The Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ släppte den 14 maj, 2013, en uppdaterad version av sitt ramverk för intern kontroll (Internal Control-Integrated Framework) (”2013 års ramverk”). Dessutom släppte COSO två illustrativa dokument: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (”Illustrative Tools”) och Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (”ICEFR Compendium”) samt en sammanfattning av 2013 års ramverk.

Originellt utfärdades COSO:s Internal Control-Integrated Framework (”1992 års ramverk”) 1992 och blev ett av de mest allmänt accepterade ramverken för intern kontroll i världen. COSO:s främsta mål med att uppdatera och förbättra ramverket är att ta itu med de betydande förändringar i affärs- och verksamhetsmiljöer som ägt rum under de senaste 20 åren.

The 2013 Framework and Illustrative Tools kan köpas från AICPA. En sammanfattning av 2013 års ramverk finns gratis på COSO:s webbplats.

Nedan följer en översikt från Deloittes nyhetsbrev Heads Up som publicerades den 10 juni 2013 om förbättringarna i 2013 års ramverk, en diskussion om överväganden för enheter som använder 1992 års ramverk för att uppfylla avsnitt 404 i Sarbanes-Oxley Act of 2002 (SOX) och information om hur man gör övergången från 1992 års ramverk till 2013 års ramverk, inklusive effekter på andra COSO-relaterade dokument. I bilagorna i nyhetsbrevet Heads Up av den 10 juni jämförs dessutom 2013 års ramverk med 1992 års ramverk och några av de utökade begreppen i 2013 års ramverk lyfts fram. För ytterligare information om ramverken, se Deloittes nyhetsbrev Heads Up av den 6 februari 2012 och 7 augusti 2012.

Förbättringar i 2013 års ramverk

2013 års ramverk skapar en mer formell struktur för att utforma och utvärdera effektiviteten i den interna kontrollen genom att:

1. Använda principer för att beskriva komponenterna i den interna kontrollen. 2013 års ramverk innehåller 17 principer som förklarar de begrepp som är kopplade till COSO-ramverkets fem komponenter (kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt övervakningsaktiviteter). Vid utvecklingen av de 17 principerna fokuserade COSO på begrepp från 1992 års ramverk, tog hänsyn till de principer som utvecklades och formulerades i COSO:s 2006 års Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (”Small Business Guidance”) och tog hänsyn till de betydande förändringarna i affärsverksamheter, verksamhetsmiljöer och styrning sedan 1992. COSO vill att principerna ska hjälpa företag att utforma effektiva system för intern kontroll och utvärdera om dessa system fungerar effektivt. I 2013 års ramverk antas att eftersom de 17 principerna är grundläggande begrepp för de fem komponenterna är alla 17 relevanta för alla företag. Om en princip inte är närvarande och fungerar, är följaktligen den tillhörande komponenten inte närvarande och fungerar. I sällsynta fall kan ledningen på grund av bransch-, reglerings- eller verksamhetsfrågor besluta att en princip inte är relevant för en komponent.För att ytterligare beskriva principerna använder 2013 års ramverk fokuspunkter, som typiskt sett är viktiga egenskaper hos principerna. Även om fokuspunkterna kan hjälpa ledningen att utforma, genomföra och utvärdera den interna kontrollen och bedöma om relevanta principer finns och fungerar, krävs de inte för att bedöma effektiviteten i den interna kontrollen. Ledningen kan avgöra att vissa av fokuspunkterna inte är lämpliga eller relevanta och kan identifiera och överväga andra.

2. Skapa ett mer formellt sätt att utforma och utvärdera den interna kontrollen i enlighet med principerna. Se diskussionen nedan under ”Effektiva system för intern kontroll.”

Men även om de grundläggande begreppen i 2013 års ramverk liknar dem i 1992 års ramverk, lägger 2013 års ramverk till eller utökar diskussionerna om varje komponent och princip, inklusive förbättringar som de detaljerade fokuspunkterna. Till exempel, även om begreppet att identifiera och reagera på risker fanns i 1992 års ramverk, innehåller 2013 års ramverk mer detaljerade diskussioner om riskbedömningsbegrepp, inklusive sådana som rör inneboende risk, risktolerans, hur risker kan hanteras och kopplingen mellan riskbedömning och kontrollaktiviteter.

Till skillnad från 1992 års ramverk innehåller 2013 års ramverk dessutom uttryckligen begreppet att beakta potentiell risk för bedrägeri när man bedömer riskerna för att uppnå en organisations mål (se princip 8). I 2013 års ramverk förklaras att ”som en del av riskbedömningsprocessen bör organisationen identifiera de olika sätt på vilka bedräglig rapportering kan ske, med beaktande av:

• Management bias, till exempel vid val av redovisningsprinciper
• Grad av uppskattningar och bedömningar i den externa rapporteringen
• Bedrägerisystem och -scenarier som är vanliga i de industrisektorer och på de marknader där företaget är verksamt
• Geografiska regioner där företaget bedriver sin verksamhet
• Incitament som kan motivera ett bedrägligt beteende
• Natur. Teknikens natur och ledningens förmåga att manipulera information
• Ovanliga eller komplexa transaktioner som är föremål för betydande inflytande från ledningens sida
• Sårbarhet för att ledningen kan åsidosätta sina befogenheter och potentiella system för att kringgå befintliga kontrollaktiviteter”

Princip 8 diskuterar också överväganden som rör åsidosättande av ledningen, skydd av tillgångar, incitament och påtryckningar, möjligheter till olämpliga handlingar samt attityder och rationaliseringar som kan rättfärdiga olämpliga handlingar. (Se ytterligare diskussion om princip 8 i bilaga A i Heads Up, volym 20, nummer 17.)

Fortfarande har COSO lagt till överväganden i 2013 års ramverk avseende:

• Användning av outsourcade tjänsteleverantörer (se bilaga B i Heads Up, volym 20, nummer 17).
• Intresse för informationsteknik (se bilaga C i Heads Up, Volume 20, Issue 17).

Tabellen nedan sammanfattar principerna per komponent. Bilaga A kartlägger principerna till de aktuella avsnitten i 1992 års ramverk (i tillämpliga delar) och sammanfattar, på en hög nivå, några av de förbättrade begreppen i 2013 års ramverk.

Kontrollkomponenter och principer

Effektiva system för intern kontroll

I ett effektivt system för intern kontroll enligt 2013 års ramverk:

1. Var och en av de fem komponenterna och relevanta principerna måste finnas och fungera. Enligt 2013 års ramverk:

• Förekomst definieras som ”fastställandet att komponenter och relevanta principer finns i utformningen och genomförandet av systemet för intern kontroll för att uppnå specificerade mål.”
• Fungerande definieras som ”fastställandet att komponenter och relevanta principer fortsätter att existera i utförandet av systemet för intern kontroll för att uppnå specificerade mål.”

2. De fem komponenterna krävs för att fungera tillsammans på ett integrerat sätt. I 2013 års ramverk förklaras att:

• Att fungera tillsammans avser ”fastställandet att alla fem komponenterna tillsammans minskar, till en godtagbar nivå, risken för att ett mål inte uppnås.”
• Ledningen kan visa att komponenterna fungerar tillsammans när 1) ”Komponenterna ”finns och fungerar” och 2) ”Brister i den interna kontrollen aggregerade över komponenterna resulterar inte i fastställandet att det föreligger en eller flera större brister”.”

Redaktörens anmärkning: Enligt SEC:s regler om efterlevnad av avsnitt 404 i SOX måste ”bedömningen av ett företags interna kontroll över den finansiella rapporteringen baseras på förfaranden som är tillräckliga både för att utvärdera dess utformning och för att testa dess operativa effektivitet.”² På samma sätt kräver PCAOB:s revisionsstandard 5³ att revisorn utvärderar utformningen och den operativa effektiviteten av den interna kontrollen över den finansiella rapporteringen. Vi anser att ”närvarande” och ”fungerande” är likvärdiga med ”utformning” respektive ”operativ effektivitet”.

I 2013 års ramverk används begreppen ”brister i den interna kontrollen” och ”större brister” för att beskriva allvarlighetsgrader av brister i den interna kontrollen. Enligt 2013 års ramverk avser en brist i den interna kontrollen en ”brist i en eller flera komponenter och relevanta principer som minskar sannolikheten för att ett företag ska uppnå sina mål”, och en större brist avser en ”brist i den interna kontrollen eller en kombination av brister som allvarligt minskar sannolikheten för att företaget ska kunna uppnå sina mål”. I 2013 års ramverk förklaras vidare att en större brist föreligger när ”en komponent och en eller flera relevanta principer inte finns eller fungerar” eller när ”komponenterna inte fungerar tillsammans”. Om en större brist föreligger kan organisationen dessutom inte dra slutsatsen att den har uppfyllt kraven på ett effektivt system för intern kontroll.

Viktigt nog erkänner 2013 års ramverk att vid utvärdering av brister i den interna kontrollen kan tillsynsmyndigheter, normgivare och andra parter fastställa kriterier för att definiera allvarlighetsgraden av, utvärdera och rapportera brister i den interna kontrollen. För att uppfylla kraven på rapportering av intern kontroll enligt SOX skulle ledningen fortsätta att använda SEC:s terminologi för betydande brister och väsentliga svagheter, och revisorerna skulle fortsätta att använda samma terminologi enligt PCAOB:s standarder. När ett företag utvärderar utformningen och den operativa effektiviteten av sin interna kontroll över extern finansiell rapportering (ICEFR) (dvs, huruvida principerna finns och fungerar) och identifierar en brist, skulle företaget vara skyldigt att använda SEC:s definitioner och vägledning för att bedöma hur allvarlig bristen är, och revisorn skulle vara skyldig att använda definitionerna och vägledningen enligt PCAOB:s standarder.

COSO:s övergångsvägledning och påverkan på andra COSO-dokument

Under den offentliga kommenteringsprocessen för utkastet till 2013 års ramverk begärde olika intressenter att COSO skulle ange ett specifikt datum för när övergången från 1992 års ramverk till 2013 års ramverk skulle vara klar. På grundval av denna feedback har COSO tillhandahållit vissa specifika övergångsdatum och uppmuntrar användarna att ”överföra sina tillämpningar och tillhörande dokumentation till det uppdaterade ramverket så snart som det är genomförbart under deras särskilda omständigheter”. COSO har också förklarat att man ”kommer att fortsätta att göra sitt ursprungliga ramverk tillgängligt under övergångsperioden fram till den 15 december 2014, varefter COSO kommer att betrakta det som ersatt”. Dessutom har SEC:s chefsrevisor Paul Beswick förklarat att ”SEC:s personal planerar att övervaka övergången för emittenter som använder 1992 års ramverk för att utvärdera om och i så fall om några åtgärder från personalens eller kommissionens sida blir nödvändiga eller lämpliga vid någon tidpunkt i framtiden”. Han har vidare förklarat att han för närvarande ”hänvisar användare av COSO:s ramverk helt enkelt till de uttalanden som COSO har gjort om sitt nya ramverk och sina tankar om övergången”.

Under övergångsperioden (14 maj 2013 till och med 15 december 2014) föreslår COSO att alla ”tillämpningar av dess ramverk för intern kontroll – integrerad ramverk som inbegriper extern rapportering klart och tydligt ska redovisa om den ursprungliga eller 2013 års version har använts”. När företagen lämnar sin årliga bedömning av ICEFR i enlighet med SOX skulle det därför vara lämpligt att ange exakt vilket COSO-ramverk de använde vid bedömningen.

Redaktörens anmärkning: I PCAOB:s revisionsstandard 5 står det att ”revisorn bör använda samma lämpliga, erkända kontrollramverk för att utföra sin revision av den interna kontrollen över den finansiella rapporteringen som företagsledningen använder vid den årliga utvärderingen av effektiviteten av företagets interna kontroll över den finansiella rapporteringen”. Som ett resultat av detta kommer tidpunkten för när revisorn gör övergången till 2013 års ramverk för revision av ICEFR att bero på tidpunkten för företagets övergång. Om företaget använder 1992 års ramverk för det kalenderår som slutar den 31 december 2013 skulle revisorn också använda 1992 års ramverk. Vi anser att på ett sätt som överensstämmer med tillvägagångssättet för att offentliggöra det exakta COSO-ramverk som använts i ledningens ICEFR-bedömning, skulle det vara lämpligt att i revisionsberättelsen ange det exakta ramverk som använts.

COSO:s Small Business Guidance kommer att ersättas av ICEFR Compendium efter den 15 december 2014.

COSO:s ramverk för integrerad hantering av företagsrisker (ERM-ramverket) har inte ersatts av 2013 års ramverk. Även om ERM-ramverket och 2013 års ramverk är avsedda att ha olika fokus är de två ramverken utformade för att komplettera varandra. COSO anser att även om ERM-ramverket innehåller delar av texten från 1992 års ramverk, fortsätter ERM-ramverket att vara lämpligt för att utforma, implementera, genomföra och bedöma företagsriskhantering.

COSO:s Guidance on Monitoring Internal Control Systems, som skrevs för att hjälpa organisationer att förstå och tillämpa övervakningsaktiviteter i ett system för intern kontroll, fortsätter också att vara relevant (dvs. det har inte ersatts av 2013 års ramverk). I bilaga F till 2013 års ramverk anges att ”ändringarna av principerna i ramverket inte väsentligt kommer att förändra de tillvägagångssätt som utvecklats för COSO:s Guidance on Monitoring Internal Control Systems.”

Internal Control Over External Financial Reporting

Inverkan av 2013 års ramverk på ledningens bedömning av ICEFR:s effektivitet (dvs. för att uppfylla SOX avsnitt 404) kommer att bero på hur ett företag tillämpade och tolkade begreppen i 1992 års ramverk. Ett befintligt system för intern kontroll kanske till exempel inte tydligt visar eller dokumenterar att alla relevanta principer finns och fungerar. COSO har utvecklat ICEFR Compendium för att hjälpa företag att tillämpa 2013 års ramverk. De tillvägagångssätt som diskuteras i dokumentet beskriver hur organisationer kan tillämpa principerna i sitt system för ICEFR, och dess exempel illustrerar tillämpningen av varje princip. Företag som använder COSO för att rapportera om ICEFR kan överväga:

1. Läsa 2013 års ramverk och identifiera nya begrepp och förändringar.

2. Bedöma sina utbildnings- och fortbildningsbehov.

3. Fastställa hur 2013 års ramverk påverkar utformningen och utvärderingen av ICEFR genom att:

a. Bedömning av hur principerna täcks av befintliga processer och tillhörande kontroller och beaktande av fokuspunkterna.

b. Bedömning av nuvarande processer, aktiviteter och tillgänglig dokumentation i samband med tillämpningen av principerna.

c. Identifiera eventuella luckor i ovanstående.

4. Identifiera de eventuella steg som ska utföras vid övergången till 2013 års ramverk och:

a. Formulera en plan för att slutföra övergången senast den 15 december 2014 (dvs. företag med kalenderårsavslut som uppfyller SOX avsnitt 404 bör göra övergången till 2013 års ramverk för rapporteringsperioder som slutar efter den 31 december 2014).

b. Överväga att använda aktiviteter som utfördes under 2013 (t.ex. genomgångar, testning av relevanta kontroller, utvärdering av brister) för att identifiera nödvändiga förändringar och pilot- eller fälttestning av tillämpningen av 2013 års ramverk.

c. Bekräfta korrekt offentliggörande av det ramverk som används under övergångsperioden och vid den tidpunkt då 2013 års ramverk antas.

5. Samordna och kommunicera internt med alla grupper som ansvarar för att genomföra, övervaka och rapportera om organisationens ICEFR.

6. Diskutera och samordna aktiviteterna med internrevisionen (om tillämpligt) och den externa revisorn.

Illustrativa verktyg

COSO:s Illustrativa verktyg ger exempel på hur ett företag kan tillämpa 2013 års ramverk vid bedömningen av effektiviteten i sitt system för intern kontroll. Dokumentet innehåller illustrativa mallar och innehåller scenarier med exempel på hur olika mallar ska fyllas i. De illustrativa verktygen är dock inte avsedda att:

• tillfredsställa några lagstadgade krav på utvärdering av brister i den interna kontrollen.
• Illustrera ledningens val av kontroller för att verkställa principer eller hantera identifierade risker.
• Illustrera beslut om arten, tidpunkten eller omfattningen av testning av kontroller för att säkerställa ett effektivt system för intern kontroll.

-Producerat av Jennifer Burns och Brent Simer, Deloitte LLP

Endnoter
1. COSO är ett gemensamt initiativ av fem organisationer inom den privata sektorn och har som målsättning att tillhandahålla ett tankeledarskap genom att utveckla ramar och vägledning för hantering av företagsrisker, intern kontroll och bedrägeribekämpning. De fem privata organisationerna är American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants och Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nos. S7-40-02 och S7-06-03 (14 augusti 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.