belső pénzügyi kontrollrendszer felmérése

A bels ő pénzügyi kontrollrendszer felmérésének alapjai

oktatási segédlet az irányítási-, kockázatkezelési- és kontrollfolyamatok

javításához és képesség-meghatározásához

összeállította:

Ivanyos János Memolux Kft.

www.training.ia-manager.org


2

Tartalom

1. Kockázatkezelési és belső kontroll modellek a vállalatirányítási elvek végrehajtására ... 3 1.1 Vállalatirányítási elvek ............................................................................................ 3 1.2 A vállalatirányítási kudarcokra adott válaszok áttekintése ...................................... 7 1.3 A belső kontrollrendszer jelentősége a törvényalkotási válaszlépésekben ...........11 1.4 A COSO modellek áttekintése ...............................................................................16 1.5 A COSO modellek alkalmazása az állami és pénzügyi szektorokban ...................20 1.6 A COSO Belső Kontroll Integrált Keretrendszere – Vezetői Összefoglaló .............27

2. Vállalati kockázatkezelés (ERM) ...................................................................................33 2.1 COSO ERM – Vezetői Összefoglaló .....................................................................33 2.2 Kockázatok típusai ................................................................................................39 2.3 Kockázatkezelés elemei ........................................................................................41 2.4 Kockázatértékelési technikák ................................................................................47 2.5 A belső kontrollrendszer integrálása a kockázatkezelési rendszerbe ....................51 2.6 Folyamatos kontroll- és kockázat értékelési eljárások ...........................................53 2.7 A vállalati kockázatkezelés korlátai .......................................................................56

3. Az ISO/IEC 15504 szabvány alkalmazása a belső pénzügyi kontrollrendszer folyamatainak felmérésére ...................................................................................................57

3.1 Bevezetés .............................................................................................................57 3.2 A COSO-alapú folyamatfelmérési modell ..............................................................58 3.3 A folyamatképesség mérési kerete .......................................................................64 3.4 A folyamatfelmérés mutatóinak megállapítása és átvétele ....................................74 3.5 A Belső Pénzügyi Kontroll Felmérési Modell képességi szintjei ............................79 3.6 A Belső Pénzügyi Kontroll Felmérési Modell megfelelősége .................................82

4. Az ISO/IEC 15504 szabvány alkalmazása a kontrollkockázat értékelésére ..................84 4.1 A kontrollkockázat értékelésére alkalmazott módszertan ......................................84 4.2 A folyamatfelmérés eredményeinek felhasználása ................................................90 4.3 Az irányítási képesség szintjeinek alkalmazása a belső pénzügyi kontrollfolyamatokra .........................................................................................................92 4.4 Folyamatjavítás .....................................................................................................97 4.5 Folyamatképesség meghatározása .......................................................................99

5. Folyamatfelmérés és ellenőrzés ................................................................................. 104 5.1 A belső ellenőrzés és a folyamatfelmérés ........................................................... 104 5.2 A különböző audit módszerek harmonizálása ..................................................... 108 5.3 A rendszer alapú ellenőrzési módszer és a folyamatfelmérés ............................. 112

6. A csalás és szabálytalanságok felmérése és csökkentése ......................................... 113 6.1 Alapfogalmak ...................................................................................................... 113 6.2 A belső kontrollok vezetés általi megszegése ..................................................... 117 6.3 A COSO belső kontroll keretrendszere és a csalás elleni tevékenységek irányítása 123 6.4 A csalás kockázata kontrollfolyamat .................................................................... 126

7. Informatikai kontrollok ................................................................................................. 130 7.1 Alapfogalmak ...................................................................................................... 130 7.2 COBIT Alapelvek ................................................................................................ 133 7.3 COBIT általános kontroll követelmények ............................................................. 138 7.4 COBIT érettségi modell ....................................................................................... 140 7.5 COBIT teljesítménymérési modelljének alkalmazása a vállalati kockázatkezelésben 144

8. Hivatkozások .............................................................................................................. 148


3

1. Kockázatkezelési és bels ő kontroll modellek a vállalatirányítási elvek végrehajtására

1.1 Vállalatirányítási elvek

Az OECD Vállalatirányítási Elvek

Az Irányítás (felelős vállalatirányítás vagy kormányzás) az a rendszer, mellyel a szervezeteket igazgatják és kontrollálják. Az irányítás struktúrája meghatározza a szervezet különböző résztvevői, például az igazgatóság (felügyeleti testület), vezetők, tulajdonosok és más érintettek közötti jogkör és felelősségkör megosztást, és kijelöli a szervezet ügyleteire vonatkozó döntéshozatal szabályait és eljárásait.

Az OECD Vállalatirányítási Elvek [1] először 1999-ben kerültek kibocsátásra, és azóta, a vállalatirányítás nemzetközi mércéjévé váltak, alapot biztosítva mind a kormányzati, mind pedig a magánszektor számos reformkezdeményezéséhez. Az Elveket 2003-ban módosították az 1999 óta bekövetkezett fejlemények figyelembe vételével, átfogó és nyílt konzultációs folyamat útján. Az új Elveket az OECD országok kormányai 2004 áprilisában fogadták el.

Az Elvek az OECD szervezeten belüli és kívüli országok kormányainak támogatását célozzák azon erőfeszítéseikben, melyekkel értékelni és javítani kívánják országaik vállalatirányításhoz kapcsolódó jogi-, intézményi- és szabályozási rendszerét, továbbá útmutatóul és ajánlásul kívánnak szolgálni a részvénypiacok, befektetők, vállalkozások és más érdekeltek számára abban, megerősítsék szerepüket a jó vállalatirányítás kialakítási folyamatában. Az Elvek elsősorban a tőzsdén megjelenő társaságokra koncentrálnak, de az alkalmazhatóság figyelembe vételével hasznos eszköznek bizonyulhatnak tőzsdén kívüli vállalkozások, így például a magán- és állami tulajdonú vállalatok számára is. Az Elvek az OECD tagállamok számára jelentenek közös kiindulópontot ahhoz, hogy mit tekintsenek lényegesnek a jó (vállalat)irányítási gyakorlatok fejlesztése kapcsán. Tömörnek, érthetőnek és a nemzetközi közösség számára elérhetőnek szánták őket. Nem kívánják helyettesíteni a vállalatirányítás részletesebb "legjobb gyakorlatait" kialakító kormányzati, fél-állami vagy magán szektorbeli kezdeményezéseket.

Az OECD Elvek alapján a legfontosabb vállalatirányítási kérdések, melyeket a nemzeti és nemzetközi szabályozó hatóságoknak figyelembe kell venniük, a következők:

• Eredményes vállalatirányítási keretrendszer alapjának biztosítása – A vállalatirányítási keretrendszernek elő kell segítenie az átlátható és hatékonyan működő piacok kialakulását, tiszteletben kell tartania a jogállamiságot, és pontosan meg kell határoznia a különféle felügyeleti, szabályozó és végrehajtó hatóságok közötti felelősségkör megosztást.

• Részvénytulajdonosok jogai és kulcsfontosságú tulajdonosi funkciók – A vállalatirányítási keretrendszernek védenie és támogatnia kell a részvénytulajdonosok jogérvényesítését.

• Részvénytulajdonosok méltányos kezelése – A vállalatirányítási keretrendszernek biztosítania kell valamennyi részvénytulajdonossal, beleértve a kisebbségi és külföldi részvénytulajdonosokkal szembeni egyenlő bánásmódot. Valamennyi részvénytulajdonosnak jogában áll, hogy jogaik megsértése esetén hatékony jogorvoslatban részesüljön.

• Érintett felek szerepe a vállalatirányításban – A vállalatirányítási keretrendszer köteles elismerni az érintettek törvényes vagy kölcsönös megállapodásokban rögzített jogait, és támogatni a társaságok és az azokban érdekelt felek közötti együttműködést az anyagi javak és munkahelyek létrehozásában, valamint a pénzügyileg egészséges vállalkozások fenntarthatóságának biztosításában.


4

• Nyilvánosságra hozatal és átláthatóság – A vállalatirányítási keretrendszernek biztosítania kell, hogy időben és pontosan nyilvánosságra kerüljön a társaságot érintő minden lényeges ügy, ideértve a pénzügyi helyzetet, a teljesítményt, a tulajdonviszonyokat és a vállalat irányítását.

• A felügyeleti testület felelőssége – A vállalatirányítási keretrendszernek biztosítania kell a vállalat stratégiai útmutatását, a vezetőség felügyeleti testület általi eredményes figyelemmel kísérését (monotoring), valamint a felügyeleti testület elszámoltathatóságát a vállalat és a részvénytulajdonosok előtt.

Az OECD Elvekhez írt előszó hivatkozik arra, hogy azok "evolúciós természetűek, és a körülményekben bekövetkező lényeges változások esetén felülvizsgálatra szorulnak". Ugyancsak felismerésre kerül, hogy "annak érdekében, hogy a változó világban versenyképesek maradjanak, a társaságoknak fejleszteniük és átdolgozniuk kell vállalatirányítási gyakorlatukat ahhoz, hogy az új igényeknek megfelelhessenek és a az új lehetőségeket megragadhassák".

2006-ban az OECD kiadta a ”Methodology for Assessing Implementation of the OECD Principles on Corporate Governance” [2] című dokumentumot, amely tovább erősíti a párbeszédet az Elvek törvénykezési megvalósításáról és keretet nyújt a politikai tárgyalásokhoz.

A pénzügyi válság tanulságai

A pénzügyi válság felszínre hozta a vállalatirányítás súlyos hiányosságait. Amikor leginkább szükségesek lettek volna, gyakran meghiúsultak azok az ellenőrzések és mérlegelések, melyeket a vállalkozásoknak alkalmazniuk kellett volna az egészséges üzletvitel gyakorlásához.

Már a legutóbbi pénzügyi válságot megelőzően is, a vállalatirányítási kudarcok közül többen számos hasonló tényező fedezhető fel [3]:

• A felügyeleti testület (igazgatóság) nem mérte fel a társaság által vállalt kockázatokat, és nem gyakorolt megfelelő felügyeletet vagy nem alkalmazta a megfelelő beszámoltatási gyakorlatot a felsővezetés és az alkalmazottak gyakorlati ténykedése fölött;

• Az összeférhetetlenségek és a független igazgatósági tagok és felsővezetők hiánya miatt olyan döntések születtek, melyek a többség kárára csak néhányak előnyét szolgálták;

• A belső kontrollok vagy gyengék voltak, vagy nem léteztek, illetve csak papíron jelentek meg gyakorlati végrehajtás nélkül;

• A belső és a külső ellenőrzés között „elsikkadt” a csalás, sőt a nem megfelelő ellenőrzések időnként segítették és pártolták is ezt a magatartást;

• Olyan tranzakciók és szervezeti struktúrák kerültek kialakításra, melyek zavarták az átláthatóságot, és meggátolták, hogy a piaci szereplők és a hatóságok valós képet kapjanak a vállalkozás helyzetéről;

• A vállalati kultúra az etikátlan magatartás táptalaja volt, és nem ösztönzött a kérdések felszínre hozására.

2009 júniusában az OECD közzétette a ”Corporate Governance and the Financial Crisis: Key Findings and Main Messages” (Vállalatirányítás és a pénzügyi válság: Kulcsfontosságú megállapítások és főbb tanulságok) [4] című dokumentumot, amely mélyebben és általánosabban vizsgálja az erősségeket és a gyengeségeket.

A lényeges vállalatirányítási gyengeségek elemzése az OECD Elveken alapul, és az eredmények kulcsfontosságú megállapítások és főbb tanulságok formájában kerülnek összegzésre. A jelentés a vállalatirányítás négy - a legutóbbi kudarcokhoz szorosan kapcsolódó - területét emeli ki: a javadalmazási és ösztönző rendszerek; a kockázatkezelési gyakorlatok; a felügyeleti testületek teljesítménye; és a (részvény)tulajdonosi jogok gyakorlása.


5

A négy terület szorosan összefügg egymással: ha a javadalmazás túlzott volt és/vagy nem megfelelően összeállított elemekből állt, akkor miért hagyták (jóvá) ezt az állapotot a felügyeleti testületek? Ha a kockázatkezelés nem megfelelően kezelte a javadalmazási rendszerekből fakadó kockázatokat, akkor a felügyeleti testületek miért maradtak nyilvánvalóan a háttérben, vagy túl sokat várunk-e el azon nagy és bonyolult struktúrájú társaságok felügyeleti testületeitől, amelyek nagymértékben maguk is a felügyeleti testületek és tulajdonosok döntéseinek eredményei? A részvénytulajdonosok miért nem voltak képesek az elszámolási kötelezettség meglétét biztosítani? Ez a meglévő vállalatirányítási normák megvalósítási problémáit is előtérbe helyezi.

Az alábbiakban összefoglaljuk, hogy az OECD szakértői által levont tanulságok mely témakörök köré összpontosulnak:

• A javadalmazási folyamat irányítása – A társaságoknak képeseknek kell lenniük arra, hogy megindokolják a teljesítményükkel összefüggő javadalmazási programok fő jellemzőit, mégpedig tömör és közérthető formában, valamint a hosszú távú teljesítmény ösztönzését szem előtt tartva.

• A kockázatkezelés eredményes megvalósítása – A kockázatkezelés eredményes megvalósítása szervezeti szintű (enterprise-wide) megközelítést igényel, amely támogatja a kockázatviselési szint (risk appetite) vállalati stratégiával való összhangját és a kockázatkezelés megfelelő belső struktúrájának kialakítását.

• A felügyeleti testület gyakorlatai – A célkitűzés az, hogy elősegítsék az alkalmas és elszámoltatható felügyeleti testületek kinevezését, amelyek képesek tárgyilagos és független döntéseket hozni.

• A (részvény)tulajdonosi jogok gyakorlása – A társaságoknak többet kell tenniük azért, hogy támogassák a tulajdonosaikkal való építő jellegű kapcsolatok fenntartását.

• Az eredményes megvalósítás támogatása – Az OECD Elvek széleskörűen alkalmazhatóak, de megvalósulásuk még jelenleg is kérdéses.

Az OECD nagyratörő akciótervet indított a vállalatirányítási gyengeségek vonatkozásában. Ennek célja, hogy javaslat-csomagokat dolgozzon ki az elsődleges területeken történő előrelépésekre, mint például a felügyeleti testületek gyakorlatai; kockázatkezelés megvalósítása; javadalmazási folyamatok irányítása; és a (részvény)tulajdonosi jogok gyakorlása. Ezek a javaslatok vonatkoznak majd arra is, hogy hogyan lehet a már elfogadott normák megvalósításán javítani.

A Vállatirányítási Elvek megvalósítása

A (Felelős) Vállalatirányítás - Corporate Governance - a (részvény)tulajdonosok érdekeit előtérbe helyező azon elvek összessége, amelyek az átláthatóságnak, valamint a vezetés és a kontroll megfelelően kiegyensúlyozott arányának a biztosítását célozzák, megőrizve a vállalati döntéshozatali képesség és hatékonyság legmagasabb szintjét. A vállalatirányítási elvek megvalósításának eszközekét a vállalati kockázatkezeléssel integrált belső kontrollrendszer azokat a politikákat (irányelveket), eljárásokat, gyakorlatokat és szervezeti struktúrákat tartalmazza, amelyeket annak érdekében alakítanak ki (és működtetnek), hogy megfelelő szintű bizonyosságot nyújtsanak a vállalati célok teljesülésére, és arra, hogy a nem kívánatos események bekövetkezését megelőzzék, vagy időben felderítsék és megfelelően kezeljék.

A szabályozási követelmények (mint például az Egyesült Államokban a tőzsdei kereskedésben szereplő társaságokra vonatkozó Sarbanes-Oxley törvény, a Bázel II egyezmény, az EU Társasági Törvény, illetve a kormányzati és költségvetési szervezetekre vonatkozó más európai és nemzeti irányelvek, stb.) nemcsak a kockázatkezelési és belső kontrollrendszerek nemzetközileg elismert keretrendszerek alapján történő megvalósítását írják elő, hanem az eredményes kialakításra és működtetésre vonatkozó felsővezetés általi időszaki értékelések közzétételét is. Bár ezek a szabályozások többnyire a pénzügyi beszámolásra koncentrálnak, a globális (pénzügyi és gazdasági) válság megmutatta, hogy a kockázatkezelés és belső kontrollrendszer hatókörének kiszélesítése tényleges üzleti értéket jelent. Az utóbbi években több(tíz)ezer időszaki értékelés készült a vállalati,


6

pénzügyi és kormányzati ágazatokban és a törvényalkotók (szabályozó hatóságok) továbbra is jelentős erőfeszítéseket tesznek a kötelező szabályok és az ajánlások továbbfejlesztésére annak érdekében, hogy a nyilvánosságra hozott vállalati információk és értékelések az érdekeltek számára mind hasznosabbá váljanak.

A globális válság arra is rámutatott, hogy sok, a belső kontrollok eredményességére vonatkozó pozitív (külső és belső) értékelés megalapozatlannak vagy hamisnak bizonyult azokban az esetekben, amikor a kockázatkezeléshez elszigetelten alkalmazott gazdasági modellek nem igazodtak a stratégiai üzleti célok időhorizontjához. A felsővezetés és a felügyeleti testületek elszámoltathatóságának megalapozására és támogatására olyan integrált felmérési (értékelési) modelleket kell (célszerű) használni, amelyek mind a működési, mind a pénzügyi folyamatokra alkalmazhatóak. Azok a felmérési modellek, amelyek a stratégiai célkitűzések vonatkozásában a legtöbb tevékenységi területet lefedik, hozzáadott értéket jelentenek a felügyeleti testületek, az operatív- és a felsővezetés tagjai, valamint a belső és külső ellenőrök (auditorok) számára, hiszen a célok elérésének közös elveken alapuló felmérésével segítenek a különböző műveletek monitoring (figyelemmel kísérési) ráfordításainak optimalizálásában.

A súlyos irányítási botrányok - függetlenül az aktuális globális pénzügyi és gazdasági válságtól - felhívják a figyelmet arra, hogy nemcsak az alapvető üzleti működési tevékenységek (termelés, értékesítés, beszállítási lánc, stb.) specifikus szabványok szerinti felmérése, auditálása vagy tanúsítása szükséges, hanem az összes irányítással összefüggő folyamatoké is. A Satyam cég esete rámutat arra, hogy még azok a nagy informatikai vállalatok sem tudják elkerülni az irányítási rendszer olyan kudarcait, mint a csalárd pénzügyi beszámolás, amelyek egyébként a minőségirányítás és folyamatjavítás nemzetközileg elismert élharcosai.

A vállalatirányítás utóbbi években bekövetkezett kudarcainak okait elemezve megállapítható, hogy ezek elsősorban a kockázatkezelés és a belső kontrollrendszer hiányosságaira vezethetők vissza. A felelős vállalatirányítás vonatkozásában tehát a vezetésnek mindenekelőtt a monitoring- és kontrollfolyamatok javításával kell törekednie a működési folyamatok optimalizálásra.

A kockázatkezelési és kontroll keretrendszerek az elveken nyugvó referenciamodellek, jó gyakorlatok és értékelési módszerek (megfelelő) alkalmazásával járulnak hozzá a vállalatirányítás javításához. A vállalatvezetők akkor kezdtek szembesülni a folyamatképesség (process capability) és szervezeti érettség (organizational maturity) kérdéseivel, amikor a jogszabályi megfelelésre való felkészüléssel járó hatalmas költségek miatt mérlegelni kezdték az ilyen erőfeszítések fenntarthatóságát és azok hozzáadott üzleti értékét. Erre a kihívásra nyújt megoldást az ISO/IEC 15504 folyamatfelmérési szabvány [5] (amelyet a szakmai közösség "SPICE"-nak is nevez), és annak értékelési modellje. A különböző üzleti (szervezeti) egységek és tevékenységek, valamint az informatikai irányítási és a pénzügyi beszámolási folyamatok belső kontrollrendszere(i) eredményességének felmérése során ezek a módszerek alkalmazhatóak a felsővezetők, a felügyeleti testületek, valamint a belső és külső ellenőrök (auditorok) számára is. A vállalatirányítás számos kódexének összefoglalása megtalálható Az Európai Vállalatirányítási Intézet (European Corporate Governance Institute) Web lapján (http://www.ecgi.org/codes/all_codes.htm).


7

1.2 A vállalatirányítási kudarcokra adott válaszok áttekintése

1. ábra: A piac reakciója a vállalatirányítási kudarcokra A különféle pénzügyi világpiacok törvényhozói és kormányai keményen dolgoztak azért, hogy határt szabjanak az okozott kárnak, és helyreállítsák a befektetők bizalmát. Alább olvasható néhány olyan kulcsfontosságú esemény, mely a vállalatirányítási szabályozás és jogérvényesítés törvényalkotói terepét formálta. További információk találhatók a Corporate Governance brosúrában, Vogon International, 2005 [6] és az Anthony Tarantino által írt The Globalization of Efforts to Improve Internal Controls: Why Much of the World Thinks SOX Sucks című műben [7]. A Cadbury jelentés 1992 A Cadbury jelentés nevét Sir Adrian Cadbury-tól, a jelentést készítő bizottság elnökétől kapta. A Cadbury Bizottság, vagy hivatalos nevén „A Vállalatirányítás Pénzügyi Aspektusaival Foglalkozó Bizottság” létrejöttét elsősorban a köz aggodalmának köszönhette. Ezt az aggodalmat a Maxwell féle csalási ügy keltette amiatt a felismerés miatt, hogy milyen nyilvánvalóan egyszerű visszaélni a hatalommal a nagy szervezeteken belül, és hogy sürgetően szükséges a vállalatirányítási kérdéseket közelebbről is megvizsgálni. A Bizottság 1992 vége felé hozta létre jelentését és a hozzátartozó Legjobb Gyakorlati Kódexet. A bizottság annak az alapvető hitnek a szellemében gyűlt össze, hogy az aktuálisan működő vállalatirányítási rendszer megfelelő, és hogy csak jobb átláthatóságra és elszámoltathatóságra van szükség a normák javításához. A munka eredményeképpen megszülető „Cadbury Kódex”, ahogy ezt elnevezték, nem volt jogilag kötelező érvényű, bár minden a Londoni Tőzsdén nyilvánosan jegyzett vállalatnak nyilatkozatot kellett tennie a kódexnek való megfelelésről. A jelentés az elszámoltathatóság három fő területére koncentrált: igazgatóság, részvénytulajdonosok és az ellenőrzés folyamata. Általában úgy tartják, hogy lényegi és pozitív hatása volt mind az Egyesült Királyságban, mind pedig szerte a világon részben a „megfelelés vagy indoklás” alapú vállalatirányítási megközelítésének köszönhetően, melynek alapján egy szervezetnek nyilatkoznia kellett arról, hogy teljes egészében megfelel a kódex rendelkezéseinek, vagy ellenkező esetben ezt indokolni kellett.

0

20

40

60

80

100

120

Dec-99

Feb-00

Apr-00

Jun-00

Aug-00

Oct-00

Dec-00

Feb-01

Apr-01

Jun-01

Aug-01

Oct-01

Dec-01

Feb-02

Apr-02

Jun-02

Aug-02

Oct-02

Dec-02

Feb-03

S&P 500 Nikkei 225 FTSE Eurotop 100 All Ords

Early 2001

HIH

OneTel September 11

Ansett collapses

Enron’sproblemsrevealed

Enronfiles for bankruptcy

Xerox accounting fraud

WorldComaccountingfraud

WorldComcollapses

Cloud of distrust?

Remuneration under scrutiny

Source: PWC

0

20

40

60

80

100

120

Dec-99

Feb-00

Apr-00

Jun-00

Aug-00

Oct-00

Dec-00

Feb-01

Apr-01

Jun-01

Aug-01

Oct-01

Dec-01

Feb-02

Apr-02

Jun-02

Aug-02

Oct-02

Dec-02

Feb-03

S&P 500 Nikkei 225 FTSE Eurotop 100 All Ords

Early 2001

HIH

OneTel September 11

Ansett collapses

Enron’sproblemsrevealed

Enronfiles for bankruptcy

Xerox accounting fraud

WorldComaccountingfraud

WorldComcollapses

Cloud of distrust?

Remuneration under scrutiny

Source: PWC


8

A Turnbull jelentés 1999 A Turnbull Bizottság azt a feladatot kapta, hogy a szervezeteken belüli vállalatirányítási keretrendszert létrehozó belső kontrollokra koncentráljon. A munka eredményeképpen létrejövő jelentés egy nem előíró jellegű közös megfelelési keretet hozott létre a vállalatok számára. Iránymutatást kaptak arra vonatkozóan, hogy hogyan kövessék és fejlesszék ezt a keretrendszert, illetve világos legjobb gyakorlatra vonatkozó ajánlások születtek. A Turnbull jelentés forradalmasította a vállalatirányítás gyakorlatának folyamatát. Egyben jelentős nemzetközi figyelmet is keltett.

Az Egyesült Királyság és Kanada

Az Egyesült Királyság belső kontrollt javító lépéseit az elsőként 1999-ben publikált Kombinált Vállalatirányítási Kódex írja le. E „Turnbull Guidance” célja, hogy segítséget nyújtson az Amerikai Értékpapír és Tőzsde Felügyelet által nyilvántartott, „SEC által regisztrált” olyan nem amerikai vállalatoknak, melyek a Turnbull Útmutatót választották a Sarbanes-Oxley 404-es szakasza szerinti keretrendszernek. A SEC is hivatkozik a Turnbull Guidance-re, mint a belső kontrollok eredményességének megfelelő értékelő keretrendszerére. Hatályba lépésének dátuma 2005 július 15.

Kanada saját intézkedéseket vezet be a belső kontroll javítására. Ezeket az Ontario Értékpapír Bizottság 52-109 Multilaterális Eszközeként (a SOX 302-eshez hasonló), és 52-111 Multilaterális Eszközeként (a SOX 404-eshez hasonló) ismerik, melyek megkövetelik, hogy a vállalat éves jelentésével együtt egy belső kontroll jelentés is iktatásra kerüljön.

A Bázeli Bizottság - 1999 & 2004 A Barings Bank bukása és más pénzügyi csalások után, a banki csődök számának csökkentése érdekében új iránymutatások kidolgozására létrejött a Bázeli Bizottság. Az a megoldás született, hogy a bank saját mutatóit (ebben az esetben tőkemegfelelőségi mutatóját) összekapcsolták az általa nyújtott hitelekkel kapcsolatban felmerülő kockázat nagyságával. Az iránymutatások célja az volt, hogy a banki szektorban világszerte javítsa a vállalatirányítási normákat. A Bázeli Bizottság által összeállított jelentés elsősorban a kommunikációs csatornákat, a felsővezetőség általi felügyeletet, a belső és külső auditori ellenőrzéseket, a kompenzációs és javadalmazási kérdéseket, valamint a felelősségi és beszámolási hierarchiákat vizsgálta. 2007. utolsó negyedévében hatályba léptek a Bázel II jogszabályai. A Bázel II sokkal szofisztikáltabb modellt használ a befektetési kockázatelemzéshez, és orvosolja a hatályos Bázel I szabályozási keretrendszer néhány gyengeségét és negatív hatását. A Bázel II elvek bevezetésének potenciális költségei számos vita témáját képezték.

Banki és biztosítási tevékenység

Olyan lépések is kialakítás alatt vannak, melyek a banki közösségen belüli belső kontrollokat hivatottak javítani. 2004. júniusában egy tíz országból álló csoport megjelentette a Bázel II-ként ismert új tőkemegfelelőségi keretrendszert. A Bázel II 744-es és 745-ös szakaszai megkövetelik a belső kontroll struktúrák kockázatkezelést is magába foglaló független ellenőrzését; a belső politikáknak való megfelelőség figyelésére alkalmas módszer létrehozását; és annak visszaellenőrzését, hogy a belső kontrollrendszer képes-e a jól rendezett és prudens üzletmenet biztosítására.

A Bázel II 751. és 752. szakasza rendelkezik a kontrollkörnyezet értékeléséről, beleértve a jelentéstételi és adatkezelési rendszerek minőségét, azt a módot, ahogy az üzleti kockázatok


9

és tevékenységek aggregálásra kerülnek, és a vezetőség felmerülő vagy megváltozó kockázatokkal szemben tett lépéseire vonatkozó feljegyzéseket. Az egyes bankok tőkeszintjét kockázati profiljuk, kockázatkezelési folyamatuk és belső kontrollrendszerük megfelelősége szerint kell meghatározni.

Az Európai Bizottság által kiadott Pénzügyi Szolgáltatások Cselekvési Terve a Solvency II-vel jelentős kihívásokat támaszt a biztosítótársaságok számára az új szolvencia rendszer miatt. A tőkepiacok nagyobb stabilitást és átláthatóságot igényelnek a fizetőképesség mérésében. A szolvencia követelmények javítása mellett a Bizottság szerint a bankokra és biztosítókra vonatkozó szabályokat harmonizálni kellene, mert számos termékajánlatuk fedi egymást és összevont.

A Bázel II és a Szolvencia II megköveteli, hogy a bankok és biztosítók gondolják újra jelenlegi kockázatkezelési stratégiáikat, mivel közülük sokan nem rendelkeznek a kockázatok számszerűsítésére és enyhítésére alkalmas rendszerekkel. Mind a Bázel II, mind a Solvency II hárompilléres megközelítést alkalmaz, melyben az egyik pillér igényli a továbbfejlesztett belső kontrollt, beleértve a kockázatkezelést is, a pénzügyi jelentéstétel átláthatóságát támogató eszközként. Mivel a bankok és a biztosítók kötelesek a kockázatot kezelni, a robusztus belső kontrollrendszerrel rendelkező ügyfeleiket alacsonyabb tőkeköltséggel vagy alacsonyabb kamatlábakkal jutalmazzák.

A Sarbanes-Oxley törvény 2002 Az Enron bukását, a WorldCom és a Global Crossing eseményeket követően, melyekben vélhetően az összeférhetetlenségeket és a vállalatok és azok külső ellenőrei közötti szoros kapcsolatokat lehetett hibáztatni, az Egyesült Államok Kongresszusa reformokban állapodott meg a New Yorki Tőzsdével (NYSE). Ennek eredményeképpen jött létre a 2002-es Sarbanes-Oxley törvény. Ennek a jogszabálynak átfogó hatása van a vállalatirányítási stratégiákra az Egyesült Államokon belül, és azon kívül is. A Ttörvény célja, hogy biztosítsa a könyvvizsgálók függetlenségét. Kihangsúlyozza az ügyvezető igazgatók és a pénzügyi igazgatók kötelességeit azáltal, hogy szigorú büntetéseket szab ki vállalataik hamis pénzügyi beállításáért a negyedéves és éves jelentésekben. Ezeknek a jelentéseknek meg kell állapítaniuk, hogy a vállalat teljes egészében megfelel valamennyi vonatkozó értékpapír törvénynek, és hogy a befektetőknek bemutatott dokumentumok hűen tükrözik a vállalat pénzügyi helyzetét. A félretájékoztatás akár 1 millió dolláros személyi bírság vagy akár 10 év börtön büntetését, vagy mindkettőt vonhatja maga után. A törvény továbbá korlátozza azokat a tevékenységeket vagy szolgáltatásokat, melyeket a külső ellenőrök ajánlhatnak az általuk ellenőrzött vállalatoknak, aminek az a célja, hogy erősítse függetlenségüket és megszűntesse a lehetséges összeférhetetlenséget. A törvény értelmében létrejött továbbá egy új szabályozó testület, melynek neve a Nyilvános Társaságok Számviteli Felügyeleti Testülete (PCAOB – Public Company Accounting Oversight Commission), melynél minden amerikai tőzsdei vállalatnak, még a külföldi vállalatoknak is regisztráltatniuk kell magukat. A 2002-es Sarbanes-Oxley törvény szerint a SEC (U.S. Securities and Exchange Commission) által regisztrált éves jelentéseknek tartalmazniuk kell egy „Belső Kontroll Jelentést”.

A Belső Kontroll Jelentésnek magába kell foglalnia mind a belső kontrollrendszer hatékonyságának felmérését, mind a kibocsátó által alkalmazott eljárásokat a pénzügyi jelentéstétel céljaira.

• Belső kontrollrendszert kell létrehozni és fenntartani. Ezeknek biztosítaniuk kell, hogy a vállalatra (és a konszolidált leányvállalatokra) vonatkozó lényeges adatok ismertek legyenek a hitelesítést végző, és a vállalaton belüli más személyek előtt;

• A vállalat belső kontrolljainak eredményességét a hitelesítést végzőnek értékelnie kell. A jelentésnek tartalmaznia kell a belső kontrollok eredményességére vonatkozó következtetéseiket;


10

• A vállalati ellenőrök és az ellenőrzési bizottság számára ismertté kell tenni a vállalat belső kontrollrendszerének valamennyi jelentős hiányosságát;

• A vállalat ellenőröket és ellenőrzési bizottságot tájékoztatni kell bármely olyan csalásról (annak súlyosságától függetlenül), melybe bevonódtak a vezetők és más olyan vállalati alkalmazottak, akik fontos szerepet játszanak a vállalat belső kontrollrendszerében;

• A jelentésnek nyilvánosságra kell hoznia bármely olyan változást, mely jelentősen befolyásolhatja a vállalat belső kontrolljait attól a dátumtól kezdődően, amikor ezek a kontrollok utoljára értékelésre kerültek.

Vállalati jog és vállalatirányítás az Európai Uniób an

A “Modernising Company Law and Enhancing Corporate Governance in the European Union - A Plan to Move Forward'” („Vállalati jog modernizálása és a vállalatirányítás továbbfejlesztése az Európai Unióban – Terv a továbbhaladáshoz”) [8] című közlemény a Bizottság válasza a következőkre:

• Jaap Winter elnöklése alatt álló Vállalati Jogi Szakértői magas szintű munkacsoport 2002 november 4-én bemutatott Végső Jelentése, melynek fő témái voltak a vállalatirányítás az EU-ban és az európai vállalati jog;

• a 2002 szeptember 30-i Versenyképességi Tanács, mely felkérte a Bizottságot, hogy szervezzen mélyreható vitát a megjelenésre váró jelentésről, és alakítson ki – a tagállamokkal együtt – egy cselekvési tervet a vállalati jogra vonatkozóan; illetve

• a 2003 március 20 – 21-i Európai Tanács, mely megerősítette a Bizottság által készítendő cselekvési terv elfogadásának szükségességét.

A közlemény elmagyarázza, hogy a vállalati jog és a vállalatirányítás európai jogszabályi keretrendszerét miért szükséges modernizálni. Valóban szükség van a jelenlegi európai uniós vállalati jogi eszközök modernizálását, illetve korlátozott számú új, testre szabott eszközt tartalmazó európai uniós keretrendszert célzó új kezdeményezésekre a következő okokból: az utóbbi időszak pénzügyi botrányainak káros hatása, az a növekvő tendencia, hogy az európai társaságok határokon átívelő módon működnek a belső piacon, az európai tőkepiacok folytatódó integrációja, az új információs és kommunikációs technológiák gyors fejlődése és az Európai Unió bővítése az új tagállamokkal. Ebben a kontextusban a közlemény meghatározza azokat a fő politikai célkitűzéseket, melyek az Európai Unió szintjén elvégzendő jövőbeli lépéseket hivatottak inspirálni ezeken a területeken. A Bizottság cselekvési tervében megfogalmazott fő célkitűzések:

1. részvénytulajdonosi jogok és harmadik felek védelmének erősítése a vállalati kategóriák pontos megkülönböztetésével, és

2. az üzleti hatékonyság és versenyképesség táplálása különös tekintettel néhány konkrét határokon átnyúló kérdésre.

A cselekvési terv egy sor átfogó javaslaton alapszik, melyeket hat fontos fejezetbe soroltak: vállalatirányítás, tőkemegtartás és módosítás, csoportok és piramisrendszerek, vállalat átstrukturálás és mobilitás, az európai magántársaságok, szövetkezetek és más társasági formák.


11

1.3 A bels ő kontrollrendszer jelent ősége a törvényalkotási válaszlépésekben A belső kontrollra vonatkozóan számos definíció létezik a különböző útmutató dokumentumokban, mint például a COSO [9] (Egyesült Államok), a Turnbull (Egyesült Királyság) és a CoCo (Kanada) keretrendszerekben. Bár e definíciók némileg eltérőek, a belső kontroll lényegében olyan „folyamat”, melyet a vállalat irányításával és vezetésével megbízottak alakítanak ki, működtetnek és követnek nyomon annak érdekében, hogy ésszerűen elegendő biztosítékot adjanak a vállalat célkitűzéseinek elérésére. A „folyamat” széles értelmezésben túlmutat az eljárásokon, és magába foglal olyan elemeket is, mint a vállalati kultúra, rendszerek, struktúra, politikák és feladatok. Az EU országokban a belső kontrollal kapcsolatos útmutatások jelenleg lényegében erre a folyamat megközelítésre koncentrálnak. A jól működő belső kontrollrendszer jelentősen elősegíti az időben és megbízható módon összeállított pénzügyi beszámolókat. A jó vállalatirányítás biztosításával fenntartható vállalati érték jön létre. Ezért lényegi fontosságú a megbízható belső kontrollok végrehajtása, dokumentálása és folyamatos minőségbiztosítása. A megfelelő üzleti menedzsment garantálása, az eszközök és kockázatok biztosítása, valamint a hibák és büntetendő cselekmények elkerülése a pénzügyi jelentéstétel során jelentik a belső kontrollrendszer kulcsfontosságú felelősségkörét. Kötelez ő jogszabályok vagy önkéntesen alkalmazható útmutatá sok Bár az amerikai vállalati botrányokat kísérte jelentős figyelem, de Európának is megvoltak saját Enron és WorldCom verziói. Az olasz élelmiszeripari óriás, a Parmalat, illetve a holland kiskereskedő cég, az Ahold legutóbbi példája is ezt mutatja. A botrányok és ezeket követően a befektetők bizalmának elvesztése fokozta az olyan szabályozási keretrendszer létrehozását célzó globális erőfeszítéseket, mely javítja a pénzügyi beszámolás átláthatóságát mind a tőzsdén jegyzett cégek, mind a kormányzati szervek esetében.

A Sarbanes-Oxley törvényt övezte a legnagyobb figyelem, melyet a világ nagy részén általában olyan túlreagálásnak tekintik, mely túl kemény terhet ró elsősorban a gazdasági növekedés nagy részét létrehozó kisebb és vállalkozóbb szellemű társaságokra.

Az Európai Unió elvi alapú önkéntes megközelítést alkalmaz, melyben kevésbé hagyatkozik az állami jogszabályokra, mint az Egyesült Államok. Az EU ezt úgy tálalja, mint felnövőben lévő globális szabványt. A hevesebb európai kritikusok a SOX-ot az amerikai imperializmus kiterjesztésének tekintik, de kevés bizonyítékot tudnak felmutatni annak igazolására, hogy az önkéntes intézkedések beválnának. A SOX még elég új ahhoz, hogy pozitív hatásai felmérhetőek legyenek, ráadásul a költségbecslések is folyamatosan nőnek, és a legtöbb nagyvállalat esetében 1 milliótól 5 millió dollárig terjednek.

Az önkéntesnek szánt útmutatók – kötelező jogszabályok vita feloldása talán annak feltárásában rejlik, hogy melyik megközelítés nyújtja a legtöbb gazdasági előnyt. Még az Egyesült Államokat legkeményebben kritizálók is elismerik, hogy az amerikai gazdasági növekedés folyamatosan az EU és az OECD tagállamainak szintje fölött marad.

Előrelátó amerikai állami és magánvállalatok pro-aktív módon közelítik meg a belső kontrollok javítását célzó jogszabályi követelményeket. Olyan legjobb gyakorlatnak tekintik ezeket, melyek növelik a nyereségességet és stratégiai versenyelőnyt biztosítanak. Ha ez igaz, akkor a növekedési olló tovább nyílhat az Egyesült Államok és az EU között.


12

Az EU belső kontroll-javítással kapcsolatos érdekeltségét az euró egységes valutaként történő bevezetése, a tőke szabadabb áramlása, a részvénytulajdonlás növekedése és terjedése, a fokozott fúziós és felvásárlási tevékenységek, illetve a hatékonyságot és versenyképességet célzó globális piaci nyomások hívták életre. Más hasonló tényezők voltak a befektetői bizalmat megrendítő botrányok, a gazdasági hanyatlás és a tőke menekülése számos bizonytalan területről.

A belső kontroll javítását célzó vállalatirányítási kódexeket kibocsátó EU országok száma drámaian megnőtt az 1990-es években. Ezen nemzeti kódexek elfogadását az OECD segítette a globális bruttó nemzeti jövedelem 60 százalékát és a világméretű kereskedelem 76 százalékát képviselő 30 tagországában. Az OECD-nek továbbá kapcsolatai vannak 70 más országgal is, így globális lefedettségű. Vezető szerepet tölt be a jó vállalatirányítás támogatásában mind az állami szolgáltatások, mind a vállalati tevékenység területén.

Az OECD Egyezmény 8. szakaszának vonatkozó rendelkezése a SOX-hoz hasonló kötelezettséget ír elő. Az átláthatóságot növelni hivatott intézkedések többek között a következők:

• Megfelelő beszámolási követelmények; • Független külső ellenőrzések; és • Belső vállalati kontrollok.

Az Európai Gazdasági Reform Fehér Könyve 2002-ben a belső kontrollokat úgy határozza meg, mint öt kulcsfontosságú ellenőrzési komponens szabványainak kialakítását:

• Kontrollkörnyezet; • Teljesítmény és kockázatkezelés; • Információ és kommunikáció; • Kontrolltevékenységek; és • Ellenőrzés és értékelés.

A SOX-hoz hasonlóan az EU is azt hangsúlyozza, hogy a belső kontrollok az összes vezető felelősségi területére tartoznak, és ezeket integrálni kell valamennyi üzleti tevékenységbe annak érdekében, hogy hiteles információk rendelkezésre állásával a változások időben lereagálhatóak legyenek.

Az OECD belső kontrollal szembeni elvi alapú megközelítése inkább a jó szabványokon, mintsem a Sarbanes-Oxley által megkövetelt kötelező szabályszerűségen alapszik. Az OECD azzal érvel, hogy a SOX-hoz képest az általuk alkalmazott Vállalatirányítási Elvek a következő előnyökkel járnak:

• A SOX-tól eltérően ezek fontos szerepet játszanak a nemzeti kódexek és elvek kialakításában, és világméretű szabvánnyá válhatnak.

• A SOX-tól eltérően hatékony keretrendszert tudnak létrehozni a számos országban, és többek között feltörekvő piacgazdaságokban is folyó vállalatirányítási vita stimulálására és szervezésére.

• A SOX-tól eltérően ezek bevezették a Standard & Poor féle vállalatirányítási szolgáltatások használatának elképzelését az összehasonlító méréshez és a megfelelési szint önkéntes megállapításához.

• És a SOX-tól eltérően ezek azért sikeresek, mert csupán elvek – ráhagyva az országokra, hogy a helyi körülményeknek és problémáknak megfelelően alkalmazzák azokat.

A lényegi vita arról zajlik, hogy az-e a legjobb megoldás, ha a kontrollokat beemeljük a kötelező jogszabályok sorába súlyos büntetőjogi és polgárjogi felelősségre vonás mellett, vagy nagyrészt elegendőek az önkéntesen alkalmazandó útmutatások. Az EU és az OECD tábor azzal érvel, hogy nem reális egy kötelező szabvány rákényszerítése a világ valamennyi gazdaságára. Ez a tábor a nagyrészt önkéntes útmutatók és elvek rendszerét hirdeti a belső kontrollok javítására a SOX által előírt magas szintű pénzügyi költségek és büntetőjogi felelősségre vonás fenyegetése nélkül.


13

Az amerikai oldal úgy érvel, hogy a magasröptű 1990-es évek nagyszámú botránya azt igazolja, hogy az amerikai GAAP és más széles körben elfogadott és alkalmazott útmutatók alapján jó hírű könyvvizsgáló cég által végzett auditok katasztrofális bukásokhoz vezettek, és felmerül a jogszabályok drámai megváltoztatásának igénye. Vezető amerikai cégek növekvő számban teszik hozzá az érveléshez azt is, hogy az új jogszabályok az időben és pontosabban létrejövő pénzügyi beszámolás segítségével javítják a döntéshozatalt, elősegítik a lényeges ügyek és gyengeségek kezelését, csökkentik a nemzetközi csalást és a nem szándékos hibákat.

A csalás és a hibák csökkentése lehet a belső kontrollok javításának egyetlen legnagyobb előnye. Joseph Wells 2004-ben írt The Corporate Fraud Handbook: Prevention and Detection című könyvében ír egy olyan felmérésről, melyet az Association of Certified Fraud Examiners 30.000 tagjának bevonásával végeztek. Az ő tapasztalataik és általános tudások szerint a csalásnak betudható veszteségek a bruttó bevételek körülbelül 6 százalékát teszik ki. Ha figyelembe vesszük azt, hogy az amerikai bruttó hazai termék 10 trillió dollárt tesz ki, akkor a veszteség 600 milliárd dollár.

A kérdés az, hogy a belső kontroll javításával milyen mértékben lehet csökkenteni a csalást és a hibákat. Még a kismértékű csökkenésnek is drámai hatása lehet mind a nem állami részvénytársaságok, mind az állami szervezetek pénzügyi teljesítményére.

A kontroll javításának hatása az állami szervezetre nézve még érdekesebb. Az amerikaiak tipikusan úgy érvelnek, hogy az állami kiadások önmagukban nem hatékonyak, és fékezik a gazdasági növekedést, így a belső kontrollok javítása csak segíthet a gazdaság gátlásának feloldásában. Mivel az állami kiadások szintje Európában eléri akár a 40 – 50 százalékot is, az amerikai OMB Circular A-123 –ban leírt követelményeknek megfelelő belső kontrollok javításának elmulasztása csak még inkább növeli az EU lemaradását az amerikai gazdasági növekedéstől.

Ha választani lehet a ténylegesen hiteles robusztus kontrollrendszereket felmutató vállalkozások és piacok, illetve az ilyen rendszerekkel nem rendelkezők között, a befektetők a kisebb kockázat útját választják, és a kontrollban élenjárókat jutalmazzák – különösen, ha a javított kontroll eredményeképpen létrejön a jelentéstétel nagyobb átláthatósága, a nagyobb pénzügyi stabilitás, valamint a magasabb produktivitás és növekedési ütem. A bankok és a biztosítók is a robusztus szabályszerűséget mutató részvény- és magánvállalatokat jutalmazzák.

Azt a lekicsinylést, melyet a világ nagy része érez az Egyesült Államokkal és a Sarbanes-Oxley törvénnyel szemben, ellensúlyozni kell annak a tagadhatatlan ténynek a belátásával, hogy az amerikai gazdaság történelmi növekedést mutat, és az előrejelzések szerint a jövőben is gyorsabban fog nőni, mint az EU és az OECD, és hogy az Egyesült Államok tovább szélesítheti a szakadékot a belső kontrollok javításával.

A globális GAAP (Általánosan Elfogadott Számviteli Elvek)

2005. január 1-i hatállyal valamennyi olyan EU vállalat, melynek részvényeit az EU által szabályozott bármely piacon forgalmazzák köteles konszolidált pénzügyi kimutatásait a Nemzetközi Pénzügyi Beszámolási Szabványok (IFRS – International Financial Reporting Standards) szerint elkészíteni. A tagállamok dönthetnek úgy, hogy az IFRS-t kiterjesztik a magáncégekre is. 2007-ben már hétezer EU vállalat alkalmazta az IFRS-t. Az Egyesült Királyság erősen támogatja az IFRS-t, mint saját általánosan elfogadott számviteli elveinek utódját. Ausztrália, Oroszország és Japán is rálépett az IFRS-hez vezető útra.

Az Amerikai Számviteli Standardbizottság és a Nemzetközi Számviteli Standardbizottság elkötelezték magukat a közös munka iránt, hogy konvergálják az amerikai számviteli szabványokat és az IFRS-t annak a végső célnak az érdekében, hogy jöjjön létre a jó minőségű globális számviteli szabványok egységes rendszere, melyekre jelen anyag úgy hivatkozik, mint általánosan elfogadott számviteli elvekre.


14

A globális GAAP felé történő elmozdulás hatással lesz a belső kontrollra. A legtöbb helyi GAAP nem annyira robusztus, mint az új IFRS. Bár az amerikai GAAP és az IFRS között sok a különbség, alapvető keretrendszerük és útmutatójuk lényegében ugyanaz. Támogatják a robusztus belső kontrollt. Az amerikai GAAP és az IFRS közelítése kiegyenlítettebb terepet fog létrehozni a befektetők számára, amikor azok a világ bármely részén található vállalatok pénzügyi teljesítményeit próbálják összehasonlítani. Ez a vállalatoknak abban is segít, hogy belső kontrolljukat is magába foglaló pénzügyi teljesítményüket összevethessék a világ bármely részén lévő versenytársaikéval.

Az IFRS arra irányuló erőfeszítése, hogy létrejöjjön egy globális GAAP, az amerikai oldalon is jelentős változások igényét veti fel. A SEC a globális GAAP irányába történő konvergenciát támogatja annak érdekében, hogy a feltörekvő piacokat az amerikai tőzsdékre vonzza. A COSO belső kontroll keretrendszerének nemzetközi elfogadása, az IFRS GAAP, és a robusztus amerikai SOX szabályszerűséget mutató prosperáló amerikai cégek együttesen hatnak a pénzügyi beszámolás jelentős javulására és szabványosítására. Ez olyan globális tőkepiacokat eredményez, ahol a vállalatok érthető és a befektetők által összehasonlítható pénzügyi beszámolókat hoznak nyilvánosságra az egész világon.

COSO és COBIT

Globális trendet láthatunk a belső kontrollok javítására, de van-e olyan elismert keretrendszer a belső kontrollok és a kockázatkezelés definiálására, mely üzleti és technológiai szinten a belső kontrollrendszerek alapját képezi?

A COSO 1985-ben a Treadway Bizottság részeként létrehozta a belső kontrollok keretrendszerének kiinduló modelljét. A COSO úgy szabványosítja a belső kontroll definícióját, hogy megadja a kockázatkezelés és a szabályozási megfelelés keretrendszerét. Ez lényegében a következőket igényli:

• Kontrollkörnyezet; • Kockázatértékelés; • Kontrolltevékenységek; • A lényegesség definiálása; és • A lényeges gyengeségek kijavítása.

Az informatikai rendszerellenőrök nemzetközi szervezete (ISACA) által javasolt „Control Objectives for Information and Related Technology” (COBIT) [10] (Az információk és a kapcsolódó technológia kontroll céljai) keretrendszer is növekvő mértékben elfogadásra talál a jogszabályalkotók, a könyvvizsgálók, a pénzügyi szakemberek és az informatikusok körében.

A COBIT az informatikai irányítás nyitott standardja, melynek elfogadottsága egyre nő. A jó informatikai biztonság és kontroll gyakorlatok olyan standardjaként lett kialakítva, mely referencia keretrendszert nyújt a vezetők, felhasználók, az informatikai rendszer ellenőrzések és kontrollok és biztonsági gyakorlati szakemberek számára. A COBIT-ot az IT Governance Institute (Informatikai Irányító Intézet) adta ki, és nemzetközileg egyre inkább elfogadottá válik, mint az információ, az informatikai rendszerek és a kapcsolt kockázatok kontrolljának jó gyakorlata. Útmutatása lehetővé teszi a vállalatok számára, hogy olyan hatékony informatikai irányítást vezessenek be, mely áthatolja és formálja az egész vállalatot.

A COBIT a vezetőség informatikai kontroll és mérési igényének megfelelő keretrendszert tartalmaz, olyan eszköz biztosításával, mely képes értékelni és mérni a vállalkozás informatikai képességét a több mint 30 lényeges informatikai folyamat tekintetében.


15

A belső kontrollok javításának irányába történő globális elmozdulás tagadhatatlan, és egyre inkább elfogadottá válik az az üzleti és informatikai keretrendszer, mely a belső kontrollok meghatározásának és a kockázatkezelésnek az alapja. A Bázel II, a Solvency II, az OECD elvek, az angol Turnbull útmutatás, a kanadai 52-109. és 111. multilaterális eszközök, valamint a Sarbanes-Oxley közös elemként a következő követelményeket és ajánlásokat tartalmazzák:

• Pénzügyi beszámolás kockázatainak meghatározása, és kockázatenyhítő stratégiák kialakítása mind az üzleti, mint az informatikai oldalon.

• Annak biztosítása, hogy valamennyi lényeges kockázat manuális és automatikus kontrollal kerül lefedésre.

• Működési eredményesség vizsgáló módszertan megtervezése és kipróbálása. • Valamennyi kulcsfontosságú manuális és automatikus kontroll vizsgálata, és az

kontrollok rangsorolásának felülvizsgálata azok működési eredményességének alapján.

• A lényeges pénzügyi beszámolók negyedéves áttekintési folyamatának automatizálása annak meghatározására, hogy az új beszámolók a lényegesség meghatározott határvonalát átlépik-e.

• Azon új üzleti és informatikai kontrollhiányosságok beazonosítása, melyek a minőség értékelés áttekintése és az üzemi eredményesség vizsgálatának során merülnek fel, és korrekciós intézkedési terv biztosítása.

• Valamennyi üzleti és informatikai kontroll-dokumentum részletes minőségvizsgálatának elvégzése annak ellenőrzésére, hogy ne hiányozzanak kulcsfontosságú kontrollok.

• Minden beépített rendszeralkalmazási kontroll dokumentálása.


16

1.4 A COSO modellek áttekintése Belső Kontroll – Integrált Keretrendszer 1992-ben a Treadway Bizottság Szponzoráló Szervezeteinek Bizottsága (the Committee of Sponsoring Organizations of the Treadway Commission - COSO) kialakította a belső kontrollok értékelésének modelljét. Ezt a modellt alkalmazzák, mint a belső kontroll általánosan elfogadott keretét, és széles körben úgy tekintenek rá, mint olyan konkrét standardra, melyhez a szervezetek belső kontrollrendszereik eredményességét mérhetik. A COSO modell úgy definiálja a belső kontrollt, mint „a társaság igazgatósága, vezetősége és más személyi állománya által foganatosított folyamatot, mely ésszerű bizonyosságot hivatott szolgáltatni arra, hogy a célok teljesülnek a következő kategóriákban:

• A működés eredményessége és hatékonysága • Pénzügyi beszámolás megbízhatósága • Alkalmazandó törvények és jogszabályok érvényesítése”

Egy „eredményes” belső kontrollrendszerben a következő öt komponensbe tartozó elemek támogatják a társaság küldetésének, stratégiáinak és vonatkozó üzleti céljainak elérését.

• Kontrollkörnyezet o Feddhetetlenség és etikai értékek o Kompetencia iránti elkötelezettség o Igazgatótanács és Ellenőrző Bizottság o Vezetési filozófiája és munkastílusa o Szervezeti felépítés o Hatáskör és felelősség o Emberi erőforrás politikák és eljárások

• Kockázatértékelés o Vállalati szintű célkitűzések o Folyamat szintű célkitűzések o Kockázat beazonosítás és elemzés o Változáskezelés

• Kontrolltevékenységek o Politikák és eljárások o Biztonság (alkalmazás és hálózat) o Alkalmazás változás kezelése o Üzleti folytonosság / Backup-ok o Kiszervezés

• Információ és kommunikáció o Az információ minősége o A kommunikáció eredményessége

• Monitoring o Folyamatos monitoring o Külön értékelések o Jelentéstétel hiányosságai

Ezek a komponensek szolgálják az életképes belső kontrollrendszer alapjainak vállalaton belüli lerakását, az irányított vezetésen, közös értékeken és a kontroll elszámoltathatóságot kihangsúlyozó kultúráján keresztül. A vállalatot fenyegető különféle kockázatok rutinszerűen azonosításra és értékelésre kerülnek a szervezet valamennyi szintjén és funkcionális területén. A kontrolltevékenységek és más mechanizmusok pro-aktívan úgy lettek kialakítva, hogy megválaszolják és enyhítsék a jelentős kockázatokat. A kockázatok beazonosításához és az üzleti célok eléréséhez kritikus információk a létrejött csatornákon keresztül fel-le és horizontálisan kerülnek kommunikálásra az egész vállalaton belül. A belső kontroll teljes rendszere folyamatos figyelem tárgyát képezi, ahol a problémák időben megoldásra kerülnek.


17

Kulcsfontosságú koncepciók:

• A belső kontroll egy folyamat. A cél elérését szolgáló eszköz, és nem maga a cél. • A belső kontrollt emberek végzik. Nem csupán politikai kézikönyveket és anyagokat jelent,

hanem embereket a szervezet minden szintjén. • A belső kontrolltól az várható el, hogy csak ésszerű bizonyosságot nyújtson, és ne abszolút

bizonyosságot a társaság vezetősége és felügyeleti testülete felé. • A belső kontroll célja a célkitűzések elérésének támogatása egy vagy több különálló, de

egymást átfedő kategóriában.

2. ábra: COSO Belső Kontroll – Integrált keretrendszer 3 dimenziós ábrázolása Vállalati kockázatkezelés (ERM) Az 1992-es COSO Belső Kontroll – Integrált Keretrendszer azt a célt szolgálja, hogy segítsen a vállalkozásoknak és más társaságoknak belső kontrollrendszereik felmérésében és továbbfejlesztésében, illetve a vállalkozási kockázatkezelés megvalósításában. Ez a keretrendszer azóta integrálásra került a vállalati politikákba, szabályokba és rendeletekbe, és több ezer vállalkozás alkalmazza saját tevékenységeik jobb kontrolljában céljaik elérése érdekében. A COSO keretrendszert elismeri az Amerikai Értékpapír és Tőzsdefelügyelet (SEC) is a Tőzsdei Vállalatok Ellenőrző és Felügyeleti Testülete (Public Companies Audit and Oversight Board - PCAOB) szervezetén keresztül, mely a Sarbanes-Oxley szabályszerűség és más jegyzési követelmények elfogadott kontroll modellje. Ugyanakkor az elmúlt évtizedek riasztó számú és hatású vállalatirányítási sikertelenségei miatt fokozott aggodalom és figyelem irányult a kockázatkezelésre, és 2001-ben a COSO olyan projektet kezdeményezett, melynek célja az 1992-es keretrendszer javítása, valamint kulcsfontosságú elvek és koncepciók, közös nyelv és útmutató biztosítása, hogy a szervezetek képesek legyenek értékelni és továbbfejleszteni saját szervezeteik vállalati kockázatkezelését. E projekt eredményeként 2004-ben publikálásra került az Vállalati Kockázatkezelés – Integrált Keretrendszere, mely – definíció szerint - magába foglalja a Belső Kontroll – Integrált Keretrendszerét, és robusztusabb és átfogóbb módon közelíti meg a szervezeti szintű kockázatkezelést. Következésképpen a 2004-ben kiadott új COSO keretrendszer az 1992-es keretrendszerhez hasonlóan a vállalatok, más szervezetek, az érintettek és valamennyi érdekelt fél által széles körben elfogadottá vált standardként, mely kielégíti a szabályozott és törvényileg meghatározott belső kontroll, kockázatkezelés és jelentéstétel követelményeit.


18

A vállalati kockázatkezelés az értékteremtést vagy értékmegőrzést befolyásoló kockázatokkal és lehetőségekkel foglalkozik a következő definíció szerint: A vállalati kockázatkezelés a társaság igazgatótanácsa, vezetősége és más személyi állománya által érvényre juttatott folyamat, melyet a stratégiaalkotásban használnak az egész vállalkozások belül, és melyet arra hoztak létre, hogy beazonosíthatóvá váljanak a társaságot érinthető potenciális események, a vállalt kockázat a kockázattűrő hajlandóságon belül maradjon, és hogy ésszerűen bizonyossá váljon, hogy a társaság céljai elérésre kerülnek. A definíció bizonyos alapvető koncepciókat tükröz. A vállalati kockázatkezelés:

• Folytonos folyamat, mely az egész társaságot átitatja • Emberek által foganatosított a szervezet minden szintjén • Alkalmazásra kerül a stratégia kialakításában • Alkalmazásra kerül az egész vállalatban, minden szinten és valamennyi egységben, és jelenti

a társasági szintű átfogó kockázat vizsgálatot • Arra lett kitalálva, hogy beazonosítsa azokat a potenciális eseményeket, melyek felmerülésük

esetén hatással vannak a társaságra, és hogy a vállalt kockázatot a kockázattűrő képességen belül tartsa

• Képes ésszerű bizonyosságot szolgáltatni a társaság vezetése és felügyeleti testülete számára

• A célok elérését célozza egy vagy több különböző de egymást átfedő kategóriában

3. ábra: COSO Vállalati Kockázatkezelés – Integrált Keretrendszer

A Vállalati Kockázatkezelés hatóköre szélesebb, mint a belső kontrollrendszeré, és lényegében magába foglalja a COSO korábbi Belső Kontroll – Integrált Keretrendszerében meghatározott kulcsfontosságú koncepciókat. Bár számos különbség létezik, a három, valószínűleg legkiemelkedőbb az, hogy a kockázatkezelés a kockázatokat a stratégia kialakításakor határozza meg, azt igényli, hogy a vezetőség állapítsa meg, hogy a szervezet mekkora kockázatot hajlandó vállalni – amit kockázatviselési szintként ismerünk – és azt kívánja, hogy a kockázatkezelés a szervezeti kockázatok áttekintő jellegű felmérésével történjen.


19

A pénzügyi beszámolás bels ő kontrollrendszere – Útmutató a kisebb t őzsdei társaságok számára 2006. júliusában a COSO kibocsátotta újabb útmutatóját, hogy segítsen a kisebb tőzsdei társaságoknak az 1992-es COSO Belső Kontroll Integrált Keretrendszer végrehajtásában. A dokumentum Vezetői Összefoglalója szerint a dokumentum sem nem helyettesíti, sem nem módosítja az eredeti COSO „Belső Kontroll - Integrált Keretrendszert”, hanem inkább útmutatóul szolgál – 20 fő elvvel, támogató attribútomokkal és illusztratív példákkal és megközelítésekkel – ahhoz, hogy hogyan kell alkalmazni az eredeti COSO keretrendszert. A Vezetői Összefoglaló azt is megjegyzi, hogy míg a dokumentum a kisebb tőzsdei társaságokat célozza, azt a nagyobbak is használhatják az eredeti COSO keretrendszer alkalmazásakor annak érdekében, hogy költség-hatékony belső kontrollrendszert tervezzenek és vezessenek be a pénzügyi beszámolás felett. A belső kontrollrendszer öt alkotóeleme (komponense) – a kontrollkörnyezet, a kockázatkezelés, a kontrolltevékenységek, az információ és kommunikáció, és a monitoring – együttműködnek egy integrált folyamat részeiként. Az után, hogy a pénzügyi jelentéstétel céljai meghatározásra kerültek, a vezetőség meghatározza és felméri a vonatkozó kockázatokat, meghatározza, mely kockázatok vezethetnek lényeges hibához a kimutatásban. Meghatározza, hogy miként kell kezelni a kockázatokat a kontrolltevékenységeken keresztül, megközelítéseket alkalmaz a szükséges adatok felvételéhez, feldolgozásához és kommunikálásához a kontrollkörnyezet kontextusában, melyet állandóan finomítani kell. Majd mindezen komponenseket folyamatosan figyelni kell az eredményesség biztosításához. Annak meghatározása, hogy a belső kontrollrendszer hatásos-e, egy értékítéletet foglal magába. A COSO szerint amennyiben mind az öt komponens jelen van, és olyan mértékben működik, hogy a vezetőség elegendő bizonyosságot láthat arra, hogy a pénzügyi kimutatások megbízhatóan kerülnek összeállításra, akkor a belső kontrollrendszer működése eredményesnek tekinthető. Ugyanakkor nem szükséges, hogy az egyes komponensek a lehető legmagasabb szinten működjenek, és egy komponens hiányosságát mérsékelheti (kompenzálhatja) egy másik erősebb komponens. A 2006-os útmutató a COSO válasza arra a kritikára, hogy a robusztus COSO belső kontrollrendszereken alapuló SOX szabályszerűség jelentős végrehajtási (és egyben külső auditálási) költségekkel jár. Közvetlenül a pénzügyi beszámolásra fókuszál, ami nem jelenti feltétlenül azt, hogy a fő célkitűzések három (belső kontroll) vagy négy (ERM) kategóriája nem alkalmazható valamennyi pénzügyi jelentéstételi folyamatra. A belső kontrollrendszer szempontjából a pénzügyi jelentéstételi tevékenységek képviselik a modell harmadik (ebben az értelemben leszűkített) dimenzióját, míg az ERM-ben a pénzügyi jelentéstételi eseményeket kell meghatározni a megfelelő kockázatvállalási hajlandóság és kockázati tolerancia beállítására a vállalati szinteken.


20

1.5 A COSO modellek alkalmazása az állami és pénzüg yi szektorokban A már bemutatott, a meghatározott tőzsdei társaságokra, többek között a SEC által nyilvántartott társaságokra vonatkozó új vállalatirányítási szabályokat, rendeleteket és standardokat tartalmazó 2002-es amerikai Sarbanes-Oxley törvény kötelezővé tette elismert belső kontroll keretrendszer alkalmazását. A SEC, a Sarbanes-Oxley törvényre vonatkozó végleges szabályaiban konkrétan hivatkozik a COSO modellre. A Legfelső Ellenőrzési Intézmények Nemzetközi Szervezete (INTOSAI) a belső kontroll kapcsán azt javasolja az állami ellenőrzési intézményeknek (Állami Számvevőszék), hogy eredményesen használják a közös szakmai standardokat, így az Állami Szektor Belső Kontroll Standardjainak Útmutatóját [11]. Ez az útmutató magába foglalja a COSO Belső Kontroll – Integrált Keretrendszert. A COSO modell egyben a Banki Szervezetek Belső Kontroll Keretrendszereinek [12] is az alapja, melyet a Bázeli Bizottság adott ki a banki felügyelettel kapcsolatban. Tanulva a megfelelő ellenőrző és felügyeleti szervek által biztosított útmutatókból, a COSO modell képezi az egyes területek belső kontrollrendszerei bevezetésének és értékelésének alapját. Itt a belső kontroll különböző definíciói által adott eltérő hangsúlyokra fókuszálunk. INTOSAI Az Állami Szektor Bels ő Kontroll Standardjainak Útmutatója 2001-ben az INTOSAI úgy határozott, hogy aktualizálja a belső kontroll standardok 1992-es INTOSAI útmutatóját annak érdekében, hogy figyelembe vételre kerüljön minden releváns és utóbbi fejlemény a belső kontroll területén, és hogy magába foglalhassa a Belső Kontroll – Integrált Keretrendszer című COSO jelentés koncepcióját az INTOSAI dokumentumban. A COSO modell útmutatóba foglalásával a Bizottság nemcsak a belső kontroll koncepcióját szeretné aktualizálni, hanem egyben megpróbálja elősegíteni a belső kontroll közös értelmezését a legfelsőbb ellenőrzési intézmények között. Ez a dokumentum figyelembe veszi az állami szektor jellemzőit, ami további témák választásához és változtatásokhoz vezetett. A COSO definícióhoz és az 1992-es útmutatóhoz képest még hozzáadásra került a működés etikai aspektusa is. Ennek belső kontroll célok közé foglalása indokolt, mivel az állami szektorban a csalás és korrupció megelőzése és feltárása mellett az etikai magatartás fontossága is kihangsúlyozásra került a kilencvenes évektől kezdődően. Általános elvárás, hogy az állami tisztviselők tisztességesen szolgálják a közérdeket, és megfelelően kezeljék az állami forrásokat. Az állampolgároknak részrehajlás nélküli bánásmódban kell részesülniük a jog és igazságosság alapján. Ezért az etikus magatartás és feddhetetlenség a köz bizalmának előfeltétele és támogatója, és a jó irányítás alapköve. Mivel az állami szektorban a források általában közpénzeket jelentenek, és ezeknek a köz érdekében történő felhasználása különleges gondosságot igényel, a források védelmének fontosságát ki kell hangsúlyozni az állami szektorban. Továbbá a pénzforgalmi szemléletű költségvetési elszámolás még mindig széles körben elterjedt gyakorlat a közszférában, de nem nyújt megfelelő rálátást a források beszerzésére, felhasználására és elköltésére. Ennek eredményeképpen az állami szektor szervezetei nem mindig rendelkeznek aktuális adatokkal saját eszközeikről, ezért nagyobb kockázat éri őket. Így a források védelmét a belső kontroll fontos céljának tekintették. Mivel 1992-ben a belső kontroll nem korlátozódott a pénzügyi és a vonatkozó adminisztrációs kontroll hagyományos felfogására, és magába foglalta a vezetői kontroll szélesebb koncepcióját, ez a dokumentum egyben kihangsúlyozza a nem pénzügyi információk fontosságát is.


21

Az információs rendszerek valamennyi állami szervezetben történő széleskörű elterjedése miatt az informatikai kontrollok növekvő fontosságúvá válnak, ami t egy külön bekezdést eredményezett az útmutatóban. Az informatikai kontrollok egy szervezet belső kontrollrendszerének valamennyi komponensére vonatkoznak, beleértve a kontrollkörnyezetet, a kockázatértékelést, a kontrolltevékenységeket, az információt és kommunikációt, valamint a monitoring tevékenységet. Ezeket azonban a „Kontrolltevékenységek” alatt tárgyalják. Mivel a belső kontroll(rendszer) értékelése általánosan elfogadott gyakorlati szabvány a kormányzati ellenőrzésben, az auditorok az útmutatót felhasználhatják az ellenőrzés eszközeként. A COSO modellt magába foglaló belső kontroll szabványok útmutatóját használhatja a közszférába tartozó szervezet vezetése a szilárd belső kontroll keretének példájaként, és használhatják az auditorok a belső kontroll felmérésének eszközeként. Ezeket az útmutatókat azonban nem az INTOSAI Ellenőrzési Standardjainak vagy más vonatkozó ellenőrzési szabványok helyettesítésére szánták. Az állami szektor szervezeteinek belső kontrollját ezen szervezetek konkrét jellemzőinek kontextusában lehet megérteni. Tehát abban, hogy mennyire fókuszálnak a társadalmi és politikai célok betartására; hogyan használják a közpénzeket; mennyire fontos a költségvetési ciklus; mennyire komplex a teljesítményük (amely egyensúlyt igényel a hagyományos értékek, például a jogszerűség, tisztesség és átláthatóság, valamint a modern vezetői értékek, például a hatékonyság és eredményesség között); és hogy ennek megfelelően milyen széles körű a közzel szembeni beszámoltathatóságuk. Az INTOSAI belső kontroll definíciója A belső kontroll olyan integráns folyamat, melyet a vállalat vezetősége és személyi állománya hajt végre, melyet a kockázatok megválaszolására terveztek, és azért, hogy ésszerű bizonyosságot szolgáltassanak arra vonatkozóan, hogy a vállalat küldetésének teljesítése során a következő általános célok is elérésre kerülnek:

• Rendezett, etikus, gazdaságos, hatékony és eredményes működés megvalósítása; • Elszámoltathatósági kötelezettségek teljesítése; • Alkalmazandó törvények és rendeletek betartása; • Erőforrások veszteséggel, visszaéléssel és kárral szembeni védelme.

4. ábra: INTOSAI belső kontroll keretrendszer Ez a definíció felvet két olyan fő kérdést, mely vizsgálatot igényel. Először is a működési eredményesség „rendezett” és „etikus” attribútumainak kihangsúlyozása nemcsak az érintett (COSO modellből származó) kontroll komponensek, például a Kontrollkörnyezet és a Kockázatértékelés


22

kérdéseként releváns. Azt is meg kell jegyezni, hogy a „rendezett” tulajdonság tipikusan a célok szabályszerűségi kategóriájához tartozik. Ugyanakkor a szabályszerűségi célkategóriákat a terület igényeihez kell igazítani. Másodszor az „Erőforrások veszteséggel, visszaéléssel és kárral szembeni védelme” a kontroll célkitűzések külön kategóriájának tűnik. Ezt a megközelítést a COSO Vállalati Kockázatkezelési (ERM) modelljének hatása támasztja alá. A kockázatkezelési megközelítés tetten érhető a kocka harmadik dimenziójából is, amely vállalat és nem tevékenység alapú. A Kockázatértékelési rész leírása is az ERM-t tükrözi, például a „kockázatvállalási hajlandóság” koncepció megválaszolásában. Összefoglalásképpen a különbségek a belső kontroll és a vállalati kockázatkezelési modellek összerakásából erednek. A kockázatkezelési orientáltság eredménye az, hogy az ERM célok eredeti „Stratégiai” kategóriája úgy jelenik meg, mint az „Erőforrások veszteséggel, visszaéléssel és kárral szembeni védelme” állami szektor specifikus követelménye. Bázeli Bizottság – Banki Szervezetek Bels ő Kontrollrendszereinek Keretrendszere A bankfelügyeleti kérdések megoldása, és az egészséges kockázatkezelési gyakorlatokat ösztönző útmutatáson keresztül történő jobb felügyelet érdekében tett folyamatos erőfeszítéseinek részeként a Bázeli Bankfelügyeleti Bizottság kiadott egy keretrendszert 1998-ban a belső kontrollrendszerek értékeléséhez. Az eredményes belső kontrollrendszer a bankigazgatás kritikus komponense, és a banki szervezetek biztonságos és megfelelő működésének alapja. Az erős belső kontrollok segítenek a bankszervezet céljainak és célkitűzéseinek elérésében, a bank hosszú távú nyereségességi céljainak tartásában, és a megbízható pénzügyi és vezetői jelentések összeállításában. Egy ilyen rendszer azt is segít biztosítani, hogy a bank végrehajtsa a törvényeket és rendeleteket, politikákat, terveket, belső eljárási szabályokat, és csökkentse a váratlan veszteségek és a bank hitelrontásának kockázatát. A Bázeli Bizottság belső kontroll definíciója A belső kontroll a felügyeleti testület (igazgatóság), a felsővezetés és valamennyi állományi szint által foganatosított folyamat. Nem csupán olyan eljárás vagy politika, melyet egy bizonyos időben hajtanak végre, hanem folyamatosan működik a bank minden szintjén. A felügyeleti testület (igazgatóság) és a felsővezetés felel az eredményes belső kontrollfolyamatot elősegítő megfelelő kultúra kialakításáért, és az eredményesség folyamatos figyeléséért; bár a szervezeten belül mindenkinek részt kell vennie a folyamatban. A belső kontrollfolyamat fő céljait a következők szerint lehet kategorizálni:

1. Tevékenységek hatékonysága és eredményessége (teljesítménybeli célok); 2. A pénzügyi és vezetői információk megbízhatósága, teljessége és időbelisége (információkra

vonatkozó célok); és 3. Alkalmazandó törvények és jogszabályok betartása (szabályszerűségi célok).

A teljesítménybeli célok a belső kontroll tekintetében a bank eszköz és más erőforrás felhasználásának és veszteséggel szembeni védekezésének hatékonyságához és eredményességéhez tartoznak. A belső kontrollfolyamat azt igyekszik biztosítani, hogy a szervezet egész személyi állománya a célok eléréséért tevékenykedik hatékonyan és tisztességesen, nem szándékolt vagy túlzott költségek nélkül, vagy más érdekek (például alkalmazotti, beszállítói vagy ügyfél érdek) bank érdekei elé helyezése nélkül. Az információkra vonatkozó célok a döntéshozatalhoz szükséges időbeli, megbízható, releváns jelentéskészítést célozzák a banki szervezeten belül. Megválaszolják a megbízható éves beszámolók, pénzügyi kimutatások és más pénzüggyel kapcsolatos publikált adatok, valamint a részvénytulajdonosoknak, felügyelőknek és más külső félnek szánt jelentések igényét is. A vezetőség, felügyeleti testület (igazgatóság), részvénytulajdonosok és felügyelők által kapott adatoknak megfelelő minőségűnek és valósághűnek kell lenniük, hogy azokra támaszkodni lehessen a döntéshozatalban. A pénzügyi kimutatások esetében a megbízhatóság fogalma olyan pénzügyi kimutatásokra


23

vonatkozik, melyeket valósághűen állítanak össze, átfogó és jól definiált számviteli elvek és szabályok alapján. A szabályszerűségi célok biztosítják, hogy valamennyi banki üzletág megfelel az alkalmazandó törvényeknek és jogszabályoknak, a felügyeleti követelményeknek, a szervezet politikáinak és eljárásainak. Ezt a célt teljesíteni kell a bank rendszerének és hírnevének védelmében. Csak kis terminológiai különbségek vannak az eredeti COSO modellhez képest. Amellett, hogy a kontroll célok kategóriáinak elnevezései több információtartalommal bírnak, a felügyelő hatóságok szerepe előtérbe kerül. A felügyelők, vagy felügyeleti szervek megkövetelik, hogy az általuk felügyelt bankok erős kontroll kultúrával rendelkezzenek, és kockázatfókuszú megközelítést alkalmazzanak felügyeleti tevékenységük során. Ez magába foglalja a belső kontrollok megfelelőségének áttekintését is. Fontos, hogy a felügyelők ne csak a belső kontrollok átfogó rendszerének eredményességét mérjék fel, hanem a kontrollokat a nagyobb kockázatú területeken is értékeljék (pl. olyan jellemzőkkel rendelkező területeken, mint a szokatlan nyereségesség, gyors növekedés, új üzleti tevékenység vagy földrajzi távolság a központtól). Azokban az esetekben, amikor a felügyelők megállapítják, hogy a bank belső kontrollrendszere nem megfelelő vagy eredményes figyelembe véve a bank konkrét kockázat profilját, meg kell tenniük a megfelelő lépéseket. Ide tartozik az is, hogy aggodalmaikról beszámolnak a felsővezetés előtt, és figyelik, hogy a bank milyen lépéseket tesz a belső kontrollrendszer javítására.

A Bázel II-ként ismert tőke megfelelőségi keretrendszer 2006 végén lép hatályba. A Bázel II 744. és 745. szakaszai megkövetelik, hogy független ellenőrzést kapjanak a belső kontroll struktúrák, ezen belül a kockázatkezelés; a belső politikák betartását figyelő módszer létrehozása; és annak ellenőrzése, hogy a belső kontrollrendszer megfelelő-e a jól rendezett és prudens üzletmenethez.

A Bázel II 751. és 752. szakaszai megkívánják, hogy értékelést kapjon a kontrollkörnyezet, ezen belül az információjelentés és a rendszerek minősége, az üzleti kockázatok és tevékenységek aggregálásának módja, a vezetők megjelenő vagy változó kockázatokra adott válaszainak nyilvántartása. Az egyes bankok tőkeszintjét azok kockázati profilja, kockázatkezelési folyamatuk és belső kontrolljaik megfelelősége szerint kell meghatározni.

Az „egységes ellen őrzési” modell A belső kontrollok felmérésének felügyeleti szerepei megjelennek az EU források elköltésének költségvetési kontrolljában. Az Európai Számvevőszék (ECA) 2/2004 számú véleményében (az Európai Unió Hivatalos Lapja C 107/2004) [13] kidolgozott egy javaslatot a Közösség Integrált Kontroll Keretrendszerére, mely tartalmazza az un. „egységes ellenőrzési modellt”. Az egységes ellenőrzési koncepciónak nincs általánosan elfogadott definíciója, hanem alapvetően azt határozza meg, hogy a belső kontrollrendszereknek egy sor kontroll eljáráson kell alapulniuk, melyben a különböző szintű belső kontroll intézmények együttműködnek. Az Európai Közösség létrehozásáról szóló Szerződés 274. cikke a Bizottságot teszi felelőssé azért, hogy a hatékony és eredményes pénzügyi gazdálkodás elveinek figyelembe vételével végrehajtsa a költségvetési rendeletet, és előírja a tagállamok számára hogy működjenek együtt a Bizottsággal annak biztosítására, hogy az előirányzatok ezen elveknek, megfelelően kerüljenek felhasználásra. A Bizottságnak a költségvetési rendelet végrehajtására vonatkozó kötelezettségét több eljárásnak megfelelően kell teljesítenie, amelyek vonatkozásában az Európai Közösségek általános költségvetésére vonatkozó Pénzügyi Szabályozásról szóló 1605/2002 sz. Tanácsi Rendelet (EK, Euratom) (2002. június 25.) 53. cikke az irányadó.

A Bizottság felelős az Európai Unió költségvetési rendeletének végrehajtásáért. Az EU költségvetésével történő gazdálkodásban a tagállamok jelentős szerepet kapnak (az EK költségvetésének 80%-a a tagállamok szintjén kerül elköltésre). Az EK Szerződés kimondja, hogy


24

a költségvetési rendeletet a jogszerűség és szabályszerűség, valamint a hatékony és eredményes pénzügyi gazdálkodás elveivel összhangban kell végrehajtani. Ez azt jelenti, hogy a pénzzel gazdálkodók kötelesek mindent megtenni annak érdekében, hogy a lehető legjobb értéket szerezzék meg minden egyes elköltött euróért.

A 2004. pénzügyi évben adta ki az Európai Számvevőszék sorrendben tizenegyedszerre a szabályszerűséget igazoló nyilatkozatot (Statement of Assurnace – DAS), amely – az adminisztrációs kiadások kivételével – az Európai Unió általános költségvetésének minden területén fenntartást fogalmazott meg a kifizetésekkel kapcsolatban. A fenntartással kiadott nyilatkozat tükrözi azt az összetett feladatot, amelyet a Bizottság a költségvetési rendelet végrehajtásával vállal magára, valamint azt a kihívást, amellyel a Számvevőszék számára nyújtandó kielégítő audit bizonyítékok biztosítása kapcsán szembesül.

2005. június 15-én az Európai Bizottság az Európai Parlamentnek, a Tanácsnak és a Számvevőszéknek benyújtandó, egy integrált belső kontroll keretrendszer kialakításához vezető tervről szóló tájékoztatást fogadott el [26]. Ennek a nyilatkozatnak az a célja, hogy tagállami szinten létrehozza a költségvetés felülvizsgálatára és a belső ellenőrzésre vonatkozó felelősséget. A tájékoztatás dinamikus tárgyalási folyamatot indít el, melynek alapját a bizottsági reformok képezik, valamint azok az Európai Számvevőszéktől korábban rendszeresen megkapott pozitív szabályszerűségi nyilatkozatok, amelyek a pénzügyi kötelezettségvállalásokkal, a bevételekkel, az Európai Fejlesztési Alappal és az adminisztrációs ráfordításokkal kapcsolatos számlák Bizottság általi kezelésére vonatkoznak. A cél ösztönzés nyújtása az intézmények és a tagállamok számára a szorosabb együttműködésre egy a folyamatot az elejétől a végéig lefedő belső kontroll keretrendszer kialakítására annak érdekében, hogy így elégséges és ésszerű bizonyosságot lehessen nyújtani az Európai Számvevőszéknek ahhoz, hogy az pozitív szabályszerűséget igazoló nyilatkozatot (DAS) tudjon kiadni a mögöttes ügyletek – elsődlegesen a kifizetések – szabályszerűségére és megbízhatóságára vonatkozóan.

Szükség van az Európai Unió költségvetésének hatékony és eredményes belső kontrolljára. A belső kontrollrendszerek javítása terén jelentős előrelépés történ az elmúlt időszakban, de még mindig vannak a tervezéssel kapcsolatos olyan területek, amelyeket egyértelmű és következetes célok meghatározásával, eredményes koordináció biztosításával, a költségekre és hasznokra vonatkozó információ nyújtásával, valamint az előírások következetes alkalmazásának biztosításával tovább lehet javítani. Az Európai Unió bevételeire és kiadásaira vonatkozó belső kontrollrendszereknek ésszerű bizonyosságot kell nyújtaniuk arra nézve, hogy a bevételek és kiadások előteremtése illetve elköltése a jogi szabályozással összhangban történik, és a gazdálkodás során érvényre jut a költséghatékonyság elve. Az 5. sz. ábra egy az ECA véleményében közzétett, az EU finanszírozásban alkalmazott belső kontrollok egy lánc-alapú modelljét mutatja be.


25

5. ábra: Belső kontroll szintek az EU finanszírozás során alkalmazott lánc-alapú modellben


26

Az EU pénzeszközeinek eredményes és hatékony belső kontrolljának biztosítására ki kell fejleszteni a belső kontrollok egy közösségi keretrendszerét, amely közös elveket és szabványokat tartalmaz, és amely alapul szolgál új vagy meglévő kontrollrendszerek fejlesztéséhez az államigazgatás minden szintjén.

Jelentős erőfeszítésekre került sor a belső kontrollrendszerek fejlesztésére a Bizottságon belül, figyelembe véve maguknak a kontroll eljárásoknak a mértékét és minőségét, valamint a kontroll kultúra bevezetését a szervezet egészében. Ez a folyamat a COSO Belső Kontroll Keretrendszer 5 komponensén alapuló 24 belső kontroll szabványt állította a középpontba (lásd SEC(2001) 2037/4). A keretrendszer egy fontos eleme, hogy figyelembe veszi, hogy a belső kontrollok ésszerű és nem abszolút bizonyosságot nyújtanak a pénzügyi kimutatások megbízhatóságát, az ügyletek jogszerűségét és szabályszerűségét, valamint a pénzügyi gazdálkodás hatékonyságát és eredményességét illetően. Az ECA Vélemény szerint a Bizottság szolgálataiban jelenlévő belső kontroll szabványok általános jellegűek, és kizárólag a Bizottság szintjén alkalmazhatóak.

A kontroll keretrendszert érintő reform folyamat kulcsfontosságú elemei az éves munkajelentések és a főigazgatói nyilatkozatok, amelyeket 2001 óta minden főigazgató kibocsát. Ezek közé tartozik a belső kontroll szabványok bevezetésére vonatkozó önértékelés, és céljuk, hogy ésszerű bizonyosságot nyújtsanak arról, hogy a bevezetett kontroll eljárások megadják a szükséges garanciákat a mögöttes ügyletek jogszerűségét és szabályszerűségét illetően, valamint, hogy az erőforrásokat eredeti céljuk szerint használták fel. A Számvevőszék ezen eljárás első két évének vizsgálatakor megállapította, hogy míg a főigazgatók többnyire olyan helyzetben vannak, hogy véleményt tudnak alkotni a Bizottságban alkalmazott rendszerekről, nem tudnak ugyanígy véleményt formálni a tagországok rendszereit illetően a megosztott gazdálkodás tekintetében. Továbbá a Bizottság nehézségekbe ütközött a szükséges pénzügyi tapasztalattal rendelkező állomány alkalmazásával kapcsolatban, valamint a szervezeten belüli megfelelő kontroll kultúra kialakításában. Az Integrált Belső Kontroll Keretrendszer létrehozását célzó Bizottsági Akcióterv (Brüsszel, 17.1.2006 COM(2006) 9) rámutat, hogy a megfelelő kontroll biztosítása és a túlzott terhet jelentő megfelelési és adminisztratív előírások elkerülése közötti célszerű egyensúly kialakítására az integrált keretrendszer közös elveket vezet be, amelyek az egyértelműséget és egyszerűséget, valamint a mögöttes ügyletek hibakockázatának következetes módon történő értékelését hangsúlyozzák. Ezt a megközelítést érvényre kell juttatni a törvényalkotási szervek észrevételeiben is, középpontba állítva a megfelelő kontroll láncot és a különböző résztvevők feladatait. A Bizottság szolgálatai által elvégzett eltérés-elemzés eredménye megállapította, hogy átfogó, közös elveken alapuló jogi keretrendszerre van szükség. Ez fogja megteremteni az eszközt annak biztosítására, hogy minden érintettre kötelezően vonatkozni fog a kontroll elvek egy alap-készlete, valamint ez fog a Számvevőszék számára tisztább alapot nyújtani a vezetési folyamatok és eljárások vizsgálatához.

Jelenlegi Belső Kontroll Keretrendszerének kifejlesztése során a Bizottság a COSO belső kontroll keretrendszert használta alapul. Ez a keretrendszer volt az alapja a 2004-ben megjelentetett, a közszféra belső kontroll szabványait bemutató INTOSAI útmutatónak is.


27

1.6 A COSO Bels ő Kontroll Integrált Keretrendszere – Vezet ői Összefoglaló

(az IIA Hungary által közzétett fordítás alapján)

A felsővezetők régóta kutatják, hogyan tudnák jobban felügyelni az általuk működtetett vállalatokat. Belső kontrollrendszert alkalmaznak annak érdekében, hogy a vállalatot a nyereségességi célok és a küldetése betöltése felé vezető úton tartsák, és hogy eközben a lehető legkevesebb meglepetés érje őket. A belső kontrollrendszer révén lehetővé válik, hogy a vezetők megbirkózzanak a gyorsan változó gazdasági és versenykörnyezet adta kihívásokkal, a változó ügyféligényekkel és prioritásokkal, valamint a jövőbeli növekedés érdekében történő átszervezéssel. A belső kontrollrendszer elősegíti a hatékonyságot, csökkenti az eszközveszteség kockázatát, és hozzájárul a pénzügyi kimutatások megbízhatóságának, valamint a törvények és jogszabályok betartásának biztosításához.

Mivel a belső kontrollrendszer számos fontos célt szolgál, egyre növekszik az igény a jobb belső kontrollrendszerek és azokra vonatkozó beszámolók iránt. Egyre inkább úgy tekintenek a belső kontrollrendszerre, mint ami megoldást kínál a különféle lehetséges problémákra.

Mit jelent a bels ő kontrollrendszer?

A belső kontroll mindenki számára mást és mást jelent, ami zűrzavart kelt az üzletemberek, jogalkotók, szabályozó hatóságok és mások körében. Az ebből következő félreértések és eltérő elvárások problémákat okoznak a vállalaton belül. Még összetettebb a probléma, ha a kifejezés – kellő meghatározás nélkül – törvény, rendelkezés vagy szabály alakjában ölt írott alakot.

Ez a beszámoló a vezetők és mások igényeivel és elvárásaival foglalkozik. A belső kontrollrendszer meghatározása és leírása a következőket szolgálja:

• A különböző felek igényeit szolgáló, közös definíció megállapítása,

• Olyan norma biztosítása, amelynek alapján az üzleti ill. egyéb gazdasági társaságok – nagy vagy kicsi, állami vagy a magánszférába tartozó, profitorientált ill. non-profit szervezetek – értékelni tudják kontrollrendszereiket, és meghatározhatják, hogyan fejlesszék azokat tovább.

A belső kontrollt tágabb értelemben olyan folyamatként határozzuk meg, amelyet egy szervezet igazgatósága, vezetősége és más munkatársai hajtanak végre, és amelynek célja, hogy ésszerű biztosítékot nyújtson az alábbiakban csoportosított célok elérésére:

• A működés eredményessége és hatékonysága

• A pénzügyi beszámoló megbízhatósága

• Az alkalmazandó törvények és jogszabályok betartása.

Az első kategória a szervezet alapvető üzleti céljaival foglalkozik, beleértve a teljesítményre és a nyereségességre vonatkozó célokat és a források megóvását. A második kategória a megbízható nyilvános pénzügyi kimutatások elkészítésére vonatkozik, beleértve az évközi és konszolidált pénzügyi kimutatásokat és a kimutatásokon alapuló, válogatott pénzügyi adatokat, úgymint a nyilvánosságra hozott eredmény. A harmadik kategória a szervezetre vonatkozó törvények és jogszabályok betartásával foglalkozik. Ezek a különálló, de egymást átfedő kategóriák különféle igényekkel foglalkoznak, és irányítottan koncentrálnak az eltérő igények kielégítésére.

A belső kontrollrendszerek különböző hatékonysággal működnek. A belső kontrollrendszer akkor ítélhető hatékonynak a három kategóriában, ha az igazgatóság és a vezetőség biztos lehet abban, hogy:


28

• értik, milyen mértékben sikerül elérni a szervezet működési célkitűzéseit,

• megbízható módon készülnek a nyilvános pénzügyi kimutatások,

• betartják a vonatkozó törvényeket és jogszabályokat.

A belső kontroll olyan folyamat, amelynek egy vagy több időpontban elért helyzete mutatja annak hatékonyságát.

A belső kontrollrendszer öt, egymással kapcsolatban levő elemből áll. Ezek az elemek a vezetőség üzletvezetésének módjából erednek, és az irányítási folyamat szerves részét képezik. Habár az elemek minden szervezetre vonatkoznak, a kis- és középvállalkozások a nagyvállalatoktól eltérő módon hajthatják azokat végre. Lehetséges, hogy a kontrollrendszer kevésbé formális és strukturált, a kisvállalkozások ennek ellenére hatékony belső kontrollrendszerrel rendelkezhetnek. Az alkotó elemek következők:

Kontrollkörnyezet

-- A kontrollkörnyezet adja meg egy szervezet karakterét, befolyást gyakorolva az ott dolgozók kontroll-tudatosságára. Ez a belső kontrollrendszer minden további elemének alapja, fegyelmet és struktúrát biztosít. A kontrollkörnyezeti tényezők körébe tartoznak a szervezet munkatársainak tisztessége, erkölcsi értékei és kompetenciája, a vezetőség filozófiája és működési stílusa, továbbá az, hogy a vezetőség hogyan jelöli ki a hatásköröket és a felelősségi köröket, hogyan szervezi és fejleszti a munkatársakat, valamint az igazgatóság által tanúsított figyelem és irányítás.

Kockázatértékelés

-- Minden szervezet különféle külső és belső kockázatokkal találkozik, amelyeket értékelni kell. A kockázatértékelés előfeltétele a különféle szinteken egymáshoz kapcsolódó és a szervezeten belül összeegyeztethető célok meghatározása. A kockázatértékelés a célok elérésével járó kockázatok meghatározását és elemzését jelenti, amelynek alapján meghatározásra kerül a kockázatok kezelésének módja. Mivel a gazdasági, iparági, szabályozási és működési feltételek folyamatosan változnak, olyan mechanizmusok szükségesek, amelyekkel meghatározhatók és kezelhetők a változással együtt járó, különleges kockázatok.

Kontrolltevékenységek

-- A kontrolltevékenységek azokat az irányelveket és eljárásokat jelentik, amelyek elősegítik a vezetői utasítások végrehajtásának biztosítását. Elősegítik a szervezet célkitűzései megvalósításával járó kockázatok kezeléséhez szükséges intézkedések megtételét. A szervezet egészében, minden szinten és minden funkcióban folynak kontrolltevékenységek. Egy sor, különböző tevékenység tartozik ide, úgymint jóváhagyás, engedélyezés, hitelesítés, egyeztetés, a működési teljesítmény áttekintése, az eszközök biztonsága és a feladatok elhatárolása.

Információ és kommunikáció

-- A vonatkozó információkat olyan formában és időn belül kell meghatározni, megszerezni és kommunikálni, hogy azok lehetővé tegyék a munkatársak számára feladataik elvégzését. Az információs rendszerek olyan, működési, pénzügyi és szabályszerűséggel kapcsolatos információt tartalmazó jelentéseket állítanak elő, amelyek lehetővé teszik a vállalkozás működtetését és irányítását. Nem csak a belsőleg előállított adatokkal foglalkoznak, hanem a külső eseményekről, tevékenységekről és feltételekről szóló, az üzleti döntéshozatalhoz és külső beszámolóhoz szükséges információkkal is. A szervezeten belül fentről lefelé, lentről felfelé és keresztirányban, szélesebb értelemben véve is szükséges a hatékony kommunikáció. Minden munkatárs világos üzenetet kell, hogy kapjon a felsővezetéstől arra vonatkozólag, hogy a kontroll feladatokat komolyan kell venni. Meg kell érteniük, milyen szerepet töltenek be a belső kontrollrendszerben, valamint hogy az egyéni tevékenységek hogyan kapcsolódnak mások munkájához. Meg kell, hogy legyen az eszközük a fontos


29

információk felfelé történő kommunikálásához. Ezen kívül hatékony kommunikációra van szükség olyan külső felekkel is, mint az ügyfelek, a szállítók, a szabályozó hatóságok és a részvényesek.

Monitoring

-- A belső kontrollrendszereket nyomon kell követni -- ez olyan folyamat, amely felméri a rendszerek adott időintervallumban mutatott teljesítményének minőségét. Ez folyamatos nyomon követő tevékenységek, különálló értékelések vagy a kettő kombinációja révén valósítható meg. A folyamatos nyomon követés a működés folyamatában történik. Ennek körébe tartoznak a rendszeres irányítási és felügyeleti tevékenységek, valamint a munkatársak által feladataik végzése során tett intézkedések. A különálló értékelések hatóköre és gyakorisága elsősorban a kockázatértékeléstől és a folyamatos monitoring eljárások hatékonyságától függ. A belső kontroll hiányosságait a feletteseknek, a komoly ügyeket pedig a felsővezetőknek és az igazgatóságnak kell jelenteni.

Az alkotóelemek között szinergia és kapcsolat fedezhető fel, és ez olyan integrált rendszert alkot, amely dinamikusan reagál a változó feltételekre. A belső kontrollrendszer összefonódik a szervezet működési tevékenységeivel, és létezését alapvető üzleti okok indokolják. A belső kontrollrendszer akkor a leghatékonyabb, ha a kontrollok beépülnek a szervezeti infrastruktúrába és a vállalat alapvető részét képezik. A "beépített" kontrollok támogatják a minőségügyi és megfelelőségi kezdeményezéseket, elkerülik a szükségtelen költségeket, és lehetővé teszik a változó feltételekre való gyors reagálást.

Közvetlen összefüggés van a célkitűzések három kategóriája (melyek azt jelentik, hogy mit akar elérni a szervezet) és az alkotóelemek (melyek azt jelentik, hogy mi szükséges a célkitűzések megvalósításához) között. Az egyes célkitűzés kategóriákra mindegyik alkotóelem vonatkozik. Ha pillantást vetünk bármelyik kategóriára – például a működés eredményességére és hatékonyságára –, mind az öt alkotóelemnek jelen kell lennie, és hatékonyan kell működnie azon következtetés levonásához, hogy a működés belső kontrollja hatékony.

A belső kontrollrendszer meghatározása – az ésszerű bizonyosságot adó, a munkatársak által végrehajtott folyamat alapfogalmaival együtt –, valamint a célkitűzések osztályozása és az eredményesség alkotóelemei és kritériumai, továbbá az ezekkel kapcsolatos viták alkotják a jelen belső kontroll keretrendszer tárgyát.

Mire képes a bels ő kontrollrendszer?

A belső kontrollrendszer segítheti a szervezetet teljesítmény és nyereségességi céljai elérésében, valamint a forrásveszteség megelőzésében. Segítséget nyújthat a megbízható pénzügyi beszámoló biztosításában. Segíthet továbbá annak biztosításában, hogy a vállalat betartsa a törvényeket és jogszabályokat, elkerülje a jó hírnevének csorbulását és egyéb következményeket. Összefoglalva segítheti a szervezetet abban, hogy eljusson oda, ahova eljutni szeretne, és az út során elkerülje a csapdákat és meglepetéseket.

Mire nem képes a bels ő kontrollrendszer?

Sajnos vannak néhányan olyanok, akiknek nagyobb és valószínűtlen elvárásaik vannak. A tökéleteset keresik, és azt hiszik, hogy:

• A belső kontrollrendszer képes biztosítani egy szervezet sikerét – azaz hogy biztosítja az alapvető üzleti célkitűzések megvalósítását, vagy legalábbis biztosítja a túlélést.

A belső kontrollrendszer – még ha hatékony is – csak segíteni tudja a szervezetet célkitűzései megvalósításában. Vezetői információt szolgáltathat a szervezet célkitűzése felé történő haladásról vagy annak hiányáról. A belső kontrollrendszer azonban nem tud egy eredendően rossz vezetőt jó vezetővé változtatni. A kormánypolitika vagy -programok változásai, a versenytársak lépései vagy a


30

gazdasági feltételek túlmutatnak a vezetők kontrollján. A belső kontrollrendszer nem képes arra, hogy biztosítsa a sikert vagy akár a túlélést.

• A belső kontrollrendszer képes biztosítani a pénzügyi beszámoló megbízhatóságát, valamint a törvények és jogszabályok betartását.

Ezt a meggyőződést sem garantálja semmi. A belső kontrollrendszer – attól függetlenül, hogy mennyire jól kialakított és működtetett – csupán ésszerű (és nem abszolút) biztosítékot tud adni a vezetőségnek és az igazgatóságnak a szervezeti célkitűzések megvalósítására. A megvalósítás valószínűségére hatással vannak az összes belső kontrollrendszerben benne rejlő korlátok. Idetartoznak olyan tények, mint hogy a döntéshozatal során alkotott vélemények hibásak lehetnek, és hogy egy üzemzavar oka egyszerű hiba vagy tévedés is lehet. Ezen kívül a kontrollok két vagy több ember összejátszása révén megkerülhetők, és a vezetőség figyelmen kívül hagyhatja a rendszert. Egy másik korlátozó tényező, hogy a belső kontrollrendszer kialakításának tükröznie kell azt a tényt, hogy forráskorlátok vannak, és a kontrollok hasznát annak költségeihez mérten kell figyelembe venni.

Így tehát a belső kontrollrendszer segítheti ugyan a szervezetet célkitűzései megvalósításában, csodaszernek azonban nem nevezhető.

Szerepek és felel ősségi körök

A szervezeten belül mindenki felelősséggel tartozik a belső kontrollrendszerért.

A vezetőség

-- Végső fokon a vezérigazgató a felelős, és magára kell vállalnia a "tulajdonjogot" a rendszer felett. A vezérigazgató az, aki mindenki másnál határozottabban megadja azt a "karaktert", amely hatással van a tisztességre és az erkölcsre, valamint a pozitív kontrollkörnyezet egyéb tényezőire. Egy nagyvállalatnál a vezérigazgató úgy tesz eleget feladatának, hogy vezeti és irányítja a felsővezetőket, és megvizsgálja, hogy hogyan irányítják az üzletmenetet. A felsővezetők pedig a specifikusabb belső kontroll irányelvek és folyamatok megvalósítására vonatkozó felelősséget az egység funkcióiért felelős munkatársakra ruházzák át. Egy kisebb szervezetnél az igazgató – aki gyakran egy személyben tulajdonos és vezető – általában közvetlenebb hatást gyakorol. A fentről lefelé átadott felelősség esetén a vezető ténylegesen a saját felelősségi körének igazgatója. Különösen fontosak a pénzügyi vezetők és munkatársaik, akiknek kontrolltevékenysége mind keresztben, mind hierarchikusan átfogja a vállalat üzemelviteli és egyéb egységeit.

Az igazgatóság

-- A vezetőség az igazgatóságnak tartozik beszámolni, amely irányítást, útmutatást és felügyeletet nyújt. A hatékony igazgatósági tagok tárgyilagosak, hozzáértők és rámenősek. Ismerik a szervezet tevékenységeit és környezetét, és rááldozzák az igazgatósági feladataik elvégzéséhez szükséges időt. A vezetőség olyan helyzetben lehet, hogy semmibe vegye a kontrollt, és figyelmen kívül hagyja vagy visszafojtsa a beosztottak irányából jövő kommunikációt, ami a tisztességtelen és az eredményeket szándékosan elferdítő vezetőség számára lehetővé teszi a nyomok elfedését. Egy erős, aktív igazgatóság – különösen akkor, ha a hatékony felfelé irányuló kommunikációs csatornákkal és alkalmas pénzügyi, jogi és belső ellenőrzési funkciókkal párosul – gyakran a leginkább képes az ilyen probléma felismerésére és kiküszöbölésére.

A bels ő ellenőrök

-- A belső ellenőrök fontos szerepet játszanak a kontrollrendszerek hatékonyságának értékelésében, és hozzájárulnak az állandó hatékonysághoz. A belső ellenőrzési funkció a vállalaton belüli szervezeti helyzete és hatásköre miatt gyakran jelentős monitoring szerepet is betölt.


31

Egyéb munkatársak

-- A belső kontrollrendszer a szervezeten belül mindenkire bizonyos fokú felelősséget ró, következésképpen mindenki munkaköri leírásának kifejezetten vagy hallgatólagosan részét kellene képeznie. Tulajdonképpen minden alkalmazott állít elő olyan információt, amit a belső kontrollrendszerben használnak, vagy olyan egyéb szükséges műveletet végez, amely érinti a kontrollrendszert. Továbbá minden munkatársnak felelnie kellene a működéssel, a viselkedési kódex be nem tartásával vagy egyéb, az irányelvek áthágásával vagy tiltott cselekményekkel kapcsolatos problémák felfelé irányuló kommunikációjáért.

Külső felek is gyakran hozzájárulnak a szervezet célkitűzéseinek megvalósításához. A független és tárgyilagos nézőpontot képviselő külső ellenőrök a pénzügyi kimutatás ellenőrzésén keresztül közvetlenül, a vezetőségnek és az igazgatóságnak feladataik végrehajtásához hasznos információk megadásával pedig közvetve járulnak ehhez hozzá. Mások is adnak a szervezetnek a belső kontrollrendszer működtetéséhez hasznos információt, úgy mint a jogalkotók és szabályozók, az ügyfelek és mások, akik a vállalattal üzleti tranzakciókat bonyolítanak, pénzügyi elemzők, kötvény minősítők és az újságok. A külső felek azonban nem felelősek a szervezet belső kontrollrendszeréért, és nem is részei annak.

A keretrendszert bemutató beszámoló felépítése

A beszámoló négy részből áll. Az első a Vezetői összefoglaló, ami a vezérigazgató és más felsővezetők, az igazgatósági tagok, jogalkotók és szabályozók számára nyújt magas szintű áttekintést a belső kontroll keretrendszerről.

A második rész – a Keretrendszer – meghatározza a belső kontrollrendszert, leírja annak alkotó elemeit, valamint megadja azokat a kritériumokat, amelyek szerint a vezetők, az igazgatóság vagy mások értékelhetik kontrollrendszerüket. Tartalmazza a Vezetői összefoglalót.

A harmadik rész – a Külső feleknek szóló beszámoló – kiegészítő dokumentum, amely útmutatást ad azon szervezeteknek, amelyek nyilvánosan beszámolnak a közzétett pénzügyi kimutatásaik belső kontrolljáról, ill. azt értékelik.

A negyedik rész – Az értékelés eszközei – olyan anyagokat szolgáltat, amelyek a belső kontrollrendszer értékelése során lehetnek hasznosak.

Mi a teend ő?

A jelen beszámoló alapján esetleg megtett intézkedések az érintett felek helyzetétől és szerepétől függ.

A fels ővezetés

-- A jelen tanulmányban közreműködő legtöbb felsővezető úgy hiszi, hogy alapvetően "kontroll alatt tartja" szervezetét. Közülük azonban számosan elmondták, hogy társaságuknál vannak olyan területek – egy divízió, osztály vagy tevékenységeken átívelő kontroll komponens –, ahol a kontroll alacsony fejlettségi szinten áll vagy megerősítésre szorul. Nem szeretik a meglepetéseket. Ez a tanulmány azt javasolja, hogy a vezérigazgató kezdeményezze a kontrollrendszer önértékelését. A vezérigazgató – az üzemeltetés és a pénzügy kulcsembereivel együtt – ezt a keretrendszert alkalmazva oda tudja irányítani a figyelmet, ahol arra szükség van. Az egyik megközelítés szerint a vezérigazgató olyan eljárást folytathat, hogy összehívja az üzleti egységek vezetőit és a funkcionális területek kulcsembereit a kontrollrendszer kiinduló értékelésének megvitatása céljából. Irányelveket kapnának, amelyek szerint megvitatnák ennek a beszámolónak a fogalmait vezetőikkel, áttekintést nyújtanának a felelősségi körükön belüli értékelési folyamatról, és beszámolnának a megállapításokról. Egy másik megközelítés szerint kezdetben áttekintenék a vállalat és az üzleti egységek irányelveit, valamint a belső kontroll programokat. A kiinduló önértékelés formájától


32

függetlenül meg kell határozni, hogy szükséges-e szélesebb körű és mélyebbre ható értékelés, és ha igen, hogyan kellene azt végezni. A folyamatos monitoring folyamatok meglétét is biztosítania kell. A belső kontrollrendszer értékelésére szánt idő befektetést jelent, de ez magas megtérülésű befektetés.

Az igazgatósági tagok

-- Az igazgatósági tagok meg kell, hogy vitassák a felsővezetőkkel a szervezet belső kontrollrendszerének helyzetét, és szükség szerint felügyeletet kell biztosítaniuk. A belső és külső ellenőröktől információt kell szerezniük.

A többi munkatárs

-- A vezetőknek és a többi munkatársnak át kell gondolniuk, hogy a jelen keretrendszer fényében hogyan végzik kontroll feladataikat, és magasabb szintű munkatársakkal meg kell vitatniuk a kontrollrendszer megerősítésére vonatkozó ötleteket. A belső ellenőröknek át kell gondolniuk, milyen széles körben koncentrálnak a belső kontrollrendszerre, és összehasonlíthatják értékelő anyagaikat az értékelés eszközeivel.

Jogalkotók és szabályozók

-- A törvényeket megalkotó vagy érvényesítő kormányzati tisztségviselők elismerik, hogy gyakorlatilag bármilyen témában lehetségesek téves értelmezések és eltérő elvárások. A belső kontrollal szembeni elvárások két szempontból térnek el nagyon egymástól. Először abból a szempontból térnek el, hogy mit képesek megvalósítani a kontrollrendszerek. Amint azt megjegyeztük, vannak olyan megfigyelők, akik úgy vélik, hogy a belső kontrollrendszerek elejét veszik ill. elejét kell, hogy vegyék a gazdasági veszteségnek, vagy legalábbis megakadályozzák, hogy a társaságok kiszoruljanak az üzleti életből. Másodszor, még ha egyetértés is van abban, hogy a belső kontrollrendszerek mire képesek és mire nem, valamint az "ésszerű biztosíték" fogalmának érvényességére vonatkozóan, eltérő nézetek uralkodhatnak arra vonatkozóan, hogy mit jelent az adott fogalom, és hogyan alkalmazzák azt. A vállalatvezetők aggodalmukat fejezték ki amiatt, hogy a szabályozók utólagos éleslátással hogyan értelmezhetik az "ésszerű biztosítékot" érvényesítő nyilvános beszámolókat, miután állítólagos kontroll hiányosság történt. Mielőtt a belső kontrollrendszerről szóló vezetői beszámolóval foglalkozó jogalkotásra vagy szabályozásra kerülne sor, meg kell állapodni egy közös belső kontroll keretrendszerben, beleértve a belső kontroll korlátait is. Ez a keretrendszer hasznos lenne a megállapodás eléréséhez.

Szakmai szervezetek

-- A szabályalkotó és egyéb, a pénzügyi irányításra, ellenőrzésre és a kapcsolódó témákra vonatkozóan útmutatást nyújtó szakmai szervezetek ezen keretrendszer fényében át kell, hogy gondolják normáikat és útmutatójukat. A fogalmat és a terminológiát érintő eltérések kiküszöbölése minden fél hasznára fog válni.

Oktatók

-- Ez a keretrendszer tudományos kutatás és elemzés tárgya lehetne annak érdekében, hogy megállapíthassuk, milyen további fejlesztések lehetségesek. Ha feltételezzük, hogy ezt a jelentést a megegyezés közös alapjául fogadják el, annak fogalmai és kifejezései meg kell, hogy találják a helyüket az egyetemi tananyagban.


33

2. Vállalati kockázatkezelés (ERM)

2.1 COSO ERM – Vezetői Összefoglaló (az IIA Hungary által közzétett fordítás alapján) A vállalati kockázatkezelés alapjául szolgáló alapfeltevés az, hogy minden szervezet azért létezik, hogy az abban érdekeltek számára értéket teremtsen. Minden szervezet bizonytalansággal találja magát szemben, és a vezetőség számára az jelenti a kihívást, hogy meghatározza, mekkora bizonytalanságot fogadjon el a tulajdonosi érték növelésére való törekvése során. A bizonytalanság kockázatot és lehetőséget jelent, amiben benne van az érték pusztulásának vagy növelésének lehetősége. A vállalati kockázatkezelés lehetővé teszi a vezetőség számára, hogy hatékonyan kezeljék a bizonytalanságot és a velejáró kockázatot és lehetőséget, így növelve az értékteremtő képességet. Akkor a legnagyobb az érték, ha a vezetőség olyan stratégiát és célokat állapít meg, miszerint a növekedési és megtérülési célok és az azokkal együtt járó kockázatok optimális egyensúlyát kívánja megteremteni, és eredményesen és hatékonyan hasznosítja a forrásokat a szervezet célkitűzéseinek elérése érdekében. A vállalati kockázatkezelés körébe tartozik: A kockázatvállalási hajlandóság és a stratégia párhuzamba állítása: A vezetőség a stratégiai alternatívák értékelése, a vonatkozó célkitűzések meghatározása és a kapcsolódó kockázatkezelő mechanizmusok kidolgozása révén mérlegeli a szervezet kockázatvállalási hajlandóságát.

• A kockázatra való reagálást érintő döntések hangsúlyozása: A vállalati kockázatkezelés biztosítja, hogy pontosan meghatározzák és kiválasszák a megfelelőt a kockázati reakciók alternatívái közül – a kockázat elkerülése, csökkentése, megosztása és elfogadása.

• A működéssel kapcsolatos meglepetések és veszteségek csökkentése: A szervezetek

képesebbé válnak a potenciális események felismerésére és a reakciók kidolgozására, ily módon csökkentve a meglepetéseket és az azokkal kapcsolatos költségeket ill. veszteségeket.

• Többszörös és a vállalatot átfogó kockázatok felismerése és kezelése: Minden vállalat

számtalan, a szervezet különböző részeit érintő kockázattal találja magát szemben, és a vállalati kockázatkezelés elősegíti az egymással összefüggő hatásokra való hatékony reagálást, valamint a többszörös kockázatokra való integrált reagálásokat.

• A lehetőségek kihasználása: A lehetséges események sorát figyelembe véve a vezetőség

helyzeténél fogva felismerheti és proaktív módon kihasználhatja a lehetőségeket.

• A tőkefelhasználás javítása: A vezetőség pontos kockázati információt szerezve hatékonyan felmérheti az átfogó tőkeigényeket, és javíthatja a tőkefelosztást.

A vállalati kockázatkezeléssel együtt járó képességek segítik a vezetőséget a szervezet teljesítmény- és nyereségességi céljainak elérésében és a forrásveszteség megelőzésében. A vállalati kockázatkezelés hozzájárul az eredményes beszámolás és a törvények és jogszabályok betartásának biztosításához, valamint segít elkerülni a szervezet hírnevének csorbulását és az azzal kapcsolatos következményeket. Összegezve a vállalati kockázatkezelés támogatja a szervezetet célja elérésében, és az odavezető úton segít elkerülni a csapdákat és a meglepetéseket. Események: kockázatok és lehet őségek Az eseményeknek lehetnek negatív vagy pozitív hatásai vagy mindkettő. A negatív hatású események jelentik a kockázatokat, amelyek megakadályozhatják az értékteremtést, ill. rombolhatják a meglévő értéket. A pozitív hatású események kiegyenlíthetik a negatív hatásokat, ill. lehetőségeket jelentenek.


34

A lehetőségek olyan esemény bekövetkeztének eshetőségét jelentik, amelyek pozitív módon hatnak a célok elérésére, támogatják az értékteremtést ill. -megőrzést. A vezetőség a lehetőségeket visszaforgatja a stratégiába vagy célkitűzésbe: a lehetőségek megragadását célzó folyamatokat határoz meg és terveket dolgoz ki. A vállalati kockázatkezelés meghatározása A vállalati kockázatkezelés az értékteremtést vagy -megőrzést érintő kockázatokkal és lehetőségekkel foglalkozik, és a következőképpen határozható meg:

A vállalati kockázatkezelés egy folyamat, amelyet egy szervezet igazgatósága, vezetői és többi dolgozója hajt végre, azt a stratégia kialakítása során és az egész vállalaton belül alkalmazza. Célja, hogy meghatározza azokat a lehetséges eseményeket, amelyek hatással lehetnek a szervezetre, és a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, ésszerű biztosítékot nyújtson a szervezeti célkitűzések megvalósításához.

A meghatározás bizonyos alapfogalmakat tükröz. A vállalati kockázatkezelés:

• Egy szervezeten átívelő, állandó folyamat, • A szervezet minden szintjén az emberek hajtják végre, • Alkalmazzák a stratégia meghatározásakor, • Vállalatszerte, minden szinten és egységnél alkalmazzák, és szervezeti szintű kockázati

portfolió kialakítását tartalmazza, • Célja, hogy meghatározza azokat a potenciális eseményeket, amelyek – bekövetkeztük

esetén – hatással lesznek a szervezetre, valamint hogy a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot,

• Képes ésszerű biztosítékot adni egy szervezet vezetőségének és igazgatóságának, • Egy vagy több, különálló, de egymást átfedő kategóriába sorolt célkitűzések megvalósítására

irányul. Ez a meghatározás szándékosan széles körű. Olyan kulcsfogalmakat tartalmaz, amelyek alapvetők abból a szempontból, hogy a társaságok és más szervezetek hogyan kezelik a kockázatot, a szervezeteket, iparágakat és ágazatokat átfogó alkalmazás alapjaként szolgál. Közvetlenül egy adott szervezet által meghatározott célkitűzések elérése koncentrál, és alapot nyújt a vállalati kockázatkezelés hatékonyságának meghatározásához. A célkit űzések megvalósítása Egy szervezet meghatározott küldetésének vagy jövőképének kontextusában a vezetőség kitűzi a stratégiai célokat, megválasztja a stratégiát, és az összehangolt célkitűzéseket leosztja a vállalat minden szintjére. Ez az átfogó vállalati kockázatkezelési rendszer a szervezet céljainak elérésére irányul, és négy kategóriába sorolható:

• Stratégia: magas szintű célok, a küldetésével összehangolva és azt támogatva, • Működés: a forrásainak eredményes és hatékony felhasználása, • Beszámolás: a beszámoló megbízhatósága, • Szabályszerűség: az alkalmazandó törvények és szabályok betartása

A szervezeti célok fenti kategóriákba sorolása lehetővé teszi a vállalati kockázatkezelés különféle szempontjainak vizsgálatát. A különálló, de egymást átfedő kategóriák – egy célkitűzés egynél több kategóriába is tartozhat – különböző szervezeti igényekkel foglalkozik, és különböző vezetők közvetlen felelősségi körébe tartozhat. A kategorizálás révén elkülöníthetők az egyes célkitűzés kategóriákkal szemben támasztott elvárások. Egy további kategória: a források megóvása – amelyet bizonyos szervezetek használnak – leírását is megadjuk. Mivel a szervezet hatáskörébe tartoznak a beszámoló megbízhatóságára és a törvények és szabályok betartására vonatkozó célkitűzések, a vállalati kockázatkezelés várhatóan a célkitűzések


35

megvalósításának ésszerű biztosítékát nyújtja. A stratégiai és a működési célok elérése azonban olyan külső eseményektől függ, amelyek nem tartoznak mindig a szervezet hatáskörébe, ennek következtében e célok esetében a vállalati kockázatkezelés ésszerű biztosítékot adhat arra, hogy a vezetőség és az igazgatóság áttekintő szerepében időben megtudja, hogy a szervezet milyen mértékben halad a célok elérése felé. A vállalati kockázatkezelés alkotóelemei A vállalati kockázatkezelés nyolc, egymással összefüggő alkotóelemből áll. Ezek a vállalat működtetésének módjából vezethetők le, és a vezetési folyamat részét képezik. Az alkotóelemek:

• Belső környezet: A belső környezethez tartozik a szervezet vezetési karaktere, és megszabja azt, hogy a szervezet dolgozói hogyan tekintenek a kockázatra és mit kezdenek azzal – beleértve a kockázatkezelési filozófiát, a kockázatvállalási hajlandóságot, a tisztességet és az erkölcsi értékeket, valamint azt a környezetet, amelyben működnek.

• A cél kitűzése: A célokat azt megelőzően kell kitűzni, hogy a vezetőség meghatározza a célok

elérésére ható lehetséges eseményeket. A vállalati kockázatkezelés biztosítja, hogy a vezetőségnek rendelkezésére álljon a célok kitűzésének folyamata, és hogy a választott célok támogassák a szervezet küldetését, és azzal összhangban legyenek, valamint összeférjenek a kockázatvállalási hajlandósággal.

• Az esemény meghatározása: Meg kell határozni a szervezet célkitűzéseinek megvalósítására

ható belső és külső eseményeket, meg kell különböztetni a kockázatokat és a lehetőségeket. A lehetőségeket be kell építeni a vezetőség stratégiájába ill. célmeghatározó folyamataiba.

• Kockázatértékelés: A kockázatok elemzése azok valószínűségének és hatásának figyelembe

vételével történik, és ennek alapján kerül meghatározásra azok kezelése. A kockázatértékelés annak alapján történik, hogy az az üzleti tevékenység szerves része, és nem kiküszöbölhető.

• A kockázatra adott válasz: A vezetőség választja meg a kockázatokra adott válaszokat –

elkerüli, vállalja, csökkenti vagy megosztja a kockázatot –, és intézkedések sorát dolgozza ki annak érdekében, hogy a kockázatokat a szervezet kockázattűréséhez és kockázatvállalási hajlandóságához igazítsa.

• Kontrolltevékenységek: Irányelvek és eljárások meghatározására és végrehajtására kerül sor

annak érdekében, hogy a kockázatra adott válaszlépéseket hatékonyan hajtsák végre.

• Információ és kommunikáció: Meghatározzák és megszerzik a vonatkozó információkat, és olyan formában és időkereten belül kommunikálják, hogy az emberek el tudják végezni feladataikat. A hatékony kommunikáció szélesebb körben is megtörténik: a vállalaton belül fentről lefelé, lentről felfelé és keresztirányban.

• Monitoring: A vállalati kockázatkezelés egészét figyelemmel kísérik, és szükség szerint

módosításra kerül sor. A monitoring folyamatos vezetői tevékenység és külön értékelések vagy mindkettő.

A vállalati kockázatkezelés nem feltétlenül sorozat-tevékenység, amelyben az egyes elemek hatással vannak a következőre. Többirányú, ismétlődő folyamat, amelynek során szinte bármelyik elem hatást gyakorolhat a többire. A célkit űzések és az alkotóelemek összefüggése A célkitűzések – amelyek azt mutatják, hogy mit akar elérni a szervezet – és a vállalati kockázatkezelés elemei – amelyek azt mutatják, hogy mi szükséges a célok eléréséhez – között közvetlen az összefüggés. Az összefüggést egy háromdimenziós mátrix szemlélteti, kocka alakot formálva.


36

A négy célkitűzés kategóriát – stratégia, működés, beszámolás és szabályszerűség – a függőleges oszlopokban, a nyolc alkotóelemet a vízszintes sorokban, a szervezeti egységeket pedig a harmadik dimenzióban tüntettük fel. Ez az ábra azt mutatja be, hogy tekintetbe vehetjük egy szervezet vállalati kockázatkezelésének egészét, vagy az egyes célkitűzés kategóriákat, alkotóelemeket, szervezeti egységeket vagy azok bármilyen részhalmazát.

6. ábra: COSO ERM keretrendszer 3-dimenziós ábrázolása Ábra feliratok:

• Stratégia, Működés, Beszámolás, Szabályszerűség • Belső környezet, A cél kitűzése, Az esemény meghatározása, Kockázatértékelés, A

kockázatra adott válasz, Kontrolltevékenységek, Információ és kommunikáció, Monitoring • Vállalati szint, Divízió, Üzletág, Leányvállalat

Hatékonyság Annak meghatározása, hogy egy szervezet vállalati kockázatkezelése "hatékony"-e, annak értékeléséből következő megítélés, hogy megvan-e a nyolc alkotóelem, és azok hatékonyan működnek-e. Így tehát az alkotóelemek szintén a hatékony vállalati kockázatkezelés kritériumai. Az alkotóelemek megléte és megfelelő működése esetén nem lehetnek jelentős gyengeségek, és a kockázat nem lépheti túl a szervezet kockázatvállalási hajlandóságának mértékét. Ha a vállalati kockázatkezelést hatékonynak találják a célkitűzések mind a négy kategóriájában, az igazgatóság és a vezetőség biztos képet kap arról, hogy a szervezet stratégiai és működési célkitűzései milyen mértékben teljesülnek, és hogy a szervezet beszámolója megbízható, és az alkalmazandó törvényeket és szabályokat betartják. A nyolc alkotóelem nem működik egyformán minden szervezetnél. A kis- és középvállalkozásoknál való alkalmazás például kevésbé formális és kevésbé strukturált lehet. A kisvállalkozások mindazonáltal hatékony kockázatkezeléssel rendelkezhetnek mindaddig, amíg az alkotóelemek mindegyike megvan, és megfelelően működik. Korlátok Habár jelentős előnyökkel jár a vállalati kockázatkezelés, megvannak a korlátai is. A fent tárgyalt tényezőkön kívül a korlátok olyan realitásokból erednek, mint hogy a döntéshozatal során hibás lehet az emberi megítélés, a kockázatra adott válaszról szóló döntések és az ellenőrzések meghatározásakor figyelembe kell venni a vonatkozó költségeket és előnyöket, üzemkiesés lehetséges egyszerű emberi tévedés vagy hiba miatt, a kontroll megkerülhető két vagy több ember összejátszása esetén, és a vezetőség helyzeténél fogva figyelmen kívül hagyhatja a vállalati kockázatkezelési döntéseket. Ezek a korlátok meggátolják az igazgatóságot és a vezetőséget abban, hogy a vállalati célkitűzések megvalósítására vonatkozóan abszolút biztosítékot szerezzenek.


37

Magában foglalja a bels ő kontrollrendszert A belső kontrollrendszer a vállalati kockázatkezelés szerves része. Ez az átfogó vállalati kockázatkezelési rendszer magában foglalja a belső kontrollrendszert, erőteljesebb megfogalmazást és a vezetőség számára eszközt jelent. A belső kontrollrendszer meghatározása és leírása a Belső kontroll integrált keretrendszere c. anyagban található. Mivel az átfogó rendszer kiállta az idő próbáját, és a meglévő szabályok, jogszabályok és törvények alapját képezi, az a dokumentum határozza meg továbbra is a belső kontroll meghatározását és átfogó rendszerét. A Belső kontroll integrált keretrendszere c. anyagból csak részletek találhatók az ERM keretrendszerben, hivatkozás útján a teljes átfogó rendszer beépült ebbe az ERM rendszerbe. Szerepek és feladatok Egy szervezetnél valamilyen mértékben mindenki felelős a vállalati kockázatkezelésért. Végső soron a vezérigazgató a felelős, és tulajdonosi szerepet kell felvállalnia. A többi vezető támogatja a szervezet kockázatkezelési filozófiáját, elősegíti a kockázatvállalási hajlandóságnak való megfelelést, és felelősségi körén belül, a kockázattűrő képességnek megfelelően kezeli a kockázatokat. A kockázatfelelősnek, a pénzügyi vezetőnek, a belső ellenőrnek és másoknak általában kulcsfontosságú támogatási feladataik vannak. A szervezet többi dolgozója felel a vállalati kockázatkezelés végrehajtásáért, a meghatározott irányelvekkel és formai szabályokkal összhangban. Az igazgatóság fontos felügyeletet gyakorol a vállalati kockázatkezelés felett, tudatában van a szervezet kockázatvállalási hajlandóságának, és egyetért azzal. Bizonyos külső felek, úgymint ügyfelek, szállítók, üzleti partnerek, külső ellenőrök, szabályozók és pénzügyi elemzők gyakran adnak a vállalati kockázatkezelés végrehajtása során hasznos információt, azonban nem felelősek a szervezet vállalati kockázatkezelése hatékonyságáért, és nem is vesznek abban részt. Az ERM keretrendszert bemutató beszámoló felépítése E beszámoló két részből áll. Az első rész tartalmazza a Keretrendszert, valamint e Vezetői összefoglalót. A Keretrendszer meghatározza a vállalati kockázatkezelést, leírja az alapelveket és fogalmakat, a vállalkozások és más szervezetek minden vezetői szintje számára útmutatást nyújtva a vállalati kockázatkezelés hatékonyságának értékeléséhez és javításához. A Vezetői összefoglaló a vezérigazgatók, más felsővezetők, igazgatósági tagok és szabályozók számára nyújt magas szintű áttekintést. A második rész – Alkalmazási technikák – illusztrálja a keretrendszer elemeinek alkalmazása során a hasznos technikákat. E beszámoló felhasználása Az, hogy e beszámoló nyomán milyen javasolt lépések tehetők, az érdekelt felek pozíciójától és szerepétől függ:

• Igazgatóság: Az igazgatóságnak meg kellene vitatnia a felsővezetéssel a szervezetek vállalati kockázatkezelésének helyzetét, és szükség szerint felügyeletet kellene biztosítania. Az igazgatóságnak ismernie kellene a legjelentősebb kockázatokat, valamint hogy milyen intézkedéseket tesz a vezetőség, és hogyan biztosítja a hatékony vállalati kockázatkezelést. Az igazgatóságnak fontolóra kellene vennie információ szerzését a belső ellenőröktől, külső ellenőröktől és másoktól.

• Felsővezetés: A jelen tanulmány azt javasolja, hogy a vezérigazgató mérje fel a szervezet

vállalati kockázatkezelési képességeit. Egy megközelítés szerint a vezérigazgató összehívja az üzletágak vezetőit és a funkcionális területek kulcsembereit, és megvitatja velük a vállalati kockázatkezelési képességek és hatékonyság kezdeti felmérését. A kezdeti felmérés annak formájától függetlenül meg kell, hogy határozza azt, hogy szükséges-e egy szélesebb körű és mélyebbre ható értékelés, és ha igen, hogyan végezzék azt.


38

• A vállalat többi dolgozója: A többi vezető és más dolgozók át kell, hogy gondolják, hogy a jelen keretrendszer fényében hogyan végzik feladataikat, és a felsőbb munkatársakkal meg kell vitatniuk a vállalati kockázatkezelés erősítésére vonatkozó elgondolásokat. A belső ellenőröknek át kell gondolniuk hogy, milyen széles körűen foglalkozzanak a vállalati kockázatkezeléssel.

• Jogszabályalkotók: Ez az átfogó rendszer elősegítheti a vállalati kockázatkezelésről kialakított

egységes véleményt, beleértve azt, hogy az mire képes, és melyek a korlátai. A jogszabályalkotók erre a keretrendszerre támaszkodva fogalmazhatják meg elvárásaikat: az általuk felügyelt szervezetek számára szabályokat, iránymutatást adva vagy vizsgálatokat folytatva.

• Szakmai szervezetek: A pénzügyi vezetésre, ellenőrzésre és az azzal kapcsolatos témákra

vonatkozóan iránymutatást adó, szabályalkotó és más szakmai szervezetek a jelen keretrendszer fényében át kellene, hogy tekintsék normáikat és útmutatásukat. Minél jobban sikerül kiküszöbölni a fogalmak és a terminológia sokféleségét, annál nagyobb hasznára válik az érintetteknek.

• Oktatók: Ez a keretrendszer tudományos kutatás és elemzés tárgya lehetne annak

érdekében, hogy megállapíthassuk, milyen további fejlesztések lehetségesek. Ha feltételezzük, hogy ezt a beszámolót a megegyezés közös alapjául fogadják el, akkor annak fogalmai és kifejezései meg kellene, hogy találják a helyüket az egyetemi tananyagokban.

A kölcsönös egyetértés ily módon történő megalapozásával minden fél közös nyelvet fog tudni beszélni, és hatékonyabban fog tudni kommunikálni. Az üzleti vezetők olyan helyzetbe kerülnek, hogy norma alapján tudják értékelni a társaságuk vállalati kockázatkezelési folyamatát, megszilárdíthatják a folyamatot, és társaságukat a kitűzött célok irányába mozdíthatják el. A jövőbeli kutatás szilárd alapról indulhat. A jogalkotók és szabályozók jobban meg fogják tudni érteni a vállalati kockázatkezelést, beleértve annak előnyeit és korlátait. A közös vállalati kockázatkezelési keretrendszert alkalmazó felekkel realizálhatók ezek az előnyök.


39

2.2 Kockázatok típusai A kockázatok típusai az iparágtól, a szervezet típusától és méretétől, a földrajzi elhelyezkedéstől, a kultúrától, stb. függően jelentősen eltérhetnek. Az ERM kockázatkezelési koncepciója a szervezeti és működési célokat jelentősen, negatív irányban befolyásolni képes, lehetségesen előforduló külső és belső eseményekre értelmezi a kockázatokat. Küls ő kockázatot jelentő események kategóriái lehetnek:

Belső kockázatot jelentő események kategóriái lehetnek:

Gazdasági - Tőke rendelkezésre-állás - Hitellehetőségek - Likviditás - Pénzpiaci szereplők - Munkanélküliség - Piaci verseny - Fúziók és felvásárlások

Környezeti - Környezetszennyezés - Energia - Környezeti katasztrófa - Fenntartható növekedés Politikai - Kormányzati változás - Törvényhozás - Közérdek - Szabályozás Társadalmi - Népesség - Fogyasztói magatartás - Közösség - Bizalmasság - Terrorizmus Technológiai - Üzletmenet megszakadása - Elektronikus kereskedelem - Külső adatok - Technológiai fejlődés

Infrastruktúra - Eszközök rendelkezésre állása - Eszközök alkalmassága - Hozzáférés - Komplexitás Személyi állomány - Alkalmazotti kapacitás - Megtévesztő (csalárd) magatartás - Egészségügy és biztonság Folyamatok - Kapacitás - Tervezés - Végrehajtás - Külső kapcsolódások, függőségek Technológiák - Adatintegritás - Adat- és rendszerhozzáférés - Rendszer kiválasztás - Fejlesztés - Bevezetés - Karbantartás

Megkülönböztetjük még az eredend ő (inherent) kockázatot, mely leegyszerűsítve kezeletlen kockázatot jelent, illetőleg a maradvány (residual) kockázatot, mely az eredendő kockázat kapcsán


40

tervezett és végrehajtott válaszintézkedés – vagyis a kontroll - eredményeképpen marad. Az eredendő és maradvány kockázat egyaránt fontos a vállalati kockázatkezelés szempontjából. A következő ábra az eredendő és maradvány kockázatok szerepét mutatja be a kockázatkezelés általános megközelítésében:

7. ábra: Kockázatkezelés általános megközelítése Kiemeljük még a kontrollkockázat fogalmát, mely alatt annak kockázatát értjük, hogy a kontrollrendszer egyes folyamatai, vagy egyes kontrolltevékenységek a tervezett hatást, vagyis a maradvány kockázat kívánt értéken (kockázatviselési szinten) belül tartását, nem érik el. A korábbi részben ismertetett ERM összefoglaló szerint a belső kontrollrendszer a vállalati kockázatkezelés szerves része. A vállalati kockázatkezelés és a belső kontrollrendszer egymástól nem elválasztható, pusztán más nézőpontjait jelentik az üzleti folyamatok irányításának. Ahogy az üzleti folyamatok, működési egységek, szervezeti szintek egymásba épülnek, úgy a célok és a célokra hatással bíró események is láncolatot alkotnak. Az események láncolatában a magasabb szinten kezelt - maradvány - kockázat, az alsóbb szint számára adott esetben eredendő kockázatként jelenhet meg. Az események bekövetkezésének és hatásának bizonytalansága az élet természetes velejárója. A vállalati kockázatkezelés az üzleti élet bizonytalanságából kíván eredményt produkálni. A kockázatkezelés ebben az értelemben nem különbözik a normális üzletviteltől, hanem annak egy tudatos (tervezett és ellenőrzött) formáját jelenti. A kockázat-tudatosság eredményeképpen az esetleg bekövetkező eseményekre való megfelelő felkészülés biztosítja a nagyobb üzleti siker elérését, vagy veszteség elkerülését.

CÉLOK

ESEMÉNYEK

VÁLASZOK

EREDENDŐKOCKÁZAT

MARADVÁNYKOCKÁZAT


41

2.3 Kockázatkezelés elemei A COSO ERM által javasolt alkotóelemek (belső környezet, célkitűzés, eseményazonosítás, kockázatértékelés, kockázati válaszok, kontrolltevékenységek, információ és kommunikáció, monitoring) ebben az összefüggésben akár egymást követő ciklusokban végrehajtott lépéseknek is tekinthetők. Ha azonban a belső kontrollrendszert önmagában vizsgáljuk, annak elemei (kontrollkörnyezet, kockázatértékelés, kontrolltevékenységek, információ és kommunikáció, monitoring) egymással párhuzamos és egymást kiegészítő - a kontrollrendszer hatékony működését biztosító -folyamatok csoportjaiként jelennek meg. A belső kontrollrendszer kockázatértékelés komponense (mint a kockázatértékelést támogató kontrollfolyamatok csoportja) ilyen értelemben nem jelent redundanciát, hiszen a kontrollrendszeren belül a kockázatértékelés folyamatosságát biztosítja. Az alábbiakban a kockázatkezelés azon elemeit emeljük ki, melyek mind a szervezet szintjén (ERM), mind pedig a működési egységek és folyamatok szintjén (a belső kontrollrendszeren belül) egyaránt érvényesek. Célkit űzés állítása A célkitűzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait. Meghatározásra kerül a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) - vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület (igazgatóság) mekkora kockázatot tart elfogadhatónak. Továbbá meghatározásra kerül a kockázati tolerancia (risk tolerance), vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékű eltérés engedhető meg. A szervezeti szinten, vagy az egyes működési egységek és folyamatok vonatkozásában meghatározott célokat és azoktól való megengedett eltérést megfelelő metrikákkal (mutatószámokkal) kell alátámasztani. Ez általában nem szokott problémát okozni, hiszen minden szervezet, vagy működési folyamat üzleti célja valamilyen – viszonylag könnyen számszerűsíthető - érték létrehozása vagy megőrzése. A kockázatkezelés szempontjából alapvető kockázatviselési szint (vagy hajlandóság) számszerűsítése viszont nem nyilvánvaló. A probléma súlyát az adja, hogy a kockázatértékelés során a kockázatviselési szint az, ami alapján a kockázat besorolásra kerül, mely alapján döntés születik arról, hogy a lehetséges kockázati válaszok közül melyik kerüljön alkalmazásra. Ha tehát nincs akár a szervezet, akár a működési folyamat kapcsán objektíven alkalmazható kockázatviselési szintre vonatkozó mutatószám, akkor a kockázatkezelés további lépéseit csak eseti, szubjektív döntéseken keresztül lehet végrehajtani. A COSO ERM modell – a beépülő kontrollrendszerrel együtt – célkitűzés-kategóriákat állít fel. A stratégiai, működési, beszámolási és szabályszerűségi célkitűzéseket az ERM esetében a szervezet, az integrált belső kontrollrendszer vonatkozásában a működési egységek és folyamatok üzleti céljainak megvalósulásán keresztül kell vizsgálni. Habár az egyes célkitűzés-kategóriák alapján különböző (teljesítmény, pénzügyi vagy szabályszerűségi) vizsgálati típusok határozhatók meg, könnyű belátni, hogy a célkitűzés-kategóriák nem önmagukban léteznek, hanem egymással összekapcsolódva. Az egyik lehetséges megközelítés alapján a célkitűzés-kategóriák egymásra épülnek. A működési (üzleti) folyamatok szintjén a szabályszerűségi célok teljesülése biztosítja, hogy a kockázatkezelés és belső kontrollrendszer kiválasztott, vagy előírt követelményei szerint kerülnek az üzleti tevékenységek végrehajtásra. A megbízható beszámolás céljai feltételezik a szabályszerűségi követelmények teljesülését, vagyis a szervezet kockázatviselési szintje a működési (üzleti) folyamatok kapcsán a szabályszerűségi követelmények mutatószámaival határozható meg.


42

A működési egységek vonatkozásában a hatékony működés céljai feltételezik a megbízható beszámolás és a szabályszerű végrehajtás követelményeinek teljesülését. Ezen a szinten a szervezet kockázatviselési hajlandóságát a megbízható beszámolás és a szabályszerűség követelményeinek mutatószámaival írhatjuk elő. A szervezet egésze vonatkozásában a - működési egységek szintjén meghatározott üzleti célokra lebontott - stratégiai célok feltételezik a hatékony működés, megbízható beszámolás és szabályszerű végrehajtás követelményeinek teljesülését. A szervezet egésze vonatkozásában a kockázatviselés szintjét a működési egységek, működési folyamatok és üzleti tevékenységek kapcsán feltételezett működési, beszámolási és szabályszerűségi követelmények mutatószámaival jellemezhetjük. Vegyük észre a szervezet belső kontrollrendszerére alkalmazott kockázatkezelés következményét a szervezeti szintű kockázati tolerancia (a szervezet kontroll céljaitól való megengedett eltérés mértéke) és a kockázatviselési szint értelmezésében: a szervezet kockázatkezelési stratégiája vonatkozásában a kockázatviselés szintjét a belső kontrollrendszer egészére előírt követelmények mutatószámaival írhatjuk le. A konzisztens vállalati kockázatkezelés tehát feltételezi, hogy a szervezet belső kontrollrendszerének működését megfelelő mutatószámokkal jellemezni lehet. Ezek a mutatószámok a belső kontrollrendszerre vonatkozó célkitűzés-állításban is szerepet kapnak, hiszen ezekkel lehet az adott szintre jellemző kockázati toleranciát meghatározni. Az alsóbb szintű célkitűzés-kategória kontrollkockázati toleranciájának mutatóival a következő célkitűzés-kategóriára vonatkozó kockázatviselési szintet írhatjuk le. Kevésbé kockázat-tudatos vállalati működés esetén a stratégiai és üzleti célokat közvetlenül is lehet az üzleti tevékenységekhez kapcsolni. Ez esetben a belső kontrollrendszer egészére vonatkozó követelmény-állításról nem beszélhetünk, így nemcsak a kontroll és kockázatkezelési keretrendszerek következetes alkalmazásáról mondunk le, hanem arról a lehetőségről is, hogy a szervezet vonatkozásában objektíven alkalmazható kockázatviselési szinteket határozhassunk meg, ezáltal az üzleti tevékenységek kapcsán eseti és szubjektív döntések határozzák meg a kockázatok besorolását. Eseményazonosítás Az eseményazonosítás tartalmazza azon véletlenül bekövetkező külső vagy belső eseményeket, melyek kihathatnak a stratégiára és a célok elérésére. Bemutatja, hogy a belső és külső tényezők kombinációja és összejátszása hogyan befolyásolja a kockázat-meghatározásokat (risk profile). A vállalati kockázatkezelés szempontjából nemcsak a negatív hatású eseményeket (kockázatokat) kell beazonosítani, hanem a kedvező kimenetelű eseményeket - a lehetőségeket - is. Bár a COSO modellek nem foglalkoznak részletesen a lehetőségek kihasználását támogató folyamatokkal, ezek az üzleti élet szempontjából ugyanolyan fontosak, mint a hagyományos kontrollok. Általános üzleti modellek, szabványok, keretrendszerek, illetve részletes működési (pl. technológiai) előírások is jól használhatóak a lehetséges események beazonosítására. Tekintettel a lehetséges külső és belső események igen kiterjedt körére, a jelentős kihatású, de ritkábban előforduló események többségével kapcsolatosan a szervezet vezetésének, illetve munkatársainak nem feltétlenül van gyakorlati tapasztalata. A kontroll keretrendszerek által - a belső kontrollrendszer egyes elemeire, illetve a célkitűzés-kategóriák egymásra épülésére - előírt követelményeket vizsgálva nyerhetünk információkat azokról az eseményekről, melyeket a kontroll keretrendszerek kidolgozói fontosnak tartottak.


43

Kockázatértékelés Leegyszerűsítve a kockázatértékelés annak bemutatása, hogy a lehetséges események milyen mértékben gyakorolnak hatást a szervezeti, működési célok elérésére. A kockázatértékelés során a kockázatokat alapvetően a következő szempontokból vizsgáljuk:

• Valószínűség (Likelihood) • Hatás (Impact)

A kihatás vizsgálata a kockázatok felmérése mellett a kapcsolódó célok mérésére is alkalmazható. A kockázatértékelés során kvalitatív és kvantitatív kockázat-felmérési módszereket, illetve ezek kombinációját alkalmazhatjuk. Nagyon fontos, hogy a kockázatértékelésnek nem a vizsgálati, vagy a költségvetési ciklusokhoz, hanem a vonatkozó célok időhorizontjához kell igazodnia! A szervezeti és működési célok akár több vizsgálati cikluson keresztül is átnyúlhatnak, de pl. katasztrófa-elhárítás esetén nagyon rövid időtartamra is vonatkozhatnak. A kockázatértékelés mind az eredendő (inherent), mind a maradvány (residual) kockázatokat figyelembe veszi. Az objektív mérlegelés szempontjából nélkülözhetetlen a kockázatviselési szint mérőszámainak alkalmazása. Kockázati térkép A kockázati térkép egy vagy több kockázat bekövetkezési valószínűségének és kihatásának grafikus megjelenítésére szolgál. A hagyományos kockázati térképen ábrázolható az eredendő és maradvány kockázat, így a lehetséges kockázati válasz irányultsága is.

8. ábra: Kockázati térkép használata


44

A hagyományos kockázati térkép alkalmazásának problémáit az alábbiakban foglalhatjuk össze:

• A ritkán, vagy eddig még soha meg nem történt események vonatkozásában nem nyújt segítséget.

• A legnagyobb veszteségek gyakran alacsony valószínűségű, de nagy kihatású eseményekből fakadnak.

• A hagyományos kockázati térkép alkalmazása a vezetés és az audit figyelmét túlságosan a nagy hatású és magas valószínűségű (red zone) eseményekre irányítja.

• Az események láncolata helyett az egyedi eseményekre koncentrál. • A kockázatviselési szint (hajlandóság) az egyedi események kapcsán nehezen

számszerűsíthető. • A kapcsolódó események kompenzációs kontrollintézkedései egy egyedi esemény magas

kockázatát is elfogadhatóvá tehetik. Fentiek figyelmen kívül hagyása a kockázatkezelést formális dokumentálási gyakorlatra redukálja. A túl részletes kockázat-felmérési dokumentáció egyrészt a karbantarthatóság miatt is megkérdőjelezhető, de a szervezeti, működési céloktól való ”elszakadás”-nak is tág teret ad. A vállalati kockázatkezelés szempontjából a felülről lefele, a konkrét szervezeti célokból lebontott, jelentős eseményekkel kapcsolatos kockázatfelmérésnek van hozzáadott értéke, mely nem keverendő össze a kontrolltevékenységek részletes dokumentálásával. Kockázati válaszok A lehetséges kockázati válaszokat (risk responses) azonosítani és értékelni kell. Az értékelés során figyelembe kell venni a szervezet kockázatviselési szintjét, össze kell hasonlítani a lehetséges kockázati válaszokat költség-haszon (cost/benefit) elemzés segítségével (ld. 9. sz. ábra), valamint azt, hogy a lehetséges válaszok milyen mértékben csökkentik a hatást és/vagy a bekövetkezés valószínűségét (ld. 10. sz. ábra).

9. ábra: Költség-haszon elemzés használata a lehetséges kockázati válaszok összehasonlításánál A fenti ábra azt mutatja, hogy a kockázati válasz költsége nem haladhatja meg a kockázat hatását. Megfelelő adatok rendelkezésre állása esetén a kockázati hatás statisztikailag értelmezhető és jól modellezhető.

$$

INTÉZKEDÉS HATÉKONYSÁGAINTÉZKEDÉS HATÉKONYSÁGA

KOCKÁZATKOCKÁZAT KÖLTSÉGKÖLTSÉG

CÉLCÉL

VESZTE-SÉG

VESZTE-SÉG

$$

INTÉZKEDÉS HATÉKONYSÁGAINTÉZKEDÉS HATÉKONYSÁGA

$$$$

INTÉZKEDÉS HATÉKONYSÁGAINTÉZKEDÉS HATÉKONYSÁGAINTÉZKEDÉS HATÉKONYSÁGAINTÉZKEDÉS HATÉKONYSÁGA

KOCKÁZATKOCKÁZAT KÖLTSÉGKÖLTSÉG

CÉLCÉL

VESZTE-SÉG

VESZTE-SÉG

KOCKÁZATKOCKÁZATKOCKÁZATKOCKÁZATKOCKÁZATKOCKÁZAT KÖLTSÉGKÖLTSÉGKÖLTSÉGKÖLTSÉG

CÉLCÉLCÉLCÉLCÉLCÉLCÉLCÉL

VESZTE-SÉG

VESZTE-SÉG

VESZTE-SÉG

VESZTE-SÉG


45

A 10. sz. ábra illusztrálja, hogy a kockázati válasz eredményességének méréséhez a hatás és valószínűség mutatóit lehet felhasználni.

10. ábra: Maradvány kockázat meghatározása a hatás, illetve valószínűség csökkentésével A következő feladat a kockázatok és a kockázati válaszok portfoliójának kiértékelésén alapuló válasz-intézkedés kiválasztása és végrehajtása. Lehetséges választípusok:

• Elfogad (Accept) = monitoroz • Elkerül (Avoid) = megszüntet (pl. tevékenységet) • Mérsékel (Reduce) = kontrollokat alkalmaz • Megoszt (Share) = mást bevon (pl. biztosítót)

A lehetséges választípusokra jellemző megoldások: Elfogadás: - ”belső biztosítás” a lehetséges veszteségre (pl. tartalékképzés) - kompenzációs kontrollok alkalmazása - a hatás a kockázati tolerancián belüli Elkerülés: - működési egység, termék-előállítás, stb. megszűntetése - új, nagy kockázatú kezdeményezéstől való elzárkózás Mérséklés: - termékek diverzifikálása - működési korlátok felállítása - működési (üzleti) folyamatok javítása - döntéshozatal és monitoring vezetői szintjeinek kialakítása - eszközök, illetve tőke átcsoportosítása Megosztás: - biztosítás - közös vállalkozás/partnerség kialakítása - szindikátusi megállapodások - kockázat lefedése tőkepiaci eszközökkel - üzleti folyamat kiszervezése (outsourcing) - kockázat megosztása a vevőkkel, szállítókkal, vagy más üzleti partnerekkel megkötött

szerződéseken keresztül

� EREDENDŐKOCKÁZAT

� EREDENDŐKOCKÁZAT

� MARADVÁNYKOCKÁZAT

� MARADVÁNYKOCKÁZAT

VALÓSZÍNŰSÉGVALÓSZÍNŰSÉGVALÓSZÍNŰSÉGVALÓSZÍNŰSÉG

HATÁSHATÁSHATÁSHATÁS


46

A kockázati választípusok és a kockázatértékelés lehetséges kapcsolatát mutatja be a következő ábra:

11. ábra: Kockázati választípusok a kockázati térképen Általában a nagyobb valószínűséggel bekövetkező eseményekre adható kockázati válaszok ismertebbek, hiszen jóval több gyakorlati példa áll rendelkezésre. Bizonyos üzleti típussal illetve volumennel bíró, vagy jelentős társadalmi funkciót ellátó szervezetek esetében viszont a nem gyakori, de nagy kihatású eseményekre (pl. környezeti katasztrófa, terrortámadás) is megfelelő összetettségű válaszintézkedéseket kell kidolgozni.


47

2.4 Kockázatértékelési technikák Kvalitatív és kvantitatív technikák A vállalati kockázatkezelés során kvalitatív és kvantitatív technikákat alkalmazhatunk a kockázatok értékelésére. A kvalitatív technikákat elsősorban akkor alkalmazzák, ha valamilyen okból nem állnak rendelkezésre a megfelelő mutatószámokhoz szükséges megbízható adatok, illetve az adatok előállítása nem költség-hatékony. A kvantitatív technikák alkalmazása nagyobb pontosságot eredményez az összetett és jól körülhatárolható tevékenységek esetén, és ezzel kiegészíti a kvalitatív módszerek használatát. Mind az eredendő, mind a maradvány kockázat valószínűségének és hatásának becslésére megfelelő mérési módszert kell alkalmazni. Az alkalmazható mérési módszerek lehetséges tipizálása a következő:

• Kategorizálás (nominal measurement) - Ez a legegyszerűbb mérési módszer, mely az eseményeket csoportokba, vagy kategóriákba sorolja. Az azonosítók nem jelentenek egymás közötti rangsorolást, vagy eltérő prioritást.

• Rangsorolás (ordinal measurement) - A mérés során az eseményeket a fontosságnak

megfelelően rangsoroljuk és informatív címkékkel (pl. magas, közepes, alacsony, egyéb) látjuk el. A rangsorolás határozott véleményt fejez ki, például azt, hogy egy esemény bekövetkezési valószínűsége, vagy kihatása nagyobb, mint egy másiké.

• Intervallum-besorolás (interval measurement) - Az intervallum-besorolás az eseményeket

numerikusan azonos távolságokat tartalmazó skála segítségével hasonlítja össze. Például ha három, különböző mérőszámokkal jellemezhető esemény kihatását akarjuk összehasonlítani, akkor az események intervallum-besorolása közötti távolság alapján ezt megtehetjük – anélkül, hogy a kihatás mérőszámait közvetlenül hasonlítanánk össze.

• Arányosítás (ratio measurement) – Az arányos mérés, mivel az alkalmazott skála az

intervallum-besorolással ellentétben tartalmazza a zéró pontot is, közvetlen összehasonlítást tesz lehetővé.

A kategorizálás és rangsorolás kvalitatív, míg az intervallum-besorolás és arányosítás kvantitatív mérésnek tekinthető. A kvantitatív technikákat akkor lehet alkalmazni, ha elegendő információ áll rendelkezésre a valószínűség és hatás intervallum-besorolással vagy arányosítással történő méréséhez. A lehetséges módszerek: a valószínűség-, nem-valószínűség-, illetve benchmarking (összehasonlítás) alapú technikák. A valószínűség-számításra épülő technikák az események viselkedését (mind a bekövetkezés valószínűsége, mind a kihatás szempontjából) valamilyen várható (pl. normális) eloszlással írják le. A nem-valószínűség alapú technikák a kihatás számszerűsítésére szolgálnak, esetükben a bekövetkezés valószínűségét külön módszerrel kell meghatározni. A benchmarking technika alkalmazható a szervezeten belüli egységek között, vagy a hasonló karakterisztikájú iparág- vagy szektorbeli szervezetekkel, vagy a legjobb gyakorlatokkal történő összehasonlításban. A kvalitatív mérési módszerek használata, bár egyszerűbbnek tűnik, valójában a lehetséges eseményekkel, azok körülményeivel és dinamikájukkal kapcsolatos komoly tudást, gyakorlatot és ítélőképességet feltételez a felmérő részéről. Az alábbi táblázatban bemutatásra kerülő kvalitatív kockázatértékelési technika alkalmazza a kategorizálás (kockázat típusok) és a rangsorolás (kockázati besorolás) módszerét. A példa jól illusztrálja azt, hogy a kockázati besorolás akkor is alkalmazható, ha sem a bekövetkezés valószínűsége, sem a kihatás nem számszerűsíthető. A kvalitatív kockázatértékelés során a korábbi


48

tapasztalatok, az általános kontroll irányelvek, illetve a felismert kontroll hiányosságok alapján beazonosított eseményeket lehet értékelni.

Cél: Új informatikai rendszer bevezetése a jogszabá lyi megfelelés felügyeletére

Kockázat: A projekt az elvártnál, illetve tervezett nél hosszabb ideig tart

Kategória Kérdés Válaszok Besorolás

Személyzet Milyen tapasztalattal rendelkeznek a projekt-tagok?

Legalább egy résztvevő sikeresen vezetett be hasonló rendszert korábban Alacsony

Legalább egy résztvevő már vezetett be hasonló rendszert, esetleg hiányosságokkal Közepes

Senki nem rendelkezik hasonló projektből származó megfelelő tapasztalattal Magas

Vezetés Mennyire stabil a projektvezetés?

Állandó projektvezetők átlag 2 évnél hosszabb szolgálati idővel rendelkeznek Alacsony

Ideiglenes projektvezetők átlag 1 és 2 év közötti szolgálati idővel Közepes

Újonnan kinevezett projektvezetők átlag 1 évnél rövidebb szolgálati idővel Magas

Szállító Az informatikai beszállító mennyire elismert?

Meglévő szolgáltatás kiterjesztése stratégiai partnertől Alacsony

Meglévő szállítótól új szolgáltatás Közepes

Új beszállító Magas

Megvalósítási folyamat

A megvalósítási folyamat mennyire megalapozott?

Sikeresen kipróbált módszertan alapján Alacsony

Ismert, de nem minden esetben sikeresen alkalmazott módszertan alapján Közepes

Új módszertan alapján Magas

Jogszabályok A jogszabályi követelmények mennyire ismertek?

A jogszabályi követelmények kiforrottak Alacsony

A jogszabályi követelmények nem világosak, vagy időszakonként megváltoznak Közepes

A jogszabályi követelmények nem ismertek, vagy gyakoriak a lényeges változások Magas

Üzletfolytonosság A projekt kapcsán az üzletfolytonossági terv mennyire tesztelt?

Az új alkalmazásra sikeresen tesztelt Alacsony

Az új alkalmazás vonatkozásában tesztelt, hiányosságok ismertek Közepes

Nincs üzletfolytonossági terv az új alkalmazásra. Magas

1. táblázat: Új rendszer bevezetésének kockázatfelmérése (példa) A fenti táblázat alapján a vizsgált projekt (üzleti tevékenység) kapcsán kockázati kategóriánként adható kockázatértékelés. A projekt egészére vonatkozó kockázatviselési szint leírható a kategóriánként elfogadható kockázati értékekkel. A projekt tervezése kapcsán felmerülő kérdések válasz-opciói külső tényezők (pl. Jogszabályok) esetén a lehetséges események azonosítására alkalmasak, míg belső tényezők (pl. Személyzet) esetén a lehetséges kockázati válaszokat (kontroll lehetőségeket) is mutatják.


49

A projekt egésze vonatkozásában egyes kategóriák elfogadható kockázati szintjének alacsony értéken tartásával kompenzálható a más külső tényező magas, de belső kontrollal nem befolyásolható kockázata. Példánkban a Jogszabályok magas kockázatának (szükségszerű) elfogadása mellett a beszállítóval szembeni követelmények előírásával a Szállító kategória alacsony szintű – maradvány - kockázata a vizsgált üzleti tevékenység (projekt) vonatkozásában megfelelően biztosíthatja az üzleti cél elérését. Kockázati válaszok értékelése Az előző példában a Jogszabályok kategória vonatkozásában a magas kockázat is elfogadásra kerülhet az egyéb területen (pl. beszállítóknál, vagy módszertan kiválasztásánál) alkalmazott kockázati válaszok (kompenzációs kontrollok) eredményes működése esetén. A jogszabályi követelmények gyakori változása (pl. bérszámfejtési alkalmazás esetén) kihatással van az üzleti tevékenység (példánkban a bérszámfejtés szabályszerű végrehajtásának informatikai eszközökkel való felügyelete) kapcsán kitűzendő célokra, illetve annak elfogadási tartományára (a kockázati toleranciára). Üzleti cél lehet az időszakonként rendszeresen, illetve adott időszakon belül ad hoc jelleggel végrehajtandó rendszer-karbantartási feladatok típusa, száma, volumene, stb. A beszállítóval szembeni követelmények megfelelő előírásával, illetőleg a megfelelő rendszerfejlesztési módszertan alkalmazásával biztosítható, hogy az üzleti célok mutatói a kockázati toleranciaértéken belül maradjanak. A kapcsolódó területeken alkalmazott kockázati válaszok (kompenzációs kontrollok), és a kockázati tolerancia következetes figyelembe vételével akár egy magas besorolású kockázati kategória esetén is megfelelő válasz lehet a kockázat elfogadása. A következő példában is a kockázati tolerancia figyelembe vételével kerül sor a kockázati válaszok értékelésére:

Stratégiai cél Bérszámfejtő cég kapacitásának növelése a növekvő piaci igény miatt

Üzleti cél • 20 fő szakképzett munkaerő felvétele • közvetlen bérköltség bevételhez viszonyított arányát 50%-on tartani

Mutatószám felvett munkaerő száma, bérköltség és bevétel aránya

Tolerancia 17-22 fő, bérköltség 48-52%

Kockázat Eredend ő Kockázati

válasz

Maradvány

Valószín űség Hatás Valószín űség Hatás

Kevés potenciális jelentkező

50%

20%-kal (4 fővel)

kevesebb új munkatárs

Közvetítő cég igénybe vétele

25%

10%-kal (2 fővel)

kevesebb új munkatárs

Munkaerő-felvétel ingadozó eredményessége

50%

10%-kal (2 fővel)

kevesebb alkalmas

munkatárs

Munkaerő-felvételi folyamat felülvizsgálata

50%

5%-kal (1 fővel)

kevesebb alkalmas

munkatárs Kockázati toleranciának való megfelelés

A kockázati válaszintézkedések eredményeképp a kockázati tolerancia tartható

2. táblázat: Kockázati tolerancia figyelése a kockázati válaszok értékelésében (példa)


50

Költség-haszon elemzés A költség-haszon elemzést egyrészt a kockázati válaszok együttes hatékonyságának megállapítására, másrészt a több lehetséges opció közüli választás alátámasztására lehet alkalmazni. A költség-haszon elemzés során az üzleti célok mutatószámait alkalmazva a várható bevételeket és kiadásokat kell számszerűsíteni. A számszerűsítésnél a bekövetkezési valószínűség változásával korrigált hatásszámokat, illetve a kockázati válaszintézkedések költségeit vehetjük figyelembe. Az előző példánkban a hatás számszerűsítéséhez a következő feltételezéseket alkalmazzuk: A szolgáltatás magas színvonalú ellátásához szükséges munkaerő átlagos bérköltsége alapján meghatározható a várható árbevétel. A hatásvizsgálat időhorizontja - az egyszerű szemléltethetőség miatt - egy év, az átlagos éves bérköltség 25.000 euró. A 3 fő várható kiesése éves szinten kb. 150.000 euró árbevétel-kiesést és kb. 30.000 euró eredménykiesést jelent. A példában szereplő kockázati válaszok költségei: a közvetítőcég az éves bérköltség 15%-kát számítja fel sikerdíjként, a munkaerő-felvétel felülvizsgálatának egyszeri szakértői díja: 5.000 euró. Az eredendő és maradvány kockázatok bekövetkezési valószínűségének változásából a kockázati válaszok várható költsége: (1,5x0,15x25.000) 5.625 euró közvetítési díj és 5.000 euró egyszeri szakértői díj. A haszon, vagyis a (statisztikailag) várható 2 fővel nagyobb foglalkoztatásból származó kb. 20.000 euró eredmény nagyobb a kockázati válaszintézkedés együttes költségeinél. A bemutatott számítás bizonyos leegyszerűsítéseket alkalmazott. További tényezők figyelembe vételével, például az időhorizont hangolásával, vagy a létszám-hiányból esetlegesen adódó túlmunka (pl. 50%-os túlóradíj) költségének beszámításával tovább pontosítható a fenti költség-haszon elemzés.


51

2.5 A bels ő kontrollrendszer integrálása a kockázatkezelési re ndszerbe Sem a kockázatkezelés, sem a belső kontrollrendszer léte önmagában nem nyújt megfelelő garanciát a szervezet hatékony működésére. A külső és belső kockázatok, vagy éppen a lehetőségek beazonosítása kapcsán felmért kívánatos, vagy nem kívánatos hatások megfelelő értéken (kockázati tolerancián) belül tartására hozott kockázati válaszokat, illetve az azokat megvalósító kontroll intézkedések eredményeit tekintjük az adott szervezet céljai hatékony elérésének biztosítékainak. Az alábbi ábrával a belső kontrollrendszerre vonatkozó kockázatkezelés során megválaszolandó főbb kérdéseket illusztráljuk:

12. ábra: Kockázat alapú döntések és a COSO ERM Az eltérések és hiányosságok értékelésekor a szervezeti célok megvalósításában kulcs szerepet játszó üzleti folyamatokat támogató és a szervezeti szintű kontrollok hiányosságai által esetlegesen bekövetkező kockázati tolerancia-értéken kívüli következményeket kell figyelembe venni. Az értékelési szempontokat a szokásos kockázati-térképpel lehet szemléltetni:

13. ábra: Kontrollhiányosságok a kockázati térképen

Mi a kockázatitoleranciánk?

Hogyan es(het)nek meg a „dolgok”?

Hogyan értékeljük az eltérést/hiányosságot?

Monitoring

Information and Communication

Control Activities

Risk Response

Risk Assessment

Event Identification

Objective Setting

Internal Environment

OPERATIONS

ENTITY -LEVEL

DIVISION

BUSI NESS UNIT

SUBSIDIARY

STRATEGIC

REPORTING

COM

PLIA

NCE

Mi a kockázatitoleranciánk?

Hogyan es(het)nek meg a „dolgok”?

Hogyan értékeljük az eltérést/hiányosságot?

Monitoring


Control Activities

Risk Response

Risk Assessment


Objective Setting


OPERATIONS

ENTITY -LEVEL

DIVISION

BUSI NESS UNIT

SUBSIDIARY

STRATEGIC

REPORTING

COM

PLIA

NCEMonitoring


Control Activities

Risk Response

Risk Assessment


Objective Setting


OPERATIONS

ENTITY -LEVEL

DIVISION

BUSI NESS UNIT

SUBSIDIARY

STRATEGIC

REPORTING

COM

PLIA

NCE


52

Természetesen az értékelés, ha nem is szubjektív, de mindenképpen egyedi. Az egyedi értékelés jelentőségét alátámasztja az is, hogy a kockázati tolerancia-értéken kívüli következmények az eredendő kockázat kezelésére hozott kontrollintézkedések nem megfelelő végrehajtásából is fakadhatnak. Ugyanakkor azt is figyelembe kell venni, hogy lényeges (kulcs) kontrollfolyamatot csak akkor lehet megfelelően kialakítani, és alkalmazását kiértékelni, ha az üzleti célok megvalósulásához való kapcsolata mérhető. A belső kontrollrendszer integrálása a kockázatkezelés rendszerébe azt jelenti, hogy a belső kontrollrendszer működtetésének eredményességét az érintett üzleti folyamat(ok) következményeinek az előírt kockázati tolerancia-értéken belül maradásával kell mérnünk. Ennek megfelelően kell értékelnünk a kialakított kontrollfolyamatok működési hatékonyságát is. A kontrollhiányosságokat tehát az üzleti célokra való kihatása szempontjából osztályozhatjuk:

• Kontrollhiányosság: ha a kontrollfolyamat nincs kialakítva, vagy nem megfelelő, vagy nem kerül alkalmazásra

• Jelentős hiányosság: Hiányosság egy lényeges (kulcs) kontrollfolyamatban, vagy

hiányosságok olyan halmozódása, melynek jelentős kihatása van • Lényeges (súlyos) gyengeség: Olyan jelentős hiányosság, vagy ezek halmozódása, amely

megakadályozza, hogy a szervezeti egység belső kontrollrendszere megfelelő biztosítékot nyújtson arra vonatkozóan, hogy az anyagi/pénzügyi jellegű tévedések vagy mulasztások, illetve bármilyen jelentős veszteségek időben megelőzésre vagy feltárásra kerüljenek a normál munkavégzés keretében.

Alábbiakban egy egyszerű példán keresztül mutatjuk be az üzleti folyamat (HR rendszer-üzemeltetés) kockázati tolerancia-értékének (a nem tervezett üzemszüneti órák megengedett száma); a kockázati eseménynek (áramellátás kimaradása); a kontrollfolyamat kialakításának (szünetmentes áramforrás biztosítása) és tesztelésének (próbaüzem); valamint a kontrollfolyamat eredményessége figyelésének (áramellátás monitorozása) kapcsolatát:

3. táblázat: Példa a kockázatkezelésbe integrált kontrollfolyamat megvalósítására


53

2.6 Folyamatos kontroll- és kockázat értékelési elj árások A következőkben a folyamatos kontroll- és kockázat értékelési eljárások megvalósítási lépéseiről, illetve az eljárásokat megvalósító ellenőrzési szervezet értékelési szempontjairól lesz szó a Belső Ellenőrök Nemzetközi Szervezete (The IIA) által publikált Global Technology Audit Guide (GTAG) 3. része alapján [14]. A „folyamatos ellenőrzés” koncepció alapvetően arra az összefüggésre épít, hogy minél erősebb a vezetés elkötelezettsége és felelősségvállalása a belső kontrollrendszer folyamatos monitorozására, annál kisebb az ellenőrzés várható ráfordítása a belső kontrollrendszer hatékonyságának folyamatos vizsgálatában. Ez az összefüggés azért is fontos, hogy az ellenőr megőrizhesse függetlenségét a kulcs kontrollfolyamatok célvizsgálata kapcsán. Az alábbi táblázatban összefoglaljuk a folyamatos ellenőrzés megvalósításának főbb lépéseit: Folyamatos Ellen őrzés megvalósítási lépései Folyamatos Ellen őrzés Célkit űzései

• A folyamatos ellenőrzés céljainak meghatározása • Felsővezetés támogatásának biztosítása • A menedzsment által végrehajtott monitorozás mértékének megállapítása • A vizsgálandó területek és vizsgálati típusok meghatározása és priorizálása • A kulcs információs rendszerek és adatforrások meghatározása • A vonatkozó üzleti folyamatok és alkalmazási rendszerek megismerése • Kapcsolat kiépítése az IT menedzsmenttel

Adatok Elérése és Használata • Elemző eszköz kiválasztása és beszerzése • Adathozzáférési és -elemzési képességek fejlesztése • Audit szakértelem és technika fejlesztése • Adatintegritás és -megbízhatóság értékelése • Adatok előkészítése, tisztítása

Folyamatos Kontroll Értékelés • Kritikus kontroll-pontok azonosítása • Kontroll szabályok meghatározása • Kivételek meghatározása • Kontroll-tesztek és -hiányosságok

azonosítását szolgáló feldolgozások tervezése

Folyamatos Kockázat Értékelés • Értékelendő egységek meghatározása • Kockázati kategóriák azonosítása • Adat-vezérelt kockázati indikátorok

azonosítása • Kockázati tolerancia-értékek túllépését

elemző tesztek megtervezése

Eredmények Felhasználása és Jelentése • Folyamatos ellenőrzési tevékenységek gyakoriságának meghatározása • Rendszeres tesztek futtatása, ütemezés szerint • Kontrollhiányosságok vagy kockázati tolerancia-értékek túllépésének azonosítása • Eredmények priorizálása • Megfelelő ellenőrzési válaszlépések kezdeményezése, a menedzsment értesítése • Eredmények kezelése – követése, jelentése, monitorozása és nyomon követése • Megtett intézkedések értékelése • A folyamatos ellenőrzési folyamat monitorozása és hatékonyságának értékelése mind az

elemzés (szabályok/indikátorok), mind az eredmények tekintetében. A teszt paraméterek szükség szerinti változtatása

• A folyamatos ellenőrzési folyamat védelmének biztosítása, a menedzsment tevékenységeivel (ERM, monitoring, teljesítmény-mérés, stb.) való összhang biztosítása

4. táblázat: A folyamatos ellenőrzés megvalósítási lépései


54

A szakirodalom a folyamatos ellenőrzési egységek jellemzésére három szintet használ: kezdeti, mérsékelt és fejlett szinteket. A kezdeti szinten az ellenőrzési részlegek még nem alkalmaznak folyamatos ellenőrzési módszereket, technikákat. Néhány ellenőr már hasznosít számítástechnikai megoldásokat, de a kockázat- és kontrollértékelések manuálisan kerülnek végrehajtásra. Ad hoc alapon történik adatelemzés az ellenőrzési munka támogatására, de az elemzések egyszeriek, és az eredmények csak egyedi ellenőrzési célokhoz kerülnek felhasználásra. A kezdeti szint jellemzői:

• Az üzleti kockázatok és kontrollok általános ismerete • Információ-technológia eseti felhasználása az anomáliák, kivételek meghatározására • Tranzakciók egyidejű elemzése egyedi vizsgálati cél vonatkozásában • Kockázatelemzés kevés számszerű adatra épül • Kontroll-értékelés manuálisan történik • A technológia-használat nem integrálódik az ellenőrzés-tervezési folyamatba, a

kockázatelemzésbe és a kontrollok kiértékelésébe • A technológia alkalmazása elszigetelt, tipikusan egy adott probléma megoldására szorítkozik.

A mérsékelt szinten már - ha korlátozottan is - hatása van a folyamatos ellenőrzési technikáknak az aktuális ellenőrzések végrehajtására. Jellemzően a vezetésnek nincs tudomása ezekről a technológia lehetőségekről, melyek egyes ellenőrök számára már ismertek. Az ellenőrzési módszertan nem változik szignifikánsan, annak ellenére sem, hogy a technológia alkalmazása egyes vizsgálatokhoz betervezésre kerül. A folyamatos ellenőrzési technika nem integrálódik az ellenőrzés tervezési folyamatába. A mérsékelt szint jellemzői:

• Az automatizált üzleti folyamatokkal és vonatkozó kontrollokkal kapcsolatos veszélyek, fenyegetettségek alapszinten ismertek

• Az ellenőrzési csoportoknak megvan a szakértelme és tudása az elektronikus adatok kinyerésére

• Informatikai audit eszközök beszerzésre és alkalmazásra kerültek • Ad hoc jellegű feldolgozások - elsősorban - az informatikai kockázatok, fenyegetettségek és

kontrollhiányosságok feltárására • Az eredmények (feltárt okok és következmények) a konkrét vizsgálaton túl is hasznosításra

kerülnek • Az ellenőrzések tervezésében megjelennek a kockázatokkal kapcsolatos kvantitatív és

kvalitatív kritériumok, de ezek csak az éves tervezési folyamat kapcsán kerülnek aktualizálásra

A kezdeti szintre való visszaesés veszélyét jelentheti a szükséges szakismerettel rendelkező munkaerő esetleges távozása, illetve ha a folyamatos ellenőrzés nem válik az audit folyamatok integrált részévé. A fejlett szinten minden ellenőr tudatában van a technológia és a folyamatos ellenőrzés jelentőségével. A megvalósítás elegendő emberi és pénzügyi erőforrással rendelkezik, továbbá a technológia az általános ellenőrzési folyamat integrált részévé válik. Az ellenőrzések jellege, az ellenőrzési típusok, a tervezési folyamat, az ellenőrzési ciklusok, stb. jelentős átalakuláson esnek keresztül – a folyamatos ellenőrzési feladatok megvalósulásával. A kockázat- és kontrollértékelések mind teljesebb körű tranzakciós állományokat érintenek, az anomáliák, kivételek és trendek vizsgálatával. Gyors és automatizált kiértesítések segítik a mihamarabbi intézkedéseket. A fejlett szint jellemzői:

• A kulcsfontosságú üzleti folyamatok és rendszerek, valamint a kockázatok és kontrollok magas szintű ismerete

• A kritikus kontrollpontok és -szabályok, valamint a kivételek beazonosítása • Az ellenőrzési egység azonosította a főbb kockázati kategóriákat és az adat-vezérelt

kockázati indikátorokat


55

• A kockázat- és kontrollértékelések az üzleti folyamatokkal (majdnem) egy időben kerülnek végrehajtásra

• A főbb üzleti rendszerek tranzakciós szinten kerülnek elemzésre a (nem tolerált) kockázat felmerülését jelentő anomáliák, kivételek és trendek vonatkozásában

• Az ellenőrzések tervezési folyamata adat-vezérelt kockázati és teljesítmény indikátorokra épül • Az ellenőrzési javaslatok, és azok menedzsment általi megvalósításának elemzései

felhasználják az adat-vezérelt indikátorokat • A folyamatos ellenőrzés eredményei folyamatosan kapcsolódnak az üzleti célkitűzések

megvalósításának eredményességi mutatóihoz (pl. „balanced scorecard”, folyamatjavítási illetve képesség-érettségi modellek mutatószámaihoz)

• A folyamatos ellenőrzés során az ellenőrök értékelik és figyelembe veszik a vezetés monitoring folyamatait

• A folyamatos ellenőrzés tervezésekor, irányításakor és értékelésekor a folyamatos javítás/fejlesztés szempontjai figyelembe vételre kerülnek


56

2.7 A vállalati kockázatkezelés korlátai A vállalati kockázatkezelés és az integrált belső kontrollrendszer működése nem ad abszolút biztosítékot arra, hogy a szervezet és a működési folyamatok a kívánt üzleti célt elérik. Függetlenül attól, hogy mennyire jól kialakított és működtetett a vállalati kockázatkezelés és a belső kontrollrendszer, ezek csak ésszerű bizonyosságot jelenthetnek. A bizonyosság korlátai nagyrészt eredendően a vezetési folyamatok gyengeségeiből származnak. A döntéshozatal során hibás lehet az emberi megítélés, kockázatkezelési lépések vagy kontrollintézkedések meghiúsulhatnak egyszerű emberi tévedés vagy hiba miatt, a kontroll megkerülhető két vagy több ember összejátszása esetén, és a vezetőség helyzeténél fogva figyelmen kívül hagyhatja a vállalati kockázatkezelési döntéseket. Korlátok származnak abból is, hogy a kockázatra adott válaszról szóló döntések és az ellenőrzések meghatározásakor figyelembe kell venni a vonatkozó költségeket és előnyöket. A vállalati kockázatkezelés, illetve az integrált belső kontrollrendszer korlátozottságát az alábbi elemek befolyásolják:

• A kockázat a jövőbeli eseményből származik, melynek sem a bekövetkezési valószínűsége, sem a várható ideje nem határozható meg pontosan.

• Még az eredményes vállalati kockázatkezelés sem jelenti azt, hogy a szervezet vagy a

működési folyamat valóban eléri üzleti célját. A stratégiai és a hatékony működési célkitűzések teljesülését támogató követelmények pusztán segítik a vezetőket abban, hogy időben felismerjék az üzleti célok elérését gátló tényezőket, illetve visszajelzést kapjanak arról, hogy a szervezet vagy a működési folyamat az üzleti célok elérése irányába halad-e.

• A vállalati kockázatkezelés arra sem nyújt abszolút biztosítékot, hogy a belső kontrollrendszer,

illetve az ERM bármely célkitűzés-kategóriájával kapcsolatos (kontroll) célok teljesülnek. Annak ellenére, hogy a magasabb célkitűzés-kategóriához tartozó célok elérése feltételezi az alacsonyabb célkitűzés-kategóriák követelményeinek teljesülését (mint kockázatviselési hajlandóság), a kontrolltevékenységek előírt követelmények szerinti végrehajtása sem mindig tökéletes, vagy eredményes.

A vállalati kockázatkezelés vonatkozásában az elfogadható, vagy ésszerű bizonyosság arra vonatkozik, hogy a stratégiai és működési céloktól való eltérés kockázata – vagyis az eltérés bekövetkezési valószínűsége, illetve hatása - csökken. A vállalati kockázatkezelés és az integrált belső kontrollrendszer eredményessége a működtetésért felelős személyeken múlik. Bármilyen magas színvonalon működő szervezetről, működési folyamatról legyen is szó, az adott szint felső vezetőjének lehetősége van a kockázatkezelés vagy kontrollok előírásainak megszegésére. Abban az esetben, ha a vezetés ilyen beavatkozása indokolt, akkor a szabályok áthágásának körülményeit dokumentálni kell, továbbá a következő vezetési vagy felügyeleti szint, illetőleg a független belső ellenőrzés tájékoztatása is nélkülözhetetlen. A szabályok vezetés általi megszegését, mint kockázatot a felettes vezetési szintnek, vagy a felügyeletet ellátó testületnek (pl. igazgatóságnak) kell kezelnie. A kockázati válaszintézkedések kiválasztásának mérlegelésekor a költség-haszon vonatkozások is befolyásolhatják az ésszerű bizonyosság mértékét. Eredményes, de túlszabályozott kontroll nemcsak egy konkrét esemény-típus kapcsán érintheti a szervezeti és működési célokat, hanem adott esetben akadályozhatja más kapcsolódó működési folyamat céljának elérését. Például a hitelbírálat túlszabályozott kontrollja nemcsak a be nem hajtható követelések jövőbeni kockázatát csökkenti, hanem adott esetben ronthatja egy bank hitelezési üzletágának versenypozícióját.


57

3. Az ISO/IEC 15504 szabvány alkalmazása a bels ő pénzügyi kontrollrendszer folyamatainak felmérésére

3.1 Bevezetés A jelen fejezet a belső kontrollrendszer - példaként a Belső Pénzügyi Kontrollrendszer - eredményességének az ISO/IEC 15504-2 nemzetközi szabvány előírásainak és a vállalati kockázatkezelés (ERM) elveinek megfelelő vizsgálatára alkalmazható folyamatfelmérési modell megismeréséhez nyújt - bevezető jellegű - ismereteket. A következetes és megismételhető felmérések és rangsorolások biztosítása érdekében az ISO/IEC 15504-2 szabvány keretet nyújt a folyamatfelméréshez és meghatározza a felmérés végrehajtásának minimális elvárásait. A felmérés szerves részét képezi a felmérés céljára kialakított, a vizsgálandó szakmai (esetünkben a belső kontrollrendszerre vonatkozó) követelményeket az általánosan elfogadott folyamat-célokon és eredményeken keresztül leíró folyamat-referenciamodellhez kapcsolódó, és az ISO/IEC 15504-2 előírásainak megfelelő folyamatfelmérési modell alkalmazása. A folyamat-referenciamodell önmagában nem biztosít alapot a folyamatképesség következetes és megbízható felméréséhez, mivel a részletezettség szintje nem elégséges. Ennek következtében:

• A folyamat-referenciamodellből származó folyamat cél és folyamateredmény leírását alá kell támasztani a folyamat-végrehajtási mutatók átfogó készletével; valamint

• A ISO/IEC 15504-2 szabványban meghatározott képesség szinteket és a folyamat-

attribútumokat, valamint az ahhoz kapcsolódó besorolási skálát alá kell támasztani a folyamatképesség mutatóinak egy készletével.

A folyamatfelmérési modell folyamat-végrehajtási és folyamatképességi mutatók készletét tartalmazza. A mutatók alapján kerülnek összegyűjtésre azok az objektív bizonyítékok, amelyek a felmérő számára lehetővé teszik a besorolás elvégzését. A jelen dokumentumban bemutatott mutatókészlet nem törekedik a teljeskörűségre, és nem cél az sem, hogy az összes mutató egyszerre alkalmazható legyen. Az adott felmérés kontextusához és tárgyköréhez illeszkedő alcsoportokat kell kialakítani, és esetlegesen kiegészíteni további mutatókkal. Ezzel az eljárással, a folyamat dokumentálása mellett, lehetővé válik a folyamatképesség konzisztens és megismételhető besorolása. A bemutatásra kerülő folyamatfelmérési modell tartalmazza a mutatók egy olyan készletét, amelyet a folyamat-referenciamodell szándékának értelmezésekor figyelembe kell venni. Ezek a mutatók alkalmazhatóak a folyamatjavítási program bevezetésekor, illetve segítséget nyújthatnak egy felmérési modell, módszer, módszertan vagy eszközök értékelése és kiválasztása során. A bemutatásra kerülő folyamatfelmérési modell azokat a felmérés „szponzorok”-at (vezetést, felügyeleti testületeket) és felkészült felmérőket (auditorokat) célozza meg, akik vagy a képesség-meghatározás (mint bizonyosságot igazoló ellenőri megbízás) vagy a folyamajavítás (mint tanácsadási megbízás) céljából végzett felmérés során kívánnak a belső kontrollrendszer értékelésére egy modellt és kapcsolódó módszert kiválasztani illetve alkalmazni. A jó kontroll és vezetési gyakorlatokra nyújtott példáival a modell hasznos lehet felmérési modellek fejlesztői számára is, saját modelljeik kialakítása során. Bármely, az ISO/IEC 15504-2 szabvány szerinti folyamatfelmérési modell használható a felmérés során. Az üzleti igényektől függően különböző modellekre és módszerekre, illetve ezek kombinált alkalmazására lehet szükség.


58

3.2 A COSO-alapú folyamatfelmérési modell A 2006-os COSO útmutatóból származó folyamat-referenciamodell, kiegészítve az ISO/IEC 15504-2 szerinti mérési kerettel, képezheti a pénzügyi kontrollfolyamatképesség felmérésének alapját, biztosítva az eredmények közös besorolási skálán való megjelenítését. A folyamatfelmérési modell egy kétdimenziós folyamatképességi modellt határoz meg. Az egyik dimenzió, a folyamat-dimenzió, meghatározza folyamatokat és besorolja azokat a különböző folyamat kategóriákba. A másik dimenzió, a képesség-dimenzió, a folyamat-attribútumok képességi szintek szerint csoportosított készletét határozza meg. A folyamat-attribútumok biztosítják a folyamatképesség mérhető jellemzőit. A 14. sz. ábra a folyamatfelmérési modell általános szerkezete, az ISO/IEC 15504-2 és az (öt komponensnek megfelelően csoportosított) COSO kontrollfolyamatok közötti kapcsolatot mutatja be.

14. ábra: A COSO komponensei, mint a folyamatfelmérési modell folyamat-dimenziója A folyamatfelmérési modell annyiban mutat túl a folyamat-referenciamodellen, hogy kiegészül a felmérési mutatók definíciójával és használatával. A felmérési mutatók folyamat-végrehajtási és folyamat-képességi mutatókból állnak, és úgy kerülnek meghatározásra, hogy támogassák a felmérőnek a bevezetett folyamat végrehajtására és képességére vonatkozó megítélését. Az ISO/IEC 15504-2 előírja, hogy a folyamat-referenciamodellben szereplő folyamatok feleljenek meg az alábbiaknak:

"A folyamat-referenciamodell alapvető elemeit a modell tárgykörében lévő folyamatok leírásai képezik. Ezek a folyamat leírások meg kell feleljenek az alábbi elvárásoknak:


59

a) A folyamatot annak Célja és Eredményei szerint kell bemutatni. b) Az egyes leírások folyamat eredményei a folyamat-cél elérésének szükséges és elégséges feltételeit kell képezzék. c) A folyamat leírásoknak olyannak kell lenniük, hogy azok ne tartalmazzák vagy feltételezzék a jelen Nemzetközi Szabvány 5. záradékában bemutatott mérési keretrendszer 1. szint feletti jellemzőit."

A bemutatásra kerülő folyamatfelmérési modell folyamat-dimenziója öt folyamat-kategóriában tartalmazza a COSO modellekben meghatározott kontroll komponensek alá tartozó folyamatokat. Ezek az alábbiak:

• Kontrollkörnyezet; • Kockázatértékelés; • Kontrolltevékenységek; • Információ és kommunikáció; • Monitoring.

Az ugyanabban a kategóriában található folyamatok egy egymást kiegészítő területet alkotnak. Ez a besorolás egyben segítséget nyújthat a felmérőknek a felmérés tárgykörének meghatározása során a folyamat kiválasztásában. A 2006-os COSO útmutató, melynek címe „Internal Control over Financial Reporting — Guidance for Smaller Public Companies”, összhangban van az ISO/IEC 15504-2 PRM előírásival. Az Útmutató II. Kötete az Elvek és Attribútumok szerkezetét követi, amely megegyezik a Cél és Eredmények szerinti folyamat meghatározással. Az ISO/IEC 15504-2 szabvány szerint egy alkalmazott folyamatfelmérési modell akár több referenciamodell kiválasztott (tehát nem szükségszerűen teljeskörű) folyamatait is tartalmazhatja. A folyamat-referenciamodell szabványos leírásának alkalmazása lehetővé teszi, hogy például a COSO komponensek a belső kontrollrendszer vizsgálata során kiegészülhessenek más típusú kontrollfolyamatokkal (pl. COBIT informatikai kontrollokkal), vagy egyéb releváns üzleti folyamatokkal. A 2006-os COSO útmutató húsz Alapelvet határoz meg, amelyek a belső kontroll Keretrendszer öt komponenséhez kapcsolódó és a közvetlenül azokból kinyert alapvető koncepcionális folyamatokat képviselik. Az egyes Elveket az Elvhez kapcsolódó jellemzőket képviselő Attribútumok támasztják alá. Az útmutató kimondja: „bár általánosságban elvárás, hogy az egyes attribútumok jelen legyenek a szervezetben, elképzelhető, hogy egy elvet lehet úgy alkalmazni, hogy nincs jelen az összes felsorolt attribútum”. Mindazonáltal, a belső kontrollrendszer felmérésének általános szempontjai szerint az Attribútumokat úgy kezeljük, mint a vonatkozó Elvben leírt „folyamat-cél elérésének szükséges és elégséges feltételeit képező folyamateredményeket”. A felmérés során a felmérő megítéli, hogy egy adott, a PRM keretében szükséges és elégséges folyamateredményként kezelt Attribútum a gyakorlatban felmérhető-e az adott (a szervezet típusával, méretével, összetettségével, stb. jellemzett) felméréséi tárgykör vonatkozásában. A 15. sz. ábra bemutatja, hogyan használható a 2006-os COSO útmutató tartalma a PRM leképezés során:


60

15. ábra: A folyamat-referenciamodellként használt 2006-os COSO Útmutató Az alábbiakban felsoroljuk a 2006-os COSO útmutatóban található azon folyamatokat, amelyek a mintaként használt folyamatfelmérési modell folyamat-dimenziójában helyezkednek el: Kontrollkörnyezet (CE)

1. Feddhetetlenség és etikai értékek (IEV). Kialakításra kerülnek a feddhetetlenség és az etikus magatartás értékei, különös tekintettel a felsővezetés tagjaira, az elvek megfelelően ismertek és a pénzügyi jelentéskészítés során ezeket alapvető magatartási normaként alkalmazzák.

2. Felügyeleti testület (OB). Az igazgatóság és/vagy audit bizottság ismeri és gyakorolja a pénzügyi beszámolással és a vonatkozó belső kontrollrendszerrel kapcsolatos felügyeleti felelősségeket.

3. Vezetési filozófia és munkastílus (MPO). A vezetés filozófiája és működési stílusa támogatja a pénzügyi beszámolás eredményes belső kontrollrendszerének megvalósítását.

4. Szervezeti felépítés (OS). A szervezet szervezeti felépítése támogatja a pénzügyi beszámolás belső kontrollrendszerének eredményes működését.

5. A pénzügyi beszámolási kompetenciák (FRC). A szervezet olyan személyeket vesz igénybe, akik a pénzügyi beszámolás és a kapcsolódó felügyeleti szerepkörök terén rendelkeznek a szükséges felkészültséggel.

6. Hatáskör és felel ősség (AR). A vezetés és az alkalmazottak megfelelő hatás- és felelősségi körrel rendelkeznek ahhoz, hogy lehetővé tegyék a pénzügyi beszámolás belső kontrollrendszerének eredményes működését.

7. Emberi er őforrás (HR). Az emberi erőforrás politikák és gyakorlatok úgy kerültek megtervezésre és bevezetésre, hogy azok lehetővé tegyék a pénzügyi beszámolás belső kontrollrendszerének eredményes működését.

Process

Purpose

Outcomes

Process

Purpose

Outcomes


61

Kockázatértékelés (RA)

1. A pénzügyi beszámolás céljai (FRO). A vezetés megfelelő világossággal és elégséges kritérium alkalmazásával határozza meg a pénzügyi beszámolás céljait ahhoz, hogy lehetővé tegye a megbízható pénzügyi beszámolást érintő kockázatok megállapítását.

2. Pénzügyi beszámolási kockázatok (FRR). A szervezet megállapítja és elemzi a pénzügyi beszámolás céljainak elérését érintő kockázatokat, és ennek alapján meghatározza a kockázatkezelés módját.

3. A csalás kockázata (FR). A csalásból eredő lényegileg téves bemutatások lehetőségét kifejezetten figyelembe kell venni a pénzügyi beszámolás céljainak elérését érintő kockázatok felmérése során.

Kontrolltevékenységek (CA)

1. Integráció a kockázatértékeléssel (IRA). Intézkedések történnek a pénzügyi beszámolás céljainak elérését veszélyeztető kockázatok kezelésére.

2. A kontrolltevékenységek kiválasztása és fejlesztése (SD). A kontrolltevékenységeket a hozzájuk kapcsolódó költségek és a pénzügyi beszámolás céljainak elérését veszélyeztető kockázatok csökkentésére vonatkozó várható eredményességük figyelembe vételével választják ki és fejlesztik.

3. Politikák és eljárások (PD). A megbízható pénzügyi beszámolásra vonatkozó politikákat kialakítják és a szervezetben teljeskörűen kommunikálják, a vezetői utasításba foglalt vonatkozó eljárásokat végrehatják.

4. Informatika (IT). A pénzügyi beszámolás céljai elérésének támogatására informatikai kontrollokat terveznek meg és vezetnek be, ahol azok alkalmazhatók.

Információ és kommunikáció (IC)

1. A pénzügyi beszámolás információi (FRI). A vonatkozó információkat a szervezet minden szintjén úgy állapítják meg, gyűjtik és alkalmazzák, valamint olyan módon és ütemezéssel osztják szét, amely támogatja a pénzügyi beszámolás céljainak elérését.

2. A bels ő kontroll információi (ICI). Az egyéb kontroll komponensek működéséhez szükséges információkat olyan formában és ütemezéssel állapítják meg, gyűjtik, alkalmazzák és osztják szét, amely lehetővé teszi az alkalmazottak számára belső kontroll feladataik ellátását.

3. Belső kommunikáció (IC). A kommunikáció a szervezet minden szintjén lehetővé teszi és támogatja a belső kontroll célok és folyamatok, valamint a személyes feladatok megértését és végrehajtását.

4. Küls ő kommunikáció (EC). A pénzügyi beszámolás céljainak elérésére kiható témákról tájékoztatják a külső partnereket.

Monitoring (MO)

1. Folyamatos és egyedi értékelések (OSE). A folyamatos és/vagy egyedi értékelések segítségével tudja a vezetés megállapítani azt, hogy létezik és működik-e a pénzügyi beszámolás belső kontrollja.

2. Hiányosságok jelentése (RD). A belső kontroll hiányosságait időben állapítják meg és közlik a javító intézkedésért felelős felekkel, valamint szükség szerint a vezetéssel és a felügyeleti testülettel.

Az összes fent felsorolt folyamat megtalálható a Belső Pénzügyi Kontroll Felmérési Modell folyamat-dimenziójában. A folyamatfelmérési modell egyes folyamatai a célmeghatározásnak megfelelően kerülnek bemutatásra. Ezek a célmeghatározások a folyamat egy adott környezetben történő elvégzéséhez kapcsolódó egyedi funkcionális céljait tartalmazzák. Az egyes folyamat célmeghatározásokhoz a specifikus végeredmények egy listája tartozik, tartalmazva a folyamat végrehajtásától elvárt pozitív eredményeket.


62

Egy folyamat célmeghatározásának teljesítése jelenti az első lépést egy olyan 1. szintű folyamatképesség kiépítésében, ahol az elvárt végeredmények már megfigyelhetők. A képesség szint a folyamat-attribútumok olyan készlete, amelyek együttes eredményeként jelentősen javul a képesség egy adott folyamat elvégzésére. Az adott folyamat elvégzéséhez szükséges képesség szintről szintre jelentősen javul. A szintek ésszerű utat alkotnak bármely folyamatképesség fejlesztési folyamatában és meghatározásuk az ISO/IEC 15504-2 szabványban található. A folyamatfelmérési modell arra az elvre épül, hogy egy folyamat képessége felmérhető a folyamat-attribútumok elérésének bemutatásával, a felmérési mutatókhoz kapcsolódó bizonyítékok alapján. A felmérési mutatók két fajtája létezik: az (általános) folyamatképességi mutatók, amelyek a 2-tő 5-ig terjedő képesség szintekre vonatkoznak, valamint a (specifikus) folyamat-végrehajtási mutatók, amelyek kizárólag az 1. képesség szintre vonatkoznak. A képesség-dimenzión elhelyezkedő folyamat-attribútumokhoz a folyamatképességi mutatók egy olyan készlete tartozik, amely jelzést ad az adott folyamatban lévő attribútum teljesülésének mértékéről. Ezek a mutatók az attribútum cél a folyamatbeli teljesüléséhez kapcsolódó jelentős tevékenységekre, erőforrásokra vagy eredményekre vonatkoznak. A folyamatképesség szintjei és a folyamat-attribútu mok Ebben a mérési keretben a képesség mérése az ISO/IEC 15504-2 szabványban meghatározott kilenc folyamat-attribútumon (PA) alapszik. A folyamat-attribútumok segítségével meghatározható, hogy a folyamat elérte-e az adott képességi szintet. Minden attribútum a folyamatképesség egy meghatározott vonatkozását adja meg. A képességi szinteken belül az attribútumok felsorolása semmilyen egymásutániságot vagy rangsort nem jelent, csak a megnevezésüket szolgálja. Az ISO 15504 egy ”folytonos” modellre épül. Vagyis a felmérésbe bevont minden folyamat önállóan értékelhető a folyamatképesség hatfokozatú rangsorskáláján keresztül:

• 0. szint – Hiányos folyamat. Ezen a szinten nincs vagy kevés a bizonyíték arra, hogy a folyamat célja következetesen teljesül.

• 1. szint – Végrehajtott folyamat. Ezen a szinten egy attribútum van, a folyamat-végrehajtás

(PA 1.1 Process Performance) attribútuma, mely annak mértékét mutatja, hogy mennyire teljesül a folyamatcél a folyamat megadott eredményeinek elérésén keresztül.

• 2. szint – Irányított folyamat. Ezen a szinten két attribútum van, a végrehajtás irányításának

(PA 2.1 Performance Management) és a munkatermék kezelésének (PA 2.2 Work Product Management) attribútumai, melyek annak mértékét mutatják, hogy a folyamat végrehajtása mennyire irányított, illetve a folyamat által előállított munkatermékeket mennyire kezelik megfelelően.

• 3. szint – Kialakított folyamat. Ezen a szinten két attribútum van, a folyamat

meghatározásának (PA 3.1 Process Definition) és a folyamat alkalmazásának (PA 3.2 Process Deployment) attribútumai, melyek annak mértékét mutatják, hogy mennyire tartanak karban egy szabványos folyamatot a meghatározott folyamat alkalmazásának támogatására, illetve mennyire alkalmazzák sikeresen a szabványos folyamatot az adott folyamat eredményeinek elérésére.

• 4. szint – Kiszámítható folyamat. Ezen a szinten két attribútum van, a folyamatmérés (PA 4.1

Process Measurement) és a folyamatellenőrzés (PA 4.2 Process Control) attribútumai. Ezek annak mértékét mutatják, hogy mennyire használnak mérési eredményeket annak érdekében, hogy a folyamat végrehajtása támogassa a megfelelő folyamat-végrehajtási célok elérését meghatározott üzleti célok támogatásához, illetve mennyire irányítják a folyamatot mennyiségi


63

eszközökkel annak érdekében, hogy stabil, megfelelő képességekkel rendelkező és megadott határok között kiszámítható folyamat legyen.

• 5. szint – Optimalizáló folyamat. Ezen a szinten két attribútum van, a folyamat-innováció (PA

5.1 Process Innovation) és a folyamat-optimalizáció (PA 5.2 Process Optimization) attribútumai. Ezek annak mértékét mutatják, hogy mennyire határoznak meg változtatásokat a folyamatban a végrehajtásban fellépő ingadozások közös okainak elemzése, valamint a folyamat-meghatározás és -alkalmazás innovatív megközelítéseinek vizsgálata következtében, illetve mennyire váltanak ki a folyamat meghatározásában, irányításában és végrehajtásában a változtatások olyan tényleges hatást, hogy elérjék a vonatkozó folyamatfejlesztési célokat.

Mint azt az 5. sz. táblázat mutatja, egy adott képességi szint teljesüléséhez az alatta lévő szint(ek) összes attribútumának hiánytalanul, és az adott szint attribútumainak minimum nagyjából kell teljesülnie.

5. táblázat: Folyamat-attribútumok képességi szintenként


64

3.3 A folyamatképesség mérési kerete Az alábbiakban a folyamatképesség általános mérési keretrendszerét ismertetjük az ISO/IEC 15504 szabvány 2. és 3. része alapján. 0. szint: Hiányos folyamat A folyamat nincs megvalósítva, vagy nem teljesíti a folyamat célját. Ezen a szinten nincs vagy kevés a bizonyíték arra, hogy a folyamat célja következetesen teljesül. A hiányos folyamat egy olyan folyamat, amelyik vagy egyáltalán nem teljesül, vagy amelyikhez a folyamat céljainak rendszeres teljesítésére vonatkozó bizonyíték kevés van, vagy nincs. A rendszeres teljesítést jellemzi a szükséges cselekmények szokásos megvalósulása és az alkalmas kimenő és bejövő munkatermékek megléte, amelyek együttesen biztosítják azt, hogy a folyamat céljai teljesülnek. A 0. szint csak egy attribútumok nélküli képességi szint, valójában a 0. szint annak a megállapításaként tekinthető, hogy nincs 1 vagy nagyobb képességi szint. Ennek megfelelően egy 0. szinten levő folyamat meghatározása főleg tárgyilagos bizonyítékok hiányára alapul, úgy tekintve, mintha 1-es szinten működne. 1. szint: Végrehajtott folyamat A megvalósított folyamat teljesíti a folyamat célját. A folyamat következő attribútuma mutatja ennek a szintnek a teljesülését:

1.1. PA A folyamat-végrehajtás attribútuma A folyamat-végrehajtási attribútum annak mértékét mutatja, hogy mennyire teljesül a folyamatcél. Ezen attribútum hiánytalan teljesülése esetén: a) a folyamat a megadott eredményeit eléri.

A folyamat-referenciamodellek meghatározzák minden egyes folyamathoz a célokat, az elvárt eredményeket, míg a folyamatfelmérési modell mutatókat ad a folyamat végrehajtásához és a folyamat képességeihez.

A folyamat-végrehajtási attribútum mutatói a folyamat végrehajtásának lényeges mutatói, amelyek különbözők folyamatról folyamatra, de általában a következőkből állnak:

- meghatározott munkatermékek, amelyek a folyamat bemenetei;

- meghatározott munkatermékek, amelyeket a folyamat állít elő;

- tevékenységek, amelyek a bemenő munkatermékeket kimeneti termékké alakítják át.

A felmérők megpróbálják igazolni, hogy azok a személyek, akik végrehajtják a folyamatot, értik magának a folyamatnak a céljait és végrehajtják a szükséges tevékenységeket. A tevékenységek végrehajtásával nyert munkatermékek a bemeneti munkatermékekkel együtt, további bizonyítékát adják a folyamat végrehajtásának.

Azonban e munkatermékek puszta létezése nem elegendő. Legyen nyilvánvaló, hogy azok hozzájárulnak a folyamat céljainak teljesítéséhez.


65

2. szint: Irányított folyamat Az előzőekben leírt végrehajtott folyamat most már irányított módon van megvalósítva (tervezett, figyelemmel kísért és szabályozott), és munkatermékeit alkalmas módon hozzák létre, ellenőrzik és tartják karban. A folyamat következő attribútumai - az előzőekben megadott attribútumokkal együtt - mutatják ennek a szintnek a teljesülését:

2.1. PA A végrehajtás irányításának attribútuma A végrehajtás-irányítási attribútum annak mértékét mutatja, hogy a folyamat végrehajtása mennyire irányított. Ennek az attribútumnak a hiánytalan teljesülése esetén:

a) a folyamat végrehajtására vonatkozóan célokat tűznek ki; b) a folyamat végrehajtását tervezik és figyelemmel kísérik; c) a folyamat végrehajtását szabályozzák a terv teljesítése érdekében; d) a folyamat végrehajtására vonatkozó felelősségeket és jogosítványokat

meghatározzák, kijelölik és közzéteszik; e) a folyamat végrehajtásához szükséges erőforrásokat és információkat

meghatározzák, rendelkezésre bocsátják, kiosztják és alkalmazzák; f) az érintett felek közötti kapcsolatokat a hatékony kommunikáció és a felelősségek

világos kijelölése érdekében egyaránt kezelik. 2.2. PA A munkatermékek kezelésének attribútuma A munkatermék-kezelési attribútum annak mértékét mutatja, hogy a folyamat által előállított munkatermékeket mennyire kezelik megfelelően. Ennek az attribútumnak a hiánytalan teljesülése esetén:

a) meghatározzák a folyamat munkatermékeire vonatkozó követelményeket; b) meghatározzák a munkatermékek dokumentálására és ellenőrzésére vonatkozó

követelményeket; c) a munkatermékeket megfelelő módon határozzák meg, dokumentálják és ellenőrzik; d) a munkatermékeket tervezett keretek között átvizsgálják és, ha szükséges, javítják a

követelmények teljesítése érdekében. 1. MEGJEGYZÉS: A munkatermékek dokumentálására és ellenőrzésére vonatkozó követelmények a változtatások és változatok azonosítására, a munkatermékek jóváhagyására, illetve ismételt jóváhagyására vonatkozó követelményeket is tartalmazhatnak, valamint hogy az adott munkatermékek megfelelő változatai a használati pontokon rendelkezésre álljanak. 2. MEGJEGYZÉS: Az e fejezetben említett munkatermékek a folyamat eredményeinek eléréséből származnak.

Az irányított folyamatot tervezik, megfigyelik, beszabályozzák, hogy feleljen meg a folyamatra vonatkozó végrehajtási célkitűzéseknek, és olyan munkatermékeket eredményezzen, amelyek megfelelően vannak azonosítva, dokumentálva és ellenőrizve. A végrehajtás irányításának attribútuma az alapvető irányítási technikák alkalmazásával elfogadhatóan biztosítja, hogy a folyamat megfeleljen a megvalósítási céloknak. A folyamat végrehajtásával kapcsolatos célkitűzések meghatározása kritikus követelmény ennek az attribútumnak a teljesítéséhez. Általánosan a végrehajtási célkitűzések tartalmazzanak olyan dolgokat, mint

(1) az előállított dolgok minősége, (2) a folyamat ciklusideje, (3) az erőforrások kezelése.

Vannak folyamatok (pl. támogatási, szervezeti és irányítási folyamat), melyek esetleg nem igényelnek tervezést minden esetre, de folyamatosan végrehajthatják állandó intézkedések mellett.


66

Anélkül, hogy világosan meghatároznák a felelősségeket és érthetően kifejeznék a felhatalmazást, bármelyik csoport kezdettől fogva elkötelezett a kockázatot illetően. Ennél fogva fontos a felelősségek meghatározott hozzárendelései és a végrehajtandó folyamattal kapcsolatos felhatalmazások letisztázása az irányított folyamatra vonatkozóan. Lényeges szempontok az azonosítások, a felelősségek hozzárendelése és közlése és a végrehajtandó folyamattal kapcsolatos felhatalmazások. Megjegyzendő, hogy a folyamatban érdekelt minden felet (pl. a folyamat tulajdonosát, a folyamat alkalmazóit stb.) tájékoztassák ezekről a tevékenységekről. A folyamat alkalmazásához szükséges erőforrásokat és információkat a meghatározott folyamat-végrehajtási célkitűzésekkel összhangban kell megállapítani, elérhetővé tenni, hozzárendelni és használni. Különösen fontos annak előkészítése, hogy az erőforrásokat jól szabályozzák és az információkat elérhetővé tegyék az éppen irányított és az elvárásnak megfelelően szabályozott folyamat végrehajtásához, a tervezett végrehajtástól való eltérések megválaszolásához. A folyamat végrehajtásához szükséges erőforrások irányításával kapcsolatban a különböző részek közötti illeszkedések irányítása biztosítja a felelősségek világos hozzárendelését és közlését. Általában az érdekelt feleknek többféle típusa van, amelyeket figyelembe vesznek, a folyamat tulajdonosa(i), a folyamat alkalmazója/alkalmazói, akik gondoskodnak a folyamat felfelé és lefelé áramló információit tartalmazó szükséges erőforrásokról és információkról, valamint más lehetséges felek. Mióta látszólag a folyamat végrehajtásának kis megváltoztatása jelentős hatást fejthet ki egy vagy több érdekelt félre, alapvető, hogy ezek között a részek között az illeszkedést megfelelően tervezzék meg, figyeljék és szabályozzák és ezeket egyértelműen és időben közöljék. A munkatermék kezelésének attribútuma tekintettel van az alapvető irányítási technikák alkalmazására annak elfogadható biztosításához, hogy az előállított munkatermékek megfelelően azonosítottak, dokumentáltak és ellenőrzöttek. Az e szakaszban hivatkozott munkatermékek, amelyeket a folyamat eredményeként teljesítettek (pl. ezek a folyamat eredményeként megvalósítják az 1. képességi szintet). A munkatermékek a folyamat végrehajtásához kapcsolódó dolgok; következésképpen a munkatermékek természete változik a folyamat céljaitól függően. Néhány munkatermék része lehet a szolgáltatott termékeknek, míg mások nem (pl. néhány minőségi irat, mint személyes iratok vagy értekezlet jegyzőkönyve). A folyamat munkatermékeivel szembeni követelmények meghatározása adja a termékek alapját (valamint az igazolását). Megjegyzendő, hogy a munkatermék követelményei valószínűleg jelentősen befolyásolják magának a folyamatnak a végrehajtási követelményeit, így a két folyamat-attribútum a 2. képességi szinten kölcsönösen egymástól függ. A folyamat munkatermékeivel szembeni követelmények lehetnek működési követelmények, amelyek a munkatermék attribútumaira vonatkoznak (végrehajtás, méret stb.) vagy lehetnek a megállapodásra és korlátozásra vonatkozó, nem működési követelmények, amelyek közvetlenül nem kapcsolódnak a munkatermék attribútumaihoz (szolgáltatási dátumok, csomagolás stb.) vagy lehet a kettő keveréke. A folyamat munkatermékeinek dokumentálásával és ellenőrzésével szembeni követelményeket is meghatározzák; ezeket eltérően veszik figyelembe a munkatermékek követelményeitől függően. A változtatás ellenőrzése vagy a felépítés irányításának különböző foka megfelelően függ a munkatermékek különleges szempontjaitól és/vagy a működési folyamat jellegétől. A folyamat munkatermékeinek dokumentálásával és ellenőrzésével szembeni követelményeket ekkor úgy alkalmazzák, mint a munkatermékek alkalmas azonosításának, dokumentálásának és ellenőrzésének az alapját. A folyamat megvalósításából származó munkatermékeket átvizsgálják a követelményeknek megfelelő, szükséges tervezett intézkedésekkel és szabályozásokkal összhangban. Az átvizsgálás mértéke és természete sok tényezőtől függ, amelyeket tekintetbe vesznek a munkatermék irányítására vonatkozó tervezés részeként.


67

3. szint: Kialakított folyamat Az előzőekben leírt irányított folyamat most már egy olyan adott folyamat felhasználásával van megvalósítva, amely képes az eredményeit elérni. A folyamat következő attribútumai - az előzőekben megadott attribútumokkal együtt - mutatják ennek a szintnek a teljesülését:

3.1. PA A folyamat-meghatározás attribútuma A folyamat-meghatározási attribútum annak mértékét mutatja, hogy mennyire tartanak karban egy szabványos folyamatot a meghatározott folyamat alkalmazásának támogatására. Ezen attribútum hiánytalan teljesülése esetén:

a) olyan szabványos folyamatot . beleértve alkalmas illesztési útmutatókat is . adnak meg, amely leírja az adott folyamatba beépítendő, alapvető elemeket;

b) meghatározzák a szabványos folyamat és más folyamatok közötti sorrendiséget és kölcsönhatást;

c) a szabványos folyamat részeként meghatározzák a folyamat végrehajtásához szükséges felkészültséget és szerepeket;

d) a szabványos folyamat részeként meghatározzák a folyamat végrehajtásához szükséges infrastruktúrát és munkakörnyezetet;

e) meghatározzák a folyamat eredményességének és alkalmasságának figyelemmel kisérésére szolgáló alkalmas módszereket.

MEGJEGYZÉS: A szabványos folyamatot lehet egy az egyben is használni egy adott folyamat alkalmazása során. Ebben az esetben illesztési útmutatóra általában nincs szükség.

3.2. PA A folyamat-alkalmazás attribútuma A folyamatalkalmazási attribútum annak mértékét mutatja, hogy mennyire alkalmazzák sikeresen a szabványos folyamatot az adott folyamat eredményeinek elérésére. Ezen attribútum hiánytalan teljesülése esetén:

a) az adott folyamatot alkalmas módon kiválasztott és/vagy illesztett szabványos folyamat alapján alkalmazzák;

b) kijelölik és közzéteszik az adott folyamat végrehajtásához szükséges szerepeket, felelősségeket és jogosítványokat;

c) az adott folyamatot végrehajtó személyzet felkészült, megfelelő oktatás, képzés és tapasztalatszerzés segítségével;

d) az adott folyamat végrehajtásához szükséges erőforrásokat és információkat rendelkezésre bocsátják, kiosztják és használják;

e) az adott folyamat végrehajtásához szükséges infrastruktúrát és munkakörnyezetet rendelkezésre bocsátják, kezelik és karbantartják;

f) megfelelő olyan adatokat gyűjtenek és elemeznek, amelyek alapján megértik a folyamat működését, és bemutatják annak alkalmasságát és eredményességét, valamint értékelik, hogy hol lehet folyamatos fejlesztést végezni.

MEGJEGYZÉS: Az ismeretek, a jártasság és a személyes tulajdonságok együttes következménye a felkészültség, amelyeket oktatáson, képzésen és tapasztalatszerzésen keresztül lehet megszerezni.

A kialakított folyamat egy szabványos folyamaton alapul, amely ténylegesen telepítve van, hogy teljesítse a folyamat kimeneteit. A folyamatot egy kialakított és fenntartott szabványos folyamatból létrehozott meghatározott folyamat alkalmazásával hajtják végre. A szabványos folyamat meghatározza azokat a humán és infrastrukturális erőforrásokat egyaránt, amelyek szükségesek a folyamat végrehajtásához és ezek összeadódnak a meghatározott folyamatban. Megfelelő adatokat gyűjtenek a szabványos és a meghatározott folyamat érthetőségének és fejlesztésének meghatározásához.


68

A folyamat meghatározásának attribútuma összhangban van a szabványos folyamat összeállításával, annak használatával a meghatározott folyamat végrehajtásának az alapjaként, és a folyamat-végrehajtási adatok gyűjtésével és értékelésével, a szabványos folyamat érthetőségének és fejlesztésének az alapjaként. A meghatározott folyamatot a szabványos folyamathoz illesztéssel hozzák létre, figyelembe véve a korlátozásokat és a feltételeket, amelyek azt a környezetet képezik, amelyben a folyamat létrejön. Az attribútumok teljesítését a gyakorlatban azok a mértékek alakítják, amelyeket a szabványos folyamat és a hozzá kapcsolt testre szabott útmutatók határoznak meg és érhetők el, és azok a mértékek, amelyekhez a testre szabott útmutatók világos irányt adnak figyelembe véve a szabványos folyamat alkalmazási tartományából alkalmazni kívánt rész megfelelő átvételét. A „meghatározott folyamat” egy olyan folyamat, amelyet a szervezeti egységre vonatkozó szabványos folyamatok készletéből hoztak létre a szervezetre szabott útmutatók szerint, van karbantartott folyamatleírása és támogatja a munkatermékeket, eszközöket és más, a folyamatot fejlesztő olyan információkat, amelyek a szervezet folyamatának eszközeihez tartoznak. A működési egység meghatározott folyamata alapot ad a tervezéshez, végrehajtáshoz és a folyamat feladatainak és tevékenységeinek fejlesztéséhez. Egy folyamat illesztése a folyamat elkészítését, leírását, változtatását, egy meghatározott végeredményhez való alkalmassá tételét jelenti. Például egy működési egység létrehozza a saját meghatározott folyamatát, illeszti a szervezetre vonatkozó olyan szabványos folyamatokhoz, amelyek megfelelnek a célkitűzéseknek, a korlátozásoknak, és a működési egység körülményeinek. A „testre szabott útmutató”-kat arra használják, hogy lehetővé tegyék a szervezetek számára a szabványos folyamatok alkalmazását különböző összefüggésekben. A szervezet szabványos folyamatokra vonatkozó készlete általános szinten leírja, ha egy folyamat nem használható közvetlenül a végrehajtásához. A testre szabott útmutatók azoknak szólnak, akik összeállítják a működési egységek meghatározott folyamatait. A testre szabott útmutatók leírják, hogy mit lehet, és mit nem lehet módosítani, és meghatározzák azokat a folyamatelemeket, amelyeket módosításra szánnak. A folyamatok sora és kölcsönhatása nem foglal magában szükségszerűen sorrendi végrehajtást, jelenthet egyidejű végrehajtást, ciklikus visszajelzést vagy más kölcsönhatást. A szabványos folyamatra vonatkozó jelentős visszajelzés érkezésének tényleges előfeltétele a meghatározott folyamat pontos alkalmazása, vagyis a folyamat használói a meghatározott folyamat szerint cselekednek. A tökéletesen összeállított folyamat nem tartós értékű, ha az éppen végzett munka abban nem tükröződik. A folyamat használatával kapcsolatos adatokat gyűjtik és felhalmozzák, amely alapját képezi a szabványos folyamat viselkedésének megértését. A tudásnak ez a tára alapot ad a szabványos folyamat megértéséhez és fejlesztéséhez. A folyamat-alkalmazás attribútuma tekintettel van a szervezeti egység által elérhető szabványos folyamateszközök készletéből kialakított meghatározott folyamat hatékony alkalmazására. A kritikus szempontok számát, amely támogatja a hatékony alkalmazást, az attribútum meghatározásakor azonosítják. Ennek az attribútumnak a teljesítése pontosan reagál a szabványos folyamatra, amit minden egyes jellemző eset alkalmazására összeállítottak. Az attribútum tehát tükrözi az erőforrások hatékony alkalmazását a meghatározott folyamat használatához, valamint a meghatározott folyamat viselkedésének megértésére és pontosítására szolgáló adatok gyűjtéséhez és elemzéséhez. A folyamat-attribútum másik kritikus szempontja annak biztosítása, hogy a meghatározott folyamat sikeres alkalmazásának (végrehajtásának) képességi feltételei legyenek meg. A képességi feltételek tartalmazzák: - a folyamathoz használt humán erőforrások különleges attribútumainak meghatározását; - a folyamat infrastruktúrájának és a meghatározott folyamat végrehajtásához elvárt környezetnek

az ismertségét;


69

- a megkövetelt humán erőforrás és folyamat-infrastruktúra sikeres kiosztását és alkalmazását; - a meghatározott folyamat végrehajtására vonatkozó szerepek, felelősségek és felkészültségek

közösen meghatározott ismertségét. A folyamat infrastruktúráját eszközök, módszerek és különleges lehetőségek alkotják, amelyeket a meghatározott folyamat végrehajtásához elvárnak. A meghatározott folyamat végrehajtásához kapcsolódó megfelelő adatok meghatározása, gyűjtése és elemzése alapot ad a meghatározott folyamat viselkedésének megértéséhez, valamint bizonyítja a meghatározott folyamat alkalmasságát és hatásosságát. Ez viszont hozzájárul a szabványos folyamat elemeinek folyamatos fejlesztéséhez, amelyekre a meghatározott folyamat alapul. 4. szint: Kiszámítható folyamat Az előzőekben leírt kialakított folyamat most megadott határok között működik az eredmények elérése érdekében. A folyamat alábbi attribútumai - az előzőekben megadott attribútumokkal együtt - mutatják ennek a szintnek a teljesülését:

4.1. PA A folyamatmérés attribútuma A folyamatmérési attribútum annak mértékét mutatja, hogy mennyire használnak mérési eredményeket annak érdekében, hogy a folyamat végrehajtása támogassa a megfelelő folyamat-végrehajtási célok elérését meghatározott üzleti célok támogatásához. Ezen attribútum hiánytalan teljesülése esetén:

a) meghatározzák a folyamat információs igényét a vonatkozó meghatározott üzleti célok támogatásához;

b) a folyamat információs igényéből folyamatmérési célokat származtatnak; c) a vonatkozó üzleti célok támogatásához a folyamat végrehajtására mennyiségi

célokat tűznek ki; d) a mérés mérőszámait és gyakoriságát meghatározzák, és a folyamatmérési célokkal

valamint a folyamat végrehajtására kitűzött mennyiségi célokkal összhangban megadják azokat;

e) a mérések eredményét összegyűjtik, elemzik és beszámolnak róluk annak érdekében, hogy figyelemmel tudják kísérni, milyen mértékben teljesülnek a folyamat végrehajtására kitűzött mennyiségi célok;

f) a mérési eredményeket a folyamat végrehajtásának jellemzésére használják. 1. MEGJEGYZÉS: Az információs igények rendszerint irányítási, műszaki, projekt-, folyamat- vagy termékigényeket tükröznek vissza. 2. MEGJEGYZÉS: A mérőszámok vonatkozhatnak folyamatra, termékre vagy mindkettőre. 4.2. PA A folyamatellen őrzés attribútuma A folyamatellenőrzési attribútum annak mértékét mutatja, hogy mennyire irányítják a folyamatot mennyiségi eszközökkel annak érdekében, hogy stabil, megfelelő képességekkel rendelkező és megadott határok között kiszámítható folyamat legyen. Ezen attribútum hiánytalan teljesülése esetén:

a) elemzési és ellenőrzési technikákat határoznak meg, és alkalmaznak, ahol lehet; b) a szokásos folyamat-végrehajtástól való eltérésre tűréshatárokat állapítsanak meg; c) a mérési adatokat elemzik, ha az eltérés egyedi okokra vezethető vissza; d) intézkedéseket hoznak az eltérések egyedi okainak kezelésére; e) a helyesbítő intézkedést követően a tűréshatárokat - ha szükséges - újra

megállapítják. A kiszámítható folyamat következetesen működik a meghatározott korlátokon belül, teljesítve a folyamat eredményeit, kiegészítve azzal, hogy a végrehajtását a lényeges mérésekből származó mennyiségi információkkal támogatják és végzik el. A 4. képességi szinten működő folyamat


70

végrehajtását mennyiségileg irányítják, és kiszámított módon viselkedik, alátámasztva az általános üzleti célokat. A végrehajtás változatainak különleges eseteit kiemelik. A folyamatmérés attribútuma tekintettel van a folyamat végrehajtására és a munkatermékek minőségére vonatkozó mérési eredmények hatékony gyűjtési rendszerének gyakorlatára. A mérések arra vonatkoznak, hogy a szervezet üzleti céljainak teljesítését kiterjesszék. A lényeges üzleti célok ismertek és egyértelműen meghatározottak, és megvalósul az üzleti célok és különleges célok közötti kapcsolat formája, valamint a termék és a folyamat mérése.

16. ábra: A folyamatmérési attribútum fogalmai közötti összefüggések Nem elegendő egyszerűen csak a mérési adatokat gyűjteni, de elemezni és jelenteni is kell azokat annak érdekében, hogy a folyamat végrehajtásának mennyiségi célkitűzéseihez elegendő mértékben tegyék lehetővé a megfigyelést. A folyamatellen őrzési attribútum kapcsán választott elemző és ellenőrző technikákat befolyásolja a folyamat természete, valamint a felmért szervezeti egység összefüggésrendszere. Például nem minden folyamat alkalmas egyformán statisztikai ellenőrzésre, és más technikákat (pl. Pareto-elemzés, halszálkadiagramm stb.) választhatnak a folyamat mennyiségi megértésének bizonyítására. Az azonosított elemzési technikákat alkalmazzák a folyamat-végrehajtási eltérések alapeseteinek azonosítása céljából. A folyamat végrehajtásának tűréshatárai vagy gyakorlati alapon határozható meg, vagy a folyamat megvalósított céljaiban kifejezve. A folyamat hibáira az eltérések különleges esetei vonatkoznak, amelyek nem a folyamat velejárói, inkább esetlegesek, ezek általánosan erednek a végrehajtási problémákból. A folyamat végrehajtásának mennyiségi irányítása magában foglal olyan javító intézkedés hatékony alkalmazását, amelyet az eltérés meghatározott különleges eseteinek kezelésére terveztek. Ha egy szervezeti egység hatékonyan alkalmazza a mérést, az alkalmazott mérés és elemzés igazolja azt a döntést, amelynek hatására üzleti haszon jön létre. 5. szint: Optimalizáló folyamat Az előzőekben leírt kiszámítható folyamat folyamatos fejlesztés alatt áll annak érdekében, hogy a vonatkozó jelenlegi és előrevetített üzleti célok teljesüljenek. A folyamat következő attribútumai - az előzőekben megadott attribútumokkal együtt - mutatják ennek a szintnek a teljesülését:


71

5.1. PA A folyamat-innováció attribútuma A folyamatinnovációs attribútum annak mértékét mutatja, hogy mennyire határoznak meg változtatásokat a folyamatban a végrehajtásban fellépő ingadozások közös okainak elemzése, valamint a folyamat-meghatározás és -alkalmazás innovatív megközelítéseinek vizsgálata következtében. Ennek az attribútumnak a hiánytalan teljesülése esetén:

a) olyan fejlesztési célokat adnak meg a folyamatra, amelyek az érvényes üzleti célokat támogatják;

b) a megfelelő adatokat elemzik, hogy a folyamat végrehajtásában fellépő ingadozások közös okait meghatározhassák;

c) a megfelelő adatokat elemzik, hogy a bevált gyakorlat és az innováció alkalmazásának lehetőségeit meghatározhassák;

d) új technológiákból és a folyamatok újszerű felfogásából eredő fejlesztési lehetőségeket határoznak meg;

e) megvalósítási stratégiát alakítanak ki a folyamatfejlesztés céljainak elérésére.

5.2. PA A folyamat-optimalizáció attribútuma A folyamatoptimalizációs attribútum annak mértékét mutatja, hogy mennyire váltanak ki a folyamat meghatározásában, irányításában és végrehajtásában a változtatások olyan tényleges hatást, hogy elérjék a vonatkozó folyamatfejlesztési célokat. Ennek az attribútumnak a hiánytalan teljesülése esetén:

a) minden javasolt változtatás hatását összemérik a megadott és a szabványos folyamat céljaival;

b) minden elfogadott változtatás megvalósítását irányítják annak érdekében, hogy a folyamat-végrehajtásban bekövetkező bármilyen fennakadás ismert és kezelhető legyen;

c) a folyamatváltoztatások eredményességét a tényleges végrehajtás alapján összemérik a megadott termékkövetelményekkel és folyamatcélokkal, hogy meghatározhassák, vajon az eredmények közös vagy egyedi okokra vezethetők-e vissza.

Az optimalizáló folyamatot szabályos és szándékos módon változtatják és alakítják át úgy, hogy hatékonyan válaszoljanak az üzleti célok változásaira. Ez folyamatosan történik. A folyamatképességnek ez a szintje alapvetően függ a folyamat viselkedésének mennyiségi megismeréstől, ami a kiszámítható folyamat pontossági próbája. Egy 5. szinten működő folyamat három különböző viselkedést mutat, amelyek megkülönböztetik a kiszámítható folyamattól. Először, a folyamatos fejlesztésre irányuló előretekintő figyelem a szervezeti egység pillanatnyi és tervezett (lényeges) üzleti céljainak beteljesülésére egyaránt, ami egy szándékos és tervezett erőfeszítés a folyamat hatásosságának és hatékonyságának a fejlesztésére. Másodszor, a folyamathoz tartozó alkalmas változtatások szabályos és tervezett megközelítése és azok bemutatása a folyamat működésére vonatkozó legkisebb nem kívánt zavarokkal. Végül, a változtatások hatékonyságát értékelik a pillanatnyi eredményekkel szemben, és szabályozást hajtanak végre, ha szükséges, hogy teljesüljenek a kívánt termékek és folyamatcélok. A kiszámítható folyamat végrehajtását folyamatosan fejlesztik, hogy feleljen meg a pillanatnyi és tervezett üzleti céloknak. Mennyiségi célkitűzéseket a folyamat végrehajtásának fejlesztéséhez alakítják ki a szervezeti egység lényeges üzleti céljaira alapozva. Az adatokat a legjobb gyakorlat és innováció lehetőségeinek azonosításához gyűjtik és elemzik, a végrehajtás változatainak közös eseteit azonosítják és megjelölik. Az optimalizált folyamatokban levő vezető innovatív elgondolások, technológiák és a nem hatékony folyamatok változtatásai megfelelnek a meghatározott céloknak és célkitűzéseknek. A folyamat-innováció attribútuma a folyamatos fejlesztés meglétére vonatkozik a szervezeti egység pillanatnyi és tervezett (lényeges) üzleti céljainak beteljesüléséhez.


72

A folyamat fejlesztésének világosan meghatározott célkitűzései adják az 5. képességi szint alapját. Ezek a szervezet pillanatnyi és tervezett (lényeges) üzleti céljaival összefüggésben adják az 5. szint viselkedéseivel összhangban lévő megoldásokat. Az innováció a folyamat fejlesztésének egy másik megoldása. Eredhet a legjobb gyakorlathoz vagy új technológiák bemutatásához kapcsolódó adatok elemzéséből. A folyamat fejlesztési céljai elősegítik a folyamattal kapcsolatos, lehetséges problémák megértését, ezáltal szolgáltatva a folyamat javasolt változtatásainak fontos forrását. A folyamat javasolt változtatásai, tekintettel a létező folyamatra, eredményesek lesznek a szervezeti egység pillanatnyi és tervezett (lényeges) üzleti céljainak fényében. A szervezeti felépítés összetettsége és a folyamatos fejlesztés hosszú időt igénylő természete jól meggondolt stratégiát igényel, hogy biztosítsa az 5. képességi szint teljesítésének sikerét. A folyamat-optimalizációs attribútum a szabályos és előre látható megközelítéshez a folyamat alkalmas változtatásainak meghatározására vonatkozik, és azokat úgy mutatja be, mint a folyamat működésének legkisebb nem kívánt zavarását. A változtatás hatásosságát a lényeges folyamat-fejlesztési célkitűzések teljesítéséhez szükséges pillanatnyi eredményekkel és szabályozással szemben értékelik. A teljesítés érdekében a legtöbb fejlesztés elvégzése lehetséges az elérhető erőforrásokkal, a javasolt változtatások hatását megbecsülve. A kiszámított folyamat mennyiségi ismertsége segít a javasolt változtatások hatásának felmérésében. A végrehajtási időt és az elfogadott változtatások sorrendiségét gondosan megtervezik, biztosítva ezáltal a folyamat végrehajtását zavaró tényezők legkisebb hányadát. Ez a tervezés általában olyan tényezőket vesz figyelembe, mint a folyamat kritikussága és állapota, a folyamat változtatásainak hatékony értékelése és az új üzleti generáció. A folyamat-attribútumok teljesülési rangsorskálája A folyamat-attribútum teljesülésének mértékeit az ISO/IEC 15504-2 szabvány által megadott rangsorskálával mérik. A rangsorskála a folyamatképesség azon specifikus vonatkozásait jeleníti meg, melyek a folyamatjavításhoz és a képesség-meghatározáshoz szükségesek. A következőkben megadott rangsorskálát kell használni a folyamat-attribútumok teljesülési szintjeinek kifejezésére:

• N(one) - Nem teljesült A szóban forgó attribútum teljesülésére nincs vagy kevés a bizonyíték a felmért folyamatban.

• P(artially) - Részben teljesült A szóban forgó attribútumnál van némi bizonyíték valamilyen megközelítésre a felmért folyamatban, és némileg teljesül az attribútum. Az attribútum teljesülésének bizonyos vonatkozásai kiszámíthatatlanok lehetnek.

• L(argly) - Nagyjából teljesült A szóban forgó attribútumnál bizonyíték van valamilyen rendszerezett megközelítésre a felmért folyamatban, és a teljesülés jelentős mértékű. Ennél az attribútumnál létezhetnek bizonyos gyenge pontok a felmért folyamatban.

• F(ully) - Hiánytalanul teljesült A szóban forgó attribútumnál bizonyíték van egy teljes és rendszerezett megközelítésre a felmért folyamatban, és a teljesülés hiánytalan. Ennél az attribútumnál nincs jelentős gyenge pont a felmért folyamatban.


73

A rangsor előzőekben megadott értékeit egy - a teljesülés mértékét kifejező - százalékos skálán kell érteni. A megfelelő értékek a következők: N - Nem teljesült: 0 és 15% között teljesült P - Részben teljesült: >15% és 50% között teljesült L - Nagyjából teljesült: >50% és 85% között teljesült F - Hiánytalanul teljesült: >85% és 100% között teljesült A fenti rangsorskála alkalmazásakor a részben, illetve nagyjából teljesült értékelés között lényeges a különbség, hiszen egy adott szint eléréséhez minden attribútumot hiánytalanul, illetve nagyjából teljesíteni kell (az alsóbb szint attribútumait hiánytalanul). A rangsorskála alkalmazásának célja az volt, hogy elkerüljék az ”átlagos” értékelést, mely elkendőzné, vagy önkényesen jelölné ki a szükséges javításokat. Folyamat-profilok A folyamathoz tartozó attribútumok rangsorolásai képezik e folyamat profilját. Egy felmérés kimenetébe beletartozik az összes felmért folyamat profilja. A folyamat-profilnak különböző formái lehetnek, de szabatosan meg kell adnia minden felmért folyamat összes attribútumának rangsorolását. A 17. sz. ábra a folyamat-profilok egy lehetséges grafikus ábrázolási módját mutatja be. A vertikális tengely tartalmazza folyamat-attribútumokat (melyek minden felmérésre azonosak), míg a horizontálisan a felmért folyamatok találhatóak (melyek a folyamat-kiválasztástól függően változhatnak). A függőleges oszlopokat alkotó mintázat mutatja folyamatonként az attribútumokra adott besorolásokat.

17. ábra: ISO/IEC 15504 szerinti példa folyamat-profilok A példában szereplő Process 1 és Process 2 folyamatok 2. szintűek, hiszen a PA 1.1 folyamat-végrehajtás attribútuma hiánytalanul, míg a PA 2.1 és PA 2.2 attribútumok hiánytalanul vagy nagyjából teljesülnek mindkét folyamatra. A Process 3 folyamat 1. szinten van, mert a folyamat-végrehajtás (PA 1.1) attribútuma nagyjából (Largely) teljesül, hiszen a magasabb szintnek feltétele lenne az első szintű attribútum hiánytalan (Fully) teljesülése. A példában mindhárom folyamat az összes szint minden attribútumára felmérésre került. Nem lehet kihagyni egy alsóbb szint attribútumának vizsgálatát egy magasabb szintű attribútum felmérésekor.


74

3.4 A folyamatfelmérés mutatóinak megállapítása és átvétele A folyamat-végrehajtási és folyamatképességi mutatók a felmérő (auditor) által a felmérés során megszerezhető, vagy megfigyelhető bizonyítékokra (pl. gyakorlatokra és munkatermékekre) nyújtanak példákat. A vizsgált folyamat kapcsán szerzett bizonyítékot le lehet képezni azokra a mutatókra, melyek lehetővé teszik a megvalósított és a felmérési modell által előírt folyamatok közti korreláció meghatározását. Ezek a mutatók a felmérők számára nyújtanak támogatást abban, hogy a szükséges objektív bizonyosságot elérjék a képesség értékelésekor. A mutatókat a felmérés alatt használják egy sajátos folyamatcél vagy folyamat-attribútum tárgyilagos bizonyítékának gyűjtésére. A bizonyítékok származhatnak a felmérendő folyamat munkatermékeinek vizsgálatából, vagy a folyamat végrehajtóinak és a vezetők nyilatkozataiból. A felmérés mutatóiból összeállított lista célja, hogy a mutatókat egyértelműen meghatározza és a modell felépítésében elhelyezze azokat. Az alapgyakorlatok listája a folyamat csoportok, az egyes folyamat csoportokhoz tartozó folyamatok és az egyes folyamatokhoz tartozó alapgyakorlatok megállapítását teszi lehetővé. Az általános gyakorlatok esetében a lista lehetővé teszi a képességi szintek, az egyes képességi szintekhez tartozó folyamat-attribútumok, valamint az egyes folyamat-attribútumokhoz tartozó általános gyakorlatok megállapítását. A folyamatfelmérési modell alkalmazása során a modellben található listát és azonosítókat a folyamat-attribútum besorolását alátámasztó bizonyítékként hivatkozott gyakorlatok megállapítása céljából kell alkalmazni. Minden gyakorlat numerikus azonosítóval kapcsolódik a vonatkozó folyamathoz, vagy folyamat-attribútumhoz a felmérési modellben használt folyamat-, vagy folyamat-attribútum azonosítón keresztül. Az egyes gyakorlatok egy több részből álló alfanumerikus kódot tartalmazó azonosítót kapnak. Alapgyakorlatok A jelen felmérési modell mintában a gyakorlatok a folyamat céljának eléréséhez és a folyamateredmények teljesítéséhez szükséges feladatok és tevékenységek megállapítását szolgálják. Egy alapgyakorlatot a következő betűsor határoz meg: IFC.PG.PR.BPPN. ahol a kódok jelentése:

• IFC a Belső Pénzügyi Kontroll (Internal Financial Control) témakörére utal � PC folyamat kategória (COSO komponens) azonosító (3 betű) � PR folyamat-azonosító (a folyamat csoporton belül, 3 betű) � BP ez jelöli, hogy egy gyakorlatról van szó • PN gyakorlat szám (a folyamaton belül)

Az alapgyakorlatok megállapításának összeállítása során alkalmazandó sablon a 6. sz. táblázatban található. Az alapgyakorlat leírása az alábbi összetevőkből áll:

� gyakorlatazonosító; � gyakorlat neve; � gyakorlat leírása; � a vizsgált eredmények listája; • a gyakorlatra vonatkozó további megjegyzések (opcionális).


75

Összetev ő Útmutató

Gyakorlatazonosító IFC.PC.PR.BPPN Gyakorlat neve 1. Az alapgyakorlat neve összefoglaló jelleggel állapítsa meg, hogy

mit végez el a gyakorlat. 2. Általánosságban, a megnevezés legyen egy tevékenység-

központú kifejezés, amely egy igével kezdődik és összefoglalja a tevékenységet (pl. „Tervezze meg", „Hozza létre", „Építse fel"), ezt kövesse egy szó vagy egy kifejezés, amely leírja, hogy mit kell megvalósítani (pl. „Állapítsa meg a szükségletet").

3. A gyakorlat neve ugyanazon a soron jelenik meg, mint a gyakorlatazonosító és közvetlenül azt követi.

Gyakorlat leírása Egy vagy több mondat, amely megerősíti a gyakorlat nevét. Vizsgált eredmények A vizsgált eredmények listája, az alábbi formátumban: [Eredmények:

<eredmény azonosító>, …, <eredmény azonosító>]. Egy eredmény vizsgálata esetén a formátum: [Eredmény: <eredmény azonosító>].

További megjegyzések Igény szerint az alapgyakorlathoz megjegyzéseket lehet csatolni, ezekben részletesebben be lehet mutatni a gyakorlatot, példákat lehet nyújtani vagy kereszthivatkozást lehet tenni más gyakorlatokra. A formátum: MEGJEGYZÉS<megjegyzés azonosító>: <szöveg> Ha egy folyamathoz (PR) kapcsolódó több alapgyakorlathoz egynél több megjegyzés tartozik, ezeket sorszámmal kell ellátni.

6. táblázat: Alapgyakorlat sablon Példa megjegyzéssel kiegészített alapgyakorlat leírásra:

IFC.CE.OB.BP1: A bels ő kontrollrendszer eredményességének mérlegelése. A felügyeleti testület rendszeresen mérlegeli a pénzügyi beszámolás belső kontrolljának eredményességét, ideértve a kockázatokat, jelentős hiányosságokat és lényeges gyengeségeket (ha ilyenek vannak). [Eredmények: 3, 5] MEGJEGYZÉS: A felügyeleti testület évente legalább egy alkalommal a vezetéssel megtárgyalhatja a szabályok vezetők általi megsértésének kockázatára vonatkozó értékelését, ideértve a vezetők motivációját a szabályok megsértésére és az ilyen tevékenységek eltitkolásának módját.

Általános gyakorlatok Egy általános gyakorlatot a következő betűsor határoz meg: IFC.GP CL.PAN.PN. ahol a kódok jelentése:

• IFC a Belső Pénzügyi Kontroll (Internal Financial Control) témakörére utal • GP a Általános gyakorlatra utal • CL a képesség szint azonosítója • PAN folyamat-attribútum azonosító (a képesség szinten belül) • PN a gyakorlat azonosítója (a folyamat-attribútumon belül)

Az általános gyakorlatok meghatározásának összeállítása során alkalmazandó sablon a 7. sz. táblázatban található.


76

Összetev ő Útmutató Gyakorlatazonosító IFC.GP CL.PAN.PN Gyakorlat neve 1. Az általános gyakorlat neve összefoglaló jelleggel állapítsa meg,

hogy mit végez el a gyakorlat. 2. Általánosságban, a megnevezés legyen egy tevékenység-

központú kifejezés, amely egy igével kezdődik és összefoglalja a tevékenységet (pl. „Tervezze meg", „Hozza létre", „Építse fel"), ezt kövesse egy szó vagy egy kifejezés, amely leírja, hogy mit kell megvalósítani (pl. „Állapítsa meg a szükségletet"), és ezt kövesse a gyakorlat végrehajtásának célja (pl., „hajtsa végre ezt a gyakorlatot” hogy „elérje azt az attribútumot”).

3. A gyakorlat neve ugyanazon a soron jelenik meg, mint a gyakorlatazonosító és közvetlenül azt követi, és az első fontos kifejezés félkövér betűtípussal szerepel.

Gyakorlat leírása A gyakorlat nevének részletes leírása, több mondatban. További megjegyzések Igény szerint az alapgyakorlathoz megjegyzéseket lehet csatolni,

ezekben részletesebben be lehet mutatni a gyakorlatot, példákat lehet nyújtani vagy kereszthivatkozást lehet tenni más gyakorlatokra. A formátum: MEGJEGYZÉS<megjegyzés azonosító>: <szöveg> Ha egy folyamathoz (PR) kapcsolódó több alapgyakorlathoz egynél több megjegyzés tartozik, ezeket sorszámmal kell ellátni.

7. táblázat: Általános gyakorlat sablonja Példa általános gyakorlat leírásra:

IFC.GP 2.1.5 Erőforrások megállapítása és biztosítása a folyamat terv szerinti végrehajtásához. A folyamat végrehajtásához szükséges emberi és infrastrukturális erőforrásokat megállapították, azok rendelkezésre állnak, felosztották őket és használatban vannak. A folyamat végrehajtásához szükséges információt megállapították és az rendelkezésre áll. A szükséges infrastruktúrát és létesítményeket megállapították és azok rendelkezésre állnak.

Munkatermékek Az egyedi (folyamat-specifikus) munkatermék típusokat jellemzően a folyamatgazdák hozzák létre és a folyamat végrehajtói alkalmazzák, egy adott folyamat cél eredményének teljesítése érdekében. Az általános munkatermék mutatók olyan jellemzők, amelyek jelenléte egyértelműen várható az általános típusú munkatermékekben egy adott attribútum elérésének eredményeképpen. Az általános munkatermékek képezik a folyamat-végrehajtási mutatókként megállapított munkatermékek besorolásának alapját. Ezek a munkatermék típusok bármely típusú folyamat folyamatgazdája számára alapvető bemeneti adat-típusként szolgálnak. A munkatermék jellemzőket a folyamat bevezetés lehetséges bemeneteinek és kimeneteinek áttekintése során lehet alkalmazni. A jellemzők útmutatásként szolgálhatnak egy meghatározott minta munkatermékben várható azon attribútumok beazonosításához, amelyek egy adott folyamat felmérését alátámasztó objektív bizonyítékot nyújtanak. Dokumentált folyamatra és a felmérő megítélésére van szükség annak biztosítására, hogy a folyamat összefüggései (alkalmazási terület, üzleti cél, üzleti tevékenység, a szervezet mérete, stb.) figyelembe vételre kerüljenek az ilyen információ felhasználása során. A munkatermékek a 8. táblázatban bemutatott sablon segítségével


77

állapíthatók meg. A munkatermékeket és jellemzőiket kiindulópontként kell figyelembe venni annak mérlegelésekor, hogy az adott összefüggésben azok hozzájárulnak-e a folyamat kitűzött céljához, nem pedig olyan ellenőrző listaként, amely előírja, hogy az egyes szervezeteknek mivel kell rendelkezniük.

Összetev ő Útmutató Munkatermék azonosító

A munkatermék azonosító száma, amellyel hivatkozni lehet a munkatermékre.

Munkatermék neve Példát ad egy a munkatermék jellemzőivel társított tipikus megnevezésre. Ezt a nevet adják meg azon típusú munkatermék azonosítójaként, amely a gyakorlat vagy folyamat eredményeként előállhat. A különböző szervezetek ezekre a munkatermékekre más és más néven hivatkozhatnak. Nem fontos, hogy a szervezetben milyen néven hivatkoznak az adott munkatermékre. Hasonlóan, lehetséges, hogy a szervezetek számos egyenértékű munkatermékkel rendelkeznek, melyek egyetlen munkatermék típusban megállapított jellemzőket tartalmaznak. A munkatermékek formátuma eltérő lehet. A felmérő és a szervezeti egység koordinátorának a feladata, hogy a szervezetben ténylegesen előállított munkatermékeket megfeleltesse a minta felmérési modellben szereplő példáknak.

Munkatermék jellemzője

Példát nyújt a munkatermék típusokhoz esetlegesen társuló jellemzőkre. A felmérő ezeket a szervezeti egység által biztosított mintákban keresheti.

8. táblázat: Munkatermék sablon A folyamat-végrehajtási mutatók megállapítása új fo lyamat estén A Belső Pénzügyi Kontroll Felmérési Modell megállapítása során használt folyamat-referenciamodell a 2006-os COSO útmutatóból származik, amely megfelel az ISO/IEC 15504-2 előírásainak. Ugyanakkor szükséges lehet a konkrét felmérés vonatkozásában egyéb, például informatikai kontrollfolyamatok, vagy kulcsfontosságú üzleti folyamatok bevonására. A folyamat-dimenzió a felmérés összefüggésében történő módosítása (pl. folyamatok hozzáadása vagy éppen törlése) nem érintheti az ISO/IEC 15504-2 előírásainak történő megfelelést. Alapgyakorlatok A végrehajtott alapgyakorlat-készlet jelzést ad arról, hogy milyen mértékben valósult meg a folyamat célja. A jelen felmérési modell minta egyes folyamatait illetően, az új folyamatra vonatkozó alapgyakorlat-készlet le kell fedje a folyamat teljes folyamateredmény készletének megvalósulását. Egy új alapgyakorlat megállapításakor az alábbiakat kell figyelembe venni. Az alapgyakorlat:

• Érthető, világos, egyértelmű; • Alkalmazható a folyamatfelmérési modell szakmai területére vagy tárgykörére; • Megfelelően részletezett és homogén; valamint • Nem túl hosszú (2-4 sor).

Az alapgyakorlat végrehajtásának a felmérés során történő értékelése:

• 10-20 percnél nem vehet több időt igénybe a tárgykör vizsgálatára vonatkozóan, valamint • az alapgyakorlat végrehajtásához kapcsolódó bizonyítékot kell nyújtson.


78

Egyedi munkatermékek Az egyedi (folyamat-specifikus) munkatermékeket a felmérő a folyamat létezésének megállapítása során tudja haszonnal alkalmazni. Például, egy felmérés kezdetekor a szervezeti egység által összeállított munkatermék készlet megállapítása objektív módszer a szervezet-specifikus folyamat készletnek a folyamatfelmérési modell folyamat készletéhez történő hozzárendelésére. Mivel a bemutatott folyamatfelmérési modell tárgyköre a belső pénzügyi kontrollfolyamatokra terjed ki, lehetséges, hogy a modellben már megállapításra került az új folyamatra vonatkozó munkatermék készlet. Mindazonáltal lehetséges, hogy az új folyamat a jelen folyamatfelmérési modell tárgykörén kívül esik. Ebben az esetben új munkatermékeket kell megállapítani és ezek jellemzőinek lehetővé kell tenniük a leképezést az új folyamat és bármely szervezet-specifikus folyamat között.


79

3.5 A Bels ő Pénzügyi Kontroll Felmérési Modell képességi szint jei Az ISO/IEC 15504 szabvány bemutatott mérési keretrendszerének 1. és 2. szintű folyamat-attribútumai a folyamatok eset vagy tevékenység nézetére összpontosítanak, míg a 3. szinttől az attribútumok a szervezeti egység szempontokra koncentrálnak. Ezzel a megfigyeléssel könnyebben érthető, hogyan illeszkednek a COSO Belső Kontroll és az ERM keretrendszerei a bemutatott felmérési modellbe. A Belső Kontroll keretrendszer harmadik dimenziója a működési egység/tevékenység, míg az ERM-ben a harmadik dimenzió a szervezeti felépítés.

18. ábra: A COSO keretrendszerek működési folyamat és szervezeti felépítés dimenziói A COSO ERM kockázatkezelési modelljében a célkitűzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait és ennek keretében meghatározásra kerül: - a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) - vagyis az, hogy a stratégia

vonatkozásában a vezetés és a felügyeleti testület mekkora kockázatot tart elfogadhatónak, és - a kockázati tolerancia (risk tolerance) - vagyis az, hogy a meghatározott kockázatviselési szinten

a szervezeti céloktól milyen mértékű eltérés engedhető meg. Az ISO/IEC 15504 folyamatfelmérési modellben a cél folyamat-profilok a kitűzött folyamatképesség azon szintjét határozzák meg, melyet a felmérés szponzora a szervezet kockázatviselési szintje és kockázati toleranciája vonatkozásában alkalmasnak talál. A 19. ábra bemutatja, hogy míg a COSO Belső Kontroll keretrendszer komponensei és alapelvei az ISO/IEC 15504 szabványnak megfelelő felmérési modell folyamat-dimenzióját alkotják, addig a vállalati kockázatkezelés (ERM) alapelemei a folyamatképesség-dimenziójának, és az egyes szintekhez tartozó folyamat-attribútumok mutatóinak meghatározásához járulnak hozzá a COSO célkitűzés-kategóriák megfelelő leképezésével.

Source: www.coso.org

Monitoring


Control Activities

Risk Response

Risk Assessment


Objective Setting


STRATEGIC

OPERATIONS

REPORTING

COM

PLIANCE

ENTITY -LEVEL

DIVISION

BUSINESS UNIT

SUBSI DI ARY

Monitoring


Control Activities

Risk Response

Risk Assessment


Objective Setting


STRATEGIC

OPERATIONS

REPORTING

COM

PLIANCE

ENTITY -LEVEL

DIVISION

BUSINESS UNIT

SUBSI DI ARY


80

19. ábra: A COSO modellek alkalmazása az ISO/IEC 15504 szerinti folyamatfelmérésben A 20. sz. ábra a képességi szintek és a COSO célkitűzés-kategóriái között alkalmazott leképezést mutatja be:

20. ábra: Az ISO/IEC 15504 képesség szintjei és a COSO célkitűzés-kategóriák 1. szint – Megfelelés (Végrehajtott folyamat)

A belső kontrollfolyamat működik és ésszerű bizonyosságot nyújt a vonatkozó külső és belső szabályozásnak megfelelő összes előírt eredmény elérésére. Az 1. szinten a pénzügyi beszámolási tevékenységeket olyan szempontból kell vizsgálni, hogy azok bizonyítják-e a pénzügyi beszámolás (tevékenységeinek és kontrolljainak) megfelelési célkitűzéseit támogató belső pénzügyi kontrollfolyamat céljának teljesülését és az eredmények létezését.


81

2. szint – Megbízható beszámolás (Irányított folyam at)

A fent ismertetett Végrehajtott folyamat ezen a szinten már irányított (tervezett, monitorozott és korrigált) formában bevezetésre került és munkatermékei megfelelően vannak kialakítva, kontrollálva és karbantartva.

Az 1. szint (85%-nál nagyobb mértékű) elérésén túl, a belső kontrollfolyamat irányított és ésszerű bizonyosságot nyújt a megbízható beszámolás célkitűzéseinek teljesülésére. A 2. szinten a pénzügyi beszámolási tevékenységeket olyan szempontból kell vizsgálni, hogy a pénzügyi beszámolási tevékenységek és kontrollok megbízhatósági célkitűzéseinek eredményességét igazoló, a belső pénzügyi kontrollfolyamathoz kapcsolódó végrehajtás-irányítási és munkatermék-kezelési mutatók felmérhetőek-e.

3. szint – Eredményes m űködés (Kialakított folyamat)

A fent ismertetett Irányított folyamat ezen a szinten a folyamateredmények teljesítésére képes meghatározott folyamat alkalmazásával bevezetésre került. Az 1. és 2. szint (85%-nál nagyobb mértékű) elérésén túl, a belső kontrollfolyamat beépül a működési folyamatokba és ésszerű bizonyosságot nyújt az "eredményes és hatékony működés" célkitűzéseinek teljesülésére. A 3. szinten a (pénzügyi beszámolási) tevékenységeket a szervezet (működési egység) politikáival és eljárásaival együtt olyan szempontból kell vizsgálni, hogy a szervezet (működési egység) eredményes és hatékony működési célkitűzéseinek eredményességét igazoló, a pénzügyi beszámolás által érintett üzleti folyamatokkal kapcsolatos folyamat-meghatározás és folyamat-alkalmazás mutatók felmérhetőek-e.

4. szint – Stratégiai célok (Kiszámítható folyamat)

A fent ismertetett Kialakított folyamat ezen a szinten meghatározott keretek között működik a folyamateredmények teljesítése céljából. Az 1., 2. és 3. szint (85%-nál nagyobb mértékű) elérésén túl, a belső kontrollfolyamat beépítésre került a vállalati/szervezeti kockázatkezelési rendszerbe és ésszerű bizonyosságot nyújt a felső szintű célokhoz kapcsolódó stratégiai célkitűzések teljesülésére, a szervezet küldetésével összhangban és azt támogatva.

A 4. szinten a folyamatot szervezeti szintű "kulcs kontroll"-ként abból a szempontból kell vizsgálni, hogy azokat hogyan alkalmazzák a stratégia meghatározása során és a szervezet egészében a vállalati/szervezeti szintű kockázatkezelés rendszerében, illetve hogy a szervezet (pénzügyi beszámoláshoz kapcsolódó) stratégiai célkitűzéseinek eredményességét igazoló folyamatmérés és a folyamatellenőrzés mutatók felmérhetőek-e.


82

3.6 A Bels ő Pénzügyi Kontroll Felmérési Modell megfelel ősége A bemutatott Belső Pénzügyi Kontroll Felmérési Modell célja, hogy támogassa belső kontrollrendszer vállalati kockázatkezelési elvek szerinti vizsgálatát az ISO/IEC 15504-2 szerinti folyamatképesség felmérésével. A Belső Pénzügyi Kontroll Felmérési Modell a 2006-ban kiadott „Internal Control over Financial Reporting — Guidance for Smaller Public Companies” című COSO útmutató felhasználásával készített folyamat-referenciamodellen alapul. A folyamatfelmérési modell folyamat-dimenziójában a modell lefedi a folyamat-referenciamodell összes folyamatát. A felmérési mutatók alkalmazásával a folyamatfelmérési modell a folyamat-referenciamodell folyamataira vonatkozóan a folyamatképesség kétdimenziós nézetét nyújtja. Az alkalmazott felmérési mutatók az alábbiak:

• alapgyakorlatok és munkatermékek; valamint • általános gyakorlatok, általános erőforrások és általános munkatermékek.

Ezek egy bevezetett folyamat végrehajtásának és képességének megítélését támasztják alá. A folyamatfelmérési modell egyes folyamatai tárgykörük tekintetében megegyeznek a folyamat-referenciamodellben megállapított folyamatokkal. Az egyes alapgyakorlatok hozzárendelésre kerülnek az általuk vizsgált folyamateredményekhez, a 21. sz. ábrán bemutatott módon.

21. ábra: Alapgyakorlatok hozzárendelése a 2006-os COSO útmutató folyamateredményeihez

Base Practice

Base Practice

Addressed Outcomes

Addressed Outcomes

Base Practice

Base Practice

Addressed Outcomes

Addressed Outcomes


83

Minden munkatermék bementként vagy kimentként kapcsolódik a folyamat egészéhez. A jelen folyamatfelmérési modellben szereplő egyes folyamat-attribútumok a 4. szintig megegyeznek a mérési keretrendszerben megállapított folyamat-attribútumokkal. A vállalati kockázatkezelés (ERM) alapelemei a folyamatképesség-dimenziójának, és az egyes szintekhez tartozó folyamat-attribútumok mutatóinak meghatározásához járulnak hozzá a COSO célkitűzés-kategóriák megfelelő leképezésével. Ennek alapján az általános gyakorlatokat úgy kell kialakítani, hogy az egyes folyamat-attribútumok jellemzőit vizsgálják, illetve az általános erőforrások és általános munkatermékek a folyamat-attribútum egészére vonatkozzanak. Ezek következtében a COSO-alapú folyamatfelmérési modellt használó felmérések eredményei közvetlenül egy folyamat-attribútum besorolás készletként kerülnek kifejezésre a felmérés tárgykörébe tartozó egyes folyamatok esetében. Átszámítás vagy konverzió nem szükséges.


84

4. Az ISO/IEC 15504 szabvány alkalmazása a kontroll kockázat értékelésére

4.1 A kontrollkockázat értékelésére alkalmazott mód szertan Az ISO/IEC 15504-4 szabvány útmutatást ad arra vonatkozóan, hogy hogyan kell az előírásoknak megfelelő folyamatfelmérést alkalmazni egy folyamatjavító programban vagy a folyamatképesség meghatározásában.

Az ISO/IEC 15504-4 szabvány leírja a folyamatjavítás (PI) és a folyamatképesség-meghatározás (PCD) folyamatokat, és azok alkalmazásának módját, illetve útmutatást ad a következőkhöz: • Folyamatfelmérés használata • Folyamat-referenciamodell(ek) kiválasztása • Cél képesség beállítása • Felmérési input meghatározása • Folyamattal kapcsolatos kockázat meghatározása az értékelés outputjából • Folyamatjavítás lépései • Folyamatképesség meghatározás lépései • A felmérés output elemzésének összehasonlíthatósága

A folyamatjavítás (PI – Process Improvement) kontextusában a folyamatfelmérés eszközt biztosít a szervezeti egység jellemzéséhez a kiválasztott folyamatok képességére vonatkozóan. Egy megfelelő folyamatfelmérés eredményének elemzése a szervezeti egység üzleti céljainak tükrében meghatározza a folyamatokra vonatkozó erősségeket, gyengeségeket és kockázatokat. Ez pedig segít annak meghatározásában, hogy a folyamatok eredményesek-e az üzleti célok elérésében, és ösztönzik-e a javulást. A belső kontrollrendszer megcélzott képességi szintjeit illetve attribútumait a folyamatjavítás vonatkozásában a kontrollrendszerre vonatkozó üzleti (működési) célok és a vonatkozó kockázati tolerancia mutatóiként lehet értelmezni. A folyamatképesség meghatározása (PCD – Process Capability Determination) egy vagy több megfelelő folyamat felmérés eredményének elemzésével foglalkozik az üzleti tevékenységgel kapcsolatos erősségek, gyengeségek és kockázatok meghatározására egy adott szervezeti egységen belül kiválasztott folyamatok felhasználásával. Egy folyamatképesség meghatározás alapvető inputot biztosíthat a szabályszerűségi ellenőrzés és a felügyeleti vizsgálat számára. A folyamatképesség meghatározása ugyanakkor csak a folyamattal kapcsolatos kockázatokat veszi figyelembe, mint például a Belső Pénzügyi Kontrollfolyamatok esetében. A belső kontrollrendszer tekintetében a folyamatképesség meghatározása kapcsán vizsgált (előírt) képességi szinteket illetve ezek attribútumait a magasabb célkitűzés-kategória követelményeinek elérése vonatkozásában a kockázatviselési szint (hajlandóság) mutatóinak lehet tekinteni. A kontrollkockázat alatt annak kockázatát értjük, hogy a kontrollrendszer egyes folyamatai, vagy egyes kontrolltevékenységek a tervezett hatást, vagyis a maradvány kockázat kívánt értéken (kockázatviselési szinten) belül tartását, nem érik el. Az átfogó vállalati kockázatkezelés (ERM) az összes stratégiai, teljesítménybeli, jelentéstételi és szabályszerűségi célt figyelembe veszi, de a belső kontroll (folyamatokra vonatkozó) kockázatértékelése alkalmazási területét tekintve azokra a lényegi gyengeségekre korlátozódik, melyeket a belső kontrollok időben nem akadályoznak meg vagy nem tárnak fel. Ugyanakkor az eredendő (inherent) üzleti kockázatok és kontrollkockázatok határozottan nem függetlenek egymástól,


85

és az üzleti kockázatvállalási hajlammal (a kockázatviselési szintek elfogadásával) és a kockázati toleranciával (üzleti céloktól való eltérések elfogadásával) kapcsolatos döntések jelentősen befolyásolják a kontrollkockázat szintjeinek elfogadását. A bemutatásra kerülő kockázatértékelési módszertan általánosan alkalmazható minden, az ISO/IEC 15504-2 szabvány követelményeinek megfelelően leírt üzleti (működési) folyamat folyamatfelmérési eredményeinek felhasználására. Az általános üzleti (működési) folyamatokra alkalmazott képesség-meghatározás a belső kontrollrendszer kerete nélkül is megfelelő lehet a kockázatviselési szint mutatóinak meghatározására. Cél képesség beállítása A szponzornak („a szervezeti egységen belüli vagy kívüli természetes vagy jogi személyiség, aki igényli a felmérés lefolytatását, és pénzügyi vagy más erőforrásokat biztosít az elvégzéshez” - ISO/IEC 15504-1, 3.13) meg kell tudnia határozni, hogy a kiválasztott folyamat-referenciamodellből mely folyamatok fontosak, vagy legfontosabbak az előre definiált (PCD) követelményhez vagy egyéb üzleti célokhoz (PI). Szintén a szponzornak kell meghatároznia a cél folyamat-profilt, bemutatva, hogy mely folyamat-attribútumok szükségesek az egyes kiválasztott folyamatokhoz. Meg kell adni az egyes folyamat-attribútumok szükséges rangsorolását is. Csak a „Hiánytalanul teljesült” vagy a „Nagyjából teljesült” rangsorolásokat kell beállítani. A „Részben teljesült” rangsorolás beállítása értelmetlen, mivel ez azt jelezné, hogy a teljesülés bizonyos szempontokból előre megjósolhatatlan. A „Nem szükséges” olyan folyamat-attribútum esetén kerül jelzésre, amikor a folyamat-attribútumot nem tartják szükségesnek. A cél folyamat-profilok sora kifejezi azt a célzott képességet, melyet a szponzor megfelelőnek ítél meg (a szervezet üzleti kockázatviselési szintjéhez és kockázati toleranciájához). Az ISO/IEC 15504-2 szabvány által leírt mérési keretben egy adott képességi szint eléréséhez az alatta lévő képességi szintek folyamat-attribútumainak (85%-nál nagyobb) „Hiánytalanul teljesült” értéke szükséges. Ez a szigorú megkötés a vizsgált vagy elérendő (cél) képességi szintek vonatkozásában a szervezet kockázatviselési hajlandóságát írja elő. A cél képességi szintek folyamat-attribútumának (50%-nál nagyobb) „Nagyjából teljesült” és „Hiánytalanul teljesült” értékei a vizsgálatba bevont kontrollfolyamatok cél képességi szintjeinek teljesülésében (mint a kontrollrendszerre vonatkozó specifikus működési célokban) 50%-nál kisebb kontroll-kockázati toleranciaértéket jelentenek. Ugyanakkor figyelembe kell venni azt is, hogy a kapcsolódó („valódi”) szervezeti és működési (üzleti) célok mutatóinak mérését a cél képességi szintek attribútumainak támogatnia kell. A kontrollrendszer működésére vonatkozó célkitűzések állításakor tehát olyan cél képességet, vagyis kontroll-kockázati toleranciákat és alátartozó kontroll-kockázatviselési szinteket kell meghatározni, melyek attribútumai egyúttal közreműködnek a szervezeti és működési (üzleti) célok teljesülésének mérésében is. Például a 3. szintű folyamat-meghatározás és folyamat-alkalmazás általános gyakorlatai, erőforrásai és munkatermékei a szervezet számára fontos működési folyamatok olyan szabályozását kell, hogy jelentsék, melyben a több alkalommal vagy akár rendszeresen, esetleg több szervezeti egység által végrehajtott - meghatározott - üzleti tevékenységek eredményességét azonos mutatókkal mérik. 2. szintű képesség-cél esetén elsősorban a projektmenedzsment ismert metrikáit (pl. az ütemezéssel, erőforrás-kezeléssel, változás-kezeléssel, stb. összefüggő mutatószámokat) alkalmazhatjuk a vizsgált kontrollfolyamathoz kapcsolódó üzleti tevékenység (pl. pénzügyi beszámoló készítés) megbízhatósági céljainak mérésére. Az 1. szintű képesség-cél a kapcsolódó üzleti tevékenység kapcsán végrehajtott kontrollfolyamat (pl. a pénzügyi beszámolási célok meghatározása) eredményeit, vagy azok hiányát kell az üzleti tevékenység céljaihoz kapcsolni. A 9. sz. táblázat példa cél illetve felmért folyamat profilokat mutat be 5 kiválasztott belső pénzügyi kontrollfolyamathoz:


86

Folyamat Folyamat -attribútumok Végrehajtott Irányított Kialakított Kiszámítható Optimalizáló PA

1.1 PA 2.1

PA 2.2

PA 3.1

PA 3.2

PA 4.1

PA 4.2

PA 5.1

PA 5.2

IFC.CE.IEV Feddhetetlenség és etikai értékek

Cél F L L Felmért F F L

IFC.RA.FRO Pénzügyi beszámolás céljai

Cél F F F F F L L Felmért F F F F L L L

IFC.CA.PP Politikák és eljárások

Cél F F F L L Felmért F P L F L

IFC.IC.IC Belső kommunikáció

Cél F F F F F Felmért P N N N N

IFC.MO.RD Hiányosságok jelentése

Cél F F L L Felmért L L L L L

Jelmagyarázat F Hiánytalanul teljesült L Nagyjából teljesült P Részben teljesült N Nem teljesült Nem szüks./nem felmért

9. táblázat: Cél és felmért folyamatprofilok példája A folyamat-attribútumok rangsorolásának támogatásához szükséges objektív bizonyíték mennyisége és típusa (pl. a verbális vagy dokumentált kijelentések száma) a felmérés szándékától és alkalmazási területétől függ (eltérő lehet a PI-re és a PCD-re). A folyamatra vonatkozó kockázat megbecsülhető a cél és a felmért folyamatprofilok közötti eltérések meglétéből.


87

Egy eltérés potenciális következménye attól függ, hogy milyen a képességi szint és a folyamat-attribútumok eltérése az azonosítás helyén. A következőkben bemutatunk néhány Belső Pénzügyi Kontrollal kapcsolatos megfigyelést és példát (a fenti példában szereplő folyamat-profilok használatával): Az 1. szintű PA 1.1 folyamat-végrehajtási attribútum hiányosságának tipikus következménye lehet az, hogy a folyamat nem éri el az összes megadott/elvárt eredményt (a vonatkozó COSO alapelv szerinti attribútumokat), és nincs (elegendő) bizonyosságot adó dokumentum az adott kontrollfolyamat végrehajtására. Pl: A vezetés pénzügyi beszámolási területen dolgozókkal szemben támasztott elvárásai nem megfelelően dokumentáltak, így a külső vagy belső körülmények változásai nem kerülnek figyelembe vételre. A 2. szintű PA 2.1 végrehajtás-irányítás attribútum hiányosságának tipikus következménye a határidők be nem tartása, erőforrás allokációs problémák, felelősségi kérdések tisztázatlansága, kontrollálatlan döntések, stb. Pl: A vezetés és felügyelő testület közti kommunikáció nem tervezett vagy ütemezett, a hiányosságok nem kerülnek időben feltárásra, főkönyvi zárások idején felhatalmazás nélküli döntések születnek, a szabályozási dokumentumok nem kerülnek rendszeresen felülvizsgálat alá. A 2. szintű PA 2.2 munkatermék-kezelés attribútum esetében a hiányosság okozhatja a beszámolók minőségi problémáit, párhuzamos adatrögzítéseket, inkonzisztens dokumentációkat, újrafeldolgozási költségeket, konszolidációs problémákat. Pl: Szabályozási dokumentumok eltérő verziói vannak használatban, a beazonosított problémákat nem teszik közzé, a belső kommunikáció nincs szisztematikusan dokumentálva, illetve megőrizve. A 3. szintű PA 3.1 folyamat-meghatározási hiányosság esetén következmény lehet, hogy a jó gyakorlati példák és levont tanulságok nem kerülnek figyelembe vételre a szabályozás felülvizsgálatakor, vagy a kontrollfolyamatok eredményei nem azonosíthatóak az üzleti/működési folyamatokban. Pl: A belső kommunikációs folyamatok nem megfelelő leírása előidézheti, hogy a beosztottak által észlelt súlyos hiányosságok vagy a javító célú javaslatok nem jutnak el a felügyelő testülethez. A 3. szintű PA 3.2 folyamat-alkalmazási hiányosság esetén következmény lehet, hogy az üzleti/működési folyamatokba beépülő pénzügyi kontrollok alkalmazásai nem konzisztensek, vagy a felismert lehetőségek nem kerülnek kiaknázásra. Pl: A felügyelő testület nem veszi komolyan a belső ellenőrzés tanácsadói szerepét, a pénzügyi beszámolási követelményeket a kockázat felmérés során nem megfelelően kapcsolják az üzleti/működési folyamatokhoz, az IT kontrollokat nem az informatikai környezet komplexitásának megfelelően alakítják ki. A 4. szintű PA 4.1 folyamatmérési hiányosság esetén következmény lehet, hogy a kulcs kontrollfolyamatok nincsenek megfelelően azonosítva, megtervezve, vagy nem megfelelően működnek annak érdekében, hogy az üzleti célok és a működési folyamatokkal kapcsolatos teljesítmény-célok elérésre kerüljenek, illetve a célok elérését veszélyeztető problémák időben beazonosításra kerüljenek. Pl: A kulcs kontrollfolyamatok kapcsán a kivételeket a kockázat felmérés során nem kezelik. A 4. szintű PA 4.2 folyamatellenőrzési hiányosság esetén következmény lehet, hogy a kvantitatív teljesítmény-célok és a meghatározott üzleti célok ellentétesek. Pl: Túl rövid havi, vagy éves zárási határidők kiszámíthatatlan megbízhatóságú becslésekhez, illetve könyvelési elhatárolásokhoz vezethetnek. Az 5. szintű eltérések a folyamatjavító képességre vonatkoznak. A folyamatfelmérési eredmények folyamatjavításban történő felhasználása később kerül bemutatásra.


88

Kontrollfolyamattal kapcsolatos kockázat elemzése Az ISO/IEC 15504-4 A melléklete bemutat egy alább összefoglalt példaértékű megközelítést. A folyamat-attribútum eltérése – melyet az előző részben mutattunk be – besorolható „Nincs”, „Kisebb” és „Nagyobb” kategóriákba a cél és a felmért rangsorolások közötti eltérés alapján. Pl. az egylépéses eltérést kisebbnek lehet értékelni, a két vagy többlépéses eltérés nagyobb rést tételez fel a „Hiánytalanul teljesült” cél attribútum esetében. A „Nagyjából teljesült” célnál még az egylépcsős eltérés („Részben teljesült”) is jelentős távolságot jelent. A probléma előfordulásának valószínűsége a folyamat-attribútum eltérések mértékéből és az előfordulás szerinti képesség szintből adódik. A képesség szint eltéréseket a következők szerint lehet kategorizálni: Nincs - Nincsenek nagyobb vagy kisebb eltérések Enyhe - Nincs eltérés 1. szinten, csak kisebb eltérések vannak magasabb szinteken Jelentős - Kisebb eltérés 1. szinten, vagy egy nagyobb eltérés feljebb Lényegi - Jelentős eltérés 1. szinten, vagy egynél több jelentős eltérés feljebb A folyamatra vonatkoztatott kockázat függ mind az azonosított eltérésből adódó problémafelmerülés valószínűségétől, mind pedig a lehetséges következménytől. Általában a következmények az eltérés helye szerinti képesség szintektől függnek. A 10. sz. táblázatban bemutatottak szerint a magas kockázat egy alacsonyabb képesség szint lényeges eltéréséből ered.

Következmény

Az eltérés helye szerinti képesség szint jelzi

Valószín űség

A képesség szint eltérésének mértéke jelzi

Enyhe Jelentős Lényegi

5 – Optimalizáló Alacsony kockázat Alacsony kockázat Alacsony kockázat

4 – Kiszámítható Alacsony kockázat Alacsony kockázat Közepes kockázat

3 – Kialakított Alacsony kockázat Közepes kockázat Közepes kockázat

2 – Irányított Közepes kockázat Közepes kockázat Magas kockázat

1 – Végrehajtott Közepes kockázat Magas kockázat Magas kockázat

10. táblázat: Képesség szintekhez társított kockázatok Ha több képesség szinten kerülnek kockázatok beazonosításra, akkor a legmagasabb kockázati értéket a folyamattal kapcsolatos kockázatnak kell tekinteni. A bemutatott megközelítés alapján a kockázatelemzésnek meg kell határoznia, hogy mely folyamat vagy folyamatok kockázatai jelentenek jelentős kontroll hiányosságot vagy a kontrollrendszer lényeges (súlyos) gyengeségét. A 11. sz. táblázat példákat hoz a Belső Pénzügyi Kontrollal kapcsolatos kockázatértékelésre a 9. sz. táblázat példa folyamatprofiljainak felhasználásával, ahol a folyamat profilok eltérést mutatnak 3 belső pénzügyi kontrollfolyamatnál:


89

• IFC.RA.FRO – Pénzügyi Beszámolók Céljai; • IFC.CA.PP - Politikák és Eljárások; és • IFC.IC.IC – Belső Kommunikáció

IFC.RA.FRO – Pénzügyi beszámolás céljai 1. szint 2. szint 3. szint 4. szint

PA 1.1 PA.2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2

Cél profil F F F F F L L

Felmért profil F F F F L L L Folyamat-attribútum

eltérése - - - - Kisebb - -

Képesség szint eltérése - - Enyhe -

Képesség szint kockázata - - Alacsony -

Folyamat kockázata Alacsony

IFC.CA.PP - Politikák és Eljárások 1. szint 2. szint 3. szint 4. szint

PA 1.1 PA.2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2

Cél profil F F F L L - -

Felmért profil F P L F L - - Folyamat-attribútum

eltérése - Nagy Kisebb - - - -

Képesség szint eltérése - Jelentős - -

Képesség szint kockázata - Közepes - -

Folyamat kockázata Közepes

IFC.IC.IC – Belső kommunikáció 1. szint 2. szint 3. szint 4. szint

PA 1.1 PA.2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1

PA 4.2

Cél profil F F F F F - -

Felmért profil P N N N N - - Folyamat-attribútum

eltérése Nagy Nagy Nagy Nagy Nagy - -

Képesség szint eltérése Lénye-

ges Lényeges Lényeges -

Képesség szint kockázata Magas Magas Közepes -

Folyamat kockázata Magas 11. táblázat: Belső pénzügyi kontrollal kapcsolatos kockázatértékelési példák A vizsgált kontrollfolyamatok megállapított kontroll-kockázati besorolásában az alacsony kockázat a kockázatviselési szinten belüli nem jelentős hiányosságot; míg a közepes kockázat a kockázatviselési szintet meghaladó jelentős hiányosságot jelent. A magas kockázat a kontrollrendszer lényeges (súlyos) gyengeségét mutatja.


90

4.2 A folyamatfelmérés eredményeinek felhasználása A vállalati kockázatkezelés alkalmazására a 2006-os COSO útmutatóra épülő, az ISO/IEC 15504-2 szabványnak megfelelő Belső Pénzügyi Kontroll Felmérési Modellt mutattuk be. Ennek keretében alkalmaztuk az ERM modell kockázatkezelési megközelítését a belső kontrollrendszer vonatkozásában:

• a kockázatviselési hajlandóság (kockázatviselési szint) előzetes meghatározására a belső kontrollrendszer folyamatainak képességi profiljának alkalmazásával

• a kockázati tolerancia meghatározására a kulcs kontrollfolyamatok vonatkozásában • az üzleti eredményesség (kockázati tolerancia) mérőszámainak folyamat-attribútumokhoz

való kapcsolására • kockázatértékelésre a belső kontrollrendszer cél és mért folyamat-attribútum értékeinek

összehasonlításával Ennek alapján az ISO/IEC 15504 szabvány szerinti Belső Pénzügyi Kontroll Felmérés üzleti szempontjait és azok eredményeit tekintjük át. Mivel a megfelelő belső kontrollok kidolgozása és működtetése egyértelműen a vezetés felelőssége, a Belső Pénzügyi Kontrollfolyamatfelmérés szponzori feladata a szervezet meghatározott üzleti szempontjaira vonatkozik. A Belső Pénzügyi Kontrollrendszerek iparágankénti, szektoronkénti összehasonlítását vizsgálva, több hasonlóságot találunk, mivel a felmérések leginkább a 2. szint (megfelelés és megbízható beszámolás) céljaival kapcsolatos témákra összpontosítanak. A 3. szint (eredményes és hatékony működés) céljai inkább a működési kontrollok átfogó rendszerével foglalkoznak, amelyek iparáganként eltérhetnek. Mindazonáltal, bizonyos szabályozási körülmények esetén a Belső Pénzügyi Kontrollrendszereknek a 3. szinten kell működniük, különösen a bankszektorban és azokban a közintézményekben, amelyek közpénzek kezelésével és elosztásával foglalkoznak, mivel ezek a szervezetek a gazdaságban és a társadalomban sajátos szerepet töltenek be. A magánszféra szervezeteiben a Belső Pénzügyi Kontroll megfelelő szintje a szervezet méretétől, típusától és a vonatkozó szabályozásoktól (pl. SOX) függően eltérő lehet. Aligha mondható, hogy a szabályozási (pl. SOX) megfeleléshez az 1. szintnél magasabbra lenne szükség a pénzügyi beszámolással kapcsolatban kiválasztott vagy akár az összes kontrollfolyamatra (vagy kategóriára) vonatkozóan. Az átfogó kontrollok előnyeinek és költségeinek összehasonlításával minden esetben egyedileg kell megítélni az üzleti kockázatokat annak eldöntéséhez, hogy melyik szint „elégséges” a szervezet számára. A 3. és 4. szint (működési eredményességi és stratégiai) céljai között szereplő szervezeti kockázatkezelési elvek szintén segíthetnek a szervezet céljainak eléréséhez szükséges kulcsfontosságú kontrollfolyamatok szükséges vagy optimális szintjének megállapításához. A felmérés szponzorának („a felmérés tárgyát képező szervezeti egységhez tartozó vagy azon kívüli olyan személy vagy egység, amely előírja a felmérés végrehajtását és amely a végrehajtáshoz szükséges pénzügyi vagy egyéb erőforrásokat biztosítja” - ISO/IEC 15504-1, 3.13) kell meghatároznia, hogy a kiválasztott folyamat-referenciamodell mely folyamatai a (leg)fontosabbak az előre (pl. külső szabályzás által) meghatározott (a folyamatképesség meghatározáshoz használt) előírások vagy a (folyamat javítást célzó) üzleti célkitűzések szempontjából. Hasonlóan, a szponzornak kell kijelölnie azt a folyamat-profil célkitűzést, amely bemutatja, hogy mely folyamat-attribútumokra van szükség az egyes kiválasztott folyamatokhoz. Ezen kívül az egyes folyamat-attribútumok szükséges besorolását is meg kell adni. A folyamat-profil célkitűzések összessége azt a képesség célkitűzést fejezi ki, amely a szponzor megítélése szerint a szervezet üzleti kockázatokra való reagálásának szintje és a kockázati tolerancia szempontjából megfelelő. A folyamat-profil célkitűzésnek a belső kockázatfelmérésen, a kockázatokra való reagálás szintjén és a kockázat tolerancián, valamint költség/haszon megfontolásokon kell alapulnia.


91

Míg az általános szervezeti szintű kockázatkezelés az összes stratégiai, működés, beszámolási és megfelelési célkitűzésre vonatkozik, addig a belső kontroll (folyamatokkal kapcsolatos) kockázatfelmérés tárgyköre a belső kontrollok által időben nem megelőzött vagy feltárt jelentős hiányosságokra, illetőleg lényeges (súlyos) gyengeségekre koncentrál. Az ISO/IEC 15504 szabvány szerinti folyamatfelmérés eredményein végrehajtott kontrollkockázat értékelés visszajelzést ad a vezetés számára arra vonatkozóan, hogy a felmért és célként kitűzött képesség profilok között meglévő eltérések a szponzor szempontjából elfogadható kontrollkockázati szinten vannak-e. Ez a megközelítés rugalmasabb és testre szabottabb módszert biztosít a belső (pénzügyi) kontrollok rendszerének azon értékelésére, amely az érintett szervezetek, tevékenységek, programok és funkciók hatékonyságára és/vagy eredményességére vonatkozó részletes vizsgálatok tárgykörének meghatározásához szükséges.


92

4.3 Az irányítási képesség szintjeinek alkalmazása a belső pénzügyi kontrollfolyamatokra Az ISO/IEC 15504 szabvány bemutatott mérési keretrendszerének 1. és 2. szintű folyamat-attribútumai a folyamatok eset vagy tevékenység nézetére összpontosítanak, míg a 3. szinttől az attribútumok a szervezeti egységre vonatkozó szempontokra koncentrálnak. Ezzel a megfigyeléssel könnyebben érthető, hogyan illeszkednek a COSO belső kontroll és az ERM keretrendszerei a bemutatott felmérési modellbe. A kontroll-, illetve kockázatkezelési alkotóelemek és a célkitűzés-kategóriák mellett a belső kontroll keretrendszer harmadik dimenziója a működési egységeket és tevékenységet leíró operatív folyamatok, míg az ERM-ben a működési egység szintet is magába foglaló harmadik dimenzió a szervezeti felépítés.

22. ábra: Az ISO/IEC 15504 képesség szintjei és a COSO célkitűzés-kategóriák A 22. sz. ábra a képességi szintek és a COSO célkitűzés-kategóriái között alkalmazott leképezést mutatja be, vagyis azt, hogy a folyamatképességi szintek miként alkalmazhatóak a COSO modell célkitűzés-kategóriáinak eredménymutatóiként. A folyamat- és a képesség-dimenziókat tartalmazó folyamatfelmérési modell túlmutat a „belső kontroll kérdőívek” és az ellenőrző listák használatán, hiszen figyelembe veszi és alkalmazza a képességi szintekre vonatkozó felmérési mutatókat mind a kockázatviselési szint, mind pedig a kockázati tolerancia mérésére is. Az ISO/IEC 15504 szabvány előírásainak megtartása segít ennek a fejlett mérési megközelítésnek a szektoronként eltérő szabványokat alkalmazó belső, külső és felügyeleti ellenőrzési eljárásokba történő bevezetésében.


93

Az ISO/IEC 15504 folyamatfelmérési modellben a cél folyamat-profilok a kitűzött folyamatképesség azon szintjét határozzák meg, melyet a vezetés (vagy a felmérés megbízója) a szervezet kockázatviselési szintje és kockázati toleranciája vonatkozásában alkalmasnak talál. A megfelelési célok teljesülése a végrehajtott foly amat szintjén (1. szint) A felmérési modell folyamat-dimenziója ugyanazokat a folyamat meghatározásokat alkalmazza, mint a 2006-os COSO útmutató alapelvei. A folyamat-végrehajtási attribútum elérése azt jelzi, hogy a vezetés pontosan ismeri a belső kontrollfolyamat alapvető előírásait, valamint hogy a pénzügyi beszámolási tevékenységeket a belső kontrollfolyamat céljának és szükséges eredményeinek eseti alapon történő figyelembe vételével végzik. Vannak bizonyítékok a kontrollfolyamat céljának elérésére, bár a célt nem rendszerbe foglaltan érik el. Mivel az 1. szint felmérési eredményei leginkább a pénzügyi beszámoláshoz kapcsolódó üzleti tevékenységek iparági és a számviteli szabályozási előírásainak elérésére összpontosítanak, ezek az eredmények jellemzően egy későbbi folyamatjavítás során alkalmazhatóak. Ha a COSO alapú folyamat-referenciamodell összes (vonatkozó) belső pénzügyi kontrollfolyamatában elérik a megfelelés célokat, az mind a belső, mind a külső környezetben jó képet és megítélést alkot a szervezet vezetéséről. Mindazonáltal, azok a külső testületek, amelyek tevékenysége túlmutat a pénzügyi beszámolók időszakos ellenőrzésén, nem tudják ezeket az eredményeket felhasználni. A többszintű kontroll vagy ellenőrzési eljárások nem tudják a különböző szinteken újra hasznosítani az 1. szint felmérésének eredményeit, például a komplex európai finanszírozási konstrukciók vagy a bankfelügyeleti funkciók esetében. A magánszektorban, még a SOX által megszabott szigorú szabályozási előírások mellett is, az érdekeltek megfelelően tudják felhasználni a belső pénzügyi kontrollfolyamatok teljes készletére vonatkozó 1. szintű felmérési eredményeket. Mivel ezek a folyamatok átfogó keretrendszert alkotnak, a folyamatok céljának és eredményeinek egymást kiegészítő jellege még a pénzügyi beszámolás megbízhatóságára vonatkozóan is ésszerű bizonyosságot nyújt, összhangban a 2006-os COSO Útmutató céljával. Mindazonáltal, az üzleti tevékenységek és a szervezeti felépítés összetettsége, valamint a kockázatkezelés elveinek alkalmazhatósága a vezetést és a tulajdonosokat arra ösztönzi, hogy mérlegeljék a kontrollkockázatok alacsonyabb szintjével járó előnyöket. A megbízható beszámolás céljainak teljesülése az ir ányított folyamat szintjén (2. szint) Ezen a szinten a végrehajtott kontrollfolyamat (amely eléri az 1. szint megfelelés céljait) már irányított (tervezett, monitorozott és korrigált) formában bevezetésre került és munkatermékei megfelelően vannak kialakítva, kontrollálva és karbantartva. Az 1. szint (85%-nál nagyobb mértékű) elérésén túl, a belső kontrollfolyamat irányított és ésszerű bizonyosságot nyújt a megbízható beszámolás célkitűzéseinek teljesülésére. A 2. szinten a pénzügyi beszámolási tevékenységeket olyan szempontból kell vizsgálni, hogy a pénzügyi beszámolási tevékenységek és kontrollok megbízhatósági célkitűzéseinek eredményességét igazoló, a belső pénzügyi kontrollfolyamathoz kapcsolódó végrehajtás-irányítási és munkatermék-kezelési mutatók felmérhetőek-e. Ezen a szinten nem csupán a pénzügyi beszámolási (és az azzal kapcsolatos) tevékenységek kerülnek rendszerbe foglaltan végrehajtásra (a szervezetet átfogó belső kontrollfolyamatok 1. szinten történt megvalósulása esetén), hanem már a belső kontrollfolyamat végrehajtása és munkatermékei is megfelelően vannak irányítva; illetve ezek újra felhasználható bizonyítékokat nyújtanak a szélesebb körű külső vagy állami felügyeleti vizsgálatokhoz. A 2. szinten elért alacsonyabb kontrollkockázati szint emeli az összes pénzügyi beszámolással kapcsolatos tevékenység eredményének hitelességét.


94

Az összetett intézményi felépítés, valamint a komplex üzleti vagy program/projekt tevékenységek minden iparágban megkövetelik az irányított folyamat képesség szintjét, amely ilyen körülmények között a belső pénzügyi kontrollokra vonatkozóan növeli a beszámolási folyamatok megbízhatóságát. Az eredményes és hatékony m űködés céljainak teljesülése a kialakított folyamat szintjén (3. szint) Ezen a szinten az irányított folyamat (amely már eléri a 2. szint a megfelelésre és megbízható beszámolásra vonatkozó céljait) a folyamateredmények teljesítésére képes meghatározott folyamat alkalmazásával bevezetésre került. Az 1. és 2. szint (85%-nál nagyobb mértékű) elérésén túl, a belső kontrollfolyamat beépül a működési folyamatokba és ésszerű bizonyosságot nyújt az "eredményes és hatékony működés" célkitűzéseinek teljesülésére. A 3. szinten a (pénzügyi beszámolási) tevékenységeket a szervezet (működési egység) politikáival és eljárásaival együtt olyan szempontból kell vizsgálni, hogy a szervezet (működési egység) eredményes és hatékony működési célkitűzéseinek eredményességét igazoló, a pénzügyi beszámolás által érintett üzleti folyamatokkal kapcsolatos folyamat-meghatározás és folyamat-alkalmazás mutatók felmérhetőek-e. Ezeket a tevékenységeket az IFC.RA.FRO Pénzügyi Beszámolási Célok kontrollfolyamatból származó „Kapcsolódó Üzleti Tevékenységek” munkatermék határozza meg. Vagy az IFC.CA.PP politikáinak és eljárásainak tárgyköre biztosítja a szélesebb integrációt az egyéb üzleti folyamatokkal, vagy a kapcsolódó üzleti tevékenységeket lehet egy olyan opcionális folyamat kategóriába csoportosítani, amelyet az irányított folyamat szint attribútumainak megfelelően lehet előzetesen felmérni. Ha nem egészítjük ki egyedi üzleti folyamatokkal a folyamat-dimenziót, a belső kontrollfolyamatok teljes készletének 3. szinten történő felmérése csak korlátozott mértékben nyújt hozzáadott értéket a 2. szintű felméréshez képest. A 2. szintű képesség profil teljesülése a COSO alapú folyamat-referenciamodell teljes folyamat készletére vonatkozóan azon kontrollfolyamatok 3. szintű teljesülését képviseli, amelyek az üzleti terület, típus, méret, stb. következtében nincsenek más üzleti tevékenységekbe beágyazva. Ez a helyzet a kisebb vállalkozásokra jellemző, ahol például a kontrollkörnyezet a felsővezetés által végrehajtott folyamatai szoros vagy közvetlen hatással vannak az alkalmazottak tevékenységeire. Megfordítva: egy olyan kontrollfolyamat 3. szintű képességének (folyamat-alkalmazási attribútum) nagyobb hiányossága – amelynek eredménye egy kapcsolódó üzleti tevékenységbe be van ágyazva – jelentős hiányosságot okoz – akár egy alacsonyabb képesség szinten - az IFC.CA.PP Politikák és Eljárások kontrollfolyamat vonatkozásában. Mindazonáltal, ésszerű lehet az is, ha a COSO-alapú folyamat-referenciamodell egyes folyamataira eltérő célszinteket határoznak meg. A 3. szintű folyamat-attribútum célok elérése azon folyamatokban, amelyek nem (szükségszerűen) vannak egyéb üzleti folyamatokba beágyazva – kiegészülve egyéb kontrollfolyamatok 2. szintű eredményeivel – szintén nyújthat további ésszerű bizonyosságot a megfelelési és megbízható beszámolási célok teljesülésére vonatkozóan. Például, 3. szintű, a belső ellenőrzés funkcióját erősítő monitoring folyamatok igazi hozzáadott értéket képviselhetnek bármely olyan szervezet számára, amely egyéb kontrollfolyamatok esetében alacsonyabb képesség szinteket céloz meg. A 3. szintű folyamat-attribútumok alkalmazásának sarokköve, hogy hogyan határozzák meg a belső pénzügyi kontrollrendszer hatókörét. Ha a hatókört csupán a pénzügy beszámolási tevékenységekre szűkítetik, akkor a COSO alapú folyamat-referenciamodell egy a 2. szintű képesség profilokat teljesítő teljes folyamat készlete ésszerű bizonyosságot nyújthat a megfelelési és beszámolási célok teljesülésére. Ha a hatókör szélesebb, és kiterjed az IFC.RA.FRO Pénzügyi Beszámolás Célok kontrollfolyamatból származó, a „Kapcsolódó üzleti tevékenységek” között megállapított egyéb üzleti tevékenységekre, akkor az IFC.CA.PP Politikák és Eljárások kontrollfolyamat támogatható és bevezethető egy magasabb képesség profilokat megcélzó, fejlett üzleti gondolkodású vezetés részéről.


95

A kontrolltevékenységek többnyire üzleti folyamatokba beágyazottak. A 3. szintű megfontolások segítenek annak megértésében is, hogy mi a különbség a kontrollrendszer (folyamatai) és az üzleti tevékenységek részeként működő kontrolltevékenységek között. Amennyiben a felmérés folyamat-dimenziója kiegészül a relevánsan kapcsolódó üzleti folyamatokkal, akkor a 3. szintű felmérés kapcsán bemutatható, hogy a belső kontrollrendszer miként támogatja a Politikák és Eljárások megvalósulását az üzleti folyamatokba beágyazott kontrolltevékenységek kialakításával és monitorozásával. A 3. szint teljesülése jelentős következményeket von maga után. Elsőként, ez az a szint, ahol az ISO/IEC 15504 szabvány szerinti felmérések folyamatképesség meghatározási szempontjai külső felek által széles körben alkalmazhatóak a bizonyosság megszerzésének céljára. Általánosságban, a szabványos Politikákat és Eljárásokat az egység szintjén nem osztják fel vagy különítik el különböző alkalmazási területekre; így a bizonyosság megszerzését célzó különféle tevékenységek (pl. belső kontroll, minőség biztosítás, információs rendszerek kezelése, stb.) egy szervezeten belül a szabványok ugyanazon készletét használhatják. Másodsorban, ez az a szint, ahol a „Kapcsolódó üzleti tevékenységek” egység/szervezet szintű végrehajtása felmérhetővé válik. Nagyon fontos, hogy megfelelően legyen megállapítva az általános folyamatok hatóköre és terjedelme, valamint az, hogy ezek hogyan teszik lehetővé a belső kontrollfolyamatok eredményeinek a működési folyamatokba történő beágyazását. A túl összetett hatókör és a feleslegesen tág terjedelem túl költséges kontrollokat, túlzott adminisztratív terheket és az erőforrások nem hatékony felhasználását eredményezheti. Ha a hatókör és terjedelem túl szűk (pl. a pénzügyi adminisztrációs tevékenységekre korlátozódik), akkor a 3. szint előnyei nem jutnak teljes körűen érvényre. Harmadsorban, a 3. szint teljesülése képviseli az ERM elvek alkalmazásának alapját. Ebben az összefüggésben a kulcsfontosságú kontrollfolyamatok skálája hatással van a 3. szintű szabványosítás minimum hatókörére és terjedelmére is. Ha a belső pénzügyi kontroll felmérés hatóköre a belső kontrollok által időben nem megelőzött és nem feltárt lényeges pénzügyi beszámolási gyengeségekre korlátozódik, akkor a kulcsfontosságú kontrollok skálája a pénzügyi kontrolltevékenységek egy alkészlete lesz. Szélesebb (ERM) összefüggésben a kulcsfontosságú kontrollok azok a folyamatok, amelyek szükségesek és elégségesek ahhoz, hogy az üzleti teljesítmény és az üzleti célok közötti eltérést elfogadható szinten tartsák. A kulcs kontrollok a folyamat-referencia modell kiválasztott kontrollfolyamatai és/vagy olyan üzleti folyamatok, melyekkel a folyamatfelmérés folyamatdimenziója szükségképpen kiegészül. A stratégiai célok teljesülése a kiszámítható folya mat szintjén (4. szint) Ezen a szinten a (megfelelés, a megbízható beszámolás és az eredményes és hatékony működés 3. szintű céljait már teljesítő) kialakított folyamat meghatározott keretek között működik a folyamateredmények teljesítése céljából. Az 1., 2. és 3. szint (85%-nál nagyobb mértékű) elérésén túl, a belső kontrollfolyamat beépítésre került a vállalati/szervezeti kockázatkezelési rendszerbe és ésszerű bizonyosságot nyújt a felső szintű célokhoz kapcsolódó stratégiai célkitűzések teljesülésére, a szervezet küldetésével összhangban és azt támogatva. A 4. szinten a folyamatot szervezeti szintű "kulcs kontroll"-ként abból a szempontból kell vizsgálni, hogy azokat hogyan alkalmazzák a stratégia meghatározása során és a szervezet egészében a vállalati/szervezeti szintű kockázatkezelés rendszerében, illetve hogy a szervezet (pénzügyi beszámoláshoz kapcsolódó) stratégiai célkitűzéseinek eredményességét igazoló folyamatmérés és a folyamatellenőrzés mutatók felmérhetőek-e. A 4. szintű cél képesség beállítása feltételezi, hogy az érintett belső pénzügyi kontrollfolyamat és a vonatkozó üzleti folyamatok, melyekbe beépítik a kontroll eredményeit, magukba foglalják a kulcs kontrollokat.

“A kulcs kontrollok olyan jelentős kontrollok az üzleti folyamatainkon belül, melyek ha megfelelően működnek biztosítják és bizonyosságot adnak arra vonatkozóan, hogy a szervezet eléri kulcsfontosságú üzleti céljait” [15]


96

A konkrét üzleti célokhoz közvetlenül kapcsolódó általános pénzügyi beszámolási célok testre szabásával a vezetőség megfelelően tud reagálni olyan külső vagy belső eseményekre, melyek kockázatot jelentenek a pénzügyi beszámolókra vonatkozóan. A kritikus kontrollban bármikor lehetnek kivételek (pl. az automatikus folyamat nem működik, nem megfelelő feladatmegosztás kerül feltárásra vagy veszteség tartalékot kell mobilizálni, stb.). A 4. szintű folyamat-attribútumok teljesülése azt jelenti, hogy a kivételeket a meghatározott kockázati szintnek (kockázatvállalási hajlandóságnak) megfelelő elfogadható eltérésen (kockázati tolerancián) belül kezelik a kívánt üzleti cél szerint. A pénzügyi hatást is ésszerűen meg kell becsülni, és meg kell határozni, időben tervezni és nyomon követni a kontroll alóli kivétel megoldását.


97

4.4 Folyamatjavítás A bels ő pénzügyi kontrollfolyamat javításának okai A korábbi részben bemutatottak szerint a belső kontrollfolyamattal kapcsolatos kockázatértékelés a cél és a felmért folyamat-attribútum rangsorolások közötti eltérésen alapszik. A belső pénzügyi kontrollfolyamatok alacsonyabb cél képességének beállítása elméletileg akkor magyarázható, ha a pénzügyi beszámolási tevékenységekből és a kapcsolódó adminisztratív folyamatokból fakadó kockázatok nagyon alacsony szinten kerültek kimutatásra, vagy a belső kontrollkockázat elfogadható a jogi szabályszerűségi követelmények megvalósulása szempontjából. Egyébként a 2. szintű képesség cél a megfelelő minimális követelmény a kontrollfolyamatok felméréséhez a pénzügyi beszámolás megbízhatósági céljainak szempontjából. Összetettebb környezetben (melyet a vállalkozás típusa, mérete az ágazati szabályozás, stb. határoznak meg) szükség van az üzleti adminisztrációs folyamatok folyamatos javítására. Szükséges lehet a pénzügyi kontrollfolyamatok eredményeinek üzleti tevékenységbe való magas fokú integrálására, ha nemcsak a pénzügyi információ megbízhatósága, pontossága és hozzáférhetősége fontos, hanem a kapcsolódó üzleti tevékenységek eredményességére is. Ez a helyzet a nagy vagy multinacionális szervezetek, a SOX szabályok alapján bejegyzett tőzsdei vállalatok, a pénzintézetek, sőt közpénzeket kezelő bizonyos állami szolgáltató vállalatok esetében. A folyamatjavítás lépései 1. PI-t elősegítő tényezők létrehozása A Belső Pénzügyi Kontrollfolyamat javításának problémái tipikusan a szervezet külső (jogszabályi) vagy belső (érdekeltekkel kapcsolatos) környezetéből erednek. A vonatkozó üzleti célok (pl. átláthatóság javítása; költséghatékonyságnak való megfelelés; ésszerű külső ellenőrzési költségek, stb.) elemzésével egy sor cél folyamat-profil kerül létrehozásra (a kiválasztott PRM alapján). A folyamatok és azok céljainak kiválasztása bemutatásra kerül az ügyvezetőség felé, hogy tudatosítsák bennük a folyamatjavítási program szükségességét, és elnyerjék az igényelt vezetői és pénzügyi elkötelezettséget. Előrehaladottabb esetben a projektjavító program a szervezet átfogó stratégiai üzleti tervének részévé válik. 2. Tervezés A folyamatjavító programnak figyelembe kell vennie, hogy a javasolt folyamatváltozás nem zavarhatja a szervezet folytatólagos üzletmenetét, hogy a progresszív változásokat be kell vezetni a meglévő szervezeti rendszerekbe, és hogy a végrehajtáshoz megfelelő képzésnek kell társulnia. Megfelelő szponzorálást kell létrehozni annak érdekében, hogy felügyelni lehessen a programot, és biztosítani a szükséges erőforrások (személyzet, dokumentumok, stb.) rendelkezésre állását és előkészítését. Megfelelő Tervet kell létrehozni és használni az előrehaladás nyomon követésére. 3. Jelenlegi képesség felmérése A felmérés lehet önértékelés (amit vagy a belső vezetőség vagy a belső auditor végez) vagy független felmérés (külső erőforrásból).


98

4. Erősségek és gyengeségek elemzése Az erősségeket úgy lehet meghatározni, mint a legmagasabb folyamatképességi szint rangsorolással rendelkező folyamatokat. Az erős folyamatok bevezethető és intézményesíthető jó gyakorlatokat biztosíthatnak. Az egymáshoz kapcsolódó folyamatok között a legmagasabb folyamatképességi szint besorolású folyamatok lehetőséget biztosíthatnak a kapcsolódó folyamatok eredményességének javítására. A gyengeségek beazonosítása történhet az alacsony folyamat-attribútum rangsorolásból; a folyamat céljának eléréséhez szükséges gyakorlatok híján lévő folyamatokból; a képességi szinteken belüli kiegyensúlyozatlan folyamat-attribútum rangsorolásokból; valamint olyan folyamat alacsony folyamat-attribútum rangsorolásaiból, mely más kapcsolódó folyamat gyengeségét mutathatja. A vonatkozó folyamatok folyamat-attribútum rangsorolásait össze kell hasonlítani, és az egyensúlytalanságokat javító intézkedésekkel kell korrigálni. 5. Javítási célok meghatározása, és konkrét célértékek beállítása A konkrét célértékek lehetnek vagy a folyamat teljesítés vagy a cél folyamat profilok mennyiségi célkitűzései vagy mindkettő a szervezet üzleti céljaihoz hangoltan. Korábbi javító ciklusok esetében a korábban meghatározott célokat, célszámokat és konkrét célértékeket felül kell vizsgálni és igazítani. A kapcsolódó folyamatokra vonatkozóan jó, ha ugyanarra a képességi szintre, vagy ezek túllépésére törekszünk. Általában nem reális egy folyamat képességének több mint egy szinttel történő emelése egyetlen javítóintézkedésen belül, hiszen valamennyi szint az alatta lévő szint képességeire épít. Ki kell dolgozni egy megfelelő cselekvési tervet. 6. Javító intézkedések végrehajtása A végrehajtást meg kell tervezni, és folyamatosan nyomon kell követni. A sikeres korrekció érdekében kritikus fontosságú, hogy számba vegyük a humán és kulturális tényezőket a következők szerint:

• Hogyan adhat támogatást és irányítást a vezetőség • Milyen változásokra lehet szükség az értékek, attitűdök és a magatartásformák területén • Hogyan lehet elkötelezettséget kialakítani a célokra és konkrét célértékekre vonatkozóan • Hogyan lehet támogatni a nyílt kommunikációt és a csapatmunkát • Szükség van-e változásokra az elismerési és jutalmazási rendszerben • Milyen oktatásra és képzésre van szükség

7. Javítások megerősítése A vezetőséget be kell vonni az eredmények jóváhagyásába, és annak értékelésébe, hogy az üzleti célok teljesültek-e. 8. Javító és teljesítmény nyomon követő tevékenység fenntartása Ha egy konkrét területen javítás történt, azt tovább kell vinni az egész érintett területre. A szervezeti folyamat teljesítményét folyamatosan figyelni kell, és új folyamatjavító intézkedéseket kell kezdeményezni a folytatólagos folyamatjavító program részeként.


99

4.5 Folyamatképesség meghatározása A folyamatképesség meghatározásának (PCD – Process Capability Determination) célja a kiválasztott folyamatokhoz társuló erősségek, gyengeségek és kockázatok beazonosítása egy konkrét meghatározott követelmény tükrében. A konkrét meghatározott követelmény kifejezés eredetileg a beszállító szelekciós kritériumait jelentette, de az új szabvány megközelítése ennél általánosabb. A PCD felmérés egyfajta szabályszerűségi ellenőrzés vagy felülvizsgálat, ahol a konkrét szabályszerűségi kritériumokat fordítják le a kiválasztott folyamatok cél képességprofiljaivá. A folyamatjavítási (PI) megközelítéshez képest a különbség az, hogy a PCD fő célja beazonosítani a változásokat, és meghatározni a változásból eredő potenciális kockázatokat az előre megfogalmazott követelmények tükrében. A megbízott külső szolgáltatók belső kontrollrendszerére alkalmazandó SAS 70 audit jelentések megközelítése hasonló.

A Szolgáltató Szervezetekre vonatkozó SAS 70 (Statement on Auditing Standards) az Amerikai Bejegyzett Könyvvizsgálók Intézete (AICPA) által kialakított nemzetközileg elismert ellenőrzési szabvány. Az SAS 70 szerinti ellenőrzés vagy szolgáltatás ellenőrzési vizsgálat széles körben elismert, mert azt jelenti, hogy egy szolgáltató szervezet saját kontrolltevékenységeit mélyrehatóan ellenőrizték, ami magába foglalja az informatikai ellenőrzést és a kapcsolótó folyamatok ellenőrzését is. A mai globális gazdaságban a szolgáltató szervezeteknek vagy a szolgáltatóknak igazolniuk kell, hogy megfelelő ellenőrzésekkel és védelemmel rendelkeznek ügyfeleik adatkezelését vagy feldolgozását illetően. Ezen felül a 2002-es Sarbanes-Oxley törvény 404-es Szakaszának követelményei szerint a SAS 70 ellenőrzési jelentések még fontosabbak az eredményes belső kontrollról szóló jelentéstételi folyamatban a szolgáltató szervezeteknél. A SAS 70 olyan tekintélyes útmutató, mely lehetővé teszi, hogy a szolgáltató szervezetek nyilvánosságra hozzák kontrolltevékenységeiket és folyamataikat ügyfeleik, illetve ügyfeleik auditorai számára egységes jelentési formátumban. A SAS 70 vizsgálat lényege, hogy a szolgáltató szervezet saját kontroll céljait és kontrolltevékenységeit egy független könyvelő és könyvvizsgáló cég ellenőrizte. A könyvvizsgáló véleményét tartalmazó formális jelentés („Szolgáltatási Könyvvizsgálói Jelentés”) a SAS 70 vizsgálat lezárásakor kerül kibocsátásra a szolgáltató cég felé. [16]

A folyamatképesség meghatározás másik gyakorlati alkalmazása, hogy tárgyalni kell a könyvvizsgálóval az ellenőrzés várható ráfordításáról és díjáról. A PCD eredmények bemutatásakor az ellenőrzéssel kapcsolatos kockázatok láthatóbbak és vitathatóbbak lehetnek. A pénzügyi szektor felügyeleti ellenőrzései és a közpénzek kezelésének konkrét szabályszerűségi vizsgálatai alapulhatnak vagy elvégzésre kerülhetnek a PCD módszer, és a korábbi PCD felmérések eredményeinek felhasználásával. A PCD szempontjából alkalmazható mind az önértékelés, mint a független felmérés módszere. A többszöri folyamatfelmérés elkerülése érdekében bizonyos körülmények között kezdeményezhető limitált független felmérés is az önfelmérés eredményeinek igazolására. A folyamatképesség meghatározásának lépései: 1. A folyamatképesség meghatározásának kezdeményezése Létre kell hozni egy folyamatképesség meghatározási tervet, melyet jóvá kell hagyatni a PCD szponzorral, és fel kell használni monitoring céljaira. A tervnek le kell fednie a folyamatképesség meghatározás célját (pl. konkrét szabályszerűségi kritériumok teljesülése, SAS 70 Jelentés, stb.); az


100

értékelés módszerét; a szervezeten belüli alkalmazási területet; a cél képességet; a szerep- és felelősségköröket, erőforrásokat, ütemtervet, ellenőrzéseket és a jelentéstételi mechanizmust; stb. 2. Cél képesség meghatározása Meg kell határozni a cél képességprofilt, megfontolva, hogy megfelel-e a konkrét követelmények szempontjából elfogadható folyamatkockázatokra. 3. Jelenlegi képesség felmérése A PCD szponzor határoz a korábbi felmérések jóváhagyásáról vagy kezdeményez független folyamatfelmérést a konkrét követelmény költségeinek és fontosságának figyelembevételével. 4. Javasolt képesség meghatározása Amennyiben vannak korábbi felmérési eredmények (pl. a szervezet önértékeléséből, folyamatban lévő folyamatjavító programból, stb.), a PCD csapatnak a konkrét követelmények figyelembe vételével kell meghatároznia a javasolt képességet. Az ISO/IEC 15504 alapvető jellemzője, hogy a folyamatfelmérés eredményei újra felhasználhatóak. Ezért használhatók az ugyanazon a folyamatfelmérési modellen alapuló korábbi felmérések eredményei. Ha a javasolt képesség nem találkozik a célzott képesség követelményeivel, a szervezet opcionálisan kidolgozhat egy enyhítő vagy akár egy folyamatjavító tervet, mely meghatározza a szervezet által feltárt képesség szint eltéréseket, és ezekre enyhítő intézkedéseket javasol. 5. Javasolt képesség visszaellenőrzése A PCD szponzor elfogadhatja a javasolt képességet, vagy dönthet egy megfelelő szintű független folyamatfelmérés kezdeményezéséről. Ez egy minta kiválasztott folyamatot érinthet, vagy lehet a célzott képességben meghatározott valamennyi folyamat átfogó független felmérése. A PCD csapat áttekinti a javasolt képességet figyelembe véve annak hitelességét, és a hitelességét kialakító szükséges további lépéseket. A visszaellenőrzés tipikusan magába foglalja egy vagy több folyamatfelmérés eredményeinek és/vagy a folyamatjavító program hitelességének az ellenőrzését. 6. Folyamattal kapcsolatos kockázat elemzése A bemutatásra került kontrollkockázat értékelési modellt lehet alkalmazni. Figyelembe lehet venni a belső pénzügyi kontrollfolyamatok és az átfogó képesség attribútumok közötti összefüggést. 7. Eredmény alapú cselekvés Ha a folyamatképesség meghatározás megtörtént annak érdekében, hogy meghatározásra kerüljön egy másik szervezet folyamatainak megfelelősége egy konkrét szerződés vagy szolgáltatás céljaira, a PCD szponzor figyelembe kívánja venni a kontrollal kapcsolatos kockázatokat akkor, amikor szerződéses kötelezettséget kíván létrehozni a folytatólagos kockázatkezelési vagy folyamatjavítási tevékenységekkel kapcsolatban.


101

Folyamatképesség meghatározás szponzorálása A következőkben néhány gyakorlati példát adunk különféle szponzorálási esetekre: Pénzügyi Jelentések Ellenőrzése

A kontrollkockázat felmérésének végső célja, hogy segítsen a könyvvizsgálónak azon kockázat értékelésében, hogy léteznek-e jelentős tévedések a pénzügyi beszámolókban. A kontrollkockázat felmérésének folyamata (az abból fakadó kockázat felmérésével együtt) bizonyítékot szolgáltat arra vonatkozóan, hogy ilyen téves kimutatások kockázata jelen van-e a pénzügyi jelentésekben. Az auditor ezt a bizonyítékot, mint ésszerű alapot felhasználja a gyakorlati munka harmadik standardjában hivatkozott véleményében a következők szerint:

Elegendő vonatkozó bizonyítékot kell összegyűjteni a vizsgálat, megfigyelés, tájékozódás és megerősítés módszerével ahhoz, hogy ésszerűen megalapozott legyen a vizsgálat tárgyát képező pénzügyi beszámolóval kapcsolatos véleménye.

Miután figyelembe vette azt, hogy milyen szintre szeretné korlátozni a pénzügyi jelentések lényegesen téves kimutatásainak kockázatát és a beszámolási tevékenységből eredő kockázatot, valamint az ellenőrzési kockázatot, a könyvvizsgáló tartalmi vizsgálatot végez a feltárási kockázat elfogadható szintre történő korlátozása érdekében. Az ellenőrzési kockázat beállított szintjének csökkenésével növekszik a feltárási kockázat elfogadható szintje. Ennek megfelelően a könyvvizsgáló megváltoztathatja az elvégzett tartalmi vizsgálatok jellegét, időzítését és mértékét. Bár a kontrollkockázat és a feltárási kockázat közötti inverz kapcsolat lehetővé teszi, hogy a könyvvizsgáló megváltoztassa a tartalmi vizsgálatok jellegét vagy időzítését, vagy korlátozza azok mértékét, rendes esetben a kontrollkockázat felmért szintje nem lehet eléggé alacsony a jelentős egyenlegek vagy tranzakciócsoportok valamennyi kimutatásával kapcsolatos feltárási kockázatot korlátozó tartalmi vizsgálatok elvégzésének elhagyásához. Ezért a kontrollkockázat felmért szintjétől függetlenül a könyvvizsgálónak tartalmi vizsgálatokat kell végeznie a lényeges számlaegyenlegek és tranzakciócsoportok esetében.

SAS 78. Belső Kontroll megfontolása a Pénzügyi Kimutatások Ellenőrzésében, AICPA [17]

A könyvvizsgáló elegendő megfelelő bizonyítékként felhasználhatja a PCD eredményeit a szükséges tartalmi vizsgálatok jellegének és időzítésének megtervezéséhez. Ezen kívül a könyvvizsgáló cég alkalmazásáért és javadalmazásának meghatározásáért felelős Audit Bizottság is használhatja a PCD eredményeket, hogy eredményesen tárgyalhasson a szükséges könyvvizsgálói feladatokról és javadalmazásról. A Belső Kontrollrendszerek bankfelügyeleti hatóság által történő értékelése

Bár az eredményesen működő belső kontrollokért végső soron a felügyeleti testület és a felsővezetés felel, a felügyelőknek is folyamatos felügyeleti tevékenységük során fel kell mérniük az egyes bankokban meglévő belső kontrollrendszert. A felügyelőknek azt is meg kell állapítaniuk, hogy az egyes banki vezetőségek folyamatosan figyelemmel kísérik-e a belső kontrollfolyamattal feltárt problémákat. A felügyelőknek meg kell követelniük, hogy az általuk felügyelt bankok erős kontroll kultúrával rendelkezzenek, és kockázat alapú megközelítést kell alkalmazniuk felügyeleti munkájukban. Ide tartozik a belső kontrollok megfelelőségének vizsgálata. Fontos, hogy a felügyelők ne csak az átfogó belső kontrollrendszer eredményességét mérjék fel, hanem külön értékeljék a magasabb kockázatú területek kontrolljait is (pl. a szokatlan nyereségességet mutató; gyors növekedésű; vagy új üzleti tevékenységgel jellemezhető területeket). A bankfelügyelőknek külön hangsúlyt kell helyezniük a leírt politikákra és eljárásokra, mint kulcsfontosságú kommunikációs mechanizmusokra.


102

A belső kontrollok minőségének értékeléséhez a felügyelők számos megközelítést alkalmazhatnak. A felügyelők a bank belső ellenőrzési osztályának munkáját értékelhetik a munkaanyagok áttekintésével, a használt kockázatértékelési módszertan figyelembe vételével. Amennyiben elégedettek a belső ellenőrzési osztály munkájának minőségével, a felügyelők használhatják a belső ellenőrök jelentéseit, mint a bank kontroll problémái feltárásának elsődleges mechanizmusát, vagy a könyvvizsgáló által előzőleg nem ellenőrzött potenciális kockázatú területek beazonosításának eszközét. Vannak felügyelők, akik bizonyos vállalatoknál használják az önértékelési folyamatot, melyben a vezetőség üzletáganként ellenőrzi a belső kontrollt, és igazolja a felügyelő felé, hogy az alkalmazott kontrollok megfelelőek az adott vállalkozásra. Más felügyelők periodikus külső vizsgálatot igényelhetnek a kulcsfontosságú területeken, melyek esetében a felügyelő határozza meg a vizsgált területeket. És végül, a felügyelők kombinálhatják a fenti technikák valamelyikét vagy azok közül néhányat saját helyszíni ellenőrzéseikkel vagy belső kontroll vizsgálataikkal. Bázeli Bankfelügyeleti Bizottság: Banki Szervezetek Belső Kontrollrendszereinek Keretrendszere, 1998

A pénzügyi szektorért felelős Állami Felügyeleti Hatóságnak meg kell határoznia a különféle banki szervezetekre alkalmazható értékelési módszereket. EU Strukturális Alapok kezelése és monitoringja

Bár a Strukturális Alapok a Közösségi költségvetés részét képezik, elköltésének módja az Európai Bizottság és a tagállamok kormányai közötti közös felelősségi rendszeren alapszik:

• a Bizottság tárgyal a tagállamok által javasolt fejlesztési programokról, és azokat jóváhagyja, valamint erőforrásokat allokál.

• a tagállamok és régióik irányítják, pályázatok kiválasztásával végrehajtják, ellenőrzik és értékelik a programokat.

• a Bizottság részt vesz a programok monitoringjában, rendelkezésre bocsátja és kifizeti a jóváhagyott kiadásokat, és ellenőrzi a létrehozott kontrollrendszereket.

A program irányítás magasabb fokú decentralizáltságának egyik következménye a jobb menedzselési és ellenőrzési rendszerek létrejötte, melyek célja, hogy bármikor ellenőrizhető legyen a kiadások rendszeressége és valóságtartalma. Most a jogszabályok már szorosabb követelményeket állítanak az irányítási és ellenőrzési rendszerekkel szemben. Ezek biztosítják a források megfelelő felhasználását, és bizonyosságot nyújtanak arra vonatkozóan, hogy a kiadások jogszerűek és korrektek. Ezen felül, lehetővé teszik a szabálytalanságok szükséges kiküszöbölését. A rendszer az irányító és kifizető hatóságok által képviselt két „pillérre” támaszkodik. A tagállamoknak kell biztosítaniuk, hogy a két hatóság, és a vezetői láncolat minden láncszeme teljesítse feladatait ezen a területen azzal, hogy útmutatót ad ki az eredményes pénzügyi rendszerekre és eljárásokra vonatkozóan. A rendszerek működőképességének biztosítására részletes ellenőrzések szükségesek a program kiadásainak 5%-ra vonatkozóan. A Bizottság felelőssége elsősorban az, hogy igazolja az ellenőrző rendszerek eredményességét. Ebből a célból végezhet helyszíni ellenőrzéseket az illető tagállammal együttműködve, vagy kérheti, hogy az állam végezze el ezeket az ellenőrzéseket. Mindkét esetben a Bizottság és az állam köteles legalább egyszer egy évben közösen megvizsgálni az elvégzett ellenőrzések eredményeit, a feltárt rendellenességek pénzügyi hatásait, a már bevezetett orvosló intézkedéseket, a még bevezetendő intézkedéseket, és alkalmazhatóság szerint az irányítási és ellenőrzési rendszerek változásait. Az Európai Bizottság Regionális Politikáért felelős Főigazgatósága: A strukturális alapok megfelelő kezelése: alapvető kérdés az Unió fejlődése szempontjából [18]


103

A (működési és pénzügyi) kontrollrendszerek ellenőrzését végezheti a Bizottság és/vagy a tagállam (a Kormányzati Ellenőrzési Hivatal Magyarországon). A PCD koncepció mindkettőre alkalmazható. Az Európai Számvevőszék 2/2004 sz. véleményében (az Európai Unió Hivatalos Lapja C 107/2004) kidolgozott egy javaslatot a Közösség Integrált Kontroll Keretrendszerére, mely tartalmazza az ún. „egységes ellenőrzési modellt”. Az egységes ellenőrzési koncepciónak nincs általánosan elfogadott definíciója, de alapvetően meghatározza, hogy a belső kontrollrendszereknek a kontroll eljárások láncolatán kell alapulniuk, melyekben a különféle szintű belső ellenőrzési intézmények együttműködnek. Az egységes ellenőrzési megközelítés közös eredményeken és a költség-hatékonyság elveinek prioritási sorrendbe állításán alapszik a kontroll munkák átfedésének minimalizálására, és az ellenőrzés szintjének maximalizálására az erőforrások adott szintje mellett. A jól definiált és dokumentált kontroll adatok másokkal való megosztása elősegítheti a kontrollok megbízhatóságát a láncolat minden egyes szintjén. Az egyes szinteken formalizált költség-hatékonyság értékelés lehetővé teszi annak kimutatását, hogy az alkalmazott kontrollok optimalizálták az alaptranzakciókban fennmaradó hibakockázatokat.


104

5. Folyamatfelmérés és ellen őrzés

5.1 A bels ő ellenőrzés és a folyamatfelmérés 2006. júliusában az IIA (Belső Ellenőrök Nemzetközi Szervezete) állásfoglalást jelentetett meg Organizational Governance: Guidance for Internal Auditors [19] címmel. Ez az útmutató arra hivatott, hogy segítsen a belső ellenőrzésnek abban a szerepkörében, hogy bizonyosságot nyújtson, és tanácsot adjon az irányítás bizonyos aspektusaira vonatkozóan. A dokumentum információt ad a szervezeti irányítás, a belső ellenőrzési szerep, a szervezetirányítás elvek és más erőforrások definiálásához. A belső ellenőrzés IIA általi definíciója szerint „…módszeres és szabályozott eljárással értékeli és javítja a kockázatkezelési, a kontroll és az irányítási folyamatok hatékonyságát, ezáltal segíti a szervezeti célok megvalósítását.” Ez a definíció magába foglalja a belső ellenőrzés széleskörű tanácsadói és bizonyosság nyújtói szerepét a szervezet irányítási folyamataiban. A belső ellenőrzés irányításban betöltött szerepének aspektusait az International Standards for the Professional Practice of Internal Auditing [20] 2110. végrehajtási normája (standardja) határozza meg:

2110 – Irányítás A belső ellenőrzési tevékenységnek értékelnie kell az irányítási folyamatot, és megfelelő javaslatokat kell tennie annak javítására, hogy elérje a következő célkitűzéseket:

• Megfelelő etikai elvek és értékek érvényesülésének elősegítése a szervezetben. • Hatékony szervezeti teljesítménymenedzsment és számonkérhetőség biztosítása. • A kockázatokkal és a kontrollokkal kapcsolatos információk hatékony kommunikálása

a szervezet megfelelő területei felé. • A vezető testület, a külső és belső ellenőrök, valamint a vezetés tevékenységeinek

hatékony koordinálása, köztük az információk hatékony átadása. 2110.A1 – A belső ellenőrzési tevékenységnek értékelnie kell a szervezet etikai vonatkozású célkitűzéseinek, programjainak és tevékenységeinek tervezését, végrehajtását és hatékonyságát. 2110.A2 – A belső ellenőrzési tevékenységnek fel kell mérnie, hogy a szervezet informatikai irányítása mennyire tartja szem előtt és támogatja a szervezet stratégiáit és célkitűzéseit. 2110.C1 – A tanácsadói megbízások célkitűzéseinek összhangban kell lenniük a szervezet általános értékeivel és céljaival.

Az ISO/IEC 15504 képességi szintjei és a COSO célkitűzés-kategóriák 20. sz. ábrában bemutatott közös értelmezése innovatív módszert ad a belső ellenőröknek a 2110-es norma végrehajtásához. Az ISO/IEC 15504 folyamatképesség meghatározás (PCD) és a folyamatjavítás (PI) kontextusa hatékony eszközt biztosít a belső ellenőrzés számára, mely a következő lényeges felelősségkört tölti be a vállalatirányítási tevékenységekben:

• Felmérések végzése bizonyosságszerzés céljából, hogy a vállalatirányítási struktúrák és folyamatok megfelelően kialakítottal és eredményesen működnek.

• Tanácsadás az irányítási struktúrák és folyamatok lehetséges javításában.


105

Egy szervezeten belül a vezetőség és a felügyeleti testület létrehoz, és figyelemmel kísér egész cégre kiterjedő rendszereket az eredményes irányítás céljaira. A belső ellenőrök támogathatják és javíthatják ezeket a tevékenységeket. Ezenfelül, bár a belső ellenőröknek függetleneknek kell maradniuk, részt vehetnek az irányítási folyamatok létrehozásában. Azáltal, hogy bizonyosságot szolgáltat a szervezet kockázatkezelési, kontroll és irányítási folyamataira vonatkozóan, a belső ellenőrzés válik az eredményes szervezetirányítás kulcsfontosságú sarokkövévé. Azt, hogy mely képesség a leginkább releváns a belső ellenőrzés céljaira, leginkább a szervezet irányítási folyamatainak és struktúrájának érettségi szintje, valamint a belső ellenőrök szervezeti szerepe és kvalifikációja határozza meg. A kevésbé érett irányítási struktúrával és folyamattal rendelkező cég esetében a belső ellenőrzési funkció inkább az optimális struktúrákkal és gyakorlatokkal kapcsolatos tanácsadásra, valamint a vállalatirányítási struktúrák és gyakorlatok jogszabályokkal és más megfelelőségi követelményekkel történő összehasonlítására fókuszálhat. A strukturáltabb és érettebb irányítási gyakorlatokkal rendelkező szervezetekben a belső ellenőrök jobban tudnak koncentrálni a következőkre:

• Annak értékelése, hogy az elvárásoknak megfelelően együttműködnek-e a vállalati szintű irányítási komponensek.

• A jelentések átláthatósági szintjének elemzése az irányítási struktúra részei között. • Irányítási legjobb gyakorlatok összehasonlítása. • Az elismert és alkalmazható irányítási kódexeknek való megfelelés meghatározása.

A következő grafikon koncepcionálisan bemutatja, hogy a belső ellenőrök különféle feladatokkal eltöltött ideje hogyan változik a szervezetirányítási gyakorlat szerkezeti érettségének változásával:

23. ábra: A belső ellenőrzés irányításának érettségi szintjei és az ellenőrzési megbízások

A 23. sz. ábra grafikonja az IIA 2006. júliusi szervezetirányítási állásfoglalásából: a Belső Ellenőrök Útmutatójából való. Az IIA megközelítés jól illeszkedik az ISO/IEC 15504 képesség-modell interpretációjához. Alacsonyabb érettségi szinten a Belső Ellenőrzés feladatai elsősorban az 1. és 2.


106

szint folyamat-attribútumainak elérését célzó folyamatjavító kezdeményezéseket foglalják magukba. Középső szinttől a feladatok növekvő részben tartalmaznak folyamatjavításokat a 3. szintű folyamat-attribútumokig, illetve a magasabb kontroll követelményeknek való megfelelést megállapító folyamatképesség meghatározási megközelítést. Magas érettségi szinten a Belső Ellenőrzés feladatköre főleg folyamatjavító tevékenységeket tartalmaz a 3. és 4. szintű folyamat-attribútumok fokozására.

A belső ellenőrzés gyakran eredményesebb az irányítási feladatokban, ha többet tesz a konkrét folyamatok különálló ellenőrzésének elvégzésénél. A belső ellenőr egyedi helyzete a szervezetben számára lehetővé teszi a vállalatirányítási struktúra és szervezet megfigyelését, míg ezekért nem ró rá közvetlen felelősséget. A belső ellenőrök gyakran többet segíthetnek a szervezeteknek azzal, ha javaslatokat tesznek a felügyeleti testület és a vezetés felé a struktúra és a szervezet javítására és megváltoztatására vonatkozóan, mint ha csak azt állapítanák meg, hogy a kialakított folyamatok működnek-e. Ez azonban más, mint a konkrét irányítási tevékenységek különálló ellenőrzések útján történő objektív felmérése. Végső soron az irányítási tevékenységek belső ellenőrzési értékelései valószínűleg az egy időszak alatt lefolytatott számos ellenőrzésből nyert információn alapulnak. A belső ellenőrök optimális esetben értékelést adhatnak a kulcsfontosságú szervezetirányítási komponensek eredményességéről akár a kockázatkezelés hatékonyságával foglalkozó felmérésektől és az alapvető ellenőrzésektől függetlenül, akár azokkal kombinálva. Ezeknek az irányítási tevékenységre vonatkozó felméréseknek a következőket kell figyelembe venniük:

• Konkrét irányítási feladatok. • Konkrét felügyeleti testületi szintű irányítás ellenőrzési munka eredményei. • Egy konkrét időszak alatt elvégzett rengeteg ellenőrzés során felmerült irányítási

problémák. • Más a belső ellenőr számára hozzáférhető vagy ismert információk.

A belső ellenőrök a felügyeleti testület szempontjából akkor működnek a legeredményesebben, ha a felügyeleti testület olyan ügynökének szerepét töltik be, aki független, objektív információt és értékelést ad. Ebben az esetben a felügyeleti testület magáénak tudhatja a belső ellenőrzést, és támogatja a kölcsönösséget a belső ellenőrzés és a felügyeleti testület viszonylatában. A szervezet működésének tökéletes átlátásához lényegi fontosságú, hogy a felügyeleti testület figyelembe vegye a belső ellenőr munkáját. Például a belső ellenőrök tájékoztathatják a felügyeleti testületet olyan ügyekről, mint kultúra, hangnem, etika, átláthatóság és belső kölcsönhatások. Ezen felül a korszerű belső ellenőrzésének a szervezet különböző stratégiai, működési, pénzügyi és megfelelőségi kockázatait meghatározó, azokra reagáló, és azokat kezelő keretrendszerein kell alapulnia. Ennek eredményeképpen a belső ellenőrök objektív bizonyosságot adhatnak az egész keretrendszer eredményességéről, melybe benne foglaltatik a vezetőség monitoringja és bizonyosság nyújtó tevékenysége, illetve az egyes kritikus kockázatok kezelése. Ez a felügyeleti testületet támogató szerepkör ugyanakkor feszültségeket teremthet, mert a belső ellenőrzés a vezetőség partnereként is feltűnhet. A belső ellenőröknek mindkét fél igényeit és elvárásait óvatosan kell kezelnie. A belső ellenőrzés szerepkörével kapcsolatos további útmutató található az IIA International Professional Practices Framework (Szakmai Gyakorlatok Nemzetközi Keretrendszere) gyakorlati útmutatóiban. [21]


107

Belső ellenőrzési megbízások A 24. sz. ábra bemutatja, hogy a folyamatjavítás és képesség-meghatározás megközelítései alkalmazhatók a belső ellenőrzés megbízások két (tanácsadó és bizonyosságot adó) típusára:

24. ábra: ISO/IEC 15504 megközelítések és a belső ellenőrzési megbízások A belső ellenőrzési megbízásokra vonatkozó releváns követelmények és ajánlások megtalálhatók az IIA Szakmai Gyakorlatok Nemzetközi Keretrendszerében. (http://www.theiia.org/guidance/standards-and-guidance/interactive-ippf/)

Process

ProcessAssessment

CapabilityDetermination

ProcessImprovement

leadsto

Identifieschanges to

leadsto

Isexamined

by

motivates

Identifies

and risks ofcapability

Assurance Engagements

ConsultingEngagements Process

ProcessAssessment

CapabilityDetermination

ProcessImprovement

leadsto

Identifieschanges to

leadsto

Isexamined

by

motivates

Identifies

and risks ofcapability

Assurance Engagements

ConsultingEngagements


108

5.2 A különböz ő audit módszerek harmonizálása Az elmúlt években számos tényező volt hatással a nemzetközi könyvvizsgálati szabványok fejlődésére. Az INTOSAI Munkacsoport információinak [22] alapján ezek közül az alábbiakban többet is bemutatunk. Az INTOSAI Könyvvizsgálati Szabványok Bizottsága (Auditing Standards Committee – ASC) és a Könyvvizsgálók Nemzetközi Szövetségének (International Federation of Accountants – IFAC) Nemzetközi Könyvvizsgálói Standard Testülete (International Auditing and Assurance Standards Board – IAASB) közötti egyetértési megállapodás fontos előrelépés az állami szférára vonatkozó könyvvizsgálati útmutatók fejlesztése terén. Az elmúlt évek számos pénzügyi botránya alapvető hatással volt a nemzetközi könyvvizsgálati szabványok fejlesztésére. A számviteli és könyvvizsgálói szakma veszített hitelességéből, így világszerte összehangolt erőfeszítéseket kell tennie az iparág az irányában tanúsított bizalmának helyreállítására. A szabványalkotó csoportok kiemelt prioritásként kezelik a minőségbiztosítással, kockázatfelméréssel, kockázatkezeléssel, csalással és szervezet-irányítással kapcsolatos könyvvizsgálati szabványokat. A PCAOB: új és fontos résztvev ő A közelmúlt pénzügyi botrányainak eredményeképpen több országban új jogszabályok bevezetésére került sor. Ezek közül a legismertebb az egyesült államokbeli 2002. évi Sarbanes-Oxley törvény. Ez a törvény egyebek mellett életre hívta a Nyilvános Társaságok Számviteli Ellenőrző Testületét (Public Company Accounting Oversight Board – PCAOB). A PCAOB magánkézben lévő, nonprofit szervezet. Célja, hogy felügyeletet nyújtson a nyilvánosan működő (az SEC nyilvántartásában szereplő) társaságok könyvvizsgálói felett, annak érdekében, hogy megvédje a befektetők érdekeit, valamint, hogy az informatív, valósághű és független könyvvizsgálói jelentésekkel kapcsolatban a közérdeket képviselje. A PCAOB törvényi kötelezettsége, hogy kidolgozza az egyesült államokbeli tőzsdei társaságok könyvvizsgálata során alkalmazandó könyvvizsgálati szabványokat. A PCAOB létrehozásával a számviteli és könyvvizsgálati szektor már nem élvezi az önszabályozás korábbi szintjét. Globalizáció, konvergencia és igény harmonizált sza bványokra A globalizáció és a nemzetközi konvergencia szintén szerepet játszottak abban a munkában, amelynek során az IAASB aktualizálta a meglévő könyvvizsgálati szabványokat, illetve újakat fejlesztett ki. Az Európai Unió (EU) és a Világbank keresik a lehetőséget egymással harmonizált és magas minőségű könyvvizsgálati szabványok széleskörűbb alkalmazására. Az EU az európai tőzsdéken jelen lévő társaságok számára a Nemzetközi Számvitele Standardok Bizottsága (International Accounting Standards Board) által kialakított Nemzetközi Pénzügyi Beszámolási Standardok (International Financial Reporting Standards) alkalmazását írja elő. Az EU jelezte azt is, hogy minden az Unióban végrehajtott könyvvizsgálat esetében meg fogja követelni a nemzetközi könyvvizsgálati szabványok (ISA) alkalmazását. Az egyesült királyságbeli Könyvvizsgálati Eljárások Testülete (Auditing Practices Board) a nemrégiben vezette be az nemzetközi könyvvizsgálati szabványokat. Világszerte lépések történnek az nemzetközi könyvvizsgálati szabványok a nemzeti könyvvizsgálati szabványokkal való harmonizálására. Megfigyelhető az a tendencia is, hogy egyre közelebb kerülnek egymáshoz az állami és a magán szférában alkalmazott könyvvizsgálati szabványok.


109

Kapcsolat az állami és a magánszféra között A közszféra már jelenleg is több téren képviselteti magát a nemzetközi könyvvizsgálati szabványok kialakításában. A legfőbb ellenőrzési intézmények (SAI) közül már mai is több rendelkezik a közszféra számára jól kialakított könyvvizsgálati szabványokkal. Az ilyenek leginkább az Egyesült Államokban és az Egyesült Királyságban jellemzőek, ahol bizonyos kormányzati könyvvizsgálati feladatokat magánkézben lévő könyvvizsgálók végzik el, majd azokat a legfőbb ellenőrzési intézmény felülvizsgálja. A legfőbb ellenőrzési intézmények ezekben az országokban kapcsolatban állnak a nemzeti szabványok megalkotóival és rendszeres konzultációban vesznek részt – például kerekasztal megbeszélések keretében – a nemzeti könyvvizsgálati szabványok kidolgozása során. A rendszerellen őrzési módszer (Systems Based Approach – SBA) A „European Implementing Guidelines for the INTOSAI Auditing Standards” [23] az alábbiaknak megfelelően foglalja össze az alkalmazandó rendszerellenőrzési könyvvizsgálati módszert:

A Belső Pénzügyi Kontrollfolyamatfelmérés hatálya alá tartozó szervezetek jellemzően olyan irányítási rendszereket hoznak létre, amelyek célja a pénzügyi beszámolók pontosságának és teljességének, a jelentések alapjául szolgáló tranzakciók törvényességének és szabályszerűségének, valamint a tevékenységek gazdaságosságának, hatékonyságának és eredményességének biztosítása. Általánosságban, ha egy ellenőrnek módjában áll meggyőződni arról, hogy ezek a rendszerek megfelelőek, akkor a pénzügyi beszámolók, a tranzakciók vagy a szervezet teljesítményének tételes ellenőrzése mérsékelhető.

Az a módszer, mely szerint az ellenőr támaszkodik az ellenőrzött szervezet belső irányítási rendszerére, rendszerszerű megközelítésként, rendszerellenőrzésként vált ismertté. A módszer jól elkülöníthető szakaszai a következők:

(a) a vonatkozó kulcsfontosságú szabályozási rendszerek kiválasztása és annak értékelése, hogy az ellenőr milyen mértékben támaszkodhat (ha egyáltalán támaszkodhat) ezekre a rendszerekre, feltéve, hogy megállapítást nyer, hogy ezek eredményesen működnek

(b) a kulcsfontosságú szabályozási rendszerek működésének ellenőrzése annak megállapítására, hogy ezek valóban eredményesen működtek a vizsgált időszak egészében;

(c) a rendszerellenőrzés eredményeinek értékelése annak megállapítására, hogy vajon az ellenőrzés eredményei igazolják-e a megbízhatóság feltételezett mértékét;

(d) bizonyos számú tranzakció, számlaegyenleg, stb. tételes vizsgálata annak megállapítására (különös tekintettel az ellenőrzés céljaira), hogy – függetlenül az ellenőrzött szervezet belső irányítási és szabályozási rendszerétől – a szervezet pénzügyi beszámolója pontos és hiánytalan-e, a pénzügyi beszámolók alapjául szolgáló tranzakciók törvényesek és szabályszerűek-e és/vagy teljesülnek-e a gazdaságosságra, hatékonyságra vagy eredményességre vonatkozó kritériumok.

A bels ő irányítási és szabályozási rendszer értékelése Az ellenőrnek mintegy minimális követelményként el kell végezni a belső irányítási és szabályozási rendszer adott vizsgálattal összefüggő elemeinek előzetes értékelését. Ennek az értékelésnek elégségesnek kell lennie ahhoz, hogy az ellenőr: a) előzetes értékelést készítsen a vizsgált tevékenység eredendő és a belső ellenőrzésből

(szabályozásból) származó kockázatairól; b) az ellenőrzés e kezdeti szakaszában felmérje, hogy a belső irányítási és szabályozási

rendszer elég eredményes-e ahhoz, hogy a rendszerellenőrzési módszert (SBA) alkalmazhassa. Ilyen körülmények között az ellenőrnek el kell végeznie a belső irányítási


110

és szabályozási rendszer vonatkozó részeinek további alaposabb vizsgálatát, és amennyiben ennek eredményei kielégítők, támaszkodhat a rendszerre. Ez lehetővé teszi, hogy az ellenőr csökkentse a tételes ellenőrzések mennyiségét: az ellenőrzési módszerrel kapcsolatos további iránymutatást lásd az Útmutató 13. sz. pontjában - "Ellenőrzési bizonyíték és ellenőrzési módszer"

A rendszerellenőrzési módszer kiválasztása és alkalmazása esetén az ellenőrnek ezt követően el kell végeznie a belső irányítási és szabályozási rendszer vonatkozó elemeinek alapos értékelését. Ennek az értékelésnek az a célja, hogy:

a) az ellenőr meghatározza, hogy melyek a belső irányítási és szabályozási rendszer legfontosabb kulcselemei, amelyek hatékony működése esetén alkalmasak arra, hogy:

• megelőzzék vagy kiszűrjék a lényeges tévedéseket, vagy biztosítsák a szervezet eszközeinek védelmét (pénzügyi ellenőrzés: a számviteli elszámolások megbízhatósága);

• biztosítsák a vonatkozó törvények és jogszabályok következetes betartását (pénzügyi ellenőrzés: a beszámolók alapját képező tranzakciók törvényessége és szabályszerűsége);vagy

• biztosítsák az ellenőrzött tevékenységek megfelelő gazdaságosságát, hatékonyságát és eredményességét (teljesítményellenőrzés);

b) az ellenőrzés szempontjából fontos belső irányítási és szabályozási rendszer

elemeinek minőségét, valamint felmérje, hogy milyen mértékben megbízható a rendszer és mennyire támaszkodhat rá abban az esetben, ha a rendszer ellenőrzése bizonyítékot szolgáltat arra, hogy folyamatosan eredményesen működik.

Fontos felhívni a figyelmet arra, hogy az ellenőrzésnek ebben a szakaszában az ellenőr már képes felmérni a belső irányítási és szabályozási rendszer lehetséges eredményességét, amit az ellenőrzött szervezet vezetése irányelveinek és utasításainak megfelelően kellett kialakítani. Ahhoz azonban, hogy az ellenőr valóban támaszkodhasson erre a rendszerre, értékelnie kell a rendszer tényleges működésének eredményességét, azaz el kell végeznie a rendszer tesztelését.

A rendszerellenőrzési módszer (SBA) hivatkozott terminológiája „régiesnek” tűnik, mindazonáltal, a belső kontrollrendszer ellenőrzésével kapcsolatban új értelmezéseket alkalmaz az egyes iparágakban. Például az INTOSAI is új útmutatókat fejleszt ki a megfelelésre vonatkozó ellenőrzések témájában, amelyek szélesebb témakörük és hatályuk révén nem csupán a kormányzat különböző szintjeit célozzák meg, de a közszféra egyéb szervezeteit is. A különböző rendszerek és módszerek problémáinak beazonosítása és megtárgyalása szintén javíthatja a standardok és útmutatások minőségét. Ez fontos segítséget nyújt az olyan megalapozott és megbízható és a legjobb gyakorlatot tükröző szabványok és útmutatók kialakítása során, amelyeket mind a köz-, mind a magánszféra sikerrel alkalmazhat. A szabályszer űségi-, pénzügyi- és teljesítmény ellen őrzés kapcsolata A kérdés mérlegelése során az INTOSAI munkacsoport első megközelítésében azt vette figyelembe, hogy a legfőbb ellenőrzési intézmény esetében a szabályszerűségi ellenőrzések úgy kapcsolódnak a pénzügyi ellenőrzéshez, hogy a szabályszerűségi ellenőrzések tartalmazzák annak felmérését, hogy az elszámolásokban vagy pénzügyi beszámolókban bemutatott vagy szereplő tevékenységek, pénzügyi ügyletek és információk megfelelnek-e a vonatkozó törvényeknek és szabályoknak, költségvetési döntéseknek és feltételeknek, stb.


111

Ezzel szemben a – teljesítmény ellenőrzés részét képező – szabályszerűségre vonatkozó kérdések gyakran a szabályszerűségi előírásoknak egy hosszabb időtávon történő megfelelés értékelését célozzák a gazdaságosság, hatékonyság és eredményesség teljesítmény-ellenőrzésének tükrében. A pénzügyi, a szabályszerűségi és teljesítmény-ellenőrzések közötti kapcsolatot vizsgálhatjuk a bizonyosság, számon kérhetőség és eredményesség, stb. szempontjából is, ahol a bizonyosság és számon kérhetőség a pénzügyi és szabályszerűségi ellenőrzésre, míg az eredményesség, stb. a teljesítmény ellenőrzésre vonatkozik. Ebből a szempontból a pénzügyi és szabályszerűségi ellenőrzés, vagy inkább a pénzügyi és pénzügyi-szabályszerűségi ellenőrzés, (elvben) éves ellenőrzésként jelennek meg, és az éves pénzügyi beszámoló bizonyossággal és számon kérhetőséggel kapcsolatos kérdéseit vizsgálják, míg a hatékonyság, stb. ellenőrzése – bár ennek is lehet szabályszerűségi vonatkozása – inkább eseti jellegű és nem feltétlenül éves rendszerességgel kerül végrehajtásra. Összhangban azzal az implicit céllal, hogy a közszféra ellenőrei a pénzügyi ellenőrzések terén az útmutatók egy teljes készletét kapják, az INTOSAI által kidolgozásra kerülő Szabályszerűségi Ellenőrzési Útmutatóknak a pénzügyi-szabályszerűségi ellenőrzésre kell a hangsúlyt helyezniük, figyelembe véve azt is, hogy bizonyos legfőbb ellenőrzési intézmények a teljesítmény-ellenőrzés részeként kezelik a szabályszerűségi kérdéseket.


112

5.3 A rendszer alapú ellen őrzési módszer és a folyamatfelmérés A hagyományos értelmezés szerint a rendszer alapú ellenőrzést a már meglévő rendszerek és a hozzájuk kapcsolódó kontrollok határozzák meg. Ez a megközelítés feltételezi, hogy a meglévő rendszerek lefedik az összes kockázatot, és a módszer gyakran „belső kontroll kérdőívekre” támaszkodik: ezek olyan egységes dokumentumok, amelyeket az egyes ellenőrzések végrehajtása során alkalmaznak. A kockázat alapú felmérések szakértői felhívják a figyelmet az ilyen kérdőívek a kockázat alapú módszerrel [24] szemben meglévő veszélyeire:

• Lehet, hogy a kérdőívek nem teljeskörűek. Különösen, lehet, hogy nem ellenőrzik a vezetést minden jelentős kockázatra vonatkozóan.

• Mivel sok kérdőív nem kapcsolódik a kockázatokhoz, nincs jelzés a tesztelés fontosságára vonatkozóan, valamint arra vonatkozóan, hogy milyen következménnyel jár, ha az ellenőrzött kontroll eredménytelennek minősül.

• Az ilyen kérdőívek „kipipálási” feladattá válhatnak, ha az alkalmazottak a munkát a rendelkezésre álló idő alatt akarják elvégezni, de annak lényegét nem értik meg. Ilyen esetben komoly kockázatokat hagyhatnak figyelmen kívül, amelyek így nem kerülnek megfelelő kezelésre.

• Az ilyen kérdőívek nem ösztönzik a vezetést a kockázatok megállapítására és kontrollálására.

A COSO modellek főbb célkitűzés-kategóriáinak a mérési keretrendszer képesség-dimenziójába történő leképezésével és alkalmazásával ezek a lehetséges hátrányok elkerülhetőek. A képesség profilok használatával a felmérés szponzora eredményes eszközt biztosít a vezetés számára a kontrollkockázatok megállapításához, megértéséhez és kezeléséhez. Ha a kiválasztott kontrollfolyamatokra vonatkozóan elérik a 4. szintű attribútumokat, a vezetés költség-hatékony módon lesz képes bevezetni és alkalmazni a kockázatkezelés elveit. A mind a folyamat-, mind a képesség-dimenziókat tartalmazó felmérési modell nem csupán a „belső kontroll kérdőívek” és az ellenőrző listák használatát teszi szükségessé, hanem figyelembe veszi a vonatkozó felmérési mutatókat is. Az ISO/IEC 15504 szabvány szerinti felmérési folyamat szabványos előírásainak megtartása segít ennek a fejlett mérési módszernek a szektoronként eltérő szabványokat alkalmazó belső és külső ellenőrzési eljárásokba történő bevezetésében. Az ISO/IEC 15504 szabvány szerinti, és a belső pénzügyi kontroll felmérésére vonatkozó elveket alkalmazó kontrollkockázat felmérési módszer megfelelő eszközt nyújt a rendszer alapú ellenőrzés általános hibáinak elkerülésére. A bemutatott Belső Pénzügyi Kontroll Felmérési Modell olyan felmérés szponzorokat (felsővezetőket, felügyeleti testületeket) és felkészült felmérőket (auditorokat) célozz meg, akik vagy a képesség-meghatározás (bizonyosságot igazoló ellenőrzési megbízások) vagy a folyamatjavítás (tanácsadási ellenőrzési megbízások) céljából végzett felmérés során szeretnének egy modellt és annak kapcsolódó dokumentált folyamat módszerét kiválasztani és bevezetni. Ebben az összefüggésben a megfelelést igazoló (vagy szabályozói), pénzügyi- és teljesítmény ellenőrzés kifejezések hozzárendelhetők a jelen COSO alapú folyamatfelmérési modell képesség-dimenziójához. Bizonyos szabályozási körülmények esetén az 1. szinten mért megfelelőségi előírások szükségessé teszik a 3. (működési) szintű folyamat-attribútumok teljesítését a kontrolltevékenységek egy jól meghatározott készletére vonatkozóan. A különböző ellenőrzési típusoknál a célkitűzés-kategóriákra vonatkozóan előforduló átfedéseket az ISO/IEC 15504 folyamat felmérési elvekkel és módszerekkel lehet magyarázni és alátámasztani.


113

6. A csalás és szabálytalanságok felmérése és csök kentése

6.1 Alapfogalmak Bármennyire is fontos a belső kontrollrendszer a szervezet számára, egy eredményes rendszer még nem garancia arra, hogy a szervezet sikeres lesz. Az eredményes belső kontrollrendszer tájékoztatja a megfelelő embereket a szervezet előrehaladásáról (vagy annak hiányáról) céljai teljesítése során, de nem képes arra, hogy egy gyenge vezetést jó vezetéssé alakítson. A belső kontrollrendszer nem képes biztosítani a sikert, de még a túlélést sem. A kockázatkezelés és a belső kontrollrendszer nem ad abszolút bizonyosságot a vezetés és a felügyeleti testület számára arról, hogy a szervezet teljesíti kitűzött céljait. A belső kontrollrendszerekre általánosságban jellemző eredendő korlátok miatt erről csak ésszerű bizonyosságot tud biztosítani. Például, egyszerű hiba vagy tévedés következtében, vagy a vezetés valamely szintjén hibásan kialakított megítélések miatt zavar állhat be a belső kontroll szerkezetében. Ezen felül, a kontrollok kikerülhetők az érintettek összejátszásával, vagy a szabályok vezetők általi megszegése következtében.

A csalás fogalmára az alábbi meghatározásokat alkalmazhatjuk:

Az igazság szándékos megmásítása annak céljából, hogy egy olyan személyt, aki az ilyen igazságra támaszkodik, valamely birtokában lévő értékes dologtól történő megválásra vagy egy jogáról történő lemondásra késztessenek.

Egy tény hamis bemutatása, akár szóban, akár ráutaló magatartással, hamis vagy félrevezető állítással, vagy olyan dolog eltitkolásával, amelyet közzé kellett volna tenni, amely valakit félrevezet és célja az illető félrevezetése annak érdekében, hogy az a személy saját jogainak sérülésére cselekedjen…

Általános kifejezés, amely felölel minden olyan eszközt, amelyet az emberi leleményesség létre tud hozni, és amelyet valaki arra tud felhasználni, hogy egy másik emberrel szemben előnyre tegyen szert hamis állítással vagy az igazság eltitkolásával, ideértve bármely meglepetést, trükköt, cselt, a tények leplezését vagy tisztességtelen módszert, amellyel a másikat be lehet csapni.

Black’s jogi szótár (Hatodik kiadás, 1990)

A szervezetet érintő csalás általában az alábbi három csoport egyikébe tartozik:

• Vezetői csalás: ide tartozik a pénzügyi beszámoló a felsővezetés általi szándékos hamis bemutatása, vagy lopás vagy a társasági erőforrások nem megfelelő felhasználása.

• Alkalmazotti csalás: ide tartozik a nem felső beosztásban lévő alkalmazottak által elkövetett lopás, vagy a társasági erőforrások nem megfelelő felhasználása.

• Külső csalás: ide tartozik az olyanok által elkövetett lopás vagy a társasági erőforrások nem megfelelő felhasználása, akik a társaságnak se nem vezetői, se nem alkalmazottai.

A csalás fenti besorolása hasznos, de a kategóriák nem tekinthetők abszolútnak. Egy középvezető is megmásíthatja szándékosan a pénzügyi beszámolóban szereplő ügyleteket, annak céljából, hogy látszólag javítsa azok teljesítményét, de külső személyek is összejátszhatnak a vezetéssel vagy az alkalmazottakkal.


114

Az Amerikai Könyvvizsgálók Szervezete (American Institute of Certified Public Accountants – AICPA) 2002 októberben jelentette meg a SAS 99 sz. – A csalás megítélése a pénzügyi beszámoló ellenőrzése során c. könyvvizsgálati szabványt. Ebben kapott helyet a „Management Antifraud Programs and Controls: Guidance to Help Prevent, Deter, and Detect Fraud” [25] (Vezetői korrupció ellenes programok és kontrollok: útmutató a csalás megelőzésére, meggátlására és felfedésére) című dokumentum. Ez az anyag arra ösztönzi a társasági vezetést, hogy egyenrangú partnerként működjön együtt a könyvvizsgálóval egy olyan környezet kialakításában, amely nem fogadja el és nem is segíti elő a jogszerűtlen tevékenységeket. Az AICPA által megjelentett dokumentum [26] alapján összefoglaljuk a csalás megelőzésére vonatkozó témaköröket.

Az anyag meghatározza azokat az intézkedéseket, amelyeket a szervezetnek a csalás megelőzésére, meggátlására és felfedésére kell tennie. A dokumentum szerint a szervezeteknek három alapvető gyakorlatot kell kialakítaniuk:

• A becsületesség és magas erkölcsi értékek kultúráját

• Csalás elleni folyamatokat és kontrollokat

• Megfelelő felügyeleti folyamatot A becsületesség és magas erkölcsi értékek kultúrája . Az anyag kiemeli, hogy a vezetés számára a csalás megelőzésének legfontosabb módja annak – mind nyilatkozatokban, mind tettekben történő – eredményes kommunikálása, hogy nem hajlandó eltűrni a csalást. Ez nyilvánvalónak tűnhet, de azzal, hogy a legfelső szinten a vezetés ilyen „karaktert” határoz meg, sokat segíthet a csalás a teljes szervezetben történő megelőzősében.

„A kutatások azt mutatják, hogy a tisztességtelen tevékenységek csökkentésére a legeredményesebben úgy lehet intézkedéseket bevezetni, hogy azokat a szervezeti alapértékek egy készletére alapozzuk…. Ennek alapján egy olyan részletesebb viselkedési kódex lesz kialakítható, amely pontos útmutatást ad a megengedett és tiltott viselkedésről, követve a vonatkozó jogi szabályozást és a szervezet értékrendjét. A vezetésnek egyértelművé kell tennie, hogy minden alkalmazott kötelessége a szervezet viselkedési kódexének megfelelően eljárni.”

Mivel a legtöbb alkalmazott nincs olyan helyzetben, hogy figyelemmel tudná kísérni a társaság vezetőinek tevékenységét, a vezetésnek biztosítania kell, hogy a szervezet értékrendjét minden alkalmazott megismerje. Erre a legjobb mód a viselkedési kódex bevezetése. Egy ilyen anyag jellemzően az erkölcsi értékekkel, a titoktartással, az összeférhetetlenséggel, a szellemi tulajdonnal, a nemi zaklatással és a csalással foglalkozik. Ugyanakkor a vezetésnek az etikai kódexet támogatnia kell egy olyan munkakultúra kialakításával, amely elismeri az erkölcsös viselkedést és elutasítja a tisztességtelen tevékenységeket, még akkor is, ha ezen utóbbiak a szervezet számára pénzügyi előnnyel járnak. Csak így fogják az alkalmazottak tisztán látni, hogy a viselkedési kódex több, mint néhány papírra vetett szó.

„Ha nem teljesíthető célokat tűzünk ki az alkalmazottaknak, akkor őket két kedvezőtlen lehetőség elé állítjuk: sikertelenek lesznek, vagy csalni fognak. Ezzel szemben, ha a vezetés kimondja, hogy „Határozottan el kívánjuk érni a kitűzött célokat, de eközben mindvégig biztosítani akarjuk a valós pénzügyi beszámolást,” akkor ezzel egyértelmű jelzést ad az alkalmazottak számára, hogy a tisztesség alapvető elvárás. Egy ilyen üzenet azt is közvetíti, hogy a szervezet „zéró toleranciát” tanúsít az erkölcstelen viselkedéssel szemben, ideértve a hamis pénzügyi beszámolást.”

A szöveg azt is aláhúzza, hogy ritkábban kerül sor tisztességtelen tevékenységre akkor, ha az alkalmazottak jó érzéssel gondolnak munkahelyükre, mintsem olyan környezetben, ahol magukat kihasználtnak, fenyegetettnek vagy figyelmen kívül hagyottnak érzik. A rossz munkahelyi hangulat


115

hatással lehet az alkalmazottak a csalás elkövetésével kapcsolatos hozzáállására, míg egy olyan vállalati kultúra, amelyben a dolgozók maguk is részt vesznek a pozitív munkakörnyezet kialakításában, tiszteletet teremt a szervezet viselkedési kódexével kapcsolatban. Az alkalmazottak felügyeleti tevékenységének elősegítésére a szervezetben olyan folyamatot kell bevezetni, amely a lehetővé teszi számukra, hogy bizalmas módon tudjanak jelenteni valamely tényleges vagy gyanított szabálysértést egy olyan közvetlenül hívható telefonszámon, amelyen egy az erkölcsi értékekkel vagy a csalással foglalkozó tisztségviselő, a társaság jogásza vagy egyéb bizalmat élvező személy érhető el. Csalás elleni folyamatokat és kontrollok. Sem hamis pénzügyi beszámolásra, sem a társasági eszközök hűtlen kezelésére nem kerülhet sor anélkül, hogy annak elkövetője ne érzékelje azt, hogy lehetőség van az ilyen tevékenységre és annak eltitkolására. Az anyag útmutatást ad arra vonatkozóan, hogyan tudja egy szervezet a csalás kockázatát megállapítani és mérni, valamint bemutatja, milyen intézkedéseket lehet tenni az ilyen kockázat csökkentésére és a megelőző belső kontrollok bevezetésére.

„Lehetőséget kell adni az alkalmazottak számára, hogy a szervezeten belül tájékoztatást szerezhessenek, mielőtt jelentős jogi vagy erkölcsi következménnyel járó döntést hoznak. Szintén bíztatni kell az alkalmazottakat és meg kell adni számukra az eszközt arra, hogy a szervezet viselkedési kódexének megsértésével kapcsolatos aggályaikat – ha úgy kívánják név nélkül – közölhessék úgy, hogy nem kell negatív következményektől tartaniuk. … Például, vannak szervezetek, ahol egy olyan közvetlen telefonszám áll rendelkezésre, amelyen egy az erkölcsi értékekért felelős tisztviselő … vagy egyéb, a csalás vagy jogszerűtlen tevékenység kivizsgálásáért és jelentéséért felelős bizalmat élvező személy érhető el vagy amelyet ilyen személy felügyel.”

Elképzelhető például, hogy a pénztári hűtlen kezelés kockázatának csökkentésére vagy megszüntetésére egy bank központi széfet használ a befizetések tárolására, ahelyett, hogy a pénzt ez egyes bankfiókokban tartaná. Egy társaság megakadályozhatja a pénzügyi beszámolással kapcsolatos csalást például úgy, hogy egy olyan adminisztrációs szolgáltató központot hoz létre, amely a különböző szegmensek, társult vállalkozások vagy földrajzi területek számára végez számviteli szolgáltatást. Szervezetenként változó, hogy mely intézkedés vezet eredményre, de az anyag felsorol olyan egyedi visszatartó intézkedéseket, amelyek bármely társaság esetében alkalmazhatóak. Bár minden szervezet ki van téve kockázatnak, belső kontrolljaik segítségével képesnek kell lenniük egy eredményes és biztonságos környezet kialakítására. És mivel a csalás előfordulhat úgy is, hogy a vezetés sérti meg a belső kontrollokat, a társaság értékrendjének és kultúrájának támogatnia kell azt, hogy az alkalmazottak elutasíthassák a csalásban történő részvételt, valamint eszközt kell biztosítani a tisztességtelen magatartás jelentésére. Megfelel ő felügyeleti folyamat. A vezetés felelős az alkalmazottak által végzett tevékenységek felügyeletéért, valamint a csalás elleni folyamatok és kontrollok bevezetéséért és figyelemmel kíséréséért. Néha viszont maguk a felső vezetők kezdeményezik valamilyen tisztességtelen tevékenység elkövetését vagy annak eltitkolását, illetve ilyenben maguk is részt vehetnek. Ezért van szüksége arra, hogy a felsővezetés tevékenységét az audit bizottság (vagy audit bizottsággal nem rendelkező szervezetek esetén a felügyeleti testület) felülvizsgálja.

„Ha a felsővezetés csalásban érintetté válik, a következő vezetési szint nagy valószínűséggel tudni fog az esetről. Ennek következtében az audit bizottságnak (vagy a felügyeleti testületnek) mérlegelnie kell egy nyílt kommunikációs csatorna kialakítását a felsővezetés alatt egy vagy két szinttel elhelyezkedő vezetői réteg felé, annak érdekében, hogy lehetőség nyíljon a szervezet legmagasabb szintjén történő csalás megállapítására….”


116

Az anyag egyértelműen megfogalmazza, hogy a társasági vezetésnek, a felügyeleti testületnek és az audit bizottságnak a könyvvizsgáló mellett kötelessége részt vállalni a csalás felderítésében és meggátolásában. Míg a csalás elleni rendszereket és eljárásokat a vezetés tervezi meg és vezeti be, elengedhetetlenül fontos az audit bizottság és/vagy az igazgatóság erős felügyeleti szerepe. Ezeknek a szerveknek folyamatosan értékelniük kell a vezetés a csalás kockázatának megállapítására, a csalás elleni intézkedések bevezetésére, valamint a legfelsővezetés megfelelő „karakterének” fenntartására vonatkozó tevékenységét. Az aktív felügyelet megerősíti a vezetés elkötelezettségét egy olyan vállalati kultúra kialakítására, amely „zéró toleranciát” tanúsít a csalással kapcsolatban.

„Vannak a szervezet környezetében eredendően meglévő kockázatok, de legtöbbjüket egy megfelelő belső kontrollrendszerrel kezelhetők. A csalás kockázatfelmérését követően a szervezet képessé válik, hogy meghatározza azon folyamatokat, kontrollokat és egyéb eljárásokat, amelyekre a megállapított kockázatok csökkentésre van szükség…. Különösen, a vezetésnek értékelnie kell, hogy bevezetésre kerültek-e a megfelelő belső kontrollok minden olyan területen, ahol a vezetés a tisztességtelen tevékenységek nagyobb kockázatát állapította meg, valamint a társaság pénzügy beszámolási folyamatát érintő kontrollok.”

Amikor egy szervezet csalás elleni eljárásokat vezet be, sokkal többet tesz, minthogy csupán megvédi magát a csalás következtében esetlegesen felmerülő jelentős pénzügyi kártól. Az ilyen eljárásokkal a szervezet megvédi jó hírnevét, a stratégiai célok teljesítésére vonatkozó képességét, és természetesen értékét is.


117

6.2 A bels ő kontrollok vezetés általi megszegése A jelen rész alapjául a Management Override of Controls: The Achilles' Heel of Fraud Prevention [27] (A kontrollok vezetés általi megszegése: a csalás megelőzésének Achilles sarka) című kiadvány szolgált. Minden szervezetnek alapvető szüksége van a belső kontrollok egy erős rendszerére, függetlenül attól, hogy tőzsdei cégről, magánvállalkozásról, non-profit társaságról vagy a közszféra valamely szervezetéről van szó. A szervezetben a vezetés felelős a belső kontrollrendszer kialakításáért és fenntartásáért, míg a felügyeleti testület alatt működő audit bizottság (vagy a teljes felügyeleti testület, ha audit bizottság nem működik a szervezetben) felelős ezeknek a folyamatoknak a felülvizsgálatáért. A belső kontrollok nem csak az üzletmenet szempontjából hasznosak, de egyben csökkentik a szervezetben a csalás kockázatát is azzal, hogy ellenőrzési rendszert biztosítanak a sikkasztás és hűtlen kezelés esélyének minimalizálására. De mi történik akkor, amikor a vezetés megszegi a pénzügyi beszámolásra vonatkozó belső kontrollokat? Van, amikor jogos az ilyen lépés – azért van rá szükség, mert például a rendszer nem kezeli a szokásostól eltérő ügyleteket. Nem szabad elfelejteni viszont, hogy a kontrollok vezetés általi bármely megszegése kizárólag a vezetés többi tagja számára, a belső ellenőrzési terület, az audit bizottság (ha a társaság pénzügyi beszámolási rendszerét érintő kontroll megszegéséről van szó), és szükség esetén a teljes felügyeleti testület számára átlátható módon történhet. Sajnos néha a vezetés a kontrollokat tisztességtelen célból szegi meg – a valós pénzügyi eredmények leplezésére vagy eszközök hűtlen kezelés céljából. A felügyeleti testület alatt működő audit bizottságnak kulcsfontosságú szerepe van a kontrollok vezetés általi megszegése elleni tevékenységben. A szakértők aláhúzzák, hogy a szervezeti- és felső vezetők által elkövetett csalások három és félszer akkora veszteséget okoznak, mint az alkalmazotti csalások. Vajon az ilyen csalások közül hány valósult meg a kontrollok vezetés általi megszegésével? A pénzügyi beszámolást érintő kontrollok vezetés általi megszegésére alkalmazott módszerek között megtalálhatóak az alábbiak:

• Értékesítési bizonylatok korábbi időszakra történő vissza-dátumozása,

• Korrekciós tételek bevitele a pénzügyi beszámolás zárási folyamata során, vagy

• Tételek hibás besorolása az eredmény-kimutatásban és a mérlegben. A szabályok megszegésének ezen módszerei közül néhányat alkalmaztak a Sarbanes-Oxley törvény létrehozásához vezető számviteli botrányok során, és ezek a módszerek világszerte elhíresültek. Az audit bizottság feladata, hogy segítse a kontrollok vezetés általi megszegésének megelőzését vagy meggátolását. Fontos, hogy az audit bizottság tudja, hogy létezik a szabályok megszegésének felfedését szolgáló rendszer, illetve, hogy megbizonyosodjon ennek megfelelőségéről. A következőkben bemutatunk néhány olyan lépést, amelyet az audit bizottságnak figyelembe kell vennie a belső kontrollok vezetés általi megszegésére vonatkozó kockázat értékelése során: A kételkedés fenntartása – A kételkedés olyan megközelítés, amely elismeri, hogy a csalás kockázata, ideértve a szabályok a vezetés általi megszegésének kockázatát, minden szervezetben jelen van. A megfelelő szintű kételkedést tanúsító audit bizottság figyelmet fordít a csalás kockázatának lehetséges tényezőire és kész néha nehéz és talán kényelmetlen kérdéseket is feltenni. A kételkedés megfelelő szintje továbbá olyan környezetet tesz szükségessé, amely elősegíti az audit bizottsági tagok nyílt és őszinte párbeszédét, valamint elégséges időt biztosít a szervezetet érintő csalás lehetőségeivel kapcsolatos „mi lenne ha” forgatókönyvek átgondolására és mérlegelésére. A kontrollok vezetés általi megszegésével kapcsolatos kockázatok mérlegelése során az audit bizottságnak félre kell tennie a vezetés tisztességébe vettet hitét, mivel a szabályokat leggyakrabban a „jó útról a rosszra” térő vezetők követik el.


118

Ismerje meg jobban az audit bizottság a társaság üz letmenetét – A ma működő audit bizottságoknak alaposan kell ismerniük az adott iparágat és üzleti tevékenységeket ahhoz, hogy alapot teremtsenek eredményes felülvizsgálati tevékenységükhöz. Az ilyen tudás egyben segíti az audit bizottságot az olyan üzleti és pénzügyi kockázatok megállapításában és megértésében, amelyek hozzájárulhatnak a csalás valószínűségének növekedéséhez. A legtöbb vállalkozás rendelkezik tervekkel olyan jogszerű lépésekre, amelyet akkor alkalmaznak, ha a pénzügyi teljesítmény elmarad az elvárásoktól. Mindazonáltal, amikor egy cég a kívánt eredményeket nem képes jogszerűen teljesíteni, felmerül a csábítás arra, hogy a belső kontrollok megszegésével javítson a beszámolók eredményein. Ha tisztában van az eredményt befolyásoló legfontosabb tényezőkkel, valamint azokkal a lépésekkel, amelyeket a vezetés akkor tesz meg, ha az eredmény elmarad a várakozásoktól, az audit bizottság jobban tudja megállapítani az olyan helyzeteket, amelyekben a vezetés tevékenysége átlép egy határt, és elhagyja a törvényesség kereteit. Ötletbörze a csalás kockázatának megállapítására – Az audit bizottság tagjai javíthatják a belső kontrollok vezetés általi esetleges megszegésének kezelésével kapcsolatos eredményességüket azzal, hogy, maguk között, megbeszélik a lehetséges csalásokat. Ennek céljából hasznos lehet egy eszmecsere arról, hogy a bizottság szerint hogyan és hol van kitéve a szervezet csalásnak, mi motiválhatja a vezetést a csalás elkövetésére, hogyan szegheti meg a vezetés a kontrollokat a tisztességtelen pénzügyi beszámolás megvalósítása és eltitkolása céljából, valamint hogyan valósítható meg a társaság eszközeinek hűtlen kezelése. Eredményesebb lehet az ötletbörze, ha azt – legalább részben – a vezetés jelenléte nélkül tartják. A pénzügyi beszámolási kultúra felmérése a viselked ési kódex segítségével – Önmagában az, hogy létezik egy viselkedési kódex, nem elégséges ahhoz, hogy csökkenjen a kontrollok vezetés általi megszegésének valószínűsége. Az audit bizottságnak a viselkedési kódexet viszonyítási alapként kell használnia annak felmérésére, hogy a vállalati kultúra, vagy más szóval a felsővezetés „karaktere”, és a vezetés lépései szükséges és elégséges feltételeket nyújtanak-e ahhoz, hogy fenntartsák a tisztességes viselkedés legmagasabb szintjét a nehéz helyzetekben is, valamint akkor is, amikor lehetőség nyílik a csalásra. Név nélküli bejelentéseket lehet ővé tevő program aktív m űködtetése – A kutatók szerint a különféle csalásokra az esetek 40 százalékában bejelentés alapján derül fény, és ezzel a csalás felderítésének ez a legjellemzőbb módja. Ahhoz, hogy az audit bizottság eredményesen tudja figyelemmel kísérni a belső kontrollok vezetés általi megszegésének kockázatát, elengedhetetlen, hogy az audit bizottsághoz a felsővezetést érintő összes panasz automatikusan és közvetlenül eljusson (anélkül, hogy azt a vezetés vagy egy másik szervezet tisztviselője megszűrné). Az audit bizottság elsődlegesen a számviteli kérdéseket, a belső kontrollokat és a könyvvizsgálatot érintő panaszokkal foglalkozik. Széleskör ű visszajelzési hálózat kialakítása – Azért nehéz megállapítani azokat a helyzeteket, amikor a vezetés szegi meg a kontrollokat, mert ezek a tevékenységek nem nyilvánvalóak, és senki sem számít arra, hogy a bizalmat élvező vezetés ilyen cselekményt hajt végre. Ezt a helyzetet feloldandó, egy széleskörű információs hálózat kialakításával jelentősen növelni lehet az audit bizottság a belső kontrollok vezetés általi megszegésének felderítésére vonatkozó képességét. Egy ilyen hálózatban jellemzően helyet kap a belső ellenőrzés, a független külső könyvvizsgáló, a javadalmazási bizottság és kulcsfontosságú alkalmazottak. Az audit bizottság mérlegelheti azt, hogy ezen csoportok képviselőivel rendszeres időközönként találkozik és megbeszélést folytat a pénzügyi beszámolási folyamatot érintő témákról.


119

A szervezet és a szervezet vezetésének értékelése során hasznos lehet a hivatkozott cikk [27] függelékében található, a „csalás háromszögével” kapcsolatos három elemről elgondolkodni: • ösztönzők és külső nyomás, • lehetőségek, és • magatartás formák és önigazolás. Ezek a kérdések különösen jól alkalmazhatóak egy eredményes ötletbörze alapjaként. A kérdésekre adott válasz továbbá kiindulópontot nyújthat a belső kontrollok vezetés általi megszegésével kapcsolatos kockázat kontrollálására kialakítandó további intézkedésekhez. Az audit bizottság bevezethet néhányat az így megfogalmazott további lépésekből. A felmérést követő egyéb intézkedéseket a belső ellenőrzés vagy a külső könyvvizsgáló hatáskörébe lehet utalni. Ha az alábbi kérdések valamelyikére pozitív választ kapunk, az nem szükségszerűen jelenti azt, hogy csalás történt. A pozitív válasz inkább azt mutatja, hogy elképzelhető, hogy magas a csalás kockázata és óvatosságból indokolt lehet az audit bizottság további vizsgálata. A vezetést csalásra ösztönz ő tényezők és a küls ő nyomás 1. Fenyegetik-e a szervezet pénzügyi stabilitását vagy eredményességét az alábbiakban felsorolt

(vagy azokra utaló) gazdasági, iparági vagy társasági működéssel kapcsolatos körülmények:

• A csökkenő árréssel együtt járó szoros versenyhelyzet vagy piaci telítettség. • Magas szintű kitettség hirtelen változásoknak, mint például technológiai változások, a

termékek elavulása vagy kamatok. • A vásárlói kereslet jelentős visszaesése és növekvő számú üzleti bukás, akár az adott

iparágban, akár a gazdaság egészében. • Olyan szintű működési veszteség, amely rövid távon csőddel, felszámolással vagy erőszakos

felvásárlással fenyeget. • Visszatérő negatív működési cash flow vagy a működési cash flow termelés képességének

hiánya, miközben a társaság eredményt és eredmény növekedést mutat ki. • Gyors növekedés vagy rendkívüli nyereségesség, különösen az iparág más vállalatainak

hasonló mutatóihoz képest. • Új számviteli, törvényi vagy szabályozói előírások.

2. Az alábbiak következtében nehezedik-e túlzott mértékű nyomás a vezetésre harmadik fél

előírásainak vagy elvárásainak teljesítésével kapcsolatban:

• Befektetési elemzők, intézményi befektetők, jelentős hitelezők vagy egyéb külső felek az eredményességre vagy az üzleti trendekre vonatkozó elvárásai (különös tekintettel az indokolatlanul agresszív vagy irreális elvárásokra), ideértve a vezetés által – például sajtóközlemények vagy az éves jelentés túlzottan optimista megnyilvánulásaival – kiváltott elvárásokat.

• Igény új finanszírozási forrásokra hitel vagy tőke formájában a versenyképesség megőrzésének érdekében – ideértve jelentős K+F vagy beruházási finanszírozást.

• Túl gyenge képesség az adósság visszafizetésére illetve egyéb adósságszolgálati kötelezettség teljesítésére.

• A gyenge pénzügyi eredmények megjelentetésének vélt vagy tényleges hátrányos hatása jelentős függőben levő ügyletekre, mint például üzleti kombinációkra vagy pályázatokra.

3. A vezetés személyes pénzügyi helyzetét veszélyezteti-e a társaság pénzügyi teljesítménye az

alábbiak miatt:

• A társaságban meglévő jelentős pénzügyi érdekeltség. • A javadalmazás jelentős részét (például a prémiumot, részvény opciókat és eredményfüggő

juttatásokat) a részvényárra, a működési eredményre, a pénzügyi helyzetre vagy a cash flow-ra vonatkozó agresszív célok teljesítéséhez kötik. (Megjegyzés: elképzelhető, hogy a vezetői ösztönző rendszert csak a társaság bizonyos számláihoz vagy meghatározott


120

tevékenységéhez kapcsolódó célok teljesítéséhez kötik, még akkor is, ha az ilyen számlák vagy tevékenységek nem feltétlenül lényegesek a szervezet egésze szempontjából.)

• Személyes garanciavállalás a társaság tartozásaiért. 4. Nehezedik-e túlzott nyomás a vezetésre vagy a működésben érintett alkalmazottakra a felügyeleti

testület vagy a vezetés által előírt pénzügyi célok teljesítésével kapcsolatban, ideértve az értékesítési vagy nyereségességi célértékeket, tervszámokat vagy nyilvánosságra hozott előrejelzéseket vagy előirányzatokat?

5. Elvárás-e a nyereség leányvállalati vagy üzleti egység szinten történő „kezelése”, ezzel nyomást

helyezve az alsóbb szintű vezetésre a felsővezetés elvárásainak teljesítésével kapcsolatban? 6. Van-e negatív következménye az alsóbb szintű vezetőkre annak, ha a leányvállalatok vagy üzleti

egységek nem haladják meg a tervben, az előrejelzésekben vagy előirányzatokban foglalt eredményeket vagy azoktól elmaradnak?

A vezetés által kihasználható lehet őségek 1. Van-e az iparág jellegéből vagy a társaság működéséből eredően lehetőség a tisztességtelen

pénzügyi beszámolásra az alábbiak miatt:

• Kapcsolt féllel folytatott, a szokásos üzletmeneten kívüli, vagy nem auditált vagy más cég által auditált kapcsolt társasággal folytatott jelentős ügyletek.

• Erős pénzügyi jelenlét vagy képesség egy bizonyos iparági szektor meghatározó befolyásolására, amely lehetővé teszi a társaság számára, hogy a szállítók vagy vevők felé olyan feltételeket diktáljon, amelyek következtében nem megfelelő vagy nem független felek közötti ügyletek jöhetnek létre.

• Eszközök, kötelezettségek, bevételek és ráfordítások olyan jelentős becsléseken alapuló meghatározása, amelyek tartalmaznak nehezen alátámasztható szubjektív megítélést vagy bizonytalan tényezőket.

• Jelentős, rendkívüli vagy nagyon összetett ügyletek, különösen ha azok az év vége felé jelentkeznek és ha komoly „tartalom a forma felett” jellegű kérdéseket váltanak ki.

• Nemzetközi határokon megjelenő vagy azokon keresztül folytatott jelentős tevékenységek, ahol a joghatóságok különbözősége miatt egymástól eltérő üzleti környezet és kultúra alakult ki.

• Adóparadicsomnak minősülő joghatóságokban meglévő jelentős összegű bankszámlák, leányvállalati vagy fiók szintű tevékenységek, amelyek látszólag nem rendelkeznek egyértelmű üzleti háttérrel.

• Jelentős változások a számviteli rendszerben, különös tekintettel új és összetett rendszerek bevezetésére, vagy olyan esetekre, ahol a kontrollok eredményességét nem megfelelően vették figyelembe.

• Nagyobb szerkezeti változások, mint például akvizíciók, vagy tevékenységek leválasztása, amelyek hatással lehettek a belső kontrollokra, hibalehetőséget teremtve a pénzügyi beszámolásban.

2. Az éves vagy negyedévi pénzügyi beszámolási folyamatban használt jelentős becslések

irreálisak-e vagy inkonzisztensek-e a korábbi időszakok tényszámaival vagy az ugyanazon iparágban működő egyéb társaságok teljesítményével.

3. Sérül-e a vezetésre vonatkozó monitoring tevékenység eredményessége az alábbiak miatt:

• Egyetlen személy vagy kis csoport meghatározó befolyással rendelkezik a vezetésben (nem tulajdonosi vezetés alatt álló társaságban), ellensúlyozó belső kontrollok jelenléte nélkül.

• Eredménytelen felügyeleti tevékenység a pénzügyi beszámolási folyamat és a belső kontrollok terén.


121

4. A szervezeti felépítés túlzott összetettsége vagy instabilitása tapasztalható-e az alábbiakban:

• Nehezen meghatározhatóak azon szervezetek vagy személyek, akik irányító befolyással rendelkeznek a társaságban.

• A szokásostól eltérő jogi egységeket vagy vezetői illetékességi területeket tartalmazó túlzottan összetett szervezeti felépítés.

• A felsővezetés, vállalati jogászok vagy felügyeleti testületi tagok magas fluktuációja. 5. Hiányosak-e a belső kontrollok az alábbiak miatt:

• A belső kontrollok nem megfelelő monitorozása, ideértve az automatikus kontrollokat és a közbenső pénzügyi beszámolót érintő kontrollokat (ha követelmény a külső beszámolás).

• Magas fluktuáció, vagy eredménytelen számviteli, belső ellenőrzési vagy informatikai állomány alkalmazása.

• Eredménytelen számviteli vagy informatikai rendszerek, ideértve jelentési kötelezettség alá eső eseményeket.

6. Van-e jelzés arra vonatkozóan, hogy a pénzügyi vagy számviteli szervezetek és ezek

kulcsfontosságú állományának képesítései vagy képességei jelentős javításra szorulnak? A vezetés által tanúsított magatartás és önigazolás 1. Van-e bármilyen bizonyítéka annak, hogy a vezetés a társasági vagy erkölcsi értékeket

eredménytelenül kommunikálja vagy támogatja, vagy nem megfelelő társasági vagy erkölcsi értékeket közvetít?

2. Van-e bármilyen bizonyítéka annak, hogy a nem gazdasági vezetés túlzott mértékben vesz részt a számviteli elvek kiválasztásában vagy a jelentős becslések meghatározásában, illetve ezekkel túlzott mértékben foglalkozik?

3. Ismert-e az értékpapír törvények vagy egyéb törvények és szabályok korábbi megsértése, vagy csalás vagy a törvények és szabályok megsértéséből eredően a társaság vagy annak felső vezetése ellen támasztott igény?

4. Túlzott érdekében áll-e a vezetésnek a társaság részvényárának vagy eredményességének fenntartása vagy növelése?

5. Kialakult-e a vezetésben olyan gyakorlat, hogy az elemzők, hitelezők és egyéb harmadik fél felé agresszív vagy irreális előrejelzések teljesítésére vállal kötelezettséget?

6. Elmulasztotta-e a vezetés ismert jelentési kötelezettség alá eső események időbeli javítását korábbi időszakokban vagy a tárgyévi könyvvizsgálat során?

7. Tanúsított-e a vezetés érdeklődést nem megfelelő eszközök alkalmazása iránt a közzé tett eredmények adózási célból történő minimalizálására?

8. Tett-e a vezetés kísérletet nem kellően magalapozott vagy nem megfelelő számviteli elszámolás alátámasztására a lényegesség elvére történő hivatkozással?

9. Az alábbiak tekintetében tapasztalható-e feszültség a vezetés és a jelenlegi vagy korábbi

könyvvizsgáló közötti kapcsolatban:

• Gyakori viták a jelenlegi vagy korábbi könyvvizsgálóval számviteli, könyvvizsgálati vagy beszámolási kérdésekben.

• Ésszerűtlen igények támasztása a könyvvizsgáló felé, mint például ésszerűtlen határidők előírása a könyvvizsgálat befejezésére vagy a könyvvizsgálói jelentés kiadására vonatkozóan.


122

• A könyvvizsgálóra vonatkozó olyan formális vagy informális megkötések, amelyek nem megfelelő módon korlátozzák a hozzáférést az alkalmazottakhoz vagy információhoz, vagy a felügyeleti testülettel vagy az audit bizottsággal történő eredményes kommunikációt.

• A vezetés utasító magatartása a könyvvizsgálóval szemben, különös tekintettel olyan helyzetekre, amikor a vezetés a könyvvizsgáló munkájának hatókörét vagy a megbízásra kijelölt könyvvizsgálók kiválasztását vagy azok folytatódó munkavégzését próbálja befolyásolni.

10. Elmulasztotta-e a vezetés időben megállapítani az üzleti kockázatokat vagy elmulasztotta-e

megfelelően figyelemmel kísérni a megállapított kockázatokat? 11. Vonakodik-e a vezetés – időben – foglalkozni olyan kérdésekkel, amelyek a pénzügyi beszámolás

jelentős korrekcióit vagy hátrányos tartalmú közzétételt eredményezhetnek? 12. Tapasztalható-e, hogy a vezetés, a belső ellenőrzés vagy a független könyvvizsgáló az

elvárhatónál kisebb figyelmet fordít a társaság csalás elleni programjaira és kontrolljaira?

13. A pénzügyi helyzet és a működési eredmény vezetői bemutatásában és elemzésében szereplő közzétételek és egyéb információk túl optimisták-e vagy eltérnek-e attól, amit az audit bizottság ismer a működéssel, az iparággal vagy a társaság teljesítményével kapcsolatban?


123

6.3 A COSO bels ő kontroll keretrendszere és a csalás elleni tevéken ységek irányítása

A csalás elleni programok és kontrollok bevezetésének felügyelete során az audit bizottságoknak figyelembe kell venniük a COSO által meghatározott belső kontroll integrált keretrendszerének öt kulcsfontosságú elemét. Feladatuk ellátása során az audit/felügyelő bizottság tagjai szükségesnek ítélhetnek meg feltenni az egyes COSO elemekre visszautaló kérdéseket. A „The importance of antifraud programs and controls” („A csalás elleni programok és kontrollok fontossága”, CEO CFO Certification News, 2006. július, Deloitte Canada) [28] című cikkből idézve az alábbiakban összefoglaljuk ezeket a kérdéseket.

1. elem: A csalással kapcsolatos kockázatfelmérés v égrehajtása

Bár a csalással kapcsolatos kockázatfelmérés végrehajtásáért elsődlegesen a vezetés a felelős, az audit bizottságnak aktív szerepet kell vállalnia a folyamat felügyeletében és a csalással kapcsolatban megállapított kockázat megismerésében. Az audit bizottság a csalás kockázatával kapcsolatos felügyeleti tevékenysége és az, hogy tisztában van a csalás kockázatával, nem csak azt segít biztosítani, hogy a vezetés teljesíti feladatát, hanem meggátolja, hogy a vezetés csalást kövessen el.

Az egyik fontos szempont, amit gyakran figyelmen kívül hagynak – a csalás megelőzésének „Achilles sarka” – az, hogy a csalásra vonatkozó kockázatfelmérés során számba kell venni a belső kontrollok vezetés általi megszegését is. Lehet, hogy az adott társaság rendelkezik azokkal a kontrollokkal, amelyek ha az előírásoknak megfelelően működnek, eredményesen csökkentik a csalás kockázatát. De pont azzal nőhet a csalás kockázata, hogy a vezetés megszegi az ilyen kontrollokat.

Az alábbiakban felsorolunk néhány olyan kérdést, amelyet az audit bizottság a felmérés végrehajtása során alkalmazhat:

• Rendelkezik-e a társaság a csalás kockázatfelmérésére vonatkozó formális eljárásokkal? • A csalás kockázatfelmérésében szerepet kaptak-e a megfelelő személyek (t.i. a vezetés, a

belső ellenőrzés, az üzleti folyamatok gazdái, a gazdasági terület és az audit bizottság)? • Nehezedik-e a vezetésre bármilyen túlzott nyomás a pénzügyi eredmények hamis

bemutatására? • A csalás kockázatfelmérése során figyelembe vették-e a belső és külső környezet tényezőit,

mint például a csalás valószínűségét növelő ösztönzőket és nyomást, az olyan viselkedést és önigazolást, amely az elkövető számára lehetővé teszi a csalás megindoklását, valamint a csalás elkövetésének lehetőségeit?

Az audit bizottság felügyeleti feladatára vonatkozó kérdések:

• Tart-e az audit bizottság a vezetés jelenléte nélkül megbeszéléseket a csalás kockázatáról és a kontrollok vezetés általi megszegéséről?

• Folytat-e az audit bizottság ötletbörzét a csalás kockázatával kapcsolatban? Készítenek „mi lenne ha” forgatókönyveket?

• Tisztában van-e az audit bizottság azokkal a teljesítmény-ösztönzőkkel és lehetséges, nem szándékos következményekkel, amelyek a tisztességtelen pénzügyi beszámolás ösztönzőjeként szolgálhatnak?

2. elem: A csalás elleni kontrollkörnyezet kialakít ása

Hangsúlyt kell helyezni a szervezet kontrollkörnyezetére, mivel az hatással van az egész szervezet kultúrájára. A csalás ellen ösztönző környezet kialakításához fontos, hogy az audit bizottság segítséget nyújtson a vezetésnek a megfelelő „karakter” kialakításához a szervezet legfelső szintjén.


124

Az alábbiakban bemutatunk néhány olyan kérdést, amelyet az audit bizottság a felmérés során alkalmazhat:

• Felmérte a vezetés a szervezet „karakterét” annak meghatározására, hogy a vállalati kultúra elősegíti-e az etikus magatartást és a nyílt kommunikációt? Ennek az értékelését a vállalati kultúra név nélküli felmérése, kutatás és interjúk, vagy belső ellenőrzési áttekintés keretében lehet elvégezni.

• A csalás milyen kockázatait kíséri időszakosan vagy rendszeresen figyelemmel a belső ellenőrzés?

• Mikor frissítették utoljára a viselkedési kódexet? A viselkedési kódexszel kapcsolatos alkalmazotti oktatások milyen rendszerességgel és minőségben történnek?

• Mennyire eredményes a névtelen bejelentést biztosító program? A program rendelkezésre áll külső felek, t.i. szállítók és/vagy vevők számára is?

• Rendelkezik a társaság az alkalmazottak hátterét is ellenőrző formális toborzási és előléptetési rendszerrel?

• A társaság általános jogtanácsosa tisztában van azzal, hogyan követhetnek el az alkalmazottak esetlegesen törvényszegést?

• Nyújt a társaság formális képzést az új alkalmazottaknak a csalás és az etikai értékek témájában?

Az audit bizottság felügyeleti feladatára vonatkozó kérdések:

• Értékeli az audit bizottság, hogy milyen mértékben tartja be a vezetés a viselkedési kódex előírásait? Ha nem, akkor ki végez ilyen értékelést?

• Felülvizsgálja az audit bizottság a kulcsfontosságú vezetők, illetve a belső kontroll keretrendszerben fontos szerepet betöltő alkalmazottak kilépési interjúiról készült jegyzőkönyveket és lemondó leveleket?

• Helyet kapott az audit bizottság alapító okiratában annak csalás elleni felügyeleti feladata?

3. elem: Csalás elleni programok és kontrolltevéken ységek megtervezése és bevezetése

Felülvizsgálati feladata részeként, a szervezet audit bizottságának segítenie kell annak biztosításában, hogy a felsővezetés a csalás meggátolására és megelőzésére megfelelő intézkedéseket vezessen be. Az alábbiakban felsorolunk néhány olyan kérdést, amelyet az audit bizottság az erre vonatkozó felmérés során alkalmazhat:

• A csalás megállapított kockázatait a vezetés összekapcsolta a kontrolltevékenységekkel, a kockázat csökkentése érdekében?

• A társaság kontrolltevékenységei meggátolják az eszközök hűtlen kezelését, amely jelentős hibás bemutatáshoz vezethet a pénzügyi beszámolásban?

• Vonatkoznak megfelelő kontrolltevékenységek a könyvelési tételekre, a becslésekre és a szokásostól eltérő vagy nem-rutinszerű ügyletekre?

• Milyen tételes eljárásokat hajt végre a belső ellenőrzés a kontrollok vezetés általi megszegésének kezelésére?

4. elem: Kommunikáció és információ megosztás

A csalás megelőzését elősegítő kultúra biztosításához a szervezet audit bizottságának biztosítania kell, hogy a társaság csalás megelőzési politikái a szervezet teljes egészében megfelelően kommunikálásra kerülnek. A társaság a csalás megelőzésére és a csalás elleni kontrollokra vonatkozó filozófiáját a szervezet teljes egészében egyértelműen kommunikálni kell, úgy, hogy az alkalmazottak tisztán megértsék a velük szemben megfogalmazott elvárásokat és tisztában legyenek azzal, hogy a szervezet komolyan veszi a csalás kockázatát.


125

Az alábbiakban felsorolunk néhány olyan kérdést, amelyet az audit bizottság a felmérés során alkalmazhat:

• Az etikai elvárásokkal kapcsolatos információt és a vezetés a csalás elleni programokra vonatkozó elkötelezettségét eredményesen kommunikálják a szervezet egészében?

• Minden új alkalmazott kap tájékoztatást a társaság a csalás elleni programok iránti elkötelezettségéről?

• A kommunikáció következetes módon valósul meg a szervezet egészében? • A vezetés kialakította, tesztelte és dokumentálta a csalás elleni programokkal kapcsolatos

információ elterjesztését szolgáló eljárásokat?

5. elem: Monitoring tevékenységek

A vezetés és az audit bizottság utolsó feladata, hogy monitorozza a szervezet csalás elleni programjainak és kontrolljainak minőségét és eredményességét. A monitoring tevékenység két módon végezhető el: folyamatos tevékenységeken keresztül, vagy különálló értékelésekkel. A különálló értékeléseket végrehajthatja a belső ellenőrzés vagy egyéb érintett fél, mint például az üzleti folyamatok gazdái. A monitoring tevékenységek részeként sor kerülhet időszakos egyeztetésekre, az információk külső felek által történő megerősítésére, valamint az alkalmazotti állománytól rendszeres időközönként kapott megerősítésére arra vonatkozóan, hogy ismerik és betartják a társaság viselkedési kódexét.

Az alábbiakban felsorolunk néhány olyan kérdést, amelyet az audit bizottság a felmérés során alkalmazhat:

• Részt vesz a belső ellenőrzés a csalás elleni programok monitorozásában és felmérésében? • Megfelelő a belső ellenőrzési tevékenység a szervezet méretének és működésének

szempontjából? A belső ellenőrzés közvetlenül az audit bizottságnak jelent? • A monitoring tevékenység megállapításai és a megállapított gyengeségek beépítésre kerülnek

a csalásra vonatkozó kockázatfelmérésbe, a kontrollkörnyezet megtervezésébe, valamint a csalás elleni kontrolltevékenységek megtervezésébe?

Válaszadás az audit bizottság kérdéseire Ahogy az audit bizottság erősíti a szervezet csalást megelőző folyamatainak felülvizsgálatát, a vezetésnek készen kell állnia, hogy biztosítsa a szükséges válaszokat az ilyen fokozott vizsgálat során. Míg a csalás elleni program több eleme jelen lehet a szervezetben, ezeket gyakran nem szervezik egységes keretbe és nem dokumentálják megfelelően. Az audit bizottság rendelkezéseinek teljesítéséhez és a szabályozói előírások figyelembe vételéhez elengedhetetlen, hogy a vezetés jó felépített folyamatot alakítson ki a csalás elleni kontrolltevékenységek támogatására.

A jól kialakított és megfelelően dokumentált csalás elleni programok teljesítéséhez az összes vonatkozó belső pénzügyi kontrollfolyamat 2. szintű folyamat-attribútumát kell célként kitűzni. A COSO alapú folyamat-referenciamodell bármilyen típusú és méretű szervezet esetében biztosítja a belső kontrollfolyamat testreszabásához szükséges erőforrásokat. Az ISO/IEC 15504-2 szabványból nyert képesség-dimenzió biztosítja a megfelelő felmérési módszert a csalás elleni vezetői folyamatok megfelelésének, megbízhatóságának és működési eredményességének értékelésére.

Kiindulási pontként elvégezhető az „IFC.RA.FR A csalás kockázata” kontrollfolyamat értékelése. A következő részben erre a folyamatra vonatkozó felmérés alapjait mutatjuk be.


126

6.4 A csalás kockázata kontrollfolyamat Az „IFC.RA.FR A csalás kockázata” kontrollfolyamat alkalmazásával a megfelelés biztosításának céljából értékelni kell, hogy a folyamat célja az eredmények megvalósulásán keresztül teljesül-e. A 18. sz. táblázat mutatja be a Csalás kockázata kontrollfolyamat megállapításának általános formátumát, beleértve a folyamat-végrehajtási mutatókat, mint például az alapgyakorlatokat és a vonatkozó munkatermékeket. A jelen fejezet korábbi részeiben megismertek alapján magától értetődő, hogy ezt az 1. típusú értékelést a COSO keretrendszer mind az 5 komponensével kapcsolatos bizonyos mérésekkel szintén alá kell támasztani. Gyakorlati szempontból, bármely COSO belső kontrollfolyamat jelentős 1. szintű (folyamat-végrehajtási) attribútum hiánya egyben a csalás előfordulásának magas kockázatát is magában hordozza.

Folyamat azonosító IFC.RA.FR

Folyamat neve A csalás kockázata

Folyamat célja A csalásból eredő lényegileg téves bemutatások lehetőségét kifejezetten figyelembe kell venni a pénzügyi beszámolás céljainak elérését érintő kockázatok értékelése során.

Folyamat eredményei

Az IFC.RA.FR folyamat sikeres bevezetésének eredményei:

1) Az ösztönz ők és az egyénre nehezed ő nyomás figyelembe vétele – A vezetés a csalásból eredő kockázatok értékelése során figyelembe veszi az ösztönzőket és az egyénre helyeződő nyomást, a magatartási formákat és az önigazolást, valamint a csalás lehetőségét.

2) A kockázati tényez ők figyelembe vétele – A szervezeti kockázat értékelés során figyelembe veszik az olyan kockázati tényezőket, amelyek befolyásolják a csalás elkövetésének valószínűségét, valamint a csalás a pénzügyi beszámolásra gyakorolt hatását.

3) A felel ősség és a számonkérhet őség megállapítása – A csalással kapcsolatos politikákra és eljárásokra vonatkozó felelősség és számonkérhetőség annak az üzleti egységnek vagy folyamatnak a vezetését terheli, ahol a kockázat felmerül.

Alapgyakorlatok IFC.RA.FR.BP1 A kompenzációs csomagokkal kapcsolato s ösztönz ők és az egyénre helyez ődő nyomás vizsgálata

A felügyeleti testület és a vezetés áttekintik a szervezetben alkalmazott kompenzációs csomagokat és a szervezet teljesítményértékelési folyamatát, annak céljából, hogy megállapítsák azokat a lehetséges ösztönzőket és az olyan, az egyénre nehezedő nyomást, amelyek az alkalmazottakat csalásra késztethetik. [Eredmény: 1]

MEGJEGYZÉS: A ilyen áttekintés azt vizsgálja, hogy a pénzügyi beszámolás célkitűzéseinek elérése, vagy az azoktól való elmaradás hogyan befolyásolhatja a dolgozók értékelését, kompenzációját és a folytatódó alkalmazását.

IFC.RA.FR.BP2 A csalás kockázatértékelésének elvégz ése A vezetés a csalás kockázatára vonatkozóan átfogó értékelést végez, hogy megállapítsa a csalás vagy rosszhiszemű cselekmény előfordulásának minden lehetőségét. [Eredmény: 2]

MEGJEGYZÉS: A vezetésnek figyelembe kell vennie:

• A szervezet iparágában és piacain elterjedt csalási


127

módszereket és helyzeteket

• Azokat a földrajzi régiókat, ahol a szervezet üzleti tevékenységet folytat

• Olyan szokatlan vagy összetett ügyleteket, amelyekre a vezetés jelentős befolyással bír

• Az automatizáltság jellegét

• A becslések és megítélések a pénzügyi beszámolásban képviselt arányát

• Utolsó percben megkötött ügyleteket

• A szabályok a vezetés általi megsértésének veszélyét, és az olyan módszereket, amelyekkel a meglévő kontrolltevékenységek megkerülhetőek.

A fentiek mérlegelése után a vezetés a szükséges információk birtokában értékeli azokat a sajátos területeket, ahol a csalás felmerülhet, valamint a csalás bekövetkezésének valószínűségét és potenciális hatását.

IFC.RA.FR.BP3 A kontrollok megkerülését vagy megsze gését lehet ővé tevő módszerek feltárása

A csalás elleni, a teljes szervezetet átfogó kontrollok tervezési és működési eredményességének megállapítása, értékelése és tesztelése során a vezetés megvizsgálja, hogy az alkalmazottak milyen módon próbálhatják megkerülni vagy megszegni a csalás megakadályozását vagy felderítését célzó kontrollokat. [Eredmény: 2]

IFC.RA.FR.BP4 Informatikai eszközök használata

A vezetés, ahol az célszerű, a csalás kockázatának megállapításának és kezelésének céljából informatikai eszközöket alkalmaz, mint például biztonsági rendszereket, a csalást felderítő és nyomonkövető eszközöket, és esemény követő rendszereket. [Eredmény: 2]

IFC.RA.FR.BP5 Esemény vizsgálati és -korrekciós fol yamatok kidolgozása

A vezetés célszerűen felépített folyamatot dolgoz ki az események kivizsgálására és a korrekcióra. A vizsgálati szerepköröket és felelősségeket világosan meghatározzák, valamint a folyamatok tartalmaznak egy olyan nyomonkövető mechanizmust, amely lehetővé teszi a vezetés számára, hogy jelentse a lényeges csalási eseményeket. [Eredmény: 3]

IFC.RA.FR.BP6 A csalás kockázatának a bels ő ellenőrzés által történ ő értékelése

A belső ellenőrzési terület felelős vezetője beépíti a csalásra vonatkozó kockázatértékelés eredményét a belső ellenőrzési tervbe. A vezetés megvizsgálja és megerősíti, hogy a belső ellenőrzési terv kitér a vonatkozó kockázatokra. [Eredmény: 3]


128

Munkatermékek

Bemenetek Végeredmények

Kompenzációs csomagok [Eredmény: 1]

Üzleti politikák [Eredmények: 1, 2]

Felülvizsgálati dokumentáció [Eredmény: 1]

Tranzakciós adatok [Eredmény: 2]

Csalás kockázatértékelési jelentés [Eredmény: 2]

Ellenőrzési dokumentáció [Eredmények: 2, 3]

Csalás elleni politikák és eljárások [Eredmények: 2, 3]

Csalás elleni vezetői terv [Eredmény: 3]

Felülvizsgálati dokumentáció [Eredmény: 3]

12. táblázat: Folyamat-végrehajtás mutatók: A csalás kockázata (IFC.RA.FR) Az 1. szintű PA 1.1 folyamat-végrehajtás attribútumban jelentkező eltérés jellemző következménye, hogy nem az összes vonatkozó folyamateredmény teljesíthető, és nem áll rendelkezésre a szükséges kontrollt nyomonkövető dokumentáció. Pl. a vezetés és/vagy a felügyeleti testület felülvizsgálatai valamint az események kivizsgálásának és a korrekciós intézkedéseknek a dokumentációja nem megfelelő, a vezetés csalás elleni tevékenysége nem nyomon követhető, stb. A megbízhatóság (2. szintű) céljainak értékelésének céljából a vezetés csalás elleni tevékenységeit kell megvizsgálni a végrehajtás-irányítás és a munkatermék-kezelés folyamat attribútumainak függvényében (feltételezve, hogy az 1. szintű folyamat végrehajtás attribútum hiánytalanul teljesül). A 2. szint PA 2.1 végrehajtás-irányításban jelentkező eltérés jellemző következményei a határidők elmaradása, az erőforrások hiánya vagy nem hatékony felhasználása, nem egyértelmű felelősségek, felhatalmazás nélküli döntések, stb. Pl. a vezetés csalás elleni terve, mint munkaprogram, nem reális, vagy nem állnak rendelkezésre megfelelő erőforrások. A szerepek és felelősségek nem egyértelműen meghatározottak; a munkaprogramtól való eltéréseket nem megfelelően kezelik. A vezetés, a felügyeleti testület, a belső ellenőrzés és a külső ellenőr vagy az egyéb állomány közötti kommunikáció nem tervezett vagy ütemezett; az érintett szervezeti középvezetés nem teszi közzé időben a hiányosságokat; a csalás elleni politikákat és eljárásokat nem vizsgálják felül kellő időközönként. A 2. szint PA 2.2. munkatermék-kezelés attribútumban jelentkező eltérések kiszámíthatatlan minőségű jelentéseket, párhuzamos tevékenységeket és következetlen dokumentációt, a feladatok újbóli elvégzésének megnövekedett költségét és konszolidációs problémákat eredményezhetnek. Pl. a politikák és eljárások korábbi verziói továbbra is használatban vannak; a megállapított szabálytalanságokat nem kommunikálják; a belső kommunikáció nem kerül rendszeres módon iktatásra. A működési eredményesség 3. szinten történő felmérése során a (pénzügyi jelentéskészítésre vonatkozó) csalással kapcsolatos tevékenységeket a szervezet/egység szintű politikákkal és eljárásokkal együtt olyan szempontból kell vizsgálni, hogy a csalás elleni eljárások szempontjából releváns üzleti folyamatokhoz kapcsolódó folyamat-meghatározási és folyamat-alkalmazási mutatók felmérhetőek-e.


129

A 3. szintű PA 3.1 folyamat-meghatározásban jelentkező eltérés azzal a következménnyel jár, hogy a csalás elleni legjobb gyakorlatokat és levont tanulságokat nem veszik figyelembe a politikák és eljárások felülvizsgálata során, vagy a kapcsolódó kontrollfolyamatok eredményei nem azonosíthatóak az egyes működési eljárásokban. Pl. a viselkedési kódex és csalás elleni eljárások hiánya vagy formális leírása visszatartja az alkalmazottakat attól, hogy alternatív bejelentési csatornákon értesítsék a felügyeleti testületet a tisztességtelen tevékenységekről. A 3. szintű PA 3.2 folyamat-alkalmazásban jelentkező eltérés a csalás megelőzését és felderítését szolgáló, a működési eljárásokba épített kontrollok következetlen alkalmazását eredményezheti. Az alkalmazásra tett erőfeszítések eredménytelensége miatt elvesznek a megállapított lehetőségek. Pl. a felügyeleti testület nem veszi komolyan a belső ellenőrzés tanácsadó szerepét és munkáját; a belső kontrollok vezetés általi megszegését nem kezelik módszeresen; és a csalást érintő informatikai kontrollok nem megfelelően tükrözik az informatikai környezet összetettségét. A 4. szintű PA 4.1 folyamatmérési hiányosság esetén következmény lehet, hogy a kulcs kontrollfolyamatok nincsenek megfelelően azonosítva, megtervezve, vagy nem megfelelően működnek annak érdekében, hogy az üzleti célok és a működési folyamatokkal kapcsolatos teljesítmény-mutatók elérésre kerüljenek, illetve a célok elérését veszélyeztető csalási lehetőségek időben beazonosításra kerüljenek. Pl: A kulcs kontrollfolyamatok kapcsán a kivételeket, melyek a belső kontrollok vezetés általi megszegéséhez vezethetnek, a kockázat felmérés során nem kezelik. A 4. szintű PA 4.2 folyamatellenőrzési hiányosság esetén következmény lehet, hogy a kvantitatív végrehajtási célok és a meghatározott üzleti célok ellentétesek. Pl: a vezetők anyagi érdekeltsége (kompenzációs csomagja) a tárgyidőszakra vonatkozó bevételek, illetve kiadások hamis bemutatására ösztönöz.


130

7. Informatikai kontrollok

7.1 Alapfogalmak Az informatikai kontrollok nyújtanak biztosítékot az információk és informatikai szolgáltatások megbízhatóságára vonatkozóan. Az informatikai kontrollok segítenek a szervezet által használatba vett információ-technológiákkal összefüggő kockázatok mérséklésében. Átfogják a tevékenységek széles körét: a szervezeti politikáktól (irányelvektől) azok részletes utasítások szintjén történő megvalósulásig; a fizikai hozzáférési védelemtől a tevékenységek és tranzakciók nyomon követhetőségéig; az automatikus adatszerkesztésektől a nagytömegű adatok megbízhatósági elemzéséig. [29] Az informatikai kontrollok nem önmagukban léteznek. A védelem összefüggő folytonosságát alkotják, de egyúttal gyenge láncszemként veszélyt is jelenthetnek. A rendkívül dinamikusan változó környezetben előfordulhatnak egyszerű vagy akár magas technikai szintű hibák vagy éppen a vezetés általi szándékos szabály-megkerülések. Az informatikai kontrolloknak két lényeges összetevője van: az üzleti folyamatok automatizálása, és az információ-technológia kontrollja. Az informatikai kontrollok amellett, hogy támogatják a vezetést és az irányítást, az informatikai infrastruktúra feletti általános és technikai kontrollokat is biztosítják. Általános informatikai kontrollok Az általános informatikai kontrollok az informatikai folyamatokba és szolgáltatásokba beágyazott kontrollok. Az általános kontrollokra példák az alábbiak:

• Rendszerek fejlesztése • Változáskezelés • Biztonság • Számítógép üzemeltetés

Alkalmazás kontrollok Az üzleti folyamatok alkalmazásokba beágyazott kontrolljaira általában alkalmazás kontrollokként hivatkoznak. A példák közé tartoznak az alábbiak:

• Teljesség • Pontosság • Érvényesség • Engedélyezés • A felelősségek elhatárolása

Informatikai kontrollok irányítási szintjei A 25. sz. ábra szemlélteti az informatikai kontrollok irányítási modelljét, mely magában foglalja az irányelvek (politikák) kidolgozásáért és a végrehajtás felügyeletéért felelős felső szintű irányítást (Governance), az általános vezetői kontrollfeladatok ellátását (Management), valamint a közvetlen információ-technológiai (Technical) kontrollok végrehajtásának irányítását.


131

25. ábra: Az informatikai kontrollok irányítási szintjei Informatikai kockázatok kezelésének alapelvei:

• Csak a valós üzleti kockázatot jelentő technológiai hiányosságokat szabad felmérni, kezelni, illetve vizsgálni.

• A kulcs kontrollokat az üzleti kockázatok és a kockázati tolerancia figyelembe vételével, ”felülről lefele” történő elemzéssel kell meghatározni.

• Az üzleti kockázatokat mérséklő - manuális és automatizált elemek kombinációját tartalmazó - kulcs kontrollok felmérése szükséges a belső kontrollrendszer értékeléséhez.

• Az általános informatikai kontrollok nyújtanak biztosítékot az automatizált kulcs kontrollok folyamatos és megfelelő működésére.

Az informatikai kockázatok ”felülr ől lefele” történ ő értékelésének lépései: 1. Üzleti célok azonosítása 2. Az üzleti célok elérésének megfelelő szintű bizonyosságát nyújtó kulcs kontrollok azonosítása 3. A kritikus informatikai funkciók azonosítása 4. Azon lényeges alkalmazások beazonosítása, melyeknél tesztelni kell az általános informatikai

kontrollokat 5. Az általános informatikai folyamat-kockázatok és kapcsolódó kontroll célkitűzések meghatározása 6. A kontroll célkitűzések elérésének teszteléséhez szükséges általános informatikai kontrollok

beazonosítása megfelelő kontroll keretrendszer (pl. COBIT) alkalmazásával 7. A kulcs kontrollok teljes körűségének áttekintése (szervezeti-, manuális-, teljesen vagy részben

automatizált és általános informatikai kontrollok) 8. A kulcs kontrollok tervezésének és hatásosságának teszteléséhez szükséges felmérés (audit)

típusának és hatókörének meghatározása


132

Informatikai kontroll keretrendszerek Az informatikai kontrollok és célkitűzéseik támogatására számos keretrendszer létezik. Minden szervezet felhasználhatja az ismert keretrendszerek alkalmazható komponenseit arra, hogy kategorizálja és felmérje az informatikai kontrollokat saját rendszerének kialakítására és dokumentálására az alábbi célokból:

• Megfelelés az alkalmazandó szabályoknak, törvényi előírásoknak. • A szervezeti célokkal való összhang biztosítása. • Elfogadható szintű bizonyosság arra vonatkozóan, hogy a tevékenységek megfelelnek a

vezetés által meghatározott irányelveknek és a szervezet kockázatviselési szintjének. "Információra és a kapcsolatos technológiára vonatkozó kontroll célkitűzések” – COBIT - kontroll keretrendszerének hozzájárulása az informatika üzleti követelményeknek megfelelő alkalmazásához az alábbiakban foglalható össze:

• Kapcsolat teremtése az üzleti követelményekkel, • A teljesítmény átláthatóvá tétele ezen követelmények vonatkozásában, • A tevékenységeknek egy általánosan elfogadott folyamat modellbe szervezése, • A hasznosítandó fő erőforrások azonosítása, • A figyelembe veendő vezetési kontroll célkitűzések meghatározása.

A továbbiakban a COBIT keretrendszer 4.1 verziójának főbb elemei kerülnek ismertetésre az ISACA Hungary által közzétett fordítás alapján. [30]


133

7.2 COBIT Alapelvek A COBIT keretrendszer kidolgozásánál az alábbi felhasználók nézőpontjai kerültek figyelembe vételre:

• Felsővezetés — Abból a célból, hogy értéket teremtsenek az informatikai beruházásokkal, kiegyensúlyozzák a kockázatokat, és kézben tartsák a beruházásokat a gyakran kiszámíthatatlan informatikai környezetben.

• Üzleti területek vezetése — Abból a célból, hogy bizonyosságot kapjanak a belső, illetve

külső szolgáltatók által nyújtott informatikai szolgáltatások irányításáról, és kontrolljáról.

• Informatikai vezetés — Abból a célból, hogy biztosítva legyenek azok az informatikai szolgáltatások, amelyre az üzleti tevékenységnek szüksége van az üzleti stratégia kontrollált és menedzselt módon történő támogatásához.

• Auditorok — Abból a célból, hogy a véleményeiket alátámasszák és/vagy tanácsot adjanak a

vezetés számára a belső irányítási és ellenőrzési rendszerre vonatkozóan. A keretrendszer főbb alkotóelemeit mutatja be a 26. sz. ábra:

26. ábra: A COBIT kocka A 27. sz. ábra bemutatja, hogy a COBIT keretrendszer alkotóelemei hogyan kapcsolódnak egymáshoz. Azért, hogy a vállalat a céljai megvalósításához szükséges információk rendelkezésre álljanak, a vállalatnak informatikai erőforrásokba kell be ruháznia, az informatikai erőforrásokat pedig jól szervezett folyamatok révén kell irányítania, és kontrollálnia annak érdekében, hogy olyan szolgáltatást nyújtson, amely a vállalat által igényelt információkat nyújtja.


134

27. ábra: A COBIT alapelveinek kapcsolódása A COBIT információ-kritériumai (üzleti követelménye i):

• Eredményesség – azzal foglalkozik, hogy az információk az üzleti folyamat szempontjából jelentőséggel bírnak, és hogy az információkat időben, helyes, ellentmondásmentes és használható módon biztosítják.

• Hatékonyság – arra vonatkozik, hogy az információk az erőforrások optimális

(legtermelékenyebb és leggazdaságosabb) felhasználásán keresztül kerüljenek biztosításra.

• Bizalmasság – arra vonatkozik, hogy megakadályozza, a bizalmas információk engedély nélküli nyilvánosságra hozatalát.

• Sértetlenség – az információknak a vállalati értékek és elvárások szerinti pontosságára, és

teljességére, valamint az információk érvényességére vonatkozik.

• Rendelkezésre állás – azzal foglalkozik, hogy az információk akkor álljanak rendelkezésre, amikor azokra az üzleti folyamatnak szüksége van most, és a jövőben. A szükséges erőforrások, és az erőforrások szolgáltatási képességeinek védelmére is vonatkozik.

• Megfelel őség – azon törvények, jogszabályok, szabályozások és szerződéses

megállapodások - azaz kívülről előírt üzleti követelmények és belső irányelvek – betartásával kapcsolatos, amelyeknek az üzleti folyamat a tárgyát képezi.

• Megbízhatóság – a szükséges információk vezetés számára történő biztosítására vonatkozik,

a vállalkozás működtetése és a pénzügyi megbízhatósági, és irányítási kötelezettségek teljesítése érdekében.


135

A COBIT informatikai er őforrásai:

• Az alkalmazások automatizált felhasználói rendszerek és manuális eljárások, amelyek feldolgozzák az információkat.

• Az információk azok az adatok, összes formájukban, amelyeket az információrendszerek,

mint bemeneti, feldolgozott és kimeneti adatot kezelnek, bármilyen formában használja is az t fel az üzleti tevékenység.

• Az infrastruktúra az a technológia és azok az eszközök (azaz hardver, operációs

rendszerek, adatbázis-kezelő rendszerek, hálózatok, multimédia, és az azokat befogadó és támogatást biztosító környezet), amelyek lehetővé teszik az alkalmazások működését.

• Az emberek az információrendszerek és szolgáltatások tervezéséhez, szervezéséhez,

beszerzéséhez, megvalósításához, szolgáltatásához, támogatásához, figyelemmel kíséréséhez és értékeléséhez szükséges munkatársak. Lehetnek belső, kiszervezet, illetve szerződéses személyek, az igényeknek megfelelően.

A COBIT folyamat-modellje A vállalat célkitűzései eléréséhez szükséges információk biztosítás a érdekében az informatikai erőforrásokat a folyamatok természetes csoportján keresztül kell menedzselni. A COBIT folyamat központúságát egy olyan folyamat modell szemlélteti, amely az informatikát négy szakterületre, és 34 folyamatra osztja a:

• tervezés és szervezés, • beszerzés és megvalósítás, • szolgáltatás és támogatás, • figyelemmel kísérés és értékelés

tevékenységek felelősségi területeivel összhangban, mely modell segítségével átfogó képet ad az informatikáról. A 28. sz. ábra illusztrálja az informatikai kontrollok kapcsolódását az üzleti kontrollokhoz:

28. ábra: Az üzleti, általános és alkalmazás kontrollok határai


136

A Tervezés és szervezés (PO) szakterület által lefedett témakörök:

• Az informatikai és az üzleti stratégia illeszkedik-e? • A vállalat az erőforrásait optimálisan használja-e fel? • A szervezetben mindenki tisztában van-e az informatikai célkitűzésekkel? • Tisztában vannak-e az informatikai kockázatokkal és kezelik-e azokat? • Az informatikai rendszerek minősége megfelel az üzleti igényeknek?

A Tervezés és szervezés (PO) szakterületbe tartozó informatikai irányítási folyamatok:

PO1 Az informatikai stratégiai terv meghatározása PO2 Az információ-architektúra meghatározása PO3 A technológiai irány kijelölése PO4 Az informatikai folyamatok, szervezet és a kapcsolatok meghatározása PO5 Az informatikai beruházások irányítása PO6 Tájékoztatás a vezetői célokról és irányról PO7 Az informatikai humán erőforrások kezelése PO8 Minőségirányítás PO9 Az informatikai kockázatok felmérése és kezelése PO10 A projektek irányítása

A Beszerzés és megvalósítás (AI) szakterület által lefedett témakörök:

• Valószínűsíthető-e hogy az új projektek az üzleti igényeknek megfelelő megoldásokat fognak eredményezni?

• Valószínűsíthető-e, hogy az új projektek időben és a költségvetésen belül lezárásra kerülnek? • Megfelelően fognak-e működni az új rendszerek a megvalósításukat követően? • A változtatásokat a jelenlegi üzleti működés megzavarása nélkül hajtják-e végre?

A Beszerzés és megvalósítás (AI) szakterületbe tartozó informatikai irányítási folyamatok: AI1 Az automatizált megoldások meghatározása AI2 Az alkalmazási szoftverek beszerzése és karbantartása AI3 A technológiai infrastruktúra beszerzése és karbantartása AI4 Az üzemeltetés és a használat támogatása AI5 Az informatikai erőforrások beszerzése AI6 A változtatások kezelése AI7 A megoldások és változtatások üzembe helyezése és bevizsgálása A Szolgáltatás és támogatás (DS) szakterület által lefedett témakörök:

• Az informatikai szolgáltatások biztosítása összhangban van-e az üzleti prioritásokkal? • Az informatikai költségek optimálisak-e? • A munkaerő képes-e az informatikai rendszereket jövedelmezően és biztonságosan

használni? • Az információbiztonság megteremtése érdekében megfelelő-e a titkosság, a sértetlenség és a

rendelkezésre állás? A Szolgáltatás és támogatás (DS) szakterületbe tartozó informatikai irányítási folyamatok:

DS1 A szolgáltatási szintek meghatározása és betartása DS2 Külső szolgáltatások igénybevételének irányítása DS3 Teljesítmény- és kapacitáskezelés DS4 A szolgáltatás folyamatosságának biztosítása DS5 A rendszerek biztonságának megvalósítása


137

DS6 A költségek azonosítása és felosztása DS7 A felhasználók oktatása és képzése DS8 A rendkívüli események kezelése és a felhasználói támogatás működtetése DS9 Konfigurációkezelés DS10 Problémakezelés DS11 Az adatok kezelése DS12 A fizikai környezet biztosítása DS13 Az üzemeltetés irányítása

A Figyelemmel kísérés és értékelés (ME) szakterület által lefedett témakörök:

• Mérik-e az informatika teljesítményét a problémák időbeni azonosítása érdekében? • Gondoskodik-e arról a vezetés, hogy a belső vállalati ellenőrzési és irányítási rendszer

eredményes és hatékony legyen? • Az informatika teljesítményét össze lehet-e kapcsolni az üzleti célokkal? • Az információbiztonság céljából helyén vannak-e a megfelelő bizalmasságot, sértetlenség és

rendelkezésre állást biztosító irányítási és ellenőrzési eljárások? A Figyelemmel kísérés és értékelés (ME) szakterületbe tartozó informatikai irányítási folyamatok:

ME1 Az informatika teljesítményének figyelemmel kísérése és értékelése ME2 A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése ME3 Külső követelményeknek való megfelelőség biztosítása ME4 Az informatikai irányítás megteremtése

A COBIT alkalmazás kontroll célkit űzései:

AC1 Forrásadatok előkészítése és engedélyezése AC2 Forrásadatok összegyűjtése és bevitele AC3 Pontossági, teljességi és hitelességi ellenőrzések AC4 Feldolgozás sértetlensége és érvényessége AC5 Kimenet felülvizsgálat, egyeztetés és hibakezelés AC6 Tranzakció hitelesítése és sértetlensége


138

7.3 COBIT általános kontroll követelmények Az informatika napi működéséért felelős vezetés a fenti folyamatokat használja a folyamatban levő informatikai tevékenységek szervezéséhez, és menedzseléséhez. A COBIT egy általános folyamat modellt nyújt, amely megjeleníti az informatikai funkciókban általában található összes folyamatot, és amely egy olyan közös referenciamodellként szolgál, amely érthető az informatikai irányításával foglalkozó informatikai és üzleti vezetők számára. Az eredményes irányítás megvalósítása érdekében egy meghatározott kontroll keretrendszerben kell a kontrollokat az informatikai vezetésnek megvalósítania az összes informatikai folyamatra vonatkozóan. Mivel a COBIT informatikai kontroll célkitűzései informatikai folyamatonként vannak szervezve, a keretrendszer világos kapcsolatot nyújt az informatikai irányítási követelmények, az informatikai folyamatok és az informatikai kontrollok között. A COBIT minden egyes informatikai folyamata rendelkezik egy folyamat leírással, és néhány kontroll célkitűzéssel. Egy jól-menedzselt folyamatnak általánosságban rendelkeznie kell ezekkel. A kontroll célkitűzések azonosítása kétkarakteres szakterület hivatkozással (PO, AI, DS, ME), valamint a folyamat számával és egy kontroll célkitűzési számmal történik. A kontroll célkitűzések mellett minden egyes COBIT folyamat rendelkezik általános kontroll követelményekkel, amelyeket a folyamat kontroll számát jelölő (PCn) szám azonosít be. Ezeket együtt kell figyelembe venni a folyamat kontroll célkitűzésekkel annak érdekében, hogy a kontroll követelményekről teljes képet kapjunk. PC1 Folyamat céljai és célkitűzései Konkrét, mérhető, végrehajtható, reális, eredmény orientált és időszerű (SMARRT: specific, measurable, actionable, realistic, results-oriented and timely) folyamat célok és célkitűzések meghatározása és közvetítése az egyes informatikai folyamatok eredményes végrehajtása érdekében. Gondoskodni arról, hogy azok a célok kapcsolódnak az üzleti célokhoz és azokat megfelelő metrikák támogatják. PC2 Folyamat felelősség Egy folyamat felelőst ki kell jelölni minden egyes informatikai folyamathoz, egyértelműen meg kell határozni a folyamat felelős szerepkörét és felelősségeit. Ilyenek például a folyamattervezés felelőssége, a többi folyamattal történő együttműködés, a végső eredmények elszámoltathatósága, a folyamat teljesítmény mérése és a javítási lehetőségek beazonosítása. PC3 Folyamat megismételhetőség Minden egyes kulcsfontosságú folyamatot úgy kell megtervezni és kialakítani, hogy az ismételhető legyen, és következetesen az elvárt eredményeket állítsa elő. A tevékenységeknek egy olyan logikus, de rugalmas és skálázható sorrendjét kell biztosítani, ami elvezet a kívánt eredményekhez, és kellőképpen rugalmas ahhoz, hogy lekezelje a kivételeket és a rendkívüli helyzeteket. Ahol csak lehetséges konzisztens folyamatokat kell használni, és testre szabást csak akkor szabad alkalmazni, amikor az elkerülhetetlen. PC4 Szerepkörök és felelősségek Meg kell határozni a folyamat kulcsfontosságú tevékenységeit és végtermékeit. Egyértelmű szerepköröket és felelősségeket kell kijelölni és ismertetni azokat a kulcsfontosságú tevékenységek és dokumentálásuk eredményes és hatékony végrehajtása , valamint a folyamat végtermékei ért való elszámoltathatóság biztosítása érdekében. PC5 Irányelv, tervek és eljárások Meg kell határozni, és ismertetni, hogy az összes olyan irányelv, terv, eljárás, amely egy informatikai folyamatot vezérel, hogyan kerül dokumentálásra, felülvizsgálatra, aktualizálásra, jóváhagyásra, eltárolásra, ismertetésre, és képzés céljából történő felhasználásra. Ezen tevékenységek mindegyikére vonatkozóan felelősöket kell kijelölni, és a helyes végrehajtásukat megfelelő időnként


139

felül kell vizsgálni. Gondoskodni kell arról, hogy az irányelvek, tervek és eljárások elérhetők, helyesek, naprakészek legyenek és megértették őket. PC6 Folyamat teljesítményének javítása Metrikák egy olyan csoportját kell meghatározni, amelyek rálátást biztosítanak a folyamat eredményeire és teljesítményére. Olyan tervcélokat kell kijelölni, amelyek tükrözik a folyamat céljait és olyan teljesítmény mutatókat kell bevezetni, amelyek lehetővé teszik a folyamat céljainak az elérését. Meg kell határozni, hogy az adatokat hogyan gyűjtik be. A tényleges mérési eredmények et össze kell hasonlítani a célokkal és eltérések esetén, amennyibe arra szükség van, a megfelelő intézkedések kell tenni. A metrikákat, a célokat és a módszereket össze kell hangolni az informatika általános teljesítmény figyelemmel kísérési módszerével. Az eredményes kontrollok csökkentik a kockázatot, növelik az érték előállítás valószínűségét, mivel a hibák számát csökkentik, és a vezetési módszert következetesebbé teszik. E mellett a COBIT az alábbiakra vonatkozóan olyan példákat biztosít minden egyes folyamatra vonatkozóan, amelyek szemléletesek, de nem előíró, illetve kimerítő felsorolás jellegűek:

• Általános bemenetek és kimenetek • A szerepkörökre és felelősségekre vonatkozó tevékenységek és útmutatás a tevékenység-

felelős hozzárendelési (RACI) mátrix segítségével

• Kulcsfontosságú tevékenység célok (a legfontosabb teendők)

• Metrikák Amellett, hogy tisztában kell lenniük azzal, hogy milyen kontrollokra van szükség, a folyamat felelősöknek ismerniük kell, hogy milyen bemenetekre van szükség másoktól, és hogy mások mit igényelnek az ő folyamataiktól. A COBIT általános példákat ad minden egyes folyamat kulcsfontosságú bemeneteire és kimeneteire, beleértve a külső informatikai követelményeket is. Vannak olyan kimenetek, amelyek az összes többi folyamat bemenetei, ezek az "ÖSSZES" jelölés alatt szerepelnek a kimenet táblázatokban, de nincsenek megemlítve az összes folyamatnál, mint bemenetek, és ezek közé tartoznak jellemző módon a minőségügyi szabványok és a metrika követelmények, az informatikai folyamat keretrendszer, a dokumentált szerepkörök és felelősségek, a vállalati informatikai kontroll keretrendszer, az informatikai irányelvek és a munkatársak szerepkörei és felelősségei. Minden egyes folyamat esetében a szerepkörök és a felelősségek megértése az eredményes irányítás kulcsfontosságú feltétele. A COBIT egy tevékenység-felelős hozzárendelési (RACI) mátrixot ad minden egyes folyamathoz. Az elszámoltatható (A: accountable) azt jelenti, hogy "a labda itt megáll"— ő az a személy, aki irányít és engedélyez egy tevékenységet. A felelősség (R: responsible) ahhoz a személyhez tartozik, aki a feladatot elvégezteti. A másik két szerepkör, a közreműködő (C: consulted), és a tájékoztatott (I: informed) biztosítja azt, hogy mindenki, akit be kell vonni azt be is vonják a folyamatba, és támogassa a folyamatot.


140

7.4 COBIT érettségi modell A szervezetek felső vezetőitől egyre gyakrabban kérik, hogy vizsgálják meg az informatika menedzselésének minőségét. Erre reagálva, az üzleti tervek megkövetelik a fejlesztéseket a folyamat javítások érdekében, valamint az informatikai infrastruktúra feletti megfelelő szintű irányítás és kontroll elérése. Míg kevesen vitatnák azt, hogy ez nem egy jó dolog, figyelembe kell venni a költségek és hasznok között egyensúlyt, és az alábbi vonatkozó kérdéseket:

• Mit csinálnak iparági versenytársaink, és milyen a pozíciónk hozzájuk képest? • Mi az elfogadható iparági bevált gyakorlat, és hol állunk mi ezekhez a gyakorlatokhoz képest?

• Ezen összehasonlítások alapján elmondható -e az, hogy amit teszünk az elegendő?

• Hogyan azonosíthatjuk be azt, hogy mit kellene tenni annak érdekében, hogy elérjük az

informatikai folyamataink feletti megfelelő irányítást és kontrollt? Nehéznek bizonyulhat értelmes választ adni ezekre a kérdésekre. Az informatikai vezetés állandóan keresi az összehasonlító értékelési, és önértékelési eszközöket azért, hogy tudja azt, hogy mit kellene hatékonyan végeznie. A COBIT folyamatokból kiindulva, a folyamat-felelősnek képesnek kell lennie arra, hogy fokozatos összehasonlító értékelést végezzen az adott kontroll célkitűzéshez viszonyítva. Ez három igényre ad választ:

1. Egy relatív mércét nyújt arra vonatkozóan, hogy hol tart a vállalkozás

2. Egy módszert ad annak hatékony eldöntésére, hogy hova jussunk el

3. Egy eszközt ad, amellyel mérhető az előrehaladás a célhoz képest Az informatikai folyamatok feletti irányítást és kontrolt szolgáló érettségi modellezés a szervezet értékelésének egyik módszerére épül, melynek alapján az érettség osztályozható egy nem létező (1) érettségi szint és az optimalizált (5) szint között: A COBIT 34 folyamatának mindegyikére kidolgozott érettségi modellek segítségével a vezetés be tudja azonosítani az alábbiakat:

• A vállalkozás tényleges teljesítménye • Az ipar jelenlegi állapota

• A vállalat folyamatfejlesztési célja

• A szükséges növekedési útvonal a "jelenlegi helyzet" és a "jövőbeni helyzet" között’

Annak érdekében, hogy az eredményeket könnyen fel lehessen használni a vezetői tájékoztatókban, melyekben azok a jövőbeli tervekre vonatkozó üzleti tervek alátámasztásaként szerepelnek, célszerű grafikus megjelenítési módszert alkalmazni:


141

29. ábra: Az alkalmazott érettségi modell grafikus megjelenítése A COBIT egy olyan keretrendszer, amely az informatikai folyamatok menedzselése céljából készült, és erőteljesen a kontrollra összpontosít. A skáláknak a gyakorlatban könnyen alkalmazhatónak, és megfelelően könnyen érthetőnek kell lenniük. Az informatikai folyamat menedzselésének témája önmagából adódóan összetett és szubjektív, és ezért a legjobb olyan kidolgozott értékelési módszeren keresztül megközelíteni, amely növeli a tudatosságot, átfogó konszenzust teremt, és ösztönzi a folyamatjavítást. Ilyen értékeléseket egy adott érettségi szint leírásának egészéhez viszonyítva is végre lehet hajtani, vagy szigorúbb eljáráskor, a leírás minden egyes, egyedi tételéhez viszonyítva is elvégezhető az értékelés. Mindkét típusú felmérés végrehajtásához szükség van a felülvizsgálat tárgyát képező vállalati folyamattal kapcsolatos szakértelemre. Az érettségi modell alapú módszernek az az előnye, hogy a vezetés viszonylag könnyen el tudja magát helyezni a mérési skálán, fel tudja becsülni azt, hogy ha folyamatteljesítmény javítás ára van szükség, akkor ez mit érint. A skálán azért szerepel a 0, mert teljesen elképzelhető, hogy egyáltalán nem létezik az illető f olyamat. A 0-5 skála egy egyszerű érettségi skálára épül, amely szemlélteti, hogy a folyamat hogyan alakul ki a nem létező képességből egy optimalizált képességgé. Azonban a folyamat-menedzselési képesség nem ugyanaz, mint a folyamat teljesítmény. A szükséges képességet, ahogy azt az üzleti és az informatikai célok meghatározzák, nem feltétlenül kell ugyanolyan szinten alkalmazni a teljes informatikai környezetben, azaz nem következetesen ugyanazon a szinten, illetve csak egyes a rendszerekre, vagy egységekre. A teljesítmény mérése, ahogyan azt a következő fejezetek taglalják alapvető annak meghatározásához, hogy mi a vállalat informatikai folyamatokkal kapcsolatos tényleges teljesítménye.


142

A COBIT általános érettségi modellje: 0 Nem létező — Egyáltalán semmilyen felismerhető folyamat sincsen. A vállalkozás még fel sem ismerte azt, hogy létezik egy olyan terület, amellyel foglalkoznia kell. 1 Kezdeti/Ad Hoc jellegű — Vannak jelek arra vonatkozóan, hogy a vállalkozás fel ismerte, hogy létezik egy olyan terület, amellyel foglakoznia kell. Azonban nincsenek szabványosított folyamatok, helyettük ad hoc jellegű megoldásokat alkalmaznak, egyedileg, illetve eseti alapon. Az általános vezetési módszer rendszertelen. 2 Ismétlődő, de ösztönös — A folyamatok eljutottak arra a szintre, amikor hasonló eljárásokat követnek a különböző, azonos feladatokat végző emberek. A szabványos eljárásoknak nincsen formális oktatása, nincs rendszeres ismertetés és tájékoztatás róluk, és betartásuk az egyének felelőssége. Nagy mértékben hagyatkoznak az egyének tudására, és ezért hibák valószínűek . 3 Szabályozott folyamat — Az eljárások szabványosítottak és dokumentáltak, a megismertetésük képzésen keresztül történik. Előírták, hogy a ezeket a folyamatokat követni kell, azonban nem valószínű, hogy az eltéréseket felismerik. Az eljárások maguk nem kifinomultak, hanem a létező gyakorlat formalizált változatai. 4 Irányított és mérhető — A vezetés figyelemmel kíséri, és méri az eljárásoknak történő megfelelőséget, és intézkedik, amennyiben úgy tűnik, hogy a folyamatok nem működnek eredményesen. A folyamatokat állandóan javítják, és azok bevált gyakorlatot testesítenek meg. Az automatizálás, és az eszközök használata korlátozott, vagy a folyamat egyes elemeire terjed csak ki. 5 Optimalizált — A folyamatokat tökéletesítették a bevált gyakorlat szintjéig, a folyamatos javítás és a többi vállalathoz viszonyított érettségi modellezés eredményei alapján. Az informatikát integrált módon alkalmazzák a munkafolyamat automatizálására, és eszközöket adnak a minőség, és az eredményesség javításához, mellyel a vállalkozást képessé teszik arra, hogy gyorsan alkalmazkodjék. COBIT folyamatleírás és az ISO/IEC 15504 folyamat-r eferenciamodell A következő ábra szemlélteti, hogy a COBIT 4.1 folyamatleírása megfeleltethető az ISO/IEC 15504 szabvány referenciamodell követelményeinek:

30. ábra: COBIT folyamatleírás és az ISO/IEC 15504 folyamat-referenciamodell

Folyamatcél

Folyamatneve

Folyamat eredmények


143

Az egyes folyamatok részletes kontroll célkitűzései, mint alapgyakorlatok, és egyes folyamatok kulcsfontosságú bemeneteinek és kimeneteinek leírásai, mint munkatermékek szintén alkalmasak az ISO/IEC 15504 szerinti folyamat-végrehajtás mutatóiként való alkalmazására. A COBIT 4.1 érettségi modell és az ISO/IEC 15504 szabvány szerinti folyamatfelmérés összefüggései az alábbiak szerint foglalhatók össze:

• A COBIT folyamatleírása megfeleltethető az ISO/IEC 15504 folyamat-referenciamodell követelményeinek.

• A COBIT eszközei alkalmazhatóak az ISO/IEC 15504 szerinti folyamatfelmérés specifikus és

általános mutatóinak (gyakorlatok és munkatermékek) meghatározására.

• A COBIT érettségi szintjei nem feleltethetőek meg egyértelműen az ISO/IEC 15504 képességi szinteknek, de ugyancsak alkalmasak a kockázatviselési szint meghatározására.

• A COBIT érettségi modelljén és az ISO/IEC 15504 képességi szintjein alapuló

folyamatprofilok külön-külön, vagy akár együtt is alkalmasak a folyamat kapcsán felmerülő események és kockázatok beazonosítására.

• A COBIT teljesítménymérési koncepciója támogatja a ”felülről lefele”, a szervezet

stratégiájából származtatott üzleti célokra, valamint az alábontott működési, megbízhatósági és megfelelési kontroll célkitűzésekre vonatkozó kockázatértékelést.


144

7.5 COBIT teljesítménymérési modelljének alkalmazás a a vállalati kockázatkezelésben A célokat és a metrikákat a COBIT három szinten határozza meg:

• Az informatikai célok és metrikák, amelyek meghatározzák, hogy az üzleti területek mit várnak az informatikától és azt hogyan kell mérni

• Folyamat célok és metrikák, amelyek meghatározzák, hogy az informatikai folyamatnak mit

kell nyújtania ahhoz, hogy segítse az informatikai célkitűzések elérését, és azt hogyan kell mérni

• Tevékenységi célok és metrikák, amelyeket meghatározzák, hogy minek kell történnie a

folyamaton belül a kívánt teljesítmény eléréséhez, és azt hogyan kell mérni A következő ábra a célok kapcsolatát mutatja be egy közérthető példán keresztül:

31. ábra: A COBIT célok kapcsolata A COBIT által alkalmazott metrikák egyaránt eredmény mutatói az informatikai funkciónak, az informatikai folyamatnak, illetve annak a tevékenység célnak, amit mérnek, valamint a magasabb szintű üzleti tevékenység, informatikai funkció, illetve informatikai folyamat cél teljesítménymutatójának hajtóereje. Az eredménymutatók olyan értékeket határoznak meg, amely tájékoztatja a vezetést - a tény bekövetkezte után - hogy vajon az informatikai funkció, folyamat, illetve tevékenység elérte-e céljait. Az informatikai funkciók eredménymutatóit gyakran információ -kritériumok formájában fejezik ki:

• Az üzleti igények támogatásához szükséges információk rendelkezésre állása

• A bizalmas információk kezelésének kockázatai és az információ sértetlenségével kapcsolatos hiányosságok

• A folyamatok és a működés gazdaságossága

• A megbízhatóság, eredményesség és megfelelőség visszaigazolása

A teljesítménymutatók olyan mértékeket határoznak meg, mely alapján értékelhető, hogy az üzlet, az informatikai funkció, illetve az informatikai folyamat milyen jól teljesít annak érdekében, hogy elérje a célokat. A teljesítménymutatók előzetes mutatói annak, hogy a célok elérése valószínűsíthető -e, ezáltal a magasabb szintű célok vezérlői. Gyakran a rendelkezésre álló, megfelelő képességek, gyakorlatok és szaktudások, és az előbbieket felhasználó tevékenységek eredményeit mérik. Például az informatika által nyújtott szolgáltatás az informatika számára egy cél, de az üzleti tevékenység számára egy teljesítménymutató, és egy képesség. Ezért van az, hogy a teljesítménymutatókra


145

esetenként teljesítmény-hajtóerőkként hivatkoznak, különösen a kiegyensúlyozott stratégiai mutatószám rendszer esetében. A 32. sz. ábra a ”DS5 A rendszerek biztonságának megvalósítása” folyamat példáján keresztül szemlélteti, hogy az alacsonyabb szint eredménymutatói hogyan vállnak a felsőbb szint teljesítménymutatóivá.

32. ábra: A folyamat, a célok és a metrikák közötti kapcsolatok (COBIT DS5) A COBIT által alkalmazott teljesítménymérési modell alkalmas az ERM célkitűzés-kategóriái (a stratégia, a hatékony működés, a megbízható beszámolás és a megfelelés) közötti kapcsolat megteremtésére is. Az alkalmazott metrikákkal számszerűsíthetők az egyes szintekhez tartozó kockázati toleranciák (vagyis a célkitűzésektől való eltérés megengedett mértékei), melyek egyúttal a magasabb szinthez tartozó kockázatviselési hajlandóság mérőszámaivá válnak. Példánkban a tevékenység-cél eredménymutatója az adott informatikai irányítási folyamat megfelelő végrehajtását jelentő folyamat-cél teljesítménymutatójaként jelenik meg. A folyamat-cél eredménymutatója az adott informatikai irányítási folyamat – ISO/IEC 15504 szabvány 1. képességi szintje szerinti – végrehajtásának teljesítménymutatója, vagyis azt mutatja, hogy a folyamat végrehajtása - a meghatározott folyamateredmények megvalósulásán keresztül - eléri a folyamat kitűzött célját, vagyis az informatikai irányítási folyamat által kielégítendő üzleti követelményt. (Példánkban az információk és az adatfeldolgozó infrastruktúra sértetlenségének fenntartását, és a biztonsági sebezhetőségek és rendkívüli helyzetek hatásának minimalizálását.) Ha az adott szervezet kockázatviselési hajlandósága az adott üzleti követelmény vonatkozásában nagy, vagyis tudatosan viseli az adott üzleti követelmény nem-teljesüléséből származó kockázatokat (pl. esetleges jogi következményeket, vagy újrafeldolgozási költségeket), akkor nyilvánvaló, hogy az informatikai célok metrikáinak alkalmazása sem indokolt.


146

Ha azonban - pl. jogszabályi előírásból fakadóan – a szervezetnek minimalizálnia kell az üzleti követelmény nem-teljesüléséből származó kockázatokat, akkor az üzleti követelményhez tartozó informatikai célok teljesítménymutatói (vagyis a vonatkozó folyamat-célok eredménymutatói) alkalmazhatók a kockázati tolerancia (az üzleti követelmény teljesülésének elfogadható eltérése) mutatószámaiként. Ez esetben az informatikai irányítási folyamat üzleti követelményeinek elfogadási tartománya alkalmazható a szervezet üzleti céljai vonatkozásában meghatározható kockázatviselés szint számszerűsítésére. A COBIT teljesítménymérési mutatóinak előbbiekben bemutatott alkalmazása megismételhető a COSO ERM célkitűzés-kategóriák ISO/IEC 15504 szabvány szerinti képességi szintek szerinti mérése kapcsán. A stratégiai célok kitűzésekor a vezetésnek nemcsak üzleti célokat kell meghatároznia, hanem az üzleti célok vonatkozásában mérlegelnie kell a szervezet kockázatviselési hajlandóságát, amely a kockázatok kezelésére alkalmazott belső kontrollrendszer vonatkozásában a kapcsolódó üzleti követelmények teljesülésének elfogadási tartományát jelenti. A belső kontrollrendszer hatékony működése - mint stratégiai cél – számszerűsíthető az egyes belső kontrollfolyamatok képességi szintjeinek előírásával. A megcélzott képességi profilon belül az egyes folyamatok cél képességi szintjei alkalmas mérési mutatókat jelentenek, egyrészt a belső kontrollrendszerrel szemben támasztott üzleti követelmények meghatározására, másrészt a szervezet kockázatviselési szintjének meghatározására. A belső kontrollrendszer hatékonyságának objektív mérésére a cél és felmért képességi profilok összehasonlításán alapuló kontrollkockázat értékelés 4. részben bemutatott módszere alkalmazható. Amennyiben bármely előírt belső kontrollfolyamat esetében az értékelés közepes, vagy magas kockázatot állapít meg, akkor a belső kontrollrendszer vonatkozásában olyan mértékű hiányosság állapítható meg, amely a szervezet stratégiai céljait érintő kockázatviselési szinten belül nem elfogadható. Az alacsonyabb - ISO/IEC 15504 szabvány szerinti - képességi szintek eredménymutatóinak hiánytalan (a folyamat-attribútumok 85%-ot meghaladó, így az előírt kockázati tolerancián belüli) teljesülése a következő képességi szint vonatkozásában teljesítménymutatók formájában jelenik meg. A COSO ERM célkitűzés-kategóriák ISO/IEC 15504 szabvány szerinti képességi szintekként való egymásba épülésével bemutatható, hogy a belső kontrollfolyamatok üzleti célok teljesüléséhez való hozzájárulása kapcsán miként értelmezhető a szervezet kockázati toleranciája és kockázatviselési szintje. Ha például a belső kontrollrendszer egyes folyamatainak vonatkozásában a 3. (a szervezet eredményes és hatékony működését biztosító) képességi szint kerül üzleti célként meghatározásra, akkor a 2. szintű (megbízható beszámolási) és az 1. szintű (szabályos végrehajtási) követelmények (folyamat-attribútumok) eredménymutatóinak hiánytalan (>85%) teljesülése jelenti a szervezet kockázatviselési szintjét. A megcélzott (3.) képességi szint eredménymutatóinak (folyamat-attribútumainak) legalább nagyjából (>50%) történő teljesítésének előírása jelenti a kockázati tolerancia mértékét, míg az alatta lévő szintek eredménymutatói, mint a kockázatviselési szint metrikái jelentik a 3. szintű üzleti cél teljesítménymutatóit. Ebből a példából is látható, hogy a COBIT által bemutatott teljesítménymérés, az ISO/IEC 15504 szabvány szerinti folyamatképesség-meghatározás és a COSO ERM szerinti kockázatkezelés üzleti vonatkozásai jól megfeleltethetőek egymásnak. Amennyiben egy kontrollfolyamat kapcsán a szervezeti célok teljesüléséhez - a szervezet egésze számára alacsonyabb kockázatviselési hajlandóság alapján az elsőnél magasabb képességi szint kerül előírásra, akkor a COBIT célok egymásba ágyazódásához hasonlóan lehet a folyamat-célok és az üzleti célok kapcsolatát a megcélzott képességi szinteknek megfelelő eredmény- és teljesítménymutatókkal biztosítani.


147

Kontroll keretrendszerek integrálásása Abban az esetben, ha az integrált belső kontrollrendszer hatékonysága nem stratégiai kérdés az egész szervezet számára, akkor a belső kontrollrendszer egyes folyamatainak kialakításakor és értékelésekor az üzleti célokat a képesség-dimenzió közbeiktatása nélkül is lehet a kontrollfolyamat vagy a kontrolltevékenység céljaihoz kapcsolni. Ennek azonban az lehet a következménye, hogy a szervezet nem lesz képes az üzleti célok kapcsán objektíven alkalmazható kockázatviselési szintet meghatározni, ezért az üzleti folyamatok kockázatainak értékelése (besorolása) eseti, adott esetben szubjektív döntésekre fog épülni. Mind a COBIT, mind a COSO keretrendszerek vonatkozásában igaz lehet, hogy a folyamat-dimenzió (részleges) kiiktatása esetén a normál üzleti folyamatokban egyébként is alkalmazott kontrolltevékenységek elegendő biztosítékot jelentenek a működési folyamat vagy akár a szervezet üzleti céljainak elérésére. Különösen igaz lehet ez a kisebb, és a tulajdonos(ok) által közvetlenül irányított vállalkozások esetében, ugyanakkor a kontrolltevékenységek működtetésének ilyen módja a potenciális megrendelő számára jelenthet fel nem vállalható kockázatot, hiszen a szükséges kontrolltevékenységek végrehajtására egyrészt nincs garancia, másrészt ennek – különösen külső fél részéről történő - ellenőrzése túlzott ráfordítást igényelhet. Az elfogadott kontroll keretrendszerek folyamat-referenciamodelljeinek (akár részleges, vagy a több modellből célszerűen kiválasztott folyamatok együttes) alkalmazása, szükség szerint kiegészítve az üzleti céloknak megfelelően alkalmazott képességi- és/vagy érettségi dimenzióval, jelentősen hozzájárulhat a szervezet kockázatkezelési kultúrájának kialakulásához és továbbfejlesztéséhez – és ezáltal az üzleti sikerhez.

33. ábra: Kontroll keretrendszerek és a folyamatfelmérés kapcsolata


148

8. Hivatkozások [1] OECD Principles of Corporate Governance, 2004 http://www.oecd.org/dataoecd/32/18/31557724.pdf [2] Methodology for Assessing Implementation of the OECD Principles on Corporate Governance,

2006 http://www.oecd.org/dataoecd/58/12/37776417.pdf [3] Jaime Caruana, The Rise and Effectiveness of Corporate Governance in the Islamic Financial

Services Industry, Basel II and Corporate Governance Issues (May 24, 2005) http://www.bis.org/review/r050525a.pdf

[4] Corporate Governance and the Financial Crisis: Key Findings and Main Messages, 2009 http://www.oecd.org/dataoecd/3/10/43056196.pdf [5] ISO/IEC 15504-1:2004 Information technology -- Process assessment -- Part 1: Concepts

and vocabulary ISO/IEC 15504-2:2003 Information technology -- Process assessment -- Part 2: Performing an

assessment ISO/IEC 15504-2:2003/Cor 1:2004 ISO/IEC 15504-3:2004 Information technology -- Process assessment -- Part 3: Guidance on

performing an assessment ISO/IEC 15504-4:2004 Information technology -- Process assessment -- Part 4: Guidance on

use for process improvement and process capability determination ISO/IEC 15504-5:2006 Information technology -- Process Assessment -- Part 5: An exemplar

Process Assessment Model [6] Corporate Governance, Vogon International, 2005

http://www.vogon-international.com/content/brochures/international/CorporateGovernance.pdf [7] The Globalization of Efforts to Improve Internal Controls: Why Much of the World Thinks SOX

Sucks By Anthony Tarantino, Accounting Today, June 2005 http://www.bearingpoint.com/portal/binary/com.epicentric.contentmanagement.servlet.Content

DeliveryServlet/published/pdfs/public/wcf_global_accountingtoday.pdf [8] “Modernising Company Law and Enhancing Corporate Governance in the European Union –

A Plan to Move Forward" – COM (2003) 284 final of 21 May 2003 http://eur-lex.europa.eu/LexUriServ/site/en/com/2003/com2003_0284en01.pdf

[9] The Committee of Sponsoring Organizations of the Treadway Commission (COSO):

• Internal Control — Integrated Framework (1992) • Enterprise Risk Management – Integrated Framework (2004) • Internal Control over Financial Reporting — Guidance for Smaller Public Companies

(2006) [10] Information Systems Audit and Control Foundation, IT Governance Institute: COBIT - Control

Objectives for Information and related Technology [11] INTOSAI: Guidelines for Internal Control Standards for the Public Sector, 2004 http://www.intosai.org/Level3/Guidelines/3_InternalContrStand/3_GuICS_PubSec_e.pdf [12] Basle Committee on Banking Supervision: Framework for Internal Control Systems in Banking

Organisations, 1998 http://www.bis.org/publ/bcbs40.pdf


149

[13] European Court of Auditors: Opinion No 2/2004 of the Court of Auditors of the European

Communities on the ‘single audit’ model (and a proposal for a Community internal control framework) (Official Journal of the European Union C 107/2004)

http://www.eca.europa.eu/audit_reports/opinions/docs/2004/04_02en.pdf [14] Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (Global

Technology Audit Guide 3) http://www.theiia.org/index.cfm?doc_id=5365

[15] Key Controls: The Solution for Sarbanes-Oxley Internal Control Compliance, Vorhies,J.B, The

IIA Research Foundation, 2004 [16] American Institute of Certified Public Accountants (AICPA): Statement on Auditing Standards

(SAS) No. 70, Service Organizations http://www.aicpa.org/download/members/div/auditstd/AU-00324.PDF [17] SAS No. 78 Consideration of Internal Control in a Financial Statement Audit, AICPA http://www.aicpa.org/download/members/div/auditstd/AU-00319.PDF [18] European Commission Directorate-General for Regional Policy: Sound management of the

Structural Funds: a major issue for the Union's development, 2001 http://ec.europa.eu/regional_policy/sources/docgener/informat/manage_en.pdf [19] Organizational Governance: Guidance for Internal Auditors, The IIA, Position Paper, July 2006 http://www.theiia.org/download.cfm?file=76050 [20] The Institute of Internal Auditors (The IIA): The International Standards for the Professional

Practice of Internal Auditing, 2009 http://www.theiia.org/guidance/standards-and-guidance/interactive-ippf/ [21] International Professional Practices Framework (IPPF), The IIA Research Foundation, 2009 [22] Developing International Auditing Standards: Cooperation between INTOSAI and the

International Federation of Accountants, Kelly Anerud, Deputy Director General, Office of the Auditor General of Norway, 2004 http://www.riksrevisjonen.no/en/WhatsNew/Papers/Paper_Developing_International_Auditing_Standards_Cooperation_between_INTOSAI_and_IFAC.htm

[23] European Implementing Guidelines for the INTOSAI Auditing Standards, INTOSAI, 1998 http://www.eca.europa.eu/audit_approach/guidelines/audit_approach_guidelines_en.htm [24] Risk based internal auditing - an introduction, David M Griffiths, 30 January 2006

http://www.internalaudit.biz/files/introduction/Internalauditv2_0_3.pdf [25] Management Antifraud Programs and Controls: Guidance to Help Prevent, Deter, and Detect

Fraud http://antifraud.aicpa.org/NR/rdonlyres/93FB65DA-3568-474D-8EC2-054F16AED66F/0/SAS99Exhibit.pdf

[26] Management is responsible, too, Arleen R. Thomas and Kim M. Gibson, Journal of

Accountancy Online, APRIL 2003 / Volume 195, Number 4 http://www.aicpa.org/PUBS/jofa/apr2003/thomas.htm


150

[27] Management Override of Internal Controls: The Achilles’ Heel of fraud Prevention AICPA, 2005 http://www.aicpa.org/audcommctr/download/achilles_heel.pdf

[28] The importance of antifraud programs and controls, CEO CFO Certification News, July 2006,

Deloitte Canada http://www.deloitte.com/dtt/newsletter/0,1012,sid=68725&cid=122610,00.html?list=gfsirnl

[29] The GAIT Methodology, A risk-based approach to assessing the scope of IT general controls,

August 2007, The Institute of Internal Auditors http://www.theiia.org/guidance/technology/gait/gait-methodology/

[30] COBIT 4.1 - Magyar változat, Információrendszer Ellenőrök Egyesületének online kiadása, IT Governance Institute, 2007 http://www.isaca.hu/ISACA-HuC/y_Downloads/ISACA_HU_COBIT_41_HUN_v13.pdf

belső pénzügyi kontrollrendszer felmérése

Documents