2020. augusztus 10.
Az amerikai szabályozók által a múlt héten két nagy horderejű ügyben kiszabott súlyos bírságok újabb példát szolgáltatnak arra, hogyan vezethetnek a hatástalan kontrollok komoly problémákhoz. Az egyik eset a felhőalapú számítástechnikai kockázatok kezelésének hiányosságaiból fakadt, a másik pedig a jó vállalatirányítási gyakorlatok szándékos és látványos elutasításából. Az egyik esetben a belső ellenőrzés a probléma része volt. A másikban az áldozata.
A két ügy közül a legismertebb a Capital One-t érintette, a Virginia állambeli bankholdingot, amely híres a „Mi van a pénztárcádban?” reklámkampányáról. A bankot 80 millió dolláros polgári bírsággal sújtotta az amerikai Comptroller of the Currency Hivatala (OCC) egy 2019-es adatvédelmi incidens miatt, amely több mint 106 millió ügyféladatot tett ki.
Az FBI letartóztatott egy volt Amazon-alkalmazottat az ügy kapcsán, azzal vádolva, hogy 30 másik céget és szervezetet is feltört. Azzal gyanúsítják, hogy létrehozott egy programot, amely felhőszolgáltatások ügyfeleit vizsgálta egy adott webalkalmazás-tűzfal hibás konfigurációja után kutatva az Amazon Web Services rendszerében. Miután a program megtalálta a hibát, a hacker kihasználta azt, hogy adatbázisokból és más webalkalmazásokból hozzáférési adatokat szerezzen. Bár a Capital One egyértelműen a hackertámadás áldozata volt, az OCC határozata szerint a bank súlyos hiányosságokat mutatott az alapvető kockázatértékelési és kontrollfolyamatokban a felhőalapú környezetben.
A Capital One nem alakított ki megfelelő kockázatkezelést a felhőalapú működési környezetre, többek között nem tervezett és nem vezetett be „bizonyos hálózati biztonsági kontrollokat, megfelelő adatvesztés-megelőző kontrollokat és hatékony riasztáskezelést” – áll a határozatban. Még aggasztóbb, hogy a bank belső ellenőrzése „nem azonosította a felhőalapú környezetben meglévő számos kontrollgyengeséget és hiányosságot. A belső ellenőrzés nem jelentette és nem emelte ki megfelelően ezeket az auditbizottság számára.” Sőt, amikor a belső ellenőrzés aggályokat vetett fel, az OCC megállapította, hogy az igazgatóság „nem tett hatékony lépéseket a menedzsment elszámoltathatóságának biztosítására, különösen a belső kontrollok hiányosságainak kezelésében.”
A bank az OCC szerint megkezdte a korrekciós intézkedéseket, és vállalta, hogy erőforrásokat biztosít „a hiányosságok orvoslására”.
A jelentés részletei a kockázatkezelés és az irányítás minden szintjén – az igazgatóságtól a felső vezetésen át a belső ellenőrzésig – fennálló problémákat mutatnak.
A másik ügy a World Acceptance Corp.-ot (WAC) érintette, egy dél-karolinai székhelyű kis összegű fogyasztói hitelezési vállalatot. A céget 21,7 millió dollárra bírságolta az amerikai Értékpapír- és Tőzsdefelügyelet (SEC) a Külföldi Korrupciós Gyakorlatokról szóló törvény (FCPA) megsértése miatt, amelyet mexikói leányvállalata követett el. A SEC határozata szerint a leányvállalat közel hét éven keresztül 4,1 millió dollár kenőpénzt fizetett kormányzati és szakszervezeti tisztviselőknek. Az ügy azonban legalább annyira szólt a gyenge kontrollokról, mint az állítólagos törvénysértésekről.
A mexikói leányvállalat azért fizetett tisztviselőknek, hogy biztosítsa a hiteltörlesztések folyamatos teljesítését. A rendszer részeként közvetítők „nagy táskákkal” utaztak különböző településekre, hogy készpénzt adjanak át tisztviselőknek. A kifizetéseket „jutalékként” könyvelték el, és „nem voltak megfelelő belső számviteli kontrollok a kifizetések észlelésére vagy megelőzésére”.
Az FCPA-sértéseken és a számviteli kontrollok hiányán túl az irányítási problémákat súlyosbította a „WAC vezetésének hangneme, amely nem támogatta a robusztus belső ellenőrzési és megfelelési funkciókat, és aláásta azok eredményességét” – áll a SEC határozatában.
A jelentés szerint 2015 októberében a vezérigazgató elbocsátotta a belső ellenőrzési alelnököt, miután az megfelelési aggályokat vetett fel, beleértve a mexikói leányvállalat számviteli kontrolljainak hiányát. Ezután a vezérigazgató összevonta a belső ellenőrzési és megfelelési funkciókat, és nyomást gyakorolt az új vezetőre, hogy csökkentse a létszámot és „csontvázzá” alakítsa az osztályt. Egy évvel később a vezérigazgató megváltoztatta a jelentési vonalakat az igazgatóságtól a jogi igazgatóhoz. A SEC szerint az új vezetőt hamarosan elbocsátották, mert aggályokat fogalmazott meg a funkciók „nem megfelelő” működésével kapcsolatban.
2017-ben a külső ellenőrök hivatalosan jelentették a pénzügyi beszámolási kontrollok lényeges gyengeségeit, különösen a beszállítói menedzsment és a kifizetési folyamatok tervezési hiányosságait.
A Capital One esetében hiányoztak a kockázatértékelések, a kockázatkezelés, a független kockázatkezelés és a belső kontrollok tesztelése a felhőszolgáltatásoknál. Ráadásul úgy tűnik, a belső ellenőrzés alig nyújtott független bizonyosságot ezen kulcskockázati területen. Az OCC által előírt korrekciós intézkedések között szerepel:
A kiber- és technológiai kockázatértékelés újraértékelése.
A technológiai eszközök és konfigurálható eszközök, szoftverek leltárának teljességének és pontosságának ellenőrzése.
A kiberbiztonsági incidens gyökérok-elemzéséből levont tanulságok beépítése.
A kockázatalapú technológiai ellenőrzési terv felülvizsgálata.
A belső ellenőrzési személyzet szakértelmének és képzési igényeinek értékelése.
Ez a lista nem feltétlenül jelenti azt, hogy mindezek hiányoztak a támadás előtt, de jól mutatja, milyen összetett feladatokat kell ellátnia a belső ellenőrzésnek, amikor egy szervezet adatokat és számítási szolgáltatásokat ad át harmadik félnek.
A WAC esetében a SEC elfogadta a vállalat korrekciós intézkedéseit, amelyek között szerepelt az együttműködés a vizsgálatban, kulcsfontosságú személyek (köztük a vezérigazgató és a jogi igazgató) elbocsátása, valamint a mexikói műveletek megszüntetése.
Bár a két ügy különböző, a tanulság közös: az erős és hatékony belső ellenőrzési funkciók megóvhatják a szervezeteket a bajtól. Ha figyelmen kívül hagyják a belső ellenőrzést, vagy megkerülik, a szabályozók komoly vádakkal és súlyos bírságokkal kopogtatnak.
Mint mindig, várom a hozzászólásaitokat.
Richard Chambers
Forrás: https://www.richardchambers.com/strong-and-effective-internal-audit-is-essential-to-keeping-companies-out-of-trouble/