Что такое COSO
COSO (Committee of Sponsoring Organizations of the Treadway Commission) — комитет спонсорских организаций Комиссии Тредвея. Он создан при поддержке пяти профессиональных американских ассоциаций: AICPA, FEI, IMA, Института внутренних аудиторов (IIA) и AAA. Основная задача — выработка структурированного подхода к построению эффективной системы внутреннего контроля и управления рисками организации.
Обновлённая версия концепции Internal Control — Integrated Framework была выпущена в мае 2013 года. Переходный период завершился 15 декабря 2014 года, после чего первоначальная редакция считается устаревшей. В обновлении 2013 года были формально кодифицированы 17 принципов, лежащих в основе пяти компонентов контроля.
Пять компонентов внутреннего контроля
Модель COSO опирается на пять взаимосвязанных компонентов, обеспечивающих разумную уверенность в достижении целей организации.
- Контрольная среда — фундамент всей системы: этические стандарты, тон руководства, ответственность совета директоров.
- Оценка рисков — идентификация и анализ рисков, включая расширенную оценку рисков мошенничества, добавленную в версии 2013 года.
- Контрольные мероприятия — политики и процедуры, обеспечивающие смягчение выявленных рисков.
- Информация и коммуникация — внутренние коммуникации и обмен данными, необходимые для функционирования контролей.
- Мониторинг — непрерывная или периодическая оценка эффективности и результативности контрольных процессов.
Три категории целей и связь с комплаенсом
Фреймворк COSO разделяет цели на три категории: операционная эффективность, достоверность финансовой отчётности и соблюдение законов и нормативов. Версия 2013 года расширила категорию отчётности, включив внешнюю нефинансовую и внутреннюю отчётность. Комплаенс-цель на практике охватывает конкретные требования — например, соблюдение GDPR при обработке данных клиентов из ЕС.
Для российских компаний с зарубежной деятельностью это критически важно. Защита активов и соответствие международным антикоррупционным стандартам (FCPA, UK Bribery Act) напрямую ложатся на третью категорию целей COSO.
COSO ERM и смежные стандарты
Связанный фреймворк COSO ERM, разработанный совместно с PricewaterhouseCoopers, расширяет модель до восьми компонентов и охватывает стратегическое управление рисками. Он дополняется другими международными стандартами: ISO 31000 для общего риск-менеджмента, COBIT для IT-контролей, Basel framework для банковского сектора, FERMA для европейской практики.
COSO также выпустил отдельные руководства по применению контролей в роботизированной автоматизации процессов (RPA) и по управлению рисками блокчейн-технологий. Внедрение фреймворка даёт компании структуру для реагирования на риск и демонстрирует регуляторам наличие действующей системы антикоррупционного контроля.
