Interne Kontrolle und Risikomanagement Februar. Standards. Kurze Kommentare zu Standards

Schönheit

Das Komitee der Trägerorganisationen der Treadway Commission (COSO) hat ein gemeinsames internes Kontrollmodell entwickelt, anhand dessen Unternehmen und Organisationen, einschließlich Banken, ihre eigenen Governance-Systeme bewerten können. COSO wurde 1985 gegründet. unterstützt von der National Commission on Financial Reporting Fraud (Treadway Commission).

Das COSO-Modell definiert interne Kontrolle Organisationen als ein vom Vorstand, dem Top-Management und anderen Mitarbeitern der Organisation durchgeführter Prozess, der darauf abzielt, „angemessene Sicherheit“ hinsichtlich der Erreichung der Ziele in den folgenden Kategorien zu bieten:

  • Effizienz und Produktivität des Betriebs;
  • Zuverlässigkeit der Finanzberichterstattung;
  • Einhaltung von Gesetzen und Vorschriften.

Modell COSO-intern Die Steuerung umfasst mehrere Grundkonzepte:

    Interne Kontrolle ist ein Prozess. Es ist ein Mittel zum Zweck, kein Selbstzweck;

    Die interne Kontrolle hängt von den Menschen ab. Es repräsentiert nicht nur Führungsrichtlinien und -formen, sondern auch Menschen auf allen Ebenen des Unternehmens;

    Die interne Kontrolle kann der Geschäftsführung und dem Vorstand des Unternehmens nur ausreichendes Vertrauen, aber keine absoluten Garantien bieten.

    Die interne Kontrolle zielt darauf ab, Ziele in einer oder mehreren separaten, aber sich überschneidenden Kategorien zu erreichen.

Die Essenz des COSO-Modells lässt sich wie folgt ausdrücken: Sie managen, wenn das Risiko bewertet und gemanagt wird.

Zu den Elementen der internen Kontrolle nach dem COSO-System gehören (Tabelle 1):

1) Kontrollumgebung;
2) Risikobewertung;
3) Kontrollmaßnahmen;
4) Sammlung und Analyse von Informationen sowie deren Übermittlung an den Zielort;
5) Überwachung und Fehlerkorrektur.

Tabelle 1. Komponenten des internen Kontrollsystems

Komponente Beschreibung Wesentliche Elemente
Kontrollumfeld Kenntnis und Handeln von Vertretern des Eigentümers und der Geschäftsführung in Bezug auf das interne Kontrollsystem der Organisation sowie Verständnis für die Bedeutung eines solchen Systems für die Aktivitäten dieser Organisation - Zuverlässigkeit, Ehrlichkeit und Moral;
- Kompetenz;
- Philosophie und Führungsstil;
- organisatorische Struktur;
- Verteilung von Rechten und Pflichten;
- Personalpolitik und -praxis.
Risikoabschätzung Identifizierung und Bewertung möglicher Risiken bei der Erstellung von Abschlüssen - Gesetzesänderungen;
- Änderungen der Geschäftsbedingungen;
- Abschätzung der Folgen.
Informationen und Netzwerke Stellen Sie sicher, dass die Mitarbeiter die Rolle ihrer Mitwirkung im Prozess der Erstellung von Finanzberichten (Buchhaltungsberichten) verstehen - Erfassung, Verarbeitung, Zusammenfassung und Darstellung der Geschäftstätigkeit von Organisationen;
- Aufgabenverteilung;
- Bereitstellung von Informationen für Führungskräfte verschiedener Ebenen.
Kontrollverfahren Stellen Sie Richtlinien und Verfahren bereit, die dazu beitragen, dass den Anweisungen des Managements Folge geleistet wird - Überprüfung der Auftragsausführung (Berichte);
- Datenverarbeitung;
- Überprüfung der Anwesenheit und des Zustands von Gegenständen;
- Aufgabenverteilung.
Überwachung Überwachung, ob die Steuerungen ordnungsgemäß funktionieren. Dabei handelt es sich um den Prozess der Bewertung der effektiven Funktionsweise des internen Kontrollsystems im Laufe der Zeit - kontinuierliche Überwachung;
- regelmäßige Kontrolle.

Das Modell umfasst acht Komponenten:

    interne Umgebung. Das interne Umfeld ist die Atmosphäre in der Organisation und bestimmt, wie das Risiko von den Mitarbeitern der Organisation wahrgenommen wird und wie sie darauf reagieren. Das interne Umfeld umfasst die Philosophie des Risikomanagements und der Risikobereitschaft, Integrität und ethische Werte sowie das Umfeld, in dem sie existieren;

    Ziele setzen. Ziele müssen definiert werden, bevor das Management damit beginnt, Ereignisse zu identifizieren, die sich auf deren Erreichung auswirken könnten. Der Risikomanagementprozess bietet eine angemessene Garantie dafür, dass die Unternehmensleitung über einen ordnungsgemäß organisierten Prozess zur Auswahl und Festlegung von Zielen verfügt und dass diese der Mission der Organisation und dem Grad ihrer Risikobereitschaft entsprechen.

    Ereignisidentifikation. Interne und externe Ereignisse, die das Erreichen der Ziele der Organisation beeinflussen, sollten unter Berücksichtigung ihrer Trennung in Risiken oder Chancen ermittelt werden. Chancen sollten vom Management bei der Strategieformulierung und Zielsetzung berücksichtigt werden;

    Risikoabschätzung. Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit und Auswirkung analysiert, um zu ermitteln, welche Maßnahmen in Bezug auf sie ergriffen werden müssen. Risiken werden hinsichtlich des inhärenten Risikos und des Restrisikos bewertet.

    Risiko-Reaktion. Das Management wählt eine Methode zur Reaktion auf Risiken – Risiko vermeiden, Risiko akzeptieren, reduzieren oder umverteilen – indem es eine Reihe von Aktivitäten entwickelt, die es ermöglichen, das identifizierte Risiko mit dem akzeptablen Risikoniveau und der Risikobereitschaft der Organisation in Einklang zu bringen;

    Überwachungsaktivitäten. Richtlinien und Verfahren sind so konzipiert und etabliert, dass sie hinreichende Sicherheit dafür bieten, dass die Reaktion auf neu auftretende Risiken wirksam und zeitnah erfolgt;

    Information und Kommunikation. Die erforderlichen Informationen werden in einer solchen Form und innerhalb eines solchen Zeitrahmens ermittelt, erfasst und übermittelt, dass die Mitarbeiter ihre funktionalen Aufgaben erfüllen können. Auch innerhalb der Organisation findet ein effektiver Informationsaustausch statt, sowohl vertikal von oben nach unten und von unten nach oben als auch horizontal;

    Überwachung. Der gesamte Risikomanagementprozess der Organisation wird überwacht und bei Bedarf angepasst. Die Überwachung erfolgt im Rahmen laufender Managementaktivitäten oder durch periodische Auswertungen.

Zusammenfassend stellen wir Folgendes fest:

    Bei COSO sehr wichtig an die innere Umgebung gebunden.

    COSO ist viel Größerer Wert Der Überwachung der internen Kontrolle als Form der Folgekontrolle wird besondere Bedeutung beigemessen. Die Überwachung ist eines der Hauptelemente des COSO-Modells.

    Bei COSO wird der Arbeit des Vorstands große Bedeutung beigemessen.

Literatur:

  1. Kakovkina T.V. Das interne Kontrollsystem als Mittel zur Identifizierung der Risiken der Organisation // Internationale Rechnungslegung. 2014, №36
  2. Kalacheva O.N. Probleme der internen Kontrolle in Organisationen kleiner und mittlerer Unternehmen // Wirtschaftsprüfer. 2015, №10
  3. Krainova V.V. Konkretisierung von Anweisungen zur Entwicklung der internen Kontrolle in Organisationen der Binnenschifffahrt // Internationale Rechnungslegung. 2014, №46
  4. Koske M.S., Mishuchkova Yu.G., Voyutskaya I.V. Interne Kontrolle als Arbeitsfunktion des Hauptbuchhalters // Internationale Rechnungslegung. 2015, №6
  5. Puchkova A.O. Die Notwendigkeit, das interne Kontrollsystem und seine Elemente während der Prüfung zu bewerten // Auditorskie Vedomosti. 2012. №1/2
  6. Pashkov R. Überwachung des internen Kontrollsystems // Rechnungswesen und Banken. 2015. №1
  7. Yanova Ya.Yu. Das Konzept der risikoorientierten internen Kontrolle – ein anzustrebendes Ideal // Interne Kontrolle in einem Kreditinstitut. 2014. №4
  8. Interne Kontrolle – Integriertes Rahmenwerk (2013)

Zunächst muss gesagt werden, dass es in Russland nahezu keine Standards für Risikomanagement, interne Kontrolle und interne Revision gibt. Ich finde es schlecht, weil es viele interessante Dinge gab. Aber es ist durchaus möglich, bürgerliche zu verwenden. Schlüsselproblem besteht in ihrer Interpretation durch viele Experten: für das Risikomanagement – ​​mit Schwerpunkt auf Finanzrisiken, für Leiter der internen Kontrolle und interne Revision – mit Schwerpunkt auf Berichterstattung. Das heißt, Sie müssen bedenken, dass jeder Standard viele Komponenten enthält, und wenn Sie sich alle merken, können Sie einen viel größeren Nutzen erzielen.

Die bekanntesten Standards sind:

  • Risikomanagement: FERMA-Standard (Federation of European Risk Managers Associations), COSO ERM-Standard (COSO – Committee of Sponsoring Organizations of the Treadway Commission, ERM – Enterprise Risk Management), GOST ISO31000;
  • für interne Kontrollsysteme - COSO IC IF-Standard (Internal Control - Integrated Framework);
  • für die interne Revision - Internationale Stiftungen Berufspraxis (MOPP).

Wo kann man die Normen nachlesen?

Ursprünglich wurden alle Standards natürlich weiter entwickelt Englische Sprache. Es gibt jedoch Übersetzungen ins Russische.

FERMA – einst gab es sowohl eine russische als auch eine englische Version im öffentlichen Bereich. Website - http://ferma.eu. Jetzt ist es leider verschwunden, aber unter dem Link gibt es das aktuellste.

Während meiner Beobachtung gab es mehrere Übersetzungen. Besonders gut hat mir in einer Übersetzung der Satz gefallen

„Während die Risikoidentifizierung von unabhängigen Beratern durchgeführt werden kann, dürfte eine intern durchgeführte Bewertung mit enger Zusammenarbeit zwischen den Abteilungen und unter Verwendung der vorgestellten Prozesse und Tools auf konsistente und koordinierte Weise effektiver sein.“

wurde durch einen Satz ersetzt (jetzt auf der FERMA-Website korrigiert, hängt immer noch auf der Rusrisk-Website)

« Die Risikoidentifizierung der Organisation wird in der Regel von unabhängigen Beratern durchgeführt.. Für einen erfolgreichen Risikomanagementprozess ist jedoch ein „richtiges“ Verständnis und eine Analyse der Risiken durch die Organisation von großer Bedeutung.

Im Allgemeinen wurde überhaupt kein Dampfbad genommen. Natürlich verdient jeder sein Geld, so gut er kann, aber Hinweise auf materielle Unterstützung für seine Lieben könnten subtiler sein.

GOST ISO31000 ist sowohl bei Google als auch bei Yandex gleichermaßen leicht zu finden.

COSO-Standards – nur „konzeptionelle Grundlagen“ in Englisch und Russisch sind frei verfügbar. Website - www. coso.org. Eine offizielle Übersetzung wurde 2015 auf Russisch veröffentlicht, sie wird vom Institut für Interne Revision verkauft, ich habe sie nicht gelesen, sie kostete 2000 Rubel. Von der „Shareware“ gibt es eine „offizielle“ Übersetzung (übrigens gut lesbar und hochwertig) von COSO ERM und einen „inoffiziellen“ Teil von COSO IC IF. Es befindet sich im geschlossenen Teil der Website des Instituts für Interne Revision der Russischen Föderation, die Website lautet http://iia-ru.ru. Nur IVA-Mitglieder können den geschlossenen Teil betreten.

MOPP – teilweise gemeinfrei verfügbar (aber nicht alle, der Nutzen für die Einrichtung beginnt mit praktischen Anweisungen), der Rest befindet sich im geschlossenen Teil der Website des Instituts für Interne Revision der Russischen Föderation (http://iia -ru.ru). Ich stelle fest, dass MOPP trotz des Umfangs eine recht leichte Lektüre ist (zumindest für mich), die Übersetzung ist von sehr hoher Qualität.

Insgesamt: Alle notwendigen Standards können für 2500 Rubel als Mitgliedsbeitrag des Instituts für Interne Revisionen erworben werden. Angemessener Preis, es gibt auch Boni in Form mehrerer interessante Vorträge. Um ein komplettes Set in russischer Sprache zu erhalten, müssen Sie außerdem ein Buch kaufen. Der Preis für Mitglieder des Instituts beträgt 1800 Rubel.

Ein bisschen Geschichte.

Erster moderne Form Der COSO IC IF-Standard erschien 1992. Im Jahr 2013 wurde eine neue Version erstellt.

Aus irgendeinem Grund mag COSO alle Arten von Würfeln sehr. Ich werde einen traditionellen COSO-Würfel geben, ich habe speziell die schlechteste Version gefunden (auf den Kopf gestellt, als würde ich mit der Überwachung beginnen).

Viel sinnvoller ist die folgende Darstellung:

Warum ist es vernünftig? Erstens ist das Kontrollumfeld für die gesamte Organisation wichtig. Die Überwachung sollte den gesamten Prozess der internen Kontrolle abdecken. Der Prozess selbst ist recht banal, er repräsentiert nämlich die Beziehung „Risiken → Kontrollverfahren“ mit der entsprechenden Informationsunterstützung. Zweitens sollte die Überwachung alle anderen Komponenten umfassen.

Im Jahr 2002 erschien der FERMA-Standard. Mir gefällt es am besten wegen seiner geringen Größe. Schaltplan nach diesem Standard arbeiten - im Bild.

Es kann auch darauf hingewiesen werden, dass der FERMA-Standard keinen Schwerpunkt auf die Berichterstattung der Organisation als Schlüsselkomponente (z. B. die Art des Risikos) legt. Der Grund ist ziemlich banal: Europäische Risikomanager (und FERMA ist ihre Organisation) sind nicht aus Buchhaltern, sondern aus Versicherern und Finanziers hervorgegangen. Der Ursprung erklärt meines Erachtens die Klassifizierung:

Banker und Versicherer unterscheiden finanzielle Risiken und Gefahren in einer eigenen Kategorie. Warum – ich denke, es ist klar. Alle anderen (sowohl interne Revisionen als auch COSO) sind aus der Berichterstattung hervorgegangen, daher gibt es sowohl in den internen Revisionsstandards als auch in den COSO-Standards verbindliche Ziele im Bereich der Berichtssicherheit und der Einhaltung der Gesetze (Compliance).

Was geschah als nächstes (Version – nur meine Meinung). Das COSO-Kreativteam dachte sich nach der Analyse des neuen Standards etwa Folgendes: Warum hat jeder bereits eine Strategie und wir kauen immer noch Rotz. Und in etwa anderthalb Jahren zeichneten sie einen weiteren Würfel, indem sie den COSO ERM-Standard (2004) schrieben:

Um zu verdeutlichen, woher es wächst - ein zusätzliches Bild:

Meiner Meinung nach ist alles klar. Sie können auch die Komponenten entlang der vertikalen Achse aus dem COSO-Würfel und die in FERMA beschriebene Aktionsfolge vergleichen.

In fünf Jahren Internationale Organisation Die ISO hat ihren Risikomanagementstandard veröffentlicht. ISO-Dokumente werden unter dem Gesichtspunkt des Geschäfts (und nicht des Verkaufs von Beratungsleistungen) entwickelt. Daher ist ISO31000:2009 meines Erachtens der optimale Standard im Hinblick auf das Verhältnis von Volumen zu Nutzen, obwohl eine Übersetzung vom Russischen ins Russische erforderlich ist. Übrigens hat die ISO das Prinzip des Risikomanagements in die in Russland bekannteste Norm ISO9000 eingeführt, was in den Reihen der Qualitätsmanagementsystemdirektoren eine gewisse Panik auslöste.

Die Standards der Internen Revision haben sich in den letzten 50 Jahren erheblich weiterentwickelt. Angefangen hat alles mit Buchhaltung und Compliance. Die aktuelle Version ist eine Bewertung der Risiken und Wirksamkeit der Kontrolle im Hinblick auf:

  • Zuverlässigkeit und Integrität von Informationen zu Finanz- und Wirtschaftstätigkeit;
  • Effizienz und Wirksamkeit der Aktivitäten;
  • Sicherheit von Vermögenswerten;
  • Einhaltung der Anforderungen von Gesetzen, Vorschriften und vertraglichen Verpflichtungen.

Wie Sie sehen können, stimmen die drei Komponenten mit COSO IC IF überein (ich kann nicht sagen, wo sie zum ersten Mal auftauchten, kein Historiker), und die Sicherheit von Vermögenswerten besteht offenbar seit 1957 (oder seit 1947?). Ich weiß nicht, warum es gesondert hervorgehoben werden sollte: Ich glaube nicht, dass die Aktivität als effektiv und effizient anerkannt werden kann, wenn Diebstahl oder Vermögensverlust aufgrund unsachgemäßer Lagerung vorliegt.

Kurze Kommentare zu den Standards.

Es ist wünschenswert, alles zu lesen. Relativ einfache Standards hinsichtlich der Lesbarkeit sind FERMA, ISO31000 und MOPP. FERMA hat nur ein kleines Volumen, für MOPPs kann es auf Standards (MPSVA) beschränkt werden, praktische Richtlinien sind nur Empfehlungen (wenn auch strenge). Die Lesbarkeit lässt sich einfach erklären: FERMA und ISO haben Standards für Risikomanager geschrieben, das Institute of Internal Auditors – für interne Auditoren. Es ist äußerst wünschenswert, dass beide die gleiche Sprache sprechen, einschließlich der Gewährleistung einer einheitlichen Herangehensweise. Dementsprechend war es besser, sehr komplexe Strukturen und Unsicherheiten zu vermeiden, was auch getan wurde.

COSO ist ein grundlegendes, mehrbändiges Werk, für COSO ERM wurde bis zu 30 PwC-Partnern gedankt. Meiner Meinung nach wäre das Dokument besser geworden, wenn weniger Partner beteiligt gewesen wären – es ist tatsächlich eine „umgekehrte Synergie“ entstanden. Ein Merkmal der COSO-Standards: Aus den „konzeptionellen Grundlagen“ geht nichts hervor, das Verständliche beginnt im allerletzten Dokument (z. B. COSO ERM – „Anwendung“). Sie müssen verstehen, dass es sich bei den Autoren um Wirtschaftsprüfer und Berater handelt. Sie müssen keinen klaren Standard festlegen: Warum Einnahmen verlieren? Daher ist es notwendig, dass die „Hand des Lesers zum Telefon“ eines Partners eines großen Beratungsunternehmens greift. Meiner Meinung nach hat es funktioniert. Beachten Sie auch, dass es im Gegensatz zu dieser Website keinen „End-to-End“-Ansatz gibt: Es gibt keine Logik „hier gehen wir eine Reihe von Risiken ein, hier bewerten wir sie, hier verwalten wir sie, hier können wir prüfen“. Die Beispiele sind sicherlich nicht schlecht. Aber wenn Sie versuchen, sie auf ein Unternehmen anzuwenden, wird höchstwahrscheinlich wenig funktionieren. Generell habe ich persönlich übrigens eine absolut ausgeglichene Einstellung zu COSO-Dokumenten. Es gibt nützliche Dinge, aber es lohnt sich wirklich nicht, mit einem Atemzug über diese Standards zu sprechen, wie manche Frauen in Gegenwart von Ausländern.

Beim Aufbau des Risikomanagements empfehle ich die Verwendung von FERMA und ISO31000, falls etwas nicht in FERMA geschrieben ist. Interne Kontrolle ist ein spezielles Thema, traditionell kann COSO IC IF nur zur Erstellung nicht sehr nützlicher Dokumente verwendet werden. Das Problem mit COSO IC IF liegt in seiner Interpretation, bei der es sich entweder um eine Philosophie der Kontrollumgebung oder der Berichterstattung handelt, die kommentiert wird. Und die interne Revision – es gibt unterstützte Standards, ich habe den Ethikkodex unterzeichnet (als Mitglied der IVA), also bleibt nichts anderes übrig als der MOPP.

Warum erwähne ich SOX nicht?

Ich habe vom Sarbanis-Oxley-Gesetz gehört. Übrigens ist Sarbanis ein Grieche, also nicht Sarbanes. Meiner Meinung nach arbeiten derzeit die brillantesten Verkäufer bei big4.

Erinnern wir uns daran, wie SOX erschien. Es entstand als Ergebnis einer völlig fiktiven Berichterstattung über eine Reihe von Unternehmen. Was die Gründe dafür betrifft, stimmen unsere Meinungen mit einem Expertenkollegen nicht überein. Ich halte das für absolute Unprofessionalität und Gier: Es ist klar, dass die Berichterstattung, gepaart mit Beratungsverträgen für das gleiche Geld, auch jemand anderes von big5 übernehmen könnte. Ja, und die Vernichtung der Unterlagen des Wirtschaftsprüfers sagt viel aus.

Der Kollege weist darauf hin, dass es zumindest einige systemische Mängel im Prüfungsmanagement gibt und führt mehrere Argumente dafür an, dass die Prüfung der Rechnungslegung ohne größere Gewissensbisse hätte erfolgen können:

  • kurze Zeit für das Audit. Die Börse ruft zum „Go-Go“ auf, das Thema des beschleunigten Periodenschlusses ist ein interessantes Beratungsthema. Die Sache ist meiner Meinung nach die schädlichste, da sie tatsächlich zur Unzuverlässigkeit der Berichterstattung beiträgt und keine Zeit für die üblichen Kontrollverfahren zur Überprüfung von Dokumenten lässt („unten“ müssen alle Dokumente in 1-2 Tagen fertiggestellt sein). ;
  • Personalqualifikationen. Alles wird von den Praktikanten überprüft, jeder wird dem Standort zugewiesen. Die Ströme sind groß, Unternehmen mit überhöhten Finanzergebnissen sollten von der Forensik und nicht nur von Wirtschaftsprüfern erfasst werden. Angesichts der für die Prüfung vorgesehenen Zeit ist es wahrscheinlich, dass die Aussagen ohne böswillige Absicht bestätigt werden. Und der dienstälteste Genosse, der das IKS bestätigen sollte, tat dies durch formelle Compliance-Tests, die alle Wirtschaftsprüfer in Hülle und Fülle haben. Das Ergebnis der Qualitätskontrolle ist, dass die Arbeitspapiere ausgefüllt sind, und es ist gut, dass niemand wirklich in nicht standardmäßige Vorgänge einsteigen konnte: Das interne Kontrollsystem ist auf dem gleichen Niveau, die Stichprobe ist zufällig;
  • Partneranforderungen. Ja, natürlich gab es Fehler und Ungereimtheiten. Reichte es aus, zuzugeben, dass die Berichterstattung gefälscht war und mit dem Kunden zu streiten? Jeder einzelne Fehler ist angesichts der kleinen Stichprobe vielleicht nicht der Fall. Und sie haben nicht auf das Ganze geschaut.

Was auch immer es war, das Ergebnis ist einfach erstaunlich. Anstatt zu „vermasseln“, wie der Präsident der Republik Belarus A.G. Lukaschenka über sein Parlament, die gesamte Wirtschaftsprüfungsgemeinschaft, es gibt zusätzliche Anforderungen nicht an die Wirtschaftsprüfer, die den Betrug aufgedeckt haben, sondern an die Unternehmen selbst (einschließlich derjenigen, die ehrlich gelebt haben). Und diese Anforderungen werden seltsamerweise von den Prüfern selbst formuliert. Es ist klar, dass die Anforderungen so formuliert sind, dass Wirtschaftsprüfer wieder benötigt werden (naja, das heißt, sie heißen Berater, sind aber territorial in einer benachbarten Abteilung einer Wirtschaftsprüfungsgesellschaft angesiedelt). Weiter ist alles klar.

Fazit: Zusätzlich zu einer formellen Prüfung des Jahresabschlusses musste jedes öffentliche Unternehmen die Einrichtung einer internen Kontrolle nach SOX anordnen (naja, oder Personal einstellen, was auch nicht billig ist). Gleichzeitig stiegen die Kosten einer externen Prüfung, da sich der Regelaufwand durch die Beurteilung des IKS über die Erstellung von Berichten erhöhte. Gleichzeitig gibt es meines Wissens keine grundsätzliche Reduzierung der Kosten für externe Revisionsdienste, selbst wenn das System der internen Kontrolle über die Erstellung von Berichten von der internen Revision auf Herz und Nieren geprüft wird.

Übrigens erbringt Big4 derzeit keine Prüfungs- und Beratungsdienstleistungen mehr für dieselbe Organisation. Das heißt, die Kosten für Beratungsleistungen für Unternehmen sind tatsächlich gestiegen (das Prinzip „Großhandel günstiger“ wurde abgeschafft).

Im Allgemeinen ist das wichtigste Ergebnis eines von Wirtschaftsprüfern verursachten Prüfungsskandals eine Steigerung der Einnahmen der Prüfer. „Es ist großartig, nicht wahr?“ (© Zaitsev-Schwestern, Comedy Club). Deshalb versuche ich, das Wort SOX nicht zu verwenden.

Wenn Sie einen Fehler finden, markieren Sie bitte einen Textabschnitt und klicken Sie Strg+Eingabetaste.

COSO-Konzept „Organisationsrisikomanagement. „Integration mit Strategie und Leistung“ (COSO ERM) 2017 in russischer Sprache wurde im Online-Buchladen TOTbook.ru zum Verkauf angeboten. Es ist unter folgendem Link verfügbar: https://totbook.ru/catalog/345/1136970/

Das COSO ERM-Konzept besteht aus 3 Büchern:

1. Hauptbuch (110 Seiten)

2. Bewerbungen (30 Seiten)

3. Zusammenfassung (10 Seiten)

Das COSO ERM-Konzept zielt darauf ab, die Beziehung zwischen Risiko, Strategie und Unternehmenswert zu erhöhen. Es betrachtet das Risiko im Hinblick auf seine Rolle bei strategischen Entscheidungen, die sich letztendlich auf die Leistung der Organisation als Ganzes auswirken. Der erste Teil des Kernbuchs bietet einen Überblick über aktuelle und sich entwickelnde Konzepte und Anwendungen des organisatorischen Risikomanagements. Der zweite Teil des Kernbuchs, Conceptual Framework, besteht aus fünf Komponenten, die unterschiedliche Perspektiven und Betriebsstrukturen berücksichtigen und zur Verbesserung von Strategie und Entscheidungsfindung beitragen.

Ausschließliches Recht zur Veröffentlichung und Verbreitung (nur Druck) COSO-Konzepte Organisatorisches Risikomanagement. Integration with strategy and performance“ (COSO ERM) 2017 gehört dem Institute of Internal Auditors. Die Veröffentlichung dieser Veröffentlichung und die Übersetzung des Textes ins Russische erfolgte mit Unterstützung von Deloitte, CIS.

Dokumentstatus: Materialien für das CPT-Treffen

Entwicklerorganisation: PJSC Megafon

Klarstellung X/2013

„Organisation des internen Kontrollsystems“

1. Allgemeine Bestimmungen

1.1 Diese Richtlinie definiert das Verfahren zur Organisation und Funktionsweise des internen Kontrollsystems (im Folgenden als IKS bezeichnet) im Unternehmen, einschließlich der Beschreibung des Zwecks und der Aufgaben des IKS sowie der Rollen und Verantwortlichkeiten seiner Subjekte.

1.2 Diese Richtlinie wurde unter Berücksichtigung der Anforderungen und Empfehlungen entwickelt:

  • aktuelle Gesetzgebung Russische Föderation(einschließlich Artikel 19 des Gesetzes Nr. 402-FZ „Über die Rechnungslegung“);
  • interne Regulierungsdokumente des Unternehmens;
  • Verhaltenskodex für Unternehmen des Föderalen Finanzmarktdienstes der Russischen Föderation;
  • Leitung des Ausschusses der Sponsororganisationen der Treadway-Kommission „Interne Kontrolle. Integriertes Modell“ (1992).

2. Definition und Ziele der internen Kontrolle

2.1 Interne Kontrolle ist ein kontinuierlicher Prozess, der von allen Mitarbeitern und Führungskräften des Unternehmens auf allen Führungsebenen durchgeführt wird und darauf abzielt, Bedingungen für die Erreichung der Unternehmensziele in den folgenden Bereichen zu schaffen:

  • Effizienz und Effektivität der finanziellen und wirtschaftlichen Aktivitäten des Unternehmens;
  • Sicherheit von Vermögenswerten;
  • Einhaltung gesetzlicher Anforderungen, Vorschriften, interner Dokumente des Unternehmens und anderer geltender Anforderungen der Aufsichtsbehörden;
  • Zuverlässigkeit der Finanzberichterstattung.

2.2 Internes Kontrollsystem(SMC) – ein System organisatorischer Maßnahmen, Richtlinien, Anweisungen sowie Kontrollverfahren, Unternehmenskulturnormen und Maßnahmen, die vom Verwaltungsrat, der Geschäftsführung und den Mitarbeitern des Unternehmens ergriffen werden, um die ordnungsgemäße Durchführung der Geschäftsaktivitäten sicherzustellen: um sicherzustellen, dass finanzielle Stabilität des Unternehmens, um ein optimales Gleichgewicht zwischen seinen Wachstumskosten, Rentabilität und Risiken zu erreichen, für die ordnungsgemäße und effiziente Durchführung der Geschäftsaktivitäten, die Gewährleistung der Sicherheit von Vermögenswerten, die Identifizierung, Korrektur und Verhinderung von Verstößen, die rechtzeitige Erstellung zuverlässiger Finanzberichte und , wodurch die Investitionsattraktivität erhöht wird.

2.3 Die Gestaltung des internen Kontrollsystems im Unternehmen basiert auf einem risikoorientierten Ansatz. Darunter versteht man die enge Verzahnung des internen Kontrollsystems mit den Risikomanagementprozessen, die die rechtzeitige und wirksame Anwendung von Risikomanagementmethoden unter Nutzung wirksamer Mechanismen des internen Kontrollsystems gewährleistet. Gleichzeitig konzentrieren sich die Unternehmensleitung und ihre Mitarbeiter auf den Aufbau und die Verbesserung des internen Kontrollsystems, vor allem in den Tätigkeitsbereichen, die durch das höchste Risikoniveau gekennzeichnet sind.

2.4 Das System der internen Kontrolle über den Finanzberichterstattungsprozess(SVKFO) – ein System organisatorischer Maßnahmen, Richtlinien, Anweisungen sowie Kontrollverfahren, Unternehmenskulturnormen und Maßnahmen des Vorstands, der Geschäftsführung und der Mitarbeiter des Unternehmens, um Ziele im Bereich der Erstellung zuverlässiger Finanzberichte zu erreichen.

2.5 Die Ziele des Funktionierens des internen Kontrollsystems im Unternehmen sind:

  • Unterstützung beim Schutz der Interessen von Aktionären, Investoren und Kunden, Vorbeugung und Beseitigung von Interessenkonflikten, Unterstützung der effektiven Führung des Unternehmens und Erreichung strategischer Ziele auf effizienteste Weise;
  • Schaffung von Bedingungen zum Schutz des Unternehmens vor internen und externen Risiken, die sich im Rahmen seiner Tätigkeit ergeben, sowie vor den Risiken bei der Erstellung des Jahresabschlusses des Unternehmens;
  • Unterstützung bei der Sicherstellung der Einhaltung der Anforderungen der Gesetzgebung und der Regulierungsdokumente des Unternehmens durch das Unternehmen;
  • Schaffung von Voraussetzungen für die rechtzeitige Erstellung und Bereitstellung zuverlässiger Finanz-, Buchhaltungs-, Statistik-, Management- und sonstiger Berichte für externe und interne Benutzer;
  • Unterstützung bei der Gewährleistung der Sicherheit von Vermögenswerten und der effizienten Nutzung der Ressourcen und des Potenzials des Unternehmens.

3. Funktionsprinzipien und Bestandteile des IKS

3.1 Die Organisation und Funktionsweise des IKS im Unternehmen basiert auf folgenden Grundprinzipien:

  • Integration- Das IKS ist ein integraler Bestandteil der Unternehmensführung des Unternehmens und in seine Prozesse und täglichen Abläufe integriert. Das IKS umfasst Verfahren zur Information des Managements der entsprechenden Managementebene über alle wesentlichen Verstöße gegen finanzielle und wirtschaftliche Aktivitäten, Mängel usw schwache Punkte die festgestellten Kontrollen zusammen mit einer Analyse ihrer Ursachen, Einzelheiten zu den Korrekturmaßnahmen, die ergriffen wurden oder ergriffen werden sollten;
  • Kontinuität- Das IKS arbeitet kontinuierlich, kontinuierlich und auf allen Führungsebenen, was es dem Unternehmen ermöglicht, Abweichungen im internen Kontrollsystem rechtzeitig zu erkennen und deren Auftreten in der Zukunft zu verhindern;
  • Methodische Einheit - Die Umsetzung der IKS-Prozesse erfolgt auf Basis einheitlicher Anforderungen und Vorgehensweisen für alle Unternehmensbereiche;
  • Integrität/Komplexität- ICS ist auf allen Ebenen und in allen Unternehmensbereichen tätig, deckt alle Themen der internen Kontrolle und Aktivitäten und dementsprechend alle Risiken ab:
    • Die Verantwortung für den Aufbau und die Aufrechterhaltung eines zuverlässigen und effizienten IKS liegt bei den Leitern aller Führungsebenen des Unternehmens;
    • Kontrollverfahren existieren in allen Geschäftsprozessen und auf allen Führungsebenen;
    • Jeder Mitarbeiter des Unternehmens kennt, versteht und nimmt seine Rolle im internen Kontrollsystem wahr
  • Verantwortung- Alle Mitarbeiter und Führungskräfte auf allen Ebenen des Unternehmens sind im Rahmen ihrer Befugnisse für das Funktionieren des IKS verantwortlich;
  • Risikoorientierung- Das IKS im Unternehmen steht in engem Zusammenspiel mit dem Risikomanagementsystem, was zur rechtzeitigen und wirksamen Umsetzung von Maßnahmen zur Risikobeeinflussung beiträgt. Bei der Analyse von Kontrollverfahren ist es notwendig, das Ausmaß und die Eintrittswahrscheinlichkeit von Risiken, den Grad ihrer Auswirkungen auf die Ergebnisse der finanziellen und wirtschaftlichen Aktivitäten und die Erreichung der Unternehmensziele zu bewerten, was den Schluss zulässt, dass die bestehenden Kontrollverfahren ausreichend sind oder dass neue entwickelt und umgesetzt werden müssen.
  • Optimalität - Umfang und Komplexität der im Unternehmen eingesetzten Kontrollverfahren sind für ein wirksames Risikomanagement und die Erreichung der Unternehmensziele notwendig und ausreichend. Ressourcen und Kosten für die Implementierung und den anschließenden Betrieb von Kontrollverfahren sollten die Folgen der Risikorealisierung (Kosten-zu-Wirtschaftseffekt-Verhältnis) nicht übersteigen und die Gesamthöhe des Restrisikos sollte der Risikobereitschaft des Unternehmens entsprechen.
  • Aufgabentrennung- Das Unternehmen grenzt die Rechte und Pflichten der Subjekte der internen Kontrolle in Abhängigkeit von ihrer Einstellung zu den Prozessen der Entwicklung, Genehmigung, Anwendung und Überwachung des IKS ab. Es ist nicht zulässig, dass einem Mitarbeiter/einer Einheit gleichzeitig folgende Befugnisse übertragen werden:
    • Genehmigung von Transaktionen mit Vermögenswerten;
    • Durchführung von Operationen mit Vermögenswerten;
    • Buchhaltung/Registrierung von Vorgängen;
    • Überprüfung der Richtigkeit, Vollständigkeit und Tatsache des Vorgangs und Gewährleistung der Sicherheit von Vermögenswerten.
  • Formalisierung- ICS sollte formalisiert werden:
    • beschreibt die Risiken und Kontrollen für alle wesentlichen Geschäftsprozesse, die sich auf die Erreichung der Unternehmensziele auswirken;
    • die Ergebnisse der Umsetzung von Kontrollverfahren werden dokumentiert und gespeichert (Primärdokumente, Berichte, Transaktionsprotokolle usw.);

3.2 Relevanz und Entwicklung- Sämtliche Dokumentationen zum IKS (Beschreibung von Risiken, Kontrollen und anderen Informationen) sollten zeitnah aktualisiert und kontinuierlich verbessert werden, um die Effizienz des Risikomanagements zu verbessern. Das Top-Management schafft Voraussetzungen für die kontinuierliche Weiterentwicklung des internen Kontrollsystems und berücksichtigt dabei die Notwendigkeit, neue Probleme zu lösen, die sich aus Änderungen der internen und externen Betriebsbedingungen ergeben. Grundlage für die Organisation und Funktionsweise des internen Kontrollsystems im Unternehmen sind folgende Komponenten:

  • Kontrollumfeld;
  • Risikoabschätzung;
  • Kontrollmittel;
  • Information und Kommunikation;
  • SVK-Überwachung.

Eine detaillierte Beschreibung der Bestandteile des IKS finden Sie in Anhang 1 dieser Richtlinie.

4. Themen der internen Kontrolle und ihre Funktionen

4.1 Das interne Kontrollsystem des Unternehmens wird durch eine Reihe von Zielen und Themen bestimmt. Gegenstand des IKS sind die finanziellen und wirtschaftlichen Aktivitäten der Unternehmensbereiche. Die Themen der internen Kontrolle werden durch diese Richtlinie und andere regulatorische Dokumente des Unternehmens im Bereich der internen Kontrolle bestimmt.

4.2 Die Zusammensetzung der Subjekte der internen Kontrolle wird festgelegt organisatorische Struktur Gesellschaft und umfasst:

  • Vorstand;
  • Prüfungsausschuss;
  • Generaldirektor;
  • Interne Kontrollabteilung;
  • Führungskräfte strukturelle Unterteilungen und Mitarbeiter des Unternehmens.

4.3 Vorstand- legt die allgemeinen Ausrichtungen der Organisation des internen Kontrollsystems im Unternehmen fest, analysiert die Gesamteffizienz und Übereinstimmung des IKS mit der Art, dem Umfang und den Bedingungen der Aktivitäten des Unternehmens im Falle ihrer Änderung - berücksichtigt die Ergebnisse der Wirksamkeitsbewertung des IKS wurden erhebliche Mängel festgestellt und Empfehlungen zu deren Beseitigung gegeben. Genehmigt die interne Kontrollrichtlinie und deren Änderungen.

Die Funktionen und Aufgaben des Verwaltungsrates im Hinblick auf das interne Kontrollsystem sind im Reglement des Verwaltungsrates der Gesellschaft verankert.

4.4 Prüfungsausschuss des Verwaltungsrates- bewertet die Einhaltung der Grundsätze des internen Kontroll- und Risikomanagements sowie die Gesamtwirksamkeit des IKS im Unternehmen (unter anderem auf Basis von Berichten der internen Revision und der internen Kontrolleinheiten) und gibt Empfehlungen zur Verbesserung des IKS.

Die Funktionen und Aufgaben des Prüfungsausschusses des Verwaltungsrates sind im entsprechenden Reglement zum Prüfungsausschuss der Gesellschaft festgelegt.

4.5 Generaldirektor- ist verantwortlich für die Organisation und Aufrechterhaltung des Funktionierens eines wirksamen internen Kontrollsystems im Unternehmen und die Überwachung der Funktionsfähigkeit des IKS, einschließlich:

  • Legt die Entwicklungs- und Verbesserungsrichtungen des IKS im Unternehmen fest;
  • Genehmigt das Reglement zum internen Kontrollsystem, das Reglement zur Diagnose und Verbesserung des IKS sowie weitere Regulierungsdokumente im Bereich des IKS;
  • Berücksichtigt die Ergebnisse der Arbeit der internen Kontrollstruktureinheit, einschließlich der Ergebnisse der IKS-Diagnose;
  • Legt die Verantwortung für die Umsetzung von Entscheidungen des Top-Managements im Bereich der internen Kontrolle fest;
  • Überlegt und genehmigt einen Aktionsplan zur Beseitigung von Mängeln im IKS.

4.6 Interne Revisionsabteilung- führt eine unabhängige Beurteilung der Wirksamkeit einzelner Komponenten des IKS, des IKS der geprüften Objekte und des IKS des gesamten Unternehmens durch und erarbeitet Empfehlungen zur Verbesserung seiner Zuverlässigkeit und Effizienz, darunter:

  • Überprüft die Übereinstimmung der Aktivitäten von Abteilungen und Mitarbeitern mit regulatorischen Dokumenten, die das Verfahren für die Organisation und Funktionsweise des IKS festlegen;
  • Führt eine Bewertung der Übereinstimmung des Inhalts von Regulierungsdokumenten durch, die die Organisation und Funktionsweise des IKS sowie die Art und den Umfang der Aktivitäten des Unternehmens regeln;
  • Identifiziert die Tatsachen von Verstößen, analysiert die Gründe für deren Begehung und entwickelt Empfehlungen zur Verbesserung bestehender und/oder zur Einführung neuer Kontrollverfahren, um das Wiederauftreten von Verstößen zu verhindern;
  • Überwacht die rechtzeitige und vollständige Beseitigung festgestellter Verstöße und Mängel;
  • Führt eine Qualitätskontrolle des Diagnoseprozesses des internen Kontrollsystems im Unternehmen durch, die von der Geschäftsführung und den Mitarbeitern durchgeführt wird;
  • Berät zur Verbesserung der internen Kontrolle.

4.7 Aufgaben Interne Kontrolleinheiten Sind:

Koordination der Aktivitäten zur Gestaltung und Aufrechterhaltung der Wirksamkeit des internen Kontrollsystems;

  • Methodische Unterstützung des IKS;
  • Organisation des ICS-Diagnostikprozesses im Unternehmen:
  • Erstellung von Plänen zur Entwicklung und Verbesserung des IKS im Unternehmen;
  • Wartung und Instandhaltung der IKS-Infrastruktur (Risikoregister, Kontrollverfahren und Geschäftsprozesse) auf dem neuesten Stand;
  • Überwachung der Umsetzung des Maßnahmenplans zur Mängelbeseitigung und Verbesserung des IKS, inkl. Qualitätskontrolle zur Beseitigung von Mängeln;
  • Information aller ICS-Teilnehmer über Änderungen in Vorgehensweisen, Dokumentation und anderen Anforderungen im Bereich ICS;
  • Organisation der Vorbereitung von Schulungsprogrammen für das Personal zur Organisation und Verbesserung des internen Kontrollsystems.

Die Funktionen, Aufgaben und Befugnisse der Struktureinheit zur Koordination des IKS der Gesellschaft sind im jeweiligen Reglement festgelegt.

4.8 Leiter und Mitarbeiter von Strukturabteilungen sind für den Aufbau, die Aufrechterhaltung und die ständige Überwachung des internen Kontrollsystems in den relevanten funktionalen Tätigkeitsbereichen der Einheiten der gesamten Managementvertikale verantwortlich und führen außerdem Kontrollverfahren gemäß ihren dienstlichen Aufgaben durch, darunter:

  • rechtzeitige Identifizierung und Analyse der Risiken der finanziellen und wirtschaftlichen Aktivitäten des Unternehmens;
  • Entwicklung, Formalisierung sowie anschließende Umsetzung und Sicherstellung der Wirksamkeit und Angemessenheit von Kontrollverfahren innerhalb ihrer Geschäftsprozesse;
  • Aktualisierung der Beschreibung des IKS und rechtzeitige Information der internen Kontrolleinheit über Änderungen;
  • Überwachung der Funktionsweise des IKS sowie eine unabhängige Beurteilung der Wirksamkeit der von ihm durchgeführten Kontrollverfahren;
  • Informieren der Geschäftsleitung über alle gemachten oder möglichen Fehler/Mängel, die zu potenziell negativen Ereignissen geführt haben oder führen könnten;
  • Absolvieren einer Schulung im Bereich interne Kontrolle und Risikomanagement gemäß dem genehmigten Schulungsprogramm.

4.9 Das Unternehmen sorgt für die Schaffung wirksamer Kanäle für den Informationsaustausch, einschließlich vertikaler und horizontaler Kommunikation, um bei allen in den Regulierungsdokumenten festgelegten Themen der internen Kontrolle ein Verständnis für die Organisation und Funktionsweise des internen Kontrollsystems zu schaffen sorgen für deren Umsetzung.

4.10 Informationen über die Arbeit des internen Kontrollsystems, über festgestellte Mängel und andere wesentliche Umstände werden dem Vorstand, dem Prüfungsausschuss des Vorstands, zum CEO, der Vorstand oder andere Organe gemäß den bestehenden Anforderungen der Gesetzgebung und Regulierungsdokumente des Unternehmens.

5. Rollen

5.1 Um das effektive Funktionieren des IKS zu gewährleisten, sind die folgenden Rollen auf die Führungskräfte und sonstigen Mitarbeiter des Unternehmens verteilt:

  • Prozess-/Risikoeigentümer
  • ICS-Koordinator
  • Steuerausführender

5.2 Prozess-/Risikoeigentümer- der Leiter der Unterabteilung/Abteilung, der verantwortlich ist für:

  • für das effektive Funktionieren aller Komponenten des IKS ( siehe ICS-Komponenten in Anhang 1) im Hinblick auf die Abdeckung von Geschäftsrisiken und die Erstellung von Abschlüssen im Rahmen ihrer Geschäftsprozesse/-risiken;
  • für die Ernennung von Kontrollleitern und die Festlegung der Verantwortung für die Umsetzung dieser Verfahren in den Stellenbeschreibungen der entsprechenden Mitarbeiter;
  • zur Sicherstellung der Durchführung und Dokumentation von Kontrollen durch den Kontrollausführenden gemäß der Dokumentation zum IKS;
  • um Änderungen in Prozessen, Risiken oder Kontrollen zu erkennen, die eine Änderung der IKS-Dokumentation erforderlich machen, und um die Mitarbeiter der Internen Kontrolleinheit / IKS-Koordinator in der entsprechenden Einheit darüber zu informieren;
  • für die rechtzeitige Genehmigung der IKS-Dokumentation (detaillierte Risikobeschreibung, einheitliche und angepasste Kontrollen und andere Informationen);
  • zur Beseitigung von Mängeln im IKS, die im Zuge der Prüfung oder Überwachung festgestellt wurden.

5.3 Steuerausführender- ein Mitarbeiter auf jeder Ebene, der verantwortlich ist für:

  • für die zeitnahe und qualitativ hochwertige Umsetzung der Kontrollverfahren gemäß der Dokumentation des IKS;
  • um gegebenenfalls den stellvertretenden Kontrollvollstrecker und einen Mitarbeiter der Internen Kontrolleinheit über die Notwendigkeit zu informieren, das entsprechende Kontrollverfahren anstelle des Vollstreckers durchzuführen;
  • für die rechtzeitige Genehmigung der IKS-Dokumentation (detaillierte Beschreibung von Risiken, Kontrollen und anderen Informationen);
  • zur Umsetzung von Verfahren zur Selbstbewertung der Wirksamkeit des IKS;
  • zur Identifizierung von Änderungen in Prozessen, Risiken oder Kontrollen, die eine Änderung der IKS-Dokumentation erfordern und zur Information des Eigentümers des Risikos/Prozesses, des IKS-Koordinators in der entsprechenden Einheit und der Mitarbeiter der internen Kontrolleinheit;
  • zur Beseitigung von IKS-Mängeln, die im Rahmen der Prüfung und Überwachung festgestellt wurden.

5.4 ICS-Koordinator ein Mitarbeiter in jeder Abteilung, der verantwortlich ist für:

  • für die Organisation und Koordinierung des Funktionsprozesses des IKS im Rahmen der jeweiligen Einheit;
  • zur Überwachung der Qualität der Umsetzung und Dokumentation der Kontrollverfahren im Hinblick auf die in der betreffenden Einheit durchgeführten Kontrollen;
  • für die Relevanz der Dokumentation zum IKS im Hinblick auf die jeweilige Struktureinheit;
  • zur Information der Internen Kontrollabteilung über die Notwendigkeit einer Änderung der IKS-Dokumentation (Änderung von Prozessen, Risiken oder Kontrollen, einschließlich des Vorschlags neuer Formulierungen in Bezug auf Risiken, Kontrollen und andere Informationen).

6. Anforderungen und Verantwortlichkeiten im Bereich der Sicherstellung der Wirksamkeit des IKS

6.1 Die interne Kontrolle ist ein integraler Bestandteil der Funktionsweise jeder Abteilung des Unternehmens.

6.2 Alle Mitarbeiter sind für die Funktionsfähigkeit und Effizienz des IKS des Unternehmens verantwortlich.

6.3 Das Management des Unternehmens muss den Mitarbeitern die Bedeutung des Vorhandenseins und Sicherstellens der Wirksamkeit des Funktionierens des IKS sowie die Rolle jedes Mitarbeiters in diesem System vermitteln, einschließlich der folgenden Grundanforderungen:

  • Kein Mitarbeiter darf direkt oder indirekt eine vorsätzliche Fälschung von Buchhaltungs-, Management- oder anderen Berichtsdaten zulassen oder verursachen.
  • Es dürfen keine Änderungen an den Buchhaltungsdaten vorgenommen werden, wenn bekannt ist, dass diese Änderungen das Wesen der entsprechenden Vorgänge verfälschen könnten.
  • Es dürfen keine Geldbeträge/Konten/Transaktionen zum Zweck der unvollständigen Berichterstattung verschleiert werden.
  • Alle Mitarbeiter des Unternehmens sind verpflichtet, das Vermögen des Unternehmens zu bewahren und für dessen effiziente Nutzung zu sorgen.

6.4 Wenn ein Mitarbeiter des Unternehmens Informationen über einen Mangel oder eine Ineffizienz der internen Kontrollverfahren hat, muss er seinen direkten Vorgesetzten sowie die Leiter der internen Kontroll- und Internen Revisionseinheiten unverzüglich darüber informieren.

6.5 Wenn ein Mitarbeiter diese Richtlinie absichtlich nicht einhält und die Kontrollverfahren, für die er verantwortlich ist, nicht befolgt, drohen gegen den Mitarbeiter Disziplinarmaßnahmen bis hin zur Kündigung gemäß den Anforderungen des geltenden Rechts.

7. Überwachung der IKS-Effizienz

7.1 Der Zweck der Überwachung besteht darin, die Wirksamkeit des internen Kontrollsystems des Unternehmens zu bewerten, einschließlich seiner Fähigkeit, die Erfüllung seiner Ziele und Vorgaben sicherzustellen, sowie die Wesentlichkeit der Mängel des Systems zu bestimmen.

7.2 Die Überwachung des Systems der internen Kontrolle der Finanzberichterstattung umfasst:

  • Umsetzung einer ständigen Kontrolle über die Umsetzung von Kontrollverfahren in den ihnen rechenschaftspflichtigen Einheiten durch die Leitung der Einheiten;
  • Durchführung einer Selbstbewertung des internen Kontrollsystems im Unternehmen;
  • Durchführung regelmäßiger Kontrollen der Umsetzung von Kontrollverfahren und Kontrollen der Übereinstimmung des Betriebs mit den Anforderungen der Gesetzgebung und den Bestimmungen der Regulierungsdokumente der Organisation durch die interne Revisionseinheit;
  • Beurteilung der Wirksamkeit des internen Kontrollsystems im Rahmen der Erstellung des Jahresabschlusses durch den externen Prüfer
  • rechtzeitige Übermittlung von Informationen über die festgestellten Mängel des Systems der internen Kontrolle der Finanzberichterstattung an die Stakeholder innerhalb der Managementvertikale.

7.3 Die Selbstbewertung der Wirksamkeit des IKS (im Folgenden: Selbstbewertung des IKS) erfolgt direkt durch die Subjekte des IKS durch:

  • Verteilung von Fragebögen – dient der Erhebung von Informationen über die Wirksamkeit des Funktionierens des IKS und Änderungen in Geschäftsprozessen von Mitarbeitern und Abteilungsleitern des Unternehmens.
  • Die Überwachung des Zustands des IKS ist der Prozess der Überprüfung der Vollständigkeit, Aktualität der Umsetzung und Richtigkeit der Dokumentation des CP.
  • Bewertung der Wirksamkeit von Kontrollverfahren – Analyse der Wirksamkeit der Beschreibung und Durchführung von Kontrollen sowie Analyse der Angemessenheit von Kontrollverfahren (Bewertung, wie viel Kontrolle, vorbehaltlich ihrer wirksamen Umsetzung, Risiken wirksam reduzieren kann entsprechend).

7.4 Eine regelmäßige Evaluierung des IKS trägt dazu bei, seine Wirksamkeit zu verbessern, indem:

  • rechtzeitige Erkennung von Änderungen in Geschäftsprozessen, Design oder Umsetzungsstadien von Kontrollverfahren;
  • Steigerung der Motivation der Kontrollbeauftragten und ihrer Manager durch direkte Beteiligung an der Verbesserung des internen Kontrollsystems und ständige Kontrolle der Qualität der CP-Implementierung;
  • Bereitstellung einer Informationsbasis für die Geschäftsführung des Unternehmens, um die Wirksamkeit der Funktionsweise des IKS zu bestätigen.

7.5 Die Ergebnisse der IKS-Bewertung müssen dokumentiert und der Unternehmensleitung und dem Prüfungsausschuss des Verwaltungsrats vorgelegt werden:

  • Die interne Revision erstellt auf Grundlage der Ergebnisse der IKS-Bewertung einen Bericht;
  • Der externe Prüfer verfasst ein Schreiben an die Geschäftsführung über festgestellte wesentliche Mängel auf der Grundlage der Ergebnisse einer externen unabhängigen Beurteilung des IKS;
  • Die interne Kontrollabteilung erstellt einen Bericht auf Basis der Ergebnisse der IKS-Selbstbewertung der Strukturbereiche des Unternehmens.

8. Vornahme von Ergänzungen und Änderungen an der Richtlinie

8.1 Bei der Änderung und Ergänzung von Gesetzgebungsakten, Anforderungen von Regulierungsbehörden und Regulierungsdokumenten des Unternehmens, die die Funktionsweise des internen Kontrollsystems regeln, können Änderungen und Ergänzungen dieser Richtlinie nur durch ordnungsgemäß ausgeführte Entscheidungen des Verwaltungsrats des Unternehmens vorgenommen werden. Der Vorstand des Unternehmens kann auch beschließen, eine neue Version der Richtlinie zu genehmigen.

Anhang 1. IKS-Komponenten nach der COSO-Methodik

Die interne Kontrolle besteht gemäß dem COSO-Modell „Internal Control-Integrated Framework“ aus fünf miteinander verbundenen Komponenten, die sich aus der Art und Weise ergeben, wie ein Unternehmen geführt wird, und mit dem Prozess seiner Verwaltung verbunden sind. Zu den fünf Komponenten gehören:

Kontrollumfeld: Die Kontrollumgebung schafft in einer Organisation eine Atmosphäre, die das Bewusstsein des Personals für die Bedeutung der Durchführung von Kontrollen beeinflusst. Es ist die Grundlage für alle anderen Komponenten der internen Kontrolle und sorgt für Ordnung und Disziplin. Zu den Faktoren des Kontrollumfelds gehören Integrität, ethische Werte, Führungsstil, System der Macht- und Verantwortungsverteilung sowie die Prozesse der Führung und Entwicklung des Personals in der Organisation. Die Wirksamkeit des Kontrollumfelds hängt auch von der Aufmerksamkeit des Verwaltungsrats für dieses Thema ab.

Risikoabschätzung: Jede Organisation ist verschiedenen externen und internen Risiken ausgesetzt, die bewertet werden müssen. Voraussetzung für die Risikobewertung ist die Definition von Zielen. Bei der Risikobewertung geht es also um die Identifizierung und Analyse relevanter Risiken, die mit der Erreichung festgelegter Ziele verbunden sind. Risikobewertung ist notwendige Bedingung Risikomanagement.

Kontrollen: Kontrollen sind Richtlinien und Verfahren, die sicherstellen, dass Managemententscheidungen durchgesetzt werden. Sie tragen dazu bei, dass die notwendigen Maßnahmen im Hinblick auf Risiken ergriffen werden, die die Organisation daran hindern könnten, ihre Ziele zu erreichen. Kontrollen werden in der gesamten Organisation, auf allen Ebenen und in allen Funktionen ausgeübt. Sie umfassen eine Reihe von Aktivitäten wie Genehmigungen, Genehmigungen, Kontrollen, Abstimmungen, Tätigkeitsberichte, Vermögenserhaltung und Aufgabentrennung.

Information und Kommunikation: Alle erforderlichen Informationen müssen rechtzeitig ermittelt, formuliert und den betreffenden Mitarbeitern mitgeteilt werden, damit diese ihre Aufgaben vollständig erfüllen können. Informationssysteme spielen auch eine wichtige Rolle im internen Kontrollsystem, da sie Finanzinformationen sowie Informationen über den Betrieb und die Einhaltung von Gesetzen enthalten, die es Ihnen ermöglichen, das Unternehmen zu verwalten und zu kontrollieren. Dabei geht es nicht nur um die Verbreitung unternehmensinterner Informationen, sondern es geht auch darum, die Mitarbeiter über externe Ereignisse und Aktivitäten zu informieren, die für die Entscheidungsfindung notwendig sind. Effektive Kommunikation im weiteren Sinne sollte den Informationsfluss nach oben und unten sowie zwischen den Abteilungen im gesamten Unternehmen sicherstellen. Es ist wichtig, dass die Mitarbeiter des Unternehmens von der Geschäftsleitung eine klare Stellungnahme zur Bedeutung der Erfüllung ihrer Verantwortlichkeiten im Hinblick auf die interne Kontrolle erhalten. Es ist auch wichtig, dass jeder Mitarbeiter seine Rolle im internen Kontrollsystem klar versteht und weiß, wie das Ergebnis seiner Arbeit mit den Aktivitäten anderer Mitarbeiter zusammenhängt. Das Personal muss sich der Notwendigkeit bewusst sein, alle wichtigen Informationen der Unternehmensleitung mitzuteilen. Auch mit externen Parteien wie Kunden, Lieferanten, Aufsichtsbehörden und Aktionären muss eine wirksame Kommunikation zu Angelegenheiten im Zusammenhang mit den Interessen des Unternehmens sichergestellt werden.

Überwachung: Das interne Kontrollsystem erfordert eine Überwachung – einen Prozess der regelmäßigen Bewertung der Qualität seiner Arbeit. Dies wird durch eine kontinuierliche Überwachung der Qualität der Ausführung bestimmter Vorgänge, durch separate Kontrollen zur Bewertung der Wirksamkeit eines bestimmten Prozesses oder durch eine Kombination dieser beiden Optionen erreicht. Es erfolgt täglich eine ständige Überwachung, inkl. Tätigkeiten zur Steuerung und Steuerung relevanter Prozesse sowie sonstige Tätigkeiten im Rahmen der Wahrnehmung von Personalaufgaben. Der Umfang und die Häufigkeit der einzelnen Prüfungen richten sich nach dem Grad der Einschätzung der relevanten Risiken sowie nach den Ergebnissen der laufenden Überwachung dieser Betriebe. Bei der Überwachung festgestellte interne Kontrollmängel sollten der Geschäftsleitung zur Kenntnis gebracht werden, und die wichtigsten Kommentare sollten der Geschäftsleitung und dem Vorstand mitgeteilt werden.

Die enge Verknüpfung dieser Komponenten gewährleistet die Bildung eines integrierten Systems, das in der Lage ist, schnell auf aufkommende Herausforderungen zu reagieren. Das interne Kontrollsystem ist integraler Bestandteil der betrieblichen Tätigkeit. Am effektivsten ist das IKS, wenn die Kontrollen in die Infrastruktur der Organisation integriert und Teil ihres Wesens sind. Integrierte Kontrollen verbessern die Qualität und Effektivität von Veranstaltungen, helfen, zusätzliche Kosten zu vermeiden und ermöglichen eine schnellere Reaktion auf bestimmte Ereignisse.


„COSO – Das Komitee der Sponsororganisationen der Treadway Commission, USA“

Ausschuss der Sponsororganisationen der Treadway Commission(Englisch) Der Ausschuss von Sponsoring Organisationen von Die Laufsteg Kommission, COSO) – ist eine freiwillige private Organisation, die in den Vereinigten Staaten gegründet wurde und darauf ausgelegt ist, der Unternehmensleitung angemessene Beratung zu kritischen Aspekten der Organisationsführung, der Geschäftsethik, der Finanzberichterstattung, der internen Kontrollen, des Unternehmensrisikomanagements und der Betrugsprävention zu bieten.



Empfohlen
Was tun, wenn das Kind Angst hat, alleine zu gehen?
Getrocknete Äpfel – Zusammensetzung, Nutzen und Schaden
Getrocknetes Apfelkompott – Nutzen und Schaden
Beauty-Tipps, Öle und Cremes