Coso interne Steuerung integriertes Modelljahr. Normen. Wo kann ich die Normen nachlesen?

die Schönheit

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) hat ein gemeinsames internes Kontrollmodell entwickelt, anhand dessen Unternehmen und Organisationen, einschließlich Banken, ihre eigenen Governance-Systeme bewerten können. COSO wurde 1985 gegründet. unterstützt von der National Commission on Financial Reporting Fraud (Treadway Commission).

Das COSO-Modell definiert die interne Kontrolle einer Organisation als ein Prozess, der vom Vorstand, der obersten Leitung und anderen Mitarbeitern der Organisation durchgeführt wird und darauf abzielt, eine „angemessene Sicherheit“ in Bezug auf das Erreichen von Zielen in den folgenden Kategorien zu bieten:

  • Effizienz und Produktivität des Betriebs;
  • Zuverlässigkeit der Finanzberichterstattung;
  • Einhaltung von Gesetzen und Vorschriften.

Das interne COSO-Kontrollmodell umfasst mehrere Schlüsselkonzepte:

    Interne Kontrolle ist ein Prozess. Es ist ein Mittel zum Zweck, kein Selbstzweck;

    Die interne Kontrolle hängt von Menschen ab. Es repräsentiert nicht nur Führungspolitik und -formen, sondern Menschen auf allen Ebenen des Unternehmens;

    die interne Kontrolle kann der Geschäftsleitung und dem Verwaltungsrat der Gesellschaft nur ausreichendes Vertrauen, aber keine absoluten Garantien geben;

    Die interne Kontrolle zielt darauf ab, Ziele in einer oder mehreren getrennten, aber sich überschneidenden Kategorien zu erreichen.

Die Essenz des COSO-Modells kann wie folgt ausgedrückt werden: Sie verwalten, wenn das Risiko bewertet und verwaltet wird.

Zu den Elementen der internen Kontrolle nach dem COSO-System gehören (Tabelle 1):

1) Kontrollumgebung;
2) Risikobewertung;
3) Kontrollmaßnahmen;
4) Sammlung und Analyse von Informationen sowie deren Übermittlung an den Bestimmungsort;
5) Überwachung und Fehlerbehebung.

Tabelle 1. Komponenten des internen Kontrollsystems

Komponente Beschreibung Hauptelemente
Kontrollumfeld Bewusstsein und Handeln von Vertretern des Eigentümers und des Managements bezüglich des internen Kontrollsystems der Organisation sowie Verständnis der Bedeutung eines solchen Systems für die Aktivitäten dieser Organisation - Zuverlässigkeit, Ehrlichkeit und Moral;
- Kompetenz;
- Philosophie und Führungsstil;
- organisatorische Struktur;
- Verteilung von Rechten und Pflichten;
- Personalpolitik und -praxis.
Risikoabschätzung Identifikation und Bewertung möglicher Risiken bei der Abschlusserstellung - Gesetzesänderungen;
- Änderungen der Geschäftsbedingungen;
- Folgenabschätzung.
Informationen und Netzwerke Stellen Sie sicher, dass die Mitarbeiter die Rolle ihrer Beteiligung am Prozess der Erstellung von Jahresabschlüssen (Buchhaltung) verstehen - Erfassung, Verarbeitung, Zusammenfassung und Darstellung der Tätigkeiten von Organisationen;
- Aufgabenverteilung;
- Bereitstellung von Informationen für Manager auf verschiedenen Ebenen.
Kontrollverfahren Stellen Sie Richtlinien und Verfahren bereit, die sicherstellen, dass die Anweisungen des Managements befolgt werden - Überprüfung der Auftragsausführung (Berichte);
- Datenverarbeitung;
- Überprüfung des Vorhandenseins und des Zustands von Gegenständen;
- Aufgabenverteilung.
Überwachung Überwachung, ob die Steuerungen ordnungsgemäß funktionieren. Es ist der Prozess der Bewertung des effektiven Funktionierens des internen Kontrollsystems im Laufe der Zeit - kontinuierliche Überwachung;
- periodische Kontrolle.

Das Modell umfasst acht Komponenten:

    interne Umgebung. Das interne Umfeld ist die Atmosphäre in der Organisation und bestimmt, wie das Risiko von den Mitarbeitern der Organisation wahrgenommen wird und wie sie darauf reagieren. Das interne Umfeld umfasst die Philosophie des Risikomanagements und die Risikobereitschaft, Integrität und ethische Werte sowie das Umfeld, in dem sie existieren;

    Ziele setzen. Ziele müssen definiert werden, bevor das Management beginnt, Ereignisse zu identifizieren, die sich auf deren Erreichung auswirken können. Der Risikomanagementprozess bietet eine angemessene Garantie dafür, dass das Management des Unternehmens über einen ordnungsgemäß organisierten Prozess zur Auswahl und Festlegung von Zielen verfügt und dass diese dem Auftrag der Organisation und dem Grad ihrer Risikobereitschaft entsprechen;

    Ereignisidentifikation. Interne und externe Ereignisse, die sich auf die Erreichung der Ziele der Organisation auswirken, sollten unter Berücksichtigung ihrer Trennung in Risiken oder Chancen bestimmt werden. Chancen sollten vom Management bei der Strategieformulierung und Zielsetzung berücksichtigt werden;

    Risikoabschätzung. Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit und Auswirkung analysiert, um den Handlungsbedarf zu ermitteln. Risiken werden hinsichtlich des inhärenten Risikos und des Restrisikos bewertet;

    Risiko-Reaktion. Das Management wählt eine Methode, um auf Risiken zu reagieren - Risiken vermeiden, Risiken akzeptieren, reduzieren oder umverteilen -, indem es eine Reihe von Aktivitäten entwickelt, die es Ihnen ermöglichen, das identifizierte Risiko mit dem akzeptablen Risikoniveau und der Risikobereitschaft der Organisation in Einklang zu bringen;

    Überwachungsaktivitäten. Richtlinien und Verfahren sind so konzipiert und eingerichtet, dass sie eine angemessene Sicherheit bieten, dass auf neu auftretende Risiken wirksam und rechtzeitig reagiert wird;

    Information und Kommunikation. Die erforderlichen Informationen werden in einer solchen Form und innerhalb eines solchen Zeitrahmens ermittelt, aufgezeichnet und übermittelt, dass die Mitarbeiter ihre funktionalen Aufgaben erfüllen können. Es gibt auch einen effektiven Informationsaustausch innerhalb der Organisation sowohl vertikal von oben nach unten und von unten nach oben als auch horizontal;

    Überwachung. Der gesamte Risikomanagementprozess der Organisation wird überwacht und bei Bedarf angepasst. Die Überwachung erfolgt im Rahmen laufender Managementaktivitäten oder durch regelmäßige Evaluierungen.

Zusammenfassend stellen wir fest:

    Bei COSO sehr wichtig an die innere Umgebung gebunden.

    COSO ist viel Größerer Wert wird der Überwachung der internen Kontrolle als Form der Nachkontrolle zugesprochen. Überwachung ist eines der Hauptelemente des COSO-Modells.

    Bei COSO wird der Arbeit des Verwaltungsrates grosse Bedeutung beigemessen.

Literatur:

  1. Kakovkina TV Das interne Kontrollsystem als Mittel zur Identifizierung der Risiken der Organisation // Internationale Rechnungslegung. 2014, Nr. 36
  2. Kalacheva O.N. Probleme der internen Kontrolle in Organisationen kleiner und mittlerer Unternehmen // Wirtschaftsprüfer. 2015, №10
  3. Krainova V.V. Begründung von Richtlinien für die Entwicklung der internen Kontrolle in Organisationen der Binnenschifffahrt // International Accounting. 2014, Nr. 46
  4. Koske M.S., Mishuchkova Yu.G., Voyutskaya I.V. Interne Kontrolle als Arbeitsfunktion des Hauptbuchhalters // International Accounting. 2015, Nr. 6
  5. Puchkova A.O. Die Notwendigkeit, das interne Kontrollsystem und seine Elemente während des Audits zu bewerten // Auditorskie Vedomosti. 2012. №1/2
  6. Pashkov R. Überwachung des internen Kontrollsystems // Rechnungswesen und Banken. 2015. №1
  7. Yanova Ya.Yu. Das Konzept der risikoorientierten internen Kontrolle – ein anzustrebendes Ideal // Interne Kontrolle in einem Kreditinstitut. 2014. №4
  8. Interne Kontrolle – Integrierter Rahmen (2013)

Zunächst muss gesagt werden, dass es fast keine russischen Standards für Risikomanagement, interne Kontrolle und interne Revision gibt. Ich finde es schlecht, weil es viele interessante Dinge gab. Aber es ist durchaus möglich, bürgerliche zu verwenden. Schlüsselproblem besteht in ihrer Interpretation, die von vielen Experten präsentiert wird: für das Risikomanagement – ​​mit Schwerpunkt auf Finanzrisiken, für Direktoren der internen Kontrolle und der internen Revision – mit Schwerpunkt auf der Berichterstattung. Das heißt, Sie müssen sich daran erinnern, dass jeder Standard viele Komponenten enthält, und wenn Sie sich an alle erinnern, können Sie viel mehr Nutzen erzielen.

Die bekanntesten Normen sind:

  • Risikomanagement: FERMA-Standard (Federation of European Risk Managers Associations), COSO ERM-Standard (COSO - Committee of Sponsoring Organizations of the Treadway Commission, ERM - Enterprise Risk Management), GOST ISO31000;
  • für interne Kontrollsysteme - COSO IC IF (Internal Control - Integrated Framework) Standard;
  • für die interne Revision - Internationale Stiftungen Berufspraxis (MOPP).

Wo kann man die Normen nachlesen?

Zunächst wurden natürlich alle Standards weiter entwickelt Englische Sprache. Es existieren jedoch Übersetzungen ins Russische.

FERMA - einmal gab es sowohl eine russische als auch eine englische Version im öffentlichen Bereich. Webseite - http://ferma.eu. Jetzt ist es leider verschwunden, aber unter dem Link gibt es das neueste aktuelle.

Während meiner Beobachtung gab es mehrere Übersetzungen. Besonders gut hat mir gefallen, dass in einer Übersetzung der Satz

„Während die Risikoidentifikation von unabhängigen Beratern durchgeführt werden kann, ist eine intern durchgeführte Bewertung mit enger Interaktion zwischen den Abteilungen wahrscheinlich effektiver, wobei die vorgestellten Prozesse und Tools auf konsistente und koordinierte Weise verwendet werden.“

wurde durch einen Satz ersetzt (jetzt korrigiert auf der FERMA-Website, hängt noch auf der Rusrisk-Website)

« Die Risikoidentifikation der Organisation wird in der Regel von unabhängigen Beratern durchgeführt.. Allerdings ist ein „richtiges“ Verständnis und eine „richtige“ Analyse der Risiken durch die Organisation von großer Bedeutung für einen erfolgreichen Risikomanagementprozess.

Im Allgemeinen nahmen die Menschen überhaupt kein Dampfbad. Natürlich verdient jeder so gut er kann, aber Hinweise auf materielle Unterstützung für seine Liebsten könnten subtiler sein.

GOST ISO31000 ist sowohl in Google als auch in Yandex gleichermaßen leicht zu finden.

COSO-Standards - nur "konzeptionelle Grundlagen" in Englisch und Russisch sind frei verfügbar. Webseite - www. coso.org. Eine offizielle Übersetzung wurde 2015 in russischer Sprache veröffentlicht, sie wird vom Institute of Internal Auditors verkauft, ich habe sie nicht gelesen, sie kostete 2000 Rubel. Von der "Shareware" gibt es eine "offizielle" Übersetzung (übrigens gut lesbar und hochwertig) von COSO ERM und einen "inoffiziellen" Teil von COSO IC IF. Es befindet sich im geschlossenen Teil der Website des Institute of Internal Auditors der Russischen Föderation, die Website lautet http://iia-ru.ru. Nur IVA-Mitglieder können den geschlossenen Teil betreten.

MOPP - teilweise öffentlich verfügbar (aber nicht alles, der Nutzen für die Einrichtung beginnt mit praktischen Anweisungen), der Rest befindet sich im geschlossenen Teil der Website des Instituts für interne Wirtschaftsprüfer der Russischen Föderation (http://iia -ru.ru). Ich stelle fest, dass MOPP trotz der Lautstärke eine ziemlich leichte Lektüre ist (zumindest für mich), die Übersetzung ist von sehr hoher Qualität.

Insgesamt: Alle notwendigen Standards können auf den Großen und Mächtigen für 2500 Rubel als Mitgliedsbeitrag für das Institute of Internal Auditors erworben werden. Angemessener Preis, es gibt auch Boni in Form von mehreren interessante Präsentationen. Um ein komplettes Set auf Russisch zu erhalten, müssen Sie auch ein Buch kaufen, der Preis für Mitglieder des Instituts beträgt 1800 Rubel.

Ein bisschen Geschichte.

Erster moderne Form Der COSO IC IF-Standard erschien 1992. Eine neue Version wurde 2013 vorbereitet.

Aus irgendeinem Grund liebt COSO alle Arten von Würfeln. Ich werde einen traditionellen COSO-Würfel geben, ich habe speziell die schlechteste Version gefunden (auf den Kopf gestellt, als würde man mit der Überwachung beginnen).

Wesentlich sinnvoller ist folgende Darstellung:

Warum ist es vernünftig. Erstens ist das Kontrollumfeld für die gesamte Organisation wichtig, die Überwachung sollte den gesamten Prozess der internen Kontrolle umfassen. Der Prozess selbst ist ganz banal, er repräsentiert nämlich die Beziehung „Risiken → Kontrollverfahren“ mit der entsprechenden Informationsunterstützung. Zweitens sollte die Überwachung alle anderen Komponenten umfassen.

2002 erschien der FERMA-Standard. Ich mag es am meisten wegen seiner kleinen Größe. Schaltplan Arbeiten nach dieser Norm - im Bild.

Es kann auch darauf hingewiesen werden, dass der FERMA-Standard keine Betonung auf die Berichterstattung der Organisation als Schlüsselkomponente (z. B. die Art des Risikos) enthält. Der Grund ist ganz banal: Europäische Risikomanager (und FERMA ist ihre Organisation) sind nicht aus Buchhaltern, sondern aus Versicherern und Finanziers gewachsen. Der Ursprung, so scheint es mir, erklärt die Klassifikation:

Banker und Versicherer unterscheiden finanzielle Risiken und Gefahren in eine eigene Kategorie. Warum - ich denke es ist klar. Alle anderen (sowohl interne Revision als auch COSO) sind aus der Berichterstattung hervorgegangen, daher gibt es sowohl in den Standards der internen Revision als auch in den COSO-Standards verbindliche Ziele im Bereich der Zuverlässigkeit der Berichterstattung und der Einhaltung der Gesetze (Compliance).

Was als nächstes geschah (Version - nur meine Meinung). Das COSO-Kreativteam dachte nach der Analyse des neuen Standards etwa so: Warum hat jeder schon eine Strategie, und wir kauen immer noch Rotz? Und in etwa anderthalb Jahren zeichneten sie einen weiteren Würfel, indem sie den COSO ERM-Standard (2004) schrieben:

Um zu verdeutlichen, wo es herkommt - ein zusätzliches Bild:

Meiner Meinung nach ist alles klar. Sie können auch die Komponenten entlang der vertikalen Achse aus dem COSO-Würfel und der in FERMA beschriebenen Handlungsabfolge vergleichen.

In fünf Jahren Internationale Organisation Standardization (ISO) hat seinen Risikomanagement-Standard veröffentlicht. ISO-Dokumente werden aus geschäftlicher Sicht entwickelt (und nicht aus der Sicht des Verkaufs von Beratungsdiensten), daher ist ISO31000:2009 meines Erachtens der optimale Standard in Bezug auf das Verhältnis von Volumen / Nutzen, obwohl eine Übersetzung aus dem Russischen ins Russische erforderlich ist. Übrigens hat ISO das Prinzip des Risikomanagements in die in Russland bekannteste Norm ISO9000 eingeführt, was eine gewisse Panik in den Reihen der Leiter von Qualitätsmanagementsystemen auslöste.

Die Standards der Internen Revision haben sich in den letzten 50 Jahren erheblich weiterentwickelt. Angefangen hat alles mit Buchhaltung und Compliance. Die aktuelle Version ist eine Bewertung der Risiken und Wirksamkeit der Kontrolle in Bezug auf:

  • Zuverlässigkeit und Integrität von Informationen über Finanz- und Wirtschaftstätigkeit;
  • Effizienz und Effektivität der Aktivitäten;
  • Sicherheit von Vermögenswerten;
  • Einhaltung der Anforderungen von Gesetzen, Vorschriften und vertraglichen Verpflichtungen.

Wie Sie sehen können, stimmen die drei Komponenten mit COSO IC IF überein (ich kann nicht sagen, wo sie zuerst erschienen sind, kein Historiker), und die Sicherheit von Vermögenswerten besteht anscheinend seit 1957 (oder seit 1947?). Ich wüsste nicht, warum es gesondert herausgestellt werden sollte: Ich glaube nicht, dass die Tätigkeit bei Vorliegen von Diebstahl oder Vermögensverlust durch unsachgemäße Aufbewahrung als effektiv und effizient anerkannt werden kann.

Kurze Bemerkungen zu den Standards.

Es ist wünschenswert, alles zu lesen. Relativ einfache Standards in Sachen Lesbarkeit sind FERMA, ISO31000 und MOPP. FERMA hat nur ein geringes Volumen, für MOPPs kann es auf Standards (MPSVA) beschränkt werden, praktische Richtlinien sind nur Empfehlungen (wenn auch strenge). Lesbarkeit ist einfach erklärt: FERMA und ISO haben Standards für Risikomanager geschrieben, das Institute of Internal Auditors - für interne Auditoren. Es ist sehr wünschenswert, dass beide die gleiche Sprache sprechen, einschließlich der Sicherstellung der Einheitlichkeit der Ansätze. Dementsprechend war es besser, sehr komplexe Strukturen und Unsicherheiten zu vermeiden, was auch getan wurde.

COSO ist ein grundlegendes, mehrbändiges Werk, für COSO ERM wurde bis zu 30 PwC-Partnern gedankt. Wenn weniger Partner beteiligt gewesen wären, wäre das Dokument meines Erachtens besser geworden - es ist sozusagen eine "umgekehrte Synergie" entstanden. Eine Besonderheit der COSO-Standards: Aus den „konzeptionellen Grundlagen“ geht nichts hervor, das Verständliche beginnt im allerletzten Dokument (zB COSO ERM – „Application“). Sie müssen verstehen, dass die Autoren Wirtschaftsprüfer und Berater sind. Sie müssen keinen klaren Standard aufstellen: Warum Umsatzeinbußen? Daher ist es notwendig, dass die Leserhand „zum Telefon greift“ eines Partners eines großen Beratungsunternehmens. Meiner Meinung nach hat es funktioniert. Beachten Sie auch, dass es im Gegensatz zu dieser Website keinen „End-to-End“-Ansatz gibt: Es gibt keine Logik „hier gehen wir eine Reihe von Risiken ein, hier bewerten wir sie, hier verwalten wir sie, hier können wir prüfen“. Die Menge an Beispielen ist definitiv nicht schlecht. Aber wenn Sie versuchen, sie auf ein Unternehmen anzuwenden, wird höchstwahrscheinlich wenig funktionieren. Übrigens habe ich persönlich eine absolut ausgeglichene Einstellung zu COSO-Dokumenten. Es gibt nützliche Dinge, aber es lohnt sich wirklich nicht, über diese Standards mit einem Hauch zu sprechen, wie einige Frauen in Anwesenheit von Ausländern.

Beim Aufbau des Risikomanagements empfehle ich die Verwendung von FERMA und ISO31000, wenn etwas nicht in FERMA geschrieben ist. Interne Kontrolle ist ein spezielles Thema, traditionell kann COSO IC IF nur verwendet werden, um nicht sehr nützliche Dokumente zu generieren. Das Problem mit COSO IC IF liegt in seiner Interpretation, die entweder eine Philosophie über das Kontrollumfeld oder über die Berichterstattung ist, die kommentiert wird. Und internes Audit - es gibt unterstützte Standards, ich habe den Ethikkodex (als Mitglied der IVA) unterschrieben, also bleibt nichts anderes übrig als der MOPP.

Warum erwähne ich SOX nicht?

Ich habe vom Sarbanis-Oxley-Gesetz gehört. Übrigens, Sarbanis ist Grieche, deshalb nicht Sarbanes. Meine Meinung ist also, dass jetzt die brillantesten Verkäufer bei big4 arbeiten.

Erinnern wir uns, wie SOX erschien. Es erschien als Ergebnis einer absolut fiktiven Berichterstattung einer Reihe von Unternehmen. Warum dies geschah, darüber stimmen unsere Meinungen mit einem fachkundigen Kollegen nicht überein. Das halte ich für absolute Unprofessionalität und Geldgier: Es ist klar, dass jemand anderes von big5 die Berichterstattung übernehmen könnte, gepaart mit Beratungsverträgen für das gleiche Geld. Ja, und die Vernichtung der Prüferunterlagen sagt viel aus.

Der Kollege weist darauf hin, dass es zumindest einige systembedingte Mängel im Prüfungsmanagement gibt und führt mehrere Argumente an, dass die Rechnungsprüfung ohne größere Gewissensbisse hätte erfolgen können:

  • kurze Zeit für die Prüfung. Die Wechselforderungen „komm schon, komm schon“, das Thema mit der Beschleunigung des Fristenschlusses – interessantes Thema zur Beratung. Die Sache scheint mir am schädlichsten zu sein, weil sie tatsächlich zur Unzuverlässigkeit der Berichterstattung beiträgt und keine Zeit für die üblichen Kontrollverfahren zur Überprüfung von Dokumenten lässt („unten“ müssen alle Dokumente in 1-2 Tagen ausgefüllt werden). ;
  • Personalqualifikationen. Alles wird von den Praktikanten kontrolliert, jeder ist dem Standort zugeordnet. Die Ströme sind groß, Geschäfte mit überhöhten Finanzergebnissen sollten eher von der Forensik als nur von Wirtschaftsprüfern erfasst werden. Angesichts der für die Prüfung vorgesehenen Zeit ist es wahrscheinlich, dass die Aussagen ohne böswillige Absicht bestätigt werden. Und der Senior Genosse, der das ICS bestätigen sollte, tat dies durch formale Compliance-Tests, die alle Auditoren in Hülle und Fülle haben. Das Ergebnis der Qualitätskontrolle ist, dass die Arbeitspapiere ausgefüllt sind, und es ist gut, dass niemand wirklich in Nicht-Standard-Operationen gehen könnte: Das interne Kontrollsystem ist auf dem Niveau, die Stichprobe ist zufällig;
  • Partneranforderungen. Ja, natürlich gab es Fehler und Ungereimtheiten. Reichte es, zuzugeben, dass die Berichterstattung gefälscht war, und mit dem Kunden zu streiten? Jeder einzelne Fehler, angesichts der kleinen Stichprobe, vielleicht nicht. Und sie haben nicht auf die Gesamtheit geschaut.

Was auch immer es war, das Ergebnis ist einfach unglaublich. Anstatt „zu vermasseln“, wie der Präsident der Republik Belarus A.G. Lukaschenka über sein Parlament, die gesamte Audit-Community, es gibt zusätzliche Anforderungen nicht für die Wirtschaftsprüfer, die den Betrug abgedeckt haben, sondern für die Unternehmen selbst (einschließlich derjenigen, die ehrlich gelebt haben). Und diese Anforderungen werden seltsamerweise von den Wirtschaftsprüfern selbst formuliert. Es ist klar, dass die Anforderungen so formuliert sind, dass wieder Wirtschaftsprüfer gebraucht werden (naja, das heißt, sie heißen Berater, sind aber territorial in einer benachbarten Abteilung einer Wirtschaftsprüfungsgesellschaft angesiedelt). Weiter ist alles offensichtlich.

Fazit: Neben einer formellen Jahresabschlussprüfung musste jede Aktiengesellschaft die Einrichtung einer internen Kontrolle nach SOX anordnen (naja, oder Personal einstellen, was auch nicht billig ist). Gleichzeitig stieg der Aufwand einer externen Prüfung, da sich die Regelstunden durch die Begutachtung des IKS über die Erstellung von Berichten erhöhten. Gleichzeitig gibt es, soweit ich weiß, selbst wenn das System der internen Kontrolle über die Erstellung von Berichten von der internen Revision auf und ab getestet wird, keine grundlegende Reduzierung der Kosten für externe Prüfungsleistungen.

Übrigens erbringt Big4 jetzt keine Prüfungs- und Beratungsdienstleistungen für dieselbe Organisation. Das heißt, die Kosten für Beratungsdienste für Unternehmen sind tatsächlich gestiegen (das Prinzip "Großhandel billiger" wurde aufgehoben).

Im Allgemeinen ist das zentrale Ergebnis eines von Wirtschaftsprüfern verursachten Prüfungsskandals eine Erhöhung der Einnahmen der Wirtschaftsprüfer. "Es ist großartig, nicht wahr?" (© Zaitsev-Schwestern, Comedy Club). Daher versuche ich, das Wort SOX nicht zu verwenden.

Wenn Sie einen Fehler finden, markieren Sie bitte einen Textabschnitt und klicken Sie darauf Strg+Eingabe.

COSO-Konzept „Organisations-Risikomanagement. Integration mit Strategie und Leistung“ (COSO ERM) 2017 in russischer Sprache wurde im Online-Buchladen TOTbook.ru zum Verkauf angeboten. Es ist unter dem Link verfügbar: https://totbook.ru/catalog/345/1136970/

Das COSO ERM-Konzept besteht aus 3 Büchern:

1. Hauptbuch (110 Seiten)

2. Anwendungen (30 Seiten)

3. Zusammenfassung (10 Seiten)

Das COSO ERM-Konzept zielt darauf ab, das Verhältnis zwischen Risiko, Strategie und Unternehmenswert zu erhöhen. Es betrachtet das Risiko im Hinblick auf seine Rolle beim Treffen strategischer Entscheidungen, die sich letztendlich auf die Leistung der Organisation als Ganzes auswirken. Der erste Teil des Kernbuchs gibt einen Überblick über aktuelle und sich entwickelnde Konzepte und Anwendungen des organisatorischen Risikomanagements. Der zweite Teil des Kernbuchs, Conceptual Framework, besteht aus fünf Komponenten, die unterschiedliche Perspektiven und operative Strukturen berücksichtigen und zur Verbesserung der Strategie und Entscheidungsfindung beitragen.

Exklusives Recht zur Veröffentlichung und Verbreitung (nur Druck) COSO-Konzepte Organisatorisches Risikomanagement. Integration with Strategy and Performance“ (COSO ERM) 2017 gehört zum Institute of Internal Auditors. Die Veröffentlichung dieser Veröffentlichung und die Übersetzung des Textes ins Russische wurden mit Unterstützung von Deloitte, CIS, durchgeführt.

Dokumentstatus: Materialien für das CPT-Treffen

Entwicklerorganisation: PJSC Megafon

Klarstellung X/2013

„Organisation des internen Kontrollsystems“

1. Allgemeine Bestimmungen

1.1 Diese Richtlinie definiert das Verfahren zur Organisation und Funktionsweise des internen Kontrollsystems (im Folgenden als IKS bezeichnet) im Unternehmen, einschließlich der Beschreibung des Zwecks und der Aufgaben des IKS sowie der Rollen und Verantwortlichkeiten seiner Subjekte.

1.2 Diese Richtlinie wurde unter Berücksichtigung der Anforderungen und Empfehlungen entwickelt:

  • aktuelle Gesetzgebung Russische Föderation(einschließlich Artikel 19 des Gesetzes Nr. 402-FZ „Über die Rechnungslegung“);
  • interne regulatorische Dokumente des Unternehmens;
  • Verhaltenskodex des Föderalen Finanzmarktdienstes der Russischen Föderation;
  • Leitung des Committee of Sponsoring Organizations of the Treadway Commission „Internal control. Integriertes Modell“ (1992).

2. Definition und Ziele der internen Kontrolle

2.1 Interne Kontrolle ist ein kontinuierlicher Prozess, der von allen Mitarbeitern und Führungskräften des Unternehmens auf allen Managementebenen durchgeführt wird und darauf abzielt, Bedingungen für die Erreichung der Unternehmensziele in den folgenden Bereichen zu schaffen:

  • Effizienz und Effektivität der finanziellen und wirtschaftlichen Aktivitäten des Unternehmens;
  • Sicherheit von Vermögenswerten;
  • Einhaltung gesetzlicher Anforderungen, Vorschriften, interner Dokumente des Unternehmens und anderer anwendbarer Anforderungen von Aufsichtsbehörden;
  • Verlässlichkeit von Jahresabschlüssen.

2.2 Internes Kontrollsystem(SMC) - ein System von organisatorischen Maßnahmen, Richtlinien, Anweisungen sowie Kontrollverfahren, Unternehmenskulturnormen und Maßnahmen, die vom Vorstand, dem Management und den Mitarbeitern des Unternehmens ergriffen werden, um die ordnungsgemäße Durchführung der Geschäftstätigkeit sicherzustellen: um die finanzielle Stabilität des Unternehmens, um ein optimales Gleichgewicht zwischen Wachstumskosten, Rentabilität und Risiken zu erreichen, um die ordnungsgemäße und effiziente Durchführung der Geschäftstätigkeit zu gewährleisten, die Sicherheit von Vermögenswerten zu gewährleisten, Verstöße zu erkennen, zu korrigieren und zu verhindern, rechtzeitig zuverlässige Abschlüsse zu erstellen und , wodurch die Investitionsattraktivität erhöht wird.

2.3 Die Organisation des internen Kontrollsystems im Unternehmen folgt einem risikoorientierten Ansatz. Es bedeutet die enge Verzahnung des internen Kontrollsystems mit Risikomanagementprozessen, die die rechtzeitige und effektive Anwendung von Risikomanagementmethoden unter Verwendung wirksamer Mechanismen des internen Kontrollsystems sicherstellt. Gleichzeitig konzentrieren sich das Management des Unternehmens und seine Mitarbeiter auf den Aufbau und die Verbesserung des internen Kontrollsystems vor allem in den Tätigkeitsbereichen, die durch die höchsten Risiken gekennzeichnet sind.

2.4 Das System der internen Kontrolle über den Rechnungslegungsprozess(SVKFO) - ein System von organisatorischen Maßnahmen, Richtlinien, Anweisungen sowie Kontrollverfahren, Unternehmenskulturnormen und Maßnahmen, die vom Vorstand, dem Management und den Mitarbeitern des Unternehmens ergriffen werden, um Ziele im Bereich der Erstellung zuverlässiger Abschlüsse zu erreichen.

2.5 Die Ziele des Funktionierens des internen Kontrollsystems in der Gesellschaft sind:

  • Unterstützung beim Schutz der Interessen von Aktionären, Investoren und Kunden, Vermeidung und Beseitigung von Interessenkonflikten, Unterstützung der effektiven Führung des Unternehmens und Erreichung strategischer Ziele auf die effizienteste Weise;
  • Schaffung von Bedingungen zum Schutz der Gesellschaft vor internen und externen Risiken, die im Rahmen ihrer Tätigkeit entstehen, sowie vor den Risiken der Erstellung des Jahresabschlusses der Gesellschaft;
  • Unterstützung bei der Sicherstellung der Einhaltung der Anforderungen der Gesetzgebung und der regulatorischen Dokumente des Unternehmens durch das Unternehmen;
  • Schaffung von Bedingungen für die rechtzeitige Erstellung und Bereitstellung zuverlässiger Finanz-, Buchhaltungs-, Statistik-, Management- und anderer Berichte für externe und interne Benutzer;
  • Unterstützung bei der Gewährleistung der Sicherheit von Vermögenswerten und der effizienten Nutzung der Ressourcen und des Potenzials des Unternehmens.

3. Funktionsprinzipien und Komponenten des ICS

3.1 Die Organisation und Funktionsweise des IKS im Unternehmen basiert auf den folgenden Grundprinzipien:

  • Integration- Das IKS ist ein integraler Bestandteil der Corporate Governance des Unternehmens und in die Prozesse und den täglichen Betrieb integriert. Das IKS beinhaltet Verfahren zur Information des Managements der entsprechenden Managementebene über alle wesentlichen Verstöße gegen finanzielle und wirtschaftliche Aktivitäten, Mängel und schwache Punkte die gefundenen Kontrollen, zusammen mit einer Analyse ihrer Ursachen, Einzelheiten zu den Korrekturmaßnahmen, die ergriffen wurden oder ergriffen werden sollten;
  • Kontinuität- Das IKS arbeitet fortlaufend, kontinuierlich und auf allen Managementebenen, was es dem Unternehmen ermöglicht, Abweichungen im internen Kontrollsystem rechtzeitig zu erkennen und deren Auftreten in der Zukunft zu verhindern;
  • Methodische Einheit - IKS-Prozesse werden auf Basis einheitlicher Vorgaben und Vorgehensweisen für alle Unternehmensbereiche implementiert;
  • Integrität/Komplexität- Das IKS ist auf allen Ebenen und in allen Bereichen des Unternehmens tätig, deckt alle Themen der internen Kontrolle und Aktivitäten und dementsprechend alle Risiken ab:
    • Die Aufgabe, ein zuverlässiges und effizientes IKS aufzubauen und aufrechtzuerhalten, liegt bei den Leitern aller Führungsebenen des Unternehmens;
    • Kontrollverfahren bestehen in allen Geschäftsprozessen und auf allen Managementebenen;
    • Jeder Mitarbeiter des Unternehmens kennt, versteht und übt seine Rolle im internen Kontrollsystem aus
  • Eine Verantwortung- alle Mitarbeiter und Führungskräfte auf allen Ebenen des Unternehmens im Rahmen ihrer Befugnisse für das Funktionieren des IKS verantwortlich sind;
  • Risikoorientierung- Das IKS im Unternehmen steht in enger Wechselwirkung mit dem Risikomanagementsystem, das zur rechtzeitigen und effektiven Umsetzung von Maßnahmen zur Beeinflussung von Risiken beiträgt. Bei der Analyse von Kontrollverfahren ist es notwendig, das Ausmaß und die Wahrscheinlichkeit des Eintretens von Risiken, das Ausmaß ihrer Auswirkungen auf die Ergebnisse der finanziellen und wirtschaftlichen Aktivitäten und das Erreichen der Unternehmensziele zu bewerten, was uns den Schluss zulässt, dass die bestehenden Kontrollverfahren ausreichend sind , oder dass neue entwickelt und implementiert werden müssen.
  • Optimalität - Der Umfang und die Komplexität der im Unternehmen eingesetzten Kontrollverfahren sind für ein effektives Risikomanagement und das Erreichen der Unternehmensziele erforderlich und ausreichend. Ressourcen und Kosten für die Implementierung und den anschließenden Betrieb von Kontrollverfahren sollten die Folgen der Risikorealisierung nicht übersteigen (Kosten-Wirtschaftlichkeits-Verhältnis) und die Gesamthöhe des Restrisikos sollte der Risikobereitschaft des Unternehmens entsprechen.
  • Aufgabentrennung- Das Unternehmen grenzt die Rechte und Pflichten der Subjekte der internen Kontrolle in Abhängigkeit von ihrer Einstellung zu den Prozessen der Entwicklung, Genehmigung, Anwendung und Überwachung des IKS ab. Es ist nicht zulässig, dass einem Mitarbeiter/einer Einheit gleichzeitig die Befugnis übertragen wird:
    • Genehmigung von Transaktionen mit Vermögenswerten;
    • Durchführung von Operationen mit Vermögenswerten;
    • Buchhaltung/Betriebsregistrierung;
    • Überprüfung der Richtigkeit, Vollständigkeit und Tatsache des Vorgangs und Gewährleistung der Sicherheit von Vermögenswerten.
  • Formalisierung- ICS sollten formalisiert werden:
    • beschreibt die Risiken und Kontrollen für alle wesentlichen Geschäftsprozesse, die das Erreichen der Unternehmensziele beeinflussen;
    • die Ergebnisse der Durchführung von Kontrollverfahren dokumentiert und gespeichert werden (Primärdokumente, Berichte, Transaktionsprotokolle usw.);

3.2 Relevanz und Entwicklung- Alle Dokumentationen zum IKS (Beschreibung der Risiken, Kontrollen und sonstige Informationen) sollten zeitnah aktualisiert sowie ständig verbessert werden, um die Effizienz des Risikomanagements zu verbessern. Das Top-Management stellt die Bedingungen für die kontinuierliche Entwicklung des internen Kontrollsystems bereit, wobei die Notwendigkeit berücksichtigt wird, neue Probleme zu lösen, die sich aus Änderungen der internen und externen Betriebsbedingungen ergeben. Grundlage für die Organisation und Funktionsweise des internen Kontrollsystems im Unternehmen sind die folgenden Komponenten:

  • Kontrollumfeld;
  • Risikoabschätzung;
  • Kontrollmittel;
  • Information und Kommunikation;
  • SVK-Überwachung.

Eine detaillierte Beschreibung der Komponenten des ICS ist in Anhang 1 dieser Richtlinie enthalten.

4. Subjekte der internen Kontrolle und ihre Funktionen

4.1 Das interne Kontrollsystem des Unternehmens wird durch eine Reihe von Objekten und Subjekten bestimmt. Gegenstand des IKS sind die finanziellen und wirtschaftlichen Aktivitäten der Unternehmensbereiche. Die Themen der internen Kontrolle werden durch diese Richtlinie und andere regulatorische Dokumente des Unternehmens im Bereich der internen Kontrolle bestimmt.

4.2 Die Zusammensetzung der Subjekte der internen Kontrolle wird festgelegt organisatorische Struktur Gesellschaft und umfasst:

  • Der Aufsichtsrat;
  • Prüfungsausschuss;
  • Generaldirektor;
  • Interne Kontrollabteilung;
  • Führer strukturelle Einteilungen und Mitarbeiter des Unternehmens.

4.3 Der Aufsichtsrat- legt die allgemeinen Ausrichtungen der Organisation des internen Kontrollsystems im Unternehmen fest, analysiert die Gesamteffizienz und Übereinstimmung des IKS mit Art, Umfang und Bedingungen der Unternehmenstätigkeit im Falle ihrer Änderung - berücksichtigt die Ergebnisse der Beurteilung der Wirksamkeit des ICS, identifizierte wesentliche Mängel und Empfehlungen zu deren Beseitigung. Genehmigt die interne Kontrollpolitik und deren Änderungen.

Die Funktionen und Aufgaben des Verwaltungsrats in Bezug auf das interne Kontrollsystem sind im Reglement des Verwaltungsrats der Gesellschaft verankert.

4.4 Prüfungsausschuss des Verwaltungsrats- beurteilt die Einhaltung der Grundsätze der internen Kontrolle und des Risikomanagements sowie die Gesamtwirksamkeit des IKS im Unternehmen (u. a. auf Basis von Berichten der Internen Revision und Internen Kontrollstellen), gibt Empfehlungen zur Verbesserung des IKS.

Die Funktionen und Aufgaben des Prüfungsausschusses des Verwaltungsrats sind im entsprechenden Reglement zum Prüfungsausschuss der Gesellschaft festgelegt.

4.5 Generaldirektor- ist verantwortlich für die Organisation und Aufrechterhaltung des Funktionierens eines wirksamen internen Kontrollsystems im Unternehmen und die Überwachung des Funktionierens des IKS, einschließlich:

  • bestimmt die Entwicklungsrichtungen und Verbesserungen des IKS im Unternehmen;
  • Genehmigt das Reglement über das interne Kontrollsystem, das Reglement zur Diagnose und Verbesserung des IKS und weitere regulatorische Dokumente im Bereich des IKS;
  • Berücksichtigt die Ergebnisse der Arbeit der Struktureinheit Interne Kontrolle, einschließlich der Ergebnisse der IKS-Diagnostik;
  • Legt die Verantwortung für die Umsetzung von Entscheidungen des Top-Managements im Bereich der internen Kontrolle fest;
  • Erwägt und genehmigt einen Aktionsplan zur Beseitigung von Mängeln im IKS.

4.6 Interne Revision- führt eine unabhängige Beurteilung der Wirksamkeit einzelner Komponenten des IKS, des IKS der geprüften Objekte und des IKS des Unternehmens als Ganzes durch und entwickelt Empfehlungen zur Verbesserung seiner Zuverlässigkeit und Effizienz, darunter:

  • Überprüft die Übereinstimmung der Aktivitäten von Abteilungen und Mitarbeitern mit regulatorischen Dokumenten, die das Verfahren für die Organisation und Funktionsweise des IKS bestimmen;
  • Führt eine Bewertung der Konformität des Inhalts der regulatorischen Dokumente durch, die die Organisation und Funktionsweise des ICS, die Art und den Umfang der Aktivitäten des Unternehmens regeln;
  • Identifiziert die Fakten von Verstößen, analysiert die Gründe für ihre Begehung und entwickelt Empfehlungen zur Verbesserung bestehender und / oder Einführung neuer Kontrollverfahren, um das Wiederauftreten von Verstößen zu verhindern;
  • Überwacht die zeitnahe und vollständige Beseitigung festgestellter Verstöße und Mängel;
  • Führt die Qualitätskontrolle des Prozesses zur Diagnose des internen Kontrollsystems im Unternehmen durch, der von der Geschäftsführung und den Mitarbeitern durchgeführt wird;
  • Berät zur Verbesserung der internen Kontrolle.

4.7 Aufgaben Interne Steuereinheiten sind:

Koordinierung der Aktivitäten zur Bildung und Aufrechterhaltung der Wirksamkeit des internen Kontrollsystems;

  • Methodische Unterstützung des ICS;
  • Organisation des ICS-Diagnoseprozesses im Unternehmen:
  • Erstellung von Plänen zur Weiterentwicklung und Verbesserung des IKS im Unternehmen;
  • Wartung und Pflege der IKS-Infrastruktur (Risikoverzeichnisse, Kontrollverfahren und Geschäftsprozesse) auf aktuellem Stand;
  • Überwachung der Umsetzung des Maßnahmenplans zur Mängelbeseitigung und Verbesserung des IKS, inkl. Qualitätskontrolle zur Beseitigung von Mängeln;
  • Information aller ICS-Teilnehmer über Änderungen in Vorgehensweisen, Dokumentationen und anderen Anforderungen im Bereich ICS;
  • Organisation der Vorbereitung von Schulungsprogrammen für das Personal zur Organisation und Verbesserung des internen Kontrollsystems.

Die Funktionen, Aufgaben und Befugnisse der strukturellen Unterabteilung zur Koordination des IKS der Gesellschaft sind in den entsprechenden Reglementen festgelegt.

4.8 Leiter und Mitarbeiter von Strukturbereichen sind für die Bildung, Aufrechterhaltung und ständige Überwachung des internen Kontrollsystems in den relevanten funktionalen Tätigkeitsbereichen der Einheiten in der gesamten Managementvertikale verantwortlich und führen auch Kontrollverfahren gemäß ihren offiziellen Aufgaben durch, einschließlich:

  • rechtzeitige Identifizierung und Analyse der Risiken der finanziellen und wirtschaftlichen Aktivitäten des Unternehmens;
  • Entwicklung, Formalisierung sowie anschließende Ausführung und Sicherstellung der Wirksamkeit und Angemessenheit von Kontrollverfahren innerhalb ihrer Geschäftsprozesse;
  • Aktualisierung der Beschreibung des IKS und rechtzeitige Information der Internen Kontrollstelle über Änderungen;
  • Überwachung der Funktionsweise des IKS sowie eine unabhängige Bewertung der Wirksamkeit der von ihnen durchgeführten Kontrollverfahren;
  • das Management über alle gemachten oder möglichen Fehler/Mängel zu informieren, die zu potenziell negativen Ereignissen geführt haben oder führen können;
  • bestandene Ausbildung im Bereich interne Kontrolle und Risikomanagement gemäß dem genehmigten Ausbildungsprogramm.

4.9 Das Unternehmen stellt die Schaffung effektiver Kanäle für den Informationsaustausch sicher, einschließlich sowohl vertikaler als auch horizontaler Kommunikation, um ein Verständnis zwischen allen Themen der internen Kontrolle zu erzielen, die in den regulatorischen Dokumenten über die Organisation und Funktionsweise des internen Kontrollsystems festgelegt sind sorgen für deren Umsetzung.

4.10 Informationen über die Arbeit des internen Kontrollsystems, über die festgestellten Mängel und andere bedeutende Umstände werden dem Verwaltungsrat, dem Prüfungsausschuss des Verwaltungsrats, zum CEO, dem Vorstand oder anderen Organen in Übereinstimmung mit den bestehenden Anforderungen der Gesetze und aufsichtsrechtlichen Dokumente der Gesellschaft.

5. Rollen

5.1 Um das effektive Funktionieren des IKS zu gewährleisten, sind die folgenden Rollen auf die Führungskräfte und sonstigen Mitarbeiter des Unternehmens verteilt:

  • Prozess-/Risikoverantwortlicher
  • ICS-Koordinator
  • Vollstrecker kontrollieren

5.2 Prozess-/Risikoverantwortlicher- der Leiter der Unterabteilung/Abteilung, der zuständig ist für:

  • für das effektive Funktionieren aller Komponenten des IKS ( siehe ICS-Komponenten in Anhang 1) in Bezug auf die Abdeckung von Geschäftsrisiken und die Erstellung von Abschlüssen im Rahmen ihrer Geschäftsprozesse/Risiken;
  • für die Ernennung von Ausführenden von Kontrollen und die Festlegung in den Stellenbeschreibungen der zuständigen Mitarbeiter, die für die Durchführung dieser Verfahren verantwortlich sind;
  • zur Sicherstellung der Durchführung und Dokumentation von Kontrollen durch die Kontrollperformer gemäss der Dokumentation zum IKS;
  • zur Identifizierung von Änderungen in Prozessen, Risiken oder Kontrollen, die Änderungen in der IKS-Dokumentation erfordern, und Information der Mitarbeiter der Internen Kontrollstelle / IKS-Koordinatorin in der betreffenden Einheit darüber;
  • für die rechtzeitige Genehmigung der IKS-Dokumentation (detaillierte Beschreibung der Risiken, einheitliche und angepasste Kontrollen und andere Informationen);
  • zur Behebung von Mängeln des IKS, die durch Prüfung oder Überwachung festgestellt wurden.

5.3 Vollstrecker kontrollieren- ein Mitarbeiter auf jeder Ebene, der verantwortlich ist für:

  • für die rechtzeitige und qualitativ hochwertige Umsetzung von Kontrollverfahren gemäss der Dokumentation des IKS;
  • um gegebenenfalls den stellvertretenden Kontrollvollstrecker und einen Mitarbeiter der Internen Kontrollstelle über die Notwendigkeit zu informieren, das betreffende Kontrollverfahren anstelle des Testamentsvollstreckers durchzuführen;
  • für die rechtzeitige Genehmigung der ICS-Dokumentation (detaillierte Beschreibung von Risiken, Kontrollen und anderen Informationen);
  • für die Implementierung von Verfahren zur Selbstbeurteilung der Wirksamkeit des IKS;
  • um Änderungen in Prozessen, Risiken oder Kontrollen zu identifizieren, die Änderungen an der IKS-Dokumentation erfordern, und den Risiko-/Prozessverantwortlichen, den IKS-Koordinator in der zuständigen Einheit und Mitarbeiter der Internen Kontrolleinheit darüber zu informieren;
  • zur Behebung von IKS-Mängeln, die durch Prüfung und Überwachung festgestellt wurden.

5.4 ICS-Koordinator ein Mitarbeiter in jeder Abteilung, der verantwortlich ist für:

  • zur Organisation und Koordination des Funktionierens des IKS im Rahmen der zuständigen Stelle;
  • zur Überwachung der Qualität der Umsetzung und Dokumentation der Kontrollverfahren in Bezug auf die in der betreffenden Einheit durchgeführten Kontrollen;
  • für die Relevanz der Dokumentation zum IKS in Bezug auf die betreffende Struktureinheit;
  • zur Information der internen Kontrollabteilung über die Notwendigkeit, die IKS-Dokumentation zu ändern (Änderung von Prozessen, Risiken oder Kontrollen, einschließlich des Vorschlags neuer Formulierungen in Bezug auf Risiken, Kontrollen und andere Informationen).

6. Anforderungen und Verantwortlichkeiten im Bereich der Sicherstellung der Wirksamkeit des IKS

6.1 Die interne Kontrolle ist ein integraler Bestandteil der Arbeitsweise aller Unternehmensbereiche.

6.2 Alle Mitarbeiter sind für das Funktionieren und die Effizienz des IKS des Unternehmens verantwortlich.

6.3 Das Management des Unternehmens muss den Mitarbeitern die Wichtigkeit vermitteln, die Wirksamkeit des IKS zu haben und sicherzustellen, sowie die Rolle jedes Mitarbeiters in diesem System, einschließlich der folgenden grundlegenden Anforderungen:

  • Kein Mitarbeiter darf direkt oder indirekt eine vorsätzliche Fälschung von Buchhaltungs-, Management- oder anderen Berichtsdaten zulassen oder verursachen.
  • An Buchhaltungsdaten dürfen keine Änderungen vorgenommen werden, wenn bekannt ist, dass diese Änderungen das Wesen der entsprechenden Vorgänge verfälschen können.
  • Es dürfen keine Geldbeträge/Konten/Transaktionen zum Zwecke ihrer unvollständigen Meldung ausgeblendet werden.
  • Alle Mitarbeiter des Unternehmens sind verpflichtet, das Vermögen des Unternehmens zu bewahren und für dessen effiziente Verwendung zu sorgen.

6.4 Hat ein Mitarbeiter des Unternehmens Kenntnis von fehlenden oder unwirksamen internen Kontrollverfahren, muss er unverzüglich seinen unmittelbaren Vorgesetzten sowie die Leiter der internen Kontroll- und Revisionseinheiten darüber informieren.

6.5 Wenn ein Mitarbeiter diese Richtlinie vorsätzlich nicht einhält und die Kontrollverfahren, für die er verantwortlich ist, nicht befolgt, wird der Mitarbeiter gemäß den Anforderungen des anwendbaren Rechts mit Disziplinarmaßnahmen bis hin zur Kündigung belegt.

7. Überwachung der ICS-Effizienz

7.1 Der Zweck der Überwachung besteht darin, die Wirksamkeit des internen Kontrollsystems des Unternehmens zu bewerten, einschließlich seiner Fähigkeit, die Erfüllung seiner Ziele und Zielsetzungen sicherzustellen, sowie die Wesentlichkeit der Mängel des Systems zu bestimmen.

7.2 Die Überwachung des Systems der internen Kontrolle der Finanzberichterstattung umfasst:

  • Umsetzung durch die Leitung der Einheiten der ständigen Kontrolle über die Umsetzung der Kontrollverfahren in den ihnen rechenschaftspflichtigen Einheiten;
  • Durchführung einer Selbstbewertung des internen Kontrollsystems im Unternehmen;
  • Durchführung regelmäßiger Überprüfungen der Durchführung von Kontrollverfahren und Überprüfungen der Übereinstimmung der Vorgänge mit den Anforderungen der Gesetzgebung und den Bestimmungen der Regulierungsdokumente der Organisation durch die interne Revisionsstelle;
  • Beurteilung der Wirksamkeit des internen Kontrollsystems über den Prozess der Abschlusserstellung durch den externen Abschlussprüfer
  • rechtzeitige Übermittlung von Informationen über die festgestellten Mängel des Systems der internen Kontrolle der Finanzberichterstattung an Interessengruppen innerhalb der Management-Branche.

7.3 Die Selbstbeurteilung der Wirksamkeit des IKS (im Folgenden – Selbstbeurteilung des IKS) erfolgt direkt durch die Subjekte des IKS durch:

  • Verteilung von Fragebögen - wird verwendet, um Informationen über die Wirksamkeit der Funktionsweise des IKS und Änderungen in den Geschäftsprozessen von Mitarbeitern und Abteilungsleitern des Unternehmens zu sammeln.
  • Überwachung des Zustands des IKS ist der Prozess der Überprüfung der Vollständigkeit, Rechtzeitigkeit der Umsetzung und Korrektheit der Dokumentation der CP.
  • Bewertung der Wirksamkeit von Kontrollverfahren - Analyse der Wirksamkeit der Beschreibung und Durchführung von Kontrollen sowie Analyse der Angemessenheit von Kontrollverfahren (Bewertung, wie viel Kontrolle, vorbehaltlich ihrer effektiven Umsetzung, geeignet ist, die Risiken effektiv zu reduzieren entsprechend).

7.4 Eine regelmäßige Evaluierung des IKS hilft, seine Wirksamkeit zu verbessern, indem es:

  • rechtzeitige Erkennung von Änderungen in Geschäftsprozessen, Design oder Phasen der Implementierung von Kontrollverfahren;
  • Steigerung der Motivation von Control Executors und ihren Managern durch direkte Beteiligung an der Verbesserung des internen Kontrollsystems und ständige Kontrolle der Qualität der CP-Implementierung;
  • Bereitstellung einer Informationsgrundlage für das Management der Gesellschaft, um die Effektivität der Funktionsweise des IKS zu bestätigen.

7.5 Die Ergebnisse der IKS-Beurteilung sind zu dokumentieren und der Unternehmensleitung und dem Prüfungsausschuss des Verwaltungsrats vorzulegen:

  • Basierend auf den Ergebnissen der IKS-Prüfung erstellt die Interne Revision einen Bericht;
  • Der externe Prüfer erstellt ein Schreiben an das Management über wesentliche Mängel, die auf der Grundlage der Ergebnisse einer externen unabhängigen Bewertung des IKS festgestellt wurden;
  • Basierend auf den Ergebnissen der von den Strukturbereichen des Unternehmens durchgeführten IKS-Selbsteinschätzung erstellt die Interne Kontrolle einen Bericht.

8. Vornehmen von Ergänzungen und Änderungen an der Richtlinie

8.1 Bei Änderung und Ergänzung von Rechtsakten, Anforderungen von Aufsichtsbehörden und aufsichtsrechtlichen Dokumenten der Gesellschaft, die das Funktionieren des internen Kontrollsystems regeln, können Änderungen und Ergänzungen dieser Richtlinie nur durch ordnungsgemäß ausgeführte Entscheidungen des Verwaltungsrats der Gesellschaft vorgenommen werden. Der Verwaltungsrat der Gesellschaft kann auch beschließen, eine neue Version der Richtlinie zu genehmigen.

Anhang 1. ICS-Komponenten nach der COSO-Methodik

Die interne Kontrolle besteht gemäß dem COSO-Modell "Internal Control-Integrated Framework" aus fünf miteinander verbundenen Komponenten, die sich aus der Art und Weise ergeben, wie Geschäfte geführt werden, und mit dem Prozess ihrer Verwaltung verbunden sind. Zu den fünf Komponenten gehören:

Kontrollumfeld: Das Kontrollumfeld schafft eine Atmosphäre in einer Organisation, die das Bewusstsein der Mitarbeiter für die Bedeutung der Durchführung von Kontrollen beeinflusst. Sie ist die Grundlage für alle anderen Komponenten der internen Kontrolle und sorgt für Ordnung und Disziplin. Zu den Faktoren des Kontrollumfelds gehören Integrität, ethische Werte, Führungsstil, System der Verteilung von Befugnissen und Verantwortlichkeiten sowie die Prozesse der Führung und Entwicklung des Personals in der Organisation. Außerdem hängt die Wirksamkeit des Kontrollumfelds von der Aufmerksamkeit des Verwaltungsrats für dieses Thema ab.

Risikoabschätzung: Jede Organisation ist mit unterschiedlichen externen und interne Risiken die es auszuwerten gilt. Eine Voraussetzung für die Risikobewertung ist die Definition von Zielen, daher beinhaltet die Risikobewertung die Identifizierung und Analyse relevanter Risiken, die mit der Erreichung festgelegter Ziele verbunden sind. Gefährdungsbeurteilung ist notwendige Bedingung Risikomanagement.

Kontrollen: Kontrollen sind Richtlinien und Verfahren, die sicherstellen, dass Managemententscheidungen durchgesetzt werden. Sie tragen dazu bei sicherzustellen, dass die erforderlichen Maßnahmen in Bezug auf Risiken ergriffen werden, die die Organisation daran hindern könnten, ihre Ziele zu erreichen. Kontrollen werden in der gesamten Organisation, auf allen Ebenen und in allen Funktionen ausgeübt. Sie umfassen eine Reihe von Tätigkeiten wie Genehmigungen, Genehmigungen, Kontrollen, Abstimmungen, Tätigkeitsberichte, Vermögenserhaltung und Aufgabentrennung.

Information und Kommunikation: Alle notwendigen Informationen müssen zeitnah ermittelt, formuliert und an die zuständigen Mitarbeiter kommuniziert werden, damit diese ihre Aufgaben vollumfänglich erfüllen können. Informationssysteme spielen auch eine wichtige Rolle im internen Kontrollsystem, da sie Finanzinformationen sowie Informationen über den Betrieb und die Einhaltung der Gesetze enthalten, die es Ihnen ermöglichen, das Geschäft zu führen und zu kontrollieren. Dabei geht es nicht nur um die Verbreitung unternehmensinterner Informationen, sondern auch um die Information der Mitarbeiter über externe Ereignisse und Aktivitäten, die für verschiedene Entscheidungen notwendig sind. Effektive Kommunikation im weiteren Sinne sollte den Informationsfluss nach oben und unten und zwischen den Abteilungen in der gesamten Organisation sicherstellen. Es ist wichtig, dass die Mitarbeiter des Unternehmens von der Geschäftsleitung eine klar artikulierte Position zur Bedeutung der Erfüllung ihrer Verantwortlichkeiten in Bezug auf die interne Kontrolle erhalten. Es ist auch wichtig, dass jeder Mitarbeiter seine Rolle im internen Kontrollsystem klar versteht und weiß, wie das Ergebnis seiner Arbeit mit den Aktivitäten anderer Mitarbeiter zusammenhängt. Das Personal muss sich der Notwendigkeit bewusst sein, alle wichtigen Informationen an die Unternehmensleitung weiterzugeben. Auch mit externen Parteien wie Kunden, Lieferanten, Aufsichtsbehörden und Aktionären muss eine effektive Kommunikation zu Angelegenheiten im Zusammenhang mit den Interessen des Unternehmens sichergestellt werden.

Überwachung: Das interne Kontrollsystem muss überwacht werden - ein Prozess der regelmäßigen Bewertung der Qualität seiner Arbeit. Dies wird durch eine kontinuierliche Überwachung der Ausführungsqualität bestimmter Vorgänge, durch separate Prüfungen zur Bewertung der Wirksamkeit eines bestimmten Prozesses oder durch eine Kombination dieser beiden Optionen erreicht. Es erfolgt eine ständige Überwachung auf täglicher Basis, inkl. Tätigkeiten zur Führung und Steuerung relevanter Prozesse sowie sonstige Tätigkeiten im Rahmen der Wahrnehmung von Personalaufgaben. Der Umfang und die Häufigkeit der einzelnen Audits hängen vom Bewertungsniveau der relevanten Risiken sowie von den Ergebnissen der laufenden Überwachung dieser Vorgänge ab. Während der Überwachung festgestellte interne Kontrollmängel sollten dem Management zur Kenntnis gebracht werden, und die wichtigsten Kommentare sollten dem Senior Management und dem Board of Directors übermittelt werden.

Die enge Verzahnung dieser Komponenten gewährleistet die Bildung eines integrierten Systems, das in der Lage ist, schnell auf neue Herausforderungen zu reagieren. Das interne Kontrollsystem ist ein integraler Bestandteil der Geschäftstätigkeit. Das effektivste IKS ist, wenn die Kontrollen in die Infrastruktur der Organisation eingebaut und Teil ihrer Essenz sind. Integrierte Kontrollen verbessern die Qualität und Effektivität von Ereignissen, helfen zusätzliche Kosten zu vermeiden und ermöglichen eine schnellere Reaktion auf bestimmte Ereignisse.


„COSO – Das Komitee der Förderorganisationen der Treadway Commission, USA“

Ausschuss der Sponsororganisationen der Treadway-Kommission(Englisch) Das Komitee von Sponsoring Organisationen von das Laufsteg Kommission, COSO) - ist eine freiwillige private Organisation, die in den Vereinigten Staaten gegründet wurde und darauf ausgerichtet ist, die Unternehmensleitung angemessen zu kritischen Aspekten der Unternehmensführung, der Geschäftsethik, der Finanzberichterstattung, der internen Kontrollen, des Risikomanagements des Unternehmens und der Betrugsprävention zu beraten.



Empfohlen
Gibt es einen Mittler zwischen Gott und den Menschen?
Jacob's Dream - Kommentar zum Tageskapitel Jacob's Wonderful Dream
Batterieladeregler
Hochfrequenz-Millivoltmeter mit linearer Skala Millivoltmeter mit variabler Spannung