Modelul COSO de control financiar

Modelul COSO de control financiar

In anul 1985, senatorul american Treadway a initiat o cercetare asupra controlului intern si a rolului sau in viata organizatiilor, instituind "Comisia Treadway'.

La recomandarile acestei comisii s-a creat un comitet intitulat-Comitetul de Sponsorizare al Organizatiilor-COSO, care a reunit competentele unui numar mare de membri ai I.I.A., profesionisti in domeniu, cabinete de audit extern si mari intreprinderi americane si care a elaborat o lucrare intitulata "Cadrul controlului intern'. Lucrarea defineste conceptul de control intern si precizeaza faptul ca, controlul intern nu are o legatura directa cu sistemele de inspectie si verificare recunoscute.

Definirea conceptului de control intern, problema care inca mai comporta controverse, s-a internationalizat si tinde sa accepte acelasi sens al termenului din engleza "control intern', care inseamna in primul rand "a detine controlul' si apoi "a venfica" si nu sensul termenului din franceza care inseamna "a verifica' si apoi "a inspecta'.

Precizam ca, in acest ansamblu complex de mijloace si practici pe care fiecare entitate le utilizeaza pentru a-si administra cat mai bine activitatile in vederea atingerii obiectivelor prestabilite, COSO prin cadrul de control elaborat intentioneaza sa induca o oarecare ordine in domeniu.

COSO este o organizatie independenta din sectorul privat dedicata studierii factorilor cauzali de producere a fraudelor financiare si imbunatatirii calitatii raportarii financiare prin: etica in afaceri, controale interne eficiente, guvernare corporatista.

In septembrie 1992, COSO defineste controlul intern ca fiind un proces efectuat de Consiliul de administratie, conducere si intregul personal al entitatii, menit sa furnizeze o asigurare rezonabila cu privire la indeplinirea obiectivelor organizatiei, avand in vedere:

eficacitatea si eficienta operatiilor;

realitatea rapoartelor financiare;

conformarea cu legile si cu regulamentele aplicabile.

Definitia controlului intern ne propune unele elemente cheie:

controlul intern este un proces, un mijloc pentru a atinge un scop si nu un scop in sine;

controlul intern este efectuat de toata lumea si el inseamna nu numai manuale de politici, formulare si documente, ci oamenii de la fiecare nivel al organizatiei;

controlul intern implica relativitate in organizare si nu este o magie care va conduce la efectuarea lucrurilor perfect;

de la controlul intern managementul are o serie de asteptari privind furnizarea unei asigurari rezonabile si nu a unei asigurari

controlul intern se refera la toate categoriile de entitati si activitati si nu numai la organizatii/intreprinderi,;

controlul intern priveste spre indeplinirea obiectivelor care stau in fata entitatii.

Tot in anul 1992, Comisia Treadway, de pe langa COSO, a elaborat si un model al controlului intern de evaluare a riscurilor

Modelul COSO se reprezinta in mod simbolic printr-o piramida care contine, in termeni filozofici, cele 5 elemente esentiale, si anume:

mediul de control,

evaluarea riscurilor,

activitatile de control,

informatii si comunicare,

monitorizare.

a) Mediul de control reprezinta atitudinea generala, integritatea, valorile etice si comportamentele angajatilor, filozofia si stilul de operare al managementului, modul de atribuire al autoritatii si responsabilitatii si sistemul de organizare si dezvoltare al angajatilor Consiliului de administratie.

Mediul de control face parte din cultura institutionala, influentata de stilul conducerii, sistemul de valori insusite de salariati, oamenii cu competenta profesionala si integritatea lor, descrierea activitatilor si procedurilor, structura organizatorica, separarea sarcinilor, IT s.a. si ofera cadrul in care se desfasoara diferitele forme de control intern.

Practica a demonstrat faptul ca schimbarea culturii organizationale se realizeaza in timp si de aceea factorii de management trebuie sa supervizeze si sa monitorizeze permanent evolutia acesteia.

Mediul de control este unul din elementele importante de care au nevoie intreprinderile pentru a-si organiza un sistem de control intern eficient. Astfel, auditorii se pot confrunta cu:

un mediu de control favorabil care presupune existenta unui climat unde valorile de etica sunt privilegiate, care utilizeaza, accepta si apreciaza controlul. Aceasta inseamna ca, codurile de conduita etica si regulamentele interioare exista si sunt luate in consideratie de toti factorii, inclusiv de managementul general, intotdeauna, puterea exemplului sefului contribuie la crearea unui climat propice dezvoltarii activitatilor de control. Managementul general trebuie sa fie un model nu numai prin discursul utilizat, ci si prin comportamentul fata de personal, clienti, furnizori s.a. Numai intr-un asemenea mediu controlul intern va functiona, va creste si se va dezvolta in cadrul unei organizatii.

un mediu de control adecvat este un mediu unde se respecta legile, regulile, procedurile, tertii-parteneri de afaceri, salariatii, contractele incheiate si astfel activitatile entitatii sunt stapanite;

un mediu de control deteriorat este un mediu unde nu exista proceduri formalizate, se evita controalele, exista incalcari ale normelor de conduita si regulamentelor de functionare, sau chiar de nerespectare a cadrului legislativ ceea ce prejudiciaza controlul intern. Acest mediu submineaza sistematic controlul intern asupra operatiilor, minimalizeaza necesitatea implementarii diferitelor activitati de control si apeleaza in mod periodic la inspectii. Intr-un mediu nefavorabil sau poate chiar corupt activitatea de inspectie devine importanta, dar in acelasi timp creste si rolul auditorilor interni care vor trebui sa se implice in imbunatatirea acestuia si respectiv a culturii organizatiei.

In aceste conditii, auditorii trebuie sa porneasca de la stabilirea unei politici organizationale clare, respectiv definirea delegarilor de competenta, adaptarea permanenta a competentelor salariatilor la cerintele posturilor, stabilirea de obiective realiste si realizabile si asigurarea unei gestionari eficiente a resurselor umane si chiar o finantare transparenta si la vedere pentru toata lumea.

Cand in cultura unei institutii se constata disfunctii, pe baza carora se evalueaza un mediu slab de control, o conditie pentru reusita auditorilor interni o reprezinta pozitia de autoritate pe care acestia trebuie sa o aiba in organizatie.

Mediul de control contribuie la imbunatatirea procedurilor de control specifice, insa nu poate, prin el insusi, chiar daca este un mediu de control solid, sa asigure eficacitatea sistemului de control intern.

Din punct de vedere structural cei mai importanti factori care influenteaza in mod decisiv mediul de control sunt:

functionarea structurilor de conducere;

politica manageriala si stilul de operare al acesteia;

structura organizatorica a entitatilor;

modul de stabilire a autoritatii si a responsabilitatilor;

sistemul de control managerial, care include si functia de audit intern;

politicile si procedurile de personal;

modul de segregare al sarcinilor.

Mediul de control favorizeaza si sensibilizeaza controlul intern, iar functia de audit intern va fi cu atat mai eficace si mai performanta. In acest context, putem vorbi de o cultura a controlului intern care atrage dupa sine o cultura a auditului. Acest mediu favorizeaza comunicarea, faciliteaza cooperarea in munca, permite un castig reciproc si duce la propuneri constructive, in care fiecare se recunoaste, si astfel sunt implementate rapid si eficient.

Cultura controlului intern este indispensabila unei bune eficacitati a functiei de audit intern. Auditorii interni stiu bine cat de eficace este actiunea lor cand cel auditat cunoaste specificul muncii de audit intern, deoarece atunci ei se inteleg usor, colaboreaza ca doi parteneri, iar reusita este asigurata.

Dialogul dintre auditor si auditat demonstreaza ca cei doi parteneri sunt constienti de cultura controlului intern, indispensabila pentru dezvoltarea mediului de control si a functiei de audit intern. Daca, dimpotriva, cel auditat nu cunoaste nimic despre ce reprezinta controlul intern si auditul intern ii percepe pe auditori ca pe niste agenti externi care ii risipesc timpul si banii, iar climatul de colaborare, atat de necesar, are putine sanse sa se instaleze.

b) Evaluarea riscurilor

Orice entitate este supusa riscurilor care pot fi riscuri proprii functionarii organizatiei insasi, riscuri specifice fiecarei activitati, dar si riscuri externe. Unele riscuri sunt acceptabile si inerente fiecarei activitati, insa exista si riscuri neacceptabile.

Organizatiile creeaza sisteme de control intern care sa le permita pe cat posibil sa evite riscurile inacceptabile si sa mentina la un nivel de toleranta riscurile acceptabile in vederea atingerii obiectivelor acesteia.

Toate entitatile isi propun administrarea riscurilor unele constituind in acest sens un Departament de management al riscului, altele lasand aceasta activitate in responsabilitatea managementului general si al managementului de linie si in supervizarea compartimentului de audit intern.

Un element fundamental al controlului intern al unei entitati il reprezinta existenta unui sistem de analiza si evaluare a riscurilor din cadrul acesteia.

Evaluarea riscurilor presupune definirea obiectivelor si conditiilor pe care trebuie sa le avem in vedere in special pentru gestionarea schimbarii, tinand cont de faptul ca oamenii se schimba, procedurile se schimba, organizarea si politicile se schimba, deci si riscurile se schimba si in consecinta controlul intern este condamnat la o permanenta adaptare la noile conditii.

Modul de gestionare al schimbarii este o preocupare constanta si a auditului intern care evalueaza fiabilitatea sistemelor de control intern si actualizeaza in permanenta geografia riscurilor entitatii, care poate fi un punct de plecare al oricarei analize ulterioare.

Evaluarea riscurilor presupune sa stim unde se gasesc riscurile in organizatie. Daca nu stim ce este riscant in entitatea noastra nu le vom putea evalua si urmari adecvat. Riscurile odata stiute implica necesitatea existentei activitatilor de control pentru a putea fi stapanite sau cel putin diminuate in anumite limite tolerabile, ceea ce presupune comunicare si informare reciproca. Cea mai mare parte a riscurilor sunt obtinute numai din comunicare, care se poate realiza spre exemplu, in mod formal, prin documente, sau informai prin telefon.

Organizarea sistemului de controlul intern este raspunsul managementului la aparitia riscurilor asociate activitatilor ce se desfasoara in cadrul entitatilor.

c) Activitatile de control sunt elemente specifice (politici, proceduri s.a.) care vor permite administrarea functiei/activitatii/subactivitatii/operatiei in conformitate cu obiectivele generale ale controlului intern.

Activitatile de control sunt de o mare diversitate functie de entitate, de cultura organizationala a acesteia, de structura organizatorica, de numarul activitatilor etc. Acestea se efectueaza in intreaga organizatie, la toate nivelele ierarhice si de catre toate functiile si constau in: indicatia, recomandarea, decizia, hotararea, sanctiunea, aprobarea, avizul, indrumarea, aprecierea, planul, programul, analiza, autorizatiile, verificarile, reconcilierile, revizuirea, siguranta activelor, segregarea sarcinilor, raportul, bugetul de venituri si cheltuieli, contul de profit si pierderi, bilantul contabil, darea de seama, instrumente matematice, tehnici informatice, tehnica PERT, cercetarea operationala, simulare, grafice, programare liniara, drumul critic s.a.

Activitatile de control prezentate pot fi grupate, spre exemplu, in:

activitati de control poprii entitatii pentru evitarea riscurilor generale;

activitati de control poprii fiecarei functii, foarte numeroase si specifice;

activitati de control general valabil si unanim recunoscute in special din domenii conexe.

In consecinta, putem afirma ca, nu exista un control intern/sistem de control intern in cadrul unei entitati daca nu exista la fiecare nivel ierarhic sau sub functie/operatie, activitati de control in vederea evitarii riscurilor de la acele nivele.

Sistemul de control intern reprezinta cadrul in care functioneaza aceste activitati de control la dispozitia managementului si el trebuie sa aiba in vedere schimbarile si sa le anticipeze pentru realizarea caracterului previzional al controlului cu privire la evolutia entitatii.

Controlul intern este un proces realizat de catre personalul de la toate nivelele, respectiv Consiliul de administratie, conducerea executiva si intregul personal.

Principalele obiective ale procesului de control intern sunt:

obiectivele operationale, care sa asigure folosirea eficienta a activelor entitatii si a altor resurse si protejarea impotriva pierderilor;

obiectivele informationale, care sa permita pregatirea de rapoarte la timp si de incredere, necesare pentru luarea deciziilor in cadrul organizatiei;

obiectivele de conformitate, care sa asigure ca intreaga activitate este condusa in conformitate cu legile si regulamentele aplicabile, cu cerintele de supervizare si cu politicile si procedurile interne.

In practica, pentru asigurarea unui nivel rezonabil al controlului intern exista urmatoarele tipuri de verificari:

controalele preventive - efectuate pentru a evita evenimente nedorite;

controalele de detectie - efectuate pentru a detecta si corecta evenimentele nedorite care au avut loc;

controalele directive efectuate pentru a produce un eveniment dorit;

controale administrative inventarierea patrimoniului, controlul valorilor din casierie etc;

controale contabile realizate  de specialisti cu ocazia indeplinirii atributiilor din fisa postului;

controale fizice - controlul personalului s.a.

In prezent, in Romania, structura sistemului de control intern al unei entitati publice cuprinde:

a)           controlul financiar preventiv control ex-ante obligatoriu, stabilit prin
lege, se efectueaza apriori asupra operatiilor patrimoniale ale entitatii publice si
se realizeaza de persoane incadrate pe functii de controlor;

b)           controlul legislativ de conformitate cu reglementarile legale, de baza si specifice - realizat de compartimentul juridic al entitatii publice;

c)            controlul mutual - realizat, in plan orizontal, asupra lucrarilor primite
si predate, efectuat in aval si in amonte; control efectuat pe baza
reglementarilor procedurale ale operatiilor;

d)            controlul ierarhic - realizat, in plan vertical, de diferite nivele ierarhice;

e)            controlul administrativ efectuat prin organe specializate de control prin compartimente de inspectie;

f)            controlul contabil coordonat de contabilul sef, constand in verificarea introducerii pe conturi a operatiilor, a cheltuielilor si veniturilor derulate in institutiile publice;

g)         controlul de gestiune avand ca obiect principal controlul patrimoniului, al existentei bunurilor si valorilor, este un control obligatoriu conform legii si se executa cel putin o data pe an;

h)         controlul managerial - executat de managerii de la toate nivelele si avand ca obiective aspecte generale privind organizarea si functionarea eficienta a entitatilor publice.

Toate aceste controale sunt la dispozitia managementului si ele trebuie coordonate, dezvoltate sau reduse, infiintate sau anulate, in functie de evolutia riscurilor din entitate. Peste tot acest sistem de control intern prezentat apare auditul intern ca parte a acestui sistem, care pe baza procedurilor standardizate, evalueaza controlul intern si consiliaza managementul entitatii, asa cum rezulta din reprezentarea grafica de la Figura nr. 3.1 - Structura sistemului de control intern.

Comisia Europeana, in urma exercitiului PEER -REVIEW din septembrie 2002, ne recomanda ca aceasta arhitectura ar trebui completata cu un control ulterior prin care sa se asigure ca vor fi reluate in totalitate aproximativ 15 % din operatiunile efectuate in entitatea publica.

Riscurile majore cad in responsabilitatea grupului si acesta trebuie sa le gestioneze prin delegare. Astfel apare delegarea formala, cand sefului de compartiment i se specifica activitatile care trebuie sa le realizeze si pentru care trebuie sa-si stabileasca mijloacele prin care intelege sa le utilizeze.

Persoana responsabila la varf pentru sistemul de control intern din cadrul entitatii trebuie sa-si organizeze controlul intern, iar oamenii care sunt parte din acest sistem ii vor oferi feed-back-ul sistemului daca acesta functioneaza bine, ceea ce se va realiza prin adrese si rapoarte scrise.

Din practica rezulta ca, nu totul se poate pune pe hartie si chiar daca s-ar pune, ar fi ceva birocratic, care ar ocupa mult timp si apoi trebuie sa avem in vedere permanenta schimbare a mediului intern si extern, existenta unei slabiciuni in procedura sau a unei eventuale omisiuni care impun actualizarea permanenta a acestora. Realizarea acestor aspecte va depinde in mare masura de cultura organizatiei si de modul de functionare al acesteia. In practica, organizarea sistemului de comunicare se materializeaza prin eventuale sedinte de analiza in urma carora se actualizeaza procedurile.

Procedura este succesiunea pasilor care trebuie urmati pentru realizarea unei activitati, iar procesul este modul concret in care se desfasoara lucrurile. Spre exemplu Daca constatati lipsa in gestiune, procedati astfel iar daca este plus in gestiune procedati in alt fel

In mod similar avem: formal-informal Pentru lucrurile de baza sunt necesare aprobari formale, dar nu toate lucrurile pot fi formalizate. Ele totusi raman la fel de importante. Spre exemplu: Un sef formal va primi numai ce este aprobat, pe cand un sef lider va asculta si alte probleme personale. Seful formal in lipsa sefului bolnav va spune, dupa trei zile: cladirea a ars, seful informai va fi propus solutii inainte de a se intampla evenimentul. Alt exemplu Legea prevede sa conducem cu 50 km/ora in sat sau oras. Dar daca am sotia in masina, care este aproape sa nasca atunci trec si pe rosu. Prin analogie, intr-o organizatie se poate intampla ceva la limita legalitatii sau chiar ilegal, dar in final va fi apreciat ca a fost mai bine ca s-a intamplat asa, decat sa nu fi actionat in nici un fel.

Oricat de bun ar fi sistemul formal, el nu este de ajuns, deoarece oricare ar fi situatia riscurile tot apar si din practica, rezulta clar ca acestea nu sunt acoperite doar prin proceduri formale.

d) Informatii si comunicare

Informatiile relevante sunt informatiile pertinente, cheie care de regula ne parvin la timp si intr-o forma convenabila. Acestea trebuie identificate, colectate si comunicate intr-o forma si intr-un calendar de timp care sa dea oamenilor posibilitatea sa isi indeplineasca responsabilitatile. Informatia nenecesara trebuie inlaturata, iar informatia critica trebuie analizata.

Sistemele de informare produc rapoarte continand informatii operationale, financiare si de conformare. Aceste informatii fac posibile conducerea si controlul afacerii. De asemenea, se ocupa si cu evenimente, activitati si conditii externe necesare pentru luarea unei decizii de afaceri pe baza de informatie si pentru raportarea externa. Spre exemplu, indicele increderii consumatorilor, indicele productiei industriale etc.

Comunicarea efectiva trebuie sa aiba loc intr-un sens mai larg, si sa implice toate activitatile si toate structurile organizatiei.

Din practica, se impune ca intreg personalul entitatii sa primeasca un mesaj clar din partea conducerii cu privire la necesitatea luarii in serios a responsabilitatilor ce le revin, dar si de intelegere a propriului rol in sistemul de control intern si legaturile activitatilor individuale cu munca altora. In acelasi timp este necesar sa existe un mijloc de comunicare a informatiilor semnificative superiorilor ierarhici.

Comunicarea efectiva va fi completata cu informatii privind tertii, respectiv: clientii, furnizorii, autoritatile locale si centrale, actionarii s.a. Pentru aceasta trebuie sa ne informam reciproc, avand in vedere ca cea mai mare parte a riscurilor sunt obtinute numai din comunicare, care se realizeaza la telefon sau printr-un raport formal.

Controlul intern are relatii cu cei controlati prin intermediul informatiilor si comunicatiilor, completate de referinte privind mediul extern. Toate acestea ajung la varf si managementul le monitorizeaza si da dispozitii pentru realizarea lor.

Fiecare organizatie este creata pentru a atinge anumite obiective. Odata creata, organizatia incepe sa traiasca de una singura prin implementarea de politici si proceduri specifice, numai daca are informatii de jos sau din lumea exterioara, altfel ajunge intr-o stare de izolare.

Din cele prezentate, intelegem ca nu exista proceduri specifice perfecte si chiar daca ar exista ele nu au nici o valoare fara o comunicare eficienta, iar daca nu privim la lumea exterioara, vom oferi serviciile de ieri si nu pe cele care vor fi maine.

Sistemul de control intern trebuie sa ofere serviciile care vor fi necesare si nu pe cele care au fost si prin analogie, auditorii trebuie sa aiba in vedere lucrurile majore, nu ora venirii, data predarii raportului sau volumul cheltuielilor.

In consecinta, un control intern bun trebuie sa priveasca la lumea inconjuratoare, sa aiba semnale de jos si din afara, sa-si cunoasca obiectivele care trebuie actualizate periodic si apoi sa se organizeze pentru a stapani riscurile. Riscurile majore sunt monitorizate de managerul general, dar cad si in responsabilitatea grupului care trebuie sa le gestioneze prin delegare formala, ceea ce presupune specificarea activitatilor care revin managementului de linie si mijloacele prin care acesta intelege/crede ca si le va indeplini.

e) Monitorizarea

In practica s-a dovedit ca managerii de la toate nivelele, mai ales cei care nu au proceduri formalizate sau acestea nu sunt actualizate, fac de regula control intern fara sa realizeze acest lucru. Astfel, fiecare responsabil, oriunde s-ar afla, se organizeaza pentru a-si conduce activitatea prin: definirea sarcinilor fiecaruia, stabilirea instrumentelor si tehnicilor de lucru, pregatirea profesionala, dotarea cu echipamente si sisteme electronice, supervizarea activitatii personalului s.a.

In acest fel, responsabilul realizeaza un sistem de control intern pentru functia pe care o administreaza, pe care il actualizeaza sistematic in functie de evolutia riscurilor specifice si generale.

Recomandarile IIA, dupa 2002, privind practica recunoscuta in domeniu, subliniaza in mod expres faptul ca "implementarea controlului intern este problema managementului'

Managerii care ar intentiona sa-si subcontracteze propriul control intern unor terti, nu isi vor putea indeplini obligatiile ce le revin. In primul rand, auditorii interni nu pot sa se substituie managerilor pentru implementarea controlului intern, iar in al doilea rand, acestia nu isi vor putea desfasura activitatea de consiliere a managerilor si evaluarea sistemului de control intern daca acestia nu au fost implicati in crearea si implementarea lui. Desigur, acest lucru nu inseamna ca managerii nu pot apela la consiliere externa din partea unor specialisti care sa-i ajute in conceperea si imbunatatirea propriilor controale interne.

Monitorizarea este un proces care evalueaza calitatea performantei sistemului in timp si este realizata prin activitati de supervizare continua, evaluari separate sau prin combinarea celor doua.

Monitorizarea continua se realizeaza in cursul efectuarii operatiunilor si include managementul si activitati de supraveghere si alte actiuni pe care le intreprinde personalul pentru a-si indeplini propriile sarcini.

Aria si frecventa evaluarilor separate vor depinde de evaluarea riscurilor si de eficacitatea activitatilor de monitorizare continua.

Deficientele constatate in sistemul de control intern trebuie raportate superiorilor ierarhici, iar problemele importante trebuie raportate directorului si nu Consiliului de administratie.

Componentele Modelului COSO, prezentat mai sus, creeaza o sinergie care formeaza un sistem integrat ce reactioneaza in mod dinamic la conditiile schimbatoare ale mediului extern.