Тема 2

РАМКА НА ВЪТРЕШНИЯ КОНТРОЛ

ВЪВЕДЕНИЕ В УЧЕБНАТА ТЕМА

Учебната тема „Рамка на вътрешния контрол” разглежда въпросите,
свързани с получаване на разбиране за една от най-приложимите съвременни,
международни концепции за вътрешен контрол в организациите. Тя разисква някои
постановки, свързани с международните стандарти за вътрешен контрол и разглежда
съдържанието на най-известните към момента действащи рамки за вътрешен контрол.
След нейното усвояване ще можете:
 да познавате международна рамка „COSO” за вътрешния контрол;
 да характеризирате компонентите на вътрешния контрол, съобразно
дефинициите в тази рамка.
Темата включва два основни въпроса:
2.1. Дефиниция за вътрешен контрол
2.2. Компоненти на вътрешния контрол

СЪДЪРЖАНИЕ НА УЧЕБНАТА ТЕМА

Вътрешният контрол е една от най-важните и фундаментални концепции, които
ръководството на всяка една организация трябва да разбере. Всеки ръководител трябва
да преглежда както оперативните, така и финансовите области на организацията с цел
оценяване постигането на нейните цели.
На практика мениджърите като цяло имат добро разбиране за това какво се има
предвид под термина „добри вътрешни контроли”. Често те могат да отговорят на
въпроса „Как бихте определили добрите вътрешни контроли?” с отговори,
кореспондиращи на някои от следните характеристики1: „Добри вътрешни
контроли” означава всичко да бъде добре документирано; „Добри вътрешни
контроли” означава стабилни оперативни процеси; „Добри вътрешни контроли”
означава сигурност при постигане на целите. Все пак вътрешните контроли
представляват един полезен комплект от общи процедури, които са необходими за
всички добре управлявани и добре функциониращи бизнес системи.
Макар и много професионалисти от практиката да използват термина „добри
вътрешни контроли”, те често трябва да се връщат назад и да мислят за контрола,
когато бъдат накарани да дадат дефиниция за него или да определят как го разбират.
Това, обаче, не винаги им се отдава.
В тази тема ще разгледаме именно дефиницията и компонентите на вътрешния
контрол, които са дадени от интегрираната рамка за вътрешен контрол „COSO”. Това
1
Вж. Милър, Р., Съвременен вътрешен одит – теория и практика, АСПРО, С., 2007, стр. 91-92
е рамка за практическо изграждане на системи за вътрешен контрол в организациите,
която е създадена като концепция в САЩ през 1992 г. и която към момента е може би
най-популярна в международната теория и практика.

2.1. Дефиниция за вътрешен контрол

Интегрирана рамка на вътрешния контрол „COSO” (Internal Control –
Integrated Framework) е резултат от работата на пет професионални американски
компании – Института на вътрешните одитори (The IIA), Американският институт на
дипломираните експерт-счетоводители (AOPCA), Институтът на финансовите
директори (FEI), Американската счетоводна асоциация (ААА) и Институтът на
управляващите счетоводители (IMA). Рамката е разпространена с един окончателен
доклад от работата на тези организации през м. септември 1992 г. За много кратко
време тя става стандарт за разбиране и установяване на ефективни вътрешни контроли
в практически всички организации от бизнес и публичния сектор.
Тази рамка за първи път дава ясна и конкретно определена дефиниция за
вътрешен контрол, която практически може да се използва от всяка организация.
COSO предоставя едно изключително прагматично и точно описание на концепцията
за „добрите вътрешни контроли” с много измерения. Съгласно предписанията на
рамката „COSO” 2:
„Вътрешният контрол се определя като процес, осъществяван от съвета
на директорите на организацията, ръководството и други служители на
организацията, който е създаден с цел да се предостави разумно ниво на
увереност за постигане на целите, свързани с оперативната дейност,
отчетността и нормативното съответствие.“
Така определен, вътрешният контрол се изгражда на основата на няколко
ключови концепции, а именно:
 Първо – вътрешният контрол се привежда в действие от ръководството на
организацията за постигане на целите ѝ, в приемливи параметри, в една или
повече категории цели – оперативната дейност на организацията, нейната
отчетност и съответствието на дейността ѝ с нормативните изисквания.
Казано по-друг начин вътрешният контрол е средство за постигане на
целите, а не самоцел. В рамката „COSO“ са предвидени три категории цели,
които позволяват на ръководствата на организациите да се концентрират
различни аспекти от тяхната дейност:

2
Вж. Internal Control – Integrated Framework „COSO”, Committee of Sponsoring Organizations of the
Treadway Committee, 2013
 o цели, свързани с оперативната дейност, отнасящи се до ефективността и
ефикасността на бизнес процесите, включително оперативните и
финансовите резултати и до предотвратяване загубата на активи;
o цели, свързани с отчетността, отнасящи се до вътрешната и външната
финансова и нефинансова отчетност, които включват надеждност,
навременност, прозрачност или други изисквания, които произтичат от
изисквания на регулаторни органи или приложими стандарти, както и
политики на организацията;
o цели, свързани с нормативното съответствие, отнасящи се до
спазването на законодателството и регулациите, които се отнасят до
дейността на организацията.
 Второ – той е процес, състоящ се текущи дейности и задачи, които се
прилагат и изпълняват на всички нива в организацията. Вътрешният контрол
не се разглежда като еднократно събитие или обстоятелство, а като
непрекъснат процес, който е интегриран в цялостната дейност на
организацията. Системата за вътрешен контрол е най-ефективна и най-
ефикасна, когато е вградена в инфраструктурата на организацията и
представлява неразделна част от нейната същност.
 Трето – вътрешният контрол се реализира от хората в организацията и е
пряко обвързан с отговорността, която имат както ръководството, така и
служителите ѝ. Всички в една организация, в зависимост от функционалната и
организационна им компетентност и правомощия в нейната структура, имат
своята роля и носят своята отговорност за осъществяването на ефективен и
ефикасен вътрешен контрол.
 Четвърто – вътрешният контрол предоставя само разумно ниво увереност
(но не абсолютна увереност) на ръководството на организацията, че целите на
организацията могат да бъдат постигнати. Разумното ниво на увереност е
такова равнище на увереност, което би удовлетворило ръководството от
степента на постигане на целите при дадени разходи, конкретни ползи и
пресметнати рискове. Разумното ниво на увереност се основава на
концепцията, че несигурността и рискът са свързани с бъдещето и никой не
може да предскаже със сигурност действителното развитие на събитията. По
тази причина дори „перфектно“ изградената система за контрол не може да
даде стопроцентова гаранция, че целите ще бъдат постигнати. Разумното ниво
на увереност означава и, че разходите за вътрешния контрол не трябва да
превишават ползите от него. При вземане на решение за реакцията на
рисковете и въвеждане на механизми за контрол за тяхното минимизиране
 следва да се оценят разходите и ползите от тези действия и то за всека
поотделно.
 Пето – вътрешният контрол може и трябва да се приспособи към
структурата на организацията. Той следва да се прилага гъвкаво за цялата
организация или за определено подразделение, звено, оперативна дейност,
функция или бизнес процес.

2.2. Компоненти на вътрешния контрол

Един от важните аспекти на съвременния вътрешен контрол, дефиниран от
„COSO”, е ролята на ръководството на организацията за изграждане, пускане в
действие и наблюдение (надзор) на системите за вътрешен контрол. Този аспект е
пряко обвързан с концепцията за компонентите на тези системи. Тази концепция е
еднакво приложима както за организациите от реалния, така и за организациите от
публичния сектор на икономиката.
Съвременният вътрешен контрол, според „COSO”, се основава на пет
взаимосвързани елемента в своята функционална структура (виж фиг. № 2.1)3.

Фиг. № 2.1

Компоненти на вътрешния контрол – рамка „COSO”

Тези компоненти определят един препоръчителен подход към вътрешния
контрол в организациите и осигуряват критерии, по отношение на които да се
оценява системата за вътрешен контрол. Компонентите представляват една обща
рамка, която е ориентир за ръководствата при разработването на политиките,
процедурите, практиките, техниките и похватите при изграждане на системите за
управление на риска и вътрешен контрол в организациите. Съгласно предписанията

3
Вж. Internal Control – Integrated Framework „COSO”, Committee of Sponsoring Organizations of the
Treadway Committee, 2013
на интегрираната рамка на вътрешен контрол „COSO”, тези елементи включват
следното:
 Контролна среда. Контролната среда е комплекс от политики, стандарти,
процеси и структури, които осигуряват основата за осъществяването на
вътрешния контрол в цялата организация. Ръководство задава тона на най-
високо ниво и определя политиките, свързани със значението на вътрешния
контрол, включително очакваните норми на поведение по отношение на него.
Тя се явява основа за всички останали компоненти на вътрешния контрол и
оказва влияние върху качеството на системата. Контролната среда включва:
o Почтеността и етичните ценности на организацията. Това се
определя от възприемането и спазването на етичния кодекс за поведение в
организацията, справедливостта при атестирането и оценката на кадрите.
Това включва, например, разкриване на лични финансови интереси от
дейността на организацията, включване в постове и длъжности извън
организацията, които биха нарушили изискванията за лоялност,
уведомяване за съществуващи конфликти на интереси и т.н.
o Параметрите, позволяващи на ръководството да изпълнява своите
отговорности за управление и надзор. Това се изразява във възможността
на ръководството да осъществява подкрепа на вътрешния контрол и
същевременно да може да осъществява надзор на ефективността и
ефикасността на системата.
o Структурата на организацията и възлагането на правомощия и
отговорности. Чрез нея се разпределят правата и задълженията,
параметрите за оправомощаване, докладване и отчетност, подходяща
йерархична структура на организацията. Чрез организационната структура
се определят ключовите области на правата и задълженията във всяка
дейност, процес или структура.
o Процеса за привличане, развитие и задържане на компетентни
служители. Това включва компетентността на служителите; равнището
на знания и умения, необходими за гарантиране на добро, етично,
икономично, ефикасно и ефективно изпълнение на възложените задачи;
доброто разбиране за личните отговорности и изпълнение на задълженията
от страна на персонала на организацията; степента на прецизност на
индикаторите, стимулите и възнагражденията, чрез които се формират
отговорностите за постигането на резултати.
 Оценка на риска. Това е процесът на идентификация, оценка и анализ на
съответните рискове, застрашаващи постигане на целите на организацията и
определяне на подходяща реакция. Обвързването на системите за вътрешен
контрол с управлението на рисковете е ключов момент при разработване на
ефикасни и ефективни вътрешни контрол за противодействие на рисковете.
Според рамката „COSO” оценката на риска не е просто един
теоретичен анализ, а процес, който засяга всички дейности на една
организация и често може да бъде критичен за крайния успех от
функционирането й. Този процес включва няколко основни елемента –
идентифициране на рисковете, оценка на рисковете, определяне на
способността на организацията за поемане на риск („апетит” към риска) и
изготвяне на реакции на рисковете.
Всяка организация е изправена пред разнообразни рискове от външни и
вътрешни източници. По дефиниция рискът е възможността да настъпи дадено
събитие, което да се отрази неблагоприятно върху постигането на целите.
Оценката на риска представлява динамичен и итеративен процес за
идентифициране и оценяване на рисковете, застрашаващи постигането на
целите. Приема се, че рисковете, застрашаващи постигането на целите в цялата
организация, са взаимосвързани с установените нива на толериране на риска.
Поради това, именно въз основа на оценката на риска се преценява как ще се
управляват рисковете.
Като предварително условие за извършването на оценка на риска трябва да
се установят целите, относими към различните нива на организацията.
Ръководството определя конкретните цели в категориите оперативна дейност,
отчетност и нормативно съответствие с достатъчна яснота, така че да е
възможно идентифицирането и анализирането на рисковете, застрашаващи
тези цели. Освен това ръководството преценява доколко целите са подходящи
за организацията. За оценката на риска се изисква също ръководството да вземе
предвид въздействието от евентуални промени във външната среда и в неговия
собствен бизнес модел, които може да доведат до неефективност на вътрешния
контрол.
На практика организацията е заплашена от цял комплекс рискове,
причинени от изключително голямо разнообразие от външни и вътрешни
фактори. Те могат да бъдат групирани така:
o рискове, породени от външни фактори – това най-общо са фактори,
които генерират рискове и върху които организацията не може да
въздейства. Тя единствено може да отчита тяхното влияние и да се
стреми чрез своите системи за вътрешен контрол да минимизира
тяхното влияние.
o рискове, породени от вътрешни фактори – това най-често са
неблагоприятни въздействия, които са предизвикани от лошо
 управление, сривове в дейността, неквалифициран персонал,
технологични аварии и т.н. Системите за вътрешен контрол трябва да
притежават адекватни механизми не само да противодействат
(минимизират) на тези рискове, но и да предвиждат тяхното сбъдване и
влияние.
o специфични рискове на ниво дейности и операции – в допълнение към
рисковете, засягащи цялата организация, ръководството трябва да
обръща внимание и на онези рискове, които възникват само в
конкретно, значително бизнес звено или ключова дейност за
организацията. Тези рискове оказват влияние върху цялостната дейност
на организацията и мултиплицират своя ефект, ако не им бъде отделено
съответното внимание. Затова те следва да се идентифицират, оценяват
и управляват чрез същата база, която е изградена за вътрешния контрол
в рамките на цялата организация.
При оценката на рисковете в организацията могат да се използват различни
модели, но е необходимо рисковете в крайна сметка да се квалифицират според
вероятността за настъпването им и степента на въздействието им за
постигане на целите. По този начин ръководствата в организациите могат да
определят кои рискове са значими (съществени) при осъществяване на
дейностите и какви реакции да предприемат срещу тях (виж фиг. № 2.2).

Фиг. № 2.2

 ИЗМЕРВАНЕ НА РИСКА ЧРЕЗ

ДВА ПОКАЗАТЕЛЯ:

 ВЛИЯНИЯ ВЪРХУ ЦЕЛИТЕ

 ВЕРОЯТНОСТ ОТ
НАСТЪПВАНЕ

Портфолио на рисковете
Рисковете могат да бъдат измерени като се изчисли разглежданата
уязвимост (V), изразена като произведение от вероятността за настъпване на
дадено събитие (Р) и значимостта на събитието (S) чрез следната формула:
V = P х S [2.1]
 Контролни дейности. Контролните дейности са действията, установени
чрез политики и процедури, които спомагат да се осигури изпълнението на
указанията на ръководството за намаляване на рисковете, застрашаващи
постигането на целите. Контролните дейности се извършват на всички нива на
организацията, на различни етапи от бизнес процесите и чрез технологично
обезпечена среда. Те може да имат превантивен или разкриващ характер и да
включват комплекс от ръчни и автоматизирани дейности, например даване на
разрешения и одобрения, проверки, съпоставки и прегледи на показателите за
изпълнение на дейността.
При подбора и разработването на контролни дейности обичайно се
предвижда разделение на отговорностите. Когато разделението на
отговорностите не е практически приложимо, ръководството подбира и
разработва алтернативни контролни дейности. Контролните дейности трябва
да са подходящи, разумни, да функционират последователно, да са
ефикасни по отношение на разходите и да са свързани с целите. Те се
осъществяват в цялата организация на всички равнища и във всички функции.
Контролните дейности трябва да са обвързани с процеса на оценка на
рисковете и да се определят в зависимост от разкритите рискове, както за всеки
процес, така и за всяка дейност или операция. Контролните дейности трябва да
се задействат не просто, защото те изглеждат като „правилното нещо, което
трябва да се направи в случая”, а защото ръководството е установило значими
рискове в областта, в която тези контролни дейности биха били въведени.
Контролните дейности не трябва да се елиминират след отстраняване
(минимизиране) на въздействието на съответния риск, срещу който са
поставени. Правилният подход в случая е ръководството периодично да
преценява заплахата от сбъдване на рисковете и да преценява необходимо ли е
задействането на съответните контроли.
Контролните дейности могат да бъдат откриващи или превантивни,
коригиращи или насочващи. Контролните дейности могат да се групират в
няколко основни групи контроли: преглед (проверка) на резултатите от
дейността; анализ на резултатите от изпълнението; разпределяне на
отговорностите (оторизиране, упълномощаване, одобряване, отчитане,
потвърждение, съгласуване); физически контроли, осигуряващи сигурност
на активите, ресурсите и информацията, наблюдения.
В съвременните условия на информационно общество в системите за
вътрешен контрол се обръща сериозно внимание на контролните механизми,
свързани с информационните технологии. Информационните системи се
подлагат на специфични контроли. Те най-общо могат да се разделят на две
 основни групи: общи механизми за контрол, които включват контроли по
отношение на структурата, политиката и процедурите на информационната
система; и механизми за контрол на приложенията, които се отнасят до
компютърните приложения и сигурността по отношение на обработката,
съхранението и представянето на информацията.
 Информация и комуникация. Информацията е необходима на организацията,
за да може да се изпълняват отговорностите, свързани с вътрешния контрол
така, че да се подпомогне постигането на целите. Ръководството получава или
създава и използва подходяща и качествена информация от вътрешни и
външни източници, за да подкрепя функционирането на останалите
компоненти на вътрешния контрол.
Комуникацията е непрекъснат, итеративен процес на предоставяне,
споделяне и получаване на необходимата информация. Информацията се
разпространява в организацията двупосочно посредством вътрешната
комуникация – по йерархичната вертикала и хоризонтално в цялата
организация. Чрез вътрешната комуникация служителите имат възможност да
получат ясно послание от висшето ръководство, че свързаните с контрола
отговорности трябва да се приемат сериозно. Външната комуникация е двояка
– тя способства за входящото предаване на подходяща външна информация и
за предоставянето на информация на външни страни в отговор на изисквания
и очаквания.
Задължително условие за надеждна и уместна информация е
навременното записване и правилното класифициране на операциите и
събитията в дейността, в това число и при изпълнение на проектите.
Информационните системи генерират доклади, които съдържат оперативна
или текуща финансова или нефинансова информация, както и информация за
съответствието, което прави възможно управлението и контролирането на
дейността. Способността на ръководството за вземане на правилни решение се
влияе от качеството на информацията, т.е. от нейната уместност,
достоверност, своевременност, актуалност, точност и достъпност.
Осигуряване на качество на информацията включва потвърждаване на това,
дали:
o съдържанието на докладваната информация е подходящо;
o информацията е навременна, когато се поиска;
o информацията е актуална или най-малко последната налична;
o данните, отразени в информацията са верни;
o информацията е на разположение на заинтересованите лица, когато се
поиска.
 За да може да се управлява адекватно дейност от съществено значение е и
комуникацията. Ефективната комуникация трябва да протича по
вертикала и хоризонтала в организацията, през всички елементи на
организационната структура. Добрата комуникация води до уместен и
ефективен вътрешен контрол, до правилна организация за въздействие на
риска и правилно разбиране от служителите на ролите и отговорностите им по
отношение на дейностите и постигане на целите.
Каналите на комуникацията обслужват управлението на организацията
двупосочно. От една страна те предоставят на изпълнителския персонал
„подробностите”, които са им необходими, за да изпълнят своите задължения
в рамките на своята компетентност и отговорност. От друга страна те
„придвижват” към ръководството отчетите (докладите) за свършеното от
персонала, за да може то да проследи как се осъществява изпълнението на
възложените задачи. Една организация е необходимо да установи
комуникационните си канали през всички свои нива, дейности, персонал и
външни заинтересовани лица и организации, за да може да постигне целите си
по най-икономичен, ефикасен и ефективен начин.
 Мониторинг. Системите за вътрешен контрол трябва да бъдат наблюдавани,
за да се оценява качеството от работата им във времето. Мониторингът трябва
да гарантира на ръководството, че вътрешният контрол е адекватен и реагира
незабавно и подходящо на промените в средата и въздействието на рисковете.
За да се осъществи мониторингът се използват текущи и отделни
(специални) оценки или комбинация от тях, за да се определи дали е налице и
функционира всеки от петте компонента на вътрешния контрол, включително
контролните механизми за прилагане на принципите във всеки от тези
компоненти.
o Текущите оценки са въведени в бизнес процесите на различни нива от
организацията и осигурява навременна информация. Много рутинни
бизнес функции в организациите могат да бъдат характеризирани като
дейности по мониторинг. „COSO” дава следните примери за такива
дейности: рутинни прегледи на дейността от оперативния
мениджмънт; преглед на обобщените доклади за изпълнение от
висшето ръководство; засичане на наличността на активите и
съпоставяне с отчетността (инвентаризации); оценка на
квалификацията и уменията на служителите и т.н.
o Специалните оценки се извършват периодично и се различават по
обхват и честота в зависимост от оценката на рисковете, ефективността
на текущите оценки и други съображения на ръководството.
Констатациите се оценяват по критерии, установени от регулаторните
органи, признати организации, определящи стандарти, или от
ръководството и съвета на директорите, а слабостите се съобщават на
ръководството според случая.
Те са основен ангажимент на дейностите по вътрешен одит в
организациите и зависят основно от оценката на риска и ефективността
на текущия мониторинг. Вътрешният одит има за основана задача да
извършва регулярни прегледи на ефективността и качеството на
вътрешните контролни системи и тяхната адекватност на оценените
рискове. За своите оценки вътрешният одит докладва на ръководството
и предлага варианти за подобряване на системите за контрол. Така
вътрешният одит добавя стойност в организацията чрез подобряване на
дейността.
ЛИТЕРАТУРА
1. Gleim, I. N., CIA REVIEW, Part I, Internal Audit Role in Governance, Risk and
Control, 11th Edition, Gleim Publications, Inc., 2004
2. Sawyer, L. B., Internal Auditing, 5th Edition, The IIA, Florida, 2003
3. Милър, Р., Съвременен вътрешен одит – теория и практика, АСПРО, С., 2007
4. Report of the National Commission on Fraudulent Financial Reporting, NCFFR, 1987
5. Committee of Sponsoring Organizations of the Treadway Committee, Jersey City,
NJ:AICPA, 1992
6. Committee of Sponsoring Organizations of the Treadway Committee, 2013
7. American Institute of Certified Public Accountants, “Statement on Auditing Standards
No 1”, New York, AICPA, last updated in 2002
8. Списание „Вътрешен одит”, изд. на ИВОБ

КЛЮЧОВИ ТЕРМИНИ И ПОНЯТИЯ

1. Добри вътрешни контроли
2. Дефиниция за вътрешен контрол
3. Административните и счетоводните контроли
4. Интегрирана рамка на вътрешния контрол “COSO”
5. Разумно ниво увереност
6. Управленска отговорност
7. Контролна среда
8. Управление на риска
9. Оценка на риска
10. Контролни дейности
11. Информация и комуникация
12. Мониторинг

ВЪПРОСИ ЗА САМОПОДГОТОВКА И ДИСКУСИЯ

1. Какво е съдържанието на понятието „вътрешен контрол” от гледна точка на
модела “COSO”? Дайте дефиниция!
2. Кои са ключовите компоненти на вътрешния контрол, съгласно определението на
„COSO“?
3. Кои са основните компоненти на системите за вътрешен контрол?
4. Кой носи основната отговорност и каква е тя по отношение на създаването и
функционирането на системата за вътрешен контрол в организациите?
5. Кои са основните лица, които участват в процеса на вътрешния контрол и какви
роли изпълняват в него?
РЕЗЮМЕ
От разгледания материал в тази тема на учебния курс могат да се направят
следните по-важни обобщения и изводи, а именно:
 Първо – под термина „добри вътрешни контроли” често се разбира: всичко да
бъде добре документирано, да са създадени и функционират стабилни оперативни
процеси, да съществува сигурност при постигане на целите.
 Второ – разбирането за „добрите вътрешни контроли” се развива продължително
във времето в практиката на организациите, за да достигне в познатия ни днешен
вид. Процесът на създаване на действащи рамки за вътрешен контрол е преминал
през различни метаморфози, за да можем днес да кажем, че вече имаме
практически използваема от всяка организация рамка за една адекватна система за
вътрешен контрол във всяка организация.
 Трето – системите за вътрешен контрол, съгласно предписанията на рамката
„COSO”, се изграждат от пет основни компонента, които практически покриват
цялостната дейност на организацията. Този модел извежда вътрешния контрол от
по-тясното разбиране за него – само по отношение на отчетността и финансовата
дейност на организацията, към обхващане на всички процеси и дейности в
организацията.