A belső kontrollrendszerek témája a többszörös válság idején újra előtérbe került, akárcsak a korábbi 2008-2009-es gazdasági válság után. A kockázat csökkentése a belső kontrollok által kecsegetető hívószó a vállalatvezetők számára. Új pozíciók, illetve egyre több álláshirdetés jelenik meg a „vállalati fraud manager,” “risk manager”, “compliance expert” kulcsszavakkal.

A válság hatására jelentkező bizonytalan gazdasági környezet is jelentősen hozzájárul a szabályozói környezet erősödéséhez.. Ezt bizonyítja az ESG előírások, az EU AI Act, a DORA szabályozás, és az identitás- és hozzáféréskezelés (IAM) előtérbe kerülése is. Ezek az irányelvek, szabályok egyrészt egymást erősitik, másrészt nemcsak a szabályozási megfelelés biztosítását szolgálják, hanem kulcsfontosságúak a kiberbiztonság, a fenntarthatóság, az adatvédelem, és a vállalati reziliencia szempontjából is.

A belső kontrollrendszerek ma Magyarországon létrejöhetnek törvényi szabályozás miatt, nemzetközi standardnak való megfelelés okán, néhány esetben anyavállalati elvárások mentén, de ezek mellett is számos előnye van a létrehozásuknak. Ha jól működő, hatékony belső kontrollrendszerünk van, a cég tulajdonosainak és vezetőinek nem kell aggódniuk a cég hírneve miatt, sőt a belső kontrollok megléte növeli a vállalat értékét, hiszen számos kockázatot kezelnek, illetve az éves audit is sokkal egyszerűbb, olcsóbb és gyorsabb ebben az esetben.

2.1. Mely vállalatok esetében kötelező a belső kontrollrendszer felépítése, vagy mely vállalatok esetében van rá hivatalos ajánlás?

A belső kontrollrendszerek törvényi szabályozása országonként jelentősen eltér: legerősebben szabályozva Németországban és Svájcban vannak a belső kontrollok tekintetében a vállalatok. Magyar cégek esetében az alábbi helyzetekben kötelező a belső kontrollrendszerek kiépítése:

• Ha az anyavállalatára vonatkozik a SOX

A SOX, vagyis a Sarbanes-Oxley törvény 2002-ben lépett életbe az Egyesült Államokban, válaszul az olyan nagyvállalati könyvvizsgálati botrányokra, mint például az Enron és a WorldCom ügyek. A törvény célja a vállalati átláthatóság növelése, a pénzügyi csalások megelőzése és a befektetők bizalmának helyreállítása volt. Az Egyesült Államok Értékpapír- és Tőzsdefelügyeletének joghatósága alá tartozó valamennyi vállalatnak meg kell felelnie a SOX-szabályoknak, illetve a szervezetek leányvállalataira is érvényes a törvény. A törvény egyik legfontosabb eleme a Section 404, amely a vállalatokat arra kötelezi, hogy éves jelentést (Internal Controls over Financial Reporting, ICFR) adjanak ki belső kontrollrendszerük hatékonyságáról, valamint a pénzügyi jelentések megbízhatóságáról.

• Köztulajdonban álló gazdasági társaságoknak az alábbi paraméterek szerint

Magyarországon a 339/2019 (XII.23) Kormányrendelet vonatkozik a köztulajdonban álló gazdasági társaságokra. A szabályozás értelmében bizonyos méretküszöböket meghaladó köztulajdonban álló gazdasági társaságoknak – ide nem értve a Magyar Nemzeti Bankot, a hitelintézeteket, a pénzügyi vállalkozásokat és a biztosítókat – kötelező belső kontrollrendszert kialakítaniuk. A kritériumokat az elfogadott éves vagy konszolidált beszámoló alapján a következő mutatók határozzák meg: a mérlegfőösszeg legalább 600 millió forint, az éves nettó árbevétel minimum 1,2 milliárd forint, vagy az átlagos létszám meghaladja a 100 főt. A törvény szerint “a köztulajdonban álló gazdasági társaság első számú vezetője felelős a belső kontrollrendszer keretében a köztulajdonban álló gazdasági társaság működésében érvényesülő a) kontrollkörnyezet, b) integrált kockázatkezelési rendszer, c) kontrolltevékenységek, d) információs és kommunikációs rendszer, és e) nyomon követési rendszer (monitoring) kialakításáért, működtetéséért és fejlesztéséért.”

• Biztosítótársaságok számára MNB javaslat alapján ajánlott

A 2014. évi LXXXVIII. törvény 94. § szerint (1) a biztosítási és viszontbiztosítási tevékenység végzésének a feltétele a belső ellenőrzési rendszerek kialakítása. Ez viszont nem jelenti azt, hogy specifikusan a belső kontrollrendszerek felállítása kötelező lenne a biztosítótársaságoknak.

A Magyar Nemzeti Bank azonban 2022-ben ajánlást adott ki a biztosítócégek számára belső kontrollrendszerek kialakításáról. A 12/2022. (VIII.11.) számú ajánlás célja, hogy a megbízható és prudens működés garantálása érdekében a pénzügyi szervezetek belső védelmi vonalakat működtessenek. A három védelmi vonal feladata, hogy azonosítsák és kezeljék a szervezet működése során keletkező problémákat.

Az elsődleges védelmi vonalat az üzleti folyamatokba beépített kontrollok teszik ki. Ezt egészítik ki a második és a harmadik védelmi vonalakhoz tartozó belső kontrollfunkciók. Az ajánlás értelmében a második védelmi vonalhoz tartozó belső kontrollfunkciók közé sorolandó a kockázati kontrollfunkció és a megfelelőségbiztosítási funkció, a harmadik védelmi vonalat pedig a belső ellenőrzési funkció jelenti.

2.2.Milyen üzleti helyzetek esetén lehet előnyös a belső kontrollrendszerek kialakítása?

Növekvő startupok esetében külső finanszírozás bevonásakor a belső kontrollrendszer megléte és hatékonysága bizonyíthatja a potenciális befektetőknek és hitelintézeteknek, hogy a vállalat komolyan veszi a pénzügyi integritást és a kockázatkezelést. Ez növelheti a vállalat hitelességét és vonzóbbá teheti azok számára, akik pénzügyi forrásokat kínálnak. A belső kontroll segíthet azonosítani a pénzügyi és működési kockázatokat, valamint a lehetséges megelőző intézkedéseket . Ez csökkentheti a visszaélések és a pénzügyi veszteség kockázatát.

Azon vállalatok esetében, amelyek új irányítási rendszert, például SAP S/4 HANA-t vezetnek be, aktuális lehet a belső kontrollrendszer felülvizsgálata és esetleges újragondolása. A modern irányítási rendszerek, mint az S/4 HANA, lehetővé teszik a folyamatok automatizálását és az adatok valós idejű elemzését, amelyek jelentősen hozzájárulhatnak a belső kontroll hatékonyságának növeléséhez. Az ilyen típusú integráció elősegítheti a kockázatok gyorsabb azonosítását és kezelését, valamint növelheti a vállalati adatok átláthatóságát.

Átfogó AI-stratégiába kezdő vállalatok esetében az AI és a gépi tanulás alkalmazása a belső kontrollrendszerekben lehetővé teszi a folyamatok automatizálását és az adatelemzés hatékonyságának növelését. Az AI segíthet a potenciális szabálytalanságok azonosításában, így a vállalatok gyorsabban és pontosabban reagálhatnak a kockázatokra. Az AI-stratégiával rendelkező vállalatok számára a belső kontroll automatizálása jelentős mértékben hozzájárulhat a működési hatékonyság növeléséhez és a kockázatkezelés fejlesztéséhez.

A belső kontrollok kialakítása fontos azon szervezetek számára, amelyek fel szeretnének készülni a jövőbeli kihívásokra és reziliensebbé tennék a vállalatukat. A belső kontrollrendszer folyamatos fejlesztése és optimalizálása elengedhetetlen a vállalati reziliencia szempontjából. Egy jól strukturált belső kontrollrendszer képes alkalmazkodni a változó környezethez. Segíthet csökkenteni a váratlan eseményekből adódó károkat, és elősegíteni a vállalat gyors helyreállítását. Az ilyen rendszerek lehetővé teszik, hogy a szervezetek proaktívan kezeljék a kockázatokat és kihasználják az új lehetőségeket.

2.3 Mely nemzetközi standardok, audit standardok szólnak a belső kontrollrendszerek kialakításáról?

• COSO Framework

1992-ben a Committee of Sponsoring Organizations (továbbiakban: COSO) kiadta az Internal Control – Integrated Framework című dokumentumot. A kiadvány a vállalatok belső ellenőrzésére érvényes integrált keretrendszer kialakítását taglalta.

A COSO 2013-ban publikált keretrendszerében a következőképp definiálta a belső kontroll kifejezést: „a gazdálkodó egység igazgatótanácsa, vezetősége és egyéb személyzete által végrehajtott folyamat, amelynek célja, hogy ésszerű bizonyosságot nyújtson a működéssel, a beszámolással és a megfeleléssel kapcsolatos célkitűzések elérésére vonatkozóan".

Az 1992-es keretrendszerhez hasonlóan a 2013-ban megfogalmazott elvek is három célkitűzést határoznak meg, amelyek lehetővé teszik a szervezetek számára, hogy a belső ellenőrzés különböző aspektusaira összpontosítsanak:

• Operations Objectives (működési célok)
• Reporting Objectives (riporting célok)
• Compliance Objectives (megfelelőségi célok)

A belső kontrollokat öt fontos komponensre lehet osztani, melyek szükségesek ahhoz, hogy a fent említett célokat sikeresen el lehessen érni.:

• Control Environment (kontrollkörnyezet)
• Risk Assessment (kockázatfelmérés)
• Control Activities (kontrolltevékenységek)
• Information and Communication (információ és kommunikáció)
• Monitoring Activities (monitoring)

A COSO-modell értelmezhető egy kockaként, amely a vállalati kontrollrendszert három dimenzióban jeleníti meg. Ennek segítségével egyszerre többféle kombináción keresztül vizsgálhatjuk a belső kontrollrendszer tartalmát. A kocka a célkitűzések, a komponensek, illetve a szervezet felépítése (működési egységek, jogi személyek, illetve egyéb) közötti közvetlen kapcsolatot ábrázolja. Az oszlopok jelenítik meg a célokat, a sorokban található az ezek eléréséhez szükséges öt komponens. A harmadik dimenzióban látható a szervezet felépítése. A COSO keretrendszer általános célja, hogy kialakuljon egy közös, következetes belső ellenőrzési modell a szervezetben. Továbbá  standard nyelvezetet biztosít a kontrollok, meghatározások és modellek terén.

• ISA 315 Standard

A belső kontrollrendszer szükségességét és felépítését nemzetközi standardok is támogatják. A legfontosabb a 315-ös témaszámú ISA (International Standard on Auditing) standard, mely 2021. december 15-e óta hatályos. A standard szerint egy kontrollrendszer akkor megbízható és elfogadható a könyvvizsgáló számára, ha alkalmas arra, hogy kiszűrje a szándékos csalásból és a véletlen hibákból származó téves állításokat.  Továbbá, az ISA 315 meghatározza a gazdálkodó egység belső kontrollrendszerének összetevőit. A standard által definiált összetevők megegyeznek a COSO keretrendszerben meghatározottakkal (kontrollkörnyezet, kockázatfelmérés, monitoring, információ és kommunikáció, valamint kontroltevékenységek).

A standard a kontrollokat jellegük alapján indirekt, illetve direkt kontrollokra bontja. A direkt kontrollok olyan konkrét kontrollok, amelyek elég pontosak ahhoz, hogy a kockázatfelméréskor azonosítsák a hibákat. A direkt kontrollok egyik példája a bankszámla havi egyeztetésének elvégzése. Ezen folyamat során a felmerülő különbözőségeket egyből felülvizsgálják és kijavítják. Az indirekt kontrollok közé tartoznak például az informatikai kontrollok. Ezek a kontrollok támogathatják a közvetlen kontrollokat, és ezért közvetetten segítik a vétett hibák felderítését vagy megelőzését.

Az ISA 315 szerint, a COSO-modell felfogásához hasonlóan, a belső kontroll kialakításának, bevezetésének és fenntartásának célja az, hogy kezelje az azonosított üzleti kockázatokat.

• COBIT

Az Information Systems Audit and Control Association (továbbiakban: ISACA) adta ki a belső kontrollrendszerekre vonatkozó informatikai irányítási szabványt, a COBIT-ot (Control Objectives for Information and Related Technologies). A szabvány legújabb verziója a COBIT 2019, mely keretrendszer fő célja, hogy segítse a vállalatokat az információs technológia üzleti célok támogatásra alkalmas használatában. A belső kontrollrendszerek hatékonyságát segíti, hogy a COBIT 2019 könnyíti az IT-val kapcsolatos kockázatok azonosítását és kezelését. Továbbá, a keretrendszer elősegíti a jogszabályi és egyéb követelményeknek való megfelelést. A szabályozó környezetet az alábbi ábra foglalja össze:

A belső ellenőrzési rendszerek eszköztára azt célozza, hogy megakadályozza a kockázatok kialakulását vagy utólagos ellenőrzéseken keresztül a vállalatot az elérendő célok felé terelje korrekciókkal. A belső ellenőrzési rendszerek előnye, hogy végzői közvetlenül kapcsolódnak az ellenőrzött folyamatokhoz, és eredményei nem járnak retorzióval. Ezáltal felkészítik a vállalatot az auditokra és a jogszabályi megfelelésekre (a külső ellenőrzési rendszerekre).

A belső kontrollrendszerek - ICS (Internal Control Systems) - ehhez több eszközt alkalmaznak:

• Preventív ellenőrzések: olyan ellenőrzési tevékenység, amelyet arra terveztek, hogy megakadályozzon valamit abban, hogy „rosszra forduljon”. Így elkerülhetővé válik egy hiba. Tipikus példák:
  • Engedélyezési szintek meghatározásosa (pl.: kifizetési összegekre)
  • Folyamat közbeni ellenőrzések automatizált rendszerek vagy tipikusan a 4 vagy több szem elv használatával
  • Hozzáférés korlátozása az informatikai rendszerekhez
• Detektív ellenőrzések: olyan ellenőrzési tevékenység, amelyet arra terveztek, hogy időben észlelje és kijavítsa az olyan rendellenességeket, amelyek lényegesen befolyásolnák a cég céljainak elérését. Tipikus példák:
  • Megfelelősségi vizsgálatok (pl.: a folyamat megfelelt-e a jogszabályi leírásoknak)
  • Költségvetés vs. tényleges költések összevetése
  • Detektív vizsgálatok mintaszámokra (pl.: 100 kifizetésből az ellenőrző rendszer 10-et vizsgál meg utólagosan)

A preventív ellenőrzések általában minden folyamat részét képezik, míg a detektív ellenőrzések időhöz kötöttek: általában negyed-, fél- vagy éves ciklusokban történnek.

Az első védelmi vonal, vagyis a "1st line of defence" végzi a preventív ellenőrzéseket. Ezalatt a folyamatot kivitelező kollégát értjük. A detektív ellenőrzéseket pedig egy erre specializálódott belső vagy külső kolléga vizsgálja felül, ami a "2^nd line of defence" (második védelmi vonal). Ezután következik csak a külsős audit.

Az ICS emellett hierarchikus ellenőrzési struktúrát követ:

• Entitás szintű ellenőrzések (ECL): Az entitás szintű ellenőrzések belső irányítások, amelyek segítenek abban, hogy az egész entitásra vonatkozó vezetői utasítások végrehajtásra kerüljenek. Ezek azt célozzák, hogy a szervezet olyan kockázatait megértsük, amelyek az egész vállalatra vonatkoznak. Tipikus példák:
  • Az üzletmenet eredményeinek monitorozása megfelelősségi szempontok alapján
  • Viselkedési kódexek betartatása
  • Eljárási kézikönyvek kialakítása
  • Eszkalációs szintek és lehetőségek működtetése
• Vezetési felülvizsgálati ellenőrzések (MRC): Ezek folyamatszintű irányítások, amelyekben egy vezető áttekinti az alapvető dokumentumokban vagy elemzésekben található információkat. Különös figyelmet kell fordítani arra, hogy megértsük az információkat, és kialakítsuk a megfelelő áttekintést. Tipikus példák:
  • Selejtjelentések
  • Analitikai összehasonlítások
  • Eltérések vizsgálata
  • Jelentős értékelések és becslések vizsgálata
• Folyamatszintű irányítások (PLC): A folyamatszintű irányítási tevékenységek olyan kockázatok csökkentésére vannak kialakítva, amelyek kulcsfolyamatokhoz kapcsolódnak.
  • Ügyletek automatikus vagy kézi egyeztetése és jóváhagyása a tipikus folyamatszintű irányítások közé tartozik

A belső kontrollrendszerek teljes körű felépítését és támogatását kínáljuk, függetlenül a vállalat méretétől. Szolgáltatásaink tartalmazzák a jogszabályi környezet elemzésétől és a tervezéstől kezdve egészen a detektív tesztelésekig terjedő támogatást. Vállaljuk belsős kollégák oktatását a belső kontrollrendszerek eszközeinek használatára. Ügyfeleinknek interfészeket és automatizációs lehetőségeket biztosítunk az ICS rendszeren belül, így segítve a jogszabályi és belső megfelelési követelmények teljesítését. Az IFUA Horváth ICS megközelítése:

1. Szervezet, kultúra, ICS-vízió, keretrendszerek
   • Top-down megközelítéssel kezdünk. Egyeztetünk a felsővezetőkkel a vállalati igényekről, sajátosságokról és belső kontrollrendszer-tapasztalatokról. Kijelöljük a közös víziót az ICS megvalósítására.
2. A meglévő infrastruktúra vizsgálata
   • Második lépésként felmérjük a vállalat jelenlegi adatszolgáltatási képességét és informatikai rendszereit. Milyen adatok érhetőek el az ICS-hez, és hogyan lehet ezt bekapcsolni a meglévő rendszerekbe?
3. Az ICS kialakításához az alábbi lépéseket követjük
   • ICS stratégia kialakítása: Az ICS víziójának lebontása főbb célkitűzésekre. Az ICS beágyazása a vállalat rizikóstratégiájába. A vállalat fő folyamatainak összegyűjtése egy folyamatkatalógusba.
   • Kockázatelemzés: 1. A szabályozó környezet vizsgálata: milyen előírásoknak kell a vállalatnak megfelelnie most és a jövőbe tekintve? 2. A belső kockázatok azonosítása és kategorizálása az összegyűjtött folyamatok mentén.
   • Az ellenőrzési mechanizmusok kialakítása: A hierarchikus ICS kontrollkatalógus létrehozása preventív és detektív ellenőrzésekkel (lásd. előző fejezet).
   • Monitoring és az ICS finomítása: segítünk a detektív ellenőrzések periodikus kivitelezésében. Vállaljuk a munkatársak oktatását a belső ellenőrzések kivitelezésére. A PDCA ciklus elvét követve (plan-do-check-act) finomítjuk az ICS kontrollkatalógust.
4. Az IFUA Horváth tapasztalt az ICS-interfész tervezésében, illetve rendelkezik saját fejlesztésű interfésszel. Ezen keresztül lehet ellenőrizni és kivitelezni az ICS-feladatokat. Egy megfelelő interfész nyomon követhetőséget és automatizációs lehetőségeket kínál.

Akár van már a vállalatánál belső kontrollrendszer, akár nincs, érdemes átgondolni, hogy milyen előnyei lehetnek a rendszer bevezetésének vagy felülvizsgálatának. Aki belevág, biztosan nem bántja meg, hiszen, akinek jól működő belső kontrollrendszere van, nyugodt(abb)an aludhat vállalatvezetőként.

Szerzők:

Bagoly Boglárka, vezető tanácsadó
Kósa Eszter, tanácsadó
Merz Dániel, tanácsadó