Kontrolowanie, zarządzanie, mierzenie i zarządzanie procesami biznesowymi ma kluczowe znaczenie dla zachęcania do ciągłego doskonalenia i unikania ryzyka finansowego.
Organizacje stosują również kontrole wewnętrzne, które są metodami stosowanymi przez organizacje w celu zapewnienia bezpieczeństwa przed nieuczciwymi działaniami przy jednoczesnym zapewnieniu sprawnego przebiegu procesów. Jednak gdy te wewnętrzne kontrole zawiodą, mogą zagrozić przedsiębiorstwom.
Według raportu 43% małych organizacji doświadcza oszustw z powodu braku kontroli wewnętrznej, a 20% dużych organizacji doświadcza oszustw z powodu obejścia istniejących kontroli wewnętrznych.
To wtedy Komitet Organizacji Sponsorujących (COSO) organizacji Trendway opracował ramy pomagające firmom kontrolować i zarządzać ich procesami biznesowymi. Ramy te pozwalają organizacjom upewnić się, że ich procesy biznesowe są ze sobą zgodne i kierować nimi w zakresie identyfikacji i ograniczania ryzyka.
Chociaż wdrożenie struktury COSO nie jest obowiązkowe, pomaga organizacjom zachować zgodność ze standardami regulacyjnymi i zapobiegać oszukańczym działaniom, których unikanie w innym przypadku jest trudne, a niepowodzenie może sprawić, że organizacje przeżyją koszmary.
Jeśli więc chcesz zapobiec takim koszmarom, czytaj dalej. Ten blog omawia strukturę COSO, jej zalety oraz sposób, w jaki organizacje mogą jej używać do ograniczania ryzyka.
Spis treści:
Czym są ramy COSO?
Ramy COSO to zestaw wytycznych i zasad, które pomagają organizacjom w kontrolowaniu i zarządzaniu ich procesami biznesowymi.
Komitet COSO stworzył te ramy w 1992 r., kierowany przez radcę prawnego i wiceprezesa wykonawczego Jamesa Treadwaya Jr. wraz z innymi organizacjami sektora prywatnego, w tym:
- Dyrektorzy finansowi International (FEI)
- Amerykańskie Stowarzyszenie Księgowych (AAA)
- Amerykański Instytut Biegłych Księgowych (AICPA)
- Instytut Audytorów Wewnętrznych (IIA)
- Instytut Księgowości Zarządczej (IMA), wcześniej znany jako Krajowe Stowarzyszenie Księgowych Kosztów
W 2013 roku komisja zaktualizowała i stworzyła bardziej nowoczesną wersję frameworka, reprezentowaną przez kostkę COSO, jak pokazano poniżej.
Źródło: info.knowledgeleader.com
Ten trójwymiarowy diagram pokazuje, w jaki sposób różne elementy systemu kontroli wewnętrznej współpracują ze sobą w celu dostosowania procesów biznesowych.
W 2017 r. komisja COSO przedstawiła ramy uzupełniające ramy COSO, aby ułatwić organizacjom ocenę i ustalanie priorytetów ryzyka, wspólnie kształtując wyniki biznesowe i strategie ryzyka.
Zatem zrozumienie ram COSO zapewnia organizacji znaczące korzyści, prowadząc ją w zarządzaniu i skutecznym ustanawianiu kontroli wewnętrznych w całym środowisku biznesowym. Niezawodne procesy kontroli wewnętrznej zapewniają etyczne, przejrzyste i zgodne ze standardami branżowymi operacje biznesowe.
Korzyści z ram COSO
Ustalenie strategii ograniczania ryzyka, która dostosowuje się do zmieniającego się krajobrazu cyberbezpieczeństwa i nowych wyzwań, ma kluczowe znaczenie dla każdej firmy.
Oto, w jaki sposób wdrożenie struktury COSO może pomóc firmom wyprzedzić złośliwe oszustwa oraz chronić ich procesy biznesowe i reputację.
# 1. Ulepszona ocena ryzyka
Nieefektywna kontrola zarządzania jest jedną z głównych przyczyn większości incydentów w miejscu pracy. A te incydenty i ryzyka pojawiające się w jednym obszarze mogą znacząco wpłynąć na inne obszary biznesowe, wpływając na całokształt wyników biznesowych.
Proaktywne wdrażanie ram COSO i skuteczne oceny ryzyka mogą pomóc w identyfikacji, zarządzaniu i zapobieganiu ryzyku i wpływowi na Twoją firmę.
#2. Udoskonalona kontrola wewnętrzna
Ramy COSO zapewniają firmom skuteczniejsze kontrole wewnętrzne w celu ograniczenia ryzyka, umożliwiają bardziej jednolite działanie procesów biznesowych zgodnie z ustalonymi kontrolami wewnętrznymi oraz wykorzystują dane niezbędne do podejmowania rozsądnych decyzji.
#3. Ulepszone wykrywanie oszustw
Struktura COSO poprawia skuteczność wykrywania oszustw i zarządzania ryzykiem, niezależnie od tego, czy hakerzy, cyberprzestępcy, zaufani pracownicy lub klienci penetrują oszukańczą działalność.
Ramy te ułatwiają organizacjom łatwe zapobieganie oszukańczym działaniom poprzez ustanowienie kontroli wewnętrznych w celu wykrywania oszustw i reagowania na te incydenty, gdy tylko wystąpią, w celu ich złagodzenia, zanim wyrządzą jakiekolwiek szkody.
#4. Lepsze zarządzanie
Nadzór nad wynikami biznesowymi i słabe zarządzanie prowadzą do wielu niepowodzeń biznesowych i utraty przychodów. Dlatego podstawowym celem struktury COSO jest wzmocnienie funkcji ładu korporacyjnego firm, która stale monitoruje ryzyko, aby zapewnić przestrzeganie zasad, przepisów i celów.
#5. Zwiększone bezpieczeństwo aplikacji
Poza zagrożeniami związanymi z oszustwami i cyberbezpieczeństwem, organizacje są narażone na ciągłe ataki na aplikacje biznesowe. Ramy COSO oferują wytyczne dla firm i organizacji dotyczące oceny i ulepszania ich środowiska kontroli aplikacji w celu lepszego wykrywania i zapobiegania cyberbezpieczeństwu.
#6. Poprawiona elastyczność
Ramę COSO z łatwością dostosujesz do potrzeb i wymagań swojej organizacji, niezależnie od branży czy wielkości. To czyni go idealnym i wydajnym dla szerokiego zakresu procesów biznesowych.
#7. Stabilna wydajność
Struktura COSO ułatwia przewidywanie ryzyka i wyprzedzanie harmonogramu, ograniczając zmienność wydajności. W rezultacie pomaga organizacjom maksymalizować rentowność i minimalizować zakłócenia, poprawiając w ten sposób odporność biznesową.
#8. Opłacalne
Prawidłowe wdrożenie ram COSO umożliwia organizacjom usprawnienie procesów biznesowych, ustanowienie i wdrożenie skutecznych kontroli wewnętrznych, lepsze ograniczenie ryzyka i zarządzanie kosztami zgodności.
Korzystanie z ram COSO
Organizacje wykorzystują ramy COSO przede wszystkim do projektowania, opracowywania i wdrażania skutecznych kontroli wewnętrznych oraz zwiększania ich ogólnej skuteczności.
Ramy COSO zapewniają organizacjom wytyczne dotyczące wykrywania i ograniczania ryzyka, ustalania jasnych kontroli i celów oraz podejmowania skutecznych decyzji, umożliwiając organizacjom przestrzeganie wymagań etycznych i prawnych, koncentrując się na zarządzaniu ryzykiem i ocenie.
Ramy te są intensywnie wykorzystywane przez firmy księgowe i finansowe oraz organizacje notowane na giełdzie.
Platforma COSO ma rzeczywiste zastosowania i zastosowania biznesowe, w tym:
# 1. Rozszerzanie operacji
Załóżmy, że Twoja organizacja planuje rozszerzyć swoją działalność na nowe miasta lub kraje i musi upewnić się, że rozważyłeś i złagodziłeś wszystkie możliwe zagrożenia, które mogłyby zagrozić Twoim procesom biznesowym. W takim przypadku struktura COSO pomaga to zrobić.
Ramy COSO zapewniają systematyczny sposób identyfikacji, zarządzania i oceny ryzyka oraz opracowywania strategii jego łagodzenia.
#2. Zmiana w strategii
Załóżmy, że Twoja organizacja planuje wprowadzić znaczące zmiany w procesach i operacjach biznesowych, takie jak wprowadzenie nowego produktu lub usługi lub zmiana strategii biznesowej. W takim przypadku użycie struktury COSO może pomóc Twojej firmie.
Może pomóc w planowaniu znaczących zmian biznesowych i skutecznym zarządzaniu nimi, zapewniając sposób na znalezienie potencjalnych zagrożeń związanych ze zmianami i zaprojektowanie planów ich rozwiązania.
#3. Wyprzedź konkurencję
Znalezienie sposobów na wyprzedzenie konkurencji w obliczu wyzwań ze strony rywali lub zauważenia strat biznesowych jest niezbędne do zwiększenia konkurencyjności. Jednym ze sposobów na to jest zrozumienie preferencji i wymagań klienta.
Ramy COSO pomagają organizacjom sprostać temu wyzwaniu i walczyć z nim, oferując ustrukturyzowane podejście do badań rynku i analizy klientów.
Pięć kluczowych elementów ram COSO
Pięć elementów struktury COSO, znanych również jako elementy kontroli wewnętrznej, często określanych jako „CRIME”, co jest skrótem od
- Kontrolować środowisko
- Ocena ryzyka
- Informacja i komunikacja
- Działania monitorujące
- Istniejące działania kontrolne
Przyjrzyjmy się każdemu z tych elementów bardziej szczegółowo.
Kontrolować środowisko
Środowisko kontroli jest fundamentem wszystkich systemów kontroli wewnętrznej, czyli zbiorem procesów, standardów i struktur zapewniających efektywny system kontroli wewnętrznej w całej organizacji.
Składa się z parametrów, takich jak struktura organizacyjna, etyczna wartość zarządzania i delegowana władza.
Solidne środowisko kontroli zaszczepia dyscyplinę w organizacji, zapewnia przestrzeganie zasad i wymagań dotyczących zgodności z przepisami oraz minimalizuje szanse zaangażowania pracowników w oszukańcze działania.
W związku z tym, że oszustwa stają się coraz bardziej powszechne w tym wieku iw korporacyjnym świecie, środowisko kontroli jest jednym z najważniejszych i najbardziej krytycznych elementów struktury COSO.
Ocena i zarządzanie ryzykiem
Ocena ryzyka i zarządzanie ryzykiem, czasami nazywane zarządzaniem ryzykiem korporacyjnym, obejmuje procesy, które pomagają zidentyfikować i ocenić ryzyko, które może zaszkodzić dobremu biznesowi i wpłynąć na jego podstawowe cele.
Ryzyka mogą być wewnętrzne lub zewnętrzne. Podczas gdy ryzyko wewnętrzne obejmuje defraudację i oszustwo, ryzyko zewnętrzne może wynikać ze zmian warunków rynkowych lub klęsk żywiołowych.
Informacja i komunikacja
Systemy informacyjne i komunikacyjne mają kluczowe znaczenie dla sprawnego działania organizacji, zapewniając zgodność komunikacji zewnętrznej i wewnętrznej z wartościami etycznymi, wymogami prawnymi i standardowymi praktykami branżowymi.
Systemy te zapewniają, że odpowiednie informacje są zawsze dostępne dla potrzebujących, a ich komunikacja odbywa się zgodnie z najlepszymi praktykami, aby osiągnąć cele biznesowe.
Komunikacja to ciągły proces powtarzania, uzyskiwania, udostępniania i terminowego dostarczania informacji ze źródeł wewnętrznych i zewnętrznych w całej organizacji, umożliwiający kierownictwu wyższego szczebla skuteczne komunikowanie znaczenia kontroli wewnętrznych.
Działania monitorujące
Kluczowe znaczenie ma regularne monitorowanie wszystkich kontroli wewnętrznych oraz bieżących i oddzielnych ocen, aby zapewnić i zweryfikować ich prawidłowe działanie. Ponadto działania monitorujące pomagają ocenić, czy systemy kontroli wewnętrznej funkcjonują zgodnie z założeniami, umożliwiając organizacjom podejmowanie działań korygujących w razie potrzeby.
Monitorowanie kontroli wewnętrznych umożliwia organizacjom ciągłe identyfikowanie zagrożeń, problemów i słabych punktów w systemach, dzięki czemu można je szybko korygować.
Istniejące działania kontrolne
Czynności kontrolne to procesy, zasady i procedury detektywistyczne i zapobiegawcze, które pomagają ograniczać ryzyko w całej organizacji i zapewniają odpowiednią kontrolę.
Są obecni na wszystkich poziomach organizacji, a ich głównym celem jest zapewnienie, że procesy biznesowe są realizowane w sposób umożliwiający organizacji realizację jej celów bez wprowadzania niepotrzebnego ryzyka w ramach procesów.
Przykłady działań kontrolnych obejmują kontrole fizyczne, takie jak kamery bezpieczeństwa, podział obowiązków i wymagania dotyczące autoryzacji.
Jak wdrożyć ramy COSO?
Oto kroki wdrażania ram COSO w celu opracowania skutecznych systemów kontroli wewnętrznej oraz poprawy zarządzania nimi i ich utrzymania.
# 1. Zrozumienie struktury COSO
Organizacje, które chcą zastosować ramy COSO, muszą wyznaczyć dedykowany zespół, który zrozumie jego konstrukcję i powierzy im odpowiedzialność za jego wdrożenie.
Zespół musi zrozumieć korzyści, zastosowania, zastosowania i zasady ram dla skutecznego systemu kontroli wewnętrznej.
#2. Opracowanie planu
Po właściwym zrozumieniu ram zespół musi opracować plan projektu lub mapę drogową, aby uwzględnić ramowy zakres wdrożenia, interesariuszy, zasoby, strukturę organizacyjną i ramy czasowe.
#3. Ocena implementacji ram
Wdrażanie ram COSO różni się w zależności od firmy, a ocena systemów kontroli wewnętrznej pomoże organizacjom zidentyfikować ryzyko, którym muszą się zająć i złagodzić.
Zespół wdrożeniowy musi zdefiniować jasne cele biznesowe, zbadać i przeanalizować obecny system kontroli wewnętrznej oraz zidentyfikować luki, angażując pracowników niższego szczebla i kierownictwo wyższego szczebla w celu zebrania wielu perspektyw w celu opracowania solidnych systemów kontroli wewnętrznej.
#4. Naprawa rozwiązań
Na tym etapie należy zająć się wszelkimi słabościami i słabymi punktami, które zidentyfikujesz podczas oceny. Ponadto kluczowe znaczenie ma opracowanie rozwiązań w zakresie kontroli wewnętrznej i środków zaradczych w celu wyeliminowania tych niedociągnięć.
Możesz zacząć od rozwiązań naprawczych dla zagrożeń o największym prawdopodobieństwie i powodujących największe szkody o znaczących skutkach, korzystając z najlepszego oprogramowania do zarządzania lukami w zabezpieczeniach, a następnie schodzić w dół.
#5. Testowanie, raportowanie i optymalizacja rozwiązań
Organizacje muszą szczegółowo zaprojektować rozwiązania i przeprowadzić weryfikacje w celu przetestowania i raportowania ich wydajności i skuteczności.
Odpowiedzialni interesariusze muszą być na bieżąco informowani o wynikach testów, aby przekazywać informacje zwrotne i sugestie dotyczące wymiany rozwiązań z lukami i kontrolami uznanymi za nieskuteczne.
Jest to ciągły i powtarzalny proces, w którym bieżące oceny umożliwiają sygnałom wczesnego ostrzegania podejmowanie natychmiastowych działań w związku ze zmianami w środowisku kontroli.
Ograniczenia ram COSO
Chociaż ramy COSO zapewniają organizacjom wiele korzyści, wiążą się również z własnymi wyzwaniami i ograniczeniami, takimi jak:
- Trudność we wdrożeniu: Jednym z największych wyzwań związanych ze strukturą COSO jest to, że jest ona trudna do wdrożenia, zwłaszcza w przypadku organizacji, które wcześniej z nią nie pracowały. Aby odnieść sukces, ramy COSO wymagają oddanego zaangażowania ze strony pracowników i kierownictwa wyższego szczebla.
- Trudne w użyciu: Struktura COSO nie jest łatwa w użyciu i zrozumieniu, ponieważ zawiera kilka żargonów technicznych iw większości przypadków może być trudna do interpretacji, zwłaszcza dla osób niezaznajomionych z najnowszymi technologiami biznesowymi i terminologią.
- Czasochłonne: Zrozumienie i wdrożenie struktury COSO może być czasochłonne, zwłaszcza w większych organizacjach i firmach, ponieważ wymaga dużo planowania i koordynacji między wieloma zespołami i działami.
Ostatnie słowa
Ramy COSO to kompleksowe ramy zarządzania ryzykiem i ograniczania ryzyka, które zapewniają organizacjom i firmom wytyczne dotyczące ulepszania ich systemów kontroli wewnętrznej.
Opiera się na pięciu skorelowanych i kluczowych komponentach, które współpracują ze sobą, aby osiągnąć cele organizacji, pomóc wykrywać oszustwa i unikać ich, chronić aktywa oraz zapewniać zgodność z przepisami prawa i wymogami regulacyjnymi.
Tak więc, jeśli planujesz stworzyć system kontroli wewnętrznej lub szukasz sposobów na ulepszenie istniejącego, wybór i wdrożenie skutecznych ram COSO jest właściwym wyborem.
Następnie zapoznaj się z obszernym przewodnikiem dotyczącym jakości danych.