COSO mudel

See artikkel vajab toimetamist. (Detsember 2019) Palun aita artiklit toimetada. (Kuidas ja millal see märkus eemaldada?)

COSO mudel on rahvusvaheliselt tunnustatud sisekontrolli mudel.

Treadway Komisjoni Sponsororganisatsioonide Komitee (Committee of Sponsoring Organizations of the Treadway Commission ehk COSO) loodi Ameerika Ühendriikides 1980. aastatel pärast seda kui, saadi teada mitmest suurest finantside ja ettevõtte juhtimisega seotud skandaalist.

COSO komitee on erasektori algatus, mida toetavad ja rahastavad ühiselt:

• Ameerika Raamatupidamise Assotsiatsioon
• Ameerika atesteeritud raamatupidajate instituut
• Rahvusvahelised finantsjuhid
• Juhtimisraamatupidajate instituut
• Siseaudiitorite Instituut

COSO komitee eesmärgiks on juhtimise printsiipide kujundamine ning raamistike ja juhiste arendamine ettevõtte riskijuhtimise, sisekontrolli ja pettuste ärahoidmise kohta. ^[1]

Nende printsiipide ja süsteemide väljatöötamise eesmärk on tagada tõhus koostöö ettevõtete omanike ja juhtide ning teiste huvitatud isikute vahel. Ettevõtte haldamise üks lahutamatu osa on sisekontrollisüsteem. Sisekontroll on võtmekomponent riskijuhtimisel ja ettevõtte eesmärkide saavutamisel. Sisekontrollisüsteemi ja sisekontrolli hindamist viib läbi siseaudit.

Siseaudit on oluline osa sisekontrollist ning see funktsioon ei saa eksisteerida eraldi asutuse üldistest eesmärkidest. Siseauditi funktsioon peab igati toetama oma tegevuse kaudu organisatsiooni eesmärkide saavutamist. Siseauditi funktsiooni töö lõpptulemus on juhtidele ja omanikele raporteerimine, mis võib sisaldada ka järelduste ja ettepanekute esitamist. Organisatsiooni sisekontrollisüsteemi hindamiseks, tuleb koguda piisavalt infot olemasoleva olukorra ja tegevuste kohta. Hindamise oluliseks aluseks on COSO-mudel. Kogutud informatsiooni alusel saab otsustada, kas kavandatud kontrollid on küllaldased, milliseid tuleb muuta või kas rakendada uusi. Siseauditi protsessi käigus kogutakse infot kontrollide testimisega, mis annab aluse siseauditi funktsiooni laiendamiseks või vastupidi, kokkutõmbamiseks.

Sisekontrollisüsteemi defineerimine 1992. aastal[muuda | muuda lähteteksti]

1992. aastal tõi COSO komitee välja tänapäeval üldtunnustatud sisekontrollisüsteemi definitsiooni. Selle kohaselt on efektiivse sisekontrollisüsteemi roll tagada ettevõtte nõukogule ja juhtkonnale mõistlik kindlus järgnevates kategooriates (COSO, 1992):

• Operatsioonide tõhusus ja mõjusus
• Finantsaruandluse usaldusväärsus
• Vastavus seadusandlusele ja kehtivatele regulatsioonidele

INTOSAI^[2] 1992. aasta tegevusjuhised sisekontrolli rakendamiseks on koostatud pidevalt muutuva dokumendina ning lähtuvad visioonist, mille kohaselt sisekontrollisüsteemide loomisel, rakendamisel ja hindamisel tuleks propageerida teatud standardite kasutamist. INCOSAI 17.kongressil (Söul, 2001) tunnistati, et 1992. aasta tegevusjuhised vajavad kiiret kaasajastamist ning lepiti kokku, et seejuures võetakse aluseks COSO komitee integreeritud sisekontrolli raamistik. COSO komitee definitsiooni ja 1992. aasta tegevusjuhistega võrreldes on oluliseks momendiks eetilise aspekti lisandumine. Niisugune lähenemine sisekontrollile on igati õigustatud, kuna alates 1990. aastatest on järjest enam hakatud rõhutama eetilise käitumise ning avalikus sektoris esinevate pettuste ja korruptsiooni õigeaegse avastamise olulisust. ^[2]

COSO mudeli kirjeldus[muuda | muuda lähteteksti]

Sisekontrolli keskkond ehk COSO mudel koosneb viiest omavahel seotud komponendist:^[3]

Kontrollikeskkond[muuda | muuda lähteteksti]

See on komponent, mis paneb aluse ettevõtte tõhusa sisekontrollisüsteemi toimimisele. Kontrollikeskkond on kõigi ülejäänud sisekontrollikomponentide alus, mis tagab vajaliku distsipliini ja struktuuri. Selle koosseisu kuuluvad üldised väärtushinnangud, eetika valdkonda kuuluvad mõisted, pädevus/kompetents, organisatsiooniline struktuur, inimressursside kasutamise poliitika ja tavad jms. Kontrollikeskkond kujundab üldise hoiaku organisatsioonis. Juhtkonna ja personali isiklik ja professionaalne terviklikkus ning eetilised väärtused määravad ära nende eelistused ja väärtushinnangud ehk käitumisstandardid. Need peaksid läbivalt, kogu organisatsioonis, ja igal ajal, väljendama toetav suhtumist sisekontrolli tegevusele. Kõik organisatsiooniga seotud isikud – nii juhtkond kui ka töötajad – peavad säilitama isikliku ja ametialase terviklikkuse/aususe ning eetilised väärtused ning nende järgimist demonstreerima, järgides alati organisatsioonis kehtivaid tegevusjuhendeid.

Riskide hindamine[muuda | muuda lähteteksti]

Riskide õige hindamise eeldus on organisatsiooni eesmärkide määratlemine, mida tehakse erinevatel organisatsiooni tasanditel, ja seejärel integreeritakse omavahel ettevõtte ühtseks visiooniks (võib seostada ettevõtte strateegilise plaaniga, kuigi see on täpsem). Riskide hindamine on nende identifitseerimine eesmärkide saavutamist takistavate ohtude ehk riskide analüüs, mis on aluseks järgnevatele tegutsemistele, mida nimetatakse riskide maandamiseks või juhtimiseks. Riskide juhtimise eesmärk on võimalikult minimeerida kahju, mis võib tekkida identifitseeritud riskidest. Kuna üldine majanduskeskkond, õiguslik baas ja ettevõtte mikrokeskkond on pidevas muutumises, on oluline rakendada tegutsemismehhanismi, mis võtab arvesse riskide pideva identifitseerimise käigus tekkinud muutused ning juhtida riske nende järgi. Riskiprotsessi käigus tuleb arvestada, et midagi muutes võivad tekkida uued riskid. Samuti tuleb hinnata organisatsiooni/ettevõtte riskitaluvust ning töötada välja vastu meetmed. Kaaluda tuleb nelja liiki vastumeetmeid: ülekandmine, tolereerimine, maandamine või lõpetamine; antud tegevusjuhiste kontekstis on kõige asjakohasem riski maandamine, kuna tõhusalt toimiv sisekontroll on eelkõige seotud riskide maandamisega.

Kontrollitegevused[muuda | muuda lähteteksti]

Mõeldakse poliitikaid ja protseduure, mis aitavad tagada organisatsiooni juhtimist selliselt, nagu juhtkond seda kavandas. Sellised tegevused tagavad, et organisatsiooni eesmärke ohustavate riskide korral rakenduvad vajalikud meetmed. Kontrollitegevus toimib organisatsiooni kõikidel tasanditel ja kõikides funktsioonides. Kontrollitegevused hõlmavad: autoriseerimis- ja tunnustamistoimingud; kohustuste lahusus (autoriseerimine, töötlemine, registreerimine, kontrollimine); kontrolli juurdepääsu üle ressurssidele ja andmetele; vastavustõendamine; andmete ühildamine; töötulemuste hindamine; tegevuste, protsesside ja menetlusprotseduuride hindamine; järelevalve (kohustuste andmine, nende täitmise kontrollimine ja hindamine, juhendamine ja koolitamine). Kontrollitegevused peaksid ideaalis andma juhtidele kindlustunde, et organisatsiooni juhtimine toimib kavandatult ning ebaõiged käitumised on välistatud või vähemalt piiratud.

Informatsioon ja suhtlemine[muuda | muuda lähteteksti]

Nõuetekohast infot tuleb identifitseerida, koguda sellisel kujul ja sellise aja jooksul, mis võimaldab töötajatel oma ülesandeid normaalselt täita. Arvestama ei pea üksnes sisemise infoga, vaid ka väljast laekuvaga, mis on seotud ettevõtte tegevusega, erinevate tingimustega, mis on oluline juhtimistegevuses, otsuste tegemisel ja välistele infotarbijatele aruannete koostamisel. Tõhus kommunikatsioon peab toimima ülevalt alla, alt üles ning organisatsiooni läbivalt (horisontaalselt). Kogu personal peab saama selge sõnumi juhtkonnalt, et vastutus kontrolli tegevuse eest on väga oluline. See eeldab, et töötajad saavad aru oma kohast sisekontrollisüsteemis, samuti sellest, kuidas on tegevused omavahel seotud teiste töötajate ja töödega. Sisekontrollisüsteem ei toimi iseenesest, vaid läbib kogu ettevõtte personali. Kõigil töötajatel peavad olema kättesaadavad adekvaatsed vahendid, et edastada olulist infot alt üles. Alahinnata ei tohi tõhusat toimivat kommunikatsiooni väliste osapooltega ning ettevõtetevahelist kommunikatsiooni. Asjakohane ja tõhus, st täpne ja õigeaegne info asutuses on efektiivselt toimiva sisekontrolli komponent.

Järelevalve[muuda | muuda lähteteksti]

See on protsess, mis hindab sisekontrolli toimimist ajas. See toimib pideva monitooringu kaudu, mis on peamiselt juhtkonna igapäevane tegevus, samuti läbi sõltumatult toimiva siseauditi funktsiooni, sisemiste hindamiste või sõltumatute välisekspertide hinnangute andmise kaudu. Järelevalvet teostatakse läbi rutiinsete toimingute, eraldi hindamise või mõlema tegevuse kombinatsiooni. Jooksev järelevalve sisekontrolli mehhanismide üle on organisatsioonis regulaarselt toimivatesse sisekontrolli mehhanismidesse sisse programmeeritud. Selle osaks on regulaarsed juhtimis- ja kontrollitegevused ning muud toimingud, mida töötajad oma ülesandeid täites sooritavad. Jooksev järelevalve hõlmab kõiki sisekontrolli komponente ning sisaldab tegevusi, mis on suunatud normide rikkumise, ebaeetiliste, ebaökonoomsete, läbimõtlematute ja ebaefektiivsete sisekontrollisüsteemi komponentide vastu. Eraldi hindamiste mahu ja sageduse määrab eelkõige ära riskide hindamine ning jooksvalt toimivate järelevalvetoimingute tõhusus. Konkreetsed eraldi hindamised hõlmavad sisekontrolli süsteemi tõhususe hindamist ning nende abil tagatakse soovitud tulemuste saavutamine sisekontrollimehhanismide abil, lähtudes seejuures eelnevalt määratletud meetoditest ja protseduuridest. Sisekontrolli süsteemis täheldatud puudustest teavitatakse vastava tasandi juhtkonda. Kui avastatakse olulisi puudusi sisekontrollisüsteemis, siis tuleb sellest kohe informeerida pädeva taseme juhte, tõsistest puudustest aga tippjuhtkonda. Sisekontrollimonitooringus on oluline koht siseaudiitoril.

Need viis komponenti on kujutatud COSO mudelis horisontaalsetes tulpades. Lisaks komponentidele on COSO mudeli osadeks neljas vertikaalses tulbas kujutatud eesmärgid – aruandlus (ja vastutus), vastavus (õigusaktidele ja normidele), tegevused (korrapärased, eetilised, ökonoomsed, läbimõeldud ja efektiivsed) ning ressursside kaitse. Maatriksi kolmas mõõde kujutab organisatsiooni või ettevõtet ning selle osakondi.

Iga komponentide rida lõikub nelja eesmärgiga ja laieneb neile kõigile. Näiteks ettevõttesisestest ja välistes allikatest kogutud finants- ja muud laadi informatsioon, mis kuulub informatsiooni ja suhtlemise komponendi alla, on vajalik tegevuste juhtimiseks, aruandluseks ning kehtivate õigusaktide rakendamiseks ja täitmiseks.

Sisekontrolli ei ole vajalik mitte üksnes organisatsiooni kui terviku, vaid ka üksikute osakondade jaoks. Seda seost kirjeldab kolmas mõõde, mis esindab kogu organisatsiooni või ettevõtet ja selle osakondi.

Kuna sisekontrolli raamistik on asjakohane ja kohaldatav kõigis organisatsioonides, sõltub selle tegelik rakendamine juhtkonna poolt suuresti organisatsiooni olemusest ning paljudest konkreetse üksusega seotud teguritest nagu: organisatsiooni struktuur, riskiprofiil, töökeskkond, suurus, keerukus, tegevused ja nende reguleerituse määr. Lähtuda tuleb organisatsiooni konkreetsest olukorras, seega teeb juhtkond sisekontrolli raamistiku komponentide osas rakendatavaid protsesse, nende keerukusastmeid ja metoodikaid valides terve rea valikuid.

Viited[muuda | muuda lähteteksti]

Kirjandus[muuda | muuda lähteteksti]

• COSO – Committee of Sponsoring Organizations of the Treadway Commission (Treadway Komisjoni Sponsororganisatsioonide Komitee), www.coso.org
• INTOSAI – International Organization of Supreme Audit Institutions (Rahvusvaheline Kõrgeimate Kontrolliasutuste organisatsioon), www.intosai.org
• „INTOSAI tegevusjuhised sisekontrolli standardite rakendamiseks avalikus sektoris“, Riigikontroll, www.riigikontroll.ee