COSO je úložiště vnitřní kontroly definované Výborem sponzorování organizací Treadway komise . Používá se zejména v rámci implementace ustanovení týkajících se zákonů Sarbanes-Oxley , SOX nebo zákona o finančním zabezpečení , LSF, pro společnosti, na které se vztahují americké nebo francouzské zákony. Počáteční úložiště s názvem COSO 1 se od roku 2002 vyvinulo do druhého korpusu s názvem COSO 2 .
COSO je zkratka pro Výbor sponzorských organizací Komise pro Treadway, nezisková komise, která v roce 1992 zavedla standardní definici vnitřní kontroly a vytvořila rámec pro hodnocení její účinnosti. Rozšířením se tento standard nazývá také COSO.
V roce 2002 americký kongres v reakci na finanční a účetní skandály ( Enron , Worldcom …) vyhlásil zákon Sarbanes-Oxley (zákon Sarbanes-Oxley Act nebo SOX ). Tento zákon vyžaduje, aby společnosti nabízející veřejné služby posoudily jejich vnitřní kontrolu a zveřejnily svá zjištění v prohlášeních požadovaných Komisí pro cenné papíry (SEC). Zákon SOX navíc vyžadoval použití koncepčního rámce a podpořil přijetí COSO jako měřítka. Ve Francii k jeho šíření přispěl také zákon o finančním zabezpečení (známý jako zákon o LSF), který byl vyhlášen krátce po roce 2003.
Standard COSO je založen na následujících základních principech:
Rámec COSO je založen na koncepcích cílů a komponent.
Tři cíleStandard COSO definuje vnitřní kontrolu jako proces implementovaný manažery na všech úrovních společnosti a zamýšlený poskytnout přiměřenou jistotu ohledně dosažení následujících tří cílů :
Je třeba poznamenat, že tyto cíle do značné míry odpovídají obavám investorů.
Těchto pět komponentInterní kontrola, jak ji definuje COSO, má pět složek. Tyto komponenty poskytují rámec pro popis a analýzu vnitřní kontroly implementované v organizaci. To je :
Po cílech a složkách ukládá COSO rozlišovat struktury společnosti (společnosti, subjekty, funkce atd.).
Kombinace tří cílů, pěti složek a struktur společnosti, považovaných za tři odlišné osy analýzy, tvoří to, co se nazývá kostka COSO.
COSO 2, „Enterprise Risk Management Framework“, je dnes referenčním rámcem pro řízení rizik. Cílem této kapitoly je poskytnout shrnutí, zejména založením na koncepcích vyvinutých v COSO 1, „Interní kontrola - integrovaný rámec“.
Připomínáme, že COSO 1 navrhuje referenční rámec pro správu vnitřní kontroly. Interní kontrola je proces prováděný představenstvem, úředníky a zaměstnanci organizace, jehož cílem je poskytnout přiměřenou jistotu, že je dosaženo následujících cílů:
COSO 2 nabízí referenční rámec pro řízení podnikových rizik (Enterprise Risk Management Framework). Řízení obchodních rizik je proces implementovaný představenstvem, manažery a zaměstnanci organizace, který se používá pro rozvoj strategie a je příčný pro společnost a jehož cílem je
Zdá se, že COSO 2 zahrnuje prvky COSO 1 prostřednictvím třetího bodu a doplňuje je o koncepci řízení rizik. COSO 2 je založeno na vizi společnosti zaměřené na rizika.
Pojem „Riziková chuť k jídlu“ je v COSO 2 nový. „Riziková chuť k jídlu“ je míra podstupování rizika přijatá organizací za účelem zvýšení jeho hodnoty. Různé strategie vystaví organizaci různým rizikům. V důsledku toho musí být při definování strategie organizace zohledněn „Chuť k riziku“, aby bylo zajištěno, že výsledky této strategie jsou v souladu s „Chuť k riziku“ definovanou pro organizaci.
Model krychle a jeho tříplošná architektura jsou zachovány:
Na druhou stranu jsou různé plány upraveny nebo obohaceny.
1. Osa „Úrovně organizace“
2. Osa „Cíle“
3. Osa „Ovládací prvky“
Vylepšení osy „ovládacích prvků“, která se stává „prvky řízení rizik“ a která se pohybuje od pěti do osmi prvků:
COSO 2 platí pro celou společnost, a to jak na nejvyšší úrovni („entita“), tak na provozní úrovni („obchodní jednotka“). Abyste však mohli aplikaci COSO 2 úspěšně použít, musíte vzít v úvahu celý rozsah činností organizace. COSO 2 zvažuje aktivity na různých úrovních organizace:
Ve srovnání s COSO 1 poskytuje COSO 2:
Organizace je požádána, aby měla vizi svých rizik ve formě portfolia. Toto portfolio musí charakterizovat rizika na každé úrovni organizace. Sestavení portfolia proto umožňuje mít globální vizi rizik organizace. Tuto vizi lze poté porovnat s „rizikovým apetitem“ definovaným pro organizaci.
Sestavení portfolia rizik navíc umožňuje správu:
Příspěvek nového cíle: „strategického“.
Strategický cíl je cíl „na vysoké úrovni“, který podporuje a přispívá k poslání / vizi organizace. Strategické cíle odrážejí možnosti vedení, pokud jde o hledání organizace pro vytváření hodnoty pro její akcionáře.
Další tři typy cílů: provozní, zpravodajské a regulační jsou závislé na strategických cílech. Nazývají se „související“ cíle. Například pro organizaci to bude otázka definování:
Na rozdíl od COSO 1 vyžaduje implementace COSO 2 kromě „souvisejících“ cílů také vizi strategických cílů společnosti.
Rozšíření koncepce podávání zpráv
Ve srovnání s COSO 1 tento koncept nyní pokrývá:
Osa „kontrolních prvků“, která se stává „prvky řízení rizik“, byla mírně upravena a především obohacena: prvek kontrolního prostředí je doplněn konceptem „rizikového apetitu“,
Po těchto úpravách čte tento nový plán zdůrazňuje homogenní blok, který lze kvalifikovat jako „blok rizikových prvků“ * a který obsahuje pět prvků: definice cílů, identifikace událostí, hodnocení rizik, reakce na riziko a kontrolní činnosti.
* tato představa o bloku rizikových prvků není v COSO 2. Je zde nabízena čtenáři pro vzdělávací účely.
Poznámka :
Pyramida, která schematizovala část „prvky vnitřní kontroly“, v COSO 2 mizí.
Vnitřní prostředíPrvek interního prostředí přebírá koncepty prvku kontrolního prostředí COSO 1: důležitost jednotlivců (kompetence, etika), styl řízení, delegování odpovědnosti atd.
Na druhou stranu je tento nový prvek obohacen novým pojmem: pojmem ochota riskovat : to znamená riskování přijaté společností za účelem zvýšení její hodnoty. Tato „ochota riskovat“ poté umožňuje určit úroveň tolerance rizika na různých úrovních organizace. Tato představa je nezbytná a předchází definici strategie společnosti.
Blok „Rizikové prvky“Ve srovnání s COSO 1 jsou různé komponenty tohoto bloku podrobnější a stanoví přesnější rámec:
Tento blok má následujících pět prvků:
Vedení musí především stanovit stanovené cíle (1) mimo události, které by je mohly narušit. Tyto cíle jsou čtyř typů: strategické, provozní, spojené s podáváním zpráv a dodržováním předpisů.
Vedení poté určí pro každý ze svých cílů události (2), které pravděpodobně budou mít dopad, ať už jsou pozitivní nebo negativní. Události s negativními dopady představují rizika, události s pozitivními dopady představují příležitosti. Identifikace potenciálních událostí vyžaduje použití kombinace metod: trendy, spouštěcí události, korelace s minulými událostmi.
Poté přistoupíme k hodnocení rizika (3) negativních událostí. Toto posouzení musí určit pravděpodobnost výskytu této události a výsledné dopady. Toto posouzení rizik musí nejprve představovat inherentní riziko, to znamená riziko, které existuje, pokud vedení nepřijme nápravná opatření . Zadruhé, až bude řešen prvek reakce na riziko, bude možné určit zbytkové riziko. (Jedna smyčka iteračního procesu). Mezi měřením „Definic cílů“ a hodnocením rizik se doporučuje použít ucelený systém měrných jednotek.
Jakmile je riziko posouzeno, je požádáno o definici různých možných řešení. Jde o reakci na riziko (4). Někdy je možných několik možností. Poté je nutné je vysvětlit. Tyto odpovědi lze rozdělit do následujících čtyř kategorií: vyhýbání se rizikům, snižování, sdružování nebo přijímání. Pokud je metoda formalizace (volba, klasifikace) zahrnuta do rozsahu COSO 2, není volba řešení její součástí. Jakmile je definována reakce na riziko, organizace může zajistit, aby se zbytkové riziko shodovalo s tolerancí rizika (3).
Poté je nutné stanovit kontrolní činnosti (5), které mají formu standardů („co je třeba udělat“) a jsou rozděleny do postupů („jak na to“).
Informace a komunikaceVe srovnání s COSO 1 přináší COSO 2 následující koncepty:
Kromě toho COSO 2 trvá na konceptu předávání informací za účelem komunikace, tj. Informace musí být sdělovány ve formě přizpůsobené partnerovi příjemce.
PilotováníŽádný doplněk k prvku „ Řízení “.
COSO 2 zdůrazňuje význam převzetí odpovědnosti ve společnosti a podrobně popisuje, co pokrývá pro každého z hráčů. V této části nacházíme silné analogie se zákonem Sarbanes-Oxley.
Ve srovnání s COSO 1 provádí COSO 2 určité změny v rolích zúčastněných stran:
Představenstvo pečlivě dohlíží na řízení rizik:
Risk Officer (RO) je prostředníkem pro implementaci COSO 2. Spolupracuje s dalšími manažery, aby jim pomohl implementovat efektivní řízení rizik v oblasti jejich odpovědnosti. Aniž by byl vyčerpávající, jeho atributy by mohly být:
Jeho zásah proto zahrnuje všechny prvky řízení rizik.
Interní auditořiStejně jako v COSO 1 nemají primární odpovědnost za implementaci COSO 2. Na druhou stranu mají převládající roli při hodnocení systému řízení rizik.
Externí auditořiTy fungují na úrovni „entity“. Poskytují názor na složení účetní závěrky. Moderní přístup k rozhodování o prohlášeních spočívá v hodnocení systému vnitřní kontroly podle pracovních standardů auditu.