A tervezetet benyújtó Paul Sarbanes és Michael Oxley amerikai szenátorok neve után csak SOX néven emlegetett törvény eredeti célja a befektetői bizalom helyreállítása és a vállalat vezetői felelősségének megszilárdítása. A törvény alapkoncepciója felelős vállalatirányítási irányelvek (corporate governance) széles körű bevezetését írja elő, ami jelentős büntetőjogi felelősség (maximálisan 12 év) mellett kötelezi a vállalatok vezetőit arra, hogy nyilatkozzanak az általuk vezetett cégek különböző szempontok szerint értékelt helyzetéről és az előrelátható folyamatok aktuális állásáról.
A SOX törvényi előírásai
• Az amerikai tőzsdefelügyelet (SEC) létrehozta a nonprofit független PC AOB (Public Company Accounting Oversight Board) szervezetet a nyilvános társaságok könyvvizsgálóinak ellenőrzésére.
• Új belső szabályozási rendet kell bevezetni a külső auditorokra és a számviteli rendre vonatkozóan.
• A SOX szerint is elfogadható, új, átlátható és párhuzamosságokat kizáró szabályrendszereket kell kialakítani az auditáló ellenőrző testületek és az igazgató tanácsok független működtetésére.
A törvény jelenlegi formája szerint ezek teljesítése kötelező minden, az amerikai tőzsdéken jelen lévő vállalat menedzsmentjének és igazgatótanácsának, valamint a kapcsolódó könyvvizsgáló szervezeteknek. A törvény mindemellett az összes olyan gazdasági tényezőt is hatálya alá vonja (hazai vagy külföldi országban tevékenykedő közös vagy leányvállalatok, egyéb gazdasági érdekeltségek), amely jelentős mértékben befolyásolhatja a vállalatok pénzügyi eredményeit. A SOX egyedi érdekessége, hogy az eddig is elérhető, szigorúan vett pénzügyi teljesítményt mérő információk mellett a vállalaton belül folyamatban lévő aktuális meghatározó ügyek és fejlesztések várható pénzügyi eredményre gyakorolt hatásáról is érdemi információkat kell szolgáltatni.
A SOX vállalati elvárásai
Doszpod Dénes, az Ernst & Young üzleti kockázatkezelési szenior menedzsere szerint a felelős vállalatirányítási elvárások bevezetése a törvény egyik legérdekesebb pontja. Véleménye szerint az irányelvek törvényi szintre emelése segíthet a pénzügyi rendszerek és a vállalati folyamatok felett gyakorolt ellenőrzés felső szintű biztosításának megteremtésében és a felelősséghez tartozó jogosultságok megfelelő kialakításában. A törvény egyébiránt rendelkezett egy új, az amerikai tőzsdén jegyzett vállalatokat auditáló könyvvizsgáló cégek felügyeletét ellátni hivatott nonprofit szervezet, a PCAOB (Public Company Accounting Oversight Board) létrehozásáról is. Csak a PCAOB rendkívül szigorú kritériumrendszerének megfelelő, regisztrált és nyilvántartott szervezetek végezhetnek a SOX törvényi előírásainak megfelelően hitelesített auditálást.
Lépésről lépésre
SOX AUDIT
A SOX nemcsak a cégek vezetőire, hanem az auditálást végző szervezetekre is több felelősséget ró. A SOX auditra felkészítő tanácsadó és az auditot végző könyvvizsgáló cég nem lehet azonos. A könyvvizsgálatot végző cég felelős partnerét emellett a törvény ötévente lecserélni rendeli. Az auditot elvégző gazdasági szervezetnek a vonatkozó jogszabályban meghatározott felelősség terhe mellett nyilatkoznia kell a következőkről:
1. A vezetőség belső kontrollokra vonatkozóan végzett értékeléséről és annak dokumentálásáról, mely értékelés azt hivatott biztosítani, hogy a vállalat eleget tett a SOX követelményeinek azzal, hogy bevezette a belső kontroll rendszereit, amelyek hatékonyan és a törvényi előírások szerint működnek.
2. Az auditor tesztelte a belső vállalati kontrollokat, (ügyviteli és IT szinten egyaránt), és a tesztelt kontrollok megfelelően működnek.
A fent említettek szerint a vállalatvezetésnek nyilatkoznia kell arról, hogy megvannak és a gyakorlatban is működnek a belső ellenőrzést lehetővé tevő folyamatok, eljárások, szabályzatok, és karbantartásukra gondot fordítanak. (A felmerülő lényeges változásokat folyamatosan nyomon kell követni.)
KÖLTSÉGEK
A SOX auditra való felkészítés operatív költségét nehéz előre meghatározni, hiszen az nagyban függ a vállalat tevékenységi köréhez kapcsolódóan elvégzendő felkészítési folyamatoktól, a cég különböző meglévő rendszereinek előzetes állapotától (például az információs rendszerek felkészültségétől és az alkalmazott információvédelmi megoldások kiterjedtségétől és helyzetétől), és a cég méretei is meghatározóak lehetnek a költségek alakulásában. Nagyobb nyilvánosságot kapott iparági példa szerint a világ egyik – hazánkban is jelenlévő – legnagyobb cégének, a General Electricnek hozzávetőleg 35 millió dollárjába került megfelelni a SOX-nak.
A SOX auditot a vállalatoknak évente kötelező elvégeztetniük, éppen úgy, mint a hagyományos pénzügyi beszámolók könyvvizsgálata esetén. A pénzügyi beszámoló könyvvizsgálatát és a SOX-nak való megfelelés auditálását ugyanannak a könyvvizsgálónak kell elvégeznie, a törvényi előírások szerint az auditálást végző szervezet adott munkáért felelős partnerét ötévente kötelező váltani.
Az auditálási folyamatra felkészülést további két fő szerkezeti egységre bonthatjuk. Az ügyviteli folyamatok áttekinthetőségét az üzleti folyamatok belső ellenőrzésének SOX szerint elfogadható szabványainak és megoldásainak gyakorlati alkalmazása szavatolja. Az ügyviteli felkészülés a vállalati struktúrák teljes átláthatóságát és belső kontrolljainak áttekinthetőségét, évente ismétlődő karbantartását és felülvizsgálatát tartalmazza. A felülvizsgálat a vállalat szinte összes folyamatát érinti, különös tekintettel az értékesítés, beszerzés, treasury, IT és támogató rendszerek területeire.
Az üzleti folyamatok belső kontroll rendszereinek működtetése a gyakorlatban a vállalati csalások egyértelmű, egymástól független alternatív csatornákon való visszajelzését is hivatott biztosítani. Konkrét gyakorlati példánál maradva, ha egy cég könyvelő vezetője a cég vezetőjével összejátszva esetleg leplezett csalást követne el, akkor az üzleti ellenőrző folyamatoknak köszönhetően erről a menedzsment tagjai (és a külső ellenőrző szervezetek) sokkal hamarabb és pontosabban értesülhetnek, mint azelőtt.
Nyomok a háttérben
A SOX auditra felkészülés másik fő területe a háttérinfrastruktúra-rendszerek (IT) belső ellenőrzésének megteremtése. A SOX 404-es szakasza szerint az adatszolgáltatás megbízhatósága alapvető fontosságú. Az informatikai rendszerekben tárolt adatok kezeléséhez kapcsolódóan előtérbe kell helyezni a bizalmasság és a sérthetetlenség elvét. Elsődleges cél az elektronikus csalások, visszaélések és tévedések kiszűrése.
A SOX az üzleti folyamatok ellenőrzésén keresztül az IT-szervezet és működés, IT kommunikáció, kockázatkezelés és IT monitorozás folyamataira is hat. A cégen belül kötelező belső IT kontroll rendszert bevezetni, s azt célszerű minősíttetni. A rendszert folyamatosan ellenőrizni és karbantartani kell. Békési Tamás, a Montana üzletág-igazgatója szerint, bár a nagyvállalatok életében a globálisan növekvő informatikai fenyegetések miatt már jó ideje megjelent a háttér infrastruktúra rendszerek biztonságának kérdésköre, a SOX az első olyan törvény, amely például a beszámolókhoz tartozó elektronikus pénzügyi műveletek, készletek könyvelési adatai, beruházások adatkezelésének vonatkozásában önálló és ellenőrizhető komplex szabályrendszer bevezetését és szigorú folyamatos kontrollját írja elő.
A SOX emellett előtérbe helyezi az informatikai folyamatok teljes dokumentálását és ellenőrzését olyan keresztkontroll rendszerek bevezetésével, amelyek kizárják, hogy ha „valaki csinál valamit a rendszerben”, később önmagát ellenőrizhesse. A gyakorlatban ez olyan egységes IT rendszerek megjelenését vetíti előre, ahol például megoldott az információs rendszerek menedzsmentje (information systems management) kontrolljainak ellenőrzése, a logikai biztonsági eszközök és eljárások megfelelően konfiguráltak, ki van dolgozva a programok, adatok és más információforrások használata és védelme (például: naplózása).
Mint Szendrey Attila és Ralph van Uden, a Deloitte & Touche kockázatkezelési menedzserei elmondták: kiemelt figyelmet kap a különböző kockázatok megjelenése elleni védekezés is, amilyen például az illetéktelen hozzáférés a cég pénzügyi számlázási rendszeréhez vagy a meglévő pénzügyi állományok adatainak jogosulatlan megváltoztatása. Véleményük szerint általánosságban megállapítható, hogy a könyvvizsgálat során már megszokott ellenőrzési módszertanok az informatikai rendszerekben is megjelennek, és beépülnek a vállalatok integrált informatikai folyamataiba.
Napjaink vállalati informatikai rendszerei mindinkább integrálódnak a külvilággal (például a beszállítói cégek informatikai infrastruktúrájával), ezért egyre fontosabb a keletkező elektronikus adatok integritása és megfelelő kontrollja. A SOX 404-es szakasza egy belső ellenőrzési rendszer kialakítását, karbantartását és folyamatos ellenőrzését rendeli el. Ennek szerves része az IT rendszer, melyben bármilyen elektronikus tevékenység, változás nyomon követhetővé és visszakereshetővé válik.
Az európai és a magyar jövő
AJÁNLOTT LINKEK
A PCAOB hivatalos honlapja: http://www.pcaobus.org
Az amerikai tőzsdefelügyelet oldala: http://www.sec.gov/rules/pcaob.shtml
Sarbanes & Oxley részletek: http://www.sarbanes-oxley.com
Az Európai Unió hivatalos jogszabálytervezeteiben csak 8-as direktívának nevezett törvény végső változatát várhatóan 2005. április–májusában fogja elfogadni az EU felelős döntéshozó testülete, hatálybalépése egyes előrejelzések szerint 2006–2008 tájékán várható. Mike Birch és Szabados Szilvia, a PriceWaterhouseCoopers szakértőinek véleménye szerint, ha az európai cégek lobbizása sikerrel jár, az egyelőre tárgyalás alatt álló EU törvény némileg lazább és megengedőbb lesz, mint az amerikai. (A SOX egyébiránt nem a legszigorúbb hatályban lévő szabályozás, ami a könyvvizsgálói függetlenséget illeti, a francia és belga törvények szigorúbb kritériumrendszereket írnak elő a helyi cégek könyvvizsgálói számára.)
Az EU 8-as direktívájának és a kapcsolódó egyéb irányelveknek egyenes ági következménye lehet a hazai tőzsdei cégek és nagyobb gazdasági szervezetek esetében a felelős vállalatirányítás irányelveinek kötelező érvényű hazai implementációja és mindennapi gyakorlatba ültetése. A direktíva hatálya az előrejelzések szerint kezdetben elsősorban a nyilvános vállalkozások (pénzügyi szolgáltatók és tőzsdei cégek) körére fog kiterjedni. Öt–tíz év alatt a közepes és nagyobb európai cégek is várhatóan a felelős vállalatirányítási irányelvek gyakorlati alkalmazóivá válnak.
