COSO na temat monitorowania systemów kontroli wewnętrznej.”

Kontrola wewnętrzna w zakresie zewnętrznej sprawozdawczości finansowej

Wpływ Założeń koncepcyjnych z 2013 r. na ocenę efektywności ICEFR dokonywaną przez kierownictwo (tj. w celu spełnienia wymogów sekcji 404 SOX) będzie zależał od tego, w jaki sposób firma zastosowała i zinterpretowała koncepcje zawarte w Założeniach koncepcyjnych z 1992 r. Na przykład, istniejący system kontroli wewnętrznej może nie wykazywać lub dokumentować w sposób jasny, że wszystkie odpowiednie zasady są obecne i funkcjonują. COSO opracowało Kompendium ICEFR, aby pomóc firmom w stosowaniu Ram Odniesienia z 2013 roku. Podejścia omówione w dokumencie opisują, w jaki sposób organizacje mogą stosować zasady w swoim systemie ICEFR, a przykłady ilustrują zastosowanie każdej z zasad. Firmy, które wykorzystują COSO do raportowania ICEFR, mogą rozważyć:

1. Zapoznanie się z Ramami 2013 i zidentyfikowanie nowych koncepcji i zmian.

2. Ocenę swoich potrzeb szkoleniowych i edukacyjnych.

3. Określenie, w jaki sposób Ramy 2013 wpływają na projektowanie i ocenę ICEFR poprzez:

a. Ocenę pokrycia zasad przez istniejące procesy i powiązane kontrole oraz rozważenie punktów, na których należy się skupić.

b. Ocenę bieżących procesów, działań i dostępnej dokumentacji związanej z zastosowaniem zasad.

c. Określenie wszelkich luk w powyższym zakresie.

4. Określenie ewentualnych kroków, które należy podjąć w celu przejścia na Zasady Ramowe 2013, oraz:

a. Sformułowanie planu zakończenia przejścia do 15 grudnia 2014 r. (tj. spółki na koniec roku kalendarzowego spełniające wymogi SOX Section 404 powinny dokonać przejścia na Założenia z 2013 r. dla okresów sprawozdawczych kończących się po 31 grudnia 2014 r.).

b. Rozważenie wykorzystania działań przeprowadzonych w 2013 roku (np. walkthroughs, testowanie odpowiednich kontroli, ocena braków) w celu zidentyfikowania niezbędnych zmian i pilotażowego lub terenowego przetestowania zastosowania Ram Odniesienia 2013.

c. Potwierdzenie właściwego ujawnienia zasad ramowych stosowanych w okresie przejściowym oraz w momencie przyjęcia Ram Odniesienia 2013.

5. Koordynacja i komunikacja wewnętrzna ze wszystkimi grupami, które są odpowiedzialne za wdrażanie, monitorowanie i raportowanie ICEFR organizacji.

6. Omówienie i koordynacja działań z audytem wewnętrznym (jeśli dotyczy) i audytorem zewnętrznym.

Narzędzia ilustracyjne

Narzędzia ilustracyjne COSO dostarczają przykładów, w jaki sposób firma może zastosować Założenia koncepcyjne z 2013 roku w ocenie skuteczności swojego systemu kontroli wewnętrznej. Dokument zawiera ilustracyjne szablony i zawiera scenariusze z przykładami, jak wypełnić różne szablony. Jednakże Narzędzia Ilustracyjne nie mają na celu:

• Zaspokojenia wszelkich wymogów regulacyjnych dotyczących oceny braków kontroli wewnętrznej.
• Przedstawienia wyboru kontroli przez kierownictwo w celu realizacji zasad lub odniesienia się do zidentyfikowanych ryzyk.
• Ilustracja decyzji dotyczących charakteru, terminu lub zakresu testowania kontroli w celu zapewnienia skutecznego systemu kontroli wewnętrznej.

-Produced by Jennifer Burns and Brent Simer, Deloitte LLP

Endnotes
1. COSO to wspólna inicjatywa pięciu organizacji sektora prywatnego, której celem jest zapewnienie wiodącej pozycji poprzez opracowanie ram i wytycznych w zakresie zarządzania ryzykiem w przedsiębiorstwie, kontroli wewnętrznej i przeciwdziałania oszustwom. Te pięć organizacji sektora prywatnego to American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants oraz Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nos. S7-40-02 and S7-06-03 (August 14, 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Auditing of Financial Statements.

3.