إطار عمل كوسو هو وسيلة لتصميم وتنفيذ وتقييم الرقابة داخل المنظمة. المكونات الخمسة لإطار عمل كوسو هي بيئة الرقابة ، وتقييم المخاطر ، وأنشطة الرقابة ، والمعلومات والاتصالات ، وأنشطة المراقبة. كأداة لإدارة مخاطر الاحتيال ، يمكن للشركات تصميم إجراءات الرقابة الداخلية وتنفيذها وتقييمها.
فهم إطار عمل كوسو
وفقًا لجمعية مدققي الاحتيال المعتمدين ، فإن ضعف الرقابة الداخلية هو سبب ما يقرب من 50 ٪ من جميع عمليات الاحتيال في الشركة.
لتطوير نظام رقابة داخلي قوي وفعال ، تم إنشاء إطار COSO من قبل لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO).
تتألف اللجنة من ممثلين من مختلف الصناعات ، بما في ذلك المحاسبة والتمويل والتدقيق.
بشكل جماعي ، تقوم اللجنة بتطوير إرشادات إجرائية تساعد الشركات في تقييم المخاطر. وبذلك ، يتم تعزيز الضوابط الداخلية لتقليل احتمالية الاحتيال.
ما الذي يشكل الرقابة الداخلية؟ كيف يتم تعريفها؟
ينص إطار عمل COSO على أن الرقابة الداخلية هي "عملية يتم تنفيذها من قبل مجلس إدارة الكيان والإدارة والموظفين الآخرين المصممة لتوفير تأكيد معقول لتحقيق الأهداف" ضمن الفئات التالية:
- الفعالية والكفاءة التشغيلية. يتضمن ذلك أهداف الأداء وتأمين الأصول ضد الاحتيال المحتمل.
- مسؤولية إعداد التقارير المالية - سواء كان ذلك داخليًا أو خارجيًا. الشفافية والالتزام بالمواعيد والموثوقية أمور حيوية.
- الامتثال القانوني والتنظيمي.
المكونات الخمسة لإطار عمل كوسو
تعمل خمسة مكونات معًا لتقديم نظام رقابة داخلي فعال مع دعم رؤية أو أهداف أو أهداف العمل المعني.
دعونا نلقي نظرة على كل منها بمزيد من التفصيل.
1 - بيئة التحكم
يشمل هذا المعايير أو العمليات التي تملي الرقابة الداخلية عبر المؤسسة.
عادة ، ستحدد الإدارة العليا النغمة فيما يتعلق بأهمية إنشاء الرقابة الداخلية ثم الحفاظ عليها.
هذا يخلق بيئة تجذب الأفراد الموهوبين وتطورهم ثم تحتفظ بهم.
هناك أيضًا مساءلة في الأداء ويتم تقديم المكافآت والحوافز بشكل روتيني عند الاقتضاء.
إلى حد ما ، تمتد بيئة التحكم أيضًا إلى القيم الأخلاقية و الهيكل التنظيمي.
2 - تقييم المخاطر
تتعامل كل شركة مع المخاطر ، ولكن لا تتعامل جميعها بشكل فعال مع المخاطر.
أولئك الذين لديهم رقابة داخلية قوية سيقيمون كل خطر وفقًا لمستوى التهديد لأهداف الشركة وتحمل المخاطر المحدد.
الأهم من ذلك ، يجب على الأعمال التجارية النظر في الداخلية و المخاطر الخارجية التي يمكن أن تضعف الرقابة الداخلية.
3 - أنشطة الرقابة
بمجرد تحديد المخاطر ، يجب وضع سياسات وإجراءات للتخفيف منها.
يجب تنفيذ هذه "الأنشطة الرقابية" المزعومة في جميع أنحاء المنظمة لمساعدتها على تحقيق الأهداف المعلنة دون المخاطرة غير الضرورية.
هنا ، يتم الحفاظ على الرقابة الداخلية من خلال التراخيص والموافقات والتحقق ومراجعات الأداء. إذا أمكن ، يجب أيضًا فصل واجبات الموظف بما يتناسب مع الخبرة أو مستوى المهارة.
4 - الإعلام والاتصال
تساعد مبادئ إطار عمل COSO على ضمان التزام جميع الاتصالات الداخلية والخارجية بإجراءات الشركة وأهداف الشركة الأخرى.
يجب أيضًا نشر المعلومات فقط عند الاقتضاء. على سبيل المثال ، يجب إرسال سياسة جديدة إلى كل موظف في المنظمة.
ومع ذلك ، يجب أن تقتصر المعلومات الحساسة لسعر السهم على الإدارة العليا حتى يتم طرحها في السوق.
5- أنشطة المراقبة
ضوابط المراقبة لا تقل أهمية - إن لم تكن أكثر أهمية - عن تأسيسها.
يجب دمج التقييم الدوري في جميع ممارسات العمل لضمان الحفاظ على الضوابط.
خارجيًا ، يعد إعداد التقارير المالية مهمًا بشكل خاص في ردع الاحتيال.
مثال على إطار عمل كوسو
يعد تطوير إطار عمل COSO عملية معقدة ومفصلة ، لذلك سنركز على مثال واحد لاختتام هذه المقالة.
في هذه الحالة ، استوحينا الإلهام من دليل التنفيذ الصادر عن تحالف COSO نفسه في عام 2019 لقطاع الرعاية الصحية.
تحتاج المستشفيات إلى الامتثال لعدد كبير من القوانين والتوجيهات الأخرى.
بالإضافة إلى القوانين المتعلقة برعاية المرضى ، يجب أن تكون متوافقة من لحظة دخول المريض للمبنى حتى لحظة خروجهم من المستشفى ودفع فواتيرهم.
إذا لم تعمل أي من هذه العمليات الداخلية بشكل صحيح ، فلن يتمكن المستشفى من الحصول على تعويض عن الخدمات المقدمة أو ، في بعض الحالات ، تكون قدرته على القيام به معاقة بشدة.
وهذا له آثار واضحة على الأداء المالي والنجاح التنظيمي - خاصة لمؤسسات الرعاية الصحية التي تدار بشكل خاص ولا تتلقى دعمًا حكوميًا.
ومع ذلك ، نظرًا لأن جميع المستشفيات تعتمد على امتثال وتنسيق العديد من الإدارات وأصحاب المصلحة لتقديم الرعاية المناسبة ، فلا توجد مؤسسة لن تستفيد من نظام رقابة داخلي قوي.
مع ذلك ، دعنا نلقي نظرة على كيفية تنفيذ إطار عمل COSO في مؤسسة الرعاية الصحية عبر خمس مراحل مهمة.
المرحلة 1 - التخطيط وتحديد النطاق
وفقًا لـ COSO ، تتكون المرحلة الأولى من ثلاثة مكونات خاصة بسياقات الرعاية الصحية:
- تحديد المستوى - للبدء ، يجب أن تكون الإدارة التنفيذية داعمة للمبادرة بشكل كامل وتتواصل برسالة قوية ومتسقة لبقية المنظمة. يُنظر إلى هذا على أنه مهم في مؤسسات الرعاية الصحية الكبيرة والمعقدة التي خضعت لعمليات اندماج واستحواذ متعددة.
- التخطيط - نظرًا لوجود أولويات متزامنة متنافسة غالبًا في المستشفيات ، يجب أن تكون الجداول الزمنية مرنة ومستجيبة للمطابقة.
- الفحص - في مؤسسات الرعاية الصحية ، يجب أن يركز نطاق إدارة المخاطر على جودة الرعاية وسلامة المرضى والموظفين وقدرة تكنولوجيا المعلومات والامتثال والأمن السيبراني.
المرحلة 2 - التقييم والتوثيق
مثل معظم المنظمات الأخرى ، يعتمد هيكل التحكم الحالي في المستشفى على متغيرات مثل الحجم والموقع ومتطلبات الولاية أو المتطلبات الفيدرالية المختلفة. تتضمن بعض الجوانب الأكثر صلة بالرعاية الصحية ما يلي:
- هيكل النظام المركزي مقابل هيكل النظام اللامركزي - ما إذا كان هيكل النظام مركزيًا أم لامركزيًا يؤثر على نهج التنفيذ. قد يشمل هذا الأقسام قيد الدراسة ، وعدد الموظفين الذين ستتم مقابلتهم ، وعدد مواقع نظام المستشفيات التي يجب زيارتها. قد تجد بعض مؤسسات الرعاية الصحية ذات التواجد العالمي أنه من المفيد أيضًا إنشاء خرائط عملية لتوضيح التباين المرتبط بالسيطرة. وهذا بدوره يمكّن الإدارة من تقليل التغيب عن العمل وتعطيل السفر للموظفين المهمين.
- تقييم مخاطر الاحتيال - المستشفيات ليست محصنة ضد الاحتيال. تتعلق بعض حالات الاحتيال الأكثر شيوعًا بسرقة الأدوية والإمدادات ، وفواتير المرضى للإجراءات التي لم يتم إجراؤها ، والوصول غير المصرح به إلى معلومات المريض السرية.
- تقييم الفجوة - للحصول على مثال على الأماكن التي قد تفتقر إلى الضوابط ، ضع في اعتبارك عملية تحسين التوثيق السريري (CDI). قد تقوم بعض أنظمة المستشفيات بإجراء مراجعة CDI قبل إرسال الفاتورة الطبية إلى المريض ، مما يؤدي إلى حدوث أخطاء كبيرة في التقارير المالية.
المرحلة 3 - تخطيط العلاج وتنفيذها
بمجرد تقييم جميع الثغرات وتحديد أوجه القصور وتقييمها ، يمكن لمؤسسة الرعاية الصحية البدء في عملية الإصلاح وتصميم خطة العمل.
تميل خطط العلاج في المستشفيات إلى أن تكون معقدة وقد تتطلب تعاون العديد من العمليات والموظفين والأنظمة ومقدمي الخدمات من الأطراف الثالثة.
تتطلب هذه الخطط أيضًا من الإدارة تكريس المزيد من الوقت والاهتمام لضمان تنفيذها بنجاح.
المرحلة 4 - تصميم واختبار وإعداد التقارير عن الضوابط
في المرحلة الرابعة ، تختار مؤسسة الرعاية الصحية ضوابط للاختبار ثم تصمم الاختبارات لكل عنصر تحكم. تدعو COSO إلى طريقتين اختبار رئيسيتين في هذه السياقات:
- ملاحظة - حيث يراقب الفريق الأداء الفعلي للمراقبة. تعمل هذه الطريقة بشكل جيد مع رسائل الخطأ في الوقت الفعلي مثل سجل المريض الذي يعرض رسالة خطأ "غير مصرح به". تعد الملاحظة مفيدة أيضًا للتحقق من صحة تصميم التحكم للعمليات اليدوية حيث يمكنها تحديد ما إذا كان يتم اتباع الإجراءات المكتوبة حرفياً في الممارسة العملية.
- فحص التوثيق - حيث يتم فهم مجموعة الأنشطة أو المعاملات التي تتطلب أداء رقابة. إذا نصت إحدى الضوابط على ضرورة مراجعة إدخالات دفتر اليومية والموافقة عليها من قبل موظفين مؤهلين ، على سبيل المثال ، ستفحص الاختبارات الأدلة الداعمة الناتجة عن عنصر التحكم. بمعنى آخر ، دليل على أن إدخال دفتر اليومية قد تمت مراجعته بالفعل والموافقة عليه قبل إدخاله.
المرحلة الخامسة - تعظيم فعالية الضوابط الداخلية
في المرحلة النهائية ، تقوم مؤسسة الرعاية الصحية بتحسين نظام الرقابة الداخلية الخاص بها من خلال التأكد باستمرار من توافقه مع رؤيتها ، مهمةوالاستراتيجيات والأهداف.
من المهم أيضًا تحديد مزيج من الضوابط الوقائية والاستقصائية ، ويمكن قول الشيء نفسه أيضًا عن الضوابط اليدوية والآلية.
مثال على التحكم اليدوي في المستشفى هو مراجعة الوثائق التي يقوم بها أخصائي CDI عند التفاعل مع مخططات المريض أو شاشات السجلات الصحية الإلكترونية (EHR).
يحتاج هذا الضبط إلى التحقق من اكتمال المعلومات ودقتها وملاءمتها لأن خطر المعلومات غير الدقيقة ، كما ناقشنا في البداية ، يمكن أن يؤدي إلى عدم رضا المريض وعدم الامتثال والخسارة المالية.
الوجبات الرئيسية
- إطار عمل COSO هو أداة لإدارة مخاطر الاحتيال تستخدمها الشركات لتصميم إجراءات الرقابة الداخلية وتنفيذها وتقييمها.
- يوجه إطار COSO أفضل الممارسات للفعالية التشغيلية ، وإعداد التقارير المالية ، والامتثال القانوني أو التنظيمي.
- يتكون إطار عمل كوسو من خمسة مكونات أساسية. مجتمعة ، تسمح كل واحدة للشركة بالحفاظ على الرقابة الداخلية دون التضحية بالقدرة على تحقيق الأهداف أو دعم قيم الشركة.
ويبرز الرئيسية
- مقدمة لإطار عمل COSO:
- يساعد إطار عمل COSO في تصميم وتنفيذ وتقييم الرقابة داخل المنظمات.
- وتتكون من خمسة مكونات: بيئة الرقابة، وتقييم المخاطر، وأنشطة الرقابة، والمعلومات والاتصالات، وأنشطة المراقبة.
- ويعمل هذا الإطار كأداة لإدارة مخاطر الاحتيال لتعزيز إجراءات الرقابة الداخلية.
- فهم إطار عمل COSO:
- يساهم ضعف الرقابة الداخلية في ما يقرب من 50% من حالات الاحتيال في الشركات.
- تم تطوير إطار عمل COSO من قبل لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO).
- وهي تتألف من ممثلين من مختلف المجالات الذين يقدمون التوجيه بشأن تقييم المخاطر وتعزيز الضوابط الداخلية لمنع الاحتيال.
- مكونات إطار عمل COSO:
- التحكم بالبيئة: يضع المعايير التنظيمية والنبرة والثقافة فيما يتعلق بالرقابة الداخلية. يشجع المساءلة، والاحتفاظ بالمواهب، والقيم الأخلاقية.
- تقييم المخاطر: يحدد ويقيم المخاطر لتتماشى مع درجة تحمل المخاطر. يأخذ في الاعتبار المخاطر الداخلية والخارجية التي قد تؤثر على الرقابة الداخلية.
- أنشطة مكافحة: - تطوير السياسات والإجراءات للتخفيف من المخاطر المحددة. يطبق الضوابط في جميع أنحاء المنظمة لتحقيق الأهداف دون مخاطر مفرطة.
- المعلومات والاتصالات: يضمن أن الاتصالات الداخلية والخارجية تلتزم بالإجراءات وتساهم في تحقيق الأهداف التنظيمية.
- أنشطة المراقبة: يقوم بشكل دوري بتقييم الضوابط الداخلية والحفاظ عليها لضمان فعاليتها. أمر حيوي لنزاهة التقارير المالية.
- مثال إطار عمل COSO – الرعاية الصحية:
- تتطلب المستشفيات ضوابط داخلية قوية بسبب المتطلبات القانونية والامتثال ورعاية المرضى والفواتير.
- يتضمن تنفيذ إطار عمل COSO في مجال الرعاية الصحية مراحل متعددة:
- التخطيط وتحديد النطاق: مواءمة الأولويات والجداول الزمنية ونطاق إدارة المخاطر مع الأخذ في الاعتبار هيكل المستشفى.
- التقييم والتوثيق: تقييم هياكل الرقابة الحالية وتقييم مخاطر الاحتيال وتحديد الثغرات.
- تخطيط المعالجة وتنفيذها: يعالج أوجه القصور في خطط العلاج المعقدة، التي تتطلب التعاون ومشاركة الإدارة.
- تصميم واختبار وإعداد تقارير الضوابط: يختار ضوابط الاختبار ويطور طرق الاختبار، مثل الملاحظة أو فحص الوثائق.
- تحسين فعالية التحكم: يضمن التوافق المستمر مع الأهداف والاستراتيجيات التنظيمية ومعايير رعاية المرضى.
- الوجبات الرئيسية:
- يعد إطار عمل COSO أداة شاملة لإدارة مخاطر الاحتيال من خلال تصميم وتنفيذ وتقييم إجراءات الرقابة الداخلية.
- وهو يشمل خمسة مكونات أساسية توجه الفعالية التشغيلية، وإعداد التقارير المالية، والامتثال، وإدارة المخاطر.
- يوضح تطبيق الإطار في مجال الرعاية الصحية أهميته في معالجة التحديات المعقدة للرقابة الداخلية في صناعة حيوية.
أطر التحليل المتصلة
أطر العمل الأخرى ذات الصلة:
- نموذج AIDA
- مصفوفة أنسوف
- تحليل الأعمال
- نموذج الأعمال قماش
- أطر عمل إستراتيجية
- استراتيجية المحيط الأزرق
- إطار VRIO
موارد إضافية: