Az ellenőrök kockázatkezelési feladatai. SALDO ZRT. 2010.. 09. 29. Az ellenőrök kockázatkezelési feladatai. Készítette: Dr. Saly Ferenc Ny. számvevőszéki főtanácsos

A Belső Kontrollrendszer és az ERM definíciója Integrált Belső Kontroll Keretrendszer (COSO) Olyan folyamat, amelyet egy szervezet igazgatósága, vezetősége és más munkatársai hajtanak végre, és amelyet azért alakítanak ki, hogy ésszerű bizonyosságot nyújtson a célok elérésére. Vállalati/Szervezeti/ Átfogó Kockázatkezelési Keretrendszer (ERM = Enterprise Risk Management) a vállalat (szervezet) igazgatótanácsa, vezetősége és egyéb munkatársai által kialakított és felügyelt folyamat, amelyet a stratégia kijelölése során a szervezet minden területén alkalmaznak. Célja a vállalatra (szervezetre) ható potenciális események felismerése, azonosítása, továbbá a kockázatok oly módon való kezelése, hogy azok ne lépjék túl a cég kockázattűrő képességét, és elfogadható garanciát nyújtsanak a célkitűzések eléréséhez. A belső kontrollrendszer fogalma (Áht. 120/B §.) A költségvetési szerv által a kockázatok kezelésére és tárgyilagos bizonyosság megszerzése érdekében kialakított folyamatrendszer, amely azt a célt szolgálja, hogy a költségvetési szerv megvalósítsa fő céljait. Létrehozásának lehetséges módjai: Újonnan létrehozott szervezeteknél: A felső vezetés meghatározza a stratégiát és magát a folyamatot, vállalva a felelősséget bevezetésért, a felügyeletért és az ellenőrzésért. Már működő szervezeteknél: A szervezeti egységek szintjén történik a stratégia és a folyamat meghatározása, és a bevezetésért, a felügyeletért és az ellenőrzés végrehajtásáért a szervezeti egység felelős. Integrált megközelítési módszerrel: A felső vezetés a szervezeti egységgel együttműködve határozza meg a stratégiát és a folyamatot, a bevezetésért a szervezeti egység felelős, de a felső vezetés útmutatása alapján. A felügyelet és az ellenőrzés a szervezeti egység feladata.

Az Integrált Belső Kontroll Keretrendszer (COSO) 5,és az Integrált Kockázatkezelési Keretrendszer (ERM) 8 eleme, szempontrendszere.

A belső kontrollokkal kapcsolatos felelősség (INTOSAI) A belső kontroll a FEUVE rendszert és a belső ellenőrzést foglalja magában. A közös cél, hogy a belső kontroll biztosítékot nyújtson a vezetés számára, az általa meghatározott célok eléréséhez.. Vezetők szerepe, felelőssége: ( Áht. 121.§ és az Ámr. 155-161 §) Pozitív kontrollkörnyezet létrehozása , Megfelelő kontrolltevékenységek kialakítása következetes írásos szabályozásokkal, világos, egyértelmű kommunikációval, a feladatok, hatáskörök és jogkörök pontos meghatározásával, a munkatársak folyamatos képzésével, megfelelő erkölcsi légkör kialakításával, az etikátlan magatartás kiszűrésével, szankcionálásával. Folyamatosan működtetett monitoringgal, a belső ellenőrzés tényleges függetlenségének biztosításával Belső ellenőrök szerepe, felelőssége: (Áht.121/A § és a Ber. 8.§) A belső ellenőrzés új megközelítésének központjában: az irányítás, a kockázatkezelés, továbbá a belső kontroll környezet és a kontrolltevékenységek ellenőrzése áll. Tevékenységének célja: a vezetés segítése: a belső kontrollok működési hatékonyságának objektív, tervszerű vizsgálatával, elemzésével az ellenőrzésszakmai hozzáértés biztosításával, és fejlesztésével, az átgondolt, hasznosítható javaslatokkal, a javaslatok megvalósításának nyomon- követésével, az ellenőrzés minőség biztosítási rendszerével.

A kockázat fogalma, típusai, fontossága a döntéshozatalban. A kockázat a költségvetési szerv működése tekintetében mindazon elemek és események bekövetkeztének a valószínűsége, amelyek érinthetik a szerv működését, céljainak, feladatainak elérését. A szervezetet érő kockázatok Eredendő kockázat (Inherens Risk) A szervezet által nem befolyásolható többnyire külső kockázatok Belső kontroll kockázat (Control Risk) A kontrollrendszer hiányosságaiból adódó kockázatok Megmaradó kockázat (Residual Risk) A vezetés által tudatosan elfogadott kockázatok Feltárási kockázat (Detect Risk) az ellenőrzés kockázati tényezői Ellenőrzési kockázat (Audit Risk) bizonyosság mértéke: AR = IR x CR x DR.

A kockázatok meghatározása NEM KOCKÁZAT A Probléma, mert Mindig a jelenre vonatkozik, és már bekövetkezett, ismert tény, körülmény. Feltárása és értékelése alapján hozott Intézkedésekkel a jövőbeni kockázatok mérsékelhetők A Hiányosság, mert A jelenre vonatkozik, és már ismert állapot, Ami a jövőben kockázatokat okozhat. A Bizonytalanság, mert A jövőre vonatkozik és Információ hiányból adódik Veszély: Az intézmény stratégiai/szervezeti céljait negatívan befolyásoló kockázat. Léteznek pozitív kockázatok, azaz lehetőségek is. Kockázat: Valamilyen esemény, tevékenység, vagy tevékenység elmulasztása, amely a jövőben valamely valószínűséggel bekövetkezik és ezáltal valamilyen hatással lesz az adott szervezet céljainak elérésére.

A feltárási kockázat (feltárási bizonyosság) kiszámítása. Feltárási kockázat (DR) =______ellenőrzési (audit) kockázat (AR)______________ Eredendő kockázat (IR) x belső kontroll kockázat (CR) PÉLDA: Az ellenőrzési kockázatot az ellenőrök tapasztalataik alapján standardként 5 % - ban határozták meg. Az eredendő kockázatot 20 % - ra becsülték az ellenőrök. A belső kontroll kockázatát 80 %-osnak kalkulálták az ellenőrök. Az adatokat behelyettesítve a feltárási kockázat = __________0,05_____ = 0,3125 0,20 x 0,80 azaz 31,25 % A feltárási bizonyosság a feltárási kockázat inverze, ezért annak értéke: 68,75% (1,0 – 03125) = 0,6875, azaz 68,75%-os bizonyossággal tárják fel az ellenőrök a szervezetnél ellenőrzött tevékenységben meglévő hibákat.)

A költségvetési szervek működésének fontosabb kockázati tényezői, és azok okai. Külső környezeti kockázatok, amelyek függetlenek a szerv működésétől, de amelyek bekövetkezésére a költségvetési szerv megfelelő stratégiával képes felkészülni, hatásaikat mérsékelni és/vagy kiküszöbölni. (politikai, jogszabályi környezet, a szervezet felépítésének, vezetésének feladatrendszerének, változásai) Belső működési kockázatok, amelyek a költségvetési szerv működésének velejárói, és amelyek kiküszöbölése, vagy mérséklése a vezetéssel szemben támasztott követelmény: (a szervezet pénzügyi kockázatai :gazdálkodási, pénzügyi, elszámolási, számviteli rendszerének, adatfeldolgozásának megfelelősége, a tevékenységi kockázatai: a feladat, jog, és felelősségi körök különválasztásának, az engedélyezés, jóváhagyás rendjének szabályozottsága, a vagyontárgyak fizikai megőrzése, az emberi erőforrás kockázatai: az előzőekhez szükséges személyi, tárgyi feltételek meglétét és folyamatos működést.) A kockázatok főbb okai a véletlen események (pl. elemi csapások) bekövetkezése, a hiányos ismeretek, illetve nem megfelelő információk, a kontrollok hiánya, vagy nem kielégítő színvonala, a vezetés magatartása.

A kockázatok ellenőr általi megközelítése CÉL: A költségvetési szerv vezetése által kialakított és működtetett kockázatelemzési és kezelési rendszer ellenőrzése útján segítséget nyújtani a rendszer hatékonyságának növeléséhez, amely hozzáadott értéket jelent. FELADAT: Kockázatelemzés alkalmazásával elkészített ellenőrzési tervek alapján rendszerszemléletű ellenőrzések végrehajtása, javaslatok megfogalmazása. MEGKÖZELÍTÉS: Az ellenőrzésre kijelölt költségvetési szervben, vagy szervezeti egységben zajló folyamatok kockázatainak megismerése, A potenciális veszteségek okainak felmérése (veszélyességi küszöb). rangsorolása,és működésük kontrollja. A kockázati hatások mérséklésére alkalmazható stratégiákra ajánlások. A belső ellenőrnek meg kell állapítania a szervezet, vagy szervezeti egység tevékenységének az eredendő és a belső kontroll kockázatait, majd az előző két kockázati kör megismerése, értékelése alapján, a szakmai ismereteire is figyelemmel határozhatja meg az ellenőr a belső ellenőrzés feltárási bizonyosságának mértékét

A COSO alapú vizsgálat módszere. A stratégiai, működési, beszámolási és megfelelési (szabályszerűségi) célkitűzéseket és teljesítésüket a szervezet egészére vonatkozóan, míg az integrált belső kontroll keretrendszer vonatkozásában a működési egységek és folyamatok üzleti céljainak megvalósulásán keresztül célszerű vizsgálni. a szervezet kockázatviselési szintje vagy hajlandósága átfogó vizsgálata annak, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület (igazgatóság) mekkora kockázatot tart elfogadhatónak. a kockázati tolerancia az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékű eltérés engedhető meg. A vizsgálat során a belső ellenőrnek A kockázatviselési szintet számszerűsíteni kell annak alátámasztására, hogy a lehetséges kockázati válaszok közül melyik kerüljön alkalmazásra A szervezeti szinten, vagy az egyes működési egységek és folyamatok vonatkozásában meghatározott célokat és azoktól való megengedett eltérést megfelelő mutatószámokkal kell alátámasztani. a szervezet belső kontrollrendszerének működését megfelelő mutatószámokkal lehet. jellemezni és az adott szintre jellemző kockázati toleranciát meghatározni

A kockázatok megismerésének lépései, és az információs források A kockázatokat az ellenőrnek kell: Azonosítania Okát megismerni Helyét megállapítani Bekövetkezési valószínűségét meghatározni Hatásának mértékét megbecsülni A beépített kontrollok szerepét és működését megérteni. A kockázatok vezetők általi kezelésének, értékelésének módját megismerni, és meggyőződni arról, hogy a vezetés Azonosította és rangsorolta-e a kockázatokat. Meghatározta-e az elfogadható kockázati szintet. Megfelelően, és időben reagált-e a kockázatokra. Megfelelően informált-e a kockázatkezelési eljárások eredményéről. Nyomon követi-e a hozott intézkedések végrehajtását, és eredményét. Az ellenőr kockázatkezeléséhez rendelkezésre álló információs források: Ellenőrzési nyomvonal Belső szabályzatok FEUVE (ezen belül a kockázatkezelés) szabályozottsága, kiépítettsége Vezetői beszámolók, jelentések a kockázatkezelésről Korábbi ellenőrzési anyagok megállapításai Intézkedési tervek és a végrehajtásukról szóló jelentések Nyilvántartások

A folyamatok azonosítása, hierarchiája Kód Folyamat típusa Folyamat megnevezése Irányítás felelőse 1.0.0. Fő folyamat Előirányzatok kezelése Folyamatgazda neve 1.1.0. Folyamat költségvetés tervezése 1.2.0. elemi költségvetés készítése 1.3.0. előirányzat módosítás 1.4.0. előirányzatok nyilvántartása 1.5.0. kötelezettségvállalás nyilvántartása A költségvetés tervezése” folyamat alábontható a következő részfolyamatokra: 1.1.1. költségvetési koncepció készítésre 1.1.2. költségvetés szintre hozására, 1.1.3. szerkezeti változások kidolgozására, 1.1.4. végleges feladat struktúra meghatározására, 1.1.5. a feladatellátás költségeire, 1.1.6. a források és bevételek kiszámítására, 1.1.7. a források és bevételek felosztására, 1.1.8. a kötelező mérlegek elkészítésére, 1.1.9. a pénzügyi egyensúly megteremtésére, 1.1.10. a költségvetési javaslat elkészítésére.

Az egyszerű fontossági sorrend kialakítása Központi Jog- szabályok feladat struktúra költségvetés mérete munkaerő ellátottság szerkezete vezetői magatartás Pon t R A N g Központi jogszabályok 1 4 II. Feladat struktúra V Költségvetés mérete 5 I. Munkaerő ellátottság VI Költségvetés szerkezete 3 III Vezetői magatartás 2 IV

Egyszerű kockázati rangsor Magas kockázatok Közepes kockázatok Alacsony kockázatok

Eredendő kockázatok egyszerű kockázati rangsorolása Kockázat megnevezése alacsony közepes magas Vezetők képzettsége x Vezetők gyakorlata Vezetők magatartása Létszámhelyzet Fluktuáció Dolgozók hozzáértése Általános pénzügyi helyzet Az ellenőrzendő terület pénzügyi helyzete Kockázatosság minősítése 4 2

Kockázati térkép. Bekövetkezés valószínűsége Alacsony Magas Hatás jelentősége Alacsony Magas Megelőzés, megszüntetés Folyamatos megfigyelés Időszakos megfigyelés Eseti megfigyelés

Kockázati skála kialakítása Kockázati tényező sorszám Valószínűség (1 – 10) Hatás Együttes mérték Valószínűség x hatás Jogszabály változás 1 8 64 Feladat változás 2 4 Költségvetés mérete 3 10 9 90 Költségvetés szerkezete 6 7 42 Munkaerő ellátottság 5 Vezetői magatartás 24 átlag 5,3 6,5 6,6 Képlet: pontok értéke együtt tényezők száma

Kockázatkezelési mátrix 3 1 4 6 5 2 H A T Á S V A L Ó S Z Í N Ű S É G

Kockázati válaszlépések A kockázati válaszlépések azt a megoldást jelentik, amilyen módon a vezetés reagál a felismert kockázatokra. Célja a kockázatok mérséklése olyan szintre, amely már az előre meghatározott tűréshatáron belül helyezkedik el. elkerülés, megszüntetés, amikor az adott tevékenység végzésére nem vállalkoznak; vagy amikor a kockázatot, vagy annak hatását megfelelő intézkedéssel megszüntetik. mérséklés, amikor a hatás mértékét, vagy a bekövetkezés valószínűségét csökkentik, mérséklik. megosztás, áthárítás amikor a kockázat hatását megosztják az érintettek között, vagy a feladatot kiszervezik, vagy biztosítást kötnek; elfogadás, viselés amikor a csekély hatású kockázattal a vezetés tudatosan együtt él, mert a megszüntetés többe kerülne, mint a várható kár.

Köszönöm megtisztelő figyelmüket. További munkájukhoz sok sikert kívánok Dr. Saly Ferenc