Professional Documents
Culture Documents
2
Вж. Internal Control – Integrated Framework „COSO”, Committee of Sponsoring Organizations of the
Treadway Committee, 2013
o цели, свързани с оперативната дейност, отнасящи се до ефективността и
ефикасността на бизнес процесите, включително оперативните и
финансовите резултати и до предотвратяване загубата на активи;
o цели, свързани с отчетността, отнасящи се до вътрешната и външната
финансова и нефинансова отчетност, които включват надеждност,
навременност, прозрачност или други изисквания, които произтичат от
изисквания на регулаторни органи или приложими стандарти, както и
политики на организацията;
o цели, свързани с нормативното съответствие, отнасящи се до
спазването на законодателството и регулациите, които се отнасят до
дейността на организацията.
Второ – той е процес, състоящ се текущи дейности и задачи, които се
прилагат и изпълняват на всички нива в организацията. Вътрешният контрол
не се разглежда като еднократно събитие или обстоятелство, а като
непрекъснат процес, който е интегриран в цялостната дейност на
организацията. Системата за вътрешен контрол е най-ефективна и най-
ефикасна, когато е вградена в инфраструктурата на организацията и
представлява неразделна част от нейната същност.
Трето – вътрешният контрол се реализира от хората в организацията и е
пряко обвързан с отговорността, която имат както ръководството, така и
служителите ѝ. Всички в една организация, в зависимост от функционалната и
организационна им компетентност и правомощия в нейната структура, имат
своята роля и носят своята отговорност за осъществяването на ефективен и
ефикасен вътрешен контрол.
Четвърто – вътрешният контрол предоставя само разумно ниво увереност
(но не абсолютна увереност) на ръководството на организацията, че целите на
организацията могат да бъдат постигнати. Разумното ниво на увереност е
такова равнище на увереност, което би удовлетворило ръководството от
степента на постигане на целите при дадени разходи, конкретни ползи и
пресметнати рискове. Разумното ниво на увереност се основава на
концепцията, че несигурността и рискът са свързани с бъдещето и никой не
може да предскаже със сигурност действителното развитие на събитията. По
тази причина дори „перфектно“ изградената система за контрол не може да
даде стопроцентова гаранция, че целите ще бъдат постигнати. Разумното ниво
на увереност означава и, че разходите за вътрешния контрол не трябва да
превишават ползите от него. При вземане на решение за реакцията на
рисковете и въвеждане на механизми за контрол за тяхното минимизиране
следва да се оценят разходите и ползите от тези действия и то за всека
поотделно.
Пето – вътрешният контрол може и трябва да се приспособи към
структурата на организацията. Той следва да се прилага гъвкаво за цялата
организация или за определено подразделение, звено, оперативна дейност,
функция или бизнес процес.
Фиг. № 2.1
3
Вж. Internal Control – Integrated Framework „COSO”, Committee of Sponsoring Organizations of the
Treadway Committee, 2013
на интегрираната рамка на вътрешен контрол „COSO”, тези елементи включват
следното:
Контролна среда. Контролната среда е комплекс от политики, стандарти,
процеси и структури, които осигуряват основата за осъществяването на
вътрешния контрол в цялата организация. Ръководство задава тона на най-
високо ниво и определя политиките, свързани със значението на вътрешния
контрол, включително очакваните норми на поведение по отношение на него.
Тя се явява основа за всички останали компоненти на вътрешния контрол и
оказва влияние върху качеството на системата. Контролната среда включва:
o Почтеността и етичните ценности на организацията. Това се
определя от възприемането и спазването на етичния кодекс за поведение в
организацията, справедливостта при атестирането и оценката на кадрите.
Това включва, например, разкриване на лични финансови интереси от
дейността на организацията, включване в постове и длъжности извън
организацията, които биха нарушили изискванията за лоялност,
уведомяване за съществуващи конфликти на интереси и т.н.
o Параметрите, позволяващи на ръководството да изпълнява своите
отговорности за управление и надзор. Това се изразява във възможността
на ръководството да осъществява подкрепа на вътрешния контрол и
същевременно да може да осъществява надзор на ефективността и
ефикасността на системата.
o Структурата на организацията и възлагането на правомощия и
отговорности. Чрез нея се разпределят правата и задълженията,
параметрите за оправомощаване, докладване и отчетност, подходяща
йерархична структура на организацията. Чрез организационната структура
се определят ключовите области на правата и задълженията във всяка
дейност, процес или структура.
o Процеса за привличане, развитие и задържане на компетентни
служители. Това включва компетентността на служителите; равнището
на знания и умения, необходими за гарантиране на добро, етично,
икономично, ефикасно и ефективно изпълнение на възложените задачи;
доброто разбиране за личните отговорности и изпълнение на задълженията
от страна на персонала на организацията; степента на прецизност на
индикаторите, стимулите и възнагражденията, чрез които се формират
отговорностите за постигането на резултати.
Оценка на риска. Това е процесът на идентификация, оценка и анализ на
съответните рискове, застрашаващи постигане на целите на организацията и
определяне на подходяща реакция. Обвързването на системите за вътрешен
контрол с управлението на рисковете е ключов момент при разработване на
ефикасни и ефективни вътрешни контрол за противодействие на рисковете.
Според рамката „COSO” оценката на риска не е просто един
теоретичен анализ, а процес, който засяга всички дейности на една
организация и често може да бъде критичен за крайния успех от
функционирането й. Този процес включва няколко основни елемента –
идентифициране на рисковете, оценка на рисковете, определяне на
способността на организацията за поемане на риск („апетит” към риска) и
изготвяне на реакции на рисковете.
Всяка организация е изправена пред разнообразни рискове от външни и
вътрешни източници. По дефиниция рискът е възможността да настъпи дадено
събитие, което да се отрази неблагоприятно върху постигането на целите.
Оценката на риска представлява динамичен и итеративен процес за
идентифициране и оценяване на рисковете, застрашаващи постигането на
целите. Приема се, че рисковете, застрашаващи постигането на целите в цялата
организация, са взаимосвързани с установените нива на толериране на риска.
Поради това, именно въз основа на оценката на риска се преценява как ще се
управляват рисковете.
Като предварително условие за извършването на оценка на риска трябва да
се установят целите, относими към различните нива на организацията.
Ръководството определя конкретните цели в категориите оперативна дейност,
отчетност и нормативно съответствие с достатъчна яснота, така че да е
възможно идентифицирането и анализирането на рисковете, застрашаващи
тези цели. Освен това ръководството преценява доколко целите са подходящи
за организацията. За оценката на риска се изисква също ръководството да вземе
предвид въздействието от евентуални промени във външната среда и в неговия
собствен бизнес модел, които може да доведат до неефективност на вътрешния
контрол.
На практика организацията е заплашена от цял комплекс рискове,
причинени от изключително голямо разнообразие от външни и вътрешни
фактори. Те могат да бъдат групирани така:
o рискове, породени от външни фактори – това най-общо са фактори,
които генерират рискове и върху които организацията не може да
въздейства. Тя единствено може да отчита тяхното влияние и да се
стреми чрез своите системи за вътрешен контрол да минимизира
тяхното влияние.
o рискове, породени от вътрешни фактори – това най-често са
неблагоприятни въздействия, които са предизвикани от лошо
управление, сривове в дейността, неквалифициран персонал,
технологични аварии и т.н. Системите за вътрешен контрол трябва да
притежават адекватни механизми не само да противодействат
(минимизират) на тези рискове, но и да предвиждат тяхното сбъдване и
влияние.
o специфични рискове на ниво дейности и операции – в допълнение към
рисковете, засягащи цялата организация, ръководството трябва да
обръща внимание и на онези рискове, които възникват само в
конкретно, значително бизнес звено или ключова дейност за
организацията. Тези рискове оказват влияние върху цялостната дейност
на организацията и мултиплицират своя ефект, ако не им бъде отделено
съответното внимание. Затова те следва да се идентифицират, оценяват
и управляват чрез същата база, която е изградена за вътрешния контрол
в рамките на цялата организация.
При оценката на рисковете в организацията могат да се използват различни
модели, но е необходимо рисковете в крайна сметка да се квалифицират според
вероятността за настъпването им и степента на въздействието им за
постигане на целите. По този начин ръководствата в организациите могат да
определят кои рискове са значими (съществени) при осъществяване на
дейностите и какви реакции да предприемат срещу тях (виж фиг. № 2.2).
Фиг. № 2.2
Портфолио на рисковете
Рисковете могат да бъдат измерени като се изчисли разглежданата
уязвимост (V), изразена като произведение от вероятността за настъпване на
дадено събитие (Р) и значимостта на събитието (S) чрез следната формула:
V = P х S [2.1]
Контролни дейности. Контролните дейности са действията, установени
чрез политики и процедури, които спомагат да се осигури изпълнението на
указанията на ръководството за намаляване на рисковете, застрашаващи
постигането на целите. Контролните дейности се извършват на всички нива на
организацията, на различни етапи от бизнес процесите и чрез технологично
обезпечена среда. Те може да имат превантивен или разкриващ характер и да
включват комплекс от ръчни и автоматизирани дейности, например даване на
разрешения и одобрения, проверки, съпоставки и прегледи на показателите за
изпълнение на дейността.
При подбора и разработването на контролни дейности обичайно се
предвижда разделение на отговорностите. Когато разделението на
отговорностите не е практически приложимо, ръководството подбира и
разработва алтернативни контролни дейности. Контролните дейности трябва
да са подходящи, разумни, да функционират последователно, да са
ефикасни по отношение на разходите и да са свързани с целите. Те се
осъществяват в цялата организация на всички равнища и във всички функции.
Контролните дейности трябва да са обвързани с процеса на оценка на
рисковете и да се определят в зависимост от разкритите рискове, както за всеки
процес, така и за всяка дейност или операция. Контролните дейности трябва да
се задействат не просто, защото те изглеждат като „правилното нещо, което
трябва да се направи в случая”, а защото ръководството е установило значими
рискове в областта, в която тези контролни дейности биха били въведени.
Контролните дейности не трябва да се елиминират след отстраняване
(минимизиране) на въздействието на съответния риск, срещу който са
поставени. Правилният подход в случая е ръководството периодично да
преценява заплахата от сбъдване на рисковете и да преценява необходимо ли е
задействането на съответните контроли.
Контролните дейности могат да бъдат откриващи или превантивни,
коригиращи или насочващи. Контролните дейности могат да се групират в
няколко основни групи контроли: преглед (проверка) на резултатите от
дейността; анализ на резултатите от изпълнението; разпределяне на
отговорностите (оторизиране, упълномощаване, одобряване, отчитане,
потвърждение, съгласуване); физически контроли, осигуряващи сигурност
на активите, ресурсите и информацията, наблюдения.
В съвременните условия на информационно общество в системите за
вътрешен контрол се обръща сериозно внимание на контролните механизми,
свързани с информационните технологии. Информационните системи се
подлагат на специфични контроли. Те най-общо могат да се разделят на две
основни групи: общи механизми за контрол, които включват контроли по
отношение на структурата, политиката и процедурите на информационната
система; и механизми за контрол на приложенията, които се отнасят до
компютърните приложения и сигурността по отношение на обработката,
съхранението и представянето на информацията.
Информация и комуникация. Информацията е необходима на организацията,
за да може да се изпълняват отговорностите, свързани с вътрешния контрол
така, че да се подпомогне постигането на целите. Ръководството получава или
създава и използва подходяща и качествена информация от вътрешни и
външни източници, за да подкрепя функционирането на останалите
компоненти на вътрешния контрол.
Комуникацията е непрекъснат, итеративен процес на предоставяне,
споделяне и получаване на необходимата информация. Информацията се
разпространява в организацията двупосочно посредством вътрешната
комуникация – по йерархичната вертикала и хоризонтално в цялата
организация. Чрез вътрешната комуникация служителите имат възможност да
получат ясно послание от висшето ръководство, че свързаните с контрола
отговорности трябва да се приемат сериозно. Външната комуникация е двояка
– тя способства за входящото предаване на подходяща външна информация и
за предоставянето на информация на външни страни в отговор на изисквания
и очаквания.
Задължително условие за надеждна и уместна информация е
навременното записване и правилното класифициране на операциите и
събитията в дейността, в това число и при изпълнение на проектите.
Информационните системи генерират доклади, които съдържат оперативна
или текуща финансова или нефинансова информация, както и информация за
съответствието, което прави възможно управлението и контролирането на
дейността. Способността на ръководството за вземане на правилни решение се
влияе от качеството на информацията, т.е. от нейната уместност,
достоверност, своевременност, актуалност, точност и достъпност.
Осигуряване на качество на информацията включва потвърждаване на това,
дали:
o съдържанието на докладваната информация е подходящо;
o информацията е навременна, когато се поиска;
o информацията е актуална или най-малко последната налична;
o данните, отразени в информацията са верни;
o информацията е на разположение на заинтересованите лица, когато се
поиска.
За да може да се управлява адекватно дейност от съществено значение е и
комуникацията. Ефективната комуникация трябва да протича по
вертикала и хоризонтала в организацията, през всички елементи на
организационната структура. Добрата комуникация води до уместен и
ефективен вътрешен контрол, до правилна организация за въздействие на
риска и правилно разбиране от служителите на ролите и отговорностите им по
отношение на дейностите и постигане на целите.
Каналите на комуникацията обслужват управлението на организацията
двупосочно. От една страна те предоставят на изпълнителския персонал
„подробностите”, които са им необходими, за да изпълнят своите задължения
в рамките на своята компетентност и отговорност. От друга страна те
„придвижват” към ръководството отчетите (докладите) за свършеното от
персонала, за да може то да проследи как се осъществява изпълнението на
възложените задачи. Една организация е необходимо да установи
комуникационните си канали през всички свои нива, дейности, персонал и
външни заинтересовани лица и организации, за да може да постигне целите си
по най-икономичен, ефикасен и ефективен начин.
Мониторинг. Системите за вътрешен контрол трябва да бъдат наблюдавани,
за да се оценява качеството от работата им във времето. Мониторингът трябва
да гарантира на ръководството, че вътрешният контрол е адекватен и реагира
незабавно и подходящо на промените в средата и въздействието на рисковете.
За да се осъществи мониторингът се използват текущи и отделни
(специални) оценки или комбинация от тях, за да се определи дали е налице и
функционира всеки от петте компонента на вътрешния контрол, включително
контролните механизми за прилагане на принципите във всеки от тези
компоненти.
o Текущите оценки са въведени в бизнес процесите на различни нива от
организацията и осигурява навременна информация. Много рутинни
бизнес функции в организациите могат да бъдат характеризирани като
дейности по мониторинг. „COSO” дава следните примери за такива
дейности: рутинни прегледи на дейността от оперативния
мениджмънт; преглед на обобщените доклади за изпълнение от
висшето ръководство; засичане на наличността на активите и
съпоставяне с отчетността (инвентаризации); оценка на
квалификацията и уменията на служителите и т.н.
o Специалните оценки се извършват периодично и се различават по
обхват и честота в зависимост от оценката на рисковете, ефективността
на текущите оценки и други съображения на ръководството.
Констатациите се оценяват по критерии, установени от регулаторните
органи, признати организации, определящи стандарти, или от
ръководството и съвета на директорите, а слабостите се съобщават на
ръководството според случая.
Те са основен ангажимент на дейностите по вътрешен одит в
организациите и зависят основно от оценката на риска и ефективността
на текущия мониторинг. Вътрешният одит има за основана задача да
извършва регулярни прегледи на ефективността и качеството на
вътрешните контролни системи и тяхната адекватност на оценените
рискове. За своите оценки вътрешният одит докладва на ръководството
и предлага варианти за подобряване на системите за контрол. Така
вътрешният одит добавя стойност в организацията чрез подобряване на
дейността.
ЛИТЕРАТУРА
1. Gleim, I. N., CIA REVIEW, Part I, Internal Audit Role in Governance, Risk and
Control, 11th Edition, Gleim Publications, Inc., 2004
2. Sawyer, L. B., Internal Auditing, 5th Edition, The IIA, Florida, 2003
3. Милър, Р., Съвременен вътрешен одит – теория и практика, АСПРО, С., 2007
4. Report of the National Commission on Fraudulent Financial Reporting, NCFFR, 1987
5. Committee of Sponsoring Organizations of the Treadway Committee, Jersey City,
NJ:AICPA, 1992
6. Committee of Sponsoring Organizations of the Treadway Committee, 2013
7. American Institute of Certified Public Accountants, “Statement on Auditing Standards
No 1”, New York, AICPA, last updated in 2002
8. Списание „Вътрешен одит”, изд. на ИВОБ