Adam Rêdziñski
Aktualizacja i utylitaryzm
w systemie kontroli wewnêtrznej COSO
1. Model kontroli wewnêtrznej w organizacji
W latach 80. ubieg³ego wieku woeród audytorów pojawi³y siê g³osy o koniecznooeci
stworzenia szerokiej koncepcji ramowej systemu kontroli wewnêtrznej. Koncepcja taka
musia³a byæ zbudowana przy udziale jak najwiêkszej ilooeci organizacji zawodowych zrzeszaj
¹cych ksiêgowych i menad¿erów, aby znalaz³a uznanie u praktyków ¿ycia gospodarczego.
Szanse na stworzenie szerokiej koncepcji systemu kontroli wewnêtrznej mia³y organizacje
sponsoruj¹ce Komisjê Treadway. Komisja ta wyda³a w 1987 r. raport, w którym
stwierdzi³a brak jednolitego ujêcia problemów kontroli wewnêtrznej i zaproponowa³a organizacjom
j¹ sponsoruj¹cym: American Institute of Certified Public Accountants
(AICPA), Financial Executives Institute (FEI), American Accounting Association (AAA),
National Association of Accountants (NAA) oraz Internal Auditing Association (IAA)
opracowanie modelu, który mia³by szanse staæ siê oewiatowym wzorcem1. Tych piêæ organizacji
utworzy³o Komisjê COSO (Committee On Sponsoring Organizations of The Treadway
Commission) i wybra³o firmê Coopers & Lybrand (C&L) do przeprowadzenia badañ
merytorycznych2.Wcelu zbadania problemu kontroli wewnêtrznej pracownicy C&Lprzestudiowali
1700 artyku³ów i ksi¹¿ek, uzyskali 500 odpowiedzi na rozes³ane menad¿erom
kwestionariusze oraz przeprowadzili 45 wywiadów ze specjalistami od kontroli wewnêtrznej
3. Wstêpny model zosta³ rozes³any do 40 000 potencjalnie zainteresowanych osób (jest
to tzw. exposure process, czyli zapewnienie, by praktycy ¿ycia gospodarczego mieli
wp³yw na proces ustanawiania standardów)4.Wtrakcie prac wyniknê³y pewne niezgodnooeci
w podstawowych kwestiach dotycz¹cych kontroli wewnêtrznej. Spierano siê, czy kontrola
wewnêtrzna obejmuje ca³y proces zarz¹dzania przedsiêbiorstwem, czy jest jedynie
PRACE NAUKOWE Akademii im. Jana D³ugosza w Czêstochowie
Seria: PEDAGOGIKA 2004, z. XIII
1 S.J. R o o t, Beyond COSO. Internal control to enhance corporate governance, New York 1998, s. 114.
2 Tam¿e.
3 Tam¿e, s. 116.
4 Tam¿e.
funkcj¹ rachunkowooeci. Do jakiego stopnia zarz¹d jest odpowiedzialny za system kontroli
wewnêtrznej? W jaki sposób konstruowaæ sprawozdania na temat kontroli wewnêtrznej?
Wkoñcu pytano, czy mo¿na wnioskowaæ, ¿e sprawnie dzia³aj¹ca kontrola wewnêtrzna jest
gwarantem sprawnego dzia³ania firmy i osi¹gania sukcesów5. Te dwuznacznooeci spowodowa
³y, ¿e Komisja COSO nie zdecydowa³a siê zaj¹æ postawy w pewnych kwestiach. Nie
zdecydowano o koniecznooeci sprawozdawczooeci kontroli wewnêtrznej. Jeoeli chodzi o spór
wokó³ definicji kontroli wewnêtrznej, to przewa¿yli zwolennicy tzw. szerokiej definicji6.
Choæ póŸniej krytykowano Model COSO, przyznaæ trzeba, ¿e jest to pierwszy model, który
tak odwa¿nie zdefiniowa³ kontrolê wewnêtrzn¹:
Kontrola wewnêtrzna to proces inicjowany przez radê nadzorcz¹, zarz¹d lub innych
pracowników zaprojektowany w celu dostarczenia rozs¹dnego zapewnienia dotycz¹cego
realizacji celów w nastêpuj¹cych kategoriach:
— efektywnooeæ i wydajnooeæ operacji;
— wiarygodnooeæ sprawozdawczooeci finansowej;
— zgodnooeæ z odpowiednimi przepisami prawa i regulacjami7.
Sama definicja wywo³a³a protesty8. Po pierwsze zarzucano, ¿e autorzy wykorzystali tu
teoriê zarz¹dzania przez cele, stworzon¹ pó³ wieku wczeoeniej. Konstrukcja rozs¹dnego zapewnienia
(reasonable assurance) wyda³a siê krytykom zbyt dwuznaczna. Jest to podstawowa
zasada audytu, wed³ug której nikt nie mo¿e zagwarantowaæ absolutnej pewnooeci
(absolute assurance), ¿e firma dzia³a poprawnie. Nic bowiem nie jest absolutnie pewne.
Krytycy wskazywali jednak, ¿e wiele firm dzia³a na granicy absolutnej pewnooeci9. Dla
nich rozs¹dne zapewnienie to po prostu za ma³o. Firmy zajmuj¹ce siê dostarczaniem przesy
³ek nie mog¹ pozwoliæ sobie na ¿adn¹ granicê b³êdu, gdy¿ przy ilooeci paczek, jakie przewo
¿¹ (miliony dziennie), oznacza³oby to stratê setek, mo¿e tysiêcy paczek i ca³kowit¹ utratê
wiarygodnooeci. Podobnie jest z liniami lotniczymi. Nie mog¹ one dawaæ pasa¿erom samolotów
rozs¹dnego zapewnienia, ¿e samolot jest sprawny. Pytano wiêc, dlaczego model
u¿ywa tego pojêcia10. Twórcy zwracali uwagê, ¿e dla wy¿ej wymienionych firm rozs¹dne
zapewnienie jest w³aoenie bliskie absolutnej pewnooeci. Jednak ta dwuznacznooeæ spowodowa
³a, ¿e Komisja COSO nie zdecydowa³a siê umieoeciæ w swym modelu zapisu o koniecznooeci
sprawozdawczooeci kontroli wewnêtrznej. Uzgodniono, ¿e oficjalny raport mówi¹cy
jedynie o rozs¹dnym zapewnieniu wydany dla szerokiego grona inwestorów by³by ma³o
wiarygodny. Osoby nie zaznajomione z praktyk¹ audytu mog¹ nie rozumieæ poprawnie
tego sformu³owania i wyci¹gaæ mylne wnioski dotycz¹ce systemu jakooeci kontroli wewnêtrznej.
Model wyró¿ni³ 5 czynników kontroli wewnêtrznej11:
— oerodowisko kontroli;
— ocena ryzyka;
— czynnooeci kontrolne;
— informacja i komunikacja;
— monitoring.
262 Adam Rêdziñski
5 Tam¿e, s. 117.
6 Tam¿e.
7 Tam¿e, s. 118.
8 Tam¿e.
9 Tam¿e, s. 139.
10 Tam¿e.
11 Tam¿e, s. 120.
OErodowisko kontroli jest podstaw¹ wszystkich pozosta³ych czynników. Bez kompetencji
i uczciwooeci pracowników trudno jest osi¹gn¹æ wyznaczone przez organizacjê cele.
Najwiêkszy wp³yw na pracowników ma postawa menad¿erów, szczególnie prezesa
zarz¹dzaj¹cego (CEO). Etyka pracy i wartooeci, które wyznaje menad¿er, kszta³tuj¹ postawy
pracowników. Ka¿da ocena kontroli wewnêtrznej musi braæ to pod uwagê. Kryterium
takie jest jednak bardzo subiektywne, a przez to problematyczne. Pewne wskaŸniki stylu
pracy i wartooeci zarz¹du to kodeksy etycznego zachowania (codes of conduct) i listy do akcjonariuszy,
zawarte w corocznych sprawozdaniach.
Ocena ryzyka jest zdefiniowana jako analiza zagro¿eñ dla osi¹gniêcia wyznaczonych
celów i ustalenie sposobu wp³ywania na te zagro¿enia. Model COSO podkreoela, ¿e nie da
siê ca³kowicie wyeliminowaæ ryzyka z prowadzenia biznesu. Wszystko, co mo¿na zrobiæ,
to w³aoeciwe zarz¹dzanie ryzykiem. Przed rozpoznaniem ryzyka menad¿erowie ustalaj¹
cele, jakie chc¹ osi¹gn¹æ. S¹ one wyznaczone zgodnie z modelem kontroli wewnêtrznej,
dziel¹cym je na trzy grupy12:
— cele operacyjne;
— cele zwi¹zane ze sprawozdawczooeci¹ finansow¹;
— cele zwi¹zane ze zgodnooeci¹ dzia³añ firmy z obowi¹zuj¹cym prawem.
Zak³ada siê, ¿e system kontroli wewnêtrznej jest sprawny, je¿eli zostaj¹ osi¹gniête
tak wyznaczone cele. O ile osi¹gniêcie dwóch ostatnich celów jest ³atwo weryfikowalne
i jednoznacznie oznacza sprawnooeæ systemu kontroli wewnêtrznej, to osi¹gniêcie
lub nie celów operacyjnych nie jest dobrym kryterium sprawnooeci tego systemu. Je¿eli
firma dzia³a niezgodnie z prawem, to znaczy, ¿e kontrola wewnêtrzna zawiod³a. Je¿eli
firma przedstawia niewiarygodne sprawozdanie finansowe, to równie¿ znaczy, ¿e kontrola
wewnêtrzna zawiod³a. Je¿eli jednak firma nie osi¹ga wyznaczonego przez siebie
poziomu produkcji w danym roku, to czy jest to jednoznaczne, ¿e kontrola wewnêtrzna
jest niesprawna? Na fakt nie uzyskania wyników mog¹ wp³ywaæ czynniki atmosferyczne,
niezale¿ne przecie¿ od kontroli wewnêtrznej. Rozumowanie takie mo¿na posun¹æ
dalej. Nawet je¿eli osi¹gniêty zostanie zaplanowany poziom produkcji b¹dŸ przyrost
opanowania rynku, to konkurencja mo¿e osi¹gn¹æ du¿o lepsze wyniki i uzyskaæ dominacjê
na rynku. Oznaczaæ to bêdzie pewn¹ pora¿kê naszej firmy i pojawiæ siê mog¹ pytania
o sprawnooeæ dzia³ania firmy, czyli równie¿ o sprawnooeæ systemu kontroli wewnêtrznej.
Przyjêta konwencja uto¿samiania kontroli wewnêtrznej z ca³ym zarz¹dzaniem
firm¹ mo¿e myliæ wielu obserwatorów ¿ycia gospodarczego. Czy przegrywaj¹c
walkê o udzia³ w rynku, menad¿erowie maj¹ oznajmiæ, ¿e wprowadzony przez nich
system zarz¹dzania (czyli system kontroli wewnêtrznej) nie sprawdzi³ siê. Taka wypowiedŸ
zrozumiana zosta³aby jako przyznanie siê do tego, ¿e w firmie panuje ba³agan
(brak kontroli wewnêtrznej) i nale¿y wymieniæ zarz¹d. St¹d tyle kontrowersji wokó³
tzw. szerokiej definicji kontroli wewnêtrznej.
Pierwszym krokiem w zarz¹dzaniu ryzykiem wed³ug Modelu COSO jest identyfikacja
zagro¿eñ. Zagro¿enia mog¹ wynikaæ zarówno z czynników zewnêtrznych, jak i czynników
wewnêtrznych firmy. Poni¿ej wymienione s¹ przyk³adowe czynniki zewnêtrzne13:
— rozwój technologiczny mo¿e wp³ywaæ na charakter oraz rozplanowanie w czasie
badañ i rozwoju lub prowadziæ do zmian w zaopatrzeniu;
Aktualizacja i utylitaryzm w systemie kontroli wewnêtrznej COSO 263
12 Tam¿e, s. 119.
13 Tam¿e, s. 124.
— zmieniaj¹ce siê potrzeby lub oczekiwania klientów mog¹ wp³ywaæ na rozwój
produktu, proces produkcji, us³ugi dla klientów, ceny lub gwarancje;
— konkurencja mo¿e zmieniaæ dzia³ania marketingowe lub us³ugowe;
— nowe akty legislacyjne mog¹ spowodowaæ zmiany w polityce i strategii operacyjnej;
— naturalne katastrofy mog¹ prowadziæ do zmian w operacjach lub systemach informatycznych
i wykazaæ potrzebê planowania awaryjnego;
— zmiany gospodarcze mog¹ mieæ wp³yw na decyzje zwi¹zane z finansowaniem,
wydatkami kapita³owymi i ekspansj¹.
Poni¿ej wymienione s¹ przyk³adowe czynniki wewnêtrzne14:
— przeszkody w przetwarzaniu danych mog¹ negatywnie wp³ywaæ na operacje
jednostki;
— jakooeæ zatrudnionych pracowników oraz metody szkoleñ i motywacji mog¹
wp³ywaæ na poziom oewiadomooeci kontroli w jednostce;
— zmiana zakresów odpowiedzialnooeci kierownictwa mo¿e wp³yn¹æ na sposób,
w jaki dokonywane s¹ niektóre kontrole;
— charakter dzia³alnooeci jednostki oraz dostêp pracowników do aktywów mog¹
przyczyniæ siê do niew³aoeciwego wykorzystania zasobów;
— nieefektywna rada nadzorcza lub komitet audytu mog¹ stwarzaæ okazje do niew
³aoeciwych dzia³añ.
Nastêpnie nale¿y oceniæ zidentyfikowane ryzyka pod wzglêdem stopnia zagro¿enia
dla wyznaczonych celów firmy. Pewne ryzyka s¹ nieznacz¹ce i mo¿na zupe³nie je pomin
¹æ, inne wymagaj¹ natychmiastowej interwencji. Trzecim krokiem jest tzw. zarz¹dzanie
zmianami. Skupienie siê na zarz¹dzaniu zmianami polega na za³o¿eniu, ¿e niektóre warunki
powinny byæ przedmiotem szczególnej uwagi. Zakres,wjakim warunki te wymagaj¹
uwagi kierownictwa, zale¿y od przewidywanego efektu. Warunkami tymi s¹15:
— zmienione otoczenie dzia³alnooeci;
— nowi pracownicy;
— nowe lub zmienione systemy informatyczne;
— gwa³towny wzrost organizacji;
— nowa technologia produkcyjna, nowe linie, produkty lub profile dzia³alnooeci.
Wszyscy pracownicy powinni znaæ procedury zachowañ w poszczególnych sytuacjach.
Nawet jeoeli sytuacja jest nietypowa, dobrze wprowadzony system kontroli wewnêtrznej
wska¿e pracownikom odpowiednie zachowanie. Proces zarz¹dzania ryzykiem to
umiejêtnooeæ dostrze¿enia zagro¿enia i przeciwdzia³ania mu, natomiast techniki zarz¹dzania
ryzykiem to zarówno zwyk³a intuicja, wieloletnie dooewiadczenia, co dzia³a w danej firmie,
a co nie, jak równie¿ skomplikowane procedury analityczne. Nale¿y jednak dodaæ, i¿
¿aden model nie jest w stanie przedstawiæ pe³nej listy zagro¿eñ dla firmy. Lista taka jest
nieskoñczona i zmienia siê z ka¿d¹ chwil¹.
Przy okazji oceny ryzyka twórcy modelu podjêli dyskusjê na temat analizy kosztów
i korzyoeci wynikaj¹cych z wdra¿ania systemów kontroli wewnêtrznej. Autorzy twierdz¹,
¿e istnieje pewien poziom czynnooeci kontrolnych, ponad którym koszt dalszego rozwijania
systemu kontroli wewnêtrznej jest wiêkszy ni¿ korzyoeci wynikaj¹ce z tego systemu. Z tego
264 Adam Rêdziñski
14 Tam¿e, s. 125.
15 Tam¿e, s. 127.
wynika, ¿e czasem mo¿e nie op³acaæ siê dalsze rozwijanie kontroli wewnêtrznej. Stwierdzenie
takie jest zupe³nie logiczne i zgodne z zasadami ekonomii. Krytycy modelu wskazali
jednak, ¿e podobne twierdzenie mo¿e zanegowaæ sens ca³ego modelu16. Otó¿ przyjmuj
¹c logikê autorów, dochodzimy do wniosku, ¿e czasem bardziej op³acalne jest tolerowanie
pewnego poziomu b³êdów ni¿ wykonywanie dzia³añ maj¹cych na celu ich eliminowanie.
Myoelenie takie stoi w sprzecznooeci z filozofi¹ jakooeci (quality movement) wprowadzon
¹ przez W.E. Deminga i bardzo popularn¹ woeród menad¿erów17. Dodaæ nale¿y, ¿e zespó
³ twórców przyj¹³ powy¿sze stanowisko wobec analizy kosztów i korzyoeci, kieruj¹c siê
amerykañskim standardem audytu SAS nr 78, który jasno wskazuje na kryterium korzyoeci
jako podstawowe w projektowaniu systemów kontroli wewnêtrznej18.
Kolejnym czynnikiem kontroli wewnêtrznej wed³ug Modelu COSO s¹ czynnooeci
kontrolne. Stanowi¹ je wszelkie procedury, które zapewniaj¹, ¿e polecenia zarz¹du i kadry
zarz¹dzaj¹cej s¹ wykonywane. Czynnooeci kontrolne wi¹¿¹ siê z zagro¿eniami, jakie zosta
³y rozpoznane w trakcie fazy oceny ryzyka. Oznacza to, ¿e ka¿da organizacja bêdzie
mia³a inny zestaw czynnooeci kontrolnych, gdy¿ ka¿da organizacja ma inne zestawy celów
i zagro¿eñ dla tych celów.
Czwarty czynnik: informacja i komunikacja nie zosta³ zdefiniowany przez twórców
modelu. Autorzy stwierdzili jedynie, ¿e informacja jest niezbêdna dla wszystkich cz³onków
organizacji do wype³niania obowi¹zków operacyjnych, sprawozdawczooeci finansowej
i zgodnooeci z przepisami. Krytycy modelu kwestionowali sens wyodrêbniania informacji
i komunikacji jako oddzielnych sk³adników systemu kontroli wewnêtrznej19. Model
stworzony przez Canadian Institute of Chartered Accountants—Stowarzyszenie Ksiêgowych
w Kanadzie traktuje informacjê i komunikacjê jako wewnêtrzne sk³adowe wszystkich
innych czynników kontroli wewnêtrznej20. Jakooeæ informacji wp³ywa na zdolnooeæ do
podejmowania decyzji przy zarz¹dzaniu i kontrolowaniu dzia³añ...
diagnoza2010