The Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ május 14-én kiadta, 2013-ban közzétette a Belső kontroll – Integrált keretrendszerének (a “2013-as keretrendszer”) frissített változatát. A COSO emellett két szemléltető dokumentumot is kiadott: A belső kontrollrendszer hatékonyságának értékelésére szolgáló szemléltető eszközöket (a “szemléltető eszközök”) és a Belső kontroll a külső pénzügyi beszámolás felett: A Compendium of Approaches and Examples (a “ICEFR Compendium”), valamint a 2013-as Keretrendszer összefoglalóját.

Az eredetileg 1992-ben kiadott COSO Belső kontroll integrált keretrendszer (a “1992-es keretrendszer”) a világ egyik legszélesebb körben elfogadott belső ellenőrzési keretrendszerévé vált. A COSO elsődleges célja a keretrendszer frissítésével és továbbfejlesztésével az, hogy az üzleti és működési környezetben az elmúlt 20 év során bekövetkezett jelentős változásokkal foglalkozzon.

A 2013-as keretrendszer és a szemléltető eszközök megvásárolhatók az AICPA-tól. A 2013-as keretrendszer összefoglalója ingyenesen elérhető a COSO weboldalán.

A következőkben a Deloitte 2013. június 10-én kiadott Heads Up hírlevelének áttekintése olvasható a 2013-as keretrendszerben található fejlesztésekről, az 1992-es keretrendszert a 2002-es Sarbanes-Oxley Act (SOX) 404. szakaszának való megfelelés során használó szervezetek megfontolásainak tárgyalása, valamint az 1992-es keretrendszerről a 2013-as keretrendszerre történő átállással kapcsolatos információk, beleértve a COSO-val kapcsolatos egyéb dokumentumokra gyakorolt hatásokat. Ezenkívül a június 10-i Heads Up hírlevél mellékletei összehasonlítják a 2013-as keretrendszert az 1992-es keretrendszerrel, valamint kiemelik a 2013-as keretrendszer néhány kibővített fogalmát. A keretrendszerekkel kapcsolatos további információkért lásd a Deloitte 2012. február 6-i és 2012. augusztus 7-i Heads Up hírlevelét.

A 2013-as keretrendszerben található fejlesztések

A 2013-as keretrendszer formálisabb struktúrát hoz létre a belső kontroll hatékonyságának megtervezéséhez és értékeléséhez azáltal, hogy:

1. Alapelvek használata a belső kontroll összetevőinek leírására. A 2013-as keretrendszer 17 alapelvet tartalmaz, amelyek a COSO-keretrendszer öt összetevőjéhez (ellenőrzési környezet, kockázatértékelés, ellenőrzési tevékenységek, tájékoztatás és kommunikáció, valamint felügyeleti tevékenységek) kapcsolódó fogalmakat magyarázzák. A 17 alapelv kidolgozása során a COSO az 1992-es keretrendszer fogalmaira összpontosított; figyelembe vette a COSO 2006-os Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (“Small Business Guidance”) című dokumentumában kidolgozott és megfogalmazott alapelveket; és figyelembe vette az üzleti életben, a működési környezetben és az irányításban 1992 óta bekövetkezett jelentős változásokat. A COSO célja, hogy az alapelvek segítsék a vállalatokat a hatékony belső kontrollrendszerek kialakításában és annak értékelésében, hogy ezek a rendszerek hatékonyan működnek-e. A 2013-as keretrendszer azt feltételezi, hogy mivel a 17 alapelv az öt komponens alapfogalma, mind a 17 alapelv releváns minden gazdálkodó egység számára. Következésképpen, ha egy alapelv nincs jelen és nem működik, akkor a kapcsolódó komponens sincs jelen és nem működik. Ritkán előfordulhat, hogy a vezetés iparági, szabályozási vagy működési okok miatt úgy dönt, hogy egy alapelv nem releváns egy komponensre nézve.Az alapelvek további leírására a 2013-as keretrendszer fókuszpontokat használ, amelyek jellemzően az alapelvek fontos jellemzői. Bár a fókuszpontok segíthetik a vezetést a belső kontroll megtervezésében, végrehajtásában és értékelésében, valamint annak értékelésében, hogy a releváns elvek jelen vannak-e és működnek-e, a belső kontroll hatékonyságának értékeléséhez nem szükségesek. A vezetés megállapíthatja, hogy a fókuszpontok közül néhány nem megfelelő vagy nem releváns, és meghatározhat és mérlegelhet másokat.

2. A belső ellenőrzés kialakításának és értékelésének formálisabb módjának kialakítása az alapelvekkel összhangban. Lásd az alábbi, “A belső kontroll hatékony rendszerei” című fejezetben szereplő tárgyalást.”

Míg a 2013-as Keretrendszerben szereplő alapvető fogalmak hasonlóak az 1992-es Keretrendszerben szereplőkhöz, a 2013-as Keretrendszer kiegészíti vagy kibővíti az egyes összetevők és elvek tárgyalását, beleértve az olyan fejlesztéseket, mint például a részletes fókuszpontok. Például, bár a kockázatok azonosításának és a kockázatokra való reagálásnak a fogalma már az 1992-es Keretrendszerben is jelen volt, a 2013-as Keretrendszer részletesebben tárgyalja a kockázatértékelési fogalmakat, beleértve az eredendő kockázatokkal, a kockázattűréssel, a kockázatok kezelésének módjával, valamint a kockázatértékelés és a kontrolltevékenységek közötti kapcsolattal kapcsolatosakat.

Az 1992-es Keretrendszerrel ellentétben a 2013-as Keretrendszer továbbá kifejezetten tartalmazza a csalási kockázat lehetőségének figyelembevételét a szervezet céljainak elérését fenyegető kockázatok értékelésénél (lásd a 8. alapelvet). A 2013-as Keretelvek kifejtik, hogy “a kockázatértékelési folyamat részeként a szervezetnek azonosítania kell a csalárd jelentéstétel különböző módjait, figyelembe véve:

• A vezetés elfogultsága, például a számviteli elvek kiválasztásában
• A becslések és megítélések mértéke a külső beszámolásban
• A csalási sémák és forgatókönyvek, amelyek gyakoriak azokban az iparágakban és piacokon, ahol a gazdálkodó egység működik
• Geográfiai régiók, ahol a gazdálkodó egység üzleti tevékenységet folytat
• A csalárd viselkedésre ösztönző ösztönzők
• A csalárd viselkedés természete. a technológia jellege és a vezetés képessége az információk manipulálására
• Szokatlan vagy összetett ügyletek, amelyek jelentős vezetői befolyásnak vannak kitéve
• A vezetés felülbírálhatósága és a meglévő ellenőrzési tevékenységek megkerülésére irányuló lehetséges rendszerek”

A 8. alapelv szintén tárgyalja a vezetés felülbírálhatóságával kapcsolatos megfontolásokat, az eszközök védelme, az ösztönzők és a nyomásgyakorlás, a nem megfelelő cselekedetek lehetőségei, valamint a nem megfelelő cselekedeteket igazoló hozzáállások és racionalizációk. (Lásd a 8. alapelv további tárgyalását a Heads Up 20. kötet 17. számának A. függelékében.)

A COSO továbbá a 2013-as keretrendszerben a következő megfontolásokkal egészítette ki:

• A kiszervezett szolgáltatók használata (lásd a Heads Up 20. kötet 17. számának B. függelékét).
• Az információs technológia fokozott jelentősége (lásd a Heads Up, 20. kötet, 17. szám C. függelékét).

Az alábbi táblázat összetevőnként foglalja össze az elveket. Az A. függelék az elveket az 1992-es Keretrendszer tematikus szakaszaihoz rendeli (adott esetben), és magas szinten összefoglalja a 2013-as Keretrendszer néhány továbbfejlesztett fogalmát.

A kontroll összetevői és elvei

A belső kontroll hatékony rendszerei

A 2013-as Keretrendszer szerinti hatékony belső kontrollrendszerben:

1. Az öt komponens és a vonatkozó alapelvek mindegyikének jelen kell lennie és működnie kell. A 2013-as keretelvek szerint:

• A jelenlétet úgy határozzák meg, mint “annak megállapítása, hogy a belső kontrollrendszer összetevői és releváns elvei léteznek a belső kontrollrendszer tervezése és végrehajtása során a meghatározott célok elérése érdekében.”
• A működést úgy határozzák meg, mint “annak megállapítása, hogy az összetevők és releváns elvek továbbra is léteznek a belső kontrollrendszer működtetése során a meghatározott célok elérése érdekében.”

2. Az öt összetevőnek integrált módon kell együtt működnie. A 2013-as keretrendszer kifejti, hogy:

• Az együtt működés “annak megállapítására utal, hogy mind az öt komponens együttesen elfogadható szintre csökkenti a cél el nem érésének kockázatát.”
• A vezetés akkor tudja bizonyítani, hogy a komponensek együtt működnek, ha 1) “A “komponensek jelen vannak és működnek” és 2) “A komponensekre összesített belső kontrollhiányok nem eredményezik egy vagy több jelentős hiányosság fennállásának megállapítását”.”

Szerkesztő megjegyzése: A SOX 404. szakaszának való megfeleléssel kapcsolatos SEC-szabályok szerint “a vállalat pénzügyi beszámolás feletti belső kontrolljának értékelésének olyan eljárásokon kell alapulnia, amelyek elegendőek mind a kialakítás értékeléséhez, mind a működési hatékonyság teszteléséhez.”² Hasonlóképpen, a PCAOB 5³ könyvvizsgálati standardja megköveteli, hogy a könyvvizsgáló értékelje a pénzügyi beszámolás feletti belső kontroll kialakítását és működési hatékonyságát. Úgy véljük, hogy a “jelen” és a “működés” egyenértékű a “kialakítással”, illetve a “működési hatékonysággal”.

A 2013-as keretelvek a “belső kontroll hiányosság” és a “jelentős hiányosság” kifejezéseket használják a belső kontroll hiányosságok súlyossági fokainak leírására. A 2013-as Keretelvek szerint a belső kontroll hiányosság “egy vagy több komponens és releváns elv(ek) hiányosságára utal, amely csökkenti annak valószínűségét, hogy a gazdálkodó egység eléri a céljait”, a jelentős hiányosság pedig “olyan belső kontroll hiányosságra vagy hiányosságok kombinációjára utal, amely súlyosan csökkenti annak valószínűségét, hogy a gazdálkodó egység el tudja érni a céljait”. Továbbá a 2013-as Keretelvek kifejtik, hogy jelentős hiányosság akkor áll fenn, ha “egy komponens és egy vagy több releváns alapelv nincs jelen vagy nem működik”, vagy ha “a komponensek nem működnek együtt”. Továbbá, ha jelentős hiányosság áll fenn, a szervezet nem vonhatja le azt a következtetést, hogy teljesítette a hatékony belső kontrollrendszerre vonatkozó követelményeket.

Fontos, hogy a 2013-as keretelvek elismerik, hogy a belső kontroll hiányosságainak értékelése során a szabályozók, a standardalkotók és más felek kritériumokat állapíthatnak meg a belső kontroll hiányosságai súlyosságának meghatározására, értékelésére és jelentésére. A SOX szerinti belső ellenőrzési jelentéstételi követelményeknek való megfelelés érdekében a vezetés továbbra is a SEC jelentős hiányosság és lényeges gyengeség terminológiáját használná, és a könyvvizsgálók továbbra is ugyanezt a terminológiát használnák a PCAOB standardjai szerint. Ennek megfelelően, amikor egy vállalat a külső pénzügyi beszámolásra vonatkozó belső kontrolljának (ICEFR) kialakítását és működési hatékonyságát értékeli (azaz, hogy az alapelvek jelen vannak-e és működnek-e), és hiányosságot állapít meg, a vállalatnak a SEC definícióit és útmutatásait kellene használnia a hiányosság súlyosságának értékeléséhez, a könyvvizsgálónak pedig a PCAOB standardjai szerinti definíciókat és útmutatásokat kellene használnia.

COSO Átmeneti útmutatás és hatása más COSO dokumentumokra

A 2013-as keretrendszer nyilvános véleményezési folyamata során a különböző érdekelt felek azt kérték, hogy a COSO adjon egy konkrét időpontot az 1992-es keretrendszerről a 2013-as keretrendszerre való átmenet befejezésére. E visszajelzések alapján a COSO megadtak néhány konkrétumot az átmenetre vonatkozóan, és arra ösztönzi a felhasználókat, hogy “alkalmazásokat és a kapcsolódó dokumentációt olyan hamar állítsák át a frissített Keretrendszerre, amilyen hamar csak az adott körülmények között megvalósítható”. A COSO azt is kijelentette, hogy “a 2014. december 15-ig tartó átmeneti időszak alatt továbbra is elérhetővé teszi az eredeti Keretrendszert, amely után a COSO azt helyettesítettnek tekinti”. Ezen túlmenően Paul Beswick, a SEC főkönyvelője kijelentette, hogy “a SEC munkatársai azt tervezik, hogy figyelemmel kísérik az 1992-es keretrendszert használó kibocsátók esetében az átmenetet, hogy értékeljék, hogy a jövőben szükségessé vagy indokolttá válnak-e a munkatársak vagy a Bizottság intézkedései”. Kijelentette továbbá, hogy jelenleg “a COSO keretrendszer felhasználóit egyszerűen a COSO új keretrendszerükről tett nyilatkozataira és az átállással kapcsolatos gondolataikra utalja.”

A COSO az átmeneti időszakban (2013. május 14-től 2014. december 15-ig) azt javasolja, hogy “a Belső kontroll – integrált keretrendszerének minden olyan alkalmazása, amely külső beszámolással jár, egyértelműen tegye közzé, hogy az eredeti vagy a 2013-as változatot használták-e”. Ennek eredményeként, amikor a vállalatok a SOX-szal összhangban benyújtják az ICEFR éves értékelését, helyénvaló lenne feltüntetni, hogy pontosan melyik COSO keretrendszert használták az értékelés elvégzéséhez.”

Szerkesztő megjegyzése: A PCAOB 5. könyvvizsgálati standardja kimondja, hogy “a könyvvizsgálónak ugyanazt a megfelelő, elismert ellenőrzési keretrendszert kell használnia a pénzügyi beszámolás feletti belső kontroll ellenőrzésének elvégzéséhez, mint amit a vezetés a vállalat pénzügyi beszámolás feletti belső kontroll hatékonyságának éves értékeléséhez használ”. Ennek eredményeképpen annak időzítése, hogy a könyvvizsgáló mikor tér át a 2013-as keretrendszerre az ICEFR könyvvizsgálatához, a vállalat átállásának időzítésétől függ. Ha a társaság az 1992-es Keretelveket használja a 2013. december 31-én végződő naptári évben, a könyvvizsgáló is az 1992-es Keretelveket fogja használni. Úgy véljük, hogy a vezetés ICEFR-értékelésében használt pontos COSO-keretrendszer nyilvánosságra hozatalára vonatkozó megközelítéssel összhangban helyénvaló lenne a könyvvizsgáló jelentésében feltüntetni a használt pontos keretrendszert.

COSO kisvállalati útmutatóját 2014. december 15. után felváltja az ICEFR-kompendium.

COSO Vállalati kockázatkezelés integrált keretrendszerét (“ERM-keretrendszer”) nem váltotta fel a 2013-as keretrendszer. Bár az ERM-keretrendszer és a 2013-as keretrendszer céljai eltérőek, a két keretrendszert úgy tervezték, hogy kiegészítsék egymást. A COSO úgy véli, hogy bár az ERM Keretrendszer tartalmazza az 1992-es Keretrendszer szövegének egyes részeit, az ERM Keretrendszer továbbra is alkalmas a vállalati kockázatkezelés megtervezésére, végrehajtására, végrehajtására és értékelésére.

A COSO Belső kontrollrendszerek ellenőrzéséről szóló útmutatója, amelyet azért írtak, hogy segítsen a szervezeteknek megérteni és alkalmazni a belső kontrollrendszerben a felügyeleti tevékenységeket, szintén továbbra is releváns marad (azaz nem váltotta fel a 2013-as Keretrendszer). A 2013-as Keretrendszer F függeléke kimondja, hogy “a Keretrendszerben szereplő elvek változásai nem változtatják meg lényegesen a COSO Belső kontrollrendszerek figyelemmel kíséréséről szóló útmutatójához kidolgozott megközelítéseket.”

Belső kontroll a külső pénzügyi beszámolás felett

A 2013-as Keretrendszer hatása az ICEFR hatékonyságának a vezetés általi értékelésére (azaz a SOX 404. szakaszának való megfelelésre) attól függ, hogy a vállalat hogyan alkalmazta és értelmezte az 1992-es Keretrendszerben szereplő fogalmakat. Például előfordulhat, hogy egy meglévő belső kontrollrendszer nem bizonyítja vagy dokumentálja egyértelműen, hogy az összes releváns alapelv jelen van és működik. A COSO azért dolgozta ki az ICEFR-kompendiumot, hogy segítse a vállalatokat a 2013-as keretrendszer alkalmazásában. A dokumentumban tárgyalt megközelítések leírják, hogy a szervezetek hogyan alkalmazhatják az alapelveket az ICEFR rendszerükben, és példái szemléltetik az egyes alapelvek alkalmazását. Azoknak a vállalatoknak, amelyek a COSO-t használják az ICEFR-ről szóló jelentéshez, érdemes megfontolniuk:

1. A 2013-as keretrendszer elolvasása és az új fogalmak és változások azonosítása.

2. A képzési és oktatási igényeik felmérése.

3. Annak meghatározása, hogy a 2013-as keretrendszer hogyan befolyásolja az ICEFR tervezését és értékelését:

a. Az alapelvek lefedettségének felmérése a meglévő folyamatok és kapcsolódó kontrollok által, és a fókuszpontok figyelembevétele.

b. Az elvek alkalmazásával kapcsolatos jelenlegi folyamatok, tevékenységek és a rendelkezésre álló dokumentáció értékelése.

c. A fenti hiányosságok azonosítása.

4. A 2013-as keretrendszerre való áttérés során elvégzendő lépések azonosítása, ha vannak ilyenek, és:

a. Terv kidolgozása az átállás 2014. december 15-ig történő befejezésére (azaz a naptári év végi, a SOX 404. szakaszának megfelelő vállalatoknak a 2014. december 31. után végződő beszámolási időszakokra kell átállniuk a 2013-as keretrendszerre).

b. A 2013-ban végzett tevékenységek (pl. átjárások, a releváns kontrollok tesztelése, a hiányosságok értékelése) felhasználásának megfontolása a szükséges változtatások azonosítására és a 2013-as keretrendszer alkalmazásának kísérleti vagy helyszíni tesztelésére.

c. Az átmeneti időszak alatt és a 2013-as keretrendszer elfogadásakor alkalmazott keretrendszer megfelelő közzétételének megerősítése.

5. Belső koordináció és kommunikáció minden olyan csoporttal, amely a szervezet ICEFR-jének végrehajtásáért, nyomon követéséért és az arról való jelentéstételért felelős.

6. A tevékenységek megvitatása és koordinálása a belső ellenőrzéssel (ha alkalmazható) és a külső könyvvizsgálóval.

Illusztratív eszközök

A COSO illusztratív eszközei példákat mutatnak arra, hogyan alkalmazhatja egy vállalat a 2013-as keretrendszert a belső kontrollrendszer hatékonyságának értékelése során. A dokumentum szemléltető sablonokat biztosít, és példákat tartalmazó forgatókönyveket tartalmaz a különböző sablonok kitöltésére. A szemléltető eszközöknek azonban nem célja:

• A belső kontroll hiányosságainak értékelésére vonatkozó szabályozási követelmények teljesítése.
• A vezetés által az elvek megvalósítása vagy az azonosított kockázatok kezelése érdekében kiválasztott kontrollok szemléltetése.
• Illusztrálja a kontrollok tesztelésének jellegére, időzítésére vagy mértékére vonatkozó döntéseket a hatékony belső kontrollrendszer biztosítása érdekében.

-Produced by Jennifer Burns and Brent Simer, Deloitte LLP

Endjegyzetek
1. A COSO öt magánszektorbeli szervezet közös kezdeményezése, és célja, hogy a vállalati kockázatkezelésre, a belső ellenőrzésre és a csalás megelőzésére vonatkozó keretrendszerek és útmutatók kidolgozásával gondolatvezetést biztosítson. Az öt magánszektorbeli szervezet az American Accounting Association, az American Institute of Certified Public Accountants, a Financial Executives International, az Institute of Management Accountants és a Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File No. S7-40-02 és S7-06-03 (2003. augusztus 14.).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.

.