Indsigt

Ny begrebsramme fra COSO-komitteen

Konsekvenser for virksomhedens revisionsudvalg

COSO-komiteen har for nyligt udsendt en opdateret udgave af sin begrebsramme for intern kontrol, som snart erstatter den oprindelige ramme fra 1992. Virksomhederne skal i deres årlige vurdering oplyse, hvilken COSO-begrebsramme de benyttede til at foretage evalueringen.

COSO-komiteen (The Committee of Sponsoring Organizations of the Treadway Commission) har for nyligt udsendt en opdateret udgave af sin begrebsramme for intern kontrol. Dermed skal revisionsudvalgene tage stilling til en ny kontrolramme, hvoraf de fem vigtigste komponenter er:
 

Kontrolmiljø
1. Udviser engagement i forhold til integritet og etiske værdier
2. Udviser overvågningsmæssigt ansvar
3. Fastlægger struktur, myndighed og ansvar
4. Udviser engagement i forhold til kompetence
5. Håndhæver ansvarlighed

Risikovurdering
6. Fastlægger Relevante mål
7. Identificerer og analyserer risik
8. Vurderer risikoen for besvigelser
9. Identificerer og analyserer væsentlige ændringer

Kontrolaktiviteter
10. Udvælger og udvikler kontrolaktiviteter
11. Udvælger og udvikler generelle teknologikontroller
12. Efterlever politikker og processer

Information og kommunikation
13. Bruger relevant information
14. Kommunikerer internt
15. Kommunikerer eksternt

Overvågningsaktiviteter
16. Udfører løbende og/eller særskilte vurderinger
17. Vurderer og kommunikerer mangler

 

Inden for disse rammer skal revisionsudvalget tage stilling til:

  • Benytter virksomheden kun rammen for intern kontrol i forhold til regnskabsaflæggelse, eller benytter den også rammen for driftsmæssig og lovmæssig compliance?
  • Er virksomhedens kontroller blev fastlagt efter den nye ramme?
  • Har den nye ramme afsløret nogen mangler i de nuværende procedurer, kontrolaktiviteter eller dokumentation, og hvis ja, hvordan blive disse håndteret?
  • Modtager ledelsen og medarbejdere, der håndterer risikostyring og kontroller, oplæring i indholdet af den opdaterede COSO-begrebsramme?
  • Hvilke politikker er blevet vedtaget, og hvem er ansvarlig for at kommunikere overvejelser om intern kontrol til eksterne parter (fx eksterne serviceudbydere)?
  • Bruger virksomheden informationsteknologi og data analytics til løbende at kunne overvåge interne kontrolsystemer?


Mange virksomheder er begyndt at anvende data analytics for at opnå øget indsigt og forbedre performance. Dette skyldes, at virksomhederne bliver presset af den globaliserede konkurrence, kraftigt stigende datamængder og skrappere risiko- og compliance-krav. Virksomhederne arbejder med at forstå, hvilke problemstillinger der er vigtigst for dem, og dernæst løse dem. Vi har i flere tilfælde set, at revisionsudvalgene også er begyndt at anvende data analytics inden for økonomi, risikostyring, processer og interne kontroller.

Vi har i flere tilfælde set, at revisionsudvalgene også er begyndt at anvende data analytics inden for økonomi, risikostyring, processer og interne kontroller.

 

Fandt du dette nyttigt?