Вътрешните измами са голяма част от оперативния риск, пред който е изправена всяка организация. Това е особено вярно за мултинационалните компании, които имат бизнес интереси в различни страни по света. Това е така, защото хиляди хора на важни позиции вземат бизнес решения от името на компанията. Следователно, гарантирането, че всички тези служители винаги действат в съответствие с принципите на компанията, е трудна задача.

Този проблем стана известен в началото на века. Скандалът с Enron, който разтърси цялата световна икономика в началото на 2000-те години, също подчерта необходимостта от подходящ вътрешен контрол във всяка организация. В отговор на скандала с Enron, правителството на Съединените щати прие забележителен законодателен акт, наречен Законът Сарбейнс-Оксли или SOX. Съгласно разпоредбите на този закон, ръководството и одиторите на компанията са съвместно отговорни за ясното документиране на процесите на вътрешен контрол и тяхното сертифициране.

Проучванията показват, че липсата на правилно дефинирани вътрешни контроли е причина за повече от 50% от вътрешните измами в света. Тъй като всяка компания трябва да документира тези процеси, Комитетът на спонсориращите организации (COSO) е разработил рамка, която може да се следва от всички организации, за да се развият и документират техните вътрешни контроли. Тази система е разработена от експерти и може да се използва от всяка организация за подобряване на усилията ѝ за управление на риска. COSO е комитет, който се състои от пет основни асоциации.

Какво представлява рамката COSO?

Рамката COSO е разработена за първи път през 1992 г. През годините тя е преминала през няколко итерации и е била преразглеждана няколко пъти. Моделът има три измерения, поради което често се показва върху куб.

Първото измерение: Функциите

Рамката COSO споменава действия, които трябва да бъдат предприети в рамките на три различни функции. Те са:

1. Операции: Рамката COSO предлага операциите на организацията да бъдат задълбочено проучени, за да се разработят вътрешни контроли.

2. Отчитане: Рамката COSO също така предполага, че всеки източник на информация, който се използва за вътрешно или външно отчитане, трябва да бъде одитиран за точност. Тези одити трябва да се извършват периодично и да гарантират, че информационната система на компанията работи своевременно, надеждно и прозрачно.

3. съвместимост: Накрая, целите на вътрешния контрол трябва да бъдат съобразени с различните закони и разпоредби, които компанията трябва да спазва.

Вторите измерения: Нивата

Рамката COSO предполага, че организацията трябва да бъде разделена на различни нива с цел управление на вътрешния контрол. Вътрешният контрол трябва да се наблюдава непрекъснато на различни нива, като например ниво дъщерно дружество, ниво бизнес звено, ниво подразделение, както и ниво организация.

Третото измерение: Околната среда

1. Вътрешна среда: Вътрешната среда на компанията се отнася до културата, разпространявана от висшето ръководство. Една от причините за провала в Enron е, че неетичните ценности, разпространявани от висшето ръководство, са проникнали и в по-ниските нива на управление. Поради тази причина се очаква бордът на директорите, както и външни страни, да следят внимателно дали висшето ръководство е ангажирано с поддържането на вътрешна среда без измами в компанията.

2. Оценка на риска: Това се отнася до система за рутинно идентифициране и класифициране на различните видове рискове. Организацията трябва да има система за сканиране на средата си за възможни причини, които биха могли да доведат до неуспех в бъдеще.

3. Контролни дейности: Контролните процедури са дейности, изброени от ръководството, с цел смекчаване на заплахите, които могат да възникнат. Това са дейности като одобрения, съгласувания и проверки, които се извършват, за да се установи дали е пропуснат някакъв риск. Вътрешният контрол помага да се посочат недостатъците в системата.

4. Информация и комуникация: Тази стъпка включва изграждането на силна система за вътрешна комуникация. Това означава, че всички вътрешни страни трябва да са наясно какви са техните отговорности. Също така, очакванията трябва да бъдат ясни и на външните страни. Трябва да се въведат протоколи за ескалиране на всички рискове между вътрешните, както и външните страни, за да се осигури бързо разрешаване.

5. Мониторинг: Последната стъпка включва непрекъснато наблюдение на всички стъпки, предприети в предишните стъпки. Също толкова важно е да се наблюдава система за вътрешен контрол, колкото е важно да се създаде такава.

Моделът COSO подчертава, че всичките пет компонента работят заедно като интегрирана система. Неизправността на който и да е компонент би се отразила и на всички останали компоненти. Идеята зад рамката е да се предостави набор от инструменти, които ще трябва да се използват от всяка компания. След това конкретната организация може да реши какви методи иска да следва за контрол или за управление на информацията. Стандартизираният модел прави внедряването на управлението на риска сравнително по-лесно.