چارچوب COSO برای کنترل داخلی

چارچوب COSO (کمیته سازمان‌های حامی کمیسیون تردوی) مدلی شناخته‌شده برای طراحی، پیاده‌سازی و ارزیابی سیستم‌های کنترل داخلی است که توسط سازمان‌ها به منظور بهبود مدیریت ریسک، حاکمیت شرکتی و اثربخشی عملیات مورد استفاده قرار می‌گیرد. این چارچوب که COSO مخفف کمیته سازمانهای حامی کمیسیون تردوی می باشد، در سال 1992 معرفی شد و در سال‌های 2013 و 2017 به‌روزرسانی گردید تا با نیازهای پیچیده‌تر کسب‌وکارها هماهنگ شود.

اجزای اصلی چارچوب COSO:

چارچوب COSO بر پنج مؤلفه کلیدی استوار است که به‌هم‌پیوسته عمل می‌کنند:

  • محیط کنترلی (Control Environment):
    • پایه و اساس سیستم کنترل داخلی است و شامل موارد زیر می‌شود:
      • تعهد به صداقت و ارزش‌های اخلاقی (ایجاد فرهنگی که در آن صداقت و رفتار اخلاقی ارج نهاده می‌شود).
      • استقلال و نظارت هیئت‌مدیره (نقش مؤثر هیئت‌مدیره در نظارت بر سیستم کنترل داخلی).
      • ساختار سازمانی، تفویض اختیار و مسئولیت‌ها (تعریف واضح وظایف و مسئولیت‌ها).
      • جذب، آموزش و توسعه نیروی انسانی (اطمینان از شایستگی و توانمندی کارکنان).
      • انضباط و پاسخگویی (ایجاد مکانیزم‌هایی برای پاسخگویی در قبال عملکرد).
  • ارزیابی ریسک (Risk Assessment):
    • شناسایی و تحلیل ریسک‌هایی که دستیابی به اهداف سازمان را تهدید می‌کنند.
    • تمرکز بر ریسک‌های مرتبط با عملیات، گزارشگری مالی و رعایت قوانین.
    • اصلاح سیستم کنترل داخلی متناسب با تغییرات ریسک‌ها.
  • فعالیت‌های کنترلی (Control Activities):
    • سیاست‌ها و رویه‌هایی برای مدیریت ریسک‌ها، مانند:
      • تفکیک وظایف (جداسازی مسئولیت‌ها برای جلوگیری از تقلب و خطا).
      • تأییدیه‌ها و مجوزها (اخذ مجوزهای لازم قبل از انجام معاملات).
      • کنترل‌های فیزیکی و امنیت دارایی‌ها (حفاظت از دارایی‌های سازمان).
      • بازبینی عملکردها (ارزیابی عملکردها برای شناسایی نقاط ضعف).
  • اطلاعات و ارتباطات (Information & Communication):
    • اطمینان از جریان دقیق و به‌موقع اطلاعات درون و بیرون سازمان.
    • سیستم‌های گزارشگری مالی و عملیاتی.
    • ارتباط شفاف با ذینفعان (کارکنان، مدیریت، سهامداران و نهادهای نظارتی).
  • پایش (Monitoring):
    • ارزیابی مستمر یا دوره‌ای اثربخشی کنترل‌های داخلی.
    • استفاده از ممیزی داخلی و خارجی.
    • اصلاح نقاط ضعف شناسایی‌شده.

سه هدف اصلی چارچوب COSO:

سیستم کنترل داخلی باید به سه هدف کلان سازمان کمک کند:

  • اثربخشی و کارایی عملیات (بهبود عملکرد و استفاده بهینه از منابع).
  • قابلیت اتکای گزارشگری مالی (اطمینان از صحت و شفافیت گزارش‌های مالی).
  • رعایت قوانین و مقررات (انطباق با الزامات حقوقی و نظارتی).

مکعب COSO (COSO Cube):

این چارچوب به‌صورت یک مکعب سه‌بعدی نمایش داده می‌شود که نشان‌دهنده ارتباط بین:

  • اهداف (عملیات، گزارشگری، رعایت مقررات).
  • مؤلفه‌ها (پنج جزء اصلی).
  • ساختار سازمانی (سطح کلان شرکت، واحدهای عملیاتی، بخش‌ها و تیم‌ها).

اصول هفده‌گانه COSO (2013):

در به‌روزرسانی 2013، 17 اصل به پنج مؤلفه اصلی اضافه شد تا راهنمایی عملی‌تری ارائه دهد. برای مثال:

  • محیط کنترلی: تعهد به اخلاق، استقلال هیئت‌مدیره.
  • ارزیابی ریسک: شناسایی ریسک‌های کلیدی.
  • پایش: ارزیابی نقاط ضعف کنترل‌های داخلی.

مزایای استفاده از COSO:

  • رویکرد یکپارچه به مدیریت ریسک و کنترل داخلی.
  • بهبود حاکمیت شرکتی و پاسخگویی.
  • همسویی با الزامات قانونی مانند SOX (برای شرکت‌های سهامی عام در آمریکا).
  • افزایش شفافیت و اعتماد ذینفعان.
  • بهبود تصمیم گیری.
  • افزایش ارزش سهامداران.

جمع‌بندی:

چارچوب COSO به سازمان‌ها کمک می‌کند تا با ایجاد سیستم‌های کنترل داخلی قوی، به اهداف استراتژیک خود دست یابند، ریسک‌ها را مدیریت کنند و از انطباق با قوانین اطمینان حاصل کنند. این مدل به‌ویژه برای شرکت‌های فعال در بازارهای مالی و تحت نظارت نهادهای قانونی (مانند SEC) ضروری است. همچنین شایان ذکر است که چارچوب COSO یک ابزار پویا است و سازمان‌ها باید آن را به‌طور مداوم ارزیابی و به‌روزرسانی کنند.

چارچوب COSO برای کنترل داخلی

قلب های داخلی بخش بزرگی از ریسک عملیاتی است که هر سازمانی با آن مواجه است. این در مورد شرکت های چند ملیتی که دارای منافع تجاری در کشورهای مختلف در سراسر جهان هستند صادق است. این به این دلیل است که هزاران نفر در پست های مهم هستند که از طرف شرکت تصمیمات تجاری می گیرند. از این رو، اطمینان از اینکه همه این کارکنان همیشه مطابق با اصول شرکت عمل می کنند، کاری دشوار است.

این موضوع در اوایل قرن حاضر مورد توجه قرار گرفت. رسوایی انرون که کل اقتصاد جهان را در اوایل دهه 2000 تکان داد، نیاز به داشتن کنترل های داخلی مناسب در هر سازمان را برجسته کرد. در واکنش به رسوایی انرون، دولت ایالات متحده یک قانون مهم به نام قانون ساربانز آکسلی یا SOX تصویب کرد. بر اساس مفاد این قانون، مدیریت و حسابرسان شرکت مشترکاً مسئول مستندسازی شفاف فرآیندهای کنترل‌های داخلی و تأیید آن هستند.

تحقیقات نشان داده است که فقدان کنترل های داخلی تعریف شده به درستی دلیل بیش از 50 درصد از کلاهبرداری های داخلی در جهان است. اکنون، از آنجایی که هر شرکت باید این فرآیندها را مستند کند، کمیته سازمان های حامی (COSO) چارچوبی را ارائه کرده است که همه سازمان ها می توانند از آن پیروی کنند تا کنترل های داخلی خود را توسعه و مستند کنند. این سیستم توسط متخصصان طراحی شده است و می تواند توسط هر سازمانی برای تقویت تلاش های مدیریت ریسک خود استفاده شود. COSO کمیته ای است که از پنج انجمن بزرگ تشکیل شده است

چارچوب COSO چیست؟

چارچوب COSO برای اولین بار در سال 1992 توسعه یافت. در طول سالها، چندین بار تکرار شده و چندین بار تجدید نظر شده است. این مدل دارای سه بعد است و به همین دلیل است که اغلب بر روی یک مکعب نمایش داده می شود.

بعد اول: توابع

چارچوب COSO اقداماتی را ذکر می کند که باید در سه عملکرد مختلف انجام شوند. آن ها هستند:

 

  1. عملیات: چارچوب COSO پیشنهاد می کند که عملیات سازمان به منظور توسعه کنترل های داخلی به طور کامل مورد مطالعه قرار گیرد.
  2. گزارش دهی: چارچوب COSO همچنین پیشنهاد می کند که هر منبع اطلاعاتی که به گزارش داخلی یا خارجی وارد می شود باید از نظر صحت ممیزی شود. این ممیزی ها باید در فواصل زمانی دوره ای انجام شوند و باید اطمینان حاصل کنند که سیستم اطلاعاتی شرکت به موقع، قابل اعتماد و شفاف کار می کند.
  3. انطباق: در نهایت، اهداف کنترل داخلی باید با قوانین و مقررات مختلفی که شرکت باید از آنها پیروی کند، همسو باشد.

ابعاد دوم: سطوح

چارچوب COSO پیشنهاد می کند که سازمان باید به سطوح مختلف به منظور مدیریت کنترل های داخلی تقسیم شود. کنترل‌های داخلی باید به طور مستمر در سطوح مختلف مانند سطح زیرمجموعه، سطح واحد تجاری، سطح بخش و همچنین سطح واحد نظارت شود.

بعد سوم: محیط زیست

 

  1. محیط داخلی: محیط داخلی شرکت به فرهنگ تبلیغ شده توسط مدیریت عالی اشاره دارد. یکی از دلایل شکست در انرون این بود که ارزش‌های غیراخلاقی منتشر شده توسط مدیریت ارشد به سطوح پایین‌تر مدیریت نفوذ کرد. به همین دلیل است که هیئت مدیره و همچنین احزاب خارجی باید مراقب باشند که آیا مدیریت ارشد متعهد به حفظ یک محیط داخلی عاری از تقلب در شرکت است یا خیر.
  2. ارزیابی ریسک: این به سیستمی برای شناسایی و طبقه‌بندی انواع مختلف ریسک‌ها اشاره دارد. سازمان باید سیستمی برای اسکن محیط خود برای علل احتمالی که می تواند منجر به شکست در آینده شود داشته باشد.
  3. فعالیت‌های کنترلی: رویه‌های کنترلی، فعالیت‌هایی هستند که توسط مدیریت فهرست‌بندی شده‌اند تا تهدیدات احتمالی را کاهش دهند. اینها فعالیت‌هایی مانند تأییدیه‌ها، تطبیق‌ها، و راستی‌آزمایی‌ها هستند که به منظور شناسایی خطری از دست رفته انجام می‌شوند. کنترل های داخلی کمک می کند تا ایرادات سیستم را مشخص کند.
  4. اطلاعات و ارتباطات: این مرحله شامل ایجاد یک سیستم ارتباط داخلی قوی است. این بدان معناست که همه احزاب داخلی باید مشخص کنند که چه وظایفی دارند. همچنین، انتظارات نیز باید با طرف های خارجی روشن شود. پروتکل هایی برای تشدید هرگونه خطر در بین طرف های داخلی و خارجی به منظور اطمینان از حل و فصل سریع باید به کار گرفته شود.
  5. نظارت: آخرین مرحله شامل نظارت مستمر بر تمامی مراحلی است که در مراحل قبلی انجام شده است. نظارت بر یک سیستم برای کنترل های داخلی به همان اندازه که ایجاد آن مهم است.

مدل COSO تاکید می کند که هر پنج جزء به عنوان یک سیستم یکپارچه با هم کار می کنند. عملکرد نادرست هر یک از اجزاء بر روی تمام اجزای دیگر نیز تأثیر می گذارد. ایده پشت چارچوب این است که مجموعه ای از ابزارها را ارائه دهد که باید توسط هر شرکتی استفاده شود. سپس سازمان خاص می تواند ادامه دهد و در مورد روش های خاصی که می خواهد برای کنترل یا مدیریت اطلاعات دنبال کند، تصمیم گیری کند. مدل استاندارد شده اجرای مدیریت ریسک را نسبتاً آسانتر می کند.

 

مدیریت ریسک

مطالب مرتبط ...

بدون نظر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *