A mai cikkben a belső kontrollrendszer egy újabb eleméről lesz szó: a monitoringról, vagyis a nyomonkövetési-rendszerről. Ezért került ez is az alappillérek közé, mert a belső kontrollrendszereket folyamatosan nyomon kell követni. Pontosabban: fel kell mérni az egyes rendszerek eredményességét és teljesítményét az adott időintervallumban.
Most pedig menjünk mélyebbre a témában!
Ez egy dinamikus folyamat, amely figyeli és értékeli a szervezet céljait, adottságait, a belső kontrollrendszer elemeit és a külső, valamint belső változásokat. Általában ezekhez igyekeznek alkalmazkodni.
A monitoringrendszerek felépítése eltérő lehet, ám a Nemzetgazdasági Minisztérium útmutatója szerint az alábbiakban megegyeznek:
Köztudott, hogy az elsőszámú vezetőnek minden évben értékelnie kell a szervezet belső kontrollrendszerének működését. Ezt akkor tudja megtenni, ha a monitoringrendszer is rendben van.
Alapvetően két vizsgálati területet különböztetünk meg egymástól. Az egyik a szervezeti teljesítmény, a másik pedig magának a belső kontrollrendszernek a monitoringja, vagyis ellenőrzése.
Az első esetben a vizsgálat a stratégiai célokhoz és azok teljesüléséhez kapcsolható. Ennek során a mérhető és mutatószámokban kifejezett outputokat figyeli és értékeli. Az utóbbi pedig a kontrollrendszer elemeinek a folyamatos figyelése annak érdekében, hogy a vezetőknek bizonyosságot adjon róla, hogy a belső kontrollrendszer hatékonyan és eredményesen működik.
Összességében a monitoringrendszer célja, hogy pontos és megbízható információkkal segítse a vezetést, hogy feltárja a belső kontrollrendszer hiányosságait, problémáit, illetve mérni tudja a rendszer működésének hatékonyságát.
Elengedhetetlen, hogy a szervezeti kultúra támogassa a monitoringot. A vezetők hozzáállása is fontos. Tudatosítani kell a belső kontrollrendszer és a monitoring meglétének és működésének jelentőségét.
Hiszen ahogy a belső kontrollrendszer, úgy a monitoring kialakítása, felügyelete és működtetése is a vezetői szint felelőssége. Az elsőszámú vezető kérhet szakmai segítséget a belső ellenőrtől, aki azonban mindössze tanácsadóként lehet jelen, tehát nincs joga döntést hozni.
A monitoringrendszer minden esetben folyamatalapú, elengedhetetlen hozzá a belső kontrollrendszer megléte, és figyelembe kell vennie az azonosított kockázatokat és a válaszlépéseket. Továbbá fontos meghatározni azokat a kulcskontrollokat, amikre a monitoringnak fókuszálnia kell. Sőt, emellett számos kérdés van még, amelyre a vezetőségnek meg kell találnia a választ ebben a kérdésben.
A monitoringrendszer kialakítása összetett folyamat, ugyanakkor elengedhetetlen a minőségi működés. Ezért ajánlott egy képzett szakemberhez fordulnia, aki javaslataival és tanácsaival segítséget nyújthat a munkában.
Ha már a szervezet rendelkezik a kontrollkörnyezet részeként kialakított indikátorrendszerrel, akkor nagyon lényeges, hogy az indikátorok megvalósulása folyamatosan figyelve, értékelve és felülvizsgálva legyenek. Ennek következménye, hogy ha az adott indikátor a meghatározott értéktől eltér, akkor intézkedni lehet az ok/ok mérséklésére, megszüntetésére.
Tekintettel arra, hogy az első számú vezetőnek évente nyilatkoznia szükséges a belső kontrollrendszerről, célszerű a nyilatkozat alátámasztásához az alsóbb szintű vezetőket is a nyilatkozat pontjairól beszámoltatni. Ma már az ÁSZ is ellenőrzi a nyilatkozatok valóság tartalmát és sok esetben leírásra kerül, hogy a nyilatkozat tartalma nem valós és e miatt az ÁSZ hívott már be vezetőt is jegyzőkönyv felvételére. Ennek elkerülésére az önértékeléstől hasznosabb lehet évente a külső értékelő bevonása.
Ide tartozik még a belső és külső ellenőrzések által feltárt hibák kijavítására készített intézkedési tervek megvalósulásának figyelemmel kísérése is, amelyről szintén évente be kell számolni.
Segítségre van szüksége a monitoringrendszer kialakításához? Netán átnézetné már meglévő nyomonkövetési-rendszerét? Külső értékelésre van szüksége?
Mit jelent a kockázat?
Hogyan kapcsolódik a szervezet céljaihoz?
Miként hiúsítja meg azokat?
Ezekre a kérdésekre adtam meg a választ az „Ezekre a kockázatokra mindenképp figyeljen!” [ide majd linkeld be a cikket] című cikkemben. Most pedig továbbmegyünk ebben a témában és újabb kérdésköröket járunk körbe.
Ezek a következők:
A folyamattérképet és a folyamatok listáját kell a kockázati univerzumnak tekinteni. Ez lesz az egész kockázatkezelés alapja. Ám ha a vezetők úgy vélik, hogy a folyamatok listája nem teljes vagy nem fedi le az egész szervezetet, akkor egyesével kell meghatározni a kockázati univerzum elemeit.
Ehhez meg kell határozni a főfolyamatot, részfolyamatot, a kapcsolódó szervezeti célkitűzéseket és a szervezeti egységeket és ki kell jelölni a folyamatgazdákat.
Hogyan azonosíthatók a kockázatok? [H2 kiemelés]
A kockázatokat a szervezeti célokhoz, az egyes folyamatokhoz kapcsolódóan kell azonosítani – mégpedig a szervezet egészére levetítve. Először az eredendő kockázatok kell feltárni a folyamattérkép, illetve a folyamatlisták alapján. Persze fontos felismerni a szervezet egészét érintő kockázatokat is.
A kérdés már csak az: hogyan?
A legegyszerűbb módszer az úgynevezett brainstormingok vagy kiscsoportos megbeszélések szervezése. Legyen jelen minden szakterület képviselője, a vezetők, az elsőszámú vezető, valamint azok a munkatársak, akiket csak közvetve érint az adott folyamat. Az eredmény így nagyobb valószínűséggel lesz közérthető és megbízható.
A résztevőknél elengedhetetlen, hogy ismerjék a saját szakterületüket, más területekre is legyen rálátásuk, törekedjenek a kompromisszumokra, képesek legyenek kreatívan gondolkodni, rendelkezzenek széles látókörrel.
A megbeszélés részleteit mindig dokumentálni kell!
Nézzék végig a különböző típusú kockázatokat a könnyebb azonosítás érdekében. Beszélhetünk integritási, pénzügyi, stratégiai, működési, biztonsági, információs, kommunikációs, külső, belső, humán erőforrás kockázatokról stb.
Kritikus pont szokott lenni a kockázatok megfelelő megfogalmazása – ugyanúgy, mint a célok, a célkitűzés esetén. Meg kell adni a kiváltó okot, a hatást, illetve hogyan befolyásolja mindez a szerv céljainak megvalósulását.
Ha nem megfelelően fogalmazzák meg a kockázatokat, akkor mások számára nem lesz értelmezhető, nem lehet visszavezetni a kockázati tényezőkre és nem lehet hatékonyan kezelni, megelőzni az újabb kialakulását.
Először mindig egy adott célból kell kiindulni, utána megfogalmazni a kockázat leírását. Mutatok három példát.
Cél: a keletkező ügyek intézésének jogi támogatása.
Kockázat (rossz): az ügyeknél a jogszabályok feltüntetése és a jogi ellenjegyzés elmarad (ez hibás, mert nem a célt szolgálja, hanem annak ellentéte).
Kockázat (jó): a nem megfelelő jogforrás használata.
Cél: Munkavédelmi bejárás (veszélyforrások felkutatása), annak dokumentálása, a bérbeadó tájékoztatása.
Kockázat (rossz): elmarad a munkavédelmi bejárás.
Kockázat (jó): felderítetlen veszélyforrás marad.
Cél: az iratok egynapos határidőben történő szignálása.
Kockázat (rossz): elmarad a szignálás.
Kockázat (jó): egyéb elfoglaltság miatt késve történik.
Megtörtént a kockázatok feltárása és leírása?
Akkor most már nekiláthat az Integrált Kockázati Leltár elkészítésének.
Ide kell felvezetni a beazonosított kockázatokat a következők szerint: kockázati esemény, vonatkozó kockázati tényezők, veszélyeztetett szervezeti célkitűzések, érintett folyamatok, folyamatgazda, integrált kockázatot vagy korrupciós kockázatot hordoz-e, Integrált Kockázatkezelési Intézkedési terv.
Ezután történik a kockázati tényezők meghatározása és kiértékelésére. Erről a következő bejegyzésemben írok.
Ön, mint elsőszámú vezető, tudja, mi a kockázat?
Valószínűleg igen.
A jövőben valamilyen valószínűséggel bekövetkező esemény, ami bizonyos mértékben negatív vagy pozitív irányban befolyásolja a szervezeti célok elérését. A negatív negatív hatás, szélsőséges esetben, amelynek akár katasztrófa is lehet a vége, a szervezet által kitűzött célok meghiúsulását vonhatja maga után.
A legnagyobb kockázat azonban a megbízó elégedetlensége.
Ez a valódi kudarc az érintett szerv és persze az elsőszámú vezető számára. Ezért olyan fontos a megfelelő kockázatmenedzsment biztosítása a szervezeten belül.
Ugyanis a kockázatok talán véletlenszerűen ütik fel a fejüket, de ha a szervezet előzetesen felkészül a tipikusnak mondható, tapasztalatok alapján meghatározható kockázatokra, akkor már nem érinti olyan váratlanul a vezetőséget. Az éberség és a felkészültség lehetővé teszi a gyors intézkedést, illetve a negatív hatások minőségének és mennyiségének csökkentését.
A belső kontrollrendszer öt elemét már biztosan jól ismeri: kontrollkörnyezet, kockázatkezelés, kontrolltevékenység, információ és kommunikáció, valamint monitoring. Ezek egymás mellett, egymást kiegészítve helyezkednek el, ugyanis egymással szoros kapcsolatban és kölcsönhatásban vannak.
A kockázat mindig kapcsolatban van a szervezet céljaival. Vagyis: ha nincsenek jól meghatározva, világosan kitűzve a célok, akkor a kockázatok felmérése sem lehetséges.
Amint felüti a fejét egy kockázat, mindig érdemes visszavezetni a kiváltó okra, vagyis a kockázati tényezőre. Ugyanis több kockázati tényező akár egymást is erősítheti, így a kockázatok kialakulására is nagyobb az esély.
Arról nem beszélve, hogy ha nem tárják fel a kockázati tényezőket, akkor nem fogják tudni megfelelően értékelni. Miért baj ez? Mert ebben óriási tapasztalat rejlik a jövőre, a jövőbeli kockázatokra nézve.
A jogszabályoknak és belső szabályzatoknak a nem megfelelő működése például egy kiemelt kockázat. Ez a következő okokra vezethető vissza: az SZMSZ nem tartalmazza az első számú vezető belső kontrollrendszer kialakításával, működtetésével és fejlesztésével kapcsolatos felelősségét, a belső szabályzat a jogszabályváltozást követően nem kerül módosításra, az adott személy munkaköri leírásában nem jelenik meg a folyamatgazdai feladat ellátása.
Kockázat továbbá például a kontrollok kialakításának hiánya. Ennek oka lehetnek: a kötelezettségvállalási jogkör értékhatárainak kialakítása bonyolult és átláthatalan, nem állapítható meg az ellenjegyzés időpontja, távozó munkatárs esetén a feladatok tételes és írásos átadása nem valósul meg (feladatok végezetlenül maradnak) és/vagy az informatikai rendszerekhez történő jogosultság törlése elmarad (utalhat saját bankszámlaszámra).
A szervezet minden tevékenysége magában hordozza a kockázatot. Éppen ezért szükséges a kockázati tűréshatár meghatározása is. Vagyis: mi az a pont, amelyet átlépve a szervezet felsővezetése mindenképp intézkedni akar a kockázat miatt.
Az egyes kockázati tényezők szervezeti és folyamatszintű tűréshatárát az elsőszámú vezető egyrészt a tapasztalatok alapján, másrészt a kockázatok feltárása, azonosítása, összegyűjtése és felmérése során szerzett információk alapján határozza meg. Továbbá az ő feladata a tűréshatárt meghaladó, különböző súlyú kockázatoknak a kezelési módját is leírni.
A tűréshatár meghatározására hatással lehet a szervezeti kultúra, a rendelkezésre álló erőforrások, a különböző jogszabályok és a szervezet technikai lehetőségei.
A külső kockázatok között említhetjük a konkurencia magatartását, a szervezet külső környezetét, illetve az egyre nehezebben követhető jogszabályok alakulását. Továbbá ide tartozik a politikai célok irányváltása; például a költségvetési szerv működésének finanszírozási rendszere úgy változik meg, hogy az intézmény kevesebb állami támogatásban részesül.
De említhetném a jogszabályok módosulásait is. Mondjuk, amikor jogszabályváltozással egy költségvetési szervet vagy egy szervezeti egységet megszüntetnek úgy, hogy a feladata a jogszabályváltozás miatt megszűnik.
A belső fenyegetettségek közé tartozik a munkaerő, a vezetőség alkalmasságának kérdése, a pénzügyi kockázatok, az erőforrásokban rejlő kockázatok vagy a belső kontrollrendszer nem megfelelő kialakítása és működtetése stb. Ez utóbbi esetben például van integrált kockázatkezelési szabályzat, azonban az abban foglaltak megvalósítása, vagyis maga a kockázatelemzés elmarad.
Itt említhetjük még azt, amikor a munkavégzést nem egyértelmű szabályzatokkal és folyamatleírásokkal szabályozzák. Például külsősök alkalmazásával kapcsolatban két utasítás is hatályban van, amelyekben az alkalmazható óradíjak ugyanarra az esetre különböző összeggel szerepelnek.
Vagy nem kerül biztosításra a feladatellátáshoz szükséges számú és megfelelő képesítéssel, kompetenciával rendelkező személy. A belső kontrollrendszer kiépítésére (ellenőrzési nyomvonal, integrált kockázatkezelési rendszer) nem alkalmaznak Okleveles Európai Belső Pénzügyi Kontroll Felmérő (CEUIFCA) oklevéllel rendelkező személyt.
Ez indokolja a következő kijelentésemet: figyelem, fegyelem, naprakészség, szervezettség és hatékony belső ellenőrzés nélkül nem lehet eredményes a szervezet – hosszú távon. Mindig vannak rések és apró sérülések, de ezek minősége és mennyisége egyáltalán nem mindegy.
És hadd jegyezzem még meg: az ellenőrzések elsődleges célja a rendszer fejlesztése. Ezért szoktam azt mondani, hogy a belső ellenőr barát és nem ellenség, ahogy a legtöbb első számú vezető gondolja.