A mai cikkben a belső kontrollrendszer egy újabb eleméről lesz szó: a monitoringról, vagyis a nyomonkövetési-rendszerről. Ezért került ez is az alappillérek közé, mert a belső kontrollrendszereket folyamatosan nyomon kell követni. Pontosabban: fel kell mérni az egyes rendszerek eredményességét és teljesítményét az adott időintervallumban.

Most pedig menjünk mélyebbre a témában!

Mit jelent a nyomonkövetés vagy monitoring?

Ez egy dinamikus folyamat, amely figyeli és értékeli a szervezet céljait, adottságait, a belső kontrollrendszer elemeit és a külső, valamint belső változásokat. Általában ezekhez igyekeznek alkalmazkodni.

A monitoringrendszerek felépítése eltérő lehet, ám a Nemzetgazdasági Minisztérium útmutatója szerint az alábbiakban megegyeznek:

Köztudott, hogy az elsőszámú vezetőnek minden évben értékelnie kell a szervezet belső kontrollrendszerének működését. Ezt akkor tudja megtenni, ha a monitoringrendszer is rendben van.

A monitoringrendszer két fajtája

Alapvetően két vizsgálati területet különböztetünk meg egymástól. Az egyik a szervezeti teljesítmény, a másik pedig magának a belső kontrollrendszernek a monitoringja, vagyis ellenőrzése.

Az első esetben a vizsgálat a stratégiai célokhoz és azok teljesüléséhez kapcsolható. Ennek során a mérhető és mutatószámokban kifejezett outputokat figyeli és értékeli. Az utóbbi pedig a kontrollrendszer elemeinek a folyamatos figyelése annak érdekében, hogy a vezetőknek bizonyosságot adjon róla, hogy a belső kontrollrendszer hatékonyan és eredményesen működik.

Összességében a monitoringrendszer célja, hogy pontos és megbízható információkkal segítse a vezetést, hogy feltárja a belső kontrollrendszer hiányosságait, problémáit, illetve mérni tudja a rendszer működésének hatékonyságát.

Mi a monitoringrendszer alapja?

Elengedhetetlen, hogy a szervezeti kultúra támogassa a monitoringot. A vezetők hozzáállása is fontos. Tudatosítani kell a belső kontrollrendszer és a monitoring meglétének és működésének jelentőségét.

Hiszen ahogy a belső kontrollrendszer, úgy a monitoring kialakítása, felügyelete és működtetése is a vezetői szint felelőssége. Az elsőszámú vezető kérhet szakmai segítséget a belső ellenőrtől, aki azonban mindössze tanácsadóként lehet jelen, tehát nincs joga döntést hozni.

A monitoringrendszer minden esetben folyamatalapú, elengedhetetlen hozzá a belső kontrollrendszer megléte, és figyelembe kell vennie az azonosított kockázatokat és a válaszlépéseket. Továbbá fontos meghatározni azokat a kulcskontrollokat, amikre a monitoringnak fókuszálnia kell. Sőt, emellett számos kérdés van még, amelyre a vezetőségnek meg kell találnia a választ ebben a kérdésben.

A monitoringrendszer kialakítása összetett folyamat, ugyanakkor elengedhetetlen a minőségi működés. Ezért ajánlott egy képzett szakemberhez fordulnia, aki javaslataival és tanácsaival segítséget nyújthat a munkában.

Mit jelent a hatékonyság a monitoring esetén?

Ha már a szervezet rendelkezik a kontrollkörnyezet részeként kialakított indikátorrendszerrel, akkor nagyon lényeges, hogy az indikátorok megvalósulása folyamatosan figyelve, értékelve és felülvizsgálva legyenek. Ennek következménye, hogy ha az adott indikátor a meghatározott értéktől eltér, akkor intézkedni lehet az ok/ok mérséklésére, megszüntetésére.

Tekintettel arra, hogy az első számú vezetőnek évente nyilatkoznia szükséges a belső kontrollrendszerről, célszerű a nyilatkozat alátámasztásához az alsóbb szintű vezetőket is a nyilatkozat pontjairól beszámoltatni. Ma már az ÁSZ is ellenőrzi a nyilatkozatok valóság tartalmát és sok esetben leírásra kerül, hogy a nyilatkozat tartalma nem valós és e miatt az ÁSZ hívott már be vezetőt is jegyzőkönyv felvételére. Ennek elkerülésére az önértékeléstől hasznosabb lehet évente a külső értékelő bevonása.

Ide tartozik még a belső és külső ellenőrzések által feltárt hibák kijavítására készített intézkedési tervek megvalósulásának figyelemmel kísérése is, amelyről szintén évente be kell számolni.

Segítségre van szüksége a monitoringrendszer kialakításához? Netán átnézetné már meglévő nyomonkövetési-rendszerét? Külső értékelésre van szüksége?

Mit jelent a kockázat?
Hogyan kapcsolódik a szervezet céljaihoz?
Miként hiúsítja meg azokat?

Ezekre a kérdésekre adtam meg a választ az „Ezekre a kockázatokra mindenképp figyeljen!” [ide majd linkeld be a cikket] című cikkemben. Most pedig továbbmegyünk ebben a témában és újabb kérdésköröket járunk körbe.

Ezek a következők:

Mi a kockázati univerzum?

A folyamattérképet és a folyamatok listáját kell a kockázati univerzumnak tekinteni. Ez lesz az egész kockázatkezelés alapja. Ám ha a vezetők úgy vélik, hogy a folyamatok listája nem teljes vagy nem fedi le az egész szervezetet, akkor egyesével kell meghatározni a kockázati univerzum elemeit.

Ehhez meg kell határozni a főfolyamatot, részfolyamatot, a kapcsolódó szervezeti célkitűzéseket és a szervezeti egységeket és ki kell jelölni a folyamatgazdákat.

Hogyan azonosíthatók a kockázatok? [H2 kiemelés]

A kockázatokat a szervezeti célokhoz, az egyes folyamatokhoz kapcsolódóan kell azonosítani – mégpedig a szervezet egészére levetítve. Először az eredendő kockázatok kell feltárni a folyamattérkép, illetve a folyamatlisták alapján. Persze fontos felismerni a szervezet egészét érintő kockázatokat is.

A kérdés már csak az: hogyan?

A legegyszerűbb módszer az úgynevezett brainstormingok vagy kiscsoportos megbeszélések szervezése. Legyen jelen minden szakterület képviselője, a vezetők, az elsőszámú vezető, valamint azok a munkatársak, akiket csak közvetve érint az adott folyamat. Az eredmény így nagyobb valószínűséggel lesz közérthető és megbízható.

A résztevőknél elengedhetetlen, hogy ismerjék a saját szakterületüket, más területekre is legyen rálátásuk, törekedjenek a kompromisszumokra, képesek legyenek kreatívan gondolkodni, rendelkezzenek széles látókörrel.

A megbeszélés részleteit mindig dokumentálni kell!

Segítség a kockázatok feltárásához

Nézzék végig a különböző típusú kockázatokat a könnyebb azonosítás érdekében. Beszélhetünk integritási, pénzügyi, stratégiai, működési, biztonsági, információs, kommunikációs, külső, belső, humán erőforrás kockázatokról stb.

Kritikus pont szokott lenni a kockázatok megfelelő megfogalmazása – ugyanúgy, mint a célok, a célkitűzés esetén. Meg kell adni a kiváltó okot, a hatást, illetve hogyan befolyásolja mindez a szerv céljainak megvalósulását.

Ha nem megfelelően fogalmazzák meg a kockázatokat, akkor mások számára nem lesz értelmezhető, nem lehet visszavezetni a kockázati tényezőkre és nem lehet hatékonyan kezelni, megelőzni az újabb kialakulását.

A kockázatok jó és rossz megfogalmazása

Először mindig egy adott célból kell kiindulni, utána megfogalmazni a kockázat leírását. Mutatok három példát.

Cél: a keletkező ügyek intézésének jogi támogatása.

Kockázat (rossz): az ügyeknél a jogszabályok feltüntetése és a jogi ellenjegyzés elmarad (ez hibás, mert nem a célt szolgálja, hanem annak ellentéte).

Kockázat (jó): a nem megfelelő jogforrás használata.

Cél: Munkavédelmi bejárás (veszélyforrások felkutatása), annak dokumentálása, a bérbeadó tájékoztatása.

Kockázat (rossz): elmarad a munkavédelmi bejárás.

Kockázat (jó): felderítetlen veszélyforrás marad.

Cél: az iratok egynapos határidőben történő szignálása.

Kockázat (rossz): elmarad a szignálás.

Kockázat (jó): egyéb elfoglaltság miatt késve történik.

Így készítse el az Integrált Kockázati Leltárt

Megtörtént a kockázatok feltárása és leírása?

Akkor most már nekiláthat az Integrált Kockázati Leltár elkészítésének.

Ide kell felvezetni a beazonosított kockázatokat a következők szerint: kockázati esemény, vonatkozó kockázati tényezők, veszélyeztetett szervezeti célkitűzések, érintett folyamatok, folyamatgazda, integrált kockázatot vagy korrupciós kockázatot hordoz-e, Integrált Kockázatkezelési Intézkedési terv.

Ezután történik a kockázati tényezők meghatározása és kiértékelésére. Erről a következő bejegyzésemben írok.

Ön, mint elsőszámú vezető, tudja, mi a kockázat?
Valószínűleg igen.

A jövőben valamilyen valószínűséggel bekövetkező esemény, ami bizonyos mértékben negatív vagy pozitív irányban befolyásolja a szervezeti célok elérését. A negatív negatív hatás, szélsőséges esetben, amelynek akár katasztrófa is lehet a vége, a szervezet által kitűzött célok meghiúsulását vonhatja maga után.

A legnagyobb kockázat azonban a megbízó elégedetlensége.

Ez a valódi kudarc az érintett szerv és persze az elsőszámú vezető számára. Ezért olyan fontos a megfelelő kockázatmenedzsment biztosítása a szervezeten belül.

Ugyanis a kockázatok talán véletlenszerűen ütik fel a fejüket, de ha a szervezet előzetesen felkészül a tipikusnak mondható, tapasztalatok alapján meghatározható kockázatokra, akkor már nem érinti olyan váratlanul a vezetőséget. Az éberség és a felkészültség lehetővé teszi a gyors intézkedést, illetve a negatív hatások minőségének és mennyiségének csökkentését.

Mit kell még tudni a kockázatokról?

A belső kontrollrendszer öt elemét már biztosan jól ismeri: kontrollkörnyezet, kockázatkezelés, kontrolltevékenység, információ és kommunikáció, valamint monitoring. Ezek egymás mellett, egymást kiegészítve helyezkednek el, ugyanis egymással szoros kapcsolatban és kölcsönhatásban vannak.

A kockázat mindig kapcsolatban van a szervezet céljaival. Vagyis: ha nincsenek jól meghatározva, világosan kitűzve a célok, akkor a kockázatok felmérése sem lehetséges.

Amint felüti a fejét egy kockázat, mindig érdemes visszavezetni a kiváltó okra, vagyis a kockázati tényezőre. Ugyanis több kockázati tényező akár egymást is erősítheti, így a kockázatok kialakulására is nagyobb az esély.

Arról nem beszélve, hogy ha nem tárják fel a kockázati tényezőket, akkor nem fogják tudni megfelelően értékelni. Miért baj ez? Mert ebben óriási tapasztalat rejlik a jövőre, a jövőbeli kockázatokra nézve.

Néhány egyszerű példa a kockázatokra

A jogszabályoknak és belső szabályzatoknak a nem megfelelő működése például egy kiemelt kockázat. Ez a következő okokra vezethető vissza: az SZMSZ nem tartalmazza az első számú vezető belső kontrollrendszer kialakításával, működtetésével és fejlesztésével kapcsolatos felelősségét, a belső szabályzat a jogszabályváltozást követően nem kerül módosításra, az adott személy munkaköri leírásában nem jelenik meg a folyamatgazdai feladat ellátása.

Kockázat továbbá például a kontrollok kialakításának hiánya. Ennek oka lehetnek: a kötelezettségvállalási jogkör értékhatárainak kialakítása bonyolult és átláthatalan, nem állapítható meg az ellenjegyzés időpontja, távozó munkatárs esetén a feladatok tételes és írásos átadása nem valósul meg (feladatok végezetlenül maradnak) és/vagy az informatikai rendszerekhez történő jogosultság törlése elmarad (utalhat saját bankszámlaszámra).

Mi a kockázati tűréshatár?

A szervezet minden tevékenysége magában hordozza a kockázatot. Éppen ezért szükséges a kockázati tűréshatár meghatározása is. Vagyis: mi az a pont, amelyet átlépve a szervezet felsővezetése mindenképp intézkedni akar a kockázat miatt.

Az egyes kockázati tényezők szervezeti és folyamatszintű tűréshatárát az elsőszámú vezető egyrészt a tapasztalatok alapján, másrészt a kockázatok feltárása, azonosítása, összegyűjtése és felmérése során szerzett információk alapján határozza meg. Továbbá az ő feladata a tűréshatárt meghaladó, különböző súlyú kockázatoknak a kezelési módját is leírni.

A tűréshatár meghatározására hatással lehet a szervezeti kultúra, a rendelkezésre álló erőforrások, a különböző jogszabályok és a szervezet technikai lehetőségei.

Kockázatok a szervezeten belül és kívül

A külső kockázatok között említhetjük a konkurencia magatartását, a szervezet külső környezetét, illetve az egyre nehezebben követhető jogszabályok alakulását. Továbbá ide tartozik a politikai célok irányváltása; például a költségvetési szerv működésének finanszírozási rendszere úgy változik meg, hogy az intézmény kevesebb állami támogatásban részesül.

De említhetném a jogszabályok módosulásait is. Mondjuk, amikor jogszabályváltozással egy költségvetési szervet vagy egy szervezeti egységet megszüntetnek úgy, hogy a feladata a jogszabályváltozás miatt megszűnik.

A belső fenyegetettségek közé tartozik a munkaerő, a vezetőség alkalmasságának kérdése, a pénzügyi kockázatok, az erőforrásokban rejlő kockázatok vagy a belső kontrollrendszer nem megfelelő kialakítása és működtetése stb. Ez utóbbi esetben például van integrált kockázatkezelési szabályzat, azonban az abban foglaltak megvalósítása, vagyis maga a kockázatelemzés elmarad.

Itt említhetjük még azt, amikor a munkavégzést nem egyértelmű szabályzatokkal és folyamatleírásokkal szabályozzák. Például külsősök alkalmazásával kapcsolatban két utasítás is hatályban van, amelyekben az alkalmazható óradíjak ugyanarra az esetre különböző összeggel szerepelnek.

Vagy nem kerül biztosításra a feladatellátáshoz szükséges számú és megfelelő képesítéssel, kompetenciával rendelkező személy. A belső kontrollrendszer kiépítésére (ellenőrzési nyomvonal, integrált kockázatkezelési rendszer) nem alkalmaznak Okleveles Európai Belső Pénzügyi Kontroll Felmérő (CEUIFCA) oklevéllel rendelkező személyt.

Az elsődleges cél: a rendszer fejlesztése

Ez indokolja a következő kijelentésemet: figyelem, fegyelem, naprakészség, szervezettség és hatékony belső ellenőrzés nélkül nem lehet eredményes a szervezet – hosszú távon. Mindig vannak rések és apró sérülések, de ezek minősége és mennyisége egyáltalán nem mindegy.

És hadd jegyezzem még meg: az ellenőrzések elsődleges célja a rendszer fejlesztése. Ezért szoktam azt mondani, hogy a belső ellenőr barát és nem ellenség, ahogy a legtöbb első számú vezető gondolja.

Referenciák
Copyright © 2021 Minden jog védve
cross