Temat: Najważniejsze zdanie w COSO

W mojej opinii, czy czytając COSO 2013 czy COSO ERM, jedno zdanie wyróżnia się. To zdanie jest: „Skuteczny system kontroli wewnętrznej zmniejsza do akceptowalnego poziomu ryzyko nie osiągnięcia celu odnoszących się do jednego, dwóch lub wszystkich trzech kategorii”.

Dla mnie to oznacza, że: Zanim można ocenić skuteczności kontroli wewnętrznej, trzeba znać swój cel/cele, ponieważ mówimy o ryzyka dotyczące tych celów – a nie ryzyko wyjęte z kontekstu.
Trzeba znać ryzyka dotyczące tych celów. Musimy wiedzieć, jaki jest akceptowany poziom ryzyka dla każdego celu i musimy być w stanie ocenić, czy kontrole zapewniają wystarczającą pewność, że ryzyka są na dopuszczalnych poziomach

W rzeczywistości każdy, kto czyta COSO 2013 powinien nie mieć żadnej trudności ze znalezieniem to najważniejsze zdanie. Jest ono w rozdziale zatytułowanym "Wymagania dla skutecznej kontroli
wewnętrznej".

Oto jak zaczyna się tej sekcji: Skuteczny system kontroli wewnętrznej daje uzasadnione zapewnienia dotyczące osiągnięcia celów jednostki. Ponieważ kontrola wewnętrzna dotyczy zarówno jednostki i jej podjednostek, skuteczny system kontroli wewnętrznej może odnosić się do określonej części struktury danej organizacji. Skuteczny system kontroli wewnętrznej zmniejsza ryzyko nie osiągnięcia celu odnoszących się do jednego, dwóch lub wszystkich trzech kategorii do akceptowalnego poziomu,.

Skuteczny system kontroli wewnętrznej wymaga, aby:
- Każdy z pięciu elementów kontroli wewnętrznej i odpowiednich zasad są obecne i działają
- 5 elementów działają razem w sposób zintegrowany

Nie ma żadnej wzmianki o spełnianiu wymogu, że "składniki i odpowiednie zasady są obecne i działają" aż do chwili kiedy jest mowa o tym, że ryzyka są na dopuszczalnych poziomach.

Rzućmy okiem na następne zdanie w tym rozdziale: Kiedy poważny niedobór występuje w odniesieniu do obecności i działania elementu lub odpowiedniej zasady, lub pod względem składników działających wspólnie, organizacja nie może stwierdzić, że spełniła wymagania skutecznego systemu kontroli wewnętrznej.

Jeśli spojrzeć na to przez obiektyw ryzyka (COSO), to przekłada się na możliwość oceny kontroli wewnętrznej jako skuteczny, i że elementy i zasady są obecne i że funkcjonują, tak długo, jak nie istnieje w kontroli wewnętrznej wady, która jest oceniana jako "poważna".

Jak COSO ustala, czy wada jest "poważna"? To można znaleźć w rozdziale "Braki w kontroli wewnętrznej" (Deficiencies in Internal Control).

Niedobór kontroli wewnętrznej lub kombinacja braków, które są wystarczająco poważne, aby niekorzystnie wpływały na prawdopodobieństwo, że jednostka może nie osiągnąć swoje cele, jest określane jako "poważny niedobór".

Tłumaczmy to także w ten sposób:
Jeśli prawdopodobieństwo nie osiągnięcia celu jest "poważne", to ryzyko jest poza dopuszczalne poziomy.
Jeśli ryzyko jest poza dopuszczalne poziomy, nie tylko elementy czy zasady nie powinny być oceniane jako obecne i działające, ale sama kontrola wewnętrzna nie może być uznana za skuteczną.

Jeśli chodzi o zgodności z SOX, "poważny niedobór" przekłada się na "istotną słabość . Celem SOX jest raportowanie sprawozdań finansowych do SEC, które są wolne od istotnego błędu lub braków. Dopuszczalny poziom ryzyka jest taki, gdzie prawdopodobieństwo istotnego błędu lub braków jest mniej niż to co jest praktycznie możliwe.

To oznacza, że jeżeli słabości są mniej niż "poważne (lub "istotne" do celów SOX), to wówczas powiązane elementy i zasady mogą być oceniana jako obecne i działające – i kontrola wewnętrzna może być oceniana jako skuteczna.

Tak więc jedynym sposobem, aby ocenić, czy zasady i elementy są obecne i działają jest ocena, czy ryzyka dotyczące celów (po rozważeniu wszelkich nieprawidłowości związanych z kontrolą) jest na dopuszczalnych poziomach.

Ryzyko jest w sednie sprawy. Oceniając obecność elementów czy zasad bez pierw zrozumienia co jest akceptowany poziom ryzyka do celów jest niezrozumieniem COSO!

Dlaczego tak wielu osób są ślepi na to najważniejsze zdanie? Mam teorię: te prezentacje były przygotowywane w oparciu o pierwszy projekt tego tematu a w tym dokumencie brakowało odniesienia do wymogu, że kontrola wewnętrzna jest po to, aby utrzymywać ryzyka na akceptowanych poziomach.

Czy macie lepszą teorię czy wytłumaczenie?Ten post został edytowany przez Autora dnia 15.06.21 o godzinie 15:12