Модель COSO включает в себя несколько основных положений:

• Внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель.
• Внутренний контроль зависит от людей. Он представляет собой не только политики, руководства и формы, но и людей на всех уровнях организации.
• Внутренний контроль может обеспечить руководству и Совету компании лишь достаточную уверенность, но не абсолютные гарантии,
• Внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Определение внутреннего контроля и целей модели
Модель COSO определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и остальным персоналом компании, предназначенный для обеспечения «разумной уверенности» касательно достижения целей в следующих категориях:

• Эффективность и продуктивность операций
• Надежность финансовой отчетности
• Соблюдение законов и правил.

Пять компонентов модели
Модель внутреннего контроля, предложенная COSO, состоит из пяти взаимосвязанных компонентов, происходящих из способов управления бизнесом. Согласно COSO, эти компоненты обеспечивают эффективную основу для описания и анализа системы внутреннего контроля осуществляемой в организации в соответствии с требованиями финансового регламента. Пять компонентов включают в себя:

Контрольная среда: Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру. К факторам контрольной среды относятся целостность, этические ценности, стиль работы руководства, система делегирования полномочий, а также процессы управления и развития персонала в организации.

Оценка рисков: каждая организация сталкивается с различными рисками от внешних и внутренних источников, которые должны быть оценены. Предварительным условием для оценки риска является определение целей, поэтому оценка риска подразумевает выявление и анализ соответствующих рисков связанных с достижением установленных целей. Оценка риска является необходимым условием для определения того, как необходимо управлять рисками.

Средства контроля: Средства контроля представляют собой внутренние документы и процедуры, которые помогают менеджменту реализацию своих решений. Они помогают обеспечить совершение необходимых действий, для устранения рисков, которые могут помешать организации достижению её целей. Средства контроля осуществляются в рамках всей организации, на всех её уровнях и во всех функциях. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, безопасности активов и разделению обязанностей.

Информация и коммуникация: Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности и соблюдению процедур и законодательства, которая позволяет развивать и управлять бизнесом. В более широком смысле, эффективная коммуникация должна обеспечить информационные потоки вниз, и вверх во всей организации. Например, типовые процедуры для сообщения сотрудниками подозрений в мошенничестве. Эффективная коммуникация, по вопросам связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.

Мониторинг: Система внутреннего контроля, требует мониторинга — процесса оценки качества работы системы в течение промежутка времени. Это достигается путем постоянного мониторинга деятельности или отдельных оценок. Недостатки внутреннего контроля, выявленные в ходе таких контрольных мероприятий следует доводить до сведения руководства и устранять для обеспечения непрерывного совершенствования системы.

Концептуальные основы управления рисками организаций (ERM COSO)

Обычно Концептуальные основы управления рисками организаций представляются в виде «Магического куба ERM COSO», показывающего взаимосвязь Целей (верхняя грань куба), Компонентов (горизонтальные ряды) и Подразделений организации (вертикальные ряды) В 2001 году COSO инициировал проект по разработке концептуальных основ управления рисками для использования менеджментом компаний при оценке системы управления рисками и ее дальнейшем усовершенствовании.

«Концептуальные основы внутреннего контроля» продолжает выступать в качестве общепринятого стандарта при выполнении данных требований к предоставлению отчетности, однако в 2004 COSO публикует «Концептуальные основы управления рисками организаций». COSO считает, что эта модель продолжает рассмотрение вопросов внутреннего контроля, при этом акцент делается на более широком понятии управления рисками.

Четыре категории бизнес-задач

Концептуальная основа управления рисками организаций по-прежнему направлена на достижение целей организации; однако теперь включает четыре категории:

• стратегические цели (strategic) — цели высокого уровня, соотнесенные с миссией/видением организации;
• операционные цели (operations) — эффективное и результативное использование ресурсов;
• цели в области подготовки отчетности (reporting) — достоверность отчетности;
• цели в области соблюдения законодательства (compliance) — соблюдение применимых законодательных и нормативных актов.

Восемь компонентов модели

Восемь компонентов управления рисками включают предыдущие пять компонентов Концептуальных основ внутреннего контроля расширенных для удовлетворения растущего спроса на управление рисками:

Внутренняя среда (Internal environment). Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации, и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют.

Постановка целей (Objective setting). Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее риск-аппетита.

Определение событий (Event identification). Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

Оценка рисков (Risk assessment). Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска.

Реагирование на риск (Risk response). Руководство выбирает метод реагирования на риск — уклонение от риска, принятие, сокращение или перераспределение риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации.

Средства контроля (Control activities). Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

Информация и коммуникации (Information and communication). Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.

Мониторинг (Monitoring).Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.