Comitetul Organizațiilor Sponsorizatoare ale Comisiei Treadway (COSO)¹ a publicat pe 14 mai, 2013, o versiune actualizată a Cadrului său integrat de control intern („Cadrul din 2013”). În plus, COSO a publicat două documente ilustrative: Instrumente ilustrative pentru evaluarea eficacității unui sistem de control intern („Instrumente ilustrative”) și Controlul intern asupra raportării financiare externe: A Compendium of Approaches and Examples („Compendiul ICEFR”), precum și un rezumat executiv al Cadrului din 2013.

Publicat inițial în 1992, Cadrul integrat de control intern al COSO („Cadrul din 1992”) a devenit unul dintre cele mai larg acceptate cadre de control intern din lume. Obiectivul principal al COSO în actualizarea și îmbunătățirea cadrului este de a aborda schimbările semnificative ale mediului de afaceri și de operare care au avut loc în ultimii 20 de ani.

Cadrul din 2013 și Instrumentele ilustrative pot fi achiziționate de la AICPA. Un rezumat executiv al Cadrului din 2013 este disponibil gratuit pe site-ul web al COSO.

Mai jos este prezentată o prezentare generală din buletinul informativ Heads Up al Deloitte, publicat la 10 iunie 2013, a îmbunătățirilor din Cadrul din 2013, o discuție despre considerațiile pentru entitățile care utilizează Cadrul din 1992 pentru a se conforma Secțiunii 404 din Legea Sarbanes-Oxley din 2002 (SOX) și informații despre efectuarea tranziției de la Cadrul din 1992 la Cadrul din 2013, inclusiv impactul asupra altor documente legate de COSO. În plus, anexele din buletinul informativ Heads Up din 10 iunie compară Cadrul din 2013 cu Cadrul din 1992, precum și evidențiază unele dintre conceptele extinse din Cadrul din 2013. Pentru informații suplimentare despre cadre, a se vedea buletinele de știri Heads Up din 6 februarie 2012 și 7 august 2012 ale Deloitte.

Ambunătățiri în Cadrul 2013

Cadrul 2013 creează o structură mai formală pentru proiectarea și evaluarea eficacității controlului intern prin:

1. Utilizarea principiilor pentru a descrie componentele controlului intern. Cadrul din 2013 conține 17 principii care explică conceptele asociate cu cele cinci componente ale Cadrului COSO (mediul de control, evaluarea riscurilor, activitățile de control, informarea și comunicarea și activitățile de monitorizare). La elaborarea celor 17 principii, COSO s-a axat pe conceptele din Cadrul din 1992; a luat în considerare principiile care au fost elaborate și articulate în Raportul COSO din 2006 „Internal Control Over Financial Reporting-Guidance for Smaller Public Companies” („Small Business Guidance”); și a luat în considerare schimbările semnificative în afaceri, mediile de operare și guvernanță din 1992. COSO intenționează ca aceste principii să ajute companiile să conceapă sisteme eficiente de control intern și să evalueze dacă aceste sisteme funcționează eficient. Cadrul din 2013 presupune că, deoarece cele 17 principii sunt concepte fundamentale ale celor cinci componente, toate cele 17 sunt relevante pentru toate entitățile. În consecință, dacă un principiu nu este prezent și funcțional, componenta asociată nu este prezentă și funcțională. În circumstanțe rare, din cauza unor aspecte sectoriale, de reglementare sau de exploatare, conducerea poate stabili că un principiu nu este relevant pentru o componentă.Pentru a descrie în continuare principiile, Cadrul din 2013 utilizează puncte de interes, care sunt, de obicei, caracteristici importante ale principiilor. Deși punctele de interes pot ajuta conducerea să proiecteze, să implementeze și să evalueze controlul intern și să evalueze dacă principiile relevante sunt prezente și funcționează, acestea nu sunt necesare pentru evaluarea eficacității controlului intern. Conducerea poate stabili că unele dintre punctele de interes nu sunt adecvate sau relevante și poate identifica și lua în considerare altele.

2. Crearea unui mod mai formal de proiectare și evaluare a controlului intern în conformitate cu principiile. A se vedea discuția de mai jos la „Sisteme eficace de control intern.”

În timp ce conceptele fundamentale din Cadrul din 2013 sunt similare cu cele din Cadrul din 1992, Cadrul din 2013 adaugă sau extinde discuțiile despre fiecare componentă și principiu, inclusiv îmbunătățiri precum punctele de concentrare detaliate. De exemplu, deși conceptul de identificare și răspuns la riscuri era prezent în Cadrul din 1992, Cadrul din 2013 include discuții mai detaliate despre conceptele de evaluare a riscurilor, inclusiv cele legate de riscul inerent, toleranța la risc, modul în care pot fi gestionate riscurile și legătura dintre evaluarea riscurilor și activitățile de control.

În plus, spre deosebire de Cadrul din 1992, Cadrul din 2013 include în mod explicit conceptul de luare în considerare a potențialului de risc de fraudă atunci când se evaluează riscurile pentru realizarea obiectivelor unei organizații (a se vedea Principiul 8). Cadrul din 2013 explică faptul că „ca parte a procesului de evaluare a riscurilor, organizația ar trebui să identifice diferitele moduri în care poate avea loc raportarea frauduloasă, luând în considerare:

• Principiul managementului, de exemplu, în selectarea principiilor contabile
• Diminuarea estimărilor și judecăților în raportarea externă
• Scheme și scenarii de fraudă comune sectoarelor industriale și piețelor în care operează entitatea
• Regiuni geografice în care entitatea își desfășoară activitatea
• Incentive care pot motiva un comportament fraudulos
• Natura tehnologiei și capacitatea conducerii de a manipula informațiile
• Tranzacții neobișnuite sau complexe care fac obiectul unei influențe semnificative a conducerii
• Vulnerabilitatea față de conducerea de conducere și față de potențiale scheme de eludare a activităților de control existente”

Principiul 8 abordează, de asemenea, considerații referitoare la conducerea de conducere, salvgardarea activelor, stimulente și presiuni, oportunități pentru acte inadecvate, precum și atitudini și raționalizări care pot justifica acțiuni inadecvate. (A se vedea discuția suplimentară despre Principiul 8 în Apendicele A din Heads Up, Volumul 20, Ediția 17.)

În plus, COSO a adăugat considerații în întregul Cadru din 2013 cu privire la:

• Utilizarea furnizorilor de servicii externalizate (a se vedea Apendicele B din Heads Up, Volumul 20, Ediția 17).
• Relevanța sporită a tehnologiei informației (a se vedea apendicele C în Heads Up, volumul 20, numărul 17).

Tabelul de mai jos rezumă principiile pe componente. Apendicele A mapează principiile cu secțiunile tematice din Cadrul din 1992 (după caz) și rezumă, la nivel înalt, unele dintre conceptele îmbunătățite din Cadrul din 2013.

Componente și principii de control

Sisteme eficiente de control intern

Într-un sistem eficient de control intern conform Cadrului din 2013:

1. Fiecare dintre cele cinci componente și principiile relevante trebuie să fie prezente și să funcționeze. În conformitate cu Cadrul din 2013:

• Prezent este definit ca fiind „determinarea faptului că componentele și principiile relevante există în proiectarea și implementarea sistemului de control intern pentru a atinge obiectivele specificate.”
• Funcționarea este definită ca fiind „determinarea faptului că componentele și principiile relevante continuă să existe în desfășurarea sistemului de control intern pentru a atinge obiectivele specificate.”

2. Cele cinci componente trebuie să funcționeze împreună într-un mod integrat. Cadrul din 2013 explică faptul că:

• Funcționarea împreună se referă la „determinarea faptului că toate cele cinci componente reduc în mod colectiv, la un nivel acceptabil, riscul de a nu atinge un obiectiv.”
• Managementul poate demonstra că componentele funcționează împreună atunci când 1) „Componentele sunt prezente și funcționează” și 2) „Deficiențele de control intern agregate la nivelul componentelor nu duc la determinarea existenței uneia sau mai multor deficiențe majore.”

Nota editorului: În conformitate cu normele SEC legate de respectarea Secțiunii 404 din SOX, „evaluarea controlului intern al unei companii privind raportarea financiară trebuie să se bazeze pe proceduri suficiente atât pentru a evalua concepția sa, cât și pentru a testa eficacitatea funcționării sale.”² De asemenea, Standardul de audit 5³ al PCAOB impune auditorului să evalueze concepția și eficacitatea funcționării controlului intern privind raportarea financiară. Considerăm că „prezent” și „funcționare” sunt echivalente cu „proiectare” și, respectiv, „eficacitate operațională”.

Cadrul din 2013 utilizează termenii „deficiență de control intern” și „deficiență majoră” pentru a descrie gradele de gravitate ale deficiențelor de control intern. În conformitate cu Cadrul din 2013, o deficiență de control intern se referă la o „deficiență într-o componentă sau componente și principiul (principiile) relevant(e) care reduce probabilitatea ca o entitate să își atingă obiectivele”, iar o deficiență majoră se referă la o „deficiență de control intern sau o combinație de deficiențe care reduce în mod grav probabilitatea ca entitatea să își atingă obiectivele”. Mai mult, Cadrul din 2013 explică faptul că o deficiență majoră există atunci când „o componentă și unul sau mai multe principii relevante nu sunt prezente sau nu funcționează” sau atunci când „componentele nu funcționează împreună”. În plus, dacă există o deficiență majoră, organizația nu poate concluziona că a îndeplinit cerințele pentru un sistem eficace de control intern.

Important, Cadrul din 2013 recunoaște că, în evaluarea deficiențelor de control intern, autoritățile de reglementare, organismele de standardizare și alte părți pot stabili criterii pentru definirea gravității, evaluarea și raportarea deficiențelor de control intern. Pentru a se conforma cerințelor de raportare a controlului intern în temeiul SOX, conducerea ar continua să utilizeze terminologia SEC privind deficiențele semnificative și punctele slabe semnificative, iar auditorii ar continua să utilizeze aceeași terminologie în conformitate cu standardele PCAOB. În consecință, atunci când o societate evaluează concepția și eficacitatea funcționării controlului său intern privind raportarea financiară externă (ICEFR) (de ex, dacă principiile sunt prezente și funcționează) și identifică o deficiență, societatea ar trebui să utilizeze definițiile și orientările SEC pentru a evalua gravitatea deficienței, iar auditorul ar trebui să utilizeze definițiile și orientările din cadrul standardelor PCAOB.

Orientare privind tranziția COSO și impactul asupra altor documente COSO

În timpul procesului de comentarii publice cu privire la proiectul de expunere a Cadrului din 2013, diverse părți interesate au solicitat ca COSO să furnizeze o dată specifică pentru finalizarea tranziției de la Cadrul din 1992 la Cadrul din 2013. Pe baza acestor reacții, COSO a furnizat unele date specifice privind tranziția și încurajează utilizatorii să „își treacă aplicațiile și documentația aferentă la Cadrul actualizat cât mai curând posibil, în funcție de circumstanțele lor particulare”. COSO a declarat, de asemenea, că „va continua să pună la dispoziție Cadrul său original în timpul perioadei de tranziție care se extinde până la 15 decembrie 2014, după care COSO îl va considera ca fiind înlocuit”. În plus, contabilul-șef al SEC, Paul Beswick, a declarat că „personalul SEC intenționează să monitorizeze tranziția pentru emitenții care utilizează cadrul din 1992 pentru a evalua dacă și în cazul în care orice acțiune a personalului sau a Comisiei devine necesară sau adecvată la un moment dat în viitor.” De asemenea, el a mai declarat că, în acest moment, „se limitează să trimită utilizatorii cadrului COSO la declarațiile pe care COSO le-a făcut cu privire la noul lor cadru și la gândurile lor cu privire la tranziție.”

În timpul perioadei de tranziție (14 mai 2013 până la 15 decembrie 2014), COSO sugerează că orice „aplicare a Cadrului său de control intern – cadru integrat care implică raportarea externă ar trebui să indice în mod clar dacă a fost utilizată versiunea originală sau cea din 2013”. Prin urmare, atunci când companiile furnizează evaluarea anuală a ICEFR în conformitate cu SOX, ar fi oportun să indice exact cadrul COSO pe care l-au utilizat în realizarea evaluării.

Nota editorului: Standardul de audit 5 al PCAOB prevede că „auditorul ar trebui să utilizeze același cadru de control adecvat și recunoscut pentru a efectua auditul său al controlului intern privind raportarea financiară pe care conducerea îl utilizează pentru evaluarea anuală a eficacității controlului intern al companiei privind raportarea financiară”. Prin urmare, momentul în care auditorul face tranziția la Cadrul 2013 pentru auditarea ICEFR va depinde de momentul tranziției companiei. Dacă societatea utilizează Cadrul din 1992 pentru anul calendaristic care se încheie la 31 decembrie 2013, auditorul va utiliza, de asemenea, Cadrul din 1992. Considerăm că, într-o manieră consecventă cu abordarea de dezvăluire a cadrului COSO exact utilizat în evaluarea ICEFR de către conducere, ar fi adecvat să se indice în raportul auditorului cadrul exact utilizat.

Cadrul de îndrumare pentru întreprinderi mici al COSO va fi înlocuit de Compendiul ICEFR după 15 decembrie 2014.

Cadrul integrat de gestionare a riscurilor întreprinderii (Enterprise Risk Management-Integrated Framework – „Cadrul ERM”) al COSO nu a fost înlocuit de Cadrul din 2013. Deși Cadrul ERM și Cadrul din 2013 sunt menite să aibă obiective diferite, cele două cadre sunt concepute pentru a se completa reciproc. COSO consideră că, deși Cadrul ERM include părți ale textului din Cadrul din 1992, Cadrul ERM continuă să fie adecvat pentru proiectarea, implementarea, desfășurarea și evaluarea managementului riscurilor întreprinderii.

Cadrul de orientare al COSO privind monitorizarea sistemelor de control intern, care a fost redactat pentru a ajuta organizațiile să înțeleagă și să aplice activitățile de monitorizare într-un sistem de control intern, continuă, de asemenea, să rămână relevant (adică nu a fost înlocuit de Cadrul din 2013). Apendicele F din Cadrul din 2013 prevede că „modificările aduse principiilor din Cadru nu vor modifica în mod substanțial abordările elaborate pentru Ghidul COSO privind monitorizarea sistemelor de control intern.”

Controlul intern asupra raportării financiare externe

Impactul Cadrului din 2013 asupra evaluării de către conducere a eficacității ICEFR (și anume, pentru a se conforma cu secțiunea 404 din SOX) va depinde de modul în care o societate a aplicat și a interpretat conceptele din Cadrul din 1992. De exemplu, este posibil ca un sistem de control intern existent să nu demonstreze sau să documenteze în mod clar că toate principiile relevante sunt prezente și funcționează. COSO a elaborat Compendiul ICEFR pentru a ajuta companiile să aplice Cadrul din 2013. Abordările discutate în document descriu modul în care organizațiile pot aplica principiile în sistemul lor de ICEFR, iar exemplele sale ilustrează aplicarea fiecărui principiu. Companiile care utilizează COSO pentru a raporta cu privire la ICEFR ar putea dori să ia în considerare:

1. Citirea Cadrului din 2013 și identificarea noilor concepte și modificări.

2. Evaluarea nevoilor lor de formare și educație.

3. Determinarea modului în care Cadrul din 2013 afectează proiectarea și evaluarea ICEFR prin:

a. Evaluarea acoperirii principiilor de către procesele existente și controalele aferente și luarea în considerare a punctelor de interes.

b. Evaluarea proceselor actuale, a activităților și a documentației disponibile legate de aplicarea principiilor.

c. Identificarea oricăror lacune în cele de mai sus.

4. Identificarea etapelor, dacă este cazul, care trebuie efectuate pentru a face tranziția la Cadrul din 2013, și:

a. Formularea unui plan de finalizare a tranziției până la 15 decembrie 2014 (de exemplu, societățile cu sfârșit de an calendaristic care respectă secțiunea 404 din SOX ar trebui să facă tranziția la Cadrul 2013 pentru perioadele de raportare care se încheie după 31 decembrie 2014).

b. Luarea în considerare utilizarea activităților desfășurate în 2013 (de exemplu, parcurgerea, testarea controalelor relevante, evaluarea deficiențelor) pentru a identifica modificările necesare și pentru a pilota sau testa pe teren aplicarea Cadrului 2013.

c. Confirmarea publicării corespunzătoare a cadrului utilizat în perioada de tranziție și la momentul adoptării Cadrului 2013.

5. Coordonarea și comunicarea internă cu toate grupurile care sunt responsabile de implementarea, monitorizarea și raportarea cu privire la ICEFR al organizației.

6. Discutarea și coordonarea activităților cu auditul intern (dacă este cazul) și cu auditorul extern.

Instrumente ilustrative

Instrumentele ilustrative ale OCSO oferă exemple despre modul în care o companie poate aplica Cadrul 2013 în evaluarea eficacității sistemului său de control intern. Documentul oferă șabloane ilustrative și include scenarii cu exemple privind modul de completare a diferitelor șabloane. Cu toate acestea, Instrumentele ilustrative nu sunt menite să:

• Să satisfacă nicio cerință de reglementare pentru evaluarea deficiențelor de control intern.
• Ilustreze selecția de către conducere a controalelor pentru a efectua principii sau pentru a aborda riscurile identificate.
• Ilustrează deciziile privind natura, momentul sau amploarea testării controalelor pentru a asigura un sistem eficient de control intern.

Produs de Jennifer Burns și Brent Simer, Deloitte LLP

Note de subsol
1. COSO este o inițiativă comună a cinci organizații din sectorul privat și este dedicată furnizării unui lider de opinie prin dezvoltarea de cadre și îndrumări privind managementul riscului de întreprindere, controlul intern și descurajarea fraudei. Cele cinci organizații din sectorul privat sunt American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants și Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nr. S7-40-02 și S7-06-03 (14 august 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.

3.