Il cubo COSO è un diagramma che mostra la relazione tra tutte le parti di un sistema di controllo interno. Oltre a mostrare come queste parti sono collegate, identifica anche una serie di principi che un'organizzazione dovrebbe seguire per raggiungere i propri obiettivi di controllo interno.
Il cubo COSO fa parte di un quadro di controllo generalmente chiamato quadro COSO. È stato creato dal Committee of Sponsoring Organizations of the Treadway Commission, o COSO. COSO è composto da rappresentanti di cinque diverse organizzazioni: l'American Accounting Association, l'American Institute of Certified Public Accountants, Financial Executives International, l'Institute of Management Accountants e l'Institute of Internal Auditors. Insieme, sviluppano documenti guida per aiutare le organizzazioni con la valutazione del rischio, i controlli interni e la prevenzione delle frodi.
Il framework COSO è stato originariamente concepito nel 1992 e successivamente aggiornato nel 2013 e 2017. Il framework aggiornato 2013 contiene il cubo COSO. Il framework è stato sviluppato per aiutare le organizzazioni a raggiungere gli obiettivi relativi a operazioni, reporting e conformità. Lo scopo del controllo interno è garantire il raggiungimento di questi obiettivi. Questo processo è normalmente implementato dal consiglio di amministrazione, dalla direzione e da altro personale di un'organizzazione. Per anni, il framework 2013 è stato considerato un gold standard per l'applicazione e la verifica dei controlli interni.
The COSO cube
Sebbene il quadro del 1992 fosse abile nel valutare i controlli esistenti, non era completo. La versione del 2013 ha affrontato questo problema con l'aggiunta del cubo COSO, che si concentrava sulla progettazione e sull'implementazione di un framework di gestione del rischio. Il cubo COSO ha sostituito la precedente immagine del principio quadro che aveva la forma di una piramide.
Il cubo è composto da più colonne e righe che visualizzano i sistemi di controllo interno. Le colonne del cubo costituiscono le tre categorie di obiettivi. Le righe nel cubo sono i cinque componenti. Sulla terza dimensione c'è la struttura organizzativa.
Le tre categorie di obiettivi che si trovano nelle colonne consistono in operazioni, reportistica e conformità. Nell'immagine, questo è normalmente il lato superiore del cubo.
I cinque componenti che si trovano nelle file sulla faccia anteriore del cubo includono - dall'alto verso il basso - l'ambiente di controllo, la valutazione del rischio, le attività di controllo, le informazioni e la comunicazione nonché le attività di monitoraggio. L'ambiente di controllo è un insieme di standard, processi e strutture che formano il controllo interno. La valutazione del rischio costituisce la base per la gestione del rischio, sia in ambienti interni che esterni. Le attività di controllo sono le politiche, le procedure e gli standard preventivi e investigativi che aiutano la gestione a mitigare i rischi. Le informazioni e la comunicazione si riferiscono alle informazioni acquisite che possono supportare le componenti del controllo interno. Le attività di monitoraggio comprendono valutazioni coerenti che verificano che ciascuna delle cinque componenti del controllo interno sia presente e funzioni correttamente.
La struttura organizzativa è la gerarchia di un'organizzazione. Sul lato destro del cubo, da sinistra a destra, vengono visualizzati il livello di entità, la divisione, l'unità operativa e la funzione di un'organizzazione. Ciascuno può essere influenzato dalle attività delle unità aziendali, dai controlli delle funzioni e dai controlli a livello aziendale.
Gli 17 principi
Il quadro COSO delinea anche 17 principi che un'organizzazione dovrebbe adottare per raggiungere i propri obiettivi di controllo interno. I principi quadro rientrano in ogni componente del cubo COSO: cinque principi per l'ambiente di controllo, quattro per la valutazione del rischio, tre per le attività di controllo, tre per l'informazione e la comunicazione e gli ultimi due per le attività di monitoraggio.
I principi degli ambienti di controllo includono:
- impegnarsi per l'integrità e i valori etici;
- esercitare la responsabilità di supervisione;
- stabilire la struttura e le linee di riporto;
- dimostrare un impegno per la competenza; e
- imporre la responsabilità.
I principi di valutazione del rischio includono:
- specificare obiettivi adeguati;
- identificare e analizzare il rischio;
- valutare il rischio di frode; e
- identificare e analizzare i cambiamenti significativi.
I principi dell'attività di controllo includono:
- selezionare e sviluppare attività di controllo che mitigino il rischio;
- selezionare e sviluppare attività di controllo che coinvolgono la tecnologia; e
- implementare attività di controllo attraverso politiche e procedure specifiche.
I principi di informazione e comunicazione includono:
- utilizzare le informazioni pertinenti;
- comunicare internamente; e
- comunicare esternamente.
I principi dell'attività di monitoraggio includono:
- condurre valutazioni continue o separate; e
- valutare e comunicare le carenze.
Il quadro COSO aggiornato
Il framework COSO è stato aggiornato nel 2017, con un cambio di nome in "Enterprise Risk Management - Integrating with Strategy and Performance". L'aggiornamento si concentra su ERM e considera più pesantemente il rischio nei processi e nella gestione delle prestazioni. Insieme all'aggiornamento, la grafica è cambiata da un cubo a una struttura ad elica. Le organizzazioni che rispettano il precedente framework COSO non sono tenute a passare a quello nuovo. Il cubo COSO può continuare ad essere utile alle organizzazioni poiché fornisce ancora una struttura per migliorare la gestione del rischio e il controllo interno. Una comprensione del cubo COSO fornisce una discreta quantità di conoscenze di base anche per la versione 2017 del framework.
Il grafico a forma di elica per il framework COSO ERM rappresenta il modo in cui i principi di gestione del rischio sono integrati durante il ciclo di vita di un'organizzazione.
L'elica si basa su cinque componenti, ciascuno supportato da più principi. Idealmente, seguendo la grafica aggiornata di COSO, le organizzazioni saranno in grado di implementare e far rispettare i suoi principi, portando a prestazioni migliori nelle iniziative ERM.
I cinque componenti mostrati nell'elica includono:
- Governance e cultura - che stabiliscono la supervisione per ERM.
- Strategia e definizione degli obiettivi - che formano un processo di pianificazione strategica.
- Performance - che identifica i rischi che influenzano i processi di pianificazione strategica. Ciò dovrebbe includere anche un modo per evidenziare e rispondere a problemi evidenti.
- Revisione e revisione - che si concentrano sulla revisione delle prestazioni dell'organizzazione per determinare come funzionano i componenti ERM e se è necessario apportare modifiche.
- Informazioni, comunicazione e reporting - che si concentrano sulla raccolta e sulla condivisione delle informazioni secondo necessità, tipicamente da fonti interne ed esterne.
Venti principi supportano le cinque componenti, che dovrebbero portare le organizzazioni a comprendere e gestire i rischi e gli obiettivi di business.