C betűs definíciókIT menedzsmentÜzleti szoftverek

COSO keretrendszer (COSO Framework) – definíciója és célja

A COSO keretrendszer egy olyan irányelv, amely segít a vállalatoknak a kockázatok kezelésében és a belső ellenőrzés fejlesztésében. Célja, hogy javítsa a pénzügyi jelentések megbízhatóságát és a működés hatékonyságát.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
45 Min Read
Gyors betekintő

A COSO keretrendszer: Alapok és eredet – A belső ellenőrzés és kockázatkezelés sarokköve

A modern vállalatirányítás és a megbízható pénzügyi jelentéstétel alapköveként a COSO keretrendszer világszerte elismert szabványt biztosít a belső ellenőrzés, a kockázatkezelés és a csalás megelőzés területén. A COSO, vagyis a Committee of Sponsoring Organizations of the Treadway Commission rövidítése, egy magánszektorbeli kezdeményezés, amelyet az Egyesült Államok öt vezető szakmai szervezete hozott létre azzal a céllal, hogy javítsa a pénzügyi jelentéstétel minőségét a belső ellenőrzés, a vállalati kockázatkezelés, a csalás elrettentése és az etika fejlesztésén keresztül.

A COSO létrejöttét a 20. század végén, különösen az 1970-es és 1980-as években tapasztalt nagyméretű pénzügyi csalások és botrányok indokolták. Ezek az esetek rávilágítottak arra, hogy a vállalatoknak sürgősen szükségük van egy strukturált és átfogó megközelítésre a belső ellenőrzés és a kockázatkezelés terén. A közvélemény és a szabályozó szervek egyre nagyobb nyomást gyakoroltak a vállalatokra, hogy átláthatóbbá és felelősségteljesebbé váljanak működésükben.

A COSO alapvető célja az volt és maradt, hogy iránymutatást és keretet biztosítson a szervezetek számára, hogy hatékonyan kezelhessék a kockázatokat, javíthassák a belső ellenőrzési rendszereiket és megbízhatóbb pénzügyi és nem pénzügyi információkat hozzanak létre. Ezáltal hozzájárulnak a befektetők bizalmának növeléséhez, a piaci stabilitáshoz és a hosszú távú vállalati értékteremtéshez. A keretrendszer nem csupán egy ellenőrző lista, hanem egy dinamikus modell, amely lehetővé teszi a szervezetek számára, hogy alkalmazkodjanak a változó üzleti környezethez és a felmerülő új kockázatokhoz.

A COSO keretrendszerek széles körben alkalmazhatók, függetlenül a szervezet méretétől, típusától vagy iparágától. Legyen szó multinacionális vállalatról, kis- és középvállalkozásról, kormányzati szervről vagy nonprofit szervezetről, a COSO elvei és komponensei adaptálhatók és beépíthetők a mindennapi működésbe. A COSO nem egy jogi előírás, hanem egy ajánlás és egy bevált gyakorlatok gyűjteménye, amelynek alkalmazása azonban számos esetben de facto szabvánnyá vált, különösen a Sarbanes-Oxley (SOX) törvény bevezetését követően.

A COSO keretrendszer története és evolúciója: Egy folyamatosan fejlődő modell

A COSO keretrendszer története elválaszthatatlanul összefonódik a vállalati irányítás és a belső ellenőrzés fejlődésével. Az 1980-as évek elején az Egyesült Államokban több nagyszabású pénzügyi csalás és kudarc rázta meg a gazdasági életet, ami súlyosan aláásta a befektetők bizalmát. Ezekre a problémákra válaszul jött létre 1985-ben a Treadway Commission, hivatalos nevén a National Commission on Fraudulent Financial Reporting. A bizottságot öt vezető szakmai szervezet alapította:

  • American Institute of Certified Public Accountants (AICPA)
  • American Accounting Association (AAA)
  • Financial Executives International (FEI)
  • Institute of Internal Auditors (IIA)
  • National Association of Accountants (ma Institute of Management Accountants – IMA)

A Treadway Bizottság célja az volt, hogy tanulmányozza a csalárd pénzügyi jelentéstétel okait, és ajánlásokat tegyen a megelőzésére. A bizottság 1987-ben adta ki jelentését, amelyben hangsúlyozta a belső ellenőrzés kulcsfontosságú szerepét a megbízható pénzügyi jelentéstétel biztosításában. Ennek a jelentésnek a nyomán jött létre a COSO, amelynek feladata lett a bizottság ajánlásainak kidolgozása és publikálása.

COSO Belső Ellenőrzés – Integrált Keretrendszer (IC-IF, 1992)

A COSO első és talán legismertebb publikációja az 1992-ben kiadott Belső Ellenőrzés – Integrált Keretrendszer (Internal Control – Integrated Framework) volt. Ez a dokumentum vált a belső ellenőrzés de facto szabványává, és egyértelműen meghatározta a belső ellenőrzés definícióját, céljait és alapvető komponenseit. Az 1992-es keretrendszer forradalmi volt abban, hogy nem csupán a pénzügyi ellenőrzésekre fókuszált, hanem egy átfogó rendszert vázolt fel, amely a szervezet minden szintjén és minden tevékenységében jelen van.

Az IC-IF keretrendszer azóta is a belső ellenőrzési rendszerek tervezésének, bevezetésének és értékelésének alapja. Különösen nagy jelentőséget kapott az Egyesült Államokban a 2002-es Sarbanes-Oxley (SOX) törvény bevezetésével, amely előírta a tőzsdén jegyzett vállalatok számára a belső ellenőrzési rendszereik hatékonyságának igazolását. A COSO IC-IF lett az elsődleges keretrendszer ezen követelmények teljesítéséhez.

COSO Vállalati Kockázatkezelés – Integrált Keretrendszer (ERM, 2004)

A globális üzleti környezet változásai, a fokozódó komplexitás és a kockázatok sokszínűsége szükségessé tette a kockázatkezelés átfogóbb megközelítését. Erre válaszul publikálta a COSO 2004-ben a Vállalati Kockázatkezelés – Integrált Keretrendszer (Enterprise Risk Management – Integrated Framework) című dokumentumot. Ez a keretrendszer az IC-IF alapjaira épült, de kibővítette azt a stratégiai célokhoz kapcsolódó kockázatok kezelésével, hangsúlyozva a kockázatkezelés proaktív, stratégiai szerepét.

Az ERM 2004-es kiadása segítette a szervezeteket abban, hogy a kockázatkezelést ne csak egy elszigetelt funkcióként, hanem egy integrált, értékteremtő folyamatként kezeljék, amely beágyazódik a stratégiai tervezésbe és a döntéshozatalba.

COSO Belső Ellenőrzés – Integrált Keretrendszer Frissítés (IC-IF, 2013)

A technológiai fejlődés, a globalizáció és az üzleti modellek változása szükségessé tette az 1992-es IC-IF keretrendszer felülvizsgálatát. A COSO 2013-ban adta ki a frissített Belső Ellenőrzés – Integrált Keretrendszer változatát. Ez a frissítés megtartotta az eredeti öt komponenst, de formalizálta és részletezte a hozzájuk tartozó 17 alapelvet. Az új változat jobban figyelembe vette a technológia szerepét, a külső szolgáltatók használatát és a csalás kockázatait. Emellett hangsúlyozta a belső ellenőrzés relevanciáját a nem pénzügyi jelentéstétel és a megfelelőségi célok tekintetében is.

COSO Vállalati Kockázatkezelés – Értékteremtés (ERM, 2017)

A 2004-es ERM keretrendszer is átdolgozásra került, figyelembe véve a 2008-as pénzügyi válság tanulságait és a digitális átalakulás hatásait. A COSO 2017-ben publikálta a Vállalati Kockázatkezelés – Értékteremtés (Enterprise Risk Management – Integrating with Strategy and Performance) című dokumentumot. Ez a frissítés áthelyezte a hangsúlyt a kockázatkezelés értékteremtő szerepére, és egyértelműen összekapcsolta a kockázatkezelést a stratégiaalkotással és a teljesítménymenedzsmenttel. Az új keretrendszer öt komponenst és 20 alapelvet tartalmaz, és sokkal inkább a jövőre, a lehetőségekre és az agilitásra fókuszál.

A COSO keretrendszerek folyamatos fejlődése tükrözi azt az elkötelezettséget, hogy a szervezetek számára releváns és aktuális iránymutatást biztosítsanak a változó üzleti környezetben. A COSO nem csupán a múltbeli hibákból tanul, hanem proaktívan igyekszik felkészíteni a szervezeteket a jövőbeli kihívásokra és lehetőségekre.

A COSO Belső Ellenőrzés – Integrált Keretrendszer (IC-IF 2013): Részletes elemzés

A COSO Belső Ellenőrzés – Integrált Keretrendszer (Internal Control – Integrated Framework, IC-IF) az 1992-es eredeti verzió 2013-as frissítése, amely a belső ellenőrzési rendszerek tervezésének, bevezetésének és értékelésének globális standardja lett. Célja, hogy segítse a szervezeteket a hatékony belső ellenőrzési rendszerek kialakításában és fenntartásában, ezzel biztosítva a megbízható pénzügyi jelentéstételt, a működési hatékonyságot és a jogszabályi megfelelőséget.

A keretrendszer három fő célkategóriát és öt integrált komponenst azonosít, amelyeket 17 alapelv támaszt alá. Ezek az elemek együttesen alkotják a hatékony belső ellenőrzési rendszer alapját.

Három Célkategória

A COSO IC-IF szerint a belső ellenőrzés célja a következő kategóriákba sorolható:

  1. Működési célok (Operations Objectives): Ezek a célok a szervezet alapvető üzleti folyamatainak hatékonyságával és eredményességével kapcsolatosak. Ide tartozik a vagyonvédelem, az erőforrások optimális felhasználása, a termelékenység és a minőség biztosítása.
  2. Jelentéstételi célok (Reporting Objectives): Ezek a célok a belső és külső pénzügyi és nem pénzügyi jelentések megbízhatóságával, időben történő elkészítésével és átláthatóságával kapcsolatosak. Kiemelten fontos a csalás megelőzése és a jelentéstétel integritásának fenntartása.
  3. Megfelelőségi célok (Compliance Objectives): Ezek a célok a szervezet működésének a vonatkozó törvényeknek, rendeleteknek, belső szabályzatoknak és szerződéseknek való megfelelésével kapcsolatosak. Ez magában foglalja a jogi és szabályozási kockázatok kezelését.

Ezek a célkategóriák nem elszigeteltek, hanem átfedésben vannak és kölcsönösen erősítik egymást. Egy hatékony belső ellenőrzési rendszer hozzájárul mindhárom cél eléréséhez.

Öt Komponens és a 17 Alapelv

A COSO IC-IF keretrendszer öt egymással összefüggő komponensből áll, amelyek mindegyike alapvető fontosságú a hatékony belső ellenőrzési rendszerhez. Minden komponenshez tartoznak alapelvek, amelyek részletesebben meghatározzák, mit jelent az adott komponens a gyakorlatban.

1. Ellenőrzési környezet (Control Environment)

Az ellenőrzési környezet a belső ellenőrzés alapja, amely megteremti a szervezet kultúráját és etikai légkörét. Ez a komponens határozza meg a belső ellenőrzés fontosságát és a vezetés elkötelezettségét iránta. Magában foglalja a szervezet integritását, etikai értékeit, a felügyeleti szerv felügyeleti felelősségét, a vezetőség szervezeti struktúráját, a feladat- és felelősségi körök delegálását, valamint a kompetencia és a szakértelem iránti elkötelezettséget.

  • 1. Alapelv: Elkötelezettség az integritás és etikai értékek iránt. A vezetésnek és a felügyeleti szervnek demonstrálnia kell az integritás és az etikai értékek iránti elkötelezettségét. Ez magában foglalja a megfelelő magatartási kódexek kialakítását, kommunikálását és betartatását, valamint a vezetőség példamutató viselkedését.
  • 2. Alapelv: A felügyeleti szerv függetlensége és felügyeleti felelőssége. A felügyeleti szervnek (pl. igazgatóság, felügyelőbizottság) függetlennek kell lennie a vezetőségtől, és felügyeleti felelősséget kell vállalnia a belső ellenőrzési rendszer kialakításáért és működéséért. Ez magában foglalja a pénzügyi jelentéstétel, a kockázatkezelés és a megfelelőség felügyeletét.
  • 3. Alapelv: A vezetés felépítése, feladatok és felelősségek meghatározása. A vezetésnek a felügyeleti szerv felügyelete mellett meg kell határoznia a struktúrákat, a feladatköröket és a hatásköröket, amelyek szükségesek a célok eléréséhez. Ez magában foglalja a szervezeti chartot, a munkaköri leírásokat és a hatáskörök delegálását.
  • 4. Alapelv: Elkötelezettség a kompetenciák iránt. A szervezetnek el kell köteleznie magát a megfelelő kompetenciájú személyek vonzása, fejlesztése és megtartása iránt, akik a belső ellenőrzési célok eléréséhez szükségesek. Ez magában foglalja a képzést, a fejlesztést és a teljesítményértékelést.
  • 5. Alapelv: Elszámoltathatóság érvényesítése. A szervezetnek elszámoltathatóvá kell tennie az egyéneket a belső ellenőrzési felelősségeikért a célok elérésével kapcsolatban. Ez magában foglalja a teljesítményértékelési rendszereket, a jutalmazási rendszereket és a fegyelmi eljárásokat.

2. Kockázatértékelés (Risk Assessment)

A kockázatértékelés a szervezet céljainak elérését akadályozó kockázatok azonosításának és elemzésének folyamata. Ez a komponens magában foglalja a releváns kockázatok felismerését, azok súlyosságának és valószínűségének értékelését, valamint a csalási kockázatok különös figyelembevételét.

  • 6. Alapelv: Célok meghatározása és azonosítása. A szervezetnek világosan meghatározott célokat kell kitűznie, amelyek lehetővé teszik a kockázatok azonosítását és értékelését. Ezeknek a céloknak összhangban kell lenniük a szervezet stratégiájával.
  • 7. Alapelv: A kockázatok azonosítása és elemzése. A szervezetnek azonosítania kell a célok elérését befolyásoló kockázatokat a szervezet egészében, és elemeznie kell azokat, hogy meghatározza, hogyan kell kezelni őket. Ez magában foglalja a belső és külső tényezőkből eredő kockázatokat.
  • 8. Alapelv: A csalási kockázatok felmérése. A szervezetnek fel kell mérnie a csalás kockázatát a célok elérésével kapcsolatban. Ez magában foglalja a csalás különböző formáit (pl. eszközök eltulajdonítása, csalárd pénzügyi jelentéstétel) és a csalás motivációit.
  • 9. Alapelv: Jelentős változások azonosítása és elemzése. A szervezetnek azonosítania és értékelnie kell azokat a változásokat, amelyek jelentősen befolyásolhatják a belső ellenőrzési rendszert. Ide tartozhatnak a technológiai, üzleti, vagy szabályozási változások.

3. Ellenőrzési tevékenységek (Control Activities)

Az ellenőrzési tevékenységek azok az intézkedések, amelyeket a vezetés hoz a kockázatok kezelésére és a célok elérésére. Ezek magukban foglalják a jóváhagyásokat, engedélyezéseket, egyeztetéseket, felülvizsgálatokat, vagyonvédelemre vonatkozó intézkedéseket és a feladatkörök szétválasztását.

  • 10. Alapelv: Ellenőrzési tevékenységek kiválasztása és fejlesztése. A szervezetnek kiválasztania és fejlesztenie kell azokat az ellenőrzési tevékenységeket, amelyek hozzájárulnak a kockázatok elfogadható szintre csökkentéséhez. Ezeknek a tevékenységeknek relevánsnak és megfelelőnek kell lenniük.
  • 11. Alapelv: Általános technológiai ellenőrzések kiválasztása és fejlesztése. A szervezetnek kiválasztania és fejlesztenie kell az általános technológiai ellenőrzéseket a technológia támogatása érdekében a célok eléréséhez. Ez magában foglalja az IT biztonsági ellenőrzéseket, hozzáférés-kezelést, adatmentést és helyreállítást.
  • 12. Alapelv: Politikák és eljárások bevezetése. A szervezetnek politikákat és eljárásokat kell kidolgoznia, amelyek előírják az ellenőrzési tevékenységek végrehajtását. Ezeknek a politikáknak és eljárásoknak egyértelműnek és érthetőnek kell lenniük.

4. Információ és kommunikáció (Information & Communication)

Az információ és kommunikáció komponens a releváns, minőségi információk azonosítására, rögzítésére és időben történő kommunikálására összpontosít, mind a szervezeten belül, mind a külső felek felé. Ez biztosítja, hogy a megfelelő információk a megfelelő emberekhez jussanak el a megfelelő időben.

  • 13. Alapelv: Releváns információk felhasználása. A szervezetnek releváns, minőségi információkat kell beszereznie és felhasználnia a belső ellenőrzés támogatására. Ez magában foglalja a belső és külső adatokat is.
  • 14. Alapelv: Belső kommunikáció. A szervezetnek belsőleg kommunikálnia kell a belső ellenőrzéssel kapcsolatos információkat, beleértve a célokat és felelősségeket, hogy támogassa a belső ellenőrzési funkciók működését. Ez magában foglalja a vezetőségtől az alkalmazottak felé irányuló lefelé irányuló kommunikációt, valamint a felfelé irányuló kommunikációt.
  • 15. Alapelv: Külső kommunikáció. A szervezetnek külsőleg is kommunikálnia kell a belső ellenőrzéssel kapcsolatos információkat a külső felekkel a szabályozási és egyéb elvárásoknak megfelelően. Ez magában foglalja a befektetőkkel, ügyfelekkel, beszállítókkal és szabályozó szervekkel folytatott kommunikációt.

5. Monitoring tevékenységek (Monitoring Activities)

A monitoring tevékenységek a belső ellenőrzési rendszer minőségének folyamatos értékelésére és a szükséges korrekciós intézkedések megtételére vonatkoznak. Ez biztosítja, hogy a belső ellenőrzési rendszer idővel is hatékony maradjon és alkalmazkodjon a változó körülményekhez.

  • 16. Alapelv: Folyamatos és különálló értékelések végrehajtása. A szervezetnek folyamatos és/vagy különálló értékeléseket kell végeznie annak megállapítására, hogy a belső ellenőrzési komponensek és alapelvek jelen vannak és működnek-e. A folyamatos értékelések beépülnek a normál üzleti folyamatokba, míg a különálló értékeléseket specifikusan a belső ellenőrzés felülvizsgálatára végzik.
  • 17. Alapelv: A hiányosságok értékelése és időben történő kommunikációja. A szervezetnek fel kell mérnie és időben kommunikálnia kell a belső ellenőrzési hiányosságokat azoknak a feleknek, akik felelősek a korrekciós intézkedések megtételéért, beleértve a felső vezetést és a felügyeleti szervet is.

A COSO IC-IF 2013 keretrendszer hangsúlyozza, hogy mind az öt komponensnek jelen kell lennie és működnie kell ahhoz, hogy a belső ellenőrzési rendszer hatékonynak minősüljön. A „jelen van” azt jelenti, hogy a komponens és a hozzá tartozó alapelvek léteznek a szervezetben. A „működik” azt jelenti, hogy a komponens és az alapelvek a tervezett módon működnek.

A COSO IC-IF keretrendszer alkalmazása jelentősen hozzájárul a szervezet megbízhatóságához, átláthatóságához és a célok eléréséhez. Segít a vezetésnek a kockázatok jobb megértésében és kezelésében, miközben biztosítja a jogszabályi megfelelőséget és a befektetők bizalmát.

A COSO Vállalati Kockázatkezelés – Értékteremtés (ERM 2017): Mélyreható elemzés

Az ERM 2017 integrált megközelítést kínál vállalati kockázatokhoz.
A COSO ERM 2017 kiemeli a kockázatkezelés és értékteremtés integrált szerepét a vállalati stratégia kialakításában.

A COSO Vállalati Kockázatkezelés – Integrált Keretrendszer (Enterprise Risk Management – Integrated Framework), amelyet 2017-ben frissítettek „Értékteremtés” (Integrating with Strategy and Performance) alcímmel, a kockázatkezelés területén a legátfogóbb és legelismertebb iránymutatás. Míg az IC-IF a belső ellenőrzésre fókuszál, az ERM egy szélesebb perspektívát kínál, amely a kockázatkezelést a stratégiaalkotással és a teljesítménymenedzsmenttel integrálja, hangsúlyozva a kockázatok kezelésének értékteremtő szerepét.

Az ERM 2017 keretrendszer célja, hogy segítse a szervezeteket abban, hogy a kockázatkezelést ne csupán egy megfelelőségi feladatként, hanem egy stratégiai eszközként kezeljék, amely hozzájárul az érték létrehozásához, megőrzéséhez és realizálásához. A keretrendszer a kockázatkezelést a szervezet minden szintjén, a stratégiától a működési folyamatokig beágyazza.

Az ERM 2017 öt fő komponenst és 20 alapelvet azonosít, amelyek együttesen alkotják a hatékony vállalati kockázatkezelési rendszer alapját.

Öt Komponens és a 20 Alapelv

1. Kormányzás és kultúra (Governance and Culture)

Ez a komponens a szervezet alapvető kultúráját és irányítási struktúráját írja le, amely a kockázatkezelés alapjául szolgál. Magában foglalja a vezetőség és a felügyeleti szerv szerepét, a szervezeti struktúrát, a kultúra meghatározását, az alapvető értékek iránti elkötelezettséget és a humán tőke fejlesztését.

  • 1. Alapelv: A felügyelet gyakorlása. A felügyeleti szerv (pl. igazgatóság) felügyeli a szervezet kockázatkezelési stratégiáját és gyakorlatát. Ez magában foglalja a kockázati étvágy jóváhagyását és a kockázatkezelési rendszer felügyeletét.
  • 2. Alapelv: Működési struktúrák kialakítása. A szervezet működési struktúrákat alakít ki, amelyek a kockázatkezeléshez szükségesek. Ez magában foglalja a feladatkörök, hatáskörök és elszámoltathatóságok meghatározását.
  • 3. Alapelv: A kívánt kultúra meghatározása. A szervezet meghatározza a kívánt szervezeti kultúrát, amely támogatja a kockázatkezelési döntéseket. Ez magában foglalja az etikai normákat és az értékeket.
  • 4. Alapelv: Elkötelezettség az alapvető értékek iránt. A szervezet demonstrálja az alapvető értékek iránti elkötelezettségét, amely befolyásolja a kockázatok kezelését. Ez magában foglalja a magatartási kódexek és az integritás kommunikálását.
  • 5. Alapelv: A munkatársak vonzása, fejlesztése és megtartása. A szervezet vonzza, fejleszti és megtartja a megfelelő kompetenciájú személyeket, akik képesek a kockázatkezelési feladatok ellátására. Ez magában foglalja a képzést, a mentorálást és a teljesítménymenedzsmentet.

2. Stratégia és célkitűzés (Strategy and Objective-Setting)

Ez a komponens a stratégiaalkotás és a célkitűzés folyamatát írja le, amelybe a kockázatkezelés integrálódik. Segít a szervezetnek megérteni a kockázatokat a stratégia kiválasztása során, és meghatározni azokat az üzleti célokat, amelyek összhangban vannak a kockázati étvággyal.

  • 6. Alapelv: A kockázati étvágy elemzése. A szervezet elemzi kockázati étvágyát, és meghatározza, hogy az hogyan illeszkedik a stratégiájába. A kockázati étvágy az a kockázati szint, amelyet a szervezet hajlandó vállalni a céljai eléréséhez.
  • 7. Alapelv: Alternatív stratégiák értékelése. A szervezet értékeli a különböző stratégiákhoz kapcsolódó kockázatokat és lehetőségeket. Ez magában foglalja a különböző forgatókönyvek elemzését.
  • 8. Alapelv: Üzleti célok meghatározása. A szervezet üzleti célokat határoz meg, amelyek összhangban vannak a stratégiával és a kockázati étvágyával. Ezeknek a céloknak mérhetőnek és relevánsnak kell lenniük.
  • 9. Alapelv: A jelentős kockázatok azonosítása. A szervezet azonosítja azokat a kockázatokat, amelyek jelentősen befolyásolhatják az üzleti célok elérését. Ez magában foglalja a belső és külső kockázati tényezőket.

3. Teljesítmény (Performance)

Ez a komponens a kockázatok azonosításának, értékelésének és a kockázati válaszok kiválasztásának folyamatát írja le. Fókuszban áll a kockázatok felmérése a szervezet egészében, és a kockázati portfólió kialakítása.

  • 10. Alapelv: Kockázatok azonosítása. A szervezet azonosítja a kockázatokat, amelyek befolyásolhatják az üzleti célok elérését. Ez magában foglalja a kockázati események felismerését és leírását.
  • 11. Alapelv: Kockázatok súlyosságának felmérése. A szervezet felméri a kockázatok súlyosságát a valószínűség és a hatás alapján. Ez magában foglalja a kvalitatív és kvantitatív elemzési módszereket.
  • 12. Alapelv: Kockázati prioritások meghatározása. A szervezet priorizálja a kockázatokat azok súlyossága és a kockázati étvágy alapján. Ez segít az erőforrások hatékony elosztásában.
  • 13. Alapelv: Kockázati válaszok megválasztása. A szervezet kiválasztja és bevezeti a megfelelő kockázati válaszokat (elfogadás, elkerülés, csökkentés, megosztás). Ezeknek összhangban kell lenniük a kockázati étvággyal.
  • 14. Alapelv: Portfólió nézet kialakítása. A szervezet portfólió nézetet fejleszt ki a kockázatokról, amelyek befolyásolják az értékteremtést. Ez egy átfogó képet ad a szervezet kockázati profiljáról.

4. Felülvizsgálat és módosítás (Review and Revision)

Ez a komponens a kockázatkezelési rendszer folyamatos felülvizsgálatára és módosítására vonatkozik. Célja, hogy a rendszer releváns és hatékony maradjon a változó környezetben.

  • 15. Alapelv: Jelentős változások felmérése. A szervezet felméri a jelentős belső és külső változásokat, amelyek befolyásolhatják a kockázatkezelést. Ez magában foglalja a technológiai, szabályozási és piaci változásokat.
  • 16. Alapelv: Kockázatkezelési teljesítmény felülvizsgálata. A szervezet felülvizsgálja kockázatkezelési teljesítményét, és megállapítja, hogy a kockázatkezelési komponensek továbbra is hatékonyak-e. Ez magában foglalja a teljesítménymutatók elemzését.
  • 17. Alapelv: A vállalati kockázatkezelés fejlesztése. A szervezet folyamatosan fejleszti vállalati kockázatkezelését a felülvizsgálatok és a változások alapján. Ez egy iteratív folyamat.

5. Információ, kommunikáció és jelentéstétel (Information, Communication, and Reporting)

Ez a komponens a kockázati információk gyűjtésére, feldolgozására és kommunikálására összpontosít, mind a szervezeten belül, mind a külső felek felé. A megfelelő információk megfelelő időben történő eljuttatása kulcsfontosságú a megalapozott döntéshozatalhoz.

  • 18. Alapelv: Információk és technológia felhasználása. A szervezet releváns információkat és technológiát használ a kockázatkezelés támogatására. Ez magában foglalja az adatgyűjtést, -feldolgozást és -elemzést.
  • 19. Alapelv: Kockázati információk kommunikálása. A szervezet kockázati információkat kommunikál a belső és külső felek felé. Ez magában foglalja a kockázati jelentéseket és a vezetői összefoglalókat.
  • 20. Alapelv: Kockázatokról, kultúráról és teljesítményről való jelentéstétel. A szervezet jelentést tesz a kockázatokról, a kultúráról és a teljesítményről a felügyeleti szervnek és más érdekelt feleknek. Ez biztosítja az átláthatóságot és az elszámoltathatóságot.

A COSO ERM 2017 keretrendszer alapvető paradigmaváltást hozott a kockázatkezelésben, hangsúlyozva, hogy a kockázatok nem csupán elkerülendő tényezők, hanem a stratégiai döntéshozatal szerves részét képezik, és megfelelő kezelésük révén értéket lehet teremteni a szervezet számára.

Az ERM 2017 alkalmazása lehetővé teszi a szervezetek számára, hogy proaktívan azonosítsák és kezeljék a kockázatokat, amelyek befolyásolhatják stratégiai céljaikat. Segít a vezetésnek abban, hogy megalapozottabb döntéseket hozzon a kockázati étvágy figyelembevételével, optimalizálja az erőforrás-elosztást, és növelje a szervezet ellenálló képességét a bizonytalan üzleti környezetben. Az ERM keretrendszer tehát nem csak a negatív hatások minimalizálásáról szól, hanem a lehetőségek kiaknázásáról és a hosszú távú értékteremtésről is.

COSO IC-IF és ERM: Összekapcsolódás és kiegészítés

Bár a COSO Belső Ellenőrzés – Integrált Keretrendszer (IC-IF) és a Vállalati Kockázatkezelés – Értékteremtés (ERM) keretrendszer különálló dokumentumok, szorosan összefüggenek és kiegészítik egymást. Nem egymás helyettesítői, hanem különböző, de egymásra épülő perspektívákat kínálnak a szervezet irányítására és ellenőrzésére.

Hasonlóságok és különbségek

Hasonlóságok:

  • Közös eredet: Mindkét keretrendszer a COSO szervezet által került kidolgozásra, azonos alapértékekre és célokra épülve.
  • Célok elérése: Mindkét keretrendszer célja, hogy segítse a szervezeteket céljaik hatékonyabb elérésében, legyen szó működési hatékonyságról, jelentéstétel megbízhatóságáról vagy megfelelőségről.
  • Komponens alapú megközelítés: Mindkét keretrendszer komponensekre épül, amelyek mindegyike alapelvekkel van alátámasztva. Ez strukturált megközelítést biztosít.
  • Vezetés és felügyelet szerepe: Mindkét keretrendszer hangsúlyozza a felső vezetés és a felügyeleti szerv (pl. igazgatóság) kulcsfontosságú szerepét a hatékony irányítás és ellenőrzés biztosításában.
  • Folyamatos fejlesztés: Mindkét keretrendszer hangsúlyozza a folyamatos monitoring és a rendszeres felülvizsgálat fontosságát a hatékonyság fenntartása érdekében.

Különbségek:

Jellemző COSO IC-IF (2013) COSO ERM (2017)
Fókusz Belső ellenőrzés, célok elérése és kockázatok kezelése a belső ellenőrzési rendszeren keresztül. Vállalati kockázatkezelés, a kockázatok és lehetőségek integrálása a stratégiaalkotásba és a teljesítménymenedzsmentbe az értékteremtés érdekében.
Definíció A belső ellenőrzés egy folyamat, amelyet a szervezet igazgatótanácsa, vezetősége és egyéb személyzete valósít meg, ésszerű bizonyosságot nyújtva a célok eléréséről. A vállalati kockázatkezelés a stratégiaalkotásba és a teljesítménybe integrált folyamat, amelyet a szervezet igazgatótanácsa, vezetősége és egyéb személyzete valósít meg, az érték létrehozására, megőrzésére és realizálására.
Kockázatkezelés mélysége Főleg a kockázatok azonosítására és kezelésére összpontosít, amelyek befolyásolják a belső ellenőrzési célokat (jelentéstétel, működés, megfelelőség). Átfogóbb, a stratégiai kockázatokra, a kockázati étvágyra, a kockázati portfólióra és a kockázatokkal kapcsolatos döntéshozatalra is kiterjed.
Kimenet Hatékony belső ellenőrzési rendszer, amely ésszerű bizonyosságot nyújt a célok eléréséről. Informáltabb döntéshozatal, jobb stratégiai tervezés, optimalizált kockázatkezelés, értékteremtés és megőrzés.
Alkalmazás Széles körben használják a pénzügyi jelentéstétel megbízhatóságának biztosítására (pl. SOX megfelelés). A kockázatok stratégiai kezelésére, az üzleti döntések javítására és az ellenálló képesség növelésére használják.

Hogyan épülnek egymásra?

Az ERM keretrendszer az IC-IF alapjaira épül. Az ERM koncepciója magában foglalja az IC-IF valamennyi elemét, de kibővíti azokat. Más szóval, egy hatékony ERM rendszer magában foglalja a hatékony belső ellenőrzést is.

  • Az IC-IF a „hogyan” kérdésre ad választ a kockázatok kezelése szempontjából: Milyen ellenőrzéseket kell bevezetni, milyen környezetben, milyen információk és kommunikáció mellett, és hogyan kell ezeket monitorozni?
  • Az ERM a „mit” és „miért” kérdésekre is választ ad a kockázatokkal kapcsolatban: Milyen kockázatokat kell azonosítani a stratégiai célokhoz képest? Mennyi kockázatot vagyunk hajlandóak vállalni? Hogyan befolyásolja a kockázatkezelés a stratégiaválasztást és az értékteremtést?

Például, az IC-IF „kockázatértékelés” komponense a célok elérését akadályozó kockázatok azonosítását és elemzését írja le. Az ERM „stratégia és célkitűzés” komponense ezt kiegészíti azzal, hogy a kockázati étvágyat már a stratégiaalkotás fázisában figyelembe veszi, és a kockázatokat nem csak akadályként, hanem stratégiai döntési tényezőként is kezeli.

Mikor melyiket alkalmazzuk?

  • COSO IC-IF:
    • Ha a fő cél a pénzügyi jelentéstétel megbízhatóságának, a működési hatékonyságnak és a jogszabályi megfelelőségnek a biztosítása.
    • Különösen releváns a Sarbanes-Oxley (SOX) törvény vagy más hasonló szabályozásoknak való megfelelés értékeléséhez.
    • Alapvető keretrendszer a belső ellenőrzési rendszerek tervezéséhez és értékeléséhez.
  • COSO ERM:
    • Ha a szervezet egy átfogó, stratégiai megközelítést szeretne alkalmazni a kockázatok kezelésére, amely túlmutat a belső ellenőrzésen.
    • Ha a cél a kockázatkezelés integrálása a stratégiaalkotásba és a teljesítmény-menedzsmentbe.
    • Ha a szervezet proaktívan szeretné kezelni a stratégiai, operatív, pénzügyi és megfelelőségi kockázatokat, és ezeket az értékteremtés szempontjából optimalizálni.
    • Vállalati szintű kockázati étvágy meghatározására és a kockázati portfólió kezelésére.

Ideális esetben a szervezetek mindkét keretrendszert alkalmazzák, hiszen egymást kiegészítve nyújtanak teljes körű védelmet és támogatást a szervezet céljainak eléréséhez. Az IC-IF biztosítja a megbízható alapot a belső ellenőrzéshez, míg az ERM a kockázatkezelést stratégiai szintre emeli, lehetővé téve a szervezet számára, hogy a bizonytalanságokat intelligensen kezelje, és a lehetőségeket kiaknázza.

A COSO keretrendszer jelentősége és alkalmazhatósága

A COSO keretrendszerek jelentősége messze túlmutat az egyszerű szabályozási megfelelőségen. Ezek az iránymutatások alapvető fontosságúak a modern vállalatirányításban, a bizalomépítésben és a hosszú távú fenntarthatóság biztosításában. Globális elfogadottságuk és iparágtól független alkalmazhatóságuk teszi őket univerzális eszközzé a szervezetek számára.

Sarbanes-Oxley törvény (SOX) és COSO

A COSO Belső Ellenőrzés – Integrált Keretrendszer (IC-IF) jelentősége drámaian megnőtt a 2002-es Sarbanes-Oxley (SOX) törvény bevezetésével az Egyesült Államokban. Ez a törvény a nagyméretű vállalati botrányokra (pl. Enron, WorldCom) válaszul született, és célja a befektetők védelme, a vállalati felelősség növelése és a pénzügyi jelentéstétel megbízhatóságának javítása volt.

A SOX 302. és 404. szakasza különösen releváns a COSO szempontjából:

  • SOX 302. szakasz: Előírja, hogy a vezérigazgatónak (CEO) és a pénzügyi igazgatónak (CFO) személyesen kell tanúsítania a pénzügyi jelentések pontosságát, és felelősséget kell vállalnia a belső ellenőrzési rendszer kialakításáért és fenntartásáért.
  • SOX 404. szakasz: Kötelezi a vezetőséget, hogy jelentést tegyen a belső ellenőrzési rendszer hatékonyságáról a pénzügyi jelentéstétel felett, és előírja a külső könyvvizsgálóknak, hogy véleményezzék ezt a vezetőségi értékelést, valamint a belső ellenőrzési rendszer hatékonyságát.

Mivel a SOX törvény nem írta elő konkrétan, hogy melyik keretrendszert kell használni a belső ellenőrzés értékelésére, a COSO IC-IF vált a de facto standarddá. Ennek oka, hogy ez volt a legátfogóbb és leginkább elfogadott keretrendszer, amely a belső ellenőrzés valamennyi aspektusát lefedi. Így a COSO IC-IF alkalmazása elengedhetetlen a SOX megfelelés biztosításához az USA-ban tőzsdén jegyzett vállalatok számára, de globálisan is számos vállalat átvette ezt a gyakorlatot.

Globális elfogadottság

A COSO keretrendszerek nem korlátozódnak az Egyesült Államokra. Számos országban és régióban váltak referencia-ponttá a belső ellenőrzés és a kockázatkezelés terén. Például az Európai Unióban a BaFin (Németország), a Financial Conduct Authority (Egyesült Királyság) és más szabályozó szervek is hivatkoznak a COSO elveire. Kínában, Japánban, Ausztráliában és más ázsiai országokban is széles körben alkalmazzák a COSO-t a vállalati irányítás és a belső ellenőrzési gyakorlatok fejlesztésére.

Ez a globális elfogadottság annak köszönhető, hogy a COSO elvei univerzálisak és alkalmazhatók a különböző jogrendszerekben és üzleti kultúrákban. Segítik a multinacionális vállalatokat abban, hogy egységes és hatékony belső ellenőrzési és kockázatkezelési rendszereket vezessenek be globális szinten.

Iparágtól független alkalmazhatóság

A COSO keretrendszerek egyik legnagyobb erőssége az iparágtól független alkalmazhatóságuk. Függetlenül attól, hogy egy szervezet pénzügyi szolgáltatásokkal, gyártással, technológiával, egészségüggyel, kiskereskedelemmel, közművekkel vagy non-profit tevékenységgel foglalkozik, a COSO elvei relevánsak és adaptálhatók. Ennek oka, hogy a keretrendszerek az alapvető irányítási és ellenőrzési elvekre összpontosítanak, amelyek minden szervezetben jelen vannak, függetlenül azok specifikus tevékenységétől.

  • Pénzügyi intézmények: A COSO alapvető a bankok, biztosítótársaságok és befektetési alapok számára a kockázatok kezelésében és a szabályozási megfelelés biztosításában.
  • Gyártó vállalatok: Segít a működési kockázatok (pl. ellátási lánc, minőségellenőrzés) kezelésében és a termelési folyamatok hatékonyságának növelésében.
  • Technológiai vállalatok: Alapvető az IT kockázatok, az adatvédelem és a kiberbiztonság kezelésében.
  • Non-profit szervezetek és kormányzati szervek: Segítik a források hatékony felhasználását, a célok elérését és az elszámoltathatóság biztosítását a közpénzek és adományok kezelésében.

Vállalati irányításban betöltött szerepe

A COSO keretrendszerek a modern vállalati irányítás (corporate governance) szerves részét képezik. A jó vállalati irányítás biztosítja, hogy a szervezet felelősségteljesen működjön, átlátható legyen, és hosszú távon értéket teremtsen az érdekelt felek számára. A COSO hozzájárul ehhez azáltal, hogy:

  • Erősíti a felügyeleti szerv szerepét: Az IC-IF és az ERM is hangsúlyozza az igazgatótanács vagy a felügyelőbizottság független felügyeleti szerepét a belső ellenőrzés és a kockázatkezelés felett.
  • Növeli az elszámoltathatóságot: Világos keretet biztosít a vezetés és az alkalmazottak felelősségi köreinek meghatározásához.
  • Javítja a döntéshozatalt: A megbízható információk és a kockázatok jobb megértése révén a vezetés megalapozottabb döntéseket hozhat.
  • Növeli az átláthatóságot: A jól dokumentált és hatékony belső ellenőrzési és kockázatkezelési rendszerek növelik a belső és külső jelentések megbízhatóságát.

Belső ellenőrzés szerepe

A belső ellenőrzés funkciója kulcsfontosságú a COSO keretrendszerek gyakorlati alkalmazásában. A belső ellenőrök független és objektív értékelést nyújtanak a belső ellenőrzési és kockázatkezelési rendszerek hatékonyságáról. Feladataik közé tartozik:

  • A COSO elvek szerinti megfelelés értékelése.
  • A hiányosságok azonosítása és ajánlások megfogalmazása a javításra.
  • A vezetésnek és a felügyeleti szervnek való jelentéstétel a belső ellenőrzési és kockázatkezelési környezetről.
  • Tanácsadás a kockázatkezelési folyamatok fejlesztésében.

Vezetés felelőssége

A COSO egyértelműen kimondja, hogy a belső ellenőrzés és a kockázatkezelés elsődleges felelőssége a vezetésé. A vezetésnek kell kialakítania, bevezetnie és fenntartania a hatékony rendszereket. Ez magában foglalja:

  • A megfelelő ellenőrzési környezet kialakítását.
  • A kockázatok azonosítását és értékelését.
  • A megfelelő ellenőrzési tevékenységek tervezését és végrehajtását.
  • Az információáramlás és a kommunikáció biztosítását.
  • A rendszerek folyamatos monitoringját és fejlesztését.

A COSO keretrendszerek tehát nem csupán elméleti modellek, hanem gyakorlati eszközök, amelyek segítenek a szervezeteknek abban, hogy felelősségteljesen, hatékonyan és fenntarthatóan működjenek a mai komplex és dinamikus üzleti környezetben.

Gyakorlati megvalósítás és kihívások a COSO keretrendszer alkalmazásában

A COSO keretrendszerek elméleti alapjainak megértése kulcsfontosságú, de a valódi érték a gyakorlati megvalósításban rejlik. A COSO elvek bevezetése és fenntartása egy szervezetben összetett, iteratív folyamat, amely stratégiai tervezést, jelentős erőforrás-befektetést és folyamatos elkötelezettséget igényel.

Lépések a COSO keretrendszer gyakorlati megvalósításához

A COSO keretrendszer bevezetésének és fenntartásának tipikus lépései a következők:

  1. Projektindítás és tervezés:
    • Vezetői elkötelezettség: A felső vezetés és az igazgatótanács egyértelmű támogatása és elkötelezettsége elengedhetetlen. Jelöljünk ki egy projektvezetőt és egy irányító bizottságot.
    • Hatókör meghatározása: Döntse el, hogy mely területeket fedi le a COSO implementáció (pl. csak pénzügyi jelentéstétel, vagy az egész vállalat kockázatkezelése).
    • Erőforrások allokálása: Szükséges humán és pénzügyi erőforrások biztosítása.
  2. Jelenlegi állapot felmérése (Assessment):
    • Célok azonosítása: Világosan határozzuk meg a szervezet működési, jelentéstételi és megfelelőségi céljait.
    • Belső ellenőrzési és kockázatkezelési környezet elemzése: Vizsgáljuk meg a meglévő politikákat, eljárásokat, rendszereket és struktúrákat.
    • Kockázatok azonosítása és értékelése: Részletes kockázatfelmérés elvégzése az IC-IF és/vagy ERM alapelvei szerint. Mely kockázatok fenyegetik a célok elérését? Milyen súlyosak és valószínűek ezek?
  3. Hiányelemzés (Gap Analysis):
    • Összehasonlítás a COSO elvekkel: Hasonlítsa össze a jelenlegi állapotot a COSO keretrendszer komponenseinek és alapelveinek elvárásaival.
    • Hiányosságok azonosítása: Azonosítsa azokat a területeket, ahol a jelenlegi gyakorlat nem felel meg a COSO elvárásainak, vagy ahol a kockázatkezelés nem hatékony.
  4. Tervezés és fejlesztés (Design and Development):
    • Kontrolltervezés: Tervezze meg az új vagy módosított ellenőrzési tevékenységeket a hiányosságok orvoslására. Ez magában foglalhatja új politikák, eljárások, technológiai rendszerek bevezetését.
    • Kockázatkezelési stratégia finomítása: Az ERM keretében dolgozza ki vagy finomítsa a kockázati étvágyat, a kockázati válaszokat és a kockázati portfólió kezelésének módját.
    • Szerepek és felelősségek tisztázása: Pontosan határozza meg, ki miért felelős a belső ellenőrzési és kockázatkezelési rendszeren belül.
  5. Végrehajtás (Implementation):
    • Bevezetés: Az új vagy módosított ellenőrzések és folyamatok bevezetése a napi működésbe.
    • Képzés és tudatosság növelése: Az alkalmazottak képzése az új eljárásokról és a belső ellenőrzés/kockázatkezelés fontosságáról. A COSO kultúra beágyazása a szervezetbe.
    • Dokumentáció: Részletes dokumentáció készítése minden ellenőrzési tevékenységről, kockázatkezelési folyamatról, politikáról és eljárásról. Ez kulcsfontosságú a későbbi értékeléshez és auditokhoz.
  6. Tesztelés és monitoring (Testing and Monitoring):
    • Ellenőrzések tesztelése: Rendszeres tesztelés annak ellenőrzésére, hogy az ellenőrzési tevékenységek a tervezett módon működnek-e. Ez magában foglalhatja a mintavételt, interjúkat és folyamatáttekintéseket.
    • Folyamatos monitoring: A belső ellenőrzési és kockázatkezelési rendszer folyamatos felügyelete a hatékonyság fenntartása érdekében.
    • Hiányosságok jelentése: Az azonosított hiányosságok időben történő jelentése a vezetésnek és a felügyeleti szervnek.
  7. Folyamatos fejlesztés (Continuous Improvement):
    • Korrekciós intézkedések: Az azonosított hiányosságok orvoslására szolgáló korrekciós intézkedések végrehajtása.
    • Rendszeres felülvizsgálat: A belső ellenőrzési és kockázatkezelési rendszer rendszeres, átfogó felülvizsgálata a változó üzleti környezet és a felmerülő új kockázatok figyelembevételével.
    • Alkalmazkodás: A rendszer rugalmassá tétele, hogy képes legyen alkalmazkodni a technológiai, szabályozási és piaci változásokhoz.

Kihívások a COSO keretrendszer bevezetésében

A COSO keretrendszerek bevezetése számos kihívással járhat, különösen a nagyobb, komplexebb szervezetek esetében:

  • Kultúra és ellenállás a változással szemben: Az egyik legnagyobb kihívás a szervezeti kultúra megváltoztatása. A belső ellenőrzés és a kockázatkezelés nem lehet csupán egy „pipálgatós” feladat, hanem a napi működés szerves részévé kell válnia. Az alkalmazottak ellenállhatnak az új folyamatoknak és a megnövekedett elszámoltathatóságnak.
  • Erőforrásigény: A COSO bevezetése jelentős időt, pénzt és humán erőforrást igényel. Szükséges lehet új szakértők felvétele, meglévő alkalmazottak képzése, és technológiai rendszerek fejlesztése.
  • Komplexitás és méret: Nagy, multinacionális vállalatok esetében a COSO bevezetése rendkívül komplex lehet a sokféle üzleti egység, földrajzi elhelyezkedés és jogrendszer miatt. Az egységesítés és a konzisztencia biztosítása komoly kihívás.
  • Adatminőség és információhiány: A hatékony ellenőrzések és kockázatkezelés alapja a megbízható és releváns információ. Rossz adatminőség vagy az információk hiánya akadályozhatja a rendszer hatékony működését.
  • Technológiai integráció: A modern üzleti környezetben az IT rendszerek kulcsszerepet játszanak. Az ellenőrzések és a kockázatkezelési folyamatok megfelelő integrálása az IT rendszerekbe, és a technológiai kockázatok kezelése (pl. kiberbiztonság) jelentős kihívást jelent.
  • A kockázati étvágy meghatározása: Különösen az ERM keretében, a szervezet kockázati étvágyának pontos meghatározása és kommunikálása nehéz feladat lehet, mivel ez szubjektív elemeket is tartalmazhat, és a vezetés különböző szintjein eltérő nézetek alakulhatnak ki.
  • Monitoring és fenntartás: A COSO nem egy egyszeri projekt, hanem egy folyamatos folyamat. A rendszer hatékonyságának fenntartása és a folyamatos fejlődés biztosítása hosszú távú elkötelezettséget igényel.

Ezeknek a kihívásoknak az áthidalása érdekében a szervezeteknek proaktív megközelítést kell alkalmazniuk, világos kommunikációval, megfelelő képzéssel, és a felső vezetés folyamatos támogatásával. Egy jól megtervezett és végrehajtott COSO implementáció azonban hosszú távon megtérülő befektetés, amely növeli a szervezet ellenálló képességét, megbízhatóságát és értékét.

Jövőbeli trendek és a COSO evolúciója: Alkalmazkodás a változó világhoz

A COSO folyamatosan igazodik a digitális és kockázati trendekhez.
A COSO keretrendszer folyamatosan fejlődik, hogy megfeleljen az új technológiák és szabályozások kihívásainak.

A COSO keretrendszerek már bizonyították alkalmazkodóképességüket a múltbeli üzleti és szabályozási változásokhoz. Ahogy a világ egyre gyorsabban fejlődik, a COSO is folyamatosan adaptálódik, hogy releváns iránymutatást nyújtson a szervezetek számára a felmerülő új kockázatok és lehetőségek kezelésében. Számos jövőbeli trend befolyásolja majd a COSO keretrendszerek további evolúcióját és alkalmazását.

Digitális transzformáció hatása

A digitális transzformáció gyökeresen átalakítja az üzleti modelleket, folyamatokat és a munkavégzés módját. Ez új típusú kockázatokat és kihívásokat teremt a belső ellenőrzés és a kockázatkezelés számára:

  • Kiberbiztonsági kockázatok: A megnövekedett online jelenlét és az adatok digitalizálása exponenciálisan növeli a kiberbiztonsági fenyegetéseket (adatlopás, zsarolóvírus, rendszerleállás). A COSO keretrendszereknek egyre inkább integrálniuk kell a kiberkockázat-kezelést.
  • Adatvédelem és adatminőség: Az adatmennyiség növekedésével kulcsfontosságúvá válik az adatvédelem (pl. GDPR megfelelés) és az adatok minősége. A COSO hangsúlyozza az információ és kommunikáció komponensen belül a releváns és minőségi információk felhasználását, ami a digitális korban még kritikusabbá válik.
  • Automatizálás és robotika (RPA): A folyamatok automatizálása új típusú ellenőrzési kockázatokat vet fel, például az automatizált döntéshozatal megbízhatóságát és az emberi felügyelet szükségességét.
  • Felhőalapú szolgáltatások: A felhőbe való migráció a külső szolgáltatók kockázatainak kezelését teszi szükségessé, ami a COSO ellenőrzési tevékenységek komponensében kiemelt szerepet kap.

A COSO keretrendszereknek rugalmasnak kell lenniük, hogy a szervezetek képesek legyenek kezelni ezeket a technológiai változásokat, és beépíthessék az új technológiákat a belső ellenőrzési és kockázatkezelési rendszereikbe.

ESG (környezeti, társadalmi és irányítási) kockázatok

Az ESG tényezők egyre nagyobb hangsúlyt kapnak a befektetői döntésekben, a szabályozásban és a társadalmi elvárásokban. A szervezeteknek nemcsak a pénzügyi, hanem a környezeti, társadalmi és irányítási kockázatokat is hatékonyan kell kezelniük:

  • Környezeti kockázatok: Klímaváltozás, természeti erőforrások kimerülése, környezetszennyezés. Ezek operatív, reputációs és szabályozási kockázatokat jelentenek.
  • Társadalmi kockázatok: Munkaerővel kapcsolatos kérdések (diverzitás, inkluzivitás, munkavállalói jogok), emberi jogok, közösségi kapcsolatok.
  • Irányítási kockázatok: Vállalati etika, korrupció, adatvédelem, igazgatótanács összetétele és függetlensége.

A COSO ERM keretrendszer már most is alkalmas az ESG kockázatok integrált kezelésére, hiszen a stratégia és célkitűzés, valamint a teljesítmény komponensek lehetővé teszik ezen kockázatok azonosítását, értékelését és kezelését a szervezet céljaihoz viszonyítva. A jövőben várhatóan még nagyobb hangsúlyt kap majd az ESG-vel kapcsolatos jelentéstétel megbízhatósága, ami a COSO IC-IF jelentéstételi céljait is érinteni fogja.

Mesterséges intelligencia (AI) és adatelemzés

A mesterséges intelligencia és a fejlett adatelemzés (big data analytics) forradalmasíthatja a belső ellenőrzést és a kockázatkezelést. Ezek az eszközök képesek:

  • Folyamatos monitoring: Az AI és a gépi tanulás lehetővé teszi a tranzakciók és folyamatok valós idejű, folyamatos monitoringját, azonnal azonosítva a rendellenességeket és a potenciális csalásokat.
  • Prediktív elemzés: Az adatelemzés segítségével a szervezetek előre jelezhetik a jövőbeli kockázatokat a múltbeli adatok és trendek alapján, így proaktívabban kezelhetik azokat.
  • Hatékonyság növelése: Az AI automatizálhatja az ellenőrzési tevékenységeket, csökkentve az emberi hibák lehetőségét és növelve az ellenőrzések hatékonyságát.
  • Kockázati modellezés: Az AI komplex kockázati modelleket hozhat létre, amelyek pontosabban értékelik a kockázatok súlyosságát és kölcsönhatásait.

A COSO keretrendszereknek ösztönözniük kell az ilyen technológiák felelős és etikus alkalmazását, miközben kezelniük kell az AI-val kapcsolatos új kockázatokat is, mint például az algoritmusok torzítása, az adatbiztonság és az AI döntéshozatalának átláthatósága.

A kockázatkezelés dinamikus jellege

A jövőben a kockázatkezelés még dinamikusabbá és agilisabbá válik. A szervezeteknek gyorsan kell reagálniuk a változó piaci körülményekre, a geopolitikai eseményekre és az új technológiákra. Ez szükségessé teszi:

  • Valós idejű kockázatkezelés: A statikus éves kockázatfelmérések helyett a folyamatos és valós idejű kockázatfigyelés lesz a norma.
  • Agilis kockázatkezelés: A kockázatkezelési folyamatoknak rugalmasnak és gyorsan adaptálhatónak kell lenniük.
  • Integrált kockázatkezelés: A kockázatkezelésnek nem egy elszigetelt funkcióként, hanem a stratégiai tervezés, az operatív működés és a döntéshozatal szerves részeként kell működnie.

A COSO ERM 2017 már elmozdult ebbe az irányba azzal, hogy hangsúlyozza a kockázatkezelés stratégiai integrációját és az értékteremtő szerepét. A jövőbeli fejlesztések valószínűleg tovább erősítik ezt a dinamikus, integrált és proaktív megközelítést.

A COSO keretrendszerek relevanciája a jövőben is megmarad, sőt, valószínűleg növekedni fog, ahogy a szervezetek egyre komplexebb és bizonytalanabb környezetben működnek. A folyamatos adaptáció és a bevált gyakorlatok megosztása révén a COSO továbbra is alapvető iránymutatást nyújt majd a hatékony belső ellenőrzéshez és kockázatkezeléshez világszerte.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük