Перечень правовых актов
Указы Президента Российской Федерации
— Указ Президента Российской Федерации № 394 от 21 марта 2007 г. «Об открытом акционерном обществе «Объединенная судостроительная корпорация»
Федеральные законы Российской Федерации
— Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
— Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»
— Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции»
— Федеральный закон от 29.12.2012 № 275-ФЗ «О государственном оборонном заказе»
— Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»
— Федеральный закон от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»
Постановления Правительства Российской Федерации
— Постановление Правительства Российской Федерации от 17.03.2014 № 193 «Об утверждении правил осуществления главными распорядителями (Распорядителями) средств федерального бюджета, главными администраторами (Администраторами) доходов федерального бюджета, главными администраторами (Администраторами) источников финансирования дефицита федерального бюджета внутреннего финансового контроля и внутреннего финансового аудита и о внесении изменения в пункт 1 правил осуществления ведомственного контроля в сфере закупок для обеспечения федеральных нужд, утвержденных постановлением Правительства Российской Федерации от 10.02.2014 № 89»
— Распоряжение Правительства Российской Федерации от 26 апреля 2017 г. № 795-р об утверждении Методических рекомендаций по внедрению внутреннего контроля соблюдения антимонопольного законодательства, законодательства о государственном оборонном заказе и законодательства, регулирующего закупочную деятельность
— Международные стандарты аудита (МСА), утвержденные Приказом Минфина России от 09.01.2019 № 2н
Ведомственные акты
— Кодекс корпоративного управления Российской Федерации (Письмо Банка России от 10 апреля 2014 г. № 06-52/2463 «О Кодексе корпоративного управления»);
— Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»;
— Приказ ФСФР России от 30.07.2013 № 13-62/пз-н «О порядке допуска ценных бумаг к организованным торгам»;
— Рекомендации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» (письмо Минфина РФ от 26.12.2013 N 07-04-15/57289);
— Приказ Росимущества от 20.03.2014 № 86 «Об утверждении Методических рекомендаций по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации);
— Приказ Росимущества от 04.07.2014 № 249 «Об утверждении Методических рекомендаций по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации;
— Методические указания по подготовке Положения о системе управления рисками (Росимущество, 2015 г.)
Стандарты и международные документы
— Международный стандарт ГОСТ Р ИСО 73:2009 «Менеджмент риска. Термины и определения»;
— Международный стандарт ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» (Приказ Росстандарта от 21.12.2010 N 883-ст);
— Международный стандарт ГОСТ Р ИСО 31010:2011 «Менеджмент риска. Методы оценки риска» (Приказ Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 680-ст);
— Стандарты управления рисками Федерации Европейских Ассоциаций Риск Менеджеров (FERMA);
— Документ (концепция) COSO «Управление рисками организаций. Интегрированная модель» (2004 г.);
— Документ (концепция) COSO «Руководство по мониторингу системы внутреннего контроля» (2009);
— Документ (концепция) COSO «Интегрированная концепция внутреннего контроля» (2013 г.);
— Международные основы профессиональной практики внутренних аудиторов, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита)
Локальные документы АО «ОСК»
— Устав АО «Объединенная судостроительная корпорация», утвержден Распоряжением Росимущества от 17.12.2018 г., № 878-р
— Порядок внутреннего контроля соблюдения требований сводного законодательства в АО «ОСК» и Приложение № 1
— Политика управления рисками и внутреннего контроля АО «ОСК»
Обратная связь:
Информационная линия risk@aoosk.ru .
Для почтовых отправлений:
115184, Россия, Москва, ул. Большая Татарская, д. 11, корп. В, Служба внутреннего контроля и управления рисками АО «ОСК».
Дополнительные материалы
— Росимущество создало проект Методических рекомендаций по подготовке положения о Системе внутреннего контроля
— В чем основные отличия функционала службы внутреннего контроля и службы внутреннего аудита?
— Методические рекомендации по организации управления рисками и внутреннего контроля в области предупреждения и противодействия коррупции в акционерных обществах с участием Российской Федерации утвержденые Приказом Росимущества №80 от 02.03.2016
Документы необходимые для формирования СВК и УР
— Информация Минфина России N ПЗ-11 2013 Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни
— Методические рекомендации Росимущества по подготовке Положения о системе управления рисками
— Перечень поручений Председателья Правительства РФ по вопросу совершенствования системы государственного контроля
— Презентация «Линии защиты» в системе внутреннего контроля и управления рисками
— Профессиональный стандарт специалиста по внутреннему контролю
— Профессиональный стандарт специалиста по управлению рисками
The Committee of Sponsoring Organizations of the Treadway Commission (COSO) is an organization that develops guidelines for businesses to evaluate internal controls, risk management, and fraud deterrence. In 1992 (and subsequently re-released in 2013), COSO published the Internal Control – Integrated Framework, commonly used by businesses in the United States to design, implement, and conduct systems of internal control over financial reporting and assessing their effectiveness.
History[edit]
In 1985, COSO began as a private sector initiative to investigate the causal factors that lead to fraudulent financial reporting as a result of a number of accounting scandals in the 1970s and mid-1980s. This initiative was termed the National Commission on Fraudulent Financial Reporting; the first president of the Commission was James C. Treadway, Jr., a former Commissioner of the US Securities and Exchange Commission, and therefore the initiative was commonly called the «Treadway Commission». The Treadway Commission was sponsored jointly by five major professional associations based in the United States:
- American Institute of Certified Public Accountants (AICPA)
- Financial Executives International (FEI)
- American Accounting Association (AAA)
- Institute of Internal Auditors (IIA)
- Institute of Management Accountants (IMA)
COSO first examined financial reporting from October 1985 to September 1987, releasing «Report of the National Commission on Fraudulent Financial Information».[1] The report included observations on the extent of fraudulent financial reporting, the root causes of such fraud, the role of independent public accountants in detecting fraud, and the steps companies could take to prevent fraudulent activity.
As an extension of the original report and to fulfill its mission of improving financial reporting, COSO prepared a set of guidelines for managing a system of internal controls over financial reporting. In 1992, COSO published «Internal Control – Integrated Framework»[2] which detailed five key components of an effective internal control system, along with tools to evaluate the effectiveness of such a system. In 2013, COSO re-released the Integrated Framework, stating that significant changes in technology and global business trends increased the need for quality systems of internal control, and provided enhanced guidance for the application of the overall principles.[3]
As part of the changes of the Sarbanes-Oxley Act of 2002, public companies in the United States are required to use a system of internal controls in order to evaluate the effectiveness of their own financial reporting, and to report on the results of that evaluation to their investors in their annual financial statements.[4] The COSO framework is commonly used, given its broad applicability to all industries and enterprise sizes.
Internal Control – Integrated Framework [edit]
Key concepts of the COSO framework[edit]
The COSO framework defines internal control as a process, carried out by the board of directors, the administration and other personnel of an entity, designed to provide «reasonable security» with respect to the achievement of objectives in operations, financial reporting, and compliance with applicable laws and regulations.
COSO organizes its framework into five interrelated components, subdivided in 17 principles. COSO notes that in order for an effective system of internal control to reduce the risk of not achieving an entity’s objectives, (i) each of the five components of internal control and relevant principles is present and functioning, and (ii) the five components are operating together in an integrated manner.
Control environment[edit]
The control environment sets the tone of an organization, influencing the control consciousness of its people. It is the basis of all other components of internal control, providing discipline and structure. Factors in the control environment include integrity, ethical values, the operational style of administration, the delegation of authority systems, as well as the processes for managing and developing people in the organization.
Risk assessment[edit]
Each entity faces a variety of risks from external and internal sources that must be assessed. A prerequisite for risk assessment is the establishment of objectives and, therefore, risk assessment is the identification and analysis of risks relevant to the achievement of the assigned objectives. Risk assessment is a prerequisite for determining how risks should be managed. The four underlying principles related to risk assessment are that the organization should have clear objectives in order to be able to identify and assess the risks relating to those objectives; should determine how the risks should be managed; should consider the potential for fraudulent behavior; and should monitor changes that could impact internal controls.
Control activities[edit]
Control activities are the policies and procedures that help ensure that management directives are carried out. They help to ensure that the necessary measures are taken to address the risks that may hinder the achievement of the entity’s objectives. Control activities occur throughout the organization, at all levels and in all functions. They include a range of activities as diverse as approvals, authorizations, verifications, reconciliations, operational performance reviews, asset safety and segregation of functions.
Information and communication[edit]
Information systems play a key role in internal control systems, as they produce reports, including operational, financial and compliance-related information, which make the operation and control of the business possible . In a broader sense, effective communication must ensure information flows down, across and up the organization. An example is the formalized procedures for individuals to report suspected fraud. Effective communication with external parties, such as customers, suppliers, regulators and shareholders on related political positions, must also be guaranteed.
Monitoring[edit]
Internal control systems must be monitored, a process that evaluates the quality of system performance over time. This is achieved through continuous monitoring activities or separate evaluations. Internal control deficiencies detected through these monitoring activities must be reported upstream and corrective measures must be taken to ensure continuous improvement of the system.
Limitations[edit]
Internal control involves human action, which introduces the possibility of errors in prosecution or trial. Internal control can also be overridden by collusion among employees (see separation of duties) or coercion by senior management.
The magazine CFO reported that companies are struggling to apply the complex model provided by COSO. «One of the biggest problems: limiting internal audits to one of the three key objectives of the framework. In the COSO model, these objectives apply to five key components (control environment, risk assessment, control activities, information and communication , and monitoring «Given the number of possible matrices, it is not surprising that the number of audits can get out of control.»[5] CFO magazine continued to state that many organizations are creating their own risk and control matrix by taking the COSO model and modifying it to focus on the components that relate directly to Section 404 of the Sarbanes-Oxley Act.
Business Risk Management [edit]
In 2001, COSO initiated a project and hired PricewaterhouseCoopers to develop a framework that administrations could easily use to evaluate and improve the business risk management of their organizations. High-profile commercial scandals and failures (e.g., Enron, Tyco International, Adelphia, Peregrine Systems and WorldCom) prompted calls to improve corporate governance and risk management. As a result, Sarbanes-Oxley Act was enacted. This law extends the long-standing requirement for public companies to maintain internal control systems, which requires management to certify and the independent auditor to certify the effectiveness of those systems. The Internal Control – Integrated Framework continues to serve as the widely accepted standard[citation needed] to meet those reporting requirements; however, in 2004 COSO published «Enterprise Risk Management – Integrated Framework.»[6] COSO believes that this framework is expanded in internal control, providing a more robust and extensive approach to the broader issue of business risk management.
Four categories of business objectives[edit]
This business risk management framework is still aimed at achieving the objectives of an entity; However, the framework now includes four categories:
- Strategic: high-level objectives, policy alignment and supporting their mission.
- Operations: effective and efficient use of resources.
- Reports: reliability of reports
- Compliance: compliance with applicable laws and regulations
Eight frame components[edit]
The eight components of business risk management encompass the five previous components of the Integrated Internal Control Framework while expanding the model to meet the growing demand for risk management:
‘Internal environment’: The internal environment encompasses the tone of an organization and establishes the basis of how risk is seen and addressed by the persons of an entity, including the risk management philosophy and risk appetite, integrity and ethical values, and the environment in which they operate.
‘Setting objectives’: The objectives must exist before management can identify potential events that affect its achievement. Business risk management ensures that management has implemented a process to establish objectives and that the chosen objectives support and align with the mission of the entity and are consistent with its appetite for risk.
‘Event identification’: Internal and external events that affect the achievement of the objectives of an entity must be identified, distinguishing between risks and opportunities. The opportunities are re-channeled into management strategy or goal-setting processes.
‘Risk assessment’: The risks are analyzed, considering the probability and impact, as a basis for determining how they should be managed. The risks are inherently and residually assessed.
‘Risk response:’ Management selects risk responses, avoiding, accepting, reducing or sharing risk, developing a set of actions to align risks with the entity’s risk appetite and risk appetite.
‘Control activities:’ Policies and procedures are established and implemented to help ensure that risk responses are carried out effectively.
‘Information and communication:’ The relevant information is identified, captured and communicated in a way and time frame that allow people to fulfill their responsibilities. Effective communication also occurs in a broader sense, flowing down, through and up the entity.
‘Monitoring:’ The entire business risk management is monitored and modifications are made as necessary. Monitoring is achieved through ongoing management activities, separate evaluations or both.
COSO believes that Enterprise Risk Management – Integrated Framework provides a clearly defined interrelation between the components and risk management objectives of an organization that will satisfy the need to comply with the new laws, regulations and standards of listing and waiting that companies accept it widely. and other organizations and stakeholders.
Limitations[edit]
COSO admits in its report that, although business risk management provides significant benefits, there are limitations. Business risk management depends on human judgment and, therefore, is susceptible to decision making. Human failures, such as simple errors or errors, can lead to inadequate risk responses. In addition, controls can be avoided by collusion of two or more people, and management has the ability to override business risk management decisions. These limitations prevent a board and management from having absolute security regarding the achievement of the entity’s objectives.
Philosophically, COSO is more oriented towards controls. Therefore, it has a bias towards risks that could have a negative impact instead of the risks of missing opportunities. See ISO 31000.
While COSO states that its expanded model provides more risk management, companies are not required to change to the new model if they are using the Integrated Internal Control Framework.
Internal control over financial information – Guidance for small public companies[edit]
This document contains guidance to help smaller public companies to apply the concepts of 1992 Internal Control – Integrated Framework. This publication shows the applicability of these concepts to help smaller public companies design and implement internal controls to support the achievement of financial information objectives. It highlights 20 key principles of the 1992 framework, providing a principles-based approach to internal control. As explained in the publication, the 2006 guideline applies to entities of all sizes and types.[7]
Guidance on monitoring internal control systems[edit]
Companies have invested heavily in improving the quality of their internal controls; However, COSO noted that many organizations do not fully understand the importance of the monitoring component of the COSO framework and the role it plays in streamlining the evaluation process. In January 2009, COSO published its «Guidance on the monitoring of internal control systems» to clarify the internal control monitoring component.
Over time, effective monitoring can lead to organizational efficiencies and reduced costs associated with public information about internal control because problems are identified and addressed proactively, rather than reactively.
The COSO Monitoring Guide is based on two fundamental principles originally established in the 2006 COSO Guide:
- Continuous and / or separate evaluations allow management to determine if the other components of internal control continue to function over time, and
- Internal control deficiencies are identified and communicated in a timely manner to the parties responsible for taking corrective measures and to management and the board, as appropriate.
The monitoring guide also suggests that these principles are best achieved through monitoring based on three general elements:
- Establish a basis for monitoring, including (a) an appropriate top tone; (b) an effective organizational structure that assigns monitoring roles to people with appropriate capacities, objectivity and authority; and (c) a starting point or «baseline» of known effective internal control from which continuous monitoring and separate evaluations can be implemented;
- Design and execute monitoring procedures focused on «persuasive information» on the operation of «key controls» that address «significant risks» for organizational objectives;
- Evaluate and report the results, including assessing the severity of any identified deficiencies and reporting the results of monitoring to appropriate staff and the board for timely action and follow-up if necessary.
Role of the internal audit[edit]
Internal auditors play an important role in assessing the effectiveness of control systems. As an independent function that informs senior management, internal audit can evaluate the internal control systems implemented by the organization and contribute to continued effectiveness. As such, internal auditing often plays an important «monitoring» role. To preserve its independence of judgment, the internal audit should not assume any direct responsibility in the design, establishment or maintenance of the controls that it is supposed to evaluate. Internal audit may only advise on possible improvements to be made.
Role of the external audit[edit]
Under Section 404 of the Sarbanes-Oxley Act, management and external auditors must report on the adequacy of the company’s internal control over financial information. The Public Company Accounting Oversight Board, formed to oversee the external audit profession, published Auditing Standard 2201 which requires that auditors «use the same appropriate and recognized control framework to conduct their internal control audit on the financial information that management uses to its annual evaluation of the effectiveness of the company’s internal control over financial information.»[8] Section 143 (3) (i) of the Indian Companies Act, 2013 also requires legal auditors to comment on internal control over financial information.
See also[edit]
- Maiden Lane II LLC
References[edit]
- ^ «Report of the National Commission on Fraudulent Financial Reporting». Docslib. Retrieved 2022-10-12.
- ^ «Internal control – Integrated framework». Archived from the original on 2009-02-28. Retrieved 2009-04-21.
- ^ «COSO FAQs May 2013» (PDF). COSO.org. Retrieved 12 October 2022.
- ^ «Final Rule: Management’s Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports; Rel. No. 33-8238». www.sec.gov. Retrieved 2022-10-12.
- ^ «CFO: Corporate Finance for Executive Leadership». CFO. Retrieved March 23, 2011.
- ^ «Enterprise Risk Management – Integrated Framework», accessed March 23, 2011.
- ^ www.coso.org http://www.coso.org/IC.htm. Retrieved December 28, 2012. [dead link]
- ^ «Welcome to the US Petabox». Archived from the original (PDF) on 2007-10-07. Retrieved 2009-04-21., (AS No. 5.5), retrieved on March 23, 2011.
External links[edit]
- Official website
- www.cpa2biz.com/COSOEvalTools, COSO evaluation template.
Created by
maulismeddnecz1985
———————————————————
>>> СКАЧАТЬ ФАЙЛ <<<
———————————————————
Проверено, вирусов нет!
———————————————————
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Комитет организаций-спонсоров Комиссии Тредвея (англ. The Committee of Sponsoring. COSO разработал общую модель внутреннего контроля, в сравнении с. Были названы и другие концепции, используемые респондентами. COSO опубликовала руководство по мониторингу системы внутреннего. своих систем внутреннего контроля. Концепция внутреннего контроля COSO определяет внутренний контроль. управлению, используемые руководством, и должны. Мониторинг. Весь процесс управления рисками организа-. Внутренний контроль – интегрированная модель (COSO), 1992г. Руководство Turnbull по созданию системы внутреннего контроля. Мониторинг. Элементы внутреннего контроля согласно системе COSO включают (табл. 5) мониторинг и исправление ошибок. и руководства относительно системы внутреннего контроля организации, а также. №1; Янова Я.Ю. Концепция ориентированного на риск внутреннего контроля — идеал. документ «Концептуальные основы внутреннего контроля» для помощи предприятиям и. систем внутреннего контроля, возлагая обязанность на руководство. Мониторинг. Весь процесс управления рисками организации. внутреннего контроля в кредитных организациях и банковских группах»;. Документ (концепция) COSO «Руководство по мониторингу системы. Компоненты и принципы системы внутреннего контроля. 10 Документ ( концепция) COSO «Руководство по мониторингу системы. Если система внутреннего контроля выявляет слабые места, система. по развитию концепций COSO, разработанных в США Комитетом. в сделку, необходим постоянный мониторинг рынка клиента, его. 2) В процесс вовлечены все уровни руководства и все подразделения компании. Ключевые слова: контроль; концепция внутреннего контроля;. ности руководства организации за его состояние. него аудита – органа, осуществляющего мониторинг. тов в применении концепции COSO стал Базельский. Современная концепция внутреннего контроля (COSO, 2013). Определение. текущий и периодический мониторинг; самооценка системы внутреннего контроля. На карте · Описание и фотографии учебного центра. Цели и задачи системы внутреннего контроля. Документ (концепция) COSO «Руководство по мониторингу системы внутреннего контроля» (2009). Система управления рисками и внутреннего контроля. «Интегрированная концепция построения системы внутреннего контроля» COSO. в разработке и мониторинге исполнения процедур и мероприятий по. Политика внутреннего контроля ПАО «МОЭСК» (новая редакция) стр. Концепция COSO «Руководство по мониторингу системы. Об организации внутреннего контроля в банках принципиально новым документом. Поэтому должен также существовать процесс мониторинга изменений, который. функционирование системы внутреннего контроля несет руководство. концепции внутреннего контроля, близкой к модели COSO. Доклад SAC дает определение системы внутреннего контроля. Доклад COSO включает руководство к оценке каждого из этих факторов. Мониторинг. В отличие от документов COBIT, COSO и SAS 55/78. Общие принципы построения систем внутреннего контроля и управления. Обязанности высшего и исполнительного руководства. Концепция моделирования. Мониторинг (Monitoring) – оценка качества работы и эффективности. и компонентов внутреннего контроля и управления рисками (COSO);. России №12-32/пз-н от 24.05.2012 г., система внутреннего контроля состоит только из контролера. является вовлеченность во внутренний контроль всего персонала и руководства организации, что. Процедуры мониторинга. (2) Фундаментальной концепцией COSO является корпоративная культура.
Comments ()
You can clone a snippet to your computer for local editing.
Learn more.
На чтение 7 мин Просмотров 24.1к.
Модель COSO внутреннего контроля представляет собой методику управления компанией, направленную на обеспечение эффективности и продуктивности деятельности, правильное составление финансовой отчетности и соблюдение законодательных норм.
Содержание
- Понятие модель COSO внутреннего контроля
- Принципы модели COSO
- Смысловая база координации рисков
- Компоненты модели COSO внутреннего управления
- Внутренняя среда
- Постановка целей
- Определение событий
- Оценка рисков
- Реагирование на риск
- Средства контроля
- Информация и коммуникация
- Мониторинг
- Заключение
Понятие модель COSO внутреннего контроля
Модель COSO была разработана в 1992 году комитетом организаций спонсоров Комиссии Тредвея. Свое название она получила по первым буквам автора (The Committee Of Sponsoring Organizations). Сам комитет организаций был учрежден еще в 1985 году. Совместно с комиссией по вопросам мошенничества в финансовой отчетности они создали модель внутреннего управления.
Модель COSO предполагает осуществление контроля со стороны руководства предприятия, его заместителей, главных менеджеров и работников других подразделений. Целью управления является:
- обеспечение эффективности и продуктивности деятельности компании;
- гарантия формирования достоверной отчетности;
- соблюдение норм действующего законодательства.
Если говорить простым языком, каждый управленец должен следить за тем, насколько хорошо выполняется работа, правильно ли составляется отчетность, и не нарушают ли работники или компания в целом нормы действующего законодательства.
Принципы модели COSO
Модель COSO – это не цель, а инструмент для ее достижения. Сам по себе контроль является многомерным, хорошо распланированным процессом. Он не может существовать сам по себе и находится в прямой зависимости от человеческого фактора. То есть, без людей невозможно реализовать модель COSO. Причем успех управления заключается в многоуровневом контроле — от руководства до простого рабочего.
Важно! Главными принципами модели COSO являются оценка риска и управление им. То есть, для успешного функционирования компании нужно заранее просчитать, в чем заключается главная опасность, и постараться повлиять на нее.
В любом случае, модель COSO внутреннего контроля не сможет на все 100% дать гарантию успеха, но в несколько раз повышает уверенность руководства.
Смысловая база координации рисков
В 2001 году COSO поручила создать новый проект, направленный на координацию рисков. Именно он вошел в основу закона Сарбейнса-Оксли. Если говорить простым языком, данная программа предусматривает многократное ужесточение ответственности руководителей за предоставление искаженной финансовой отчетности. Согласно ей, теперь главные управленцы фирмы обязаны поддерживать внутренний контроль. Надо отметить, что до введения новых правил данная ответственность ложилась на внешних аудиторов.
Модель COSO принято изображать в виде куба, каждая из осей которого описывает свои функции. На первой, передней, оси отражены элементы контроля. На второй, боковой – уровни руководства. Третью можно найти на макушке куба, на ней располагаются цели управления.
Компоненты модели COSO внутреннего управления
Модель COSO включает в себя 8 компонентов. Они расположены на первой, лицевой оси Магического куба. Именно ими обязаны заниматься управленцы всех уровней.
Внутренняя среда
Внутренняя среда говорит о настроении внутри компании. То есть, каким образом построен контроль, и насколько ответственно все сотрудники фирмы подходят к рискам. Согласно модели COSO, в компании должен быть высоко развит корпоративный дух. Каждый работник заинтересован в успешном функционировании фирмы и считает себя ответственным за происходящее.
Например, на складе предприятия работник увидел дыру, через которую могут пролезть воры, и похитить ценности компании. Простой сотрудник не отвечает за это, поэтому может просто пройти мимо и не обратить внимания на данный факт. Но работник компании, воспитанный по модели COSO, обязательно сообщит об инциденте руководству и предпримет попытки к исправлению ситуации.
Internal environment (или по-другому, внутренняя среда) включает в себя:
- смысловую базу координации рисками;
- риск-аппетит;
- внутренние ценности человека, в том числе и честность;
- компетенцию работников всех уровней;
- управленческую структуру, а также делегирование полномочий;
- равномерное распределение ответственности;
- нормы управления сотрудниками.
Именно на этих принципах должна держаться внутренняя среда корпорации, воспитанная по модели COSO.
Постановка целей
Цели в обязательном порядке устанавливают до нахождения событий, влияющих на достижение задачи. В узком представлении данного компонента модели COSO можно сказать, что управленцы должны наладить процесс таким образом, чтобы все свершаемые события были запланированными. Только тогда координация считается эффективной. У руководства должны быть гарантии хорошей организации процесса деятельности компании, а цели должны соответствовать назначению предприятия и уроню объема рисков.
Определение событий
Любые события так или иначе влияют на конченый итог деятельности предприятия. Руководство обязано разработать такую стратегию развития фирмы, чтобы предугадать, какие явления могут повлиять на достижение целей.
Условно события делят на две группы: риск и возможности. Первый управленцы должны оценить и повлиять на них, пытаясь предотвратить. Возможности нужно использовать по максимуму. Желательно их учитывать еще на этапе разработки стратегии развития фирмы, а также в процессе постановки целей.
Оценка рисков
Руководство обязано оценить риски до их возникновения. Кроме того, нужно понять, насколько вероятно их появление, а также в какой степени они повлияют на достижение целей. На этом же этапе необходимо определить порядок действий для устранения рисков или снижения их влияния.
Риски также оцениваются по присущему и остаточному принципу. В первом случае негативный инцидент уже случился и нужно срочно предпринимать меры по его устранению. Во втором – руководство оказало влияние на риски, но не до конца.
Для правильной оценки рисков, нужно определиться с его источниками. Их группируют по признаку возникновения:
| Источник возникновения риска | Риск | Описание риска |
| Внутренний (внутри компании) | Работники | Человеку свойственно ошибаться, поэтому некоторые его решения, действия или, наоборот, бездействие могут привести к возникновению рисков. |
| Оборудование | Техника всегда может сломаться, дать временный сбой. | |
| Неправильно расставленные приоритеты и цели | Такое случается от неправильной работы стратегического или управленческого отдела. Данный источник риска напрямую связан с человеческим фактором. | |
| Внешние (независящие от компании) | Человеческий фактор | Риски могут возникнуть из-за плохо налаженной работы с поставщиками, из-за отказа покупателя приобретать товары или из-за усовершенствования работы конкурентами. |
| Законодательство | За нарушение законодательства компания понесет ответственность. Ситуация усугубляется недобросовестным изучением действующих норм. | |
| Внешнеполитическая ситуация | Риски компании могут возникнуть по политическим соображениям. Например, ввод санкций может приостановить сотрудничество между двумя странами. | |
| Мнение людей, навязанное общественное мнение | Если один человек отказывается от приобретения товаров компании — ничего страшного, но если этого мнения придерживается огромная часть населения, в таком случае фирма уже рискует прекратить деятельность. | |
| Экономическая ситуация в стране | К примеру, обесценивание национальной валюты и рост зарубежной может привести к удорожанию продукции, что, в свою очередь, повлияет на спрос. | |
| Природные | Стихийные бедствия | Это маловероятные явления, однако, от их возникновения никто не застрахован. |
| Обыденные природные явления (снег, дождь, гроза, молния и др.) |
Реагирование на риск
После проведения оценки рисков руководство обязано отреагировать на них. Различают несколько типов поведения управленцев, выбор которых напрямую зависит от влияния негативных инцидентов на конечную цель:
- Уклонение. В таком случае руководство либо пытается закрыть глаза на возникновение негативного явления, либо риск незначительный, а для его устранения потребуется гораздо больше ресурсов, несоизмеримых с его последствиями.
- Принятие. После возникновения и оценки риска, руководство смиряется с ним. Ни в коем случае нельзя отрицать его существование.
- Сокращение. Управленцы обязаны повлиять на негативный инцидент и попытаться сократить его. Если же не получается, тогда рекомендуется провести перераспределение.
Таким образом, руководство обязано отреагировать на риск путем разработки мероприятий, направленных на его устранение, перераспределение или сокращение.
Средства контроля
Руководство обязано наладить управленческий контроль таким образом, чтобы предотвратить появление рисков. Для этого важно разработать порядок действий:
- понятное распределение ответственности;
- контроль над системным и физическим доступом;
- надзор;
- все транзакции регистрируются и авторизуются;
- все действия, происходящие в компании, документируются;
- постоянное обучение работников фирмы;
- распределение обязанностей;
- регулярное проведение анализа финансово-хозяйственной деятельности.
Таким образом, чтобы наладить управленческий контроль, нужно разработать план адекватных и вполне понятных действий.
Информация и коммуникация
Рабочий процесс должен быть организован таким образом, чтобы сотрудники всех уровней вовремя получали информацию, чего можно добиться путем налаживания коммуникации. То есть, у работников должно быть время для того, чтобы довести сведения до ответственных специалистов, а вторым должно его хватить для должного реагирования.
Мониторинг
Деятельность компании должна постоянно отслеживаться. То есть, руководство регулярно наблюдает за происходящим внутри и за пределами фирмы, а в случае необходимости — меняет тактику управления.
Заключение
Таким образом, в компании, воспитанной по модели COSO, большое предпочтение отдается внутренней среде и атмосфере, царящей в кругу персонала. Вся модель построена на мониторинге. То есть, фундаментально важно отслеживать происходящее в компании. Именно исходя из наблюдений ставятся цели и задачи, оцениваются риски, и разрабатываются мероприятия по их устранению.