Kérheti a könyvvizsgáló a NAV felhasználónevem és jelszavam?

Megosztás Tetszik

Az egyik cégem könyvvizsgálója azzal a kéréssel fordult hozzám, hogy adjam meg részére a NAV felhasználói nevem, a NAV jelszavam, és az XML-aláírókulcsot, mert neki ez a könyvvizsgálathoz szükséges. Önök szerint jogos ez a kérés? Szerintem nem, mert a felhasználói név és a jelszó birtokában nem csak az általa könyvvizsgált cég adatait látná – írta olvasónk. Dr. Kéri Ádám ügyvéd, compliance szakértő válaszolt az Adózóna oldalán érkezett kérdésre.

SZAKÉRTŐNK VÁLASZA

Jogos a kérdés, és nem is olyan egyszerű. Mit jelent a NAV felhasználónév és jelszó?

• KÜNY? Ez egy magánszemély személyes ügyintézési felülete.
• Cégkapu? Lehet másodlagos felhasználót regisztrálni, de én nehezen tudom elképzelni, hogy az a beszámoló szempontjából releváns lenne.
• ÜPO? Ez is furcsa lenne, nem gondolom, hogy releváns.
• NAV-OSA hozzáférés? Ez a legvalószínűbb, ezt a könyvvizsgálók nagy része bekéri. Egy technikai felhasználón keresztül kommunikál a könyvvizsgáló szoftvere a NAV-OSA szerverével. De ez nem jelent egyéb adatokhoz való hozzáférést, ez egy elég jól korlátozott jogosultság.

Egyszerűbb onnan megfogni ezt a kérdést, hogy mit kérhet a könyvvizsgáló és miért.

A könyvvizsgálót a nemzetközi számviteli standardok kötik, aszerint kell eljárnia a könyvvizsgálat során. A szerződésnek lényeges eleme, hogy ismertetni kell a vezetés (ügyfél) felelősségét. Eszerint minden információt, személyt, egyéb adatot és információt rendelkezésére kell bocsátania, amit a könyvvizsgáló relevánsnak tart a beszámoló könyvvizsgálatának szempontjából. Azaz bármit kérhet.

Idesorolható a NAV-OSA vagy az OPTG adatcsomag. Azaz ha a könyvvizsgáló úgy ítéli meg, hogy hozzáférésre van szüksége azért, hogy az árbevétel-egyeztetést a leghatékonyabb módon végezze el, és ehhez a NAV-OSA vagy OPTG lekérdezést kívánja használni, akkor kérhet technikai felhasználót az ügyféltől. Ez is opció a könyvvizsgáló részéről. Olyan módszert alkalmaz, ami számára hatékony. És fontos kiemelni azt is, hogy a beszámoló könyvvizsgálatának célja a bizonyítékgyűjtés arra vonatkozóan, hogy a beszámoló nem tartalmaz lényeges hibás állítást. Nos, ez is egy bizonyíték.

A technikaifelhasználó-használat nem jelenti azt, hogy a könyvvizsgáló egyéb ügyféladatokat is lát. Véleményem szerint csupán a számla letöltési vagy feltöltési jogra korlátozódik hozzáférés. A könyvvizsgáló egyébként jellemzően csak az olvasási jogot kéri beállítani. A technikai felhasználóhoz tartozó sok azonosító adat közül az XML-cserekulcs jelent írási jogot. A könyvvizsgálók számára kiadott ajánlás itt érhető el.

Az sem kifogásolható, ha a technikai felhasználó adatait nem küldi el az ügyfél a könyvvizsgálónak, hanem beállítja közvetlenül a könyvvizsgáló által megadott felületen. A hozzáférés a lényeg.

A lényeg az, hogy a fentiek a könyvvizsgálók gyakorlatát jelenti.

Mélyebb elemzést igényelne, hogy a GDPR szabályaihoz a fentiek hogyan igazodnak, mindenesetre a gyakorlat fennáll, és az adatokat a könyvvizsgálónak látnia is kell.