Belső ellenőrzés működésével és kihívásaival kapcsolatos Headline Verdana kérdőív Bold eredményei László Júlia, Manager Deloitte, 207 május 8.
A felmérés jellege A Deloitte és a Belső Ellenőrök Magyarországi Közhasznú Szervezete közös felmérést végzett a belső ellenőrzési osztályok működésével, állapotával és kihívásaival kapcsolatban. A kérdőív célja információt gyűjteni, majd aggregált formában információt nyújtani a felmérésben részt vevő szervezeteknek. Nem pénzügyi vállalatok iparági megoszlása 0 A felmérésben 3 belső ellenőrzési vezető vett részt, melyből pénzügyi intézmény, 38 nem pénzügyi intézmény belső ellenőrzésének irányítását látja el. 9 Közszféra Energia, bányászat, közművek Közlekedés Távközlés, kommunikáció Termelés, logisztika, szállítmányozás Gyógyászat Szórakoztatóipar, média Erdőgazdálkodás Vegyipar Építőipar, magasépítés Postai szolgáltatások 207 Deloitte Magyarország 2
Belső ellenőrzési szervezeti egységek mérete, költségvetése és alkalmazott normái Az eredmények alapján megállapítható, hogy a nem pénzügyi vállalatok allokált belső ellenőrzési költségvetése alacsonyabb, mint az erősebben szabályozott pénzügyi intézményeké. Nem pénzügyi vállalatoknál a belső ellenőrzési szervezet költségvetése az árbevétel arányában Pénzügyi vállalatoknál a belső ellenőrzési szervezet költségvetése kamatkülönbözet, nettó jutalék és díjeredmény arányában 30 2 20 0 0 0,% és 0,2% között 0,2% és 0,9% között kevesebb, mint 0,% 0 8 6 2 0 0,% és 0,2% között 0,% és 0,99% között kevesebb, mint 0,% A belső ellenőrzési szervezetek 7 %-a alkalmazza az IIA normákat tevékenysége során. 29% IIA normák alkalmazása a belső ellenőrzésben 6% igen, és belső értékelést végzett erre vonatkozóan a szervezet- QAIP (Quality Assurance and Improvement Program) 30 főnél több 2- fő Belső ellenőrzési szervezetek mérete 2% igen, és belső értékelésen túl külső értékelést is végzett a szervezet erre vonatkozóan - QAIP (Quality Assurance and Improvement Program) nem - 30 fő - 0 fő 0 0 20 207 Deloitte Magyarország 3 fő
Fluktuáció, tapasztalat és képzés A kérdőívet kitöltők válaszai alapján a fluktuáció a belső ellenőrzési területeken az esetek többségében alacsony, % alatti. Belső ellenőrzési területen Belső ellenőrzési területen tapasztalt tapasztalt fluktuáció a nem fluktuáció a pénzügyi intézmények pénzügyi vállalatok esetén esetén 80% 70% 60% 0% 0% 30% 20% 0% 0% A belső ellenőrzési szervezeteknél dolgozó kollégák átlagos tapasztalata a válaszadók 89%-ánál több, mint négy év. Az allokált képzési napok száma a megkérdezettek 7%-ánál több mint képzési nap éves szinten. 23% % % alatt -% % felett A belső ellenőrzési szervezet átlagos tapasztalata 23% év feletti tapasztalat 8 - év közötti tapasztalt - 7 év közötti tapasztalat 80% 70% 60% 0% 0% 30% 20% 0% 2 - év közötti tapasztalat 3% 3% 0 napnál több 207 Deloitte Magyarország 32% 0% % % alatt -% % felett Átlagos éves képzési idő a belső ellenőrzési 6% területeken % A belső ellenőrök képzésére nem fordítottak időt a szóban forgó évben. Kevesebb, mint nap - nap 6-0 nap
A belső ellenőrök képzettsége A kitöltő szervezeteknél dolgozó belső ellenőrök több, mint fele rendelkezik mérlegképes könyvelői végezettséggel valamint BEMSZ oklevéllel. Ugyancsak gyakorinak tekinthető a szervezeteknél a CIA, CISA/CISMA, ACCA és a bejegyzett könyvvizsgálói képesítés. A belső ellenőrök képzettségi megoszlása 3 33 Mérlegképes könyvelő BEMSZ oklevél 30 CIA 2 26 CISA/CISM Bejegyzett könyvvizsgáló ACCA CRMA 20 Accredited Quality Assessor Pénzügyi és számviteli szakellenőr MBA CFE 0 0 9 9 ITIL CAT Adótanácsadó végzettség 0 3 2 CFA Tőzsdei szakvizsga IFRS ISO2700 207 Deloitte Magyarország
A belső ellenőrzés megítélése A kitöltő szervezetek 0%-a úgy véli, hogy a belső ellenőrzés megítélése az elmúlt három évben javult melyben szerepet játszhat a belső ellenőrzés egyre aktívabb szerepvállalása a tanácsadói szerepkörben. A belső ellenőrzés megítélése 0 3 30 2 20 0 0 A belső ellenőrzés tanácsadó szerepet tölt be és aktívan formálja a szervezet kontroll környezetét 0% 6% 2% 3% 0% 0% 20% 30% 0% 0% 60% 70% 80% 90% 00% A belső ellenőrzés szerepe az elmúlt három évben felértékelődött, jobban elismerik a funkció értékteremtését A belső ellenőrzés szerepe az elmúlt három évben romlott, kevésbé ismerik el a funkció értékteremtését Nem változott lényegesen A vállalatnál nem megoldott a vizsgált területek véleményének kikérése A belső ellenőrzési tevékenység kialakítását legtöbb esetben a vállalatvezetés és tulajdonosi elvárások indukálják, de jelentős azon szervezeteknek aránya, melyeknél a jogszabályi megfelelés miatt szükséges a belső ellenőrzési funkció létesítése. A belső ellenőrzés kockázatkezelésben betöltött szerepe A belső ellenőrzés bizonyosságot nyújt és tanácsadóként is közreműködik a kontroll környezet értékelése során A belső ellenőrzés bizonyosságot nyújt a meglévő kontroll rendszer minőségéről Miért foglalkoztat a vállalat belső ellenőrt? engedély megszerzése miatt korábbi csalási esemény miatt vállalat vezetés kezdeményezése miatt pályázat elnyerése jogszabályi követelmények teljesítése miatt anyavállalat kezdeményezése miatt 0 20 0 207 Deloitte Magyarország 6
Aktuális kihívások a belső ellenőrzésben /2 A megkérdezett belső ellenőrök a legnagyobb kihívást az automatizált adatelemzési eljárások alkalmazásában, az IT szakismeretek általános hiánya és elavultsága okozta nehézségekben és a többi védelmi vonallal történő hatékonyabb együttműködésben látják. Ezen túl a belső ellenőrzésnek még mindig nehézséget jelent az elismertség hiánya és nem támogató szervezeti kultúra. Mely tényező jelenti a legnagyobb kihívást a belső ellenőrzés számára jellemzően? Automatizált adatelemzési eljárások alkalmazása IT szakismeret hiánya, elavultsága A többi védelmi vonallal történő hatékony, átfedés mentes együttműködés, támaszkodás mások eredményeire Elismertség és elfogadás a nem támogató kultúra, nem együttműködő munkatársak miatt Növekvő tulajdonosi és vezetői elvárások Változó szabályozási környezet Emberi erőforráshiány, bevonzani tehetségeket a szakmába Szofisztikált, fejlett kockázatelemzési és belső ellenőrzési módszertan hiánya Az egyéni objektivitás fenntartása Az állam, mint tulajdonos elvárása a funkcióval kapcsolatban 0 0 20 2 A tehetségek bevonzása és az erőforrás hiány a belső ellenőrzési funkciónak is egyre inkább kihívást jelent. 207 Deloitte Magyarország 7
IT rendszerek vizsgálata Cyber és IT biztonság vizsgálata Digitális csatornák vizsgálata Információbiztonság, adatvédelem, adatkezelés vizsgálata Csalásmegelőzés vizsgálata Beszerzési folyamat vizsgálata Kiszervezett tevékenységek vizsgálata Számviteli és adózási folyamatok vizsgálata Termelés és készletezés vizsgálata Vállalat irányítás Készpénzforgalom és likviditáskezelés vizsgálata IT rendszerek vizsgálata Cyber és IT biztonság vizsgálata Információbiztonság, adatvédelem, adatkezelés vizsgálata Digitális csatornák vizsgálata Kiszervezett tevékenységek vizsgálata Számviteli és adózási folyamatok vizsgálata Kockázatkezelésben használt modellezés vizsgálata Csalásmegelőzés vizsgálata Piaci kockázatkezelés vizsgálata Vállalat irányítás Hitelezési kockázatkezelés vizsgálata MNB adatszolgáltatás Beszerzési folyamat vizsgálata Javadalmazási politika Aktuális kihívások a belső ellenőrzésben 2/2 A belső ellenőrzési vezetők a legnagyobb kihívást jelentő vizsgálati területeken pénzügyi és nem pénzügyi vállalatoknál egységesen látják, ezek az IT rendszerek és IT biztonság vizsgálati területei, a digitális csatornák, az információ biztonság és az adatvédelmi folyamatok vizsgálata. 2 Területek melyek vizsgálata kihívást jelentett a nem pénzügyi vállalatok esetén 2 Területek melyek vizsgálata kihívást jelentett a pénzügyi intézmények esetén 20 0 8 0 6 2 0 0 207 Deloitte Magyarország 8
Ellenőrzések gyakorisága és a felügyeleti szervek szankcionálása A kérdőívet kitöltők válaszai alapján a pénzügyi szektorban az egy belső ellenőrre eső éves vizsgálatok száma magasabb. Éves terv szerint egy belső ellenőrre jutó vizsgálatok száma a pénzügyi intézeteknél 2.0 % 37.0 % 23.68% Éves terv szerint egy belső ellenőrre jutó vizsgálatok száma a nem pénzügyi intézeteknél 2.0% 3.2 % 0-nél több vizsgálatot 8-0 vizsgálatot -7 vizsgálatot -3 vizsgálatot 8.7 % 7.89% 7.37% 0-nél több vizsgálatot 8-0 vizsgálatot -7 vizsgálatot -3 vizsgálatot A nagyobb vizsgálati gyakoriság ellenére az összetettebb szabályozói környezet és az átfogóbb ellenőrzés lényegesen több szabályozói bírságot eredményez a pénzügyi szektor szereplőinél. Az elmúlt három pénzügyi beszámolóval lezárt üzleti évben felügyeleti szerv élt-e szankcióval a vállalatnál? Igen, bírságot nem szabott ki a felügyeleti szerv, csak felszólította a vállalatot a hiányosságok Igen, bírságot szabott ki a felügyeleti szerv Nem Pénzügyi szektor Nem pénzügyi szektor 0.00% 0.00% 00.00% 207 Deloitte Magyarország 9
Minőségbiztosítás a belső ellenőrzésben A megkérdezettek nagyjából fele végez minőségbiztosítási és fejlesztési programot, melyeknél a belső felülvizsgálat az esetek döntő többségében éves gyakoriságú, míg a külső vizsgálatok jellemzően 2 és év közötti periodicitás mellett ismétlődnek főként külső szakértő bevonása mellett. A válaszadók 96%-a kér visszajelzést a vizsgálatokat követően, döntő többségükben minden egyes vizsgálatot követően. Milyen gyakran végeznek a vállalatnál a belső ellenőrzésre vonatkozó belső minőségbiztosítási és fejlesztési program szerinti értékelést?.8% 3.92% 9.80%.0% 0% 20% 0% 60% 80% 00% Évente Két évente Két évnél ritkábban Nem végeznek a vállalat belső ellenőrzésére vonatkozóan belső minőségbiztosítási és fejlesztési program szerinti értékelést. Milyen gyakran végeznek a vállalatnál a belső ellenőrzésre vonatkozó külső minőségbiztosítási és fejlesztési program szerinti értékelést? 7.% 20.7% 20.7% 0.9% 0% 20% 0% 60% 80% 00% Évente 2- évente évnél ritkábban Nem végeznek a vállalat belső ellenőrzésére vonatkozóan külső minőségbiztosítási és fejlesztési program szerinti értékelést. Total Ki végzi a külső minőségbiztosítást a belső ellenőrzés tevékenységére vonatkozóan? 3 7 Külső szakértő (tanácsadó) Tulajdonos, anyavállalat belső ellenőrzési osztálya A vállalat belső értékelésének eredményét független külső féllel validáltatja Vizsgálatot követő visszajelzések kérése 3.2% 3.77% 3.2% 69.8% Minden vizsgálat után kér visszajelzést a belső ellenőrzés a vizsgált területektől Esetenként kér visszajelzést a belső ellenőrzés a vizsgált területektől A belső ellenőrzés nem kér visszajelzést a vizsgált területektől. A vizsgálatok többségénél kér a belső ellenőrzés visszajelzést 0 0 20 a vizsgált területektől 207 Deloitte Magyarország 0
Automatizálás és hatékonyságnövelés A kérdőívet kitöltők jelentős része a munkatársak folyamatos képzésében és fejlesztésében látja a hatékonyságnövelés kulcsát. A belső ellenőrzési területek jelentős része nem használ szoftveres audit alkalmazásokat. A használt alkalmazások között az adatelemzési eszközök, az erőforrás tervező programok és az audit menedzsment szoftverek a leggyakoribbak. Alkalmazott hatékonyságnövelő eszközök 2 Belső ellenőrök folyamatos képzése és fejlesztése Belső ellenőrzés által használt audit szoftverek és alkalmazások Nem használ ilyen alkalmazásokat 20 6 Belső ellenőröket promotáló vezetés és szervezeti kultúra és együttműködő munkatársak Belső ellenőri munkák dokumentálását segítő alkalmazás 8 8 Adatelemzési eszközök (ACL, IDEA stb.) vizsgálat- és erőforrás tervező alkalmazás Anyavállalat belső ellenőrzésétől érkező módszertani iránymutatás és tudás megosztás Automatizált adatelemzési eszközök 7 Audit menedzsment szoftver (Team Mate, Pentana stb.) Governance Risk and Compliance szoftver (GRC) Job rotation Egyéb 0 20 0 Mentoring program Miért nem használ a belső ellenőrzés szoftveres megoldásokat 3 0 0 Csalásmegelőzéshez használt alkalmazás 2 A belső ellenőrzési osztály mérete nem indokolja az IT támogatott audit eszközök használatát 20 A szoftver és a felhasználók képzése aránytalanul sokba kerül A szoftver összetett és nincs meg a szükséges szakértelem a használathoz 0 23 A vezetés nem ismeri az IT támogatott audit eszközökben rejlő lehetőséget 3 8 8 9 A vezetés nem támogatja az IT támogatott audit eszközök használatát 0 Nem megfelelő az adatminőség vagy adatstruktúrák ezért nem lehetne hatékonyan alkalmazni az adatelemzési eszközöket 207 Deloitte Magyarország
Visszaéléstípusok A felmérésben részt vevő vállalatok nagyobb részénél tapasztaltak valamilyen visszaélést az elmúlt üzleti évben, mint ahányban nem. A nem pénzügyi szektorban a legjellemzőbb séma az eszközök magáncélú használata és az eltulajdonlás. Visszaéléstípusok pénzügyi intézmények esetében 2 Visszaéléstípusok a nem pénzügyi vállalatok esetében 3 2 2 7 6 8 3 Nem fordult elő visszaélés a vállalatnál A társaság eszközeinek magáncélú használata Eszközök eltulajdonlása Nem fordult elő visszaélés a vállalatnál Sikkasztás (pénztárból, folyószámláról) Lefölözés (eltitkolt értékesítés, visszatérítések stb.) Belső iratok, dokumentáció, számlák, szerződések meghamisítása Értékesítés és árbevétel manipulációja A társaság eszközeinek magáncélú használata Eszközök eltulajdonlása Érdekkonfliktusok kihasználása Pénzügyi beszámoló, könyvelés manipulációja, eszközök túlértékelése, nyereség eltüntetése, ingatlanok jelentősen piaci érték alatt történő értékesítése Belső iratok, dokumentáció, számlák, szerződések meghamisítása Visszaélés költségelszámolással, beszerzéssel kapcsolatban Munkaügyi visszaélés (nem létező dolgozók, manipulált javadalmazás stb.) Vesztegetés, ajándék elfogadása előnyhöz jutás mellett 207 Deloitte Magyarország 2
Csalásmegelőzés és visszaéléssel kapcsolatos veszteségek A kérdőívet kitöltők válaszai alapján a pénzügyi szektor intézményei között gyakoribb a bírságolás, mely indokolható a szektorra jellemző erősebb szabályozói ellenőrzési rendszer jelenlétével. A bejelentések jelentős részét a visszaélés bejelentési csatornákon keresztül, valamint a belső ellenőrzés által folytatott vizsgálatok eredményeként azonosították a felmérésben résztvevő szervezeteknél. A megkérdezett vállalatok negyede rendelkezik csalásmegelőzési stratégiával és az egyharmaduk végez éves szinten kockázatértékelést. Az elmúlt három, pénzügyi beszámolóval lezárt üzleti évben azonosított visszaélések következményeként nagyságrendileg mekkora veszteség érte a vállalatot? 3.3% 28.3% 6.63% 3.3% Legjellemzőbb fórumok, ahol a csalási esetek azonosításra kerülnek A belső ellenőrzés azonosított visszaélést a belső ellenőri vizsgálatok alkalmával A visszaélés bejelentésre szolgáló csatornákon keresztül történt bejelentés 0% 20% 0% 60% 80% 00% milliárd forintot meghaladó mértékű veszteség 2 millió és 00 millió forint közötti mértékű veszteség 2 millió forint alatti veszteség Nem fordult elő visszaélés a vállalatnál Nem fordult elő visszaélés a vállalatnál Felügyeleti szervek által lefolytatott vizsgálatok tártak fel visszaélést a vállalatnál Fraud prevention team azonosított visszaélést; Ügyfélreklamációból Vezető munkatársak Állítások a csalásmegelőzéssel kapcsolatban 0 0 20 20 A vállalat a csalás kockázat értékelését legalább évente elvégzi. A vállalat rendelkezik csalásmegelőzési stratégiával, és csalás kockázat értékeléssel. Egyik sem igaz 3 A vállalat megfelelő minőségű és mennyiségű erőforrással rendelkezik a csalások megelőzésére és felderítésére. 3 A vállalat adatelemzéseket végez a csalási sémák észlelése és kiszűrése érdekében. 3 A vállalatnál gyakoriak a bejelentés nélküli belső ellenőri vizsgálatok. 0 0 20 30 207 Deloitte Magyarország 3
Köszönöm a figyelmet! 207 Deloitte Magyarország
A Deloitte név az Egyesült Királyságban company limited by guarantee formában alapított Deloitte Touche Tohmatsu Limited ( DTTL ) társaságra, tagvállalatainak hálózatára és kapcsolt vállalkozásaira utal. A DTTL és valamennyi tagvállalata önálló, egymástól elkülönülő jogi személy. A DTTL (vagy Deloitte Global ) nem nyújt szolgáltatásokat ügyfelek számára. A DTTL és tagvállalatai jogi struktúrájának részletes bemutatását a következő link alatt találja: www.deloitte.hu/magunkrol. Magyarországon a szolgáltatásokat a Deloitte Könyvvizsgáló és Tanácsadó Kft. (Deloitte Kft.), a Deloitte Üzletviteli és Vezetési Tanácsadó Zrt. (Deloitte Zrt.) és a Deloitte CRS Kft. nyújtja (melyek közös neve "Deloitte Magyarország"). Mindhárom társaság a Deloitte Central Europe Holdings Limited tagvállalata. A Deloitte Magyarország négy szakmai területen - könyvvizsgálat, tanácsadás, adó- és jogi, valamint kockázati tanácsadási területeken - tölt be kiemelkedő szerepet az országban, és kínál szolgáltatásokat több mint 00 hazai és külföldi szakértője segítségével. (Ügyfeleinknek együttműködő ügyvédi irodánk, a Deloitte Legal Erdős és Társai Ügyvédi Iroda nyújtja a jogi tanácsadási szolgáltatásokat.) A jelen dokumentum és a benne foglalt valamennyi információ a Deloitte Magyarország társaságaitól származik és célja, hogy bizonyos témakör(ök)ben általános információkkal szolgáljon, de nem tárgyalja az adott témakör(öke)t annak teljességében. A jelen dokumentumban megadott információk nem minősülnek számviteli, adóügyi, jogi, befektetési, tanácsadási illetve egyéb szakmai szolgáltatásnak. Ezek az információk nem képezhetik ügyfeleink üzleti döntéseinek kizárólagos alapját. Ügyfeleinket arra kérjük, hogy pénzügyeiket vagy üzletvitelüket befolyásoló bármely döntésük meghozatala, vagy a döntésnek megfelelő magatartás tanúsítása előtt kérjék képzett szakmai tanácsadóink véleményét. Jelen anyagok és a bennük foglalt információk tájékoztató jellegűek és esetlegesen hibákat is tartalmaznak, amelyekért a Deloitte Magyarország sem kifejezetten, sem hallgatólagosan nem vállal felelősséget, és amelyek nem minősülnek a Deloitte Magyarország állásfoglalásának. Az előzőek érintése nélkül a Deloitte Magyarország nem garantálja az anyagoknak és / vagy a bennük foglalt információknak a hibamentességét, továbbá a teljesítés vagy a minőség valamennyi egyedi kritériumának való megfelelőséget sem. A Deloitte Magyarország cégei nem felelnek a szolgáltatásaik piacképességére, vagy adott célra való alkalmassága, jogtisztasága, versenyképessége, biztonsága és pontossága vonatkozásában. Ügyfelünk a jelen anyagot és a benne foglalt információkat a saját felelősségére használja, és teljes mértékben felelősséget vállal a jelen dokumentum és a benne foglalt információk használatából eredő következményekért, esetleges veszteségekért. A Deloitte Magyarország cégei nem vonhatók felelősségre jelen dokumentum, vagy a benne foglalt információk felhasználásával kapcsolatosan felmerülő közvetlen, közvetett, járulékos, következményes, büntető jellegű vagy bármilyen egyéb kárért, valamint egyéb veszteségért sem, legyen az szerződéses, jogszabály szerinti vagy magánjogi (például gondatlanságból fakadó). A fent írtaktól eltérően amennyiben az információk és az anyagok kifejezetten az Ügyfél és a Deloitte Magyarország között létrejött szerződés végleges teljesítéseként kerülnek átadásra, a Deloitte Magyarország felelősséget vállal azért, hogy a szolgáltatásnyújtás és - amennyiben van - az elkészült termék szerződésszerű. A Deloitte Magyarország rögzíti, hogy az anyagok és az információk kizárólag a szerződésben meghatározott személyek / szervezetek számára készülnek és célokra alkalmasak. A Deloitte Magyarország minden felelősséget kizár az Ügyfél által rendelkezésre bocsátott dokumentumokból, anyagokból, információkból és adatokból fakadó vagy azokkal összefüggő károk vonatkozásában. Minden itt nem szabályozott kérdésre a vonatkozó szerződés irányadó. Ha a fenti rendelkezések bármelyike bármilyen okból nem érvényesíthető, a többi rendelkezés továbbra is hatályban marad és alkalmazandó. 207 Deloitte Magyarország