حسابرسی فناوری اطلاعات

مروری بر چارچوب کنترل های داخلی COSO

در سال 1985 به عنوان یک نهاد غیردولتی عمومی شکل گرفت. هدف اصلی این نهاد مشاوره و راهنمایی به کمیسیون ملی گزارشگری متقلبانه مالی و سایر سازمان های دولتی و خصوصی برای رویارویی با تقلب ها در گزارشگری مالی بوده است. این نهاد در واقع مجمعی از چند انجمن حسابداران آمریکا، انستیتوی آمریکایی حسابداران رسمی، انجمن بین المللی مدیران مالی، اتحادیه متخصصان حسابداری و مالی در کسب و کار و  انجمن بین المللی حسابرسان داخلی است. حوزه های فعالیت این نهاد عبارتند از:

  • چارچوب کنترل های داخلی
  • چارچوب مدیریت ریسک سازمان
  • جلوگیری از وقوع تقلب

 

COSO در سال 1992 میلادی چارچوب کنترل های داخلی را ارائه نمود. این چارچوب راهنمایی جامع برای استقرار نظام کنترل های داخلی بوده و مبنایی برای ارزیابی کنترل های داخلی نیز مشخص نموده بود. چارچوب کنترل های داخلی COSO در سال 2013 میلادی به روزرسانی شده و تغییراتی در آن اعمال گردید. این چارچوب مشتمل بر مجموعه ای از مولفه ها، اصول و نقاط تمرکز است.

 

در این چارچوب کنترل های داخلی به عنوان فرآیندی است که توسط هیات مدیره، مدیران و سایر کارکنان سازمان متاثر شده و با هدف ارائه اطمینان معقول در راستای دستیابی به اهداف در حوزه های کارایی و اثربخشی عملیات، قابلیت اطمینان گزارشگری و تطبیق با قوانین و مقررات طراحی شده است.

هریک از 5 مولفه کنترل های داخلی باید وجود داشته و اجرایی گردد. 5 مولفه باید در کنار یکدیگر در قالب یک چارچوب یکپارچه عمل نمایند.

 

اجزای محیط کنترلی

محیط کنترلی، لحن و آهنگ سازمان را دربر گرفته و پایه و اساس دیدگاه و تفکر افراد و کارکنان را در ارتباط با ریسک، و کنترل آن، تعیین می کند.  محیط کنترلی مبنایی برای سایر مولفه ها است. محیط کنترلی، تعیین می کند که استراتژی ها و هدف ها، چگونه تدوین شود، فعالیت ها، چگونه ساختارمند، و ریسک ها، چگونه شناسایی و ارزیابی، و کنترل شوند. محیط کنترلی همچنین طراحی و اجرای فعالیت های کنترلی را تحت تأثیر قرار می دهد.

 

ارزیابی ریسک

ریسک ها رویدادهایی هستند که می توانند بر تحقق اهداف تاثیر منفی بگذارند. از این رو پس از تعیین اهداف سازمان یکی از مهمترین اقدامات شناسایی و ارزیابی ریسک هایی است که می تواند مانع از تحقق اهداف شده یا تحقق آنها را با محدودیت و مشکل روبرو سازند. ریسک ها می توانند در حوزه های مختلف از جمله استراتژیک، عملیاتی، مالی و رعایتی مطرح شوند. پس از شناسایی ریسک ها و ارزیابی آنها، واکنش مناسب برای آنها تعریف شده و پایش مستمری در خصوص آنها صورت می گیرد.

 

فعالیت های کنترلی

کنترل ها، فعالیت هایی هستند که در واکنش به ریسک ها و با هدف کاهش تاثیرات نامطلوب آنها اجرایی می شوند. کنترل ها می توانند شدت یا احتمال ریسک یا هر دو را کاهش دهند. کنترل ها در سطوح مختلف سازمان مطرح می شوند. کنترل های سطح بالا و استراتژیک بر ریسک های کلان سازمان تمرکز نموده و کنترل های اجرایی و عملیاتی، ریسک های عملیاتی را کاهش می دهند. در برخی از حوزه ها از جمله فناوری اطلاعات، کنترل ها به صورت خاص در راستای کاهش ریسک ها تعریف و اجرایی می شوند.

 

اطلاعات و ارتباطات

جریان های اطلاعاتی در سازمان و همچنین ارتباطات برون سازمانی، برای شناسایی و پایش ریسک ها و اجرای موثر کنترل ها ضروری هستند. جریان های اطلاعاتی، داده های مورد نیاز برای اجرای کنترل ها را تامین نموده و در اختیار ذینفعان قرار می دهد. همچنین نتایج ناشی از اجرای کنترل ها و پایش ریسک ها را برای ذینفعان درونی و بیرونی از جمله هیات مدیره، مدیران ارشد، سهامداران و نهادهای نظارتی بیرونی تامین می کند.

 

فعالیت های نظارتی

تحلیل ریسک و تعریف کنترل های داخلی به تنهایی کفایت لازم را برای اثربخشی این کنترل ها به همراه نخواهد داشت و ضروری است تا طی فعالیت های نظارتی، اثربخشی کنترل های داخلی به صورت مستمر مورد ارزیابی قرار گیرد. ارزیابی اثربخشی کنترل های داخلی می تواند توسط نهادهای درونی از جمله واحد حسابرسی داخلی یا نهادهای بیرونی مانند حسابرسان مستقل انجام شود. نتیجه ارزیابی های صورت گرفته به عنوان بازخورد مجددا در نظام کنترل های داخلی مورد بهره برداری قرار گرفته تا اثربخشی کلی نظام ارتقا یابد.

نظر دهید