Coso आंतरिक नियंत्रण एकीकृत मॉडल वर्ष। मानक। मैं मानकों को कहां पढ़ सकता हूं

ट्रेडवे कमीशन (सीओएसओ) के प्रायोजक संगठनों की समिति ने एक सामान्य आंतरिक नियंत्रण मॉडल विकसित किया है जिसके खिलाफ बैंकों सहित कंपनियां और संगठन अपने स्वयं के शासन प्रणालियों का मूल्यांकन कर सकते हैं। COSO का गठन 1985 में हुआ था। वित्तीय रिपोर्टिंग धोखाधड़ी (ट्रेडवे आयोग) पर राष्ट्रीय आयोग द्वारा समर्थित।

COSO मॉडल परिभाषित करता है आंतरिक नियंत्रणसंगठनोंनिम्नलिखित श्रेणियों में उद्देश्यों की उपलब्धि के संबंध में "उचित आश्वासन" प्रदान करने के लिए डिज़ाइन किए गए निदेशक मंडल, शीर्ष प्रबंधन और संगठन के अन्य कर्मियों द्वारा की गई प्रक्रिया के रूप में:

• संचालन की दक्षता और उत्पादकता;
• वित्तीय रिपोर्टिंग की विश्वसनीयता;
• कानूनों और विनियमों का अनुपालन।

नमूना COSO आंतरिकनियंत्रण में कई बुनियादी अवधारणाएँ शामिल हैं:

आंतरिक नियंत्रण एक प्रक्रिया है। यह अंत का साधन है, अपने आप में अंत नहीं;

आंतरिक नियंत्रण लोगों पर निर्भर करता है। यह न केवल नेतृत्व नीतियों और रूपों का प्रतिनिधित्व करता है, बल्कि कंपनी के सभी स्तरों के लोगों का भी प्रतिनिधित्व करता है;

आंतरिक नियंत्रण कंपनी के प्रबंधन और निदेशक मंडल को केवल पर्याप्त विश्वास प्रदान कर सकता है, लेकिन पूर्ण गारंटी नहीं;

आंतरिक नियंत्रण का उद्देश्य एक या अधिक अलग-अलग लेकिन अतिव्यापी श्रेणियों में उद्देश्यों को प्राप्त करना है।

COSO मॉडल का सार इस प्रकार व्यक्त किया जा सकता है: आप प्रबंधन करते हैं जब जोखिम का आकलन और प्रबंधन किया जाता है।

COSO प्रणाली के अनुसार आंतरिक नियंत्रण के तत्वों में शामिल हैं (तालिका 1):

1) नियंत्रण पर्यावरण;
2) जोखिम मूल्यांकन;
3) नियंत्रण के उपाय;
4) सूचना का संग्रह और विश्लेषण, साथ ही गंतव्य पर इसका स्थानांतरण;
5) निगरानी और त्रुटि सुधार।

तालिका 1. आंतरिक नियंत्रण प्रणाली के घटक

मॉडल में आठ घटक शामिल हैं:

आंतरिक पर्यावरण. आंतरिक वातावरण संगठन में वातावरण है और यह निर्धारित करता है कि संगठन के कर्मचारियों द्वारा जोखिम को कैसे माना जाता है और वे इस पर कैसे प्रतिक्रिया करते हैं। आंतरिक वातावरण में जोखिम प्रबंधन और जोखिम की भूख, अखंडता और नैतिक मूल्यों के साथ-साथ जिस वातावरण में वे मौजूद हैं;

लक्ष्य की स्थापना. प्रबंधन द्वारा उन घटनाओं की पहचान शुरू करने से पहले उद्देश्यों को परिभाषित किया जाना चाहिए जो उनकी उपलब्धि को प्रभावित कर सकते हैं। जोखिम प्रबंधन प्रक्रिया उचित आश्वासन प्रदान करती है कि कंपनी के प्रबंधन के पास लक्ष्यों को चुनने और निर्धारित करने के लिए एक उचित रूप से संगठित प्रक्रिया है और वे संगठन के मिशन और इसकी जोखिम क्षमता के स्तर के अनुरूप हैं;

घटना की पहचान. संगठन के उद्देश्यों की उपलब्धि को प्रभावित करने वाली आंतरिक और बाहरी घटनाओं को जोखिम या अवसरों में उनके अलगाव को ध्यान में रखते हुए निर्धारित किया जाना चाहिए। रणनीति तैयार करने और लक्ष्य निर्धारित करने की प्रक्रिया में प्रबंधन द्वारा अवसरों को ध्यान में रखा जाना चाहिए;

जोखिम आकलन. जोखिमों का विश्लेषण उनकी घटना और प्रभाव की संभावना के संदर्भ में किया जाता है ताकि यह निर्धारित किया जा सके कि उनके संबंध में क्या कार्रवाई की जानी चाहिए। जोखिमों का मूल्यांकन अंतर्निहित और अवशिष्ट जोखिम के संदर्भ में किया जाता है;

जोखिम प्रतिक्रिया. प्रबंधन जोखिम का जवाब देने का एक तरीका चुनता है - जोखिम से बचना, स्वीकार करना, कम करना या पुनर्वितरण करना - उपायों का एक सेट विकसित करके जो पहचाने गए जोखिम को जोखिम के स्वीकार्य स्तर और संगठन की जोखिम भूख के अनुरूप लाने की अनुमति देता है;

नियंत्रण की गतिविधियां. नीतियों और प्रक्रियाओं को इस तरह से डिजाइन और स्थापित किया जाता है कि यह उचित आश्वासन प्रदान करता है कि उभरते जोखिम की प्रतिक्रिया प्रभावी और समय पर है;

सूचना और संचार. आवश्यक जानकारी इस तरह के रूप में और ऐसी समय सीमा के भीतर निर्धारित, दर्ज और प्रेषित की जाती है जो कर्मचारियों को अपने कार्यात्मक कर्तव्यों का पालन करने की अनुमति देती है। संगठन के भीतर सूचनाओं का एक प्रभावी आदान-प्रदान भी होता है, दोनों लंबवत ऊपर से नीचे और नीचे से ऊपर, और क्षैतिज रूप से;

निगरानी. संगठन की संपूर्ण जोखिम प्रबंधन प्रक्रिया की निगरानी और आवश्यकतानुसार समायोजन किया जाता है। निगरानी चल रही प्रबंधन गतिविधियों के हिस्से के रूप में या आवधिक मूल्यांकन के माध्यम से की जाती है।

संक्षेप में, हम ध्यान दें कि:

COSO . में बहुत महत्वआंतरिक वातावरण से जुड़ा हुआ है।

COSO अनुवर्ती के रूप में आंतरिक नियंत्रणों की निगरानी पर अधिक जोर देता है। निगरानी COSO मॉडल के मुख्य तत्वों में से एक है।

COSO में, निदेशक मंडल के काम को बहुत महत्व दिया जाता है।

साहित्य:

1. काकोवकिना टी.वी. संगठन के जोखिमों की पहचान करने के साधन के रूप में आंतरिक नियंत्रण प्रणाली // अंतर्राष्ट्रीय लेखांकन। 2014, 36
2. कलाचेवा ओ.एन. लघु और मध्यम व्यवसाय के संगठनों में आंतरिक नियंत्रण की समस्याएं // लेखा परीक्षक। 2015, 10
3. क्रेनोवा वी.वी. अंतर्देशीय जल परिवहन के संगठनों में आंतरिक नियंत्रण के विकास के लिए दिशा-निर्देशों की पुष्टि // अंतर्राष्ट्रीय लेखा। 2014, 46
4. कोस्के एम.एस., मिशुचकोवा यू.जी., वोयुत्सकाया आई.वी. मुख्य लेखाकार के श्रम कार्य के रूप में आंतरिक नियंत्रण // अंतर्राष्ट्रीय लेखा। 2015, 6
5. पुचकोवा ए.ओ. ऑडिट के दौरान आंतरिक नियंत्रण प्रणाली और उसके तत्वों का आकलन करने की आवश्यकता // ऑडिटर्सकी Vedomosti। 2012. 1/2
6. पशकोव आर। आंतरिक नियंत्रण प्रणाली की निगरानी // लेखा और बैंक। 2015. 1
7. यानोवा हां। यू। जोखिम-उन्मुख आंतरिक नियंत्रण की अवधारणा - एक क्रेडिट संस्थान में आंतरिक नियंत्रण के लिए प्रयास करने के लिए एक आदर्श। 2014. 4
8. आंतरिक नियंत्रण - एकीकृत ढांचा (2013)

सबसे पहले, यह कहा जाना चाहिए कि जोखिम प्रबंधन, आंतरिक नियंत्रण और आंतरिक लेखा परीक्षा के लिए लगभग कोई रूसी मानक नहीं हैं। मुझे लगता है कि यह बुरा है, क्योंकि बहुत सारी दिलचस्प चीजें थीं। लेकिन बुर्जुआ का उपयोग करना काफी संभव है। प्रमुख समस्याकई विशेषज्ञों द्वारा प्रस्तुत उनकी व्याख्या में शामिल हैं: जोखिम प्रबंधन के लिए - वित्तीय जोखिमों पर जोर देने के साथ, आंतरिक नियंत्रण के निदेशकों और आंतरिक लेखा परीक्षकों के लिए - रिपोर्टिंग पर जोर देने के साथ। यही है, आपको यह याद रखने की आवश्यकता है कि प्रत्येक मानक में कई घटक होते हैं, और उन सभी को याद करके, आप बहुत अधिक उपयोगिता प्राप्त कर सकते हैं।

सबसे प्रसिद्ध मानक हैं:

• जोखिम प्रबंधन: FERMA मानक (यूरोपीय जोखिम प्रबंधक संघों का संघ), COSO ERM मानक (COSO - ट्रेडवे आयोग के प्रायोजक संगठनों की समिति, ERM - उद्यम जोखिम प्रबंधन), GOST ISO31000;
• आंतरिक नियंत्रण प्रणालियों के लिए - COSO IC IF (आंतरिक नियंत्रण - एकीकृत फ्रेमवर्क) मानक;
• आंतरिक लेखा परीक्षा के लिए - अंतर्राष्ट्रीय नींवपेशेवर अभ्यास (एमओपीपी)।

आप मानकों को कहां पढ़ सकते हैं?

प्रारंभ में, सभी मानकों को विकसित किया गया था, ज़ाहिर है, पर अंग्रेजी भाषा. हालाँकि, रूसी में अनुवाद मौजूद हैं।

FERMA - एक बार सार्वजनिक डोमेन में रूसी और अंग्रेजी दोनों संस्करण थे। वेबसाइट - http://ferma.eu। अब, अफसोस, यह गायब हो गया है, लेकिन लिंक के नीचे नवीनतम अप-टू-डेट है।

मेरे अवलोकन के दौरान कई अनुवाद हुए। मुझे विशेष रूप से पसंद आया कि एक अनुवाद में वाक्यांश

"जबकि जोखिम की पहचान स्वतंत्र सलाहकारों द्वारा की जा सकती है, आंतरिक रूप से किया गया मूल्यांकन, इसके विभागों के बीच घनिष्ठ संपर्क के साथ, सुसंगत और समन्वित तरीके से प्रस्तुत प्रक्रियाओं और उपकरणों का उपयोग करके, अधिक प्रभावी होने की संभावना है"

एक वाक्यांश के साथ बदल दिया गया है (अब FERMA वेबसाइट पर सही किया गया है, अभी भी Rusrisk वेबसाइट पर लटका हुआ है)

« संगठन की जोखिम पहचान आमतौर पर स्वतंत्र सलाहकारों द्वारा की जाती है।. हालांकि, एक सफल जोखिम प्रबंधन प्रक्रिया के लिए संगठन द्वारा "ठीक से" जोखिमों की समझ और विश्लेषण का बहुत महत्व है।

सामान्य तौर पर लोग स्टीम बाथ बिल्कुल नहीं लेते थे। बेशक, हर कोई जितना हो सके उतना पैसा कमाता है, लेकिन अपने प्रियजनों के लिए भौतिक समर्थन के संकेत अधिक सूक्ष्म हो सकते हैं।

GOST ISO31000 को Google और Yandex दोनों में ढूंढना समान रूप से आसान है।

COSO मानक - केवल अंग्रेजी और रूसी में "वैचारिक नींव" स्वतंत्र रूप से उपलब्ध हैं। वेबसाइट - www. coso.org. 2015 में रूसी में एक आधिकारिक अनुवाद प्रकाशित हुआ था, इसे आंतरिक लेखा परीक्षकों के संस्थान द्वारा बेचा जाता है, मैंने इसे नहीं पढ़ा, इसकी कीमत 2000 रूबल थी। "शेयरवेयर" से COSO ERM का "आधिकारिक" अनुवाद (वैसे, काफी पठनीय और उच्च गुणवत्ता वाला) और COSO IC IF का "अनौपचारिक" भाग है। यह रूसी संघ के आंतरिक लेखा परीक्षकों के संस्थान की वेबसाइट के बंद हिस्से में स्थित है, वेबसाइट http://iia-ru.ru है। केवल IVA सदस्य ही बंद भाग में प्रवेश कर सकते हैं।

एमओपीपी - सार्वजनिक डोमेन में आंशिक रूप से उपलब्ध है (लेकिन सभी नहीं, स्थापना के लिए उपयोगिता व्यावहारिक निर्देशों से शुरू होती है), शेष रूसी संघ के आंतरिक लेखा परीक्षक संस्थान की वेबसाइट के बंद हिस्से में है (http://iia -ru.ru)। मैं ध्यान देता हूं कि एमओपीपी, वॉल्यूम के बावजूद, काफी हल्का रीडिंग है (कम से कम मेरे लिए), अनुवाद बहुत उच्च गुणवत्ता वाला है।

कुल: आंतरिक लेखा परीक्षकों के संस्थान को सदस्यता शुल्क के रूप में 2500 रूबल के लिए महान और शक्तिशाली पर सभी आवश्यक मानकों को प्राप्त किया जा सकता है। उचित मूल्य, कई के रूप में बोनस भी हैं दिलचस्प प्रस्तुतियाँ. रूसी में एक पूरा सेट प्राप्त करने के लिए, आपको एक पुस्तक भी खरीदनी होगी, संस्थान के सदस्यों के लिए कीमत 1800 रूबल है।

इतिहास का हिस्सा।

पहला आधुनिक रूप COSO IC IF मानक 1992 में प्रदर्शित हुआ। 2013 में एक नया संस्करण तैयार किया गया था।

किसी कारण से, COSO सभी प्रकार के क्यूब्स का बहुत शौकीन है। मैं एक पारंपरिक COSO-क्यूब दूंगा, मुझे विशेष रूप से सबसे खराब संस्करण मिला (उल्टा हो गया, जैसे कि निगरानी से शुरू हो रहा हो)।

निम्नलिखित प्रतिनिधित्व बहुत अधिक उचित है:

वाजिब क्यों है। सबसे पहले, पूरे संगठन के लिए नियंत्रण वातावरण महत्वपूर्ण है, निगरानी को आंतरिक नियंत्रण की पूरी प्रक्रिया को कवर करना चाहिए। यह प्रक्रिया अपने आप में काफी सामान्य है, अर्थात्, यह संबंधित सूचना समर्थन के साथ "जोखिम → नियंत्रण प्रक्रियाओं" के संबंध का प्रतिनिधित्व करती है। दूसरा, निगरानी में अन्य सभी घटकों को शामिल किया जाना चाहिए।

2002 में, FERMA मानक दिखाई दिया। मैं अपने छोटे आकार के कारण इसे सबसे ज्यादा पसंद करता हूं। इस मानक के अनुसार कार्य का एक योजनाबद्ध आरेख चित्र में है।

यह भी ध्यान दिया जा सकता है कि FERMA मानक में एक प्रमुख घटक (उदाहरण के लिए, जोखिम की प्रकृति) के रूप में संगठन की रिपोर्टिंग पर जोर शामिल नहीं है। इसका कारण काफी सामान्य है: यूरोपीय जोखिम प्रबंधक (और FERMA उनका संगठन है) एकाउंटेंट से नहीं, बल्कि बीमाकर्ताओं और फाइनेंसरों से बढ़े हैं। मूल, यह मुझे लगता है, वर्गीकरण की व्याख्या करता है:

बैंकर और बीमाकर्ता वित्तीय जोखिमों और खतरों को एक अलग श्रेणी में विभाजित करते हैं। क्यों - मुझे लगता है कि यह स्पष्ट है। बाकी सभी (आंतरिक लेखा परीक्षक और सीओएसओ दोनों) रिपोर्टिंग से बढ़े हैं, इसलिए, आंतरिक लेखा परीक्षा मानकों और सीओएसओ मानकों दोनों में, रिपोर्टिंग विश्वसनीयता और कानून (अनुपालन) के अनुपालन के क्षेत्र में अनिवार्य लक्ष्य हैं।

आगे क्या हुआ (संस्करण - बस मेरी राय)। COSO क्रिएटिव टीम ने नए मानक का विश्लेषण करने के बाद, कुछ इस तरह सोचा: हर किसी के पास पहले से ही एक रणनीति क्यों है, और हम अभी भी चबा रहे हैं। और लगभग डेढ़ साल में, उन्होंने COSO ERM मानक (2004) लिखकर एक और घन खींचा:

यह स्पष्ट करने के लिए कि यह कहाँ से बढ़ता है - एक अतिरिक्त चित्र:

मेरी राय में, सब कुछ स्पष्ट है। आप COSO क्यूब से ऊर्ध्वाधर अक्ष के साथ घटकों और FERMA में वर्णित क्रियाओं के अनुक्रम की तुलना भी कर सकते हैं।

पाँच वर्षों में अंतरराष्ट्रीय संगठनमानकीकरण (आईएसओ) ने अपना जोखिम प्रबंधन मानक जारी किया। आईएसओ दस्तावेज़ व्यवसाय के दृष्टिकोण से विकसित किए गए हैं (और परामर्श सेवाओं की बिक्री नहीं), इसलिए, मेरी समझ में, आईएसओ 31000: 2009 मात्रा / उपयोगिता अनुपात के मामले में इष्टतम मानक है, हालांकि इसे रूसी से रूसी में अनुवाद की आवश्यकता है। वैसे, आईएसओ ने जोखिम प्रबंधन के सिद्धांत को आईएसओ 9000 मानक में पेश किया, जो रूस में सबसे प्रसिद्ध है, जिससे गुणवत्ता प्रबंधन प्रणाली के निदेशकों के रैंक में एक निश्चित दहशत फैल गई।

पिछले 50 वर्षों में आंतरिक लेखापरीक्षा मानकों में उल्लेखनीय रूप से विकास हुआ है। यह सब लेखांकन और अनुपालन के साथ शुरू हुआ। वर्तमान संस्करण के संदर्भ में जोखिम और नियंत्रण की प्रभावशीलता का आकलन है:

• वित्तीय और पर जानकारी की विश्वसनीयता और अखंडता आर्थिक गतिविधि;
• गतिविधियों की दक्षता और प्रभावशीलता;
• संपत्ति की सुरक्षा;
• कानूनों, विनियमों और संविदात्मक दायित्वों की आवश्यकताओं का अनुपालन।

जैसा कि आप देख सकते हैं, तीन घटक COSO IC IF के साथ मेल खाते हैं (मैं यह नहीं कह सकता कि वे पहली बार कहाँ दिखाई दिए, इतिहासकार नहीं), और संपत्ति की सुरक्षा, जाहिरा तौर पर, 1957 से (या 1947 से?) चल रही है। मुझे नहीं पता कि इसे अलग से क्यों चुना जाना चाहिए: मुझे नहीं लगता कि अनुचित भंडारण के कारण संपत्ति की चोरी या नुकसान की उपस्थिति में गतिविधि को प्रभावी और कुशल के रूप में पहचाना जा सकता है।

मानकों पर संक्षिप्त टिप्पणी।

सब कुछ पढ़ना वांछनीय है। पठनीयता के संदर्भ में अपेक्षाकृत सरल मानक FERMA, ISO31000 और MOPP हैं। FERMA केवल मात्रा में छोटा है, MOPPs के लिए इसे मानकों (MPSVA) तक सीमित किया जा सकता है, व्यावहारिक दिशानिर्देश केवल सिफारिशें हैं (यद्यपि सख्त हैं)। पठनीयता को सरलता से समझाया गया है: FERMA और ISO ने जोखिम प्रबंधकों के लिए मानक लिखे, आंतरिक लेखा परीक्षकों के संस्थान - आंतरिक लेखा परीक्षकों के लिए। दोनों के लिए एक ही भाषा बोलना बेहद वांछनीय है, जिसमें दृष्टिकोण की एकरूपता सुनिश्चित करना भी शामिल है। तदनुसार, बहुत जटिल संरचनाओं और अनिश्चितताओं से बचना बेहतर था, जो किया गया था।

COSO एक मौलिक, बहु-मात्रा वाला कार्य है, COSO ERM के लिए 30 PwC भागीदारों के लिए धन्यवाद व्यक्त किया गया है। मेरी राय में, यदि कम भागीदार शामिल होते, तो दस्तावेज़ बेहतर होता - जैसा कि होता है, "उल्टा तालमेल" सामने आया है। COSO मानकों की एक विशेषता: "वैचारिक नींव" से कुछ भी स्पष्ट नहीं है, समझने योग्य बहुत अंतिम दस्तावेज़ में शुरू होता है (उदाहरण के लिए, COSO ERM - "एप्लिकेशन")। आपको यह समझने की जरूरत है कि लेखक लेखा परीक्षक और सलाहकार हैं। उन्हें एक स्पष्ट मानक बनाने की आवश्यकता नहीं है: राजस्व क्यों खोना है। इसलिए, यह आवश्यक है कि एक बड़ी परामर्श कंपनी के एक भागीदार के पाठक का "फोन के लिए हाथ पहुंचें"। मेरी राय में, इसने काम किया। यह भी ध्यान दें कि, इस साइट के विपरीत, कोई "एंड-टू-एंड" दृष्टिकोण नहीं है: कोई तर्क नहीं है "यहां हम जोखिमों का एक सेट लेते हैं, यहां हम उनका मूल्यांकन करते हैं, यहां हम उनका प्रबंधन करते हैं, यहां हम एक ऑडिट कर सकते हैं। " उदाहरणों का सेट निश्चित रूप से बुरा नहीं है। लेकिन अगर आप उन्हें एक व्यवसाय में लागू करने का प्रयास करते हैं, तो सबसे अधिक संभावना है, बहुत कम काम करेगा। वैसे, सामान्य तौर पर, मेरा व्यक्तिगत रूप से COSO दस्तावेजों के प्रति बिल्कुल समान रवैया है। उपयोगी चीजें हैं, लेकिन वास्तव में इन मानकों के बारे में एक सांस के साथ बात करने लायक नहीं है, जैसे कुछ महिलाएं विदेशियों की उपस्थिति में।

जोखिम प्रबंधन स्थापित करते समय, मैं FERMA और ISO31000 का उपयोग करने की सलाह देता हूं, यदि FERMA में कुछ नहीं लिखा गया है। आंतरिक नियंत्रण एक विशेष विषय है, परंपरागत रूप से COSO IC IF का उपयोग केवल बहुत उपयोगी दस्तावेज़ उत्पन्न करने के लिए नहीं किया जा सकता है। COSO IC IF के साथ समस्या इसकी व्याख्या में है, जो या तो नियंत्रण पर्यावरण के बारे में एक दर्शन है या रिपोर्टिंग के बारे में है, जिस पर टिप्पणी की गई है। और आंतरिक ऑडिट - समर्थित मानक हैं, मैंने आचार संहिता (आईवीए के सदस्य के रूप में) पर हस्ताक्षर किए हैं, इसलिए एमओपीपी के अलावा और कुछ नहीं बचा है।

मैं एसओएक्स का जिक्र क्यों नहीं करता?

मैंने सरबनिस-ऑक्सले कानून के बारे में सुना। वैसे, Sarbanis एक ग्रीक है, इसलिए Sarbanis नहीं। तो, मेरी राय है कि अब सबसे शानदार सेल्सपर्सन big4 में काम करते हैं।

आइए याद करें कि एसओएक्स कैसे दिखाई दिया। यह कंपनियों के एक समूह की पूरी तरह से फर्जी रिपोर्टिंग के परिणामस्वरूप दिखाई दिया। ऐसा क्यों हुआ, एक विशेषज्ञ सहयोगी के साथ हमारी राय सहमत नहीं है। मुझे लगता है कि यह पूरी तरह से अव्यवसायिकता और लालच है: यह स्पष्ट है कि Big5 से कोई और रिपोर्टिंग कर सकता है, उसी पैसे के लिए परामर्श अनुबंधों के साथ। हां, और लेखा परीक्षक के कागजात का विनाश बहुत कुछ कहता है।

सहकर्मी बताते हैं कि ऑडिट प्रबंधन में कम से कम कुछ प्रणालीगत कमियां हैं और कई तर्क देते हैं कि खातों का सत्यापन विवेक के साथ बड़े व्यवहार के बिना हो सकता था:

• ऑडिट के लिए कम समय एक्सचेंज "गो-गो" का आह्वान कर रहा है, अवधि के त्वरित समापन का विषय परामर्श के लिए एक दिलचस्प विषय है। यह मुझे सबसे हानिकारक लगता है, क्योंकि यह वास्तव में रिपोर्टिंग की अविश्वसनीयता में योगदान देता है और दस्तावेजों की जांच के लिए सामान्य नियंत्रण प्रक्रियाओं के लिए समय नहीं छोड़ता है ("नीचे" सभी दस्तावेजों को 1-2 दिनों में पूरा किया जाना चाहिए) ;
• स्टाफ योग्यता। इंटर्न द्वारा सब कुछ चेक किया जाता है, प्रत्येक को साइट को सौंपा जाता है। प्रवाह बड़े हैं, बढ़े हुए वित्तीय परिणामों वाले व्यवसाय को केवल लेखा परीक्षकों के बजाय फोरेंसिक द्वारा पकड़ा जाना चाहिए। लेखापरीक्षा के लिए आवंटित समय को देखते हुए, यह संभावना है कि बिना दुर्भावनापूर्ण इरादे के बयानों की पुष्टि की जाएगी। और वरिष्ठ कॉमरेड, जिन्हें आईसीएस की पुष्टि करनी थी, ने औपचारिक अनुपालन परीक्षणों के माध्यम से ऐसा किया, जो सभी लेखा परीक्षकों के पास प्रचुर मात्रा में है। गुणवत्ता नियंत्रण का नतीजा यह है कि काम करने वाले कागजात भरे हुए हैं, और यह अच्छा है, कोई भी वास्तव में गैर-मानक संचालन में नहीं जा सकता है: आंतरिक नियंत्रण प्रणाली स्तर पर है, नमूना यादृच्छिक है;
• साथी की आवश्यकताएं। हां, निश्चित रूप से गलतियां और विसंगतियां थीं। क्या यह स्वीकार करना पर्याप्त था कि रिपोर्टिंग फर्जी थी और मुवक्किल के साथ झगड़ा हुआ था? प्रत्येक व्यक्तिगत दोष, छोटा नमूना दिया, शायद नहीं। और उन्होंने समग्रता को नहीं देखा।

जो कुछ भी था, परिणाम बस आश्चर्यजनक है। "बकवास" के बजाय, बेलारूस गणराज्य के राष्ट्रपति के रूप में ए.जी. लुकाशेंका अपनी संसद, पूरे ऑडिट समुदाय के बारे में, धोखाधड़ी को कवर करने वाले लेखा परीक्षकों के लिए नहीं, बल्कि खुद कंपनियों के लिए (ईमानदारी से रहने वालों सहित) अतिरिक्त आवश्यकताएं हैं। और इन आवश्यकताओं को, विचित्र रूप से पर्याप्त, स्वयं लेखापरीक्षकों द्वारा तैयार किया गया है। यह स्पष्ट है कि आवश्यकताओं को इस तरह से तैयार किया जाता है कि लेखा परीक्षकों की फिर से आवश्यकता होती है (ठीक है, उन्हें सलाहकार कहा जाता है, लेकिन वे क्षेत्रीय रूप से लेखा परीक्षा कंपनी के पड़ोसी विभाग में स्थित हैं)। आगे सब कुछ स्पष्ट है।

निचला रेखा: वित्तीय विवरणों के औपचारिक ऑडिट के अलावा, प्रत्येक सार्वजनिक कंपनी को एसओएक्स (अच्छी तरह से, या कर्मचारियों को किराए पर लेना, जो सस्ता भी नहीं है) के अनुसार आंतरिक नियंत्रण की स्थापना का आदेश देना था। उसी समय, बाहरी ऑडिट की लागत में वृद्धि हुई, क्योंकि रिपोर्ट तैयार करने पर आईसीएस के मूल्यांकन से मानक घंटे बढ़ गए। साथ ही, जहां तक ​​मुझे पता है, आंतरिक लेखापरीक्षा द्वारा रिपोर्ट तैयार करने पर आंतरिक नियंत्रण की प्रणाली का परीक्षण किया जाता है, तो बाहरी लेखापरीक्षा सेवाओं की लागत में कोई मौलिक कमी नहीं होती है।

वैसे, अब Big4 एक ही संगठन को ऑडिट और परामर्श सेवाएं प्रदान नहीं करता है। यही है, वास्तव में, व्यवसाय के लिए परामर्श सेवाओं की लागत बढ़ गई है ("थोक सस्ता" का सिद्धांत रद्द कर दिया गया है)।

सामान्य तौर पर, लेखा परीक्षकों के कारण होने वाले ऑडिट घोटाले का मुख्य परिणाम लेखा परीक्षकों के राजस्व में वृद्धि है। "यह बहुत अच्छा है, है ना?" (© जैतसेव बहनें, कॉमेडी क्लब)। इसलिए, मैं एसओएक्स शब्द का प्रयोग नहीं करने की कोशिश करता हूं।

यदि आपको कोई त्रुटि मिलती है, तो कृपया टेक्स्ट के एक भाग को हाइलाइट करें और क्लिक करें Ctrl+Enter.

COSO अवधारणा "संगठन जोखिम प्रबंधन। रणनीति और प्रदर्शन के साथ एकीकरण ”(COSO ERM) 2017 रूसी में ऑनलाइन किताबों की दुकान TOTbook.ru में बिक्री पर चला गया। यह लिंक पर उपलब्ध है: https://totbook.ru/catalog/345/1136970/

COSO ERM अवधारणा में 3 पुस्तकें शामिल हैं:

1. मुख्य पुस्तक (110 पृष्ठ)

2. आवेदन (30 पृष्ठ)

3. सारांश (10 पृष्ठ)

COSO ERM अवधारणा का उद्देश्य जोखिम, रणनीति और कंपनी मूल्य के बीच संबंधों को बढ़ाना है। यह रणनीतिक निर्णय लेने में अपनी भूमिका के संदर्भ में जोखिम पर विचार करता है जो अंततः पूरे संगठन के प्रदर्शन को प्रभावित करता है। कोर बुक का पहला भाग संगठनात्मक जोखिम प्रबंधन की वर्तमान और विकसित अवधारणाओं और अनुप्रयोगों का एक सिंहावलोकन प्रदान करता है। कोर बुक के दूसरे भाग, कॉन्सेप्टुअल फ्रेमवर्क में पांच घटक हैं जो विभिन्न दृष्टिकोणों और परिचालन संरचनाओं को ध्यान में रखते हैं और रणनीति और निर्णय लेने में सुधार करने में मदद करते हैं।

COSO अवधारणा "संगठनात्मक जोखिमों का प्रबंधन" प्रकाशित और वितरित करने का विशेष अधिकार (केवल हार्ड कॉपी)। रणनीति और प्रदर्शन के साथ एकीकरण” (सीओएसओ ईआरएम) 2017 आंतरिक लेखा परीक्षकों के संस्थान से संबंधित है। इस प्रकाशन का विमोचन और रूसी में पाठ का अनुवाद डेलॉइट, सीआईएस के सहयोग से किया गया।

दस्तावेज़ की स्थिति: सीपीटी बैठक के लिए सामग्री

डेवलपर संगठन: पीजेएससी मेगाफोन

स्पष्टीकरण एक्स/2013

"आंतरिक नियंत्रण प्रणाली का संगठन"

1. सामान्य प्रावधान

1.1 यह नीति कंपनी में आंतरिक नियंत्रण प्रणाली (इसके बाद आईसीएस के रूप में संदर्भित) के आयोजन और कामकाज की प्रक्रिया को परिभाषित करती है, जिसमें आईसीएस के उद्देश्य और कार्यों के साथ-साथ इसके विषयों की भूमिकाओं और जिम्मेदारियों का वर्णन करना शामिल है।

1.2 इस नीति को आवश्यकताओं और सिफारिशों को ध्यान में रखते हुए विकसित किया गया है:

• मौजूदा कानून रूसी संघ(कानून संख्या 402-एफजेड "लेखा पर" के अनुच्छेद 19 सहित);
• कंपनी के आंतरिक नियामक दस्तावेज;
• रूसी संघ के संघीय वित्तीय बाजार सेवा के कॉर्पोरेट आचरण संहिता;
• ट्रेडवे आयोग के प्रायोजक संगठनों की समिति का नेतृत्व "आंतरिक नियंत्रण। एकीकृत मॉडल" (1992)।

2. आंतरिक नियंत्रण की परिभाषा और उद्देश्य

2.1 आंतरिक नियंत्रणनिम्नलिखित क्षेत्रों में कंपनी के लक्ष्यों को प्राप्त करने के लिए शर्तें प्रदान करने के उद्देश्य से प्रबंधन के सभी स्तरों पर कंपनी के सभी कर्मचारियों और प्रबंधन द्वारा की जाने वाली एक सतत प्रक्रिया है:

• कंपनी की वित्तीय और आर्थिक गतिविधियों की दक्षता और प्रभावशीलता;
• संपत्ति की सुरक्षा;
• कानूनी आवश्यकताओं, विनियमों, कंपनी के आंतरिक दस्तावेजों और नियामकों की अन्य लागू आवश्यकताओं का अनुपालन;
• वित्तीय रिपोर्टिंग की विश्वसनीयता।

2.2 आंतरिक नियंत्रण प्रणाली(एसएमसी) - व्यावसायिक गतिविधियों के उचित संचालन को सुनिश्चित करने के लिए कंपनी के निदेशक मंडल, प्रबंधन और कर्मचारियों द्वारा किए गए संगठनात्मक उपायों, नीतियों, निर्देशों, साथ ही नियंत्रण प्रक्रियाओं, कॉर्पोरेट संस्कृति मानदंडों और कार्यों की एक प्रणाली: सुनिश्चित करने के लिए कंपनी की वित्तीय स्थिरता, इसकी विकास लागत, लाभप्रदता और जोखिमों के बीच एक इष्टतम संतुलन प्राप्त करना, व्यावसायिक गतिविधियों के व्यवस्थित और कुशल संचालन के लिए, परिसंपत्तियों की सुरक्षा सुनिश्चित करना, उल्लंघनों की पहचान करना, उन्हें ठीक करना और रोकना, विश्वसनीय वित्तीय विवरणों की समय पर तैयारी और, जिससे निवेश का आकर्षण बढ़ रहा है।

2.3 कंपनी में आंतरिक नियंत्रण प्रणाली का संगठन जोखिम-उन्मुख दृष्टिकोण पर आधारित है। इसका अर्थ है जोखिम प्रबंधन प्रक्रियाओं के साथ आंतरिक नियंत्रण प्रणाली का घनिष्ठ एकीकरण, जो आंतरिक नियंत्रण प्रणाली के प्रभावी तंत्र का उपयोग करके जोखिम प्रबंधन विधियों के समय पर और प्रभावी अनुप्रयोग को सुनिश्चित करता है। उसी समय, कंपनी और उसके कर्मचारियों का प्रबंधन आंतरिक नियंत्रण प्रणाली के निर्माण और सुधार पर अपने प्रयासों को केंद्रित करता है, सबसे पहले, गतिविधि के उन क्षेत्रों में जो उच्चतम स्तर के जोखिमों की विशेषता है।

2.4 वित्तीय रिपोर्टिंग प्रक्रिया पर आंतरिक नियंत्रण की प्रणाली(एसवीकेएफओ) - विश्वसनीय वित्तीय विवरण तैयार करने के क्षेत्र में लक्ष्यों को प्राप्त करने के लिए कंपनी के निदेशक मंडल, प्रबंधन और कर्मचारियों द्वारा किए गए संगठनात्मक उपायों, नीतियों, निर्देशों, साथ ही नियंत्रण प्रक्रियाओं, कॉर्पोरेट संस्कृति मानदंडों और कार्यों की एक प्रणाली।

2.5 कंपनी में आंतरिक नियंत्रण प्रणाली के कामकाज के उद्देश्य हैं:

• शेयरधारकों, निवेशकों और ग्राहकों के हितों की रक्षा करने में सहायता, हितों के टकराव को रोकना और समाप्त करना, कंपनी के प्रभावी प्रबंधन का समर्थन करना और सबसे कुशल तरीके से रणनीतिक लक्ष्यों को प्राप्त करना;
• कंपनी की गतिविधियों के दौरान उत्पन्न होने वाले आंतरिक और बाहरी जोखिमों के साथ-साथ कंपनी के वित्तीय विवरण तैयार करने के जोखिमों से बचाने के लिए शर्तों का निर्माण;
• कंपनी द्वारा कंपनी के कानून और नियामक दस्तावेजों की आवश्यकताओं के अनुपालन को सुनिश्चित करने में सहायता;
• बाहरी और आंतरिक उपयोगकर्ताओं के लिए विश्वसनीय वित्तीय, लेखा, सांख्यिकीय, प्रबंधकीय और अन्य रिपोर्टिंग की समय पर तैयारी और प्रावधान के लिए परिस्थितियों का निर्माण;
• संपत्ति की सुरक्षा और कंपनी के संसाधनों और क्षमता के कुशल उपयोग को सुनिश्चित करने में सहायता।

3. संचालन के सिद्धांत और आईसीएस के घटक

3.1 कंपनी में आईसीएस का संगठन और कामकाज निम्नलिखित प्रमुख सिद्धांतों पर आधारित है:

• एकीकरण- आईसीएस कंपनी के कॉरपोरेट गवर्नेंस का एक अभिन्न अंग है और इसे इसकी प्रक्रियाओं और दैनिक कार्यों में शामिल किया गया है। आईसीएस में वित्तीय और आर्थिक गतिविधियों, कमियों और के किसी भी महत्वपूर्ण उल्लंघन के बारे में प्रबंधन के उचित स्तर के प्रबंधन को सूचित करने की प्रक्रियाएं शामिल हैं। कमजोर बिन्दुनियंत्रण जो पाए गए हैं, उनके कारणों के विश्लेषण के साथ, सुधारात्मक कार्रवाइयों के विवरण जो किए गए हैं या किए जाने चाहिए;
• निरंतरता- आईसीएस निरंतर आधार पर और प्रबंधन के सभी स्तरों पर संचालित होता है, जो कंपनी को आंतरिक नियंत्रण प्रणाली में विचलन की समय पर पहचान करने और भविष्य में उनकी घटना को रोकने की अनुमति देता है;
• पद्धतिगत एकता -आईसीएस प्रक्रियाओं को कंपनी के सभी डिवीजनों के लिए समान आवश्यकताओं और दृष्टिकोण के आधार पर कार्यान्वित किया जाता है;
• ईमानदारी/जटिलता- आईसीएस कंपनी के सभी स्तरों और सभी डिवीजनों में संचालित होता है, आंतरिक नियंत्रण और गतिविधियों के सभी विषयों को कवर करता है और तदनुसार, सभी जोखिम:
  • एक विश्वसनीय और कुशल आईसीएस बनाने और बनाए रखने का कर्तव्य कंपनी के प्रबंधन के सभी स्तरों के प्रमुखों का है;
  • सभी व्यावसायिक प्रक्रियाओं और प्रबंधन के सभी स्तरों पर नियंत्रण प्रक्रियाएं मौजूद हैं;
  • कंपनी का प्रत्येक कर्मचारी आंतरिक नियंत्रण प्रणाली में अपनी भूमिका जानता, समझता और निष्पादित करता है

• एक ज़िम्मेदारी- कंपनी के सभी स्तरों पर सभी कर्मचारी और प्रबंधन अपनी शक्तियों के भीतर आईसीएस के कामकाज के लिए जिम्मेदार हैं;
• जोखिम अभिविन्यास- कंपनी में आईसीएस जोखिम प्रबंधन प्रणाली के साथ निकट संपर्क में है, जो जोखिमों को प्रभावित करने के उपायों के समय पर और प्रभावी कार्यान्वयन में योगदान देता है। नियंत्रण प्रक्रियाओं का विश्लेषण करते समय, जोखिमों की भयावहता और संभावना, वित्तीय और आर्थिक गतिविधियों के परिणामों पर उनके प्रभाव की डिग्री और कंपनी के लक्ष्यों की उपलब्धि का मूल्यांकन करना आवश्यक है, जो हमें यह निष्कर्ष निकालने की अनुमति देता है कि मौजूदा नियंत्रण प्रक्रियाएं पर्याप्त हैं , या कि नए विकसित और कार्यान्वित किए जाने की आवश्यकता है।
• इष्टतमता -कंपनी में उपयोग की जाने वाली नियंत्रण प्रक्रियाओं की मात्रा और जटिलता प्रभावी जोखिम प्रबंधन और कंपनी के लक्ष्यों की उपलब्धि के लिए आवश्यक और पर्याप्त हैं। नियंत्रण प्रक्रियाओं के कार्यान्वयन और बाद के संचालन के लिए संसाधन और लागत जोखिम प्राप्ति (लागत-से-आर्थिक प्रभाव अनुपात) के परिणामों से अधिक नहीं होनी चाहिए, और अवशिष्ट जोखिम का कुल स्तर कंपनी की जोखिम भूख के अनुरूप होना चाहिए।
• कर्तव्यों का अलगाव- कंपनी आईसीएस के विकास, अनुमोदन, आवेदन और निगरानी की प्रक्रियाओं के प्रति उनके दृष्टिकोण के आधार पर आंतरिक नियंत्रण के विषयों के अधिकारों और दायित्वों का परिसीमन करती है। यह अनुमति नहीं है कि एक कर्मचारी/इकाई को एक साथ निम्नलिखित शक्तियां सौंपी जाएं:
  • संपत्ति के साथ लेनदेन को मंजूरी;
  • संपत्ति के साथ संचालन करना;
  • संचालन का लेखा / पंजीकरण;
  • संचालन की शुद्धता, पूर्णता और तथ्य की जाँच करना और संपत्ति की सुरक्षा सुनिश्चित करना।

• औपचारिक- आईसीएस को औपचारिक रूप दिया जाना चाहिए:
  • कंपनी के लक्ष्यों की उपलब्धि को प्रभावित करने वाली सभी महत्वपूर्ण व्यावसायिक प्रक्रियाओं के जोखिमों और नियंत्रणों का वर्णन करता है;
  • नियंत्रण प्रक्रियाओं के कार्यान्वयन के परिणाम प्रलेखित और संग्रहीत हैं (प्राथमिक दस्तावेज, रिपोर्ट, लेनदेन लॉग, आदि);

3.2 प्रासंगिकता और विकास- आईसीएस पर सभी दस्तावेज (जोखिम, नियंत्रण और अन्य जानकारी का विवरण) को समय पर अद्यतन किया जाना चाहिए, साथ ही जोखिम प्रबंधन की दक्षता में सुधार के लिए लगातार सुधार किया जाना चाहिए। शीर्ष प्रबंधन आंतरिक और बाहरी परिचालन स्थितियों में परिवर्तन से उत्पन्न होने वाली नई समस्याओं को हल करने की आवश्यकता को ध्यान में रखते हुए, आंतरिक नियंत्रण प्रणाली के निरंतर विकास के लिए स्थितियां प्रदान करता है। कंपनी में आंतरिक नियंत्रण प्रणाली के संगठन और कामकाज का आधार निम्नलिखित घटक हैं:

• नियंत्रण पर्यावरण;
• जोखिम आकलन;
• नियंत्रण के साधन;
• सूचना और संचार;
• एसवीके निगरानी।

आईसीएस के घटकों का विस्तृत विवरण इस नीति के परिशिष्ट 1 में दिया गया है।

4. आंतरिक नियंत्रण के विषय और उनके कार्य

4.1 कंपनी की आंतरिक नियंत्रण प्रणाली वस्तुओं और विषयों के एक समूह द्वारा निर्धारित की जाती है। आईसीएस की वस्तुएं कंपनी के डिवीजनों की वित्तीय और आर्थिक गतिविधियां हैं। आंतरिक नियंत्रण के विषय इस नीति और आंतरिक नियंत्रण के क्षेत्र में कंपनी के अन्य नियामक दस्तावेजों द्वारा निर्धारित किए जाते हैं।

4.2 आंतरिक नियंत्रण के विषयों की संरचना निर्धारित की जाती है संगठनात्मक संरचनासमाज और इसमें शामिल हैं:

• निदेशक मंडल;
• लेखा परीक्षा समिति;
• महानिदेशक;
• आंतरिक नियंत्रण प्रभाग;
• नेताओं संरचनात्मक विभाजनऔर कंपनी के कर्मचारी।

4.3 निदेशक मंडल- कंपनी में आंतरिक नियंत्रण प्रणाली के संगठन की सामान्य दिशाओं को निर्धारित करता है, उनके परिवर्तन के मामले में कंपनी की गतिविधियों की प्रकृति, पैमाने और शर्तों के साथ आईसीएस की समग्र दक्षता और अनुपालन का विश्लेषण करता है - प्रभावशीलता का आकलन करने के परिणामों पर विचार करता है आईसीएस की, महत्वपूर्ण कमियों और उनके उन्मूलन के लिए सिफारिशों की पहचान की। आंतरिक नियंत्रण नीति और उसमें संशोधन को मंजूरी देता है।

आंतरिक नियंत्रण प्रणाली के संबंध में निदेशक मंडल के कार्य और कार्य कंपनी के निदेशक मंडल के विनियमों में निहित हैं।

4.4 निदेशक मंडल की लेखा परीक्षा समिति- आंतरिक नियंत्रण और जोखिम प्रबंधन के सिद्धांतों के अनुपालन का मूल्यांकन करता है और कंपनी में आईसीएस की समग्र प्रभावशीलता (आंतरिक लेखा परीक्षा और आंतरिक नियंत्रण इकाइयों से रिपोर्ट के आधार पर) आईसीएस में सुधार के लिए सिफारिशें देता है।

निदेशक मंडल की लेखा परीक्षा समिति के कार्य और कार्य कंपनी की लेखा परीक्षा समिति पर संबंधित विनियमन में तय किए गए हैं।

4.5 सीईओ- कंपनी में एक प्रभावी आंतरिक नियंत्रण प्रणाली के कामकाज को व्यवस्थित और बनाए रखने और आईसीएस के कामकाज की निगरानी के लिए जिम्मेदार है, जिसमें शामिल हैं:

• कंपनी में आईसीएस के विकास और सुधार की दिशा निर्धारित करता है;
• आंतरिक नियंत्रण प्रणाली पर विनियमों को मंजूरी देता है, आईसीएस के क्षेत्र में आईसीएस और अन्य नियामक दस्तावेजों के निदान और सुधार के लिए विनियम;
• आईसीएस डायग्नोस्टिक्स के परिणामों सहित आंतरिक नियंत्रण संरचनात्मक इकाई के काम के परिणामों पर विचार करता है;
• आंतरिक नियंत्रण के क्षेत्र में शीर्ष प्रबंधन के निर्णयों के कार्यान्वयन की जिम्मेदारी स्थापित करता है;
• आईसीएस में कमियों को दूर करने के लिए एक कार्य योजना पर विचार करता है और उसे मंजूरी देता है।

4.6 आंतरिक लेखापरीक्षा प्रभाग- आईसीएस के व्यक्तिगत घटकों, लेखापरीक्षित वस्तुओं के आईसीएस और कंपनी के आईसीएस की प्रभावशीलता का एक स्वतंत्र मूल्यांकन करता है और इसकी विश्वसनीयता और दक्षता में सुधार के लिए सिफारिशें विकसित करता है, जिसमें शामिल हैं:

• आईसीएस के संगठन और कामकाज के लिए प्रक्रिया निर्धारित करने वाले नियामक दस्तावेजों के साथ विभागों और कर्मचारियों की गतिविधियों के अनुपालन की जांच करता है;
• संगठन और आईसीएस के कामकाज, कंपनी की गतिविधियों की प्रकृति और दायरे को विनियमित करने वाले नियामक दस्तावेजों की सामग्री के अनुपालन का आकलन करता है;
• उल्लंघनों के तथ्यों की पहचान करता है, उनके कमीशन के कारणों का विश्लेषण करता है और उल्लंघनों की पुनरावृत्ति को रोकने के लिए मौजूदा और / या नई नियंत्रण प्रक्रियाओं में सुधार के लिए सिफारिशें विकसित करता है;
• पहचाने गए उल्लंघनों और कमियों के समय पर और पूर्ण उन्मूलन की निगरानी करता है;
• प्रबंधन और कर्मचारियों द्वारा किए गए कंपनी में आंतरिक नियंत्रण प्रणाली के निदान की प्रक्रिया का गुणवत्ता नियंत्रण करता है;
• आंतरिक नियंत्रण में सुधार पर सलाह।

4.7 कार्य आंतरिक नियंत्रण इकाइयाँहैं:

आंतरिक नियंत्रण प्रणाली की प्रभावशीलता बनाने और बनाए रखने के लिए गतिविधियों का समन्वय;

• आईसीएस की पद्धति संबंधी सहायता;
• कंपनी में आईसीएस डायग्नोस्टिक प्रक्रिया का संगठन:
• कंपनी में आईसीएस के विकास और सुधार के लिए योजना तैयार करना;
• अद्यतन आईसीएस अवसंरचना (जोखिमों, नियंत्रण प्रक्रियाओं और व्यावसायिक प्रक्रियाओं के रजिस्टर) का रखरखाव और रखरखाव;
• कमियों को दूर करने और आईसीएस में सुधार करने के लिए कार्य योजना के कार्यान्वयन की निगरानी करना, सहित। कमियों को दूर करने के लिए गुणवत्ता नियंत्रण;
• सभी आईसीएस प्रतिभागियों को आईसीएस के क्षेत्र में दृष्टिकोण, प्रलेखन और अन्य आवश्यकताओं में परिवर्तन के बारे में सूचित करना;
• संगठन और आंतरिक नियंत्रण प्रणाली के सुधार पर कर्मियों के लिए प्रशिक्षण कार्यक्रमों की तैयारी का संगठन।

कंपनी के आईसीएस के समन्वय के लिए संरचनात्मक उपखंड के कार्यों, कार्यों और शक्तियों को प्रासंगिक विनियमों में परिभाषित किया गया है।

4.8 संरचनात्मक प्रभागों के प्रमुख और कर्मचारीपूरे प्रबंधन कार्यक्षेत्र में इकाइयों की गतिविधि के प्रासंगिक कार्यात्मक क्षेत्रों में आंतरिक नियंत्रण प्रणाली के गठन, रखरखाव और निरंतर निगरानी के लिए जिम्मेदार हैं, और अपने आधिकारिक कर्तव्यों के अनुसार नियंत्रण प्रक्रियाओं को भी पूरा करते हैं, जिनमें शामिल हैं:

• कंपनी की वित्तीय और आर्थिक गतिविधियों के जोखिमों की समय पर पहचान और विश्लेषण;
• विकास, औपचारिकता, साथ ही बाद में निष्पादन और उनकी व्यावसायिक प्रक्रियाओं के भीतर नियंत्रण प्रक्रियाओं की प्रभावशीलता और पर्याप्तता सुनिश्चित करना;
• आईसीएस के विवरण को अद्यतन करना और परिवर्तनों के बारे में आंतरिक नियंत्रण इकाई को समय पर सूचित करना;
• आईसीएस के कामकाज की निगरानी, ​​साथ ही साथ नियंत्रण प्रक्रियाओं की प्रभावशीलता का एक स्वतंत्र मूल्यांकन जो वे करते हैं;
• किसी भी गलती / कमियों के बारे में प्रबंधन को सूचित करना या संभव है जो संभावित नकारात्मक घटनाओं का कारण बन सकता है या हो सकता है;
• अनुमोदित प्रशिक्षण कार्यक्रम के अनुसार आंतरिक नियंत्रण और जोखिम प्रबंधन के क्षेत्र में प्रशिक्षण उत्तीर्ण करना।

4.9 कंपनी आंतरिक नियंत्रण प्रणाली के संगठन और कामकाज पर नियामक दस्तावेजों में अपनाए गए आंतरिक नियंत्रण के सभी विषयों के बीच समझ बनाने के लिए ऊर्ध्वाधर और क्षैतिज संचार सहित सूचनाओं के आदान-प्रदान के लिए प्रभावी चैनलों का निर्माण सुनिश्चित करती है और उनका क्रियान्वयन सुनिश्चित करें।

4.10 निदेशक मंडल, निदेशक मंडल की लेखा परीक्षा समिति को आंतरिक नियंत्रण प्रणाली के कार्य, पाई गई कमियों और अन्य महत्वपूर्ण परिस्थितियों के बारे में जानकारी प्रदान की जाती है। सीईओ के लिएकंपनी के कानून और नियामक दस्तावेजों की मौजूदा आवश्यकताओं के अनुसार प्रबंधन बोर्ड या अन्य निकाय।

5. भूमिकाएँ

5.1 आईसीएस के प्रभावी कामकाज को सुनिश्चित करने के लिए, निम्नलिखित भूमिकाएं कंपनी के प्रबंधकों और अन्य कर्मचारियों के बीच वितरित की जाती हैं:

• प्रक्रिया/जोखिम स्वामी
• आईसीएस समन्वयक

• नियंत्रण निष्पादक

5.2 प्रक्रिया/जोखिम स्वामी- उपखंड/विभाग का प्रमुख जो इसके लिए जिम्मेदार है:

• आईसीएस के सभी घटकों के प्रभावी कामकाज के लिए ( परिशिष्ट 1 में आईसीएस घटक देखें) व्यावसायिक जोखिमों को कवर करने और उनकी व्यावसायिक प्रक्रियाओं/जोखिमों के हिस्से के रूप में वित्तीय विवरण तैयार करने के संदर्भ में;
• नियंत्रण के निष्पादकों की नियुक्ति के लिए और इन प्रक्रियाओं के कार्यान्वयन के लिए जिम्मेदारी के संबंधित कर्मचारियों के नौकरी विवरण में फिक्सिंग;

• आईसीएस के लिए प्रलेखन के अनुसार नियंत्रण के निष्पादकों द्वारा नियंत्रणों के निष्पादन और प्रलेखन को सुनिश्चित करने के लिए;
• प्रक्रियाओं, जोखिमों या नियंत्रणों में परिवर्तन की पहचान करने के लिए जिसके लिए आईसीएस दस्तावेज़ीकरण में परिवर्तन की आवश्यकता होती है और इसके बारे में संबंधित इकाई में आंतरिक नियंत्रण इकाई / आईसीएस समन्वयक के कर्मचारियों को सूचित करना;
• आईसीएस प्रलेखन के समय पर अनुमोदन के लिए (जोखिमों का विस्तृत विवरण, एकीकृत और अनुकूलित नियंत्रण और अन्य जानकारी);
• परीक्षण या निगरानी के परिणामस्वरूप पहचाने गए आईसीएस में कमियों को दूर करने के लिए।

5.3 नियंत्रण निष्पादक- किसी भी स्तर पर एक कर्मचारी जो इसके लिए जिम्मेदार है:

• आईसीएस के प्रलेखन के अनुसार नियंत्रण प्रक्रियाओं के समय पर और उच्च गुणवत्ता वाले कार्यान्वयन के लिए;
• अधिसूचित करने के लिए, यदि आवश्यक हो, उप नियंत्रण निष्पादक और आंतरिक नियंत्रण प्रभाग के एक कर्मचारी को निष्पादक के बजाय प्रासंगिक नियंत्रण प्रक्रिया करने की आवश्यकता है;
• आईसीएस दस्तावेज के समय पर अनुमोदन के लिए (जोखिम, नियंत्रण और अन्य जानकारी का विस्तृत विवरण);
• आईसीएस की प्रभावशीलता के स्व-मूल्यांकन के लिए प्रक्रियाओं के कार्यान्वयन के लिए;
• प्रक्रियाओं, जोखिमों या नियंत्रणों में परिवर्तन की पहचान करने के लिए जिसके लिए आईसीएस दस्तावेज़ीकरण में परिवर्तन की आवश्यकता होती है और जोखिम/प्रक्रिया के मालिक, संबंधित इकाई में आईसीएस समन्वयक और आंतरिक नियंत्रण इकाई के कर्मचारियों को इस बारे में सूचित करना;
• परीक्षण और निगरानी के परिणामस्वरूप पहचानी गई आईसीएस कमियों को दूर करने के लिए।

5.4 आईसीएस समन्वयकप्रत्येक विभाग में एक कर्मचारी जो इसके लिए जिम्मेदार है:

• संबंधित इकाई के ढांचे के भीतर आईसीएस के कामकाज की प्रक्रिया के आयोजन और समन्वय के लिए;
• कार्यान्वयन की गुणवत्ता की निगरानी और संबंधित इकाई में किए गए नियंत्रणों के संदर्भ में नियंत्रण प्रक्रियाओं के दस्तावेजीकरण के लिए;
• प्रासंगिक संरचनात्मक इकाई के संदर्भ में आईसीएस पर प्रलेखन की प्रासंगिकता के लिए;
• आंतरिक नियंत्रण प्रभाग को आईसीएस दस्तावेज़ीकरण (जोखिम, नियंत्रण और अन्य जानकारी के संदर्भ में नए शब्दों के प्रस्तावों सहित प्रक्रियाओं, जोखिमों या नियंत्रणों में परिवर्तन) को बदलने की आवश्यकता के बारे में सूचित करने के लिए।

6. आईसीएस की प्रभावशीलता सुनिश्चित करने के क्षेत्र में आवश्यकताएं और जिम्मेदारियां

6.1 आंतरिक नियंत्रण कंपनी के किसी भी प्रभाग के कामकाज का एक अभिन्न अंग है।

6.2 कंपनी के आईसीएस के कामकाज और दक्षता के लिए सभी कर्मचारी जिम्मेदार हैं।

6.3 कंपनी के प्रबंधन को कर्मचारियों को आईसीएस के कामकाज की प्रभावशीलता और साथ ही इस प्रणाली में प्रत्येक कर्मचारी की भूमिका के महत्व के बारे में बताना चाहिए, जिसमें निम्नलिखित बुनियादी आवश्यकताएं शामिल हैं:

• कोई भी कर्मचारी, प्रत्यक्ष या अप्रत्यक्ष रूप से, लेखांकन, प्रबंधन या अन्य रिपोर्टिंग डेटा के जानबूझकर मिथ्याकरण की अनुमति या कारण नहीं दे सकता है।
• लेखांकन डेटा में कोई परिवर्तन नहीं किया जा सकता है यदि यह ज्ञात है कि ये परिवर्तन संबंधित संचालन के सार को विकृत कर सकते हैं।
• उनकी अधूरी रिपोर्टिंग के उद्देश्य से किसी भी राशि/खाते/लेनदेन को छिपाया नहीं जा सकता है।
• कंपनी के सभी कर्मचारी कंपनी की संपत्ति को संरक्षित करने और उनका कुशल उपयोग सुनिश्चित करने के लिए बाध्य हैं।

6.4 यदि कंपनी के किसी कर्मचारी को आंतरिक नियंत्रण प्रक्रियाओं की कमी या अक्षमता के बारे में जानकारी है, तो उसे तुरंत अपने तत्काल पर्यवेक्षक, साथ ही आंतरिक नियंत्रण और आंतरिक लेखा परीक्षा इकाइयों के प्रमुखों को इस बारे में सूचित करना चाहिए।

6.5 यदि कोई कर्मचारी जानबूझकर इस नीति का पालन करने में विफल रहता है और नियंत्रण प्रक्रियाओं का पालन नहीं करता है जिसके लिए वह जिम्मेदार है, तो कर्मचारी लागू कानून की आवश्यकताओं के अनुसार बर्खास्तगी सहित अनुशासनात्मक कार्रवाई के अधीन होगा।

7. आईसीएस दक्षता की निगरानी

7.1 निगरानी का उद्देश्य कंपनी की आंतरिक नियंत्रण प्रणाली की प्रभावशीलता का मूल्यांकन करना है, जिसमें इसके लक्ष्यों और उद्देश्यों की पूर्ति सुनिश्चित करने की क्षमता के साथ-साथ सिस्टम की कमियों की भौतिकता का निर्धारण करना शामिल है।

7.2 वित्तीय रिपोर्टिंग पर आंतरिक नियंत्रण की प्रणाली की निगरानी में शामिल हैं:

• उनके प्रति जवाबदेह इकाइयों में नियंत्रण प्रक्रियाओं के कार्यान्वयन पर निरंतर नियंत्रण की इकाइयों के प्रबंधन द्वारा कार्यान्वयन;
• कंपनी में आंतरिक नियंत्रण प्रणाली का स्व-मूल्यांकन करना;
• आंतरिक लेखा परीक्षा इकाई द्वारा कानून की आवश्यकताओं और संगठन के नियामक दस्तावेजों के प्रावधानों के साथ नियंत्रण प्रक्रियाओं के कार्यान्वयन और संचालन के अनुपालन की जांच की आवधिक जांच का कार्यान्वयन;
• बाहरी लेखा परीक्षक द्वारा वित्तीय विवरण तैयार करने की प्रक्रिया पर आंतरिक नियंत्रण प्रणाली की प्रभावशीलता का आकलन
• प्रबंधन कार्यक्षेत्र के भीतर हितधारकों को वित्तीय रिपोर्टिंग पर आंतरिक नियंत्रण की प्रणाली की पहचान की गई कमियों पर सूचना का समय पर संचार।

7.3 आईसीएस की प्रभावशीलता का स्व-मूल्यांकन (इसके बाद - आईसीएस का स्व-मूल्यांकन) आईसीएस के विषयों द्वारा सीधे किया जाता है:

• प्रश्नावली का वितरण - आईसीएस के कामकाज की प्रभावशीलता और कंपनी के डिवीजनों के कर्मचारियों और प्रमुखों से व्यावसायिक प्रक्रियाओं में बदलाव के बारे में जानकारी एकत्र करने के लिए उपयोग किया जाता है।
• आईसीएस की स्थिति की निगरानी सीपी के प्रलेखन की पूर्णता, कार्यान्वयन की समयबद्धता और शुद्धता की जांच करने की प्रक्रिया है।
• नियंत्रण प्रक्रियाओं की प्रभावशीलता का मूल्यांकन - विवरण और नियंत्रण के निष्पादन की प्रभावशीलता का विश्लेषण, साथ ही नियंत्रण प्रक्रियाओं की पर्याप्तता का विश्लेषण (यह आकलन कि कैसे नियंत्रण, इसके प्रभावी कार्यान्वयन के अधीन, संबंधित जोखिमों को प्रभावी ढंग से कम करने में सक्षम है) इसके लिए)।

7.4 आईसीएस के नियमित मूल्यांकन से इसकी प्रभावशीलता में सुधार करने में मदद मिलती है:

• व्यावसायिक प्रक्रियाओं, डिजाइन या नियंत्रण प्रक्रियाओं के कार्यान्वयन के चरणों में परिवर्तन का समय पर पता लगाना;
• आंतरिक नियंत्रण प्रणाली में सुधार और सीपी कार्यान्वयन की गुणवत्ता पर निरंतर नियंत्रण में प्रत्यक्ष भागीदारी के माध्यम से नियंत्रण निष्पादकों और उनके प्रबंधकों की प्रेरणा बढ़ाना;
• आईसीएस के कामकाज की प्रभावशीलता की पुष्टि करने के लिए कंपनी के प्रबंधन को एक सूचना आधार प्रदान करना।
  

7.5 आईसीएस मूल्यांकन के परिणामों को प्रलेखित किया जाना चाहिए और कंपनी के प्रबंधन और निदेशक मंडल की लेखा परीक्षा समिति को प्रस्तुत किया जाना चाहिए:

• आंतरिक लेखापरीक्षा प्रभाग आईसीएस मूल्यांकन के परिणामों के आधार पर एक रिपोर्ट तैयार करता है;
• बाहरी लेखा परीक्षक आईसीएस के बाहरी स्वतंत्र मूल्यांकन के परिणामों के आधार पर पहचानी गई महत्वपूर्ण कमियों के बारे में प्रबंधन को एक पत्र बनाता है;
• आंतरिक नियंत्रण विभाग कंपनी के संरचनात्मक प्रभागों द्वारा किए गए आईसीएस स्व-मूल्यांकन के परिणामों के आधार पर एक रिपोर्ट तैयार करता है।

8. नीति में परिवर्धन और परिवर्तन करना

8.1 आंतरिक नियंत्रण प्रणाली के कामकाज को विनियमित करने वाले कंपनी के विधायी कृत्यों, नियामकों और नियामक दस्तावेजों की आवश्यकताओं को बदलते और पूरक करते समय, इस नीति में परिवर्तन और परिवर्धन केवल कंपनी के निदेशक मंडल के विधिवत निष्पादित निर्णयों द्वारा किया जा सकता है। कंपनी का निदेशक मंडल नीति के नए संस्करण को अनुमोदित करने का निर्णय भी ले सकता है।

अनुलग्नक 1। COSO पद्धति के अनुसार ICS घटक

COSO "आंतरिक नियंत्रण-एकीकृत फ्रेमवर्क" मॉडल के अनुसार आंतरिक नियंत्रण में पांच परस्पर संबंधित घटक होते हैं जो व्यवसाय के संचालन के तरीके से आते हैं और इसके प्रबंधन की प्रक्रिया से जुड़े होते हैं। पांच घटकों में शामिल हैं:

नियंत्रण पर्यावरण:नियंत्रण वातावरण एक संगठन में एक ऐसा वातावरण बनाता है जो नियंत्रण करने के महत्व के बारे में कर्मियों की जागरूकता को प्रभावित करता है। यह आंतरिक नियंत्रण के अन्य सभी घटकों का आधार है, जो व्यवस्था और अनुशासन प्रदान करता है। नियंत्रण पर्यावरण कारकों में अखंडता, नैतिक मूल्य, प्रबंधन शैली, शक्तियों और जिम्मेदारियों के वितरण की प्रणाली, साथ ही संगठन में कर्मियों के प्रबंधन और विकास प्रक्रियाएं शामिल हैं। साथ ही, नियंत्रण पर्यावरण की प्रभावशीलता निदेशक मंडल की ओर से इस मुद्दे पर ध्यान देने पर निर्भर करती है।

जोखिम आकलन:प्रत्येक संगठन को विभिन्न बाहरी और आंतरिक जोखिमों का सामना करना पड़ता है जिनका मूल्यांकन करने की आवश्यकता होती है। जोखिम मूल्यांकन के लिए एक पूर्वापेक्षा लक्ष्यों की परिभाषा है, इसलिए जोखिम मूल्यांकन में स्थापित लक्ष्यों की उपलब्धि से जुड़े प्रासंगिक जोखिमों की पहचान और विश्लेषण शामिल है। जोखिम मूल्यांकन है आवश्यक शर्तजोखिम प्रबंधन।

नियंत्रण:नियंत्रण नीतियां और प्रक्रियाएं हैं जो सुनिश्चित करती हैं कि प्रबंधन के फैसले लागू होते हैं। वे यह सुनिश्चित करने में मदद करते हैं कि उन जोखिमों के संबंध में आवश्यक कार्रवाई की जाती है जो संगठन को अपने उद्देश्यों को प्राप्त करने से रोक सकते हैं। पूरे संगठन में, उसके सभी स्तरों पर और सभी कार्यों में नियंत्रण का प्रयोग किया जाता है। इनमें अनुमोदन, परमिट, चेक, सुलह, गतिविधि रिपोर्ट, संपत्ति संरक्षण और कर्तव्यों के अलगाव जैसी कई गतिविधियां शामिल हैं।

सूचना और संचार:सभी आवश्यक सूचनाओं की पहचान की जानी चाहिए, उन्हें तैयार किया जाना चाहिए और संबंधित कर्मचारियों को समयबद्ध तरीके से संप्रेषित किया जाना चाहिए ताकि वे अपने कर्तव्यों को पूरी तरह से पूरा कर सकें। सूचना प्रणाली आंतरिक नियंत्रण प्रणाली में भी एक महत्वपूर्ण भूमिका निभाती है, क्योंकि उनमें वित्तीय जानकारी होती है, साथ ही संचालन और कानून के अनुपालन की जानकारी होती है, जो आपको व्यवसाय का प्रबंधन और नियंत्रण करने की अनुमति देती है। सवाल न केवल आंतरिक कंपनी की जानकारी के प्रसार के बारे में है, बल्कि कर्मचारियों को बाहरी घटनाओं और गतिविधियों के बारे में सूचित करना भी महत्वपूर्ण है जो विभिन्न निर्णय लेने के लिए आवश्यक हैं। व्यापक अर्थों में प्रभावी संचार को पूरे संगठन में विभागों के बीच ऊपर और नीचे सूचना के प्रवाह को सुनिश्चित करना चाहिए। यह महत्वपूर्ण है कि कंपनी कर्मियों को आंतरिक नियंत्रण के संदर्भ में अपनी जिम्मेदारियों को पूरा करने के महत्व पर वरिष्ठ प्रबंधन से स्पष्ट रूप से स्पष्ट स्थिति प्राप्त हो। यह भी महत्वपूर्ण है कि प्रत्येक कर्मचारी आंतरिक नियंत्रण प्रणाली में अपनी भूमिका को स्पष्ट रूप से समझता है, और उसके काम का परिणाम अन्य कर्मचारियों की गतिविधियों से कैसे संबंधित है। कार्मिक को कंपनी प्रबंधन को सभी महत्वपूर्ण सूचनाओं को संप्रेषित करने की आवश्यकता के बारे में पता होना चाहिए। कंपनी के हितों से संबंधित मामलों पर प्रभावी संचार बाहरी पक्षों जैसे ग्राहकों, आपूर्तिकर्ताओं, नियामकों और शेयरधारकों के साथ भी सुनिश्चित किया जाना चाहिए।

निगरानी:आंतरिक नियंत्रण प्रणाली को निगरानी की आवश्यकता होती है - अपने काम की गुणवत्ता के आवधिक मूल्यांकन की एक प्रक्रिया। यह कुछ कार्यों के निष्पादन की गुणवत्ता की निरंतर निगरानी, ​​किसी विशेष प्रक्रिया की प्रभावशीलता का मूल्यांकन करने के लिए अलग-अलग जांचों द्वारा, या इन दो विकल्पों के संयोजन द्वारा प्राप्त किया जाता है। सहित दैनिक आधार पर निरंतर निगरानी की जाती है। प्रासंगिक प्रक्रियाओं के प्रबंधन और प्रबंधन के लिए गतिविधियाँ, साथ ही साथ स्टाफ कर्तव्यों के प्रदर्शन के ढांचे में अन्य गतिविधियाँ। व्यक्तिगत ऑडिट का दायरा और आवृत्ति प्रासंगिक जोखिमों के मूल्यांकन के स्तर के साथ-साथ इन कार्यों की निरंतर निगरानी के परिणामों पर निर्भर करती है। निगरानी के दौरान पहचानी गई आंतरिक नियंत्रण कमियों को प्रबंधन के ध्यान में लाया जाना चाहिए, और सबसे महत्वपूर्ण टिप्पणियों को वरिष्ठ प्रबंधन और निदेशक मंडल को लाया जाना चाहिए।

इन घटकों का आपस में घनिष्ठ संबंध एक एकीकृत प्रणाली के गठन को सुनिश्चित करता है जो उभरती चुनौतियों का शीघ्रता से जवाब देने में सक्षम है। आंतरिक नियंत्रण प्रणाली परिचालन गतिविधियों का एक अभिन्न अंग है। सबसे प्रभावी आईसीएस है यदि नियंत्रण संगठन के बुनियादी ढांचे में निर्मित होते हैं और इसके सार का हिस्सा होते हैं। अंतर्निहित नियंत्रण घटनाओं की गुणवत्ता और प्रभावशीलता को बढ़ाते हैं, साथ ही अतिरिक्त लागतों से बचने में मदद करते हैं और कुछ घटनाओं के लिए तेजी से प्रतिक्रिया की अनुमति देते हैं।

"COSO - ट्रेडवे कमीशन, यूएसए के प्रायोजक संगठनों की समिति"

ट्रेडवे आयोग के प्रायोजक संगठनों की समिति(अंग्रेज़ी) समिति का प्रायोजन संगठनों का ट्रेडवे आयोग, COSO) - संयुक्त राज्य अमेरिका में बनाया गया एक स्वैच्छिक निजी संगठन है और संगठनात्मक प्रशासन, व्यावसायिक नैतिकता, वित्तीय रिपोर्टिंग, आंतरिक नियंत्रण, कंपनी जोखिम प्रबंधन और धोखाधड़ी की रोकथाम के महत्वपूर्ण पहलुओं पर कॉर्पोरेट प्रबंधन को उचित सलाह प्रदान करने के लिए डिज़ाइन किया गया है।