اجزای کنترل داخلی: راهنمای جامع بر اساس چارچوب COSO

مقدمه: ضرورت راهبردی کنترل‌های داخلی

در خصوص اجزای کنترل داخلی ابتدا باید گفت ، کنترل داخلی فرآیندی است که توسط هیئت مدیره، مدیریت و سایر کارکنان اجرا می‌شود. این فرآیند برای ارائه اطمینان معقول از دستیابی به اهداف سازمانی طراحی شده است.  کنترل داخلی یک رویداد منفرد یا یک وضعیت ایستا نیست. بلکه مجموعه‌ای از اقدامات مستمر و یکپارچه در تمام جنبه‌های کسب‌وکار است. هدف آن، اطمینان‌بخشی معقول است، نه تضمین مطلق؛ زیرا هدف اصلی، کاهش ریسک به سطح قابل‌قبول است، نه حذف کامل آن. این فرآیند به سازمان کمک می‌کند تا فعالیت‌های صحیح را به شیوه‌ای مؤثر به انجام برساند.

چارچوب COSO: یک استاندارد بین‌المللی

چارچوب کمیته سازمان‌های حامی کمیسیون تردوی (COSO) به عنوان استاندارد جهانی شناخته می‌شود. این چارچوب برای طراحی، پیاده‌سازی و ارزیابی کنترل‌های داخلی مورد استفاده قرار می‌گیرد. نسخه اولیه آن در سال ۱۹۹۲ منتشر شد و در سال ۲۰۱۳ برای انطباق با تغییرات محیط کسب‌وکار به‌روزرسانی شد.  سازمان‌های معتبری مانند انجمن حسابداران رسمی آمریکا (AICPA) و انجمن حسابرسان داخلی (IIA) از حامیان این چارچوب هستند. این حمایت، اعتبار بالایی به چارچوب COSO در حرفه حسابداری و حسابرسی بخشیده است.

سه هدف اصلی: عملیات، گزارشگری و انطباق

چارچوب COSO به سازمان‌ها کمک می‌کند تا به سه دسته اصلی از اهداف دست یابند. اهداف عملیاتی به اثربخشی و کارایی عملیات سازمان مرتبط است. این اهداف شامل دستیابی به عملکرد مطلوب و حفاظت از دارایی‌ها در برابر زیان می‌شود.  اهداف گزارشگری بر قابلیت اطمینان، بهنگام بودن و شفافیت گزارش‌های مالی و غیرمالی، اعم از داخلی و خارجی، تمرکز دارد. اهداف انطباق نیز به رعایت قوانین و مقررات حاکم بر فعالیت‌های سازمان اشاره دارد. مکعب COSO این ارتباط یکپارچه را به تصویر می‌کشد.

سیستم یکپارچه: مروری بر پنج جزء کنترل داخلی

چارچوب COSO کنترل داخلی را به پنج جزء مرتبط با هم تقسیم می‌کند. این اجزا شامل محیط کنترلی، ارزیابی ریسک، فعالیت‌های کنترلی، اطلاعات و ارتباطات، و فعالیت‌های نظارتی است.  این اجزا به صورت یک سیستم یکپارچه عمل می‌کنند. برای اثربخشی کنترل‌های داخلی، هر پنج جزء باید به طور همزمان حضور داشته و فعال باشند. ماهیت یکپارچه این چارچوب باعث می‌شود که برای نیازهای خاص هر سازمان، قابل انطباق و مقیاس‌پذیر باشد. این اجزا پایه‌های یک راهبری شرکتی قوی را تشکیل می‌دهند.

جدول: اجزای کنترل داخلی و ۱۷ اصل بنیادین چارچوب COSO

جزء کنترل داخلی	شماره اصل	شرح اصل بنیادین
محیط کنترلی	۱	تعهد به درستکاری و ارزش‌های اخلاقی
	۲	اعمال نظارت مستقل توسط هیئت مدیره
	۳	ایجاد ساختار، حدود اختیار و مسئولیت‌های مناسب
	۴	تعهد به جذب، توسعه و حفظ افراد شایسته
	۵	پاسخگو نگه داشتن افراد در قبال مسئولیت‌های کنترل داخلی
ارزیابی ریسک	۶	تعیین اهداف واضح برای امکان شناسایی و ارزیابی ریسک‌ها
	۷	شناسایی و تحلیل ریسک‌ها در سراسر سازمان
	۸	در نظر گرفتن احتمال تقلب در ارزیابی ریسک‌ها
	۹	شناسایی و تحلیل تغییرات مهمی که بر سیستم کنترل داخلی تأثیر می‌گذارند
فعالیت‌های کنترلی	۱۰	انتخاب و توسعه فعالیت‌های کنترلی برای کاهش ریسک‌ها
	۱۱	انتخاب و توسعه کنترل‌های عمومی بر فناوری
	۱۲	استقرار فعالیت‌های کنترلی از طریق سیاست‌ها و رویه‌ها
اطلاعات و ارتباطات	۱۳	استفاده از اطلاعات مرتبط و باکیفیت برای پشتیبانی از کنترل‌های داخلی
	۱۴	برقراری ارتباطات مؤثر داخلی برای پشتیبانی از کنترل‌های داخلی
	۱۵	برقراری ارتباطات مؤثر خارجی در خصوص موضوعات مؤثر بر کنترل‌های داخلی
فعالیت‌های نظارتی	۱۶	اجرای ارزیابی‌های مستمر و/یا دوره‌ای برای اطمینان از وجود و عملکرد کنترل‌ها
	۱۷	ارزیابی و گزارشگری به‌موقع نواقص کنترل داخلی به مسئولین مربوطه

بخش اول: محیط کنترلی – شالوده و اساس کنترل

محیط کنترلی مجموعه‌ای از استانداردها، فرآیندها و ساختارها است که اساس اجرای کنترل داخلی را فراهم می‌کند. این جزء که به عنوان “جو حاکم بر سازمان” (Tone at the Top) شناخته می‌شود، بر آگاهی کنترلی کارکنان تأثیر مستقیم دارد.  محیط کنترلی، شالوده‌ای است که سایر اجزای کنترل داخلی بر روی آن بنا می‌شوند و نظم و ساختار لازم را ایجاد می‌کند. یک محیط کنترلی قوی، پیش‌نیاز موفقیت کل سیستم کنترل داخلی است.

اصل ۱: تعهد به درستکاری و ارزش‌های اخلاقی

مدیریت و هیئت مدیره باید “جو حاکم” روشنی را در سازمان ایجاد کنند.  این امر با تدوین یک آیین‌نامه رفتار حرفه‌ای رسمی و ابلاغ آن به تمام کارکنان عملیاتی می‌شود. سازمان باید پایبندی به این استانداردها را ارزیابی کرده و هرگونه انحراف را به سرعت رسیدگی کند. این اصل تنها به یک سند مکتوب محدود نمی‌شود، بلکه به معنای پرورش فرهنگی است که در آن رفتار اخلاقی مورد انتظار و ارزشمند است. نمونه‌های عملی شامل سیاست‌های شفاف در مورد تضاد منافع و ارائه آموزش‌های اخلاقی است. 

اصل ۲: اعمال نظارت مستقل توسط هیئت مدیره

هیئت مدیره باید استقلال خود را از مدیریت حفظ کرده و بر سیستم کنترل داخلی نظارت کند.  این نظارت شامل وجود یک کمیته حسابرسی با تخصص مرتبط است که به طور منظم برای بحث در مورد کنترل‌ها، ریسک‌ها و استراتژی‌ها تشکیل جلسه می‌دهد. نقش هیئت مدیره مدیریت سازمان نیست، بلکه نظارت بر عملکرد مدیریت برای اطمینان از اجرای کنترل‌های مؤثر است. آنها مسئول بازبینی و تصویب سیاست‌ها هستند و باید از دسترسی کامل مدیریت به سوابق برای اهداف نظارتی اطمینان حاصل کنند. 

اصل ۳: ایجاد ساختار، اختیار و مسئولیت

مدیریت، با نظارت هیئت مدیره، باید یک ساختار سازمانی شفاف ایجاد کند. این ساختار باید خطوط گزارش‌دهی را مشخص کرده و اختیارات و مسئولیت‌های مناسب را واگذار کند. این هدف به طور عملی از طریق شرح وظایف شغلی واضح و نمودارهای سازمانی مدون محقق می‌شود. چنین ساختاری تضمین می‌کند که پاسخگویی به درستی تعریف شده و هیچ شکاف یا هم‌پوشانی در مسئولیت‌ها وجود ندارد. این امر برای اجرای صحیح فعالیت‌های کنترلی اساسی است. 

اصل ۴: تعهد به جذب و حفظ افراد شایسته

سازمان باید به جذب، توسعه و حفظ افراد شایسته متعهد باشد. این افراد باید با اهداف سازمان همسو باشند. این اصل شامل تدوین سیاست‌های منابع انسانی برای استخدام، آموزش و ارزیابی عملکرد است.  نمونه‌های عملی شامل بررسی سوابق کارمندان جدید  ، ارائه آموزش‌های مستمر در مورد کنترل‌های داخلی  و داشتن برنامه‌های جانشین‌پروری برای پست‌های کلیدی است. شایستگی کارکنان، پایه و اساس اجرای مؤثر تمام مسئولیت‌های کنترلی است.

اصل ۵: پاسخگو نگه داشتن افراد

پاسخگویی از طریق ساختارها و مسئولیت‌های تعریف‌شده در اصل سوم تقویت می‌شود. این اصل شامل ایجاد معیارهای عملکرد، مشوق‌ها و پاداش‌هایی است که پایبندی به مسئولیت‌های کنترل داخلی را در نظر می‌گیرد. افراد باید بدانند که در قبال وظایف کنترلی خود پاسخگو خواهند بود. این امر از طریق مکانیسم‌هایی مانند ارزیابی عملکرد سالانه  و اطمینان از وجود پیامدها برای شکست‌های کنترلی، و نه فقط برای عدم دستیابی به اهداف عملیاتی، عملیاتی می‌شود. 

محیط کنترلی به عنوان یک پیش‌نیاز فرهنگی

محیط کنترلی صرفاً اولین جزء از پنج جزء برابر نیست؛ بلکه لایه فرهنگی بنیادینی است که اثربخشی چهار جزء دیگر به آن وابسته است. یک محیط کنترلی ضعیف می‌تواند حتی بهترین ارزیابی‌های ریسک و فعالیت‌های کنترلی را بی‌اثر کند. استفاده مکرر از عبارات کیفی مانند “جو حاکم بر سازمان”  ، “درستکاری و ارزش‌های اخلاقی”  و “فلسفه مدیریت”  نشان می‌دهد که این جزء ماهیتی فرهنگی دارد. نادیده گرفتن کنترل‌ها توسط مدیریت (Management Override) و جو نامناسب سازمانی، از دلایل اصلی شکست‌های کنترلی و تقلب هستند. بدون یک جو حاکم قوی، شناسایی ریسک ناقص خواهد بود، فعالیت‌های کنترلی به درستی طراحی نمی‌شوند و نتایج نظارت نادیده گرفته می‌شوند. بنابراین، محیط کنترلی یک پیش‌نیاز است و سازمانی که تنها بر کنترل‌های رویه‌ای تمرکز کند، در واقع پایه‌های خود را بر بستری سست بنا کرده است.

بخش دوم: ارزیابی ریسک – مدیریت پیشگیرانه عدم قطعیت

این بخش به تشریح فرآیند پویا و تکرارشونده برای شناسایی و ارزیابی ریسک‌های پیش روی اهداف سازمان می‌پردازد. ارزیابی ریسک، مبنایی برای تصمیم‌گیری در مورد نحوه مدیریت ریسک‌ها فراهم می‌کند. این فرآیند به سازمان‌ها امکان می‌دهد تا به جای واکنش به مشکلات، به صورت پیشگیرانه با عدم قطعیت‌ها مواجه شوند.

اصل ۶: تعیین اهداف واضح و مرتبط

یک سازمان نمی‌تواند ریسک‌های مرتبط با اهداف خود را شناسایی کند، مگر اینکه خود اهداف شفاف باشند. مدیریت باید اهداف عملیاتی، گزارشگری و انطباق را با وضوح کافی مشخص کند تا شناسایی ریسک‌ها ممکن شود.  این فرآیند شامل تعریف آستانه تحمل ریسک است؛ یعنی سطح قابل قبول انحراف از اهداف. به عنوان مثال، یک هدف گزارشگری مالی باید با استانداردهای حسابداری مربوطه (مانند IFRS) مطابقت داشته باشد و سطح اهمیت را در نظر بگیرد. 

اصل ۷: شناسایی و تحلیل ریسک‌ها در سطح سازمان

سازمان باید ریسک‌ها را در تمام سطوح، از جمله سطح کلان، divisional و واحدهای عملیاتی، شناسایی کند. این فرآیند باید هم عوامل داخلی و هم عوامل خارجی را در نظر بگیرد. تحلیل ریسک شامل برآورد اهمیت (تأثیر) و احتمال وقوع آن است. این تحلیل، مبنای توسعه یک پاسخ مناسب به ریسک را فراهم می‌کند. یک ابزار عملی برای این کار، ثبت ریسک (Risk Register) است که به طور منظم به‌روزرسانی می‌شود. 

اصل ۸: در نظر گرفتن صریح احتمال تقلب

فرآیند ارزیابی ریسک باید به طور صریح احتمال تقلب را در نظر بگیرد.  این امر شامل ارزیابی انگیزه‌ها و فشارهایی است که ممکن است به تقلب منجر شوند. همچنین باید فرصت‌های تقلب در گزارشگری مالی، سوءاستفاده از دارایی‌ها یا فساد شناسایی شود. نمونه‌های این ریسک‌ها شامل سرقت دارایی‌ها، بازپرداخت هزینه‌های جعلی و ثبت‌های حسابداری نامناسب است. این بررسی یک بخش جدایی‌ناپذیر از تحلیل ریسک است.

اصل ۹: شناسایی و تحلیل تغییرات مهم

فرآیند ارزیابی ریسک باید پویا باشد، زیرا محیط‌های داخلی و خارجی دائماً در حال تغییر هستند. سازمان باید فرآیندی برای شناسایی و ارزیابی تغییراتی داشته باشد که می‌توانند به طور قابل توجهی بر سیستم کنترل داخلی تأثیر بگذارند. این تغییرات می‌تواند شامل مدل‌های کسب‌وکار جدید، رشد سریع، فناوری‌های نوین، تجدید ساختار شرکت یا تغییرات در محیط نظارتی باشد. عدم انطباق با این تغییرات می‌تواند کنترل‌های موجود را بی‌اثر کند.

ارزیابی ریسک به عنوان یک ابزار استراتژیک

ارزیابی ریسک مدرن از یک “فهرست از اتفاقات بد” که صرفاً جنبه انطباقی داشت، به یک فرآیند پویا و استراتژیک تبدیل شده است. این فرآیند عدم قطعیت را مستقیماً به دستیابی به اهداف خاص کسب‌وکار مرتبط می‌کند. دیدگاه‌های قدیمی بر تهیه لیست‌های جامع از ریسک‌ها متمرکز بودند، اما این رویکرد به عنوان یک اشتباه خطرناک تلقی می‌شود. برای اینکه ارزیابی ریسک مفید باشد، هر ریسک باید به یک هدف تجاری یا استراتژیک مرتبط شود. این کار به ریسک‌ها زمینه می‌بخشد و اولویت‌بندی را ممکن می‌سازد. فرآیند ارزیابی ریسک پویا و تکرارشونده است و نیاز به ارزیابی مجدد مداوم در پرتو تغییرات دارد.  بنابراین، پرسش کلیدی از “چه چیزی ممکن است اشتباه پیش برود؟” به “کدام عدم قطعیت‌های مشخص می‌تواند ما را از دستیابی به اهداف استراتژیک باز دارد؟” تغییر می‌کند. این تغییر دیدگاه، ارزیابی ریسک را از یک تمرین دفاعی و انطباقی به یک ابزار مدیریت استراتژیک و پیشگیرانه تبدیل می‌کند.

بخش سوم: فعالیت‌های کنترلی – تبدیل ارزیابی ریسک به عمل

فعالیت‌های کنترلی، اقدامات و رویه‌هایی هستند که برای اطمینان از اجرای دستورالعمل‌های مدیریت جهت کاهش ریسک‌ها به کار گرفته می‌شوند. این فعالیت‌ها در تمام سطوح سازمان و در مراحل مختلف فرآیندهای کسب‌وکار انجام می‌شوند. آنها به مثابه “ترمزها” و “حفاظ‌های” سازمان عمل می‌کنند تا از انحراف از مسیر اهداف جلوگیری کنند.

اصل ۱۰: انتخاب و توسعه فعالیت‌های کنترلی کاهنده ریسک

فعالیت‌های کنترلی برای کاهش ریسک‌های شناسایی‌شده به سطح قابل قبول، انتخاب و توسعه می‌یابند. این فعالیت‌ها می‌توانند پیشگیرانه (برای جلوگیری از وقوع یک رویداد) یا کشف‌کننده (برای شناسایی رویداد پس از وقوع) باشند. نمونه‌های رایج شامل تفویض اختیارات و تصویب‌ها، تأییدیه‌ها، مغایرت‌گیری‌ها، بررسی عملکرد و تفکیک وظایف است. به عنوان مثال، تفکیک وظایف تصویب پرداخت، ثبت آن و نگهداری دارایی (وجه نقد) یک کنترل پیشگیرانه اساسی است. 

اصل ۱۱: توسعه کنترل‌های عمومی بر فناوری

با افزایش خودکارسازی فرآیندهای کسب‌وکار، چارچوب COSO بر کنترل‌های عمومی فناوری اطلاعات (ITGCs) تأکید ویژه‌ای دارد. این کنترل‌ها با تضمین قابلیت اطمینان محیط فناوری اطلاعات زیربنایی، به دستیابی به اهداف کمک می‌کنند. آنها شامل کنترل بر عملیات مرکز داده، امنیت شبکه، تهیه و نگهداری نرم‌افزارهای سیستمی و امنیت دسترسی هستند. سیاست‌های رمز عبور، کنترل بر تغییرات برنامه‌ها و محدود کردن دسترسی به داده‌ها و برنامه‌ها نمونه‌هایی از این کنترل‌ها هستند. 

اصل ۱۲: استقرار کنترل‌ها از طریق سیاست‌ها و رویه‌ها

فعالیت‌های کنترلی از طریق سیاست‌های رسمی که انتظارات را مشخص می‌کنند و رویه‌هایی که آن سیاست‌ها را به اجرا درمی‌آورند، مستقر می‌شوند. صرفاً طراحی یک کنترل کافی نیست؛ بلکه باید مستند و ابلاغ شود. همچنین باید مسئولیت و پاسخگویی روشنی برای اجرای آن تعریف گردد. این امر ثبات را تضمین کرده و مبنایی برای آموزش و نظارت فراهم می‌کند.

تحول دیجیتال در فعالیت‌های کنترلی

فعالیت‌های کنترلی در حال یک تحول بنیادین هستند. آنها از اقدامات دستی، دوره‌ای و مبتنی بر نمونه‌گیری به فرآیندهای خودکار، مستمر و داده‌محور تغییر می‌کنند. این روند که توسط فناوری و تحلیل داده‌ها هدایت می‌شود، نحوه ارائه اطمینان را اساساً تغییر می‌دهد. کنترل‌ها به طور سنتی شامل تأییدیه‌ها و مغایرت‌گیری‌های دستی بودند. اما چارچوب مدرن به صراحت کنترل‌های عمومی فناوری اطلاعات را شامل می‌شود. امروزه، تحلیل داده‌ها مستقیماً در عملیات روزمره کنترل داخلی تعبیه می‌شود تا اطلاعات پیچیده به اطلاعات ارزشمند تبدیل شوند.39 این رویکرد امکان تحلیل عمیق داده‌های عملیاتی برای شناسایی شاخص‌های ریسک را فراهم می‌کند. فناوری‌هایی مانند اتوماسیون فرآیند رباتیک (RPA) برای خودکارسازی وظایف کنترلی تکراری و راه‌حل‌های SEIM برای نظارت خودکار بر گزارش‌های سیستمی به کار می‌روند. در نتیجه، به جای اینکه یک حسابرس به صورت دستی نمونه‌ای از فاکتورها را بررسی کند، یک سیستم می‌تواند ۱۰۰٪ تراکنش‌ها را در زمان واقعی با قوانین از پیش تعریف‌شده تطبیق دهد. این پارادایم جدید نه تنها کارایی را افزایش می‌دهد، بلکه سطح بسیار بالاتری از اطمینان را نیز فراهم می‌کند.

بخش چهارم: اطلاعات و ارتباطات – سیستم عصبی سازمان

این بخش به اهمیت کسب و استفاده از اطلاعات باکیفیت و ایجاد کانال‌های ارتباطی شفاف برای پشتیبانی از عملکرد کنترل داخلی می‌پردازد. اطلاعات و ارتباطات مانند سیستم عصبی سازمان عمل می‌کنند و جریان داده‌های حیاتی را برای تصمیم‌گیری و اجرای کنترل‌ها تضمین می‌نمایند.

اصل ۱۳: استفاده از اطلاعات مرتبط و با کیفیت

یک سازمان باید اطلاعات مرتبط و باکیفیت را برای پشتیبانی از سایر اجزای کنترل داخلی، تولید یا کسب کرده و مورد استفاده قرار دهد. سیستم‌های اطلاعاتی باید داده‌ها را از منابع داخلی و خارجی جمع‌آوری کرده و آنها را به اطلاعاتی بهنگام، جاری، دقیق، قابل دسترس و قابل تأیید تبدیل کنند. مدیریت باید فرآیندهایی برای شناسایی نیازهای اطلاعاتی داشته باشد و از وجود سیاست‌های حاکمیت داده برای حفظ کیفیت اطمینان حاصل کند. 

اصل ۱۴: برقراری ارتباطات مؤثر داخلی

ارتباطات فرآیندی مستمر برای ارائه، اشتراک‌گذاری و کسب اطلاعات ضروری است. در داخل سازمان، اطلاعات باید به صورت عمودی (بالا به پایین و پایین به بالا) و افقی جریان یابد. این جریان اطلاعات به کارکنان امکان می‌دهد تا پیام‌های روشنی از مدیریت ارشد در مورد مسئولیت‌های کنترلی خود دریافت کنند. این اصل همچنین شامل کانال‌های ارتباطی رو به بالا، مانند خطوط تلفن گزارش‌دهی تخلفات (whistleblower hotlines) است که به کارکنان اجازه می‌دهد مسائل را بدون ترس از تلافی گزارش دهند. 

اصل ۱۵: برقراری ارتباطات مؤثر خارجی

ارتباطات به طرف‌های خارجی نیز گسترش می‌یابد. این یک خیابان دوطرفه است. سازمان اطلاعات را در پاسخ به الزامات و انتظارات به طرف‌های خارجی (مانند حسابرسان، نهادهای نظارتی و سهامداران) ارائه می‌دهد. همچنین، اطلاعات مرتبط خارجی (مانند بازخورد مشتریان یا به‌روزرسانی‌های نظارتی) را که می‌تواند بر کنترل‌ها تأثیر بگذارد، دریافت می‌کند. به عنوان مثال، ایجاد یک پورتال امن برای تبادل داده‌های حساس با فروشندگان، یک کاربرد عملی این اصل است. 

ارتباطات به عنوان یک سیستم چندجهته در اجزای کنترل داخلی

جزء اطلاعات و ارتباطات صرفاً به معنای ابلاغ دستورالعمل‌ها از بالا به پایین توسط مدیریت نیست. این جزء یک سیستم چندجهته است که در آن جریان‌های اطلاعاتی رو به بالا و از خارج به داخل، برای سلامت کل چارچوب کنترل داخلی حیاتی هستند. دیدگاه ساده‌انگارانه، ارتباطات را یک فرآیند یک‌طرفه از بالا به پایین می‌داند.  با این حال، چارچوب COSO جریان اطلاعات را “بالا، پایین و در سراسر سازمان” توصیف می‌کند. جریان رو به بالا برای جزء نظارت حیاتی است؛ زیرا مدیریت از طریق این کانال از نواقص مطلع می‌شود. وجود خطوط گزارش‌دهی تخلفات یک مکانیسم رسمی برای این جریان رو به بالا است. جریان از خارج به داخل نیز با ارزیابی ریسک مرتبط است. سازمان با دریافت اطلاعات از نهادهای نظارتی و مشتریان، تغییرات محیط خارجی را شناسایی می‌کند. بنابراین، این جزء مانند سیستم عصبی سازمان عمل می‌کند و قطع هر یک از این جریان‌های اطلاعاتی، عملکرد چهار جزء دیگر را به شدت مختل می‌سازد.

بخش پنجم: فعالیت‌های نظارتی – تضمین اثربخشی مستمر

این بخش توضیح می‌دهد که چگونه سیستم کنترل داخلی برای ارزیابی عملکرد در طول زمان و اطمینان از اصلاح نواقص، مورد نظارت قرار می‌گیرد. نظارت به سازمان کمک می‌کند تا اطمینان حاصل کند که کنترل‌ها به طور مؤثر عمل می‌کنند و با تغییر شرایط، همچنان مرتبط و کارآمد باقی می‌مانند.

اصل ۱۶: اجرای ارزیابی‌های مستمر و یا دوره‌ای

مدیریت باید ارزیابی کند که آیا اجزای کنترل داخلی حضور دارند و به درستی عمل می‌کنند یا خیر. این هدف از طریق دو نوع نظارت حاصل می‌شود: ارزیابی‌های مستمر و ارزیابی‌های دوره‌ای.45 ارزیابی‌های مستمر در جریان عادی فرآیندهای کسب‌وکار و به صورت آنی انجام می‌شوند؛ مانند بررسی گزارش هزینه‌ها توسط یک مدیر هنگام ارسال.45 ارزیابی‌های دوره‌ای به صورت متناوب، مثلاً از طریق حسابرسی‌های داخلی یا خودارزیابی‌ها، انجام می‌شوند. دامنه و تناوب این ارزیابی‌ها به سطح ریسک بستگی دارد. 

اصل ۱۷: ارزیابی و گزارشگری نواقص کنترلی

سازمان باید نواقص کنترل داخلی را به موقع ارزیابی کرده و به طرف‌های مسئول برای انجام اقدامات اصلاحی، از جمله مدیریت ارشد و هیئت مدیره، گزارش دهد. یافته‌ها بر اساس معیارهای تعیین‌شده ارزیابی می‌شوند تا شدت آنها مشخص گردد. این فرآیند تضمین می‌کند که مشکلات نه تنها شناسایی، بلکه از طریق یک برنامه اصلاحی رسمی برطرف می‌شوند. این چرخه، سیستم کنترل داخلی را در طول زمان تقویت می‌کند.

نظارت به عنوان موتور پویایی سیستم کنترل

جزء نظارت یک حلقه بازخورد حیاتی است که چارچوب COSO را از یک ساختار ایستا به یک سیستم پویا، خوداصلاح‌گر و انعطاف‌پذیر تبدیل می‌کند. این جزء، موتور محرک بهبود مستمر است. نظارت یک ضعف کنترلی را شناسایی می‌کند. این نقص از طریق کانال‌های ارتباطی به مدیریت گزارش می‌شود. این اطلاعات جدید به عنوان یک “تغییر مهم” یا یک ریسک تازه شناخته‌شده، ارزیابی مجدد ریسک را فعال می‌کند. بر اساس این ارزیابی جدید، مدیریت ممکن است فعالیت‌های کنترلی جدیدی طراحی یا فعالیت‌های موجود را اصلاح کند. کل این فرآیند در چارچوب محیط کنترلی تثبیت‌شده رخ می‌دهد. بنابراین، نظارت پایان فرآیند نیست؛ بلکه کاتالیزوری است که چرخه را دوباره آغاز می‌کند. این جزء ورودی‌هایی را فراهم می‌کند که سازمان را وادار به انطباق و تکامل کنترل‌های خود در پاسخ به شکست‌های عملکردی و تغییرات محیطی می‌کند. این رابطه چرخه‌ای، تعریف یک سیستم پویا و کلید اثربخشی بلندمدت چارچوب است.

نتیجه‌گیری در خصوص اجزای کنترل داخلی

هم‌افزایی پنج جزء

قدرت واقعی چارچوب COSO در یکپارچگی اجزای آن نهفته است، نه در هر جزء به تنهایی.3 یک محیط کنترلی قوی، زمینه را برای ارزیابی ریسک صادقانه فراهم می‌کند که به نوبه خود، فعالیت‌های کنترلی مرتبط را شکل می‌دهد. اطلاعات و ارتباطات باکیفیت تضمین می‌کند که این فعالیت‌ها به درستی درک شده و یافته‌های نظارتی گزارش می‌شوند. این امر به سیستم اجازه می‌دهد تا خود را تطبیق دهد. برای اثربخشی، تمام پنج جزء باید به طور همزمان حضور داشته و فعال باشند.

کنترل داخلی به عنوان یک کارکرد ارزش‌آفرین

در نهایت، پیاده‌سازی چارچوب COSO باید فراتر از یک الزام قانونی تلقی شود. این چارچوب فرصتی برای بهبود کارایی فرآیندها، افزایش قابلیت اطمینان اطلاعات برای تصمیم‌گیری و کسب مزیت رقابتی است. یک سیستم کنترل داخلی مؤثر با ایجاد اطمینان در مدیریت و هیئت مدیره نسبت به درستی عملیات و گزارشگری، از ارزش سازمانی محافظت کرده و آن را افزایش می‌دهد. 

منابع اجزای کنترل داخلی

• https://www.cbh.com/insights/articles/guide-to-internal-controls-and-the-coso-integrated-framework/
• https://www.agacgfm.org/Resources/intergov/InternalControls/ResourcesByCOSOComponent.aspx
• https://kirkpatrickprice.com/video/5-components-internal-control/
• https://info.knowledgeleader.com/bid/161685/what-are-the-five-components-of-the-coso-framework
• https://www.sunyopt.edu/pdfs/internalcontrol/Summary_of_COSO_Internal_Control_Framework_Components.pdf
• https://www.caseiq.com/resources/coso-framework-what-it-is-and-how-to-use-it/
• https://www2.deloitte.com/content/dam/Deloitte/us/Documents/audit/us-audit-scale-your-internal-controls.pdf
• https://www.deloitte.com/ng/en/services/audit/perspectives/coso-an-approach-to-internal-control-framework.html
• https://www.scribd.com/document/234940963/COSO-Training-Deloitte-1
• https://www.deloitte.com/ng/en/services/audit/perspectives/coso-information-and-communication-monitoring-activities.html
• https://dart.deloitte.com/USDART/home/publications/deloitte/heads-up/2023/coso-framework-for-internal-controls-over-sustainability
• https://www.deloitte.com/ng/en/services/audit/perspectives/coso-control-activities.html
• https://www.pwc.com/m1/en/services/assurance/risk-assurance/documents/internal-control-over-financial-reporting.pdf
• https://www.pwc.com/m1/en/publications/effective-internal-control-over-financial-reporting-icfr.html
• https://www.pwc.com/mn/en/mn-academy/brochures/2021/internal_control_en.pdf
• https://www.pwchk.com/en/risk-assurance/data-analytics-empowers-internal-controls-oct2024.pdf
• https://www.finance.umich.edu/system/files/IntCtrlTrngupdate_2015_for_Website.pdf
• https://www.sechistorical.org/collection/papers/2010/2013_0501_COSOInternal.pdf
• https://www.gao.gov/assets/gao-14-704g.pdf
• https://auditboard.com/blog/audit-checklist-how-to-conduct-an-audit-step-by-step
• https://catalogimages.wiley.com/images/db/pdf/9781119632160.excerpt.pdf
• https://ofm.wa.gov/sites/default/files/legacy/policy/replace_17A-03.pdf
• https://www.scribd.com/document/139046646/COSO-Framework

———————————————————————————-

برای دریافت مشاوره درخصوص طراحی اجزای کنترل داخلی  با ما در تماس باشید :

تلفن ۱ :  ۰۲۱۸۸۱۹۱۴۸۲

تلفن ۲ :  ۰۲۱۸۸۱۹۱۴۸۳

فکس :    ۸۸۲۰۵۷۶۶   ۲۱  ۹۸++