Merétey-Vida Zsolt * BELSİ KONTROLLRENDSZER KÜLÖNBÖZİ FELFOGÁSOK TÜKRÉBEN

Átírás

1 Merétey-Vida Zsolt * BELSİ KONTROLLRENDSZER KÜLÖNBÖZİ FELFOGÁSOK TÜKRÉBEN évi elıadásom középpontjába a nagyobb társaságok ellenırzési rendszerét helyeztem. Idén ennek az ellenırzési rendszernek egy részét, a belsı kontrollrendszert fogom megvizsgálni. Ma erre a témakörre vonatkozóan számos elképzelés ún. kontroll keretrendszer létezik, ezért a kontrollrendszereket a nemzetközileg leginkább elterjedt angolszász nézıpontból (Nagy-Britannia, az Amerikai Egyesült Államok és Kanada álláspontjain keresztül) szeretném bemutatni. A kontrollrendszerre vonatkozóan standard szinten tartalmaz ajánlásokat a COSO 1 Internal Control Integrated Framework (Belsı kontroll integrált keretrendszer, kiadás éve: 1992.) címő mőve, a CICA 2 Guidance on Control/Criteria of Control (Kontroll útmutató; más nevén Kontrollkritériumok, kiadás éve: 1995.) címő alkotása, az FRC 3 Combined Code on Corporate Governance, illetve The Revised Guidance for Directors on the Combined Code/Turnbull Guidance (Egyesített kódex a felelıs vállalatirányításhoz, kiadás éve: 2006., illetve Az egyesített kódexhez készített felülvizsgált útmutató igazgatók számára, közismertebb nevén: Turnbull útmutató, kiadás éve: 2005.), 4 jogszabályi oldalról pedig a Sarbanes-Oxley törvény (röviden: SOX; Amerikai Egyesült Államok, hatályba lépés éve: 2002.) fogalmaz meg elıírásokat. 5 A különbözı (jogszabályi) elıírások és standardok tükrében feladatomnak tekintem, hogy a belsı kontrollrendszer ma érvényes legjobb gyakorlatát mutassam be, s meghatározzam ahol az fontos a különbségeket és a fennálló hasonlóságokat. 6 A kérdés tehát úgyis feltehetı: milyen követelményeknek kell, hogy egy mai korszerő belsı kontrollrendszer eleget tegyen? 7 * BGF Pénzügyi és Számviteli Fıiskolai Kar, fıiskolai tanársegéd. 1 The Committe of Sponsoring Organisations of the Treadway Commission (A Treadway bizottságot támogató társaságok bizottsága), Amerikai Egyesült Államok 2 Canadian Institute of Chartered Accountants (Kanadai Bejegyzett Könyvvizsgálók Szervezete), Kanada 3 Financial Reporting Council (Pénzügyi Jelentések Tanácsa), Nagy-Britannia 4 Megjegyzendı, hogy a Combined Code ahogy a neve is jelzi szorosan értelmezve nem a belsı kontrollrendszer leírását tartalmazza, hanem a felelıs vállalatirányítás dokumentuma. Ennek csak a C.2. része foglalkozik a belsı kontrollrendszerrel (elég röviden), s tekintettel erre az érintett társaságok vezetıit segítendı készítették el az ún. Turnbull útmutatót, amely a Combined Code alkalmazására vonatkozó ajánlásokat rögzíti. A Combined Code a hazai, a BÉT által készített Felelıs vállalatirányítási ajánlások nagy-britanniai megfelelıje. 5 Megjegyzés: a SOX az amerikai, a Combined Code/Turnbull a brit tızsdei társaságokra vonatkozóan tartalmaz elıírásokat. A pontosabb társasági kört jelen munka szempontjából nem tartom fontosnak behatárolni. Nem foglalkozom azok specialitásai miatt a CobiT és a SAS modellek közelítésmódjával. 6 Az elkülönítést a különbözı standardok között érdemes meghagyni, hiszen ugyanazon témáról, kontrollkomponensrıl mást és mást hangsúlyoznak az egyes elıírások, ami csak gazdagítja a velük kapcsolatos ismeretanyagot. Sıt, egyes szervezetek egyenesen azt ajánlják, hogy érdemes akár egyszerre két standardot is figyelembe venni a belsı kontrollrendszer kiépítése során. (Megjegyzés: mint látni fogjuk, a ma nemzetközileg elfogadott különbözı 90

2 Az elıbbi kérdés abból a szempontból fontos, hogy a belsı kontrollrendszer szerepe, a benne foglalt elemek hangsúlyai jelentısen átalakultak az elmúlt két-három évtizedben. Az is elmondható, hogy a belsı kontroll(keret)rendszerek fejlıdése a felelıs vállalatirányítás elméletének változásával együtt valósult meg, ráadásul úgy, hogy az amerikai-brit jogalkotói elképzelésekben korábban is mutatkozó különbség 8 az elmúlt években tovább mélyült. A belsı kontrollrendszerek fejlıdése az USA-ban az 1970-es években a Watergate-botránnyal vette kezdetét, az elsı nagyobb javaslatot az ellenırök felelısségét vizsgáló COHEN-bizottság tette (1974), amikor a menedzsment belsı kontrollrendszerrel összefüggı a pénzügyi jelentésekbe foglalandó jelentésadási kötelezettségének bevezetését javasolta. Innen több apró lépés vezetett a belsı kontrollrendszerrel kapcsolatos modern felfogás megfogalmazásához, aminek az 1992-ben kiadott COSO alapmővet tekinthetjük. Nagy-Britanniában az 1980-as és 90-es évek vállalati botrányai indították el a korszerősödés folyamatát; a COSO keretrendszerrel egyidıben jelent meg az elsı kiemelt mő, a hangsúlyt a pénzügyi kontrollrendszerre helyezı ún. CADBURY-jelentés. 9 A szemlélet folyamatosan közeledett a mai álláspont felé 10, s több hasonló célú jelentést követıen született meg a Combined Code ban, amelyet 1999-ben egészített ki a belsı kontrollrendszerre vonatkozó (Turnbull) útmutató (ezek azóta frissültek). Kanadában is a COSO kiadványa jelentette a kiindulópontot: 1995-ben a COSO mő nehéz értelmezhetıségére válaszul született meg a CoCo (Criteria of Control/Guidance on Control) keretrendszer. A COSO, Turnbull, CoCo jelentések elkészültének idıpontjáig a belsı kontrollrendszer feladataként alapvetıen a jogszabályoknak való megfelelést és a pénzügyi jelentések tisztaságának biztosítását határozták meg. Mint látni fogjuk, ezek az elvárások az új mő(vek)ben egy harmadik szemponttal egészültek ki. 12 A továbbiakban elıször a belsı kontrollrendszer fogalmával érdemes foglalkoznunk. Az egyes testületek (kiadványok) a következıként definiálják a belsı kontrollrendszert: A kiadvány neve COSO A belsı kontrollrendszer definíciója A belsı kontroll egy folyamat, amelyet a társaság igazgatósága, a menedzsment és az alkalmazottai befolyásolnak, és amelyet azért hoznak létre, hogy az alábbi célok elérését illetıen ésszerő bizonyosságot nyújtsanak: A mőködés hatékony és eredményes, A pénzügyi beszámolási rendszer megbízható, A vonatkozó szabályozásnak (jogszabályok és hatósági elıírások) a társaság eleget tesz. kontroll keretrendszerek alapját egy közös standard fogja alkotni, azaz valóban egy témakör különbözı értelmezését fogjuk látni az egyes kontrollrendszer ajánlásokban.) 7 Megjegyzés: a keretrendszerek a nagyobb (rendszerint tızsdei) társaságokra tartalmaznak ajánlásokat, így a saját szóhasználatom is (pl. igazgatóság) ehhez igazodik. Ez azonban nem korlátozza a felhasználhatóságot. 8 A felelıs vállalatirányítás tekintetében az amerikai gyakorlat a jogszabályi elıírásokra épül, amelynek a vonatkozó társaságok kötelesek megfelelni, míg a brit gyakorlat e helyett az elvalapú megközelítést részesíti elınyben és elfogadja, hogy a vállalkozások között fennálló különbségek miatt más és más rendszerek alakulhatnak ki. A brit gyakorlat részét képezi ezért a hazánkban is érvényes comply or explain elv alkalmazása. 9 Pontos nevén: The Financial Aspects of Corporate Governance (A felelıs vállalatirányítás pénzügyi vetületei). 10 Pl ben a COSO mő alapján készült el Nagy-Britanniában a belsı kontrollrendszerrel foglalkozó Rutteman jelentés. 11 Az Egyesített kódex elnevezés is innen származik, ez ugyanis a többféle jelentés (pl. Rutteman, Greenbury) integrálására utal. 12 Mindazonáltal megjegyzendı, hogy az USA SOX törvénye változatlanul a belsı kontrollrendszer pénzügyi beszámolással összefüggı alrendszerét kéri számon a társaságok menedzsmentjén (bár a könyvvizsgálónak kötelessége a belsı kontrollrendszert általában is vizsgálni). 91

3 CoCo Turnbull A társaság azon elemei (erıforrásai, rendszerei, folyamatai, kultúrája, struktúrája és feladatai), amelyek együttesen segítik az embereket a társasági célok elérésében. A kontrollrendszer célja elısegíteni: A mőködés hatékonyságát és eredményességét, A megbízható külsı és belsı pénzügyi beszámolást, A vonatkozó jogszabályoknak, elıírásoknak és a belsı szabályzatoknak való megfelelést. A belsı kontrollrendszer számos elemet tartalmaz, így szabályzatokat, folyamatokat, feladatokat, magatartásformákat és a társaság egyéb vetületeit, amelyek együttesen: Elısegítik a hatékony és eredményes mőködést Mindez magában foglalja a vagyonvédelmet, vagy a csalás elleni védelmet és biztosítja, hogy a kötelezettségeket azonosítják és kezelik, Elısegítik a megfelelı minıségő belsı és külsı jelentések készítését, Biztosítják a vonatkozó jogszabályoknak, egyéb elıírásoknak, valamint a belsı szabályzatoknak való megfelelést... A fentiek alapján látható, hogy a belsı kontrollrendszerrel kapcsolatos koncepciók nagy része hasonló, noha a fogalmi meghatározás különbségeket is tartalmaz. Valamennyi definíció (és keretrendszer) közös eleme, hogy a mai kontrollrendszerek nem csak a hagyományosan kontrollrendszernek tekintett kontrollszabályzatok és folyamatok együttesét jelentik 13 (hanem pl. a vállalati kultúrát is), a belsı kontrollrendszer mőködését az emberi tényezı befolyásolja (és fordítva), megszervezését, mőködését és fejlesztését a kockázatalapú megközelítés jellemzi, a kontrollrendszer a vállalati célok elérését segíti elı (amelyek mint látjuk, nem sokban különböznek egymástól a különbözı fogalmi meghatározásokban és három célkitőzést tartalmaznak: a hagyományos pénzügyi beszámolás megbízhatóságát és a (jogi) megfelelést elıíró célokat, valamint új elemként az operatív mőködési hatékonyságra és eredményességre vonatkozó célkategóriát is), a célok elérése nem teljesen garantált a rendszerben maradó kockázatok (pl. hibás megítélés, összejátszás, vagy a költség-haszon elv alkalmazása) miatt csak az ún. ésszerő bizonyosság szintje érhetı el. A kontrollrendszerek a kockázatok kezelésének (csak az) egyik lehetıségét jelentik: 14 elvileg azért alakítják ki és mőködtetik, hogy a(z azonosított és értékelt) kockázatokra elıre megtervezett választ adjanak, így megvalósítva azok kezelését. Ne feledjük azonban, hogy a kontrollrendszerrel történı kockázatkezelés nem szünteti meg a kockázatokat, csupán kezeli azokat 15, bár az ésszerő bizonyosság elve szerint ennek megvalósulása sem a teljes bizonyosság mellett valósulhat meg. Minden kontrollrendszer csak adott körülmények közepette érvényes csak arra képes megfelelıen reagálni, amire megalkották. Így ahogy a kockázatok változnak, úgy kell a kontrollrendszereket a módosuló feltételekhez szabni A hagyományos belsı ellenırzés korában a belsı ellenırök rendszerint éppen ezek vizsgálatát hajtották végre. Az 1980-as évek végétıl mind gyakrabban elıforduló vállalati botrányok azonban ráirányították a figyelmet arra, hogy ezeknél az ún. hard kontrolloknál (pl. fizikai ellenırzések) léteznek meghatározóbb tényezık is. A mai kontrollrendszerek éppen ezért sokkal fontosabbnak tekintik azonban az ún. soft kontrollokat (pl. vezetési filozófia), amelyek az összes többi kontrollkomponens struktúráját, alapját adják meg. Ezeket a késıbbiekben részletesebben bemutatom. 14 A kockázatkezelés egyéb lehetıségei a kockázatok elkerülését, áthárítását, megosztását, egyéb módon történı kezelését, vagy eltőrését jelenthetik. 15 Megjegyzés: A profitorientált üzleti tevékenység éppen az abban rejlı kockázatok kiaknázására épül, így nem is lehet a célunk a kockázatok teljes eliminálása. 16 Természetesen nem szükséges mindennek változnia, hiszem például az igazgatóság kontrollok megtartása iránti elkötelezettségére mindenkor szükség lesz. 92

4 A belsı kontrollrendszereknek az elıbbiek alapján tehát korlátai is vannak, mégis, a vele elérhetı elınyök indokolttá teszik használatukat. Az eredményes kontrollrendszerek ugyanis az elıre kitőzött célok elérésének valószínősítésén keresztül képesek növelni a tulajdonosi értéket; a társaság kockázatainak, mőködésének megértésén keresztül általános rugalmasságot garantálnak az elıre nem látható esetekre (is); a vezetık döntéshozatalához megbízható információkat biztosítanak; magasabb szintő hatékonyságot, eredményességet és a külsı felek megnövekedett bizalmát eredményezik. 17 A belsı kontrollrendszerek kialakítása, mőködtetése és fejlesztése ugyanakkor nem csak azok elınyeinek és hátrányainak mérlegelésétıl függ (bár az elemeinek megválasztása nagyobb részt már igen), hiszen egyes országok szabályai akár kötelezıvé is tehetik azt. A Combined Code C.2. elve kimondja, hogy az igazgatóságnak a tulajdonosok (részvényesek) befektetéseinek és a társaság eszközeinek védelme érdekében egy jól mőködı belsı kontrollrendszert kell mőködtetnie. 18 A SOX törvény pedig utal a menedzsment felelısségeként meghatározott pénzügyi beszámolással összefüggı kontrollrendszer létrehozásának és mőködtetésének kötelességére. 19 De miért hívjuk a belsı kontrollrendszert rendszernek? A válasz egyszerő: a kontrollrendszer különbözı elemek integráns egészeként fogható fel, amelyben mint azt már említettem nem csak kontrollszabályzatok és folyamatok találhatók. Hogy pontosan melyek azok a komponensek, amelyek a kontrollrendszerek tartópilléreit adják, azok mindig az adott keretrendszer elgondolásától függenek. A meglévı átfedések oka, hogy valamennyi megjelölt standard alapját a COSO jelentés adja, mégis, ugyanazon elemeket más és más megközelítésben olvashatjuk viszont. A következıkben ezért ezeket tekintem át. A COSO keretrendszere öt komponenst különít el az alábbiak szerint: Kontrollkomponens Kontroll tevékenységek A komponens tartalma Ezek az ún. soft kontroll összetevık képezik a belsı kontrollrendszer alapját, s magukban foglalják a társaság mőködtetési és szervezeti elveit és kereteit. Ezen elemek együttesen határozzák meg a vállalati kultúra, etika és gyakorlat kérdéseit, így elvárás, hogy az ide tartozó elképzelések megfelelı kommunikációja és megtartása révén azok mélyen beépüljenek a szervezetbe, meghatározva ezzel az alkalmazottak kontrolltudatosságát. Ide tartoznak többek között a feddhetetlenséggel, az alkalmazottak hozzáértésével, a jól mőködı és kellıen informált igazgatósággal és audit bizottsággal stb. kapcsolatos témakörök. Az eredményes kontrollrendszer kritikus pontját a menedzsment kötelezettségét jelentı kockázatazonosítás és értékelés feladata jelenti, amely feltételezi a célok 20 elızetes meghatározását. A kontroll tevékenységek az azonosított és értékelt kockázatokra a menedzsment által a kockázatok kezeléseként meghatározott elveket (szabályzatok formájában) és azok végrehajtását (a manuális és automatikus kontroll tevékenységeket) jelentik. 17 Amire éppen az elmúlt évtizedben bekövetkezett vállalati botrányok miatt szükség is van (ezek okaként nem egyszer a vállalatok gyenge belsı kontrollrendszerét szokás említeni). 18 De Nagy-Britanniában a belsı kontrollrendszer létrehozásának kötelezettségét megfogalmazó jogszabály nincsen. 19 De más iránymutatások is utalnak a jól mőködı, eredményes belsı kontrollrendszer létrehozásának feladatára, szükségességére, például az OECD Felelıs vállalatirányítási elvei is (az igazgatóság és a könyvvizsgáló belsı kontrollrendszerrel kapcsolatos feladatainak rögzítése utal erre). Az OECD elvek több ország felelıs vállalatirányítási politikájának kialakítása során alapul szolgált (pl. térségünkben), így hatása nem lebecsülendı. 20 Stratégiai-operatív; társasági-tevékenységi szintő; illetve mőködési-pénzügyi beszámolási-megfelelési bontásban részletezve. 93

5 Információ és kommunikáció Az információs rendszereknek képesnek kell lenniük arra, hogy azonosítsák, elıállítsák és megfelelı idıben továbbítsák az igényekhez igazodó, a feladatok teljesítéséhez, s így a vállalati célok eléréséhez szükséges belsı és külsı információkat. A kommunikáció belsı (a szervezet valamennyi szereplıje feladatainak, az azok teljesítéséhez szükséges információk közlésére stb. kiterjedı) és külsı irányú (pl. a könyvvizsgálóktól, elemzıktıl, stakeholderektıl származó, vagy a partnerek felé irányuló) is lehet. A belsı kontrollrendszer eredményességét folyamatos és/vagy idıszakos vizsgálatok tárgyává kell tenni, hogy az elvárt teljesítmény érdekében a szükséges intézkedéseket meg lehessen hozni. A feltárt kontrollgyengeségeket és eredménytelenségeket jelezni szükséges. A Turnbull útmutató 20. pontja szerint a belsı kontrollrendszer elemei: a kontrollkörnyezet (amely a belsı kontrollrendszer alapja), a kontrolltevékenységek, az információs és kommunikációs folyamatok, valamint a monitoring folyamatok. A Turnbull útmutató nem részletezi az elemek tartalmát (ami szorosan összefügg a brit vállalatirányítási gyakorlattal). A felsorolás alapján egyértelmő, hogy a Turnbull útmutatóban felsorakoztatott elemek megfelelnek a COSO komponenseknek, viszont az ott szereplı kockázatértékelés folyamat látszólag hiányzik a felsorolásból. Valójában azonban a Turnbull útmutató több helyen (pl. a 6., 16., 19. pontokban) is kiemeli a kockázatértékelés szerepét amely szerint a kontrollrendszer alapja a kockázatalapú megközelítés kell, hogy legyen, s feladata a kockázatok eredményes kezelése, így tulajdonképpen azt csak külön komponensként nem említi. Nem véletlen tehát, hogy a SOX törvényben meghatározott értékelési feladatok elvégzése során a figyelembe vehetı COSO keretrendszer mellett az Egyesült Államokban is felhasználható a Turnbull útmutató, mint a belsı kontrollrendszer SOX szerinti értékelési keretrendszere. 21 A CoCo kritériumrendszerben négy összetevıt különítünk el. Ezek a következık: 22 Kritériumcsoport megnevezése Cél Elkötelezettség Képesség és tanulás A kritérium tartalma Ide tartoznak a társaság irányításával összefüggı felfogáshoz kapcsolódó kritériumok. A vállalati értékeket és a társasághoz való tartozás elemeit írja le. A vállalati kompetenciák kerülnek itt megfogalmazásra. A társaság fejlıdéséhez kapcsolódó kritériumokat rögzíti. Elsı látásra a CoCo rendszer jelentısen eltér a COSO besorolástól. Valójában a húsz kritérium a COSO koncepció fıbb elemeinek teljesen megfeleltethetı, amint azt a következı táblázat szemlélteti: 21 Természetesen egy, a SOX által érintett társasági csoportnál szőkebb kör számára. 22 Ez a kontrollrendszer a négy csoportba szétosztva összesen húsz kritériumot tartalmaz, amelyek egyrészt a kontrollrendszer megértését segítik elı, másrészt a kontrollrendszer eredményességénél ezeket kell alapul venni. 94

6 CoCo kritériumcsoportok és kritériumok Cél Elkötelezettség Képesség Az információs igényeket és rendszereket az igényekhez igazítják és tanulás Célkitőzések megléte és kommunikációja Lényeges kockázatok azonosítása és értékelése Szabályzatok kialakítása, kommunikációja, megvalósítása A célkitőzések útját kijelölı tervek megalkotása, közlése Teljesítménycélok és -jelzık meghatározása A közös etikai értékek meghatározása, kommunikációja, gyakorlása A humán erıforrással kapcsolatos gyakorlat a társaság etikai értékeket tükrözi A hatáskörök és felelısségek egyértelmő meghatározása Kölcsönös bizalom légkörének megteremtése A szükséges tudás, képességek és eszközök biztosítottak Megfelelı kommunikációs folyamatok mőködnek A szükséges és releváns információkat azonosításra és továbbításra kerülnek A döntéseket és tevékenységeket megfelelıen koordinálják A kontroll tevékenységek integráns részét képezik a társaságnak A külsı és belsı környezetet vizsgálni szükséges A teljesítmények alakulását figyelik A célkitőzések mögött álló feltételezéseket idırıl-idıre felülvizsgálják Szükség szerint kialakításra kerülnek a nyomon követési (utóvizsgálati) folyamatok A menedzsment rendszeresen értékeli a kontrollrendszer eredményességét és közli annak eredményét A kritérium COSO-n belüli besorolása Kontroll tevékenységek Információ és komm. Információ és komm. Információ és komm. Kontroll tevékenységek Kontroll tevékenységek Információ és komm. A különbözı kontroll keretrendszerek elemei között tehát érdemi különbségek nem fogalmazhatók meg. Ezért lényegtelen, hogy melyik rendszert választjuk (bár mint láttuk, jogszabályok vagy egyéb elıírások megköthetik a társaság kezét a szabad választásban), a lényeg csupán az, hogy az adoptált (esetleg önállóan kialakított) változat az adott, elıbbiekben ismertetett fıbb koncepciókat tartalmazza. 23 A kontroll keretrendszerek igen részletesen határozzák meg a kontrollrendszer fenntartásához kapcsolódó felelısségek kérdését. Habár a definíciók közös eleme az emberi tényezı volt hiszen egy szervezeten belül valamennyi dolgozó munkáját befolyásolja a kontrollrendszer és fordítva, munkája hatással van a belsı kontrollrendszerre, nem általánosságban szükséges ezt a témakört közelíteni. A kontrollrendszer kiemelt szereplıi között ugyanis az igazgatóságot, a menedzsmentet, illetve a különbözı ellenıröket szokás említeni. Bár a vállalatirányítási gyakorlatban az egyes or- 23 A Turnbull útmutató alkalmazásához a KPMG által készített összefoglaló (lásd: [14.]) is ezt az álláspontot képviseli. A KPMG ezen mővében meg is határozta, hogy melyek a kontrollrendszerekben minimálisan elvárt elemek. 95

7 szágok között léteznek eltérések, a lényeg mégis könnyen megfogalmazható, hiszen a keretrendszerek között lényegi különbségek nem találhatók. 24 Ennek megfelelıen elmondható, hogy az igazgatóságot általános felelısség terheli a belsı kontrollrendszerért. Az igazgatóság a mai társaságokban rendszerint számos feladatot delegál a menedzsmentre, azonban a belsı kontrollrendszerrel összefüggésben két feladatot meg kell tartania: egyrészt a belsı kontrollrendszerrel összefüggı témakörökben neki kell jóváhagynia a különféle szabályzatokat, elveket (ez szolgál útmutatásként, irányításként a menedzsmentnek), másrészt rendszeresen meg kell gyızıdnie a belsı kontrollrendszer eredményességérıl (felügyelet) s ez utóbbi kötelezettsége teljesítéséhez számos oldalról kell bizonyosságot szereznie (elsısorban a menedzsmenttıl, a belsı ellenıröktıl és a könyvvizsgálótól, szükség esetén egyéb ellenıröktıl, tanácsadóktól; de fontos az ún. nyílt csatornákról pl. az alkalmazottaktól, vagy partnerektıl érkezı információk felhasználása is). Az igazgatóság feladatai elvégzése során magas szintő etikai elveket kell, hogy képviseljen, ami a kontrollkörnyezet szempontjából alapvetı fontosságú. A menedzsment feladata az igazgatósági útmutatásokat alapul véve a belsı kontrollrendszer kialakítása, mőködtetése és felülvizsgálata. Tekintettel arra, hogy a vállalati folyamatok végrehajtása a menedzsment elvei, döntései szerint valósulnak meg, elmondható, hogy a társaság és a kontrollrendszer mőködését nagyban befolyásolja a vezetés által képviselt és alkalmazott elvek összessége. A soft kontrollok a kontrollkörnyezet eredményességének színvonala tehát elsıdlegesen a menedzsmenttıl függ. A rendszer fenntartásának felelıssége ezért fıként a menedzsment kezében van, s ez nem véletlenül került elıtérbe a belsı kontrollrendszer eredményessége felülvizsgálatának kérdésében. A belsı kontrollrendszerek eredményességének (éves) felülvizsgálata tehát manapság az egyik legfontosabb témakör, amit részben a különbözı országok jogszabályai helyeztek a középpontba (így a SOX is). Ezek a törvényalkotói normák (de ezen kívül standardok is, így például a Turnbull útmutató) általánosságban azt az elvárást rögzítik, hogy a belsı kontrollrendszert (legalább) éves gyakorisággal a társaságnak felül kell vizsgálnia, s annak eredményérıl jelentést kell készítenie (lásd késıbb). Bár valamennyi keretrendszer tartalmaz monitoring folyamatokat, amelyek hasonló feladatokat látnak el, s valamennyi standard hangsúlyozza ezek rendszeres használatának fontosságát, 25 ezek önmagukban nem minısülnek elégségesnek: az év közben végzett rendszeres felülvizsgálat mellett szükséges (kötelezı) az év végi értékelés is. Ezen értékeléseket ugyanakkor csak az elfogadott, elismert keretrendszerek alapján lehet és kell elvégezni. Ennek oka, hogy csak ezeket ismerik el olyan ajánlásként, amelyben a komponensek integráns egységet képviselnek. De mikor is tekintjük a kontrollrendszerek mőködését eredményesnek? E tekintetben a COSO kellıen átfogó álláspontját szükséges elfogadnunk: ha az igazgatóság és a menedzsment az ésszerő bizonyossággal rendelkezik arról, hogy a társaság mindhárom (operatív mőködési, pénzügyi beszámolási és a megfelelési) célkategóriája teljesül, amelynek feltétele, hogy a keretrendszer valamennyi komponense jelen legyen és eredményesen mőködjön. Ennél szőkebben is meghatározható azonban az eredményesség kritériuma, mint teszi azt például a SOX törvény is, amelyben a pénzügyi beszámolás kerül elıtérbe (tehát csak az egyik célkitőzés). Az éves felülvizsgálathoz kapcsolódó felelısségek kérdése hangsúlyainak tekintetében azonban eltérések fogalmazhatók meg: a brit nézıpont az igazgatóság szerepét helyezi elıtérbe, míg a COSO és a SOX inkább a menedzsment kötelezettségeit emeli ki. Általánosságban elmondható, hogy az igazgatóság feladata rendszeresen meggyızıdni arról, hogy a belsı kontrollrendszer eredményesen mőködik-e, s ehhez kellı bizonyosságot kell szereznie. Ennek a felülvizsgálatnak év közben is folyamatosan meg kell valósulnia (rendszerint a menedzsment jelentései, illetve a belsı ellenırökkel folyó kommunikáció alapján), s ki kell terjednie az év végi vizsgálatra is. Az igazgatóság munkáját annak különbözı bizottságai segíthetik és így a szükséges bizonyosság részben in- 24 Érdemes emellett figyelembe venni az OECD Vállalatirányítási elveit (lásd: [17]), amely részletesen meghatározza az igazgatóság feladatait. 25 Érdemes ezzel kapcsolatban megjegyezni, hogy pont a monitoring folyamatok szerepét hangsúlyozandó a COSO bizottság éppen most véleményeztette a belsı kontroll keretrendszeréhez kapcsolódóan összeállított monitoring útmutatóját (lásd [4.]). 96

8 nen is megszerezhetı igazgatósági döntés függvényében. Ezek a bizottságok (pl. audit bizottság) rendszerint egy-egy (speciális) terület/kontroll tekintetében végezhetik el a felülvizsgálatot (pl. az audit bizottság a pénzügyi beszámolással összefüggésben, a környezetvédelemmel, egészségügyi stb. kérdésekkel foglalkozó bizottság pedig a nevükben említett kérdésekben). A menedzsment feladata a felülvizsgálati folyamatban részben az igazgatóság elvei alapján végzett folyamatos monitoring munkában található, ami rendszeres évközi információáramlást generál az igazgatóság irányába. Az amerikai nézıpont emellett a menedzsment felelısségeként határozza meg az év végi felülvizsgálatot is. Mindezek meghatározzák azt is, hogy a felülvizsgálat eredményérıl készített jelentésnek mit kell tartalmaznia. A felülvizsgálat eredményének jelentésbe foglalása általában kötelezettség; a standardok és a SOX is foglalkozik ezzel a témakörrel. Az amerikai nézıpont ez esetben is eltér: a pénzügyi beszámolással összefüggı jelentéskészítést helyezi elıtérbe, 26 míg a Turnbull a belsı kontrollrendszer egészérıl készített jelentést tartja fontosnak. Hasonló a megosztottság a jelentéskészítésre kötelezett személyek tekintetében: a britek ezt az igazgatóság feladatának határozzák meg, a COSO, SOX viszont a menedzsmentének. A jogszabályok, standardok alapján az éves felülvizsgálatról készült jelentésnek a következıket kell tartalmaznia: a menedzsmentnek/igazgatóságnak a belsı kontrollrendszer kialakításával és mőködtetésével összefüggı kötelezettségeinek kifejtését, a belsı kontrollrendszer korlátainak bemutatását (ésszerő bizonyosság koncepciója), a felülvizsgálat eredményét (esetleg a felülvizsgálat folyamatának rövid bemutatását), a belsı kontrollgyengeségekre, vagy eredménytelenségekre adott válaszokat, a belsı kontrollrendszert mőködését, felülvizsgálatát érintı speciális témaköröket szükség szerint (pl. annak ismertetését, hogy léteznek írott szabályzatok, vagy a belsı ellenırök ellenırzési tervét). Amint azt láthattuk, a nagyobb kontrollrendszerek között lényegi eltérések nem fogalmazhatók meg, viszont valamennyi hozzáad valamit ahhoz a képhez, amit együttesen belsı kontrollrendszernek nevezünk. Ezért ha felmerül a kérdés, hogy melyik standard ajánlásaira építve alakítsuk ki a saját társaságunk belsı kontrollrendszerét, akkor azt kell válaszolnunk (ha a választást egyébként nem köti semmi sem), hogy bármelyikre lehet. Ezt a választ erısíti meg a Turnbull útmutatóhoz a KPMG által készített összefoglaló [14] is: csak tartalmazza a közös koncepciókat, legyen része a társasági kultúrának, épüljön bele folyamataiba és már mindegy is, hogy melyik (elfogadott) keretrendszert vesszük alapul. Ne feledjük, hogy a különbözı modellek mögött azonos célok találhatók: segítik a saját vállalatunk mőködését, kockázatait megérteni, s a különbözı csoportosítások ellenére nem csak a kontrollrendszer lényegét mutatják meg, hanem alapot adnak annak értékeléséhez is. IRODALOMJEGYZÉK [1] Answers.com: Internal Control Systems. [2] CCGI: Sarbanes Oxley and Turnbull Report on Corporate Governance. [3] COSO: Internal Control Integrated Framework [4] COSO: Internal Control Integrated Framework; Guidance on Internal Control Systems. (jelen pillanatban nem érhetı el, 2008-ban jelenik meg a végleges kiadvány), [5] Farkas Szilveszter Szabó József: A vállalati kockázatkezelés kézikönyve. Dialóg Campus Kiadó, Budapest-Pécs, [6] Finance Week: How UK and US differ on corporate governance [7] Frameworks For Evaluating Internal Controls (prezentáció). [8] FRC: Revised Guidance for Directors on the Combined Code Ami érthetı, hiszen a SOX a pénzügyi botrányokra adott válaszként értelmezhetı. A COSO azt emeli ki, hogy az ı standardja azért foglalkozik inkább a pénzügyi beszámolással, mert azt könnyebben és olcsóbban lehet megítélni (elég standard és szakérı, pl. könyvvizsgáló áll hozzá rendelkezésre), de hozzáteszi, hogy ettıl függetlenül a jelentés a teljes kontrollrendszerre is kiterjedhet. 97

9 [9] FRC: The Combined Code on Corporate Governance [10] FRC: The Combined Code on Corporate Governance [11] FRC: The Smith Guidance on Audit Committees [12] FRC: The Turnbull guidance as an evaluation framework for the purposes of Section 404(a) of the Sarbanes-Oxley act [13] ICAEW: Corporate Governance developments in the UK. [14] KPMG: The KPMG Review Internal Control: A Practical Guide [15] McGill University: Assessment Criteria for Risk: Guidance on Control (CoCo). [16] Merétey-Vida Zsolt: A részvénytársaságok ellenırzési rendszere. SzámAdó, november. [17] OECD: Principles of Corporate Governance [18] Risk Management & Governance (prezentáció). [19] The Committee on the Financial Aspects of Corporate Governance: The Financial Aspects of Corporate Governance