System kontroli wewnętrznej zgodny z COSO – czym jest i jak go wdrożyć?

HomeResourcesArtykułySystem kontroli wewnętrznej zgodny z COSO – czym jest i jak go wdrożyć?

System kontroli wewnętrznej zgodny z COSO to sprawdzony standard zarządzania ryzykiem i kontroli, który wspiera organizacje w budowaniu bezpiecznych, transparentnych oraz efektywnie zarządzanych procesów. Kontrola wewnętrzna nie tylko pomaga w ochronie przed ryzykiem i błędami operacyjnymi, ale także wspiera organizację w osiąganiu celów strategicznych, zwiększając jednocześnie zaufanie interesariuszy. Czytaj dalej i dowiedz się, jak sprawnie wdrożyć kontrolę wewnętrzną w tym modelu.

Czym jest model COSO?

Model COSO, zwany również Internal Control Integrated Framework (po polsku Zintegrowana Struktura Ramowa Kontroli Wewnętrznej) definiuje kontrolę wewnętrzną jako proces wspierający osiąganie celów organizacji. Od momentu swojego wprowadzenia, model COSO stał się fundamentem, na którym przedsiębiorstwa z całego świata opierają swoją strategię zarządzania ryzykiem i zgodnością.

COSO nie tylko pomaga organizacjom spełniać wymogi regulacyjne, ale także umożliwia zwiększenie zaufania interesariuszy oraz ochronę wartości przedsiębiorstwa poprzez efektywne monitorowanie ryzyka.

To wspólny wewnętrzny model kontroli, zawierający elementy, dzięki którym organizacja wzmacnia stabilność operacyjną i wspiera realizację celów strategicznych, tworząc trwałe podstawy do zrównoważonego rozwoju.

Dlaczego warto wdrożyć model COSO?

COSO wspiera tworzenie solidnego systemu kontroli wewnętrznej, co umożliwia organizacjom bardziej świadome i proaktywne zarządzanie ryzykiem, w tym pozwala na:

  • efektywne zarządzanie ryzykiem – COSO zapewnia ustrukturyzowane podejście do identyfikacji i zarządzania kluczowymi ryzykami, które mogą wpływać na realizację celów organizacji.
  • zwiększenie transparentności i zaufania – model umożliwia przejrzyste raportowanie i monitorowanie ryzyka, co pomaga budować zaufanie inwestorów, klientów i innych interesariuszy oraz spełniać wymagania regulacyjne.
  • ochrona i zwiększenie wartości organizacji – dzięki szybkiemu wykrywaniu i reagowaniu na potencjalne zagrożenia organizacja może chronić swoje zasoby i minimalizować ryzyko finansowe oraz reputacyjne.
  • wspieranie kultury odpowiedzialności – COSO pomaga budować w organizacji świadomość i odpowiedzialność w zakresie zarządzania ryzykiem, dzięki jasnym wytycznym i szkoleniom dla pracowników.
  • zwiększenie stabilności operacyjnej – poprzez solidny system kontroli wewnętrznej organizacje mogą lepiej radzić sobie z nieprzewidzianymi zdarzeniami i dostosowywać działania do zmieniających się warunków, co wzmacnia ich odporność i stabilność.
  • wsparcie dla celów strategicznych – model COSO umożliwia zintegrowane zarządzanie ryzykiem, które sprzyja realizacji długoterminowych celów organizacji i wspiera rozwój strategii biznesowej.

Systemy kontroli wewnętrznej – przykłady wdrożenia (lub nie)

Niewdrożenie systemów kontroli wewnętrznej może się zakończyć zarówno utratą wizerunku, jak i dużymi kosztami. Spójrzmy na przypadek MetLife, gdzie niedopatrzenia w zakresie kontroli wewnętrznej doprowadziły do nałożenia przez SEC wysokiej kary. Firma nie sprawdzała dokładnie, czy klienci, którym należą się świadczenia, faktycznie je otrzymują. W efekcie w firmie pozostały środki, które powinny były zostać przekazane uprawnionym osobom.

Jest jeszcze znany przypadek Nokii i Ericssona. W 2000 roku w fabryce półprzewodników Philipsa w Albuquerque doszło do pożaru, który trwał zaledwie 10 minut. Choć uszkodzenia były niewielkie, zanieczyszczenie produkcji wpłynęło na dostawy kluczowych komponentów.

Nokia, będąc jednym z głównych klientów fabryki, szybko dowiedziała się o sytuacji dzięki sprawnemu przepływowi informacji i od razu przystąpiła do działań. Firma wynegocjowała z Philipsem przejęcie całości rezerw produkcyjnych i zwiększyła import komponentów z innych regionów, co pozwoliło jej zabezpieczyć produkcję i uniknąć przestojów.

Ericsson, z kolei, dowiedział się o skutkach pożaru kilka dni później, kiedy już było za późno na efektywne działanie. Z powodu braku informacji i słabszej reakcji na kryzys, Ericsson miał problemy z produkcją, co przełożyło się na znaczne straty finansowe i spadek wartości akcji.

Jak się okazuje, system kontroli wewnętrznej (internal control) pełni kluczową funkcję w sprawnym funkcjonowaniu każdego przedsiębiorstwa.

Ewolucja modelu COSO – od COSO I do COSO II

Opublikowany w 1992 r. raport Kontrola Wewnętrzna, znany jako Internal Control – Integrated Framework, koncentrował się głównie na kontroli wewnętrznej w zakresie operacji i raportowania finansowego.

W 2004 roku COSO rozszerzyło model, publikując COSO II (Enterprise Risk Management – Integrated Framework), który wprowadził koncepcję zarządzania ryzykiem na poziomie całego przedsiębiorstwa, zwaną ERM (Enterprise Risk Management).

COSO II zawierał osiem komponentów, dodając Środowisko Wewnętrzne, Ustalanie Celów oraz Identyfikację Zdarzeń, które miały pozwolić organizacji na bardziej strategiczne podejście do zarządzania ryzykiem i identyfikacji szans rozwojowych.

Komponenty COSO I (1992):

  • środowisko kontroli (Control Environment) – środowisko Kontroli jest podstawą skutecznej kontroli zarządczej, zapewniając strukturę, w której zarządzanie ryzykiem staje się integralną częścią decyzji podejmowanych na najwyższym szczeblu.
  • ocena ryzyka (Risk Assessment) – proces analizy ryzyk z potencjalnym wpływem na cele organizacji. Dokładna identyfikacja i priorytetyzacja ryzyk pozwala organizacji na wdrożenie odpowiednich działań kontrolnych, aby ograniczyć prawdopodobieństwo wystąpienia zagrożeń oraz zminimalizować ich skutki.
  • działania kontrolne (Control Activities) – polityki i procedury wspierające zarządzanie ryzykiem i kontrolę operacyjną w efektywny sposób. Te działania, oparte na ustalonych zasadach, pomagają zapobiegać i wykrywać błędy lub nieprawidłowości, wzmacniając tym samym realizację celów operacyjnych i finansowych organizacji.
  • informacja i komunikacja (Information and Communication) – zapewnia przepływ informacji wewnątrz i na zewnątrz organizacji. Skuteczny system komunikacji umożliwia nie tylko jasne przekazywanie ról i odpowiedzialności, ale także sprawną wymianę informacji, co jest kluczowe dla podejmowania świadomych decyzji i szybkiego reagowania na zmiany w otoczeniu biznesowym.
  • monitorowanie (Monitoring Activities) – ciągły proces oceny efektywności systemu kontroli wewnętrznej​. Monitorowanie obejmuje regularne wykonywanie zadań audytowych, które pomagają ocenić, czy wdrożone kontrole spełniają założone cele i pozostają zgodne z normami.

Nowe komponenty dodane w COSO II (2004):

  • środowisko wewnętrzne (Internal Environment) – podstawowy fundament kultury ryzyka, który obejmuje wartości etyczne i filozofię zarządzania ryzykiem korporacyjnym. Identyfikacja zdarzeń pozwala organizacjom lepiej przewidywać sytuacje.
  • ustalanie celów (Objective Setting) – proces definiowania celów strategicznych, operacyjnych i zgodności, które są zgodne z poziomem akceptowanego ryzyka.
  • identyfikacja zdarzeń (Event Identification) – rozpoznawanie wewnętrznych i zewnętrznych zdarzeń, które mogą wpłynąć na realizację celów, z rozróżnieniem zagrożeń i możliwości.
  • reakcja na ryzyko (Risk Response) – opracowanie strategii, takich jak unikanie, redukowanie, dzielenie się lub akceptacja ryzyka, aby skutecznie zarządzać zagrożeniami​

COSO II 2017 – najnowsza wersja modelu

Kolejna aktualizacja COSO II z 2017 roku (przez niektórych określana jako COSO III), oficjalnie zatytułowana „Enterprise Risk Management—Integrating with Strategy and Performance”, wprowadziła szereg istotnych zmian mających na celu bardziej zintegrowane podejście do zarządzania ryzykiem, dostosowane do dzisiejszych złożonych wyzwań biznesowych.

Ponownie mamy pięć ramowych elementów, a kluczowe modyfikacje obejmują:

  • integracja ryzyka z celami strategicznymi i wynikami – COSO 2017 podkreśla rolę zarządzania ryzykiem jako narzędzia wspierającego realizację strategicznych celów, co odpowiada na potrzeby dynamicznie zmieniających się warunków rynkowych i pozwala organizacjom lepiej reagować na pojawiające się szanse i zagrożenia. W dokumencie zaznaczono, że COSO ERM jest ściśle zintegrowane z procesem planowania strategicznego i zarządzania wydajnością​.
  • nowa struktura pięciu komponentów – zamiast ośmiu komponentów COSO II, aktualizacja COSO 2017 koncentruje się na pięciu kluczowych obszarach: Kultura i Nadzór, Określanie Celów Strategicznych, Zarządzanie Wydajnością, Przegląd i Rewizja oraz Informacja i Komunikacja. Taka struktura upraszcza model, jednocześnie lepiej odzwierciedlając rzeczywiste potrzeby dużych organizacji, które muszą szybko reagować na zmiany​.
  • nacisk na kulturę organizacyjną – w nowym podejściu do zarządzania ryzykiem, COSO 2017 przywiązuje większą wagę do kultury organizacyjnej i wartości etycznych. Zarządzanie ryzykiem ma być wspierane przez kulturę organizacyjną, która promuje świadomość ryzyka na wszystkich poziomach przedsiębiorstwa. Ważna jest więc dobra komunikacja między działami.
  • znaczenie technologii – COSO 2017 uwzględnia rosnącą rolę technologii, takich jak sztuczna inteligencja czy analiza danych, w procesach zarządzania ryzykiem. Dokument zachęca do wykorzystywania nowoczesnych technologii w procesach związanych z analizą ryzyka i komunikacją.
  • jasny język biznesowy – aktualizacja z 2017 roku została napisana bardziej przystępnym językiem, co pozwala na łatwiejsze wdrożenie ram w codziennych operacjach organizacji i sprzyja lepszemu zrozumieniu przez szeroką grupę interesariuszy​.

Źródło: COSO Enterprise Risk Management – integrating with Strategy and Performance

Który model wybrać?

Wybór między COSO a COSO II (zwanego także COSO ERM) zależy od specyficznych potrzeb organizacji oraz jej podejścia do zarządzania ryzykiem i kontroli wewnętrznej.

Model COSO (1992/2013) jest idealny dla organizacji, które chcą w głównej mierze zająć się kontrolą wewnętrzną oraz poprawić jakość sprawozdawczości finansowej i zgodność z wymogami regulacyjnymi. Prostsza i bardziej skoncentrowana struktura sprawia, że jest łatwiejszy do wdrożenia i bardziej odpowiedni w organizacjach, gdzie kontrola wewnętrzna jest priorytetem​.

Natomiast COSO II (2004/2017), czyli Enterprise Risk Management (ERM), to bardziej złożona struktura, która rozszerza zakres zarządzania ryzykiem na poziomie całego przedsiębiorstwa. W COSO II ryzyko jest zarządzane nie tylko jako potencjalne zagrożenie, ale także jako okazja do tworzenia wartości.

Aktualizacja z 2017 roku dodatkowo podkreśla, jak zarządzanie ryzykiem może wspierać osiąganie celów strategicznych i operacyjnych, integrując je z procesem podejmowania decyzji. COSO ERM jest zatem zalecany organizacjom, które chcą w pełni zintegrować zarządzanie ryzykiem z planowaniem strategicznym i rozwijaniem innowacyjnych możliwości.

Podsumowując, jeśli potrzebujecie zarządzać ryzykiem w sposób kompleksowy, z naciskiem na strategiczne cele i elastyczność, COSO II (ERM) będzie bardziej odpowiednim wyborem. Dla tych organizacji, które wolą się skupić na kontroli wewnętrznej i zgodności operacyjnej, wystarczający (a nawet wygodniejszy we wdrożeniu) może być klasyczny model COSO.

Praktyczne kroki wdrożenia modelu COSO – na podstawie przykładu zarządzania ryzykiem zgodności i prywatności

Przykład z dokumentu Enterprise Risk Management – Compliance and Privacy Risk polecanego przez coso.org demonstruje, jak model COSO można zastosować w organizacjach, które muszą spełniać wymogi regulacyjne dotyczące prywatności i zgodności.

Zwróć szczególną uwagę na:

  1. Utworzenie struktury nadzoru nad ryzykiem zgodności i prywatności.
    Należy wyznaczyć role i odpowiedzialności dla zespołu ds. zarządzania ryzykiem, aby zarząd miał bezpośredni nadzór nad ryzykiem związanym z prywatnością.
  2. Dostosowanie środowiska kontroli do specyficznych regulacji.
    Organizacja powinna wdrażać środowisko kontroli, tworząc polityki ochrony danych, które będą regularnie aktualizowane zgodnie z wymogami prawnymi.
  3. Analiza ryzyka związanego z prywatnością.
    Przeprowadzanie regularnych ocen ryzyka pozwala na identyfikację zagrożeń dla danych, co umożliwia wdrażanie działań kontrolnych, takich jak szyfrowanie i autoryzacja dostępu.
  4. Monitorowanie i raportowanie zgodności.
    Raz na jakiś czas warto przeprowadzić audyt wewnętrzny. Regularne raportowanie zgodności z politykami prywatności oraz monitorowanie ich przestrzegania pozwala na identyfikację nieprawidłowości i podjęcie działań naprawczych.
  5. Budowanie świadomości i szkolenia pracowników.
    Szkolenia i efektywna komunikacja na temat zasad prywatności i zarządzania ryzykiem zgodności wzmacniają kulturę odpowiedzialności w organizacji.
  6. Wdrażanie narzędzi technologicznych wspierających zgodność.
    Technologie wspierające zarządzanie dostępem i monitorowanie pomagają w szybkim wykrywaniu zagrożeń i podejmowaniu działań korygujących.

Dzięki tym krokom organizacja może zintegrować model COSO z procesami zarządzania ryzykiem w zakresie zgodności i ochrony prywatności, wzmacniając swoje działania w obszarze zarządzania ryzykiem oraz budując zaufanie klientów i interesariuszy.

Podsumowanie

Kontrola wewnętrzna z modelem COSO to kompleksowe podejście do zarządzania ryzykiem i zgodnością, które wspiera osiąganie celów organizacyjnych poprzez ustrukturyzowane procesy kontrolne. COSO zapewnia solidne fundamenty w postaci pięciu komponentów, takich jak Środowisko Kontroli, Ocena Ryzyka, Działania Kontrolne, Informacja i Komunikacja oraz Monitorowanie.

Integracja tego modelu zwiększa przejrzystość i zaufanie, umożliwia bardziej świadome zarządzanie ryzykiem oraz budowanie kultury odpowiedzialności w organizacji

Łukasz Krzewicki

Audit, Risk & Compliance Expert | C&F

A consultant and project manager with more than 20 years of experience in telecommunications, consulting, and IT. He is responsible for the GRC business line, product roadmap, and development planning at C&F. His specialties include risk management (certified CRISC), service delivery management, security management (certified CISM), software product management, SCRUM, CRM, and business process improvements.

Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    Powiązane tagi
    COSO kontrola wewnętrzna

    Pozostałe wpisy:

    Rozwiązania biznesowe

    Platforma AdaptiveGRC oferuje szereg modułów ułatwiających zarządzanie działaniami GRC w Twojej firmie spełniając najnowsze wymogi regulacyjne (DORA, NIS2).

    Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
    ZAREZERWUJ KONSUTLACJĘ

    Usprawnij swoje działania GRC dzięki AdaptiveGRC
    Uzyskuj szybsze wyniki.

    • Wypełnij formularz.
    • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
    • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
    • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
    Wypełnij formularz

      Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

      NASZE RECENZJE

      Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

      Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

      AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

      Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe Pracownicy: 2-10

      Wszechstronna platforma do zarządzania ryzykiem i zgodnością

      Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

      Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe Pracownicy: 51-200

      Doskonałe narzędzie do kontroli zgodności

      Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

      Jasween K. Zgodność w branży farmaceutycznej Pracownicy: 10000+

      AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

      Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

      Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

      W nazwie AdaptiveGRC zawiera się wszystko

      Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

      D Scott C. Rozwój Biznesu | Biotechnologia Pracownicy: 2-10

      Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

      Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

      Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość Pracownicy: 10000+

      Świetne wsparcie dla firmy ubezpieczeniowej

      Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

      Recenzent zweryfikowany Ubezpieczenia Pracownicy: 201-500