COSO si Managementul Riscurilor

COSO si Managementul Riscurilor reprezinta metodologii cadru de implementare a Sistemului Controalelor Interne si a Managementului Riscurilor

Atunci cand vorbim despre managementul controalelor interne si managementul riscurilor firmei ne vom indrepta atentia asupra practicii americane pentru ca ei reprezinta la acest moment un model deoarece au dezvoltat un cadru procedural si legislativ in acest sens. Ne referim la Sarbanes–Oxley Act of 2002 care este  legea emisa in America in 2002 si care a reglementat standarde noi imbunatatite pentru toate firmele cotate la bursa incluzand firmele de consultanta financiara. Aceasta lege a aparut ca o necessitate de a recapata increderea publicului in bursa dupa marile scandaluri legate de falimentele din America de la inceputul anilor 2000. De asemenea tot in America s-a dezvoltat modelul COSO si Managementul Riscurilor Firmei, metodologii cadru emise de catre Comisia Treadway. Despre aceste metodologii voi vorbi in prezentul articol.

Chiar daca nu putem sa vorbim in Romania de o dezvoltare a firmelor de anvergura Americii si nici o activitate similara pe piata de capital  asta nu implica ca afacerile romanesti nu au nevoie de controale interne si de un management al riscurilor. Cu toate acestea vad cu parere de rau ca nu se vorbeste de aceste concepte decat in banci si firme de asigurari si mai putin  in firme foarte mari multinationale, iar acest lucru se intampla mai mult pentru ca exista o obligativitate legala de a exista Departamente de Risk Management sau Controale Interne si nu din perspectiva imbunatatirii operatiunile.

Dar tinand cont de faptul ca fiecare firma are aceleasi scop principal de a-si duce la indeplinire obiectivele care inevitatabil vor fi impactate de diverse riscuri, iar sistemul de controale interne si managementul riscurilor sunt procese care isi propun sa dea o asigurare rezonabila ca obiectivele firmei vor fi atinse implicit rezulta necesitatea existentei acestor procese in fiecare afacere.

COSO metodologia cadru de implementare a controalelor interne  (Internal Controls Framework )

In 1992, Comisia Treadway din America (The committee of sponsoring organizations of the Treadway Commission -COSO) a elaborat un model integrat al controalelor interne prescurtat si COSO. Scopul acestui model este de a furniza conceptele de baza cu privire la stabilirea unui Sistem de Contoale Interne si determinarea eficacitatii acestuia. Comisia Treadway este o organizatie voluntara din sectorul privat dedicata furnizarii de suport managementului executiv , entitatilor pe aspecte critice ca: etica de business, controale interne, managementul riscului intreprinderii, frauda, si raportarile financiare.

Aceasta metodologie a fost incorporata in politici, reguli, proceduri si reglementari si a fost folosita de multe companii pentru a-si controla activitatile in scopul atingerii obectivelor. Un deceniu mai tarziu au aparut marile scandaluri si falimente (Enron, Tyco International, Adelphia, Peregrine Systems and WorldCom) care au costat investitorii miliarde de dolari si au pus la incercare increderea publicului  in bursa. In perioada care a urmat au existat cereri pentru imbunatatirea guvernantei corporatiste, managementul riscurilor prin noi legi, reglementari si standarde. In acest sens a devenit din ce in ce mai clara necesitatea existentei unei metodologii care sa identifice, evalueze si mitigheze riscurile.

In 2001 Comisia Treadway a initiat un proiect atribuit firmei de consultanta PWC (PricewaterhouseCoopers) pentru creerea unei metodologii cadru care sa poata fi utilizata de catre managementul firmelor in evaluarea si imbunatatirea managementului riscului in respectivele organizatii.

Metodologia Integrata “Managementul Riscurilor Firmei” s-a dezvoltat pe conceptul  de controale interne punand un accent mai mare pe managementul riscurilor.

Metodologia Managementului Riscurilor nu isi propune sa o inlocuiasca pe cea a controalelor interne ci sa incorporeze conceptele de baza legate de controalele interne. Una dintre  provocarile majore cu care se confrunta managementul este sa determine care este marja de risc pe care entitatea este pregatita sa o accepte in incercarea de a-si atinge obiectivele.

Asadar cele 2 standarde sunt interdependente avand elemente si concepte comune. Vom prezenta pe rand fiecare dintre cele 2.

1. COSO –Metodologia  de implementare a unui sistem de controalelor interne

Conform modelului COSO exista 3 obiective principale ale unui Sistem de Controale Interne si anume sa asigure:

  • Eficienta si eficacitatea operatiunilor unei firme
  • Corectitudinea raportarilor financiare si
  • Respectarea legilor si reglementarilor aplicabile

Daca aceasta ar fi o definitie standard in termeni mai generali am putea spune ca orice organizatie isi propune sa atinga anumite obiective iar atingerea acestor obiective poate fi afectata de diverse evenimente care reprezinta posibile riscuri.

Sistemul de controale interne reprezinta un process implementat si monitorizat de catre managemntul firmei al carui scop este dezvoltarea unor parghii (controale care sa asigure identificarea posibilelor riscuri si combaterea acestora pana la o limita de risc acceptata de catre firma, scopul final fiind o siguranta rezonabila ca obiectivele firmei vor fi atinse).

Modelul COSO include 5 componente ale unui sistem de controale interne eficace, sau altfel spus cum am putea sti daca controalele interne functioneaza asa cum ar trebui? Existenta celor 5 componente reprezinta o asigurare in acest sens:

  1. Mediul de control la nivelul organizatiei (Control Environment): stabileste bazele sistemului de controale interne prin furnizare unei structuri si discipline generale
  2. Evaluarea riscului (Risk Assessment): implica evaluarea si analiza facuta de catre management, nu de catre auditorii interni, a riscurilor ce pot afecta obiectivele stabilite
  3. Activitatile de control (Control Activities): politicile, procedurile, controalele alte practice a caror scop este asigurarea ca obiectivele stabilite de management sunt atinse si riscurile posibile sunt adresate.
  4. Informarea si comunicarea: sprijina toate celelalte componente ale COSO prin comunicarea catre angajati a responsabilitatilor privind controlul si furnizarea de informatii intr-un format adecvat si in timp util pentru ca membrii unei organizatii sa poata sa-si indeplineasca atributiile
  5. Monitorizare: implica supervizarea controalelor interne de catre management, supervizarea din partea altor membri externi procesului (auditori interni, organisme de monitorizare, etc), sau aplicarea unor metodologii independente de tipul procedurilor sau chestionarelor standard completate de anagajatii din cadrul procesului.

2. Metodologia pentru Managementul Riscului Firmei

Obiectivul principal al fiecarei firme este de a aduce valoare actionarilor ei, iar pentru realizarea acestui obiectiv vor exista in fiecare caz in parte o incertitudine/risc iar provocarea pentru managementul entitatii va fi sa determine gradul de incertitudine/  pe care este dispus sa-l accepte pentru realizarea obiectivelor. Incertitudinea prezinta 2 aspecte: riscuri si oportunitati. Managementul riscului afacerii permite managementului sa gestioneze eficace incertitudinile,  riscurile si oportunitatile aferente, cu scopul central de a creste potentialul de creare al valorii afacerii.

Managementul riscului afacerii include activitati de genul:

  • Alinierea apetitutului pentru risc cu strategia firmei: managementul va avea in vedere apetitul pentru risc al firmei in momentul cand va considera evaluarea alternativelor startegice, determinarea obiectivelor si stabilirea mecanismelor de gestionare a riscurilor
  • Imbunatatirea deciziilor ca raspuns la riscurile existente: managementul riscurilor firmei va furniza cadrul necesar pentru identificarea si selectarea intre optiunile de raspuns la riscurile identificate respectiv: evitarea riscurilor, reducerea, divizarea sau acceptarea riscurilor
  • Reducerea surprizelor si pierderilor operationale: entitatile isi imbunatatesc expertiza de a identifica evenimente potentiale si de a stabili decizii de raspuns in vederea reducerii surprizelor si a costurilor asociate
  • Identificarea si gestionarea riscurilor multiple la nivelul organizatiei: fiecare organizatie intampina riscuri la diferite niveluri, iar managementul riscurilor faciliteaza un raspuns eficace la impactul interdependent si integrat al acestor riscuri
  • Identificarea oportunitatilor: prin monitorizarea potentialelor evenimente managementul va putea identifica si actiona proactiv in valorificarea oportunitatilor
  • Imbunatatirea utilizarii capitalului: obtinerea informatiilor detaliate despre riscuri va permite managementului sa evalueze corect necesarul de capital si sa imbunatateasca utilarea lui.

Aceste capabilitati incluse in managementul riscurilor vor ajuta managementul in relizarea tintelor de performanta si profitatabilitate si evitarea pierderilor.

Altfel spus managementul riscurilor ajuta entitatea sa ajunga acolo unde si-a propus si sa evite surprizele posibile in cadrul acestui demers.

Managementul riscurilor este un proces realizat de catre consiliul de administratie, management si alti angajati, aplicat in elaborarea strategiei si a obiectivelor in scopul de a identifica evenimentele posibile care afecteaza entitatea si gestionarea riscului in limita apetitului prestabilit, pentru a furniza o asigurare rezonabila cu privirea la realizare obiectivelor firmei.

Atingerea obiectivelor

Vom observa in continuare o similitudine intre obiectivele (ce vreau sa realizez) si componenetele (cum pot sa realizez) managementului riscurilor entitatii si cele ale sistemului de controale interne. Acest lucru se explica prin faptul ca cele 2 procese sunt interdependente iar Modelul “Managementul Riscurilor Firmei” s-a dezvoltat pe conceptul modelului de controale interne punand un accent mai mare pe managementul riscurilor.

Metodologia pentru Managementul riscului afacerii imparte obiectivele unei firme in 4 categorii:

  • Strategia si obiectivele
  • Operatiunile: eficacitatea si eficienta utilizarii resurselor
  • Increderea in raportari
  • Respectarea legilor si reglementarilor aplicabile

Managementul riscului afacerii include 8 componenete interdependente:

  1. Mediul Intern: include tonul dat de organizatie si stabileste cum este privit riscul si cum vor adresa angajatii riscurile incluzand filozofia managementului riscurilor, apetitul pentru risc, integritatea, valorile etice, etc
  2. Stabilirea obiectivelor: Pentru ca managementul sa poata identifica evenimentele care afecteaza afacerea trebuie ca in prealabil sa aiba determinate obiectivele.
  3. Identificarea evenimentelor: presupune identificarea posibililor evenimente interne sau externe care afecteaza realizarea obiectivelor firmei si impartirea lor in riscuri si oportunitati. Oportunitatile identificate vor fi valorificate iar in privinta riscurile se va alege o cale de raspuns.
  4. Evaluarea riscurilor: riscurile vor fi analizate cu scopul de a identifica probabilitatea de aparitie si impactul pentru a determina cum vor fi gestionate.
  5. Raspunsul la risc: managementul va selecta raspunsul la risc: evitare, acceptare, reducere sau impartire/divizare, dezvoltand un set de actiuni de aliniere a riscurilor la apetitul la risc al firmei
  6. Activitatile de control: politicile, procedurile, controalele alte practice a caror scop este asigurarea ca obiectivele stabilite de management sunt indeplinite/atinse si riscurile posibile sunt mitigate.
  7. Informarea si comunicarea: presupune comunicarea catre angajati a responsabilitatilor privind controlul si furnizarea de informatii intr-un format adecvat si in timp util pentru ca membrii unei organizatii sa poata sa-si indeplineasca atributiile.
  8. Monitorizare: implica supervizarea procesului de management al riscului si luarea unor decizii de schimbare daca este cazul.

Exista o Relatia directa intre obiective (ceea ce o firma isi propune sa realizeze) si componente managementului riscurilor (ceea ce este necesar pentru atingerea acestor obiective). Aceasta relatie este reprezentata prin intermediul unui cub tri-dimensional care este simbolul vizual al COSO.

Daca managementul riscurilor este eficace in fiecare din cele 4 obiective, managementul si consiliul de administratie au un grad de asigurare in ceea ce priveste realizare obiectivelor.

Limitarile

Chiar daca modelul de management al riscurilor ofera numeroase beneficii exista si anumite limitari. Acestea rezulta din faptul ca judecata umana in luarea deciziilor poate fi uneori gresita, deciziile de raspuns la riscurile identificate si stabilirea controalelor pentru evitarea riscurilor trebuie sa se bazeze pe o analiza cost-beneficiu. Probleme pot aparea si ca urmare a unor greseri umane, erori, controalele pot fi evitate prin intelegerea intre 2 sau mai multe persoane. Aceste limitari fac imposibila o asigurare absoluta cu privirea la realizarea obiectiveler firmei.

Rolul si responsabilitatile

Fiecare angajat al unei entitati are un grad de responsabilitate in realizare managementului riscului. Directorul Executiv este in cele din urma principalul care isi asuma responsabilitatea in realizarea unui management adecvat al riscurilor. Ceilalti manageri sprijina filozofia managementului riscurilor, promoveaza respectarea regulilor in limita apetitului de risc si gestioneaza riscurile din zona lor de responsabilitate. Managerul de risc, managerul financiar, managerul controalelor interne, auditorii interni, de obicei au un aport important in realizarea unui management al riscurilor optim.

In incheiere as dori sa stiu parerile voastre despre utilitatea unor astfel de sisteme (controale interne si managementul riscurilor), daca in firmele in care lucrati sau pe care le exista implementate aceste sisteme? Daca raspunsul este da  as dori sa stiu daca sistemele au fost implementate in baza conceptelor/standardelor tip COSO sau s-au folosit alte concepte?

Articolul a avut ca sursa de documentare site-ul http://www.coso.org

Advertisements
This entry was posted in Managementul Riscurilor/Audit. Bookmark the permalink.

6 Responses to COSO si Managementul Riscurilor

  1. Iulius says:

    Salut,

    ca idee in toate companiile unde am fost angajat si unde sunt angajat actual avem sistem inhouse implementate. De exemplu in telecom fiecare requirement era insotit de risk assestment, inca din faza de POC (prof of concept) se incerca analiza riskurilor iar implementarea proiectului se facea numai dupa ce toate paragrafele din documentul de risk assestment erau acoperite de solutii alternative.

    In compania actuala risk managementul face parte din viata de zi cu zi datorita domeniului. Lucrand intr-o companie ce furnizeaza software pentru procesarea cartilor de credit este o adevarata lupta pentru implementarea tuturor cerintelor de securitate iar analiza produselor se face zilnic pentru a imbunatati securitatea informatiilor din sisteme. Nu as putea zice ca aceasta lupta ne ajuta cu ceva, personal consider ca softul din domeniu bancar este mult mai prost conceput iar riscurile ar trebui evaluate mult mai profund la nivel de software development. Securitatea informatiei neinsotita de un bun process de risk management nu da rezultate reale ci mai degraba acopera goluri din sistem.

  2. dan says:

    LA ce o sa ne mai trebuiasca carti de credit? Cine beneficiaza de rezultatele implementarii acestor teorii? Faceti un studiu comparativ cu managementul japonez si o sa vedeti la ce ma refer!

  3. CORECȚIE:

    COSO nu este standard. Este “cadru de referinţă”. Standardele sînt mandatare, frameworkurile nu!

    • Termenologia in engleza este de Internal Controls Framework, iar in traducere conform disctionarului ar fi “structura” , “sistem de reguli”

      Cand am facut traducerea chiar m-am gandit care ar fi cel mai potrivit termen, printre optiuni era si cel de cadru dar mi s-a parut mai sugestiv cel de standard. Termenul de standard poate fi asimilat cu obligativitate dar are si inteles de tip, model, etalon, sablon.

  4. Fără a ajunge la polemică.

    “Frameworkul” este structură conceptuală de bază, minimală. Standardul impune.
    Chiar şi exprimările sînt diferite în limba engleză: unul spune că “ar trebui să” iar celălalt că “trebuie să”(should vs. shall)

    Poate părea lipsit de importanţă. Din păcate există riscul alterării semnificaţiei dincolo de cuvinte, aşa după cum “management review” a devenit la noi “analiza managementului” (oare ce semnfică “management analisys”) sau punerea semnului egal între “risk assessment” şi “risk evaluation”…

    Cu speranţa că nu am alterat esenţa postului.

  5. Pingback: 2010 in review « Alina Demeter's Blog

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s