coso – БАЗОВА КОНЦЕПЦИЯ ЗА ВЪТРЕШЕН …...Връзката между...
TRANSCRIPT
15
COSO – БАЗОВА КОНЦЕПЦИЯ
ЗА ВЪТРЕШЕН КОНТРОЛ
Комитетът на спонсориращите организации на комисията Treadway (Committee of Sponsoring Organizations of the Treadway Commission - COSO) е инициатива, инициирана от американския (САЩ) частен сектор през 1985 г.
Първоначално неговата главна цел е да идентифицира факторите, които са предпоставка и водят до подправяне на финансовата отчетност от страна на компаниите и да се разработят препоръки за намаляване на тези инциденти, които предизвикват несигурност, спад във доверието и като резултат цялостно влошаване на бизнес средата.
С течение на времето концепцията се развива в посока на разработване и установяване система от общи и универсални правила за управление и на бизнеса, и в момента COSO е общоприет модел за правене на бизнес, тъй като предоставя насоки и препоръки относно критичните аспекти на организационното управление, бизнес етиката, вътрешния контрол в организацията, управление на риска на предприятието (ERM), измамите и финансовата отчетност.
За целта COSO създава обща дефиниция за вътрешен контрол, стандарти и критерии, спрямо които компании и организации могат да оценят и усъвършенстват своите системи за контрол.
Оригиналната, базова структура на модела „Вътрешен контрол – интегрирана рамка“ (ICIF-Internal Control — Integrated Framework) на COSO е създадена през 1992 г., но с течение на времето се осъзнава необходимостта от нейното доработване и осъвременяване, в съответствие със съществено променилите се операционна и бизнес среда, които стават нарастващо комплексни, технологично ориентирани и глобални по обхват.
В отговор на новите предизвикателства, през 2013 г. COSO извършва усъвършенстване и преформатиране на модела, като в резултат на развитието на концепциите, разработени в оригиналния вариант, се предлага актуализирана рамка, съдържаща 17 принципа, разпределени в петте компонента на вътрешния контрол.
Дефиниция на вътрешен контрол Първостепенната цел на „Вътрешен контрол –
интегрирана рамка“ (ICIF) е да помогне на ръководството да контролира по-добре своята организация и да осигури на надзорните органи (напр. борда на директорите) допълнителни възможности за наблюдение и практическо осъществяване на вътрешен контрол.
Въвеждането на система за вътрешен контрол позволява на мениджмънта да се фокусира върху преследване и постигане от страна на организацията на нейните функционални и финансови цели като оперира в рамките на съответните законови изисквания и минимизира непредвидените ситуации и изненадите в процеса на решаване на тези задачи.
Вътрешният контрол позволява на организациите да се справят по-ефективно с променящата се икономическа и конкурентна среда, лидерството, приоритетите и развиващите се бизнес модели. Той предлага ефективност и ефикасност на операциите, поддържане на надеждна отчетност и съответствие на законите и регулациите.
Втората главна цел на ICIF е осигуряване на яснота и разбиране за вътрешния контрол чрез използване на общи определения и интегриране на различни концепции за вътрешен контрол в единна обща рамка, която дефинира неговите компоненти.
Тя е създадена с цел подпомагане на мениджмънта и други заинтересовани страни при оценка на ефективността на системата за вътрешен контрол и отчет на компанията.
На тази база в ICIF се прави обобщение и се дава следното определение за вътрешния контрол:
Вътрешният контрол е процес, осъществяван от борда на директорите, мениджмънта и друг персонал, създаден да осигури разумна степен на сигурност по отношение на постигане на целите на организацията в следните категории: Ефективност и ефикасност на операциите; Надеждност на отчетите; Съответствие с и прилагане на съществуващите
закони и регулации.
Тази дефиниция подчертава основните характеристики на вътрешния контрол: това е процес, съдържащ изпълнението на различни
задачи и дейности. Т.е. това е средство за постигане на една цел, а не самата цел.
осъществяван от хора. Това не е просто политика на ръководството, система или форма, а се отнася за хората от всички нива на организацията, които прилагат вътрешния контрол.
с възможности да осигури разумна степен на сигурност, не абсолютни гаранции, на висшето ръководство на компанията.
насочен към постигане на целите на организацията в една или няколко отделни, но частично припокриващи се категории.
приложим към структурата на компанията.
Процес. Вътрешният контрол не е единичен случай или обстоятелство, а динамичен и итеративен процес –действия, които обземат, проникват, разпространяват се във всички дейности на компанията и са в унисон с начина, по който ръководството управлява бизнеса.
Този процес обхваща политиките и процедурите, които осигуряват прилагането на контрола.
Чрез политиката ръководството декларира какво трябва да бъде извършено. Това изявление може да бъде оформено документално, изрично посочено в различни други управленски съобщения, или прилагано чрез управленските решения.
Процедурите представляват действия по прилагане на политиката.
Бизнес процесите, които се извършват в или през операционните единици или функционални области се управляват чрез фундаменталните управленски дейности на планирането, изпълнението и проверката, като вътрешният контрол е интегриран в тези процеси.
Вътрешният контрол е най-ефективен, когато е вграден в инфраструктурата на организацията и изпълняваните дейности.
Създаването на контроли в съществуващата система, или модифицирането на контролите навсякъде в организацията, директно въздейства върху нейните възможности да постигне своите цели, да поддържа качествени бизнес инициативи и има важно въздействие върху стойността на разходите.
Осъществяван от хора. Организацията се състои от хора, вътрешния контрол се създава от висшето ръководство, мениджмънта и останалия персонал.
Реализира се от хората в компанията чрез онова, което те правят или казват. Хората задават целите на организацията и прилагат контролните механизми на съответните места.
Но хората не винаги разбират, комуникират и изпълняват нещата последователно. Всеки индивид носи на работното си място своя индивидуален опит и технически възможности, има различни нужди и приоритети.
Посочените индивидуални различия могат да са сами по себе си стойностни и полезни за осигуряване на иновативност и производителност, но ако не бъдат правилно насочени за изпълнение на целите на организацията, те могат да бъдат контра продуктивни.
Хората трябва да са наясно със своите отговорности и ограниченията на своите правомощия и власт.
Съответно, трябва да съществува ясна и здрава връзка между задълженията на отделните служители, начина по който те ги изпълняват и тяхното съответствие на целите на организацията.
Осигурява разумна степен на сигурност. Ефективната система за вътрешен контрол осигурява на висшето ръководство разумна степен на сигурност относно постигането на целите на организацията.
Използването на термина „разумна степен на сигурност“ вместо „абсолютна сигурност“ позволява да се илюстрира осъзнаването на ограниченията на възможностите на системите за вътрешен контрол, поради което може да съществуват рискове и несигурност, които не могат да бъдат предвидени с достатъчна увереност и прецизност.
Абсолютна сигурност е невъзможна и не съществува.
Разумната степен на сигурност предполага, че организацията няма да може винаги да постига своите цели, кумулативният ефект на вътрешния контрол се изразява в увеличаване на вероятността за постигане на тези цели.
Но вероятността за постигане е зависима от съществуващите ограничения на системите за вътрешен контрол, като човешки грешки и присъщата несигурност на преценките.
Освен това, системата за вътрешен контрол може да бъде заобиколена или надхитрена от хора с престъпни или нечестни намерения, като допълнителна опасност за провал на системата може да предизвика възможното незачитане, неспазване или отмяна на контролите от страна на ръководството.
С други думи, дори една ефективна система за вътрешен контрол може да има провали и неуспехи.
Насочен към постигане на целите. Рамката ICIFпредлага три категории цели, които позволяват на организацията да се фокусира върху отделните аспекти на вътрешния контрол:
операционни цели – свързани с ефективността и ефикасността на операциите на организацията, включително изпълнение на функционалните и финансови цели и защита на активите от загуби.
цели на отчета – отнасят се до надеждност на отчетите, които включват вътрешни и външни финансови и нефинансови отчети.
цели на съответствието – свързани със спазване и прилагане на съществуващите закони и регулации, за които организацията е субект.
Тези различни, но частично припокриващи се категории – една отделна цел може да се намира в повече от една категория – са адресирани към различни нужди и могат да бъдат пряка отговорност за различни хора.
Те показват какво може да се очаква от системата за вътрешен контрол, а именно да осигури с разумна степен на сигурност постигането от организацията на онези цели, които се отнасят до надеждността на външните отчети и съответствието на законите и регулациите.
Постигането на тези цели, които са базирани като цяло на законите, правилата, или стандартите, установени от регулаторите, от признати стандартизационни организации и други външни партньори зависи от това, как се осъществяват дейностите по контрола в организацията.
Приложимост към структурата на компанията. Организациите могат да бъдат структурирани в различни дименсии – управленският операционен модел може да следва продуктова или сервизна линия; могат да бъдат представяни консолидирани отчети за цялата организация, или за подразделенията и операционни единици; с представяне на локалните пазари за отделните подразделения, или съвкупното изпълнение. Управленският модел също може да разчита на взаимоотношенията с външните партньори за подкрепа при постигане на целите.
Вътрешният контрол може да се прилага върху операционния модел на организацията на база управленски решения в контекста на правните и регулаторни изисквания.
Обзор на вътрешния контрол Организацията установява свои мисия, система от
стратегии и цели, които желае да постигне, и формулира планове за тяхното постигане.
Целите може да бъдат заложени за компанията като цяло, или да бъдат насочени към специфични дейности в организацията. Въпреки, че много цели са специфични за отделните организации, някои от тях са широко приложими и общовалидни.
Например, цели, общи за повечето организации са: устойчив растеж и стабилни успехи, осигуряване на надеждни отчети за заинтересованите страни, наемане и задържане на мотивирани и компетентни служители, постигане и поддържане на позитивна репутация в бизнес средите и сред общностите от потребители, съобразяване със законите и регулациите.
Средство за подкрепа на усилията на организацията за постигане на нейните цели е вътрешният контрол с неговите пет компонента (фиг. 38): среда на контрол оценка на риска контрол на дейностите информация и комуникация дейности по мониторинга
Тези компоненти на вътрешния контрол са релевантни към цялостната организация и към отделните ѝ нива и подразделения, или отделните операционни единици, функции или други нейни структурни елементи.
Фиг. 38: Куб на COSO – връзка между елементите на ICIF
Операции
Отчетност
Съответст
вие
Фун
кции
Нив
о ор
гани
заци
я
Под
разд
елен
ия
Опе
раци
онни
еди
ници
Среда на контрол
Оценка на риска
Контрол на дейностите
Информация и комуникация
Дейности по мониторинга
Взаимовръзка между цели, компоненти и елементи на организацията
Съществува директна връзка между цели, които представляват това, което организацията се стреми да постигне, компонентите, които представят какво е необходимо, за да се постигнат целите, с функционалните единици и други структури на организацията.
Връзката между тези елементи се визуализира с куба, показан на фиг. 38, като трите категории на целите са представени като колони, петте компонента на вътрешния контрол са редовете, а третата дименсия представлява организационната структура - на организацията като цяло, подразделенията, операционните единици, или функции, включващи бизнес процесите (напр. продажби, покупки, производство, маркетинг и т.н.), към които се отнася вътрешният контрол.
Вътрешният контрол е цялостен, динамичен и итеративен процес.
Например компонента на оценката на риска взаимодейства и влияе не само върху средата на контрола и контрола на дейностите, но може да разкрие съществуващи в организацията информационни и комуникационни нужди, или да въздейства на нейните мониторингови дейности.
Т.е. вътрешният контрол не е линеен процес, при който един компонент въздейства само на следващия, а е непрекъснат процес, при който всички компоненти си влияят взаимно.
Цели Ръководството определя целите на организационно
ниво, които съответстват на мисията, намеренията и задачите по създаване на стойност на организацията.
Тези цели на високо ниво отразяват избора на ръководството по отношение на начина, по който организацията ще създава, запазва и реализира стойност за заинтересованите страни.
Те могат да са базирани на уникалните операционни нужди на организацията, на законите, на регулациите и стандартите, наложени от външни партньори, или на някаква комбинация от всички тях.
Установяването на целите е необходимо условие за въвеждане на вътрешен контрол и ключова част от управленския процес, свързан със стратегическото планиране.
Като част от вътрешния контрол мениджмънтът специфицира целите, които се поставят така, че рисковете за постигането им да бъдат идентифицирани и оценени.
Специфицирането на целите е свързано с фокусиране върху такива техни характеристики като недвусмисленост, измеримост, постижимост, релевантност, граници във времето.
Служещите, които са част от процеса на вътрешен контрол е необходимо да разберат цялостната стратегия и система от цели на организацията.
Чрез специфициране на целите с подходяща степен на детайлизация, те се правят лесно разбираеми за хората, които работят за тяхното постигане.
Категории цели Операционни цели – свързани с постигането на
основната мисия на организацията –фундаменталната причина за нейното съществуване
Целите на ниво организация се подразделят на съответните подцели за операциите в подразделенията, операционните единици и функциите, което е насочено към увеличаване на ефективността и ефикасността при движението на компанията в посока постигането на крайната цел.
Операционните цели може да са свързани с подобряване на качеството (напр. намаляване на отпадъците и доработките), редуциране на разходите и времето за производство на единица продукция, увеличаване на удовлетвореността на потребителите и на служителите.
Цели на отчета – отнасят се за подготовката на надеждни отчети. Целите на отчета може да са свързани както с финансови, така и нефинансови, вътрешни или външни отчети.
Вътрешните отчети са зависими от съществуващите изисквания, формулирани в отговор на различни потенциални вътрешни нужди, като стратегически направления за организацията, оперативни планове, метрики за оценка на представянето на различните нива на компанията.
Външните цели на отчета са първостепенно обусловени от стандарти и/или регулации, установени от счетоводните органи, или от стандарти, създадени и прилагани от други организации.
Цели на съответствието – организациите трябва да осъществяват своите дейности, и понякога да предприемат специфични действия, в съответствие с приложимите закони и регулации.
При специфицирането на целите на съответствието е необходимо да се разбере и уточни кои закони и регулации са приложими за организацията.
По-голямата част от законите и регулациите като цяло са добре известни за организациите, например тези, отнасящи се за прилагане на вътрешния контрол при финансовите отчети и спазване на екологичните стандарти, но други могат да бъдат малко известни, като такива, отнасящи се за операции на компанията в чужди държави.
Компоненти на вътрешния контрол Рамката ICIF установява пет компонента на
вътрешния контрол и създава система от седемнадесет принципа (фиг. 39), представящи фундаменталните концепции, свързани с тях.
Тези принципи са приложими към всяка една от категориите от цели, както и към всяка отделна индивидуална цел в категориите. Изясняването на съдържанието на посочените седемнадесет принципа се осъществява с помощта на осемдесет и един атрибута (фокусни точки), които представят характеристиките, асоциирани с всеки от принципите.
Фиг. 39: Структурна схема на вътрешния контрол – компоненти и принципи
1. Ангажимент за почтеност и етични ценности2. Независимост на борда на директорите при надзора3. Структури, вериги на отчитане, власти и отговорности4. Привлича, развива и задържа компетентни хора5. Хората носят отговорност за вътрешния контрол
6. Определяне на ясни цели 7. Идентифициране на риска за постигане на целите 8. разглеждане на възможностите за измами 9. Идентифициране и анализ на значими изменения
10 Селектиране и развиване на контролни дейности11. Селектиране и развиване на общи ИТ контроли 12. Контроли, въведени чрез политики и процедури
13. Придобиване, генериране и използване на качествена информация14. Вътрешен обмен на информация за вътрешния контрол15. Външен обмен на информация за вътрешния контрол
16. Извършване на текущи и/или самостоятелни оценки17. Оценка и комуникиране за пропуските във вътрешния контрол
СРЕДА НА КОНТРОЛ
ОЦЕНКА НА РИСКА
КОНТРОЛ НА ДЕЙНОСТИТЕ
ИНФОРМАЦИЯ И КОМУНИКАЦИЯ
ДЕЙНОСТИ ПО МОНИТОРИНГА
КОМПОНЕНТИ
ПРИНЦИПИ
I. Среда на контрол Средата на контрол се реализира чрез мрежа от
стандарти, процеси и структури, които осигуряват базата за осъществяване на вътрешния контрол в организацията.
Бордът на директорите и висшето ръководство установява „тона на върха“ по отношение на значението на вътрешния контрол, включително очакваните стандарти на поведение. Ръководството затвърждава очакванията на различните нива на организацията.
Средата на контрол обхваща: почтеност и етични ценности на организацията; параметрите, позволяващи на съвета на директорите
да изпълнява своите задължения по надзора;
организационната структура и предоставянето на правомощия и власт;
процесите по привличане, развиване и задържане на компетентни служители;
взискателност по отношение на инициативите и на мерките за изпълнението, поощрения за управлението на отчетността за изпълнението.
В резултат средата на контрол оказва широко разпространено, всепроникващо въздействие върху системата на вътрешен контрол на организацията.
Следователно: Средата на контрол е фундаментален компонент на вътрешния контрол, намиращ се под въздействието на различни вътрешни и външни фактори, включващи историята на компанията, ценности, пазар, регулаторна и конкурентна среда.
Средата на контрол се определя чрез стандарти, процеси и структури, които ръководят хората от различните нива на организацията при изпълнението на техните отговорности по вътрешния контрол и вземането на решения за постигане на целите на компанията.
Средата на контрол създава дисциплина, която подпомага осъществяването на оценката на риска при постигането на целите на компанията, изпълнението на контролните дейности, използването на информационните и комуникационни системи и изпълнението на дейностите по мониторинга.
Организацията, която е внедрила и поддържа силни позиции по отношение на средата на контрол е по-гъвкава и адаптивна в реакциите си при изправяне пред вътрешен и външен натиск.
Принципи, отнасящи се за компонента „Среда на контрол“:
1. Организацията демонстрира ангажимент за почтеност и етични ценности.
Следните фокусни точки могат да помогнат на ръководството при оценката дали този принцип е представен и функционира: задаване на тон на върха. Бордът на директорите и
управлението на всички нива на организацията демонстрира чрез своите директиви, действия и поведение значението на почтеността и етичните ценности в подкрепа на функционирането на системата за вътрешен контрол.
установяване на норми на поведение. Очакванията на борда на директорите и висшето ръководство по отношение на почтеността и етичните ценности са дефинирани от компанията в стандартите за поведение и са разбрани от всички нива на организацията, от външните доставчици на услуги и бизнес партньорите.
оценка на спазването на нормите на поведение.Процесът се въвежда за да се извърши оценка на представянето на отделните служители и на екипите по отношение на очакванията на организацията за изпълнение на нормите на поведение.
своевременно посочване на отклоненията. Отклоненията от очакваните стандарти на поведение в организацията са идентифицирани и отстранени навреме по последователен начин.
2. Бордът на директорите демонстрира независимост от мениджмънта на организацията и упражнява надзор при разработването и изпълнението на системата за вътрешен контрол. Бордът на директорите, или подобен надзорен орган,
идентифицира и разбира очакванията на заинтересованите страни, включващи потребители, служители, инвеститори, и обществото като цяло, както и правните и регулаторните изисквания. Тези очаквания помагат за формулиране на целите на организацията и отговорностите на борда по надзора.
Фокусните точки за оценка на представянето и функционирането на този принцип са:
установяване на отговорностите по надзора. Бордът на директорите определя и приема своите задължения по надзора във връзка с установените изисквания и очаквания.
прилага съответен опит. Бордът на директорите определя, поддържа и периодично оценява уменията и опита, необходими на неговите членове, за да имат възможност да атестират висшето ръководство и да предприемат пропорционални действия.
функционира независимо. Бордът на директорите има достатъчно членове, които са независими от мениджмънта на организацията и са обективни при оценките и вземането на решения.
осигуряват надзор върху системата за вътрешен контрол. Бордът на директорите носи отговорността за надзора за разработване и изпълнение на вътрешния контрол от ръководството.
3. Ръководството, под надзора на борда, установява структурите, вериги на отчитане, подходящите органи за управление и техните отговорности при преследване на целите. Ръководството и бордът на директорите установяват
организационните структури и веригите на отчитане, необходими за планиране, изпълнение, контрол и периодично оценяване на дейностите на организацията.
Целта е да се осигурят ясни отговорности и отчетност и протичане на информацията в и през цялостната организация и нейните подразделения.
Релевантни фокусни точки: обсъждане на всички структури на организацията.
Ръководството и бордът на директорите разглежда множество структури, (включително функционални единици, юридически лица, географско разпределение, както и външни доставчици на услуги), използвани за подкрепа при постигане на целите.
установяване на веригите на отчитане. Ръководството проектира и оценява веригите за отчет за всяка структура на организацията, което позволява изпълнение на правомощията и отговорностите и протичане на информацията за управление на дейностите на компанията.
дефиниране, възлагане и лимитиране на правомощията и отговорностите. Ръководството и бордът на директорите делегират правомощията, дефинират отговорностите, използват подходящи процеси и технологии за възлагане на отговорностите, разпределят задълженията, ако е необходимо, между различните нива на организацията:
борд на директорите – запазва правомощията върху важните решения, прави преглед на назначенията на мениджърите и ограниченията на правомощията и отговорностите;
старши мениджъри – издават директиви и ръководства, наблюдават и контролират способностите на мениджърите и на служителите да разбират и изпълняват своите отговорности по вътрешния контрол;
мениджъри - ръководят и улесняват изпълнението от организацията и нейните подразделения на директивите на висшето ръководство;
персонал - разбира и осъзнава: стандартите за поведение на организацията, оценява рисковете за постигане на целите и свързаните с тях контролни дейности на съответните нива на организацията; очакваната информация и комуникационен поток; осъществяваните мониторингови дейности, отнасящи се за степента на постигане от тяхна страна на целите на организацията.
външни доставчици на услуги – придържат се към определения от ръководството обхват на правомощия и отговорности за всички, които не са служители и които са ангажирани и наети за осъществяване на дейности на организацията.
4. Организацията демонстрира ангажимент за привличане, развитие и задържане на компетентните лица за осигуряване изпълнение на целите си.
Следните фокусни точки могат да помогнат на ръководството при оценката дали този принцип е представен и функционира: установяване на политики и практики. Политиките
и практиките отразяват очакванията на организацията за наличие на необходимата компетентност за постигане на целите.
оценка на компетентностите и адресиране на недостатъците. Бордът на директорите и ръководството оценяват компетентността в цялата организация и на външните доставчици на услуги във връзка с установените политики и практики, и действат, когато и както е необходимо за преодоляване на недостатъците.
привличане, развитие и задържане на хората. Организацията осигурява наставничество и обучение, необходими за привличане, развитие и задържане на достатъчно компетентен персонал и на външни доставчици на услуги, което позволява постигане на целите.
планиране и подготовка за заместване и наследяване. Висшето ръководство и съветът на директорите развиват планове за възлагане на важните отговорности за вътрешния контрол при извънредни ситуации.
5. Организацията трябва да търси отговорност от служителите за изпълнение на техните задължения по вътрешния контрол при постигане на целите.
Фокусните точки за оценка на представянето и функционирането на този принцип са: налага спазването на отчетността чрез
структури, правомощия и отговорности. Ръководството и бордът на директорите установяват за цялата организация механизми за комуникация и за търсене на отговорност от служителите за изпълнение на задълженията им по вътрешния контрол и за прилагане на коригиращи действия при необходимост.
установява мерки за оценка на представянето, стимули и награди. Ръководството и бордът на директорите установяват мерки за изпълнение, стимули и други награди, подходящи за отговорностите на всички нива в организацията, отразяващи съответното ниво на изпълнение и придържане към очакваните стандарти на поведение, като се има предвид степента на постигане както на краткосрочните, така и на дългосрочните цели.
оценява текущото съответствие на мерки за представянето, стимули и награди. Ръководството и бордът на директорите привеждат стимулите и наградите в съответствие с изпълнението на задълженията по вътрешния контрол и постигането на целите.
решение за засилен натиск. Ръководството и бордът на директорите оценяват и коригират натиска, свързани с постигането на целите, тъй като те разпределят отговорностите, разработват на мерките за изпълнение, и извършват оценка на ефективността.
оценява изпълнението и награждава или наказва служителите. Ръководството и бордът на директорите оценяват изпълнението на отговорностите по вътрешния контрол, включително придържане към стандартите на поведение и очакваните нива на компетентност, и предоставят награди или упражняват дисциплинарни действия по целесъобразен начин.
II. Оценка на риска Всяка организация е подложена на въздействието на
различни рискове от външни и вътрешни източници. Рискът се дефинира като вероятност да се случи дадено събитие с неблагоприятен ефект върху постигане на целите.
Оценката на риска представлява динамичен итеративен процес по неговото идентифициране и оценка по отношение постигане на целите на организацията, в съответствие с установените толеранси на риска.
По този начин оценката на риска формира базата за определяне на подходите за неговото управление. Основната предпоставка за оценка на риска е определянето на цели, свързани с различни нива на организацията.
Ръководството специфицира целите в категории, отнасящи се за операциите, отчетите и съответствието с достатъчна яснота така, че да бъде възможно да бъде идентифициран и анализиран риска за тези цели, като същевременно се държи сметка дали тези цели са подходящи за организацията.
Оценката на риска изисква също от ръководството да разглежда и анализира въздействията на възможни промени във външната среда и в рамките на собствения бизнес модел на организацията, които могат да направят вътрешния контрол неефективен.
Принципи, отнасящи се за компонента „Оценка на риска“:
6. Организацията определя цели с достатъчна яснота, за да позволи идентификацията и оценка на рисковете, свързани с тях.
Фокусните точки, които позволяват на ръководството да прецени дали този принцип е представен и функционира, са: съответствие на приложимите счетоводни
стандарти. Целите на финансовия отчет се състоят от счетоводни принципи, които са подходящи и достъпни за организацията, т.е. подбират се принципи в съответствие с наличните условия.
съобразяване със значимостта. При представяне на финансовите отчети ръководството разглежда важността им по отношение на неговите цели, като се имат предвид както количествени, така и качествени фактори, такива като: потребители на отчетите (напр. акционери, кредитори, доставчици, служители и т.н), размер на елементите на финансовия отчет (настоящи активи и задължения, приходи и т.н.), тенденции (за приходи, печалба, паричен поток).
отразяват дейностите на организацията. Ръководството на организацията, в сътрудничество с одиторите, разглежда обхвата на дейностите и преценява дали всички съществени дейности са подходящо отразени във финансовите отчети. Ръководството обсъжда и преценява, дали представените финансови отчети дават възможност на заинтересованите потребители да разберат същността на сделките и събитията.
7. Организацията идентифицира рисковете за постигане на своите цели и ги анализира от гледна точка на определяне на подходите и начините за тяхното управление Идентифицирането на рисковете е непрекъснат
итеративен процес, реализиран за да се увеличи способността на организацията да постигне своите цели.
Независимо, че организацията може да не е формулирала и заявила изрично някои от своите цели, това не означава че те, заявени или предполагаеми, не са подложени на вътрешни и външни рискове.
Идентифицирането на рисковете трябва да бъде всеобхватен процес и да се отнася за всички значими взаимодействия – на продукти, услуги и информация –вътрешни за организацията и външни, между нея и съответните външни партньори.
Следните фокусни точки могат да помогнат на ръководството при оценката дали този принцип е представен и функционира: включва организацията, подразделенията,
операционните единици и функционалните нива.Идентифицира се и се оценява риска за организацията като цяло и за всички нейни нива и структурни единици от гледна точка на постигане на целите.
анализ на вътрешните и външните фактори. Идентифицирането на рисковете се отнася за вътрешни и външни фактори и тяхното въздействие върху изпълнение на целите.
ангажиране на подходящи нива от ръководството. Организацията прилага подходящи механизми за ефективна оценка на риска, които ангажират съответните нива от ръководството.
оценка на значимостта на идентифицирания риск. Идентифицираните рискове се анализират чрез процес, който включва оценка на потенциалната значимост на риска.
определяне на отговорите на рисковете. Оценката на риска включва решение как би трябвало да бъде управляван и как да се процедира с него -дали да бъде приет, избегнат, редуциран или споделен.
Всеки отговор на специфичен риск попада в една от следните категории: приемане – не се предприемат действия, оказващи
влияние върху вероятността или възможното въздействие на риска.
избягване – прекратяване на дейностите, предизвикващи нарастване на риска. Те могат да включват излизане от продуктова линия, прекратяване на разширяването на дейностите на даден пазар, продажба или преструктуриране на подразделение.
редуциране – предприемане на действия, намаляващи вероятността или възможното въздействие на риска. Включват множество всекидневни бизнес решения.
споделяне – намаляване на вероятността или възможното въздействие на риска чрез неговото трансфериране или чрез разпределяне на части по друг начин (застраховане, аутсорсване на дейности и т.н.).
8. Организацията разглежда възможностите за измами при оценката на риска и тяхното влияние при постигане на целите Процесът по оценка на риска включва оценяване от
страна на ръководството на риска, свързан с опазване на активите на организацията и опасността от фалшифициране на отчетите.
В допълнение е необходимо да бъдат разгледани възможностите за актове на корупция както за вътрешния персонал, така и за външните партньори, което би се отразило върху възможностите на организацията да постигне своите цели.
Фокусни точки могат да бъдат: разглеждане на различните типове измами.
Оценката на измамите включва докладване на случаите на измама, възможната загуба на активи, възможности за корупция, произтичащи от различните начини, по които могат да се проявят измамите и неправомерното поведение.
оценка на рисковите фактори. Разглеждат се и се оценяват тези фактори в организацията, които могат да предизвикат загуба на активи и съответното им въздействие върху операционните цели, целите на отчета и на съответствието.
оценка на стимулите и натиска. Основен елемент на оценката на риска от измами е обсъждане и определяне на стимулите и натиска срещу неправомерно поведение.
оценка на възможностите. Оценката на риска от измами разглежда възможностите за неоторизирано придобиване, използване или разпореждане с активи подправяне на документите за отчитане на организацията, или извършване на други неправомерни действия.
оценка и рационализиране на нагласите (атитюдите). Оценката на риска от измами разглежда възможностите ръководителите и служителите да бъдат въвлечени в, или да приемат неправомерни действия.
9. Организацията идентифицира и оценява промените, които биха могли да имат значимо въздействие върху системата за вътрешен контрол Когато се променят икономическата, индустриалната и
регулаторната среди, трябва да се променят, еволюират и адаптират обхватът и естеството на лидерството, приоритетите, бизнес моделът, организацията, бизнес процесите и дейности.
Вътрешният контрол, който е бил ефективен при едни условия може да загуби част от своята ефективност при значителни промени на тези условия. Като част от оценката на риска ръководството идентифицира промените, които могат да окажат значително въздействие на системата за вътрешен контрол на организацията и предприема необходимите действия.
Фокусни точки за реализация на принципа: оценка на промените във външната среда. В
процеса по идентифициране на риска се включва разглеждане на промените в регулациите, икономиката и физическата среда в която оперира организацията.
оценка на промените в бизнес модела. Разглеждат се потенциалното въздействие на новите бизнес линии, когато има драматично променен състав на съществуващите бизнес линии, при придобиване или продажба на бизнес операции от системата за вътрешен контрол, при бърз растеж или промени, дължащи се на нови географски или технологични фактори.
оценка на промените в лидерството. Организацията разглежда промените в ръководството и съответните нагласи, поведение и философии в системата за вътрешен контрол.
III. Контрол на дейностите „Контрол на дейностите“ са действия, регламентирани
чрез политиките и процедурите, които осигуряват изпълнение на директивите на ръководството за намаляване на риска.
Контролните дейности се изпълняват на всички нива на организацията, през различни стадии на бизнес процесите с използване на технологичната среда. Те могат да са превантивни или разкриващи по природа и да обхващат широка гама от ръчни и автоматизирани дейности, такива като разрешения и одобрения, проверки, сравнения, прегледи на бизнес резултатите.
Разпределението на задълженията обикновено е представено при селекцията и развитието на контролните дейности.
В „Контрол на дейностите“ са включени принципите:10. Организацията селектира и развива контролни
дейности, които допринасят за намаляването на рисковете за осъществяване на целите до допустими нива. Контролните дейности поддържат всички компоненти на
вътрешния контрол, но са особено свързани с компонента „Оценка на риска”.
Едновременно с оценката на риска ръководството идентифицира и прилага дейности, които са необходими като ефективен отговор на специфичния риск.
Естеството и обхвата на отговора на риска и асоциираните с него контролни дейности зависят, най-малкото частично, от желаното от ръководството ниво на риска или възможното намаляване на последствията от риска до допустимо ниво.
Фокусни точки, показващи принцип е представен и функционира: интегриране с „Оценка на риска”. Контролните
дейности представляват отговор на риска, те помагат да се гарантира, че е извършено адресиране и намаляване на риска.
съобразяване със специфичните за организацията фактори. Ръководството разглежда и определя как средата, комплексността, естеството и обхвата на операциите, а също така и характеристиките на организацията, оказват въздействие върху подбора и развитието на контролните дейности.
определяне на съответните бизнес процеси. Ръководството определя релевантните бизнес процеси, които изискват контролни дейности.
оценка на съвкупността от типовете контролни дейности. Контролните дейности съдържат различни по обхват и степен контроли, като се балансират подходите за намаляване на рисковете, разглежда се едновременно прилагане на ръчни и автоматизирани контроли, на превантивни и разкриващи контроли.
разглеждане на дейностите, които се прилагат на отделните нива. Ръководството разглежда контролните дейности за различните нива на организацията.
адресиране при разпределение на задълженията.Ръководството разделя несъвместимите задължения, а където това разделяне не е практично, селектира и развива алтернативни контролни дейности.
11. Организацията селектира и разработва общи контролни дейности върху технологиите, за да подкрепи постигането на целите си. Надеждността на технологиите за реализация на
бизнес процесите, включително автоматизираните контроли, зависи от наличието и правилното функциониране на общите контролни дейности по отношение на технологиите.
Могат да бъдат формулирани следните фокусни точки за функциониране на принципа:
определяне на зависимостта между използване на технологиите в бизнес процесите и общите технологични контроли. Ръководството разбира и определя зависимостта и взаимосвързаността между бизнес процесите, автоматизираните контролни дейности и общите технологични контроли.
установяване на контролни дейности, релевантни на технологичната инфраструктура.Ръководството селектира и развива контролни дейности върху технологичната инфраструктура, които са проектирани и внедрени за гарантиране на комплектността, прецизността и достъпността на технологиите при обработка на информацията.
установяване на контролни дейности, релевантни на процесите по управление на сигурността. Ръководството селектира и развива контролни дейности, които са проектирани и внедрени за ограничаване на правата за достъп до технологиите на оторизираните потребители до нива, съизмерими с техните служебни отговорности и които осигуряват защита на активите на организацията от външни заплахи.
установяване на контролни дейности, релевантни на процесите по придобиване, развитие и експлоатация на технологиите.Ръководството селектира и развива контролни дейности за придобиване, развитие и експлоатация на технологиите и тяхната инфраструктура за да осигури постигане на своите цели.
11. Организацията въвежда контролните дейности чрез политики, които да установят какво се очаква и процедури, които привеждат политиките в действие.
Фокусните точки на принципа са: установяване на политики и процедури, за
подпомагане на прилагането на директивите на ръководството. Ръководството въвежда контролни дейности, които са вградени в бизнес процесите и всекидневните дейности на служителите чрез политики, които регламентират какво се очаква, и чрез съответните процедури, определящи действията.
установяване на отговорност и отчетност за изпълнение на политиките и процедурите. Ръководството въвежда отговорност и отчетност за контролните дейности заедно с мениджърите (или други упълномощени лица от персонала) на бизнес единиците или на функциите, в които се намират съответните рискове.
своевременно изпълнение. Отговорният персонал изпълнява контролните дейности своевременно, както са дефинирани в политиките и процедурите.
предприемане на коригиращи действия.Отговорният персонал разследва и предприема действия по проблемите, идентифицирани в резултат на изпълнението на контролните дейности.
дейности, изискващи компетентен персонал.Компетентният персонал, притежаващ достатъчно правомощия, осъществява контролните дейности със старание и постоянно внимание.
преоценка на политиките и процедурите.Ръководството периодически прави преглед на контролните дейности за определяне на степента на тяхното съответствие и ги обновява в случай на необходимост.
IV. Информация и комуникация Информацията е необходима на организацията за
изпълнение на отговорностите по вътрешния контрол в подкрепа на постигане на нейните цели.
Ръководството получава или генерира и използва релевантна и качествена информация от вътрешни и външни източници, което подпомага функционирането на останалите компоненти на вътрешния контрол.
Комуникацията е непрекъснат, итеративен процес на предоставяне, споделяне и получаване на необходимата информация.
Вътрешната комуникация е начинът по който информацията се разпространява, протичайки във всички посоки в организацията. Тя позволява персоналът да получи ясно послание от висшето ръководство, че отговорностите за контрола трябва да бъдат взети на сериозно.
Външната комуникация е двупосочна: позволява разпространение на релевантната външна информация в организацията и осигурява информация за външните партньори в отговор на техните изисквания и очаквания.
„Информация и комуникация“ съдържа принципите:13. Организацията получава или генерира и
използва релевантна и качествена информация за подпомагане функционирането на другите компоненти на вътрешния контрол.
Фокусни точки за реализация на принципа: идентифициране на изискванията към
информацията. Процесът се реализира за да се определи необходимата информация за подпомагане на функционирането на другите компоненти на вътрешния контрол при постигане на целите на организацията.
намиране на вътрешни и външни източници на данни. Задача на информационните системи е идентифицирането на вътрешни и външни източници на данни.
процес на трансформиране на данните в информация. Информационните системи обработват и преобразуват съответните данни в информация.
поддържане на качеството на обработка на информацията. Информационните системи произвеждат информация, която е навременна, точна, прецизна, пълна, достъпна, защитена и проверима. Информацията се проверява, за да се оцени нейното съответствие с нуждите за поддържане на другите компоненти на вътрешния контрол.
разглеждане на разходите и ползите. Естеството, количеството и точността на течащата в организацията информация трябва да е съизмерима с, и да подкрепя постигането на целите.
14. В организацията се извършва вътрешен обмен на информация, включително за целите и отговорностите, свързани с вътрешния контрол, необходима за подпомагане функционирането на другите компоненти на вътрешния контрол.
Фокусни точки на функциониране на принципа са: обмен на информация за вътрешния контрол.
Процес, чрез който се осигурява протичане в организацията на необходимата информация, за да се даде възможност на всички служители да разберат и изпълняват своите отговорности по вътрешния контрол.
комуникация с борда на директорите. Трябва да съществува комуникация между ръководството на организацията и борда на директорите, така че и двете страни да имат необходимата информация за да изпълняват своите задължение в съответствие с целите на организацията.
осигуряване на отделни линии за комуникация. Отделните канали за комуникация, като например „гореща линия” за подаване на сигнали, се създават за да служат като механизъм за защита от грешки и провали чрез осигуряване на анонимна или конфиденциална комуникация, в случай че нормалните канали са нефункциониращи или неефективни.
избор на релевантен метод на комуникация. Методът на комуникация се определя от синхронизацията, аудиторията и характера на информацията.
Методът на комуникация е особено важен от гледна точка на осигуряване на яснота и ефективност при предаване на информацията и за гарантиране, че съобщенията се получават така, както е предвидено. Активните форми на комуникация, като срещите лице в лице, много често са по-ефективни от пасивните, като публикуване на съобщения по вътрешната мрежа или изпращане на имейли.
15. Организацията комуникира с външните си партньори по въпросите, засягащи функционирането на другите компоненти на вътрешния контрол. Организацията установява и прилага политики и
процедури, които улесняват осъществяването на ефективна външна комуникация.
Със създаването на двупосочен канал за външна комуникация се предава, от една страна, важна информация на външните партньори за целите на организацията. От друга страна, се създава механизъм за получаване на информация за и от външните партньори, позволяваща на ръководството и на персонала да идентифицират и проследяват тенденции, събития или обстоятелства, които могат да окажат влияние при постигане на целите.
Фокусните точки, които могат да помогнат на ръководството при оценката дали този принцип е представен и функционира са: комуникация с външни лица. Процесът се прилага за
осигуряване на релевантна и навременна информация за външните лица, включващи собственици, партньори, заинтересовани страни, регулатори, потребители, финансови анализатори и др.
осигуряване на входяща комуникация. Отворените комуникационни канали позволяват получаване на входяща информация от клиенти, потребители, доставчици, външни одитори, регулатори, финансови анализатори, и други, което осигурява на ръководството на организацията и на борда на директорите релевантна информация.
комуникация с борда на директорите. Релевантната информация, резултат от оценките на външните партньори се предоставя на борда на директорите.
осигуряване на отделни линии за комуникация. Отделните канали за комуникация се създават за да служат като механизъм за защита от грешки и провали чрез осигуряване на анонимна или конфиденциална комуникация, в случай че нормалните канали са нефункциониращи или неефективни.
избор на релевантен метод на комуникация. Методът на комуникация се определя от синхронизацията, аудиторията и характера на информацията, както и от правните, регулаторни и поверителни изисквания и очаквания.
V. Дейности по мониторинга Текущите оценки, самостоятелните оценки, или
някаква комбинация от двете се използват, за да се установи дали всеки един от петте компонента на вътрешния контрол, включително контролите за осъществяване на принципите в рамките на всеки компонент, са представени и функционират.
Констатациите от оценките се анализират на база на критерии, определени от регулаторните органи, от органи, установяващи и прилагащи стандарти или по критерии на ръководството, като слабостите и пропуските, в зависимост от техния характер, се съобщават на ръководството и/или на борда на директорите.
Този компонент обхваща следните принципи:
16. Организацията селектира, разработва и изпълнява текущи и/или самостоятелни оценки за да се установи дали компонентите на вътрешния контрол съществуват и функционират. Мониторингът може да бъде извършван по два начина:
чрез текущи оценки или самостоятелни оценки, или някаква комбинация между двете.
Текущите оценки като цяло са дефинирани, рутинни операции, вградени в бизнес процесите, които се изпълняват в реално време като реакция на променящите се условия.
Самостоятелните оценки се осъществяват периодично, по усмотрение на ръководството, и се извършват от целеви управляващ персонал, вътрешни одитори или външни партньори.
Могат да бъдат формулирани следните фокусни точки за реализация на принципа: обмисляне на съвкупност от текущи и
самостоятелни оценки. Управлението включва балансирана система от текущи и самостоятелни оценки.
разглеждане на степента на промяна. Ръководството разглежда степента на промяна на бизнеса и бизнес процесите, когато селектира и разработва текущи и самостоятелни оценки.
установяване на изходно ниво на разбиране. Проектираното и настоящото състояние на системата на вътрешен контрол се използват за установяване на изходно ниво текущите и самостоятелни оценки.
използване на добре информиран персонал. Оценителите, които извършват текущите и самостоятелни оценки притежават достатъчно знания, за да разбират какво се оценява.
интегриране в бизнес процесите. Текущите оценки са вградени в бизнес процесите и са приспособени към променящите се условия.
коригиране на обхвата и честотата. Ръководството променя обхвата и честотата на самостоятелните оценки в зависимост от риска.
обективно оценяване. Самостоятелните оценки се извършват периодично, за да осигурят обективна обратна връзка.
17. Организацията оценява и комуникира своевременно за пропуските във вътрешния контрол с лицата, отговорни за предприемане на коригиращи действия, включително висшето ръководство и борда на директорите, когато е уместно. С извършване на дейностите по мониторинга,
организацията идентифицира въпросите, нуждаещи се от внимание.
Те представляват реални или потенциални недостатъци в някои аспекти на системата за вътрешен контрол, които могат да предизвикат потенциален вреден ефект на способностите на организацията да постигне своите цели и се квалифицират като пропуски.
В допълнение, организацията може да разкрие възможности за подобряване на ефективността на вътрешния контрол.
Основните фокусни точки на функциониране на принципа са: оценка на резултатите. Ръководството и борда на
директорите оценяват резултатите от текущите и самостоятелните оценки.
съобщаване за пропуските. Пропуските се съобщават на лицата, отговорни за предприемане на коригиращи действия, включително на ръководство и борда на директорите, когато е необходимо.
мониторинг на коригиращите действия.Ръководството контролира дали пропуските са отстранени своевременно.
Ползи и разходи за вътрешния контрол Ползи
Вътрешният контрол предлага множество и разнообразни ползи за организацията. Той осигурява за ръководството и борда на директорите допълнителна увереност във възможностите за постигане на целите, представлява обратна връзка за формиране на представа и разбиране как функционира бизнесът, позволява да се увеличи предвидимостта и да се редуцират изненадите.
Най-съществените ползи, предлагани от един ефективен вътрешен контрол са: осигуряване на релевантна и надеждна информация
като помощ при приемане на решения от ръководството по такива въпроси като ценообразуване на продуктите, инвестиране на капитал, разпределение на ресурсите.
съдържа механизми за осъществяване на транзакциите, за поддържане на качество на информацията и комуникацията ѝ в организацията, осигурява скорост и надеждност на иницииране и осъществяване на транзакциите, осигурява надеждно съхранение на записите и непрекъснат интегритет на данните.
увеличава ефективността на функциите и процесите. осигурява строго придържане към фактите, които са
причина и база за вземане на решения при важни ситуации, когато е необходима субективна, но реална и точна преценка.
предлага възможности за осигуряване на прецизна и сигурна информация за представянето на бизнеса при комуникацията с бизнес партньорите и потребителите, които способстват за продължаване и подобряване на бизнес отношенията.
Разходи Организациите винаги имат ограничения за техните
човешки и капиталови ресурси, които ги принуждават постоянно да се съобразяват със стойността на разходите по отношение на ползите на алтернативните подходи при прилагане и управление на вътрешния контрол.
Най-важните съображения на ръководството при оценка на различните фактори на разходите по отношение на очакваните ползи от въведените вътрешни контроли се свеждат до:
компромис между желанието и нуждата да се наемат и задържат служители с по-висока степен на компетентност и съответните по-високи разходи. Това особено се отнася за по-малките и с по-малки финансови възможности компании.
оценка на усилията, необходими за селектиране, разработване и прилагане на контролни дейности; допълнителните затруднения, които тези дейности предизвикват при изпълнение на бизнес процесите; допълнителните усилия, необходими за поддържане и актуализиране, когато е необходимо, на контролните дейности.
оценка на въздействието от засилване на зависимостта от технологиите. В някои случаи усилията за изпълнение на контролите и въздействието на допълнителните, базирани на технологиите контроли, върху бизнес процесите е сравнително малки, но разходите, асоциирани с избор, разработване, поддържане и обновяване на технологиите може да са значителни.
разбиране, че промените в изискванията за необходимата информация могат да предизвикат експоненциално нарастване на обема на събираните данни, обработката и съхранението на информацията.
Наличието на големи масиви от данни може да предизвика в организацията информационно претоварване и да я изправи пред предизвикателството да не може да осигури управлението на потоците от информация –правилната информация, в правилната форма, с подходяща степен на детайлизация, да достига до правилните хора в правилното време.
Документация Организациите разработват и поддържат
документация за създадения вътрешен контрол поради множество различни причини. Една от тях е изясняване на ролите и отговорностите, което насърчава систематичността и последователността при прилагане на желаните практики по управление на бизнеса.
Ефективната документация подпомага комуникацията при уточняване и изясняване на това кой, какво, кога и защо изпълнява при реализацията на вътрешния контрол, създава стандарти и очаквания за управление и изпълнение.
Друга цел на документацията е да съдейства за обучението на новоназначен персонал и да предлага механизми за преподготовка и повишаване на квалификацията на другите служещи.
Документацията осигурява също доказателства за изпълнение на дейностите, които са част от системата за вътрешен контрол, дава възможност за осъществяване на правилен мониторинг, подпомага осигуряване на ефективност при създаване на отчетите за вътрешния контрол, в частност при представянето им на външни партньори, като регулатори, одитори или потребители.
Ръководството трябва да определи какъв обем документация е необходим за осъществяване на оценката а вътрешния контрол.
Документацията за вътрешния контрол трябва да отговаря на нуждите на бизнеса (в по-малките компании има по-малко служещи, повече непосредствени работни отношения между тях, съответно имат по-малка нужда от документиране) и да съответства на обстоятелствата. Обхватът на документацията, определен така, че да подпомага създаването и ефективното функциониране на петте компонента на вътрешния контрол, е въпрос на преценка на ръководството, като основното съображение е осигуряване на рентабилност чрез съотношението ползи – разходи.
Ограничения на вътрешния контрол Вътрешният контрол, без значение колко добре е
проектиран и функционира, може да предостави само разумна степен на сигурност на висшето ръководство за постигане на целите на организацията.
Влияние върху вероятността за постигането им оказват ограниченията на системата за вътрешен контрол. Те са разнообразни и могат да се отнасят до погрешна преценка на хората, вземащи решения, или провали и неуспехи, случващи се поради невнимание или грешки на персонала.
Допълнително, установените контроли може да бъдат преодолени от злонамерени лица или поради незачитане и неспазване на изискванията на системата за вътрешен контрол от ръководители или служители.
Разглеждането на ограниченията на вътрешния контрол трябва да се извършва на базата на две различни концепции: първо, дори ефективният вътрешен контрол
функционира на различни нива за различните цели. За цели, отнасящи се за ефективността и ефикасността на операциите на организацията –постигане на базовата мисия, реализиране на печалба, и др. подобни - вътрешният контрол помага за постигане на осведоменост на ръководството за постигнатия прогрес от организацията, или за липсата на такъв.
Но той не може да осигури дори разумна степен на сигурност, че целите сами по себе си ще бъдат постигнати.
второ, по принцип вътрешният контрол не може да даде абсолютни гаранции за която и да е от трите категории цели.
Първият вид ограничения се дължи на разбирането, че някои събития или обстоятелства са просто извън контрола на ръководството.
Вторият вид ограничения се базират на разбирането, че не съществува система, която да функционира точно по начина, който са имали предвид създателите ѝ. В най-добрият случай, това което може да се очаква и да се постигне от една система за вътрешен контрол е получаване на разумна степен на сигурност.
КРАЙ