Felelős Vállalatirányítás
A Felelős Vállalatirányítás - Corporate Governance - a tulajdonosok érdekeit előtérbe helyező azon elvek [1] összessége, amelyek az átláthatóságnak, valamint a vezetés és a kontroll megfelelően kiegyensúlyozott arányának a biztosítását célozzák, megőrizve a vállalati döntéshozatali képesség és hatékonyság legmagasabb szintjét. A vállalati kockázatkezeléssel integrált belső kontrollrendszer azokat a politikákat (irányelveket), eljárásokat, gyakorlatokat és szervezeti struktúrákat tartalmazza, amelyeket annak érdekében alakítanak ki és működtetnek, hogy megfelelő szintű bizonyosságot nyújtsanak a vállalati célok teljesülésére, és arra, hogy a nem kívánatos események bekövetkezését megelőzzék, vagy időben felderítsék és megfelelően kezeljék.
A szabályozási követelmények (mint például az Egyesült Államokban a tőzsdei kereskedésben szereplő társaságokra vonatkozó Sarbanes-Oxley törvény, a Bázel egyezmény, az EU Társasági Törvény, illetve a kormányzati és költségvetési szervezetekre vonatkozó más európai és nemzeti irányelvek, stb.) nemcsak a kockázatkezelési és belső kontrollrendszerek nemzetközileg elismert keretrendszerek alapján történő megvalósítását írják elő, hanem az eredményes kialakításra és működtetésre vonatkozó felső vezetés általi időszaki értékelések közzétételét is. Bár ezek a szabályozások többnyire a pénzügyi beszámolásra koncentrálnak, a globális (pénzügyi és gazdasági) válság megmutatta, hogy a kockázatkezelés és belső kontrollrendszer hatókörének kiszélesítése tényleges üzleti értéket jelent. Az utóbbi években többszázezer időszaki értékelés készült a vállalati, pénzügyi és kormányzati ágazatokban és a törvényalkotók (szabályozó hatóságok) továbbra is jelentős erőfeszítéseket tesznek a kötelező szabályok és az ajánlások továbbfejlesztésére annak érdekében, hogy a nyilvánosságra hozott vállalati információk és értékelések az érdekeltek számára mind hasznosabbá váljanak.
A globális válság arra is rámutatott, hogy sok, a belső kontrollok eredményességére vonatkozó pozitív (külső és belső) értékelés megalapozatlannak vagy hamisnak bizonyult azokban az esetekben, amikor a kockázatkezeléshez elszigetelten alkalmazott gazdasági modellek nem igazodtak a stratégiai üzleti célok időhorizontjához. A felső vezetés és a felügyeleti testületek elszámoltathatóságának megalapozására és támogatására olyan integrált felmérési (értékelési) modelleket célszerű használni, amelyek mind a működési, mind a pénzügyi folyamatokra alkalmazhatóak. Azok a felmérési modellek, amelyek a stratégiai célkitűzések vonatkozásában a legtöbb tevékenységi területet lefedik, hozzáadott értéket jelentenek a felügyeleti testületek, az operatív- és a felső vezetés tagjai, valamint a belső és külső ellenőrök számára, hiszen a célok elérésének közös elveken alapuló felmérésével segítenek a különböző műveletek monitoring (figyelemmel kísérési) ráfordításainak optimalizálásában.
A súlyos irányítási botrányok - függetlenül az aktuális globális pénzügyi és gazdasági válságtól - felhívják a figyelmet arra, hogy nemcsak az alapvető üzleti működési tevékenységek (termelés, értékesítés, beszállítási lánc, stb.) specifikus szabványok szerinti felmérése, auditálása vagy tanúsítása szükséges, hanem az összes irányítással összefüggő folyamatoké is. A Satyam cég esete rámutat arra, hogy még azok a nagy informatikai vállalatok sem tudják elkerülni az irányítási rendszer olyan kudarcait, mint a csalárd pénzügyi beszámolás, amelyek egyébként a minőségirányítás és folyamatjavítás nemzetközileg elismert élharcosai.
A vállalatirányítás utóbbi években bekövetkezett kudarcainak okait elemezve megállapítható, hogy ezek elsősorban a kockázatkezelés és a belső kontrollrendszer hiányosságaira vezethetők vissza. A felelős vállalatirányítás vonatkozásában tehát a vezetésnek mindenekelőtt a monitoring- és kontrollfolyamatok javításával kell törekednie a működési folyamatok optimalizálása érdekében.
A kockázatkezelési és kontroll keretrendszerek - mint például a COSO és a COBIT - elveken nyugvó referenciamodellek, jó gyakorlatok és értékelési módszerek megfelelő alkalmazásával járulnak hozzá a vállalatirányítás javításához. Ezek alkalmazására számos módszertan került kidolgozásra, a folyamatképesség felmérésén alapuló irányítási képesség-meghatározás egy a nem túl nagy ráfordítással alkalmazható megoldások közül.
Irányítási képesség
A vállalatvezetők akkor kezdtek szembesülni a folyamatképesség (process capability) és szervezeti érettség (organizational maturity) kérdéseivel, amikor a jogszabályi megfelelésre való felkészüléssel járó hatalmas költségek miatt mérlegelni kezdték az ilyen erőfeszítések fenntarthatóságát és azok hozzáadott üzleti értékét. Erre a kihívásra nyújt megoldást az ISO/IEC 15504 folyamatfelmérési szabvány (amelyet a szakmai közösség "SPICE"-nak is nevez) [2], és annak értékelési modellje. A különböző üzleti (szervezeti) egységek és tevékenységek, valamint az informatikai irányítási és a pénzügyi beszámolási folyamatok belső kontrollrendszere(i) eredményességének felmérése során ezek a módszerek alkalmazhatóak a felsővezetők, a felügyeleti testületek, valamint a belső és külső ellenőrök számára is.
Az ”irányítási képességfelmérés" (Governance SPICE) kifejezés az irányítás, kockázatkezelés és belső kontrollrendszer felmérésére utal és az alábbi szakmai koncepciókra, elképzelésekre, illetve fogalmakra épül:
- Vállalatirányítási elvek (OECD)
- Elismert kontroll keretrendszerek (COSO, COBIT, stb.)
- Kockázati tolerancia (Risk Tolerance) és kockázatviselési szint (Risk Appetite) (COSO ERM szerint)
- Teljesítménymérés (COBIT szerint)
- Folyamatképesség-felmérés (ISO/IEC 15504-2:2003)
- Folyamathoz kapcsolódó kockázat értékelése (ISO/IEC 15504-4:2004)
- Szervezeti érettség (ISO/IEC TR 15504-7:2008)
A belső és külső ellenőrzési szabványok (ld. IIA és ISA normák) a létező belső kontrollok rendszer alapú értékelését írják elő olyan nemzetközileg elismert kontroll keretrendszerek szerint, mint a COSO (Internal Control – Integrated Framework) [3] és a COBIT (Control Objectives for Information and related Technology) [4]. Ezen keretrendszerek folyamat-leírásai alkalmasak az ISO/IEC 15504-2 szabvány követelményeinek megfelelő folyamat referenciamodellek (Process Reference Model) felállítására.
A COSO és COBIT alapú folyamat-referenciamodellek - társítva az ISO/IEC 15504-2 szabvány szerinti képességszintek folyamat-attribútumaival - közös alapul szolgálnak az irányítási, kockázatkezelési és belső kontrollok folyamatok folyamatképesség-felméréséhez és az értékelés eredményeinek bemutatására. Az ISO/IEC 15504 szabvány alkalmazása nemcsak átlátható megközelítést nyújt a releváns belső kontrolfolyamatok teljesítmény-értékelésére, de ugyancsak alkalmas a kontrollkockázati területek felmérésére - a cél- és felmért képességprofilok összehasonlítása alapján.
A következő ábra a COSO célkitűzés-kategóriák és a folyamatképességi szintek kapcsolatát mutatja be:
- sz. ábra: Képességszintek és a COSO célkitűzés-kategóriák kapcsolata
Az ellenőrzési szabványok meghatározzák a bizonyosságot nyújtó és a tanácsadó ellenőrzési feladattípusokat hasonlóan az ISO/IEC 15504 szerinti folyamatfelmérésnek a folyamatképesség meghatározása és a folyamatjavítás céljából történő alkalmazásával. A folyamat-dimenzió COSO vagy COBIT leírások szerinti, és a képesség-dimenzió ISO/IEC 15504 mérési keretrendszer (képességi szintek) szerinti használata minden - az akár a szervezet különböző működési egységeinél működő belső kontrollok megvalósításában és monitorozásában - érdekelt fél számára közös módszertant biztosít. A cél képességi profilok üzleti célkitűzésekhez rendelése segít abban is, hogy a belső kontrollokat a vállalati kockázatkezelés (ERM) látókörébe helyezzük.
A nemzetközi belső és külső ellenőrzési (audit) szabványok előírják az ellenőrök, illetve az ellenőrzési részlegek - a vizsgálandó szervezetek belső kontrolljaival kapcsolatos - felmérési szakértelmének, eljárásainak és gyakorlatainak rendszeres értékelését. Az irányítási folyamatképesség felmérésével (Governance SPICE) integrált, és az ECQA nemzetközi képzési rendszer által tanúsított tanfolyamok (ld. www.training.ia-manager.org) átlátható módon biztosítják az ellenőrök és ellenőrzési részlegek számára a szükséges szakértelem, illetve tudás megszerzését és igazolását.
Felelős Vállalkozások Irányítási Modellje
A Felelős Vállalkozások Irányítási Modelljét egy nemzetközi, de magyar irányítású projekt-konzorcium dolgozta ki a BPM GOSPEL (LLP-LdV-TOI-2010-HU-001 Leonardo da Vinci) projekt keretében azzal a céllal, hogy az irányítási képességfelmérés módszertanát, vagyis a képességi szintskála és a referenciamodellekkel leírható irányítási- és belső kontrollfolyamatok együttes alkalmazását az üzleti működés folyamatainak és tevékenységeinek szintjén is támogassa. Ennek érdekében a vezetés által is jól értelmezhető irányítási célkitűzéseket, és az ezekhez társuló fő kockázati területeket határozza meg. A lényeges irányítási kockázatok mérséklésére adható válaszokhoz rendeli az alkalmazható COSO, COBIT, illetve egyéb referenciamodellek folyamatait, és az ily módon társított folyamatleírásokhoz tartozó alapgyakorlatok alkalmazásai biztosítják az irányítási célkitűzés megvalósulását. Az alkalmazásra kiválasztott alapgyakorlatokkal a szervezet kockázatviselési hajlandósága is meghatározható.
A lényeges irányítási kockázatok mérséklésére adható válaszok alapján önálló, az ISO/IEC 15504 szabványnak megfelelő folyamatleírások készültek, melyek a vállalati működés irányítási célkitűzései és a COSO, COBIT, stb. referenciamodellek közötti kapcsolatot írják le. Ezáltal az alkalmazásra kerülő – megcélzott és elért - irányítási képességszintek közvetlenül értelmezhetőkké válnak a vállalatvezetés számára is, egyúttal megtartva a COSO, COBIT, stb. keretrendszerek szerinti megfelelés ellenőrzési szempontjait is.
A kidolgozott irányítási modell 8 irányítási célkitűzést és azokat megvalósító folyamatot azonosít a vállalati szabályozottság területén, melyek – a megbízható üzleti működés kritériumai [5] mellett lefedik mind a 20 COSO 2006-os alapelvet is:
- – Kockázat-tudatosság
- – Elszámoltathatóság
- – Kompetencia
- – Pontosság
- – Folyamat-integritás
- – Adatvédelem
- – Elkötelezettség
- – Kontrollhatékonyság
Az irányítási modell nemcsak a szabályozottság területére, hanem a fenntartható vállalati működésre vonatkozóan és azonosít célkitűzéseket és a megvalósítást támogató irányítási folyamatokat.
Az alábbi táblázat az Adatvédelem irányítási célkitűzés kapcsán mutatja be az irányítási modell kialakításának alapkoncepcióját:
|
Fő kockázat |
Kockázati tényezők |
Válaszok |
Alkalmazható COSO&COBIT folyamatleírások, ill. a GAAP |
Alkalmazási gyakorlatok |
|
Bizalmas információk jogosulatlan hozzáférése és illetéktelen felhasználása |
Rendszer-biztonsági hiányosságok |
Kontrollokat alakítanak ki, tartanak karban és alkalmaznak a rendszerbiztonsági incidensek megelőzésére |
A rendszerek biztonságának megvalósítása (COBIT DS5) |
Gyakorlatokat alkalmaznak annak érdekében, hogy az információk és az adatfeldolgozó infrastruktúra sértetlenségének fenntartása, és a biztonsági sebezhetőségek és rendkívüli helyzetek hatásának minimalizálása megvalósuljon. |
|
Adatok szándékos felhasználása illetéktelen célból |
Csalás-megelőzési program kialakítása és karbantartása |
Csalás kockázata (COSO RA.FR) |
Gyakorlatokat alkalmaznak annak érdekében, hogy a csalásból eredő lényeges következmények lehetőségét kifejezetten figyelembe vegyék az üzleti működés és a pénzügyi beszámolás céljainak elérését érintő kockázatok értékelése során. |
|
|
A személyes információk bizalmas kezelésére vonatkozó követelmények megsértése |
A bizalmas adatkezelésre vonatkozó irányelvek és eljárások kerülnek kidolgozásra és alkalmazásra |
Általánosan Elfogadott Privacy Alapelvek (AICPA/CICA) |
A személyes információk gyűjtésére, felhasználására, tárolására, közzétételére és megsemmisítésére vonatkozó elkötelezettség megfelelő megjelenítése és megvalósítása az általánosan elfogadott ”privacy” elvek (GAAP) által támasztott követelmények szerint. |
A Felelős Vállalkozások Irányítási Modellje 2011. szeptembertől magyar nyelven is elérhető lesz a www.ia-manager.org portálon, illetve beépül a továbbfejlesztett ”Irányítási-, kockázatkezelési- és kontrollfolyamatok javítása és képesség-meghatározása” című ECQA minősítésű képzési programba is.
Hivatkozások:
[1] OECD Principles of Corporate Governance © OECD 2004
[2] ISO/IEC 15504-1:2004 Information technology -- Process assessment -- Part 1: Concepts and vocabulary
ISO/IEC 15504-2:2003 Information technology -- Process assessment -- Part 2: Performing an assessment
ISO/IEC 15504-2:2003/Cor 1:2004
ISO/IEC 15504-3:2004 Information technology -- Process assessment -- Part 3: Guidance on performing an assessment
ISO/IEC 15504-4:2004 Information technology -- Process assessment -- Part 4: Guidance on use for process improvement and process capability determination
ISO/IEC TR 15504-7:2008 Information technology -- Process assessment -- Part 7: Assessment of organizational maturity
[3] The Committee of Sponsoring Organizations of the Treadway Commission (COSO):
Internal Control — Integrated Framework (1992)
Enterprise Risk Management – Integrated Framework (2004)
Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)
[4] COBIT - Control Objectives for Information and related Technology, COBIT 4.1 © 2007 IT Governance Institute. www.itgi.org
[5] Trust Services Principles, Criteria, and Illustrations
Copyright © 2009 by the American Institute of Certified Public Accountants, Inc. and Canadian Institute of Chartered Accountants.
[6] J. Ivanyos, J. Roóz and R. Messnarz, Governance Capability Assessment: Using ISO/IEC 15504 for Internal Financial Controls and IT Management, in: The MONTIFIC Book, MONTIFIC-ECQA Joint Conference Proceedings, 2010
