COSO II został opracowany w celu polepszenia jakości sektora finansowego w zakresie efektywnej kontroli wewnętrznej oraz podniesienia poziomu etyki biznesowej i ładu korpo-racyjnego. Jego pierwowzorem był COSO – klasyczny dokument audytu i kontroli wewnętrz-nej opublikowany w 1992 roku. Formalna publikacja COSO I dotyczy tzw. zintegrowawewnętrz-nej struktury ramowej (Internal Control – Integrated Framwork). Wobec swoistego trzęsienia ziemi, jakim była w Stanach Zjednoczonych w 2000 roku afera Enronu14 i całej branży firm
14 Enron – amerykańska spółka energetyczna, która w latach 90. XX wieku prowadziła tzw. wirtualną księgowość za cichym przyzwoleniem dużego audytora – firmy Arthur Andersen. Ujawnienie afery Enronu doprowadziło do bankructwa tego podmiotu oraz nieuczciwego audytora. Afera i upadek Enronu były dowodem na brak skutecznych metod kontrolnych w amerykańskich sieciach korporacyjnych oraz na słabość aktualnych uregulowań formalnoprawnych.
Międzynarodowe standardy...
internetowych dot-com, dotychczasowe uregulowania COSO I okazały się niewystarczają-ce. Pierwszym antykryzysowym rozstrzygnięciem była senacka uchwała SOX15, wprowa-dzona w 2003 roku. W następnym roku został wprowadzony standard COSO II jako akt obo-wiązujący w biznesie amerykańskim oraz w jednostkach administracji publicznej. COSO II nie stanowi prostej modyfikacji typowo księgowego standardu COSO I, a raczej jego dopeł-nienie i rozszerzenie na obszar nowoczesnego zarządzania ryzykiem korporacyjnym16. Podobnie jak FERMA i AS/NSZ, wprowadza własną definicję ryzyka (tab. 1) i operacyjną definicję zarządzania ryzykiem (tab. 2).
COSO II rozpatruje problematykę zarządzania ryzykiem w trójwymiarowej przestrzeni organizacyjno-funkcyjnej, obejmującej czynności proceduralne, strukturę organizacyjną przedsiębiorstwa i kategorie celów, co graficznie ilustruje tzw. sześcian COSO (rys. 4).
Na czołowej ścianie kostki COSO znajduje się sekwencja ośmiu czynności obejmujących proces zarządzania ryzykiem. Cykl ten rozpoczyna analiza otoczenia zewnętrznego organi-zacji w aspekcie potencjalnych zagrożeń i wyzwań. W dalszych krokach są ustalane cele funkcjonowania organizacji oraz identyfikowane zdarzenia generujące potencjalne i realne zagrożenia. Procedury te stanowią podstawę specyfikacji i oceny ryzyka oraz przygotowa-nia odpowiedniej strategii reakcji na ryzyko. Ostatprzygotowa-nia grupa czynności wiąże się z ustale-niem mechanizmów kontrolnych, informowaustale-niem i komunikowaustale-niem o ryzyku oraz z mo-nitorowaniem środowiska wewnętrznego i zewnętrznego organizacji po wprowadzeniu systemu zarządzania ryzykiem.
Druga wertykalna płaszczyzna kostki COSO odzwierciedla modelową strukturę organi-zacji, w której wprowadzono system zarządzania ryzykiem. Modelowa czteropoziomowa struktura może być dowolnie poszerzona lub uszczuplona w zależności od rzeczywistych potrzeb aplikacyjnych. Praktycznie dla każdej jednostki strukturalnej organizacji można przy-jąć ośmioetapowy schemat zarządzania ryzykiem ze ściany czołowej, co gwarantuje pełną elastyczność procesu badawczego. Kombinacje ośmiu etapów zarządzania ryzykiem oraz czterech struktur organizacyjnych mogą być dowolnie modyfikowane w zależności od spe-cyfiki danej organizacji. Złożenie obu warstw daje obraz ryzyka w każdej jednostce organi-zacyjnej i na dowolnym poziomie szczegółowości.
Trzecia płaszczyzna, horyzontalna, zawiera cztery modelowe kategorie celów w procesie zarządzania – strategiczne, operacyjne, sprawozdawczo-analityczne i formalnoprawne.
Dołączenie tej płaszczyzny sprawia, że dowolna organizacja (przedsiębiorstwo) może być formalnie badana w trzech wymiarach przestrzennych, ale za pomocą aż 128 (8 × 4 × 4) róż-nych modelowych wskaźników oceny. Problemem staje się merytoryczna interpretacja tych wskaźników i sensowna ich kompilacja w jeden spójny system zarządzania ryzykiem. Standard
15 Odpowiedzią na aferę Enronu i cały łańcuch bankructw w sektorze internetowych firm dot-com w latach 2000–2002, sygnalizujących lukę w amerykańskim ustawodawstwie, była ustawa Sarbanesa-Oxleya, znana jako SOX, wprowadzona w 2002 roku. Na podstawie tego szczegółowego aktu prawnego wprowadzono wiele regulacji mających zapobiec możliwości prowadzenia kreatywnej księgowości. Obejmuje ona wszystkie spółki amerykańskiego prawa handlowego oraz wszystkie spółki grup kapitałowych notowanych na amerykańskiej giełdzie.
16 W stosunku do europejskiego standardu FERMA (16 stron + odnośniki) COSO II jest bardzo obszernym (120 stron + 110 stron techniki zastosowań) i szczegółowym opracowaniem normalizacyjnym. Oprócz właściwego tekstu (120 stron) zawiera wykaz stosowanych technik. Ściśle nawiązuje do ustawy COSO I oraz regulacji SOX.
COSO II oferuje więc bardzo wnikliwe i merytoryczne narzędzie badawcze do celów zarów-no praktycznych, jak i teoretycznych oraz symulacyjnych.
W tekście COSO II poszczególne etapy ściany czołowej zostały bardzo drobiazgowo opi-sane i wyczerpująco scharakteryzowane. Interpretacja poszczególnych kroków jest czytelna i pouczająca, także dla nowicjusza. Cennym uzupełnieniem standardu COSO II jest doda-tek Techniki zastosowania, w którym przedstawiono modelowe przypadki stosowania meto-dyki COSO II. Pokazano, co i jak mierzyć oraz za pomocą jakich narzędzi i metod anali-tycznych definiować i badać pożądane wskaźniki. Pomocne są wzory, wskaźniki, krzywe eksperymentalne oraz rozkłady statystyczne, stanowiące formalne narzędzia badawcze.
Praktycznym uzupełnieniem tego tomu są wzory przykładowych dokumentów, zestawień tabelarycznych i różnych formularzy. Dużym udogodnieniem jest zestawienie podstawowych kompetencji i obowiązków poszczególnych podmiotów zaangażowanych w proces zarządza-nia ryzykiem w danej organizacji.
Standard COSO II jest adresowany przede wszystkim do spółek akcyjnych należących do grup kapitałowych notowanych na giełdzie amerykańskiej, podlegających na mocy prawa ustawie SOX. Jest przeznaczony dla większych podmiotów, nie tylko gospodarczych, o roz-budowanej strukturze organizacyjnej, posiadających silny zarząd, zdolny do wyegzekwowa-nia dyscypliny realizacyjnej w metodycznym wdrażaniu sformalizowanych procedur COSO II.
Postępowanie zgodne z rozbudowanym standardem COSO II z jednej strony wymaga dużej
Organizacja Dział
Oddział Sekcja
Strategia
Operacja
Sprawozdawczość Zgodność
Środowisko zewnętrzne Wyznaczanie celów Identyfikacja zdarzeń
Ocena ryzyka Odpowiedź na ryzyko Mechanizmy kontrolne
Monitoring Informacja i komunikacja
Rys. 4. Trójwymiarowa kostka COSO II Źródło: Opracowanie własne autora
Międzynarodowe standardy...
dyscypliny organizacyjnej, z drugiej zaś może prowadzić organizację bezpieczną ścieżką do zamierzonego celu w zakresie zarządzania złożonym ryzykiem korporacyjnym.