Menu
Menu
Úgy érzem, még többet és többet kell beszélnem a belső kontrollrendszer fontosságáról. Ugyanis azt látom, hogy a kiépítésének biztosítása hiába lenne az első számú vezető feladata, sok esetben nem vagy rosszul valósul meg.
Ennek oka, hogy általában háttérbe szorul a fontosabbnak vélt feladatok között…
Holott a belső kontrollrendszer kiépítése számtalan előnyhöz juttatja az intézményt. Arról nem beszélve, hogy meglétét kéri az ÁSZ, a Magyar Államkincstár, a belső ellenőr, a Kormányzati Ellenőrzési Hivatal is (vagy bárki, aki ellenőrzést végez a szervezetnél).
Ezért döntöttem úgy, hogy ebben a cikkemben összefoglalok mindent, amit a belső kontrollrendszerről tudnia kell. Így teljes körű képet kaphat a témában.
Az Államháztartási Szabályozás szerint a belső kontrollrendszer lényege, „hogy a szervezetirányítás elválaszthatatlan eszközeként, magában foglalja mindazon szabályokat, eljárásokat, gyakorlati módszereket és szervezeti struktúrákat, amelyeket arra a célra terveztek, hogy segítséget nyújtson a vezetésnek a céljai eléréséhez.”
Előnyei közé tartozik, hogy a szervezet nyereségesen működjön, ne folyjon el a pénz, hatékonnyá váljon a kommunikáció, megvalósuljon a célkitűzés, időben észrevegyék a hibákat, illetve csökkentsék a számukat. Sőt, a segítségével az is feltárható, mi akadályozza a szervezetet abban, hogy elérje a célját.
A belső kontrollrendszer meglétének további pozitív eredményeiről a „Milyen előnyökhöz juttatja a szervezetet egy belső kontrollrendszer?” című cikkemben írtam. Sőt, ha érdeklik a leggyakrabban jelentkező hibák, akkor olvassa el a „3 gyakori probléma, amely úgyis kiderül a belső ellenőrzés során” című cikkemet is.
Menjünk tovább!
Számtalanszor elmondtam már, de a jövőben is fogom ismételni magamat: a belső ellenőr nem ellenség, hanem barát. Az első számú vezető bátran fordulhat hozzá segítségért, ha a belső kontrollrendszer kiépítéséről van szó, hiszen tanácsadó tevékenységet is végez.
De vajon mit várhat el a vezető a belső ellenőrtől? Milyen munkákat végezhet el? Mit jelent a belső ellenőr hitelessége? Ezekre a kérdésekre adom meg a választ a „Meddig tart a belső ellenőr felelőssége? Mit várhat el a vezető?” című bejegyzésemben.
Épp belső ellenőrt keres? Segítek! Két tartalmat is készítettem ebben a témában, amelyekben leírom, hogyan dolgozom és milyen szakmai háttér áll mögöttem. A címük: „Hogyan dolgozom belső ellenőrként?” és a „Miért bízza rám szervezetét, ha belső ellenőrt keres?”.
Még egy fontos téma…
Több olyan eset és helyzet áll mögöttem, amelyek folyamatosan vissza-visszatértek a munkáim során. Ezeket egy csokorba gyűjtöttem és meg is osztottam az „5 tévhit a belső ellenőrről – Talán ön is így hiszi!” című bejegyzésemben.
Azért tartom fontosnak, hogy beszéljünk a tévhitekről, mert szeretném egyesével ledöntögetni őket. Íme az az öt, amelyeket a saját tapasztalataim ihlettek. Bővebben róluk a fent említett cikkben olvashat.
1. A belső ellenőr nem csinál semmit.
2. Rá lehet tolni az apró feladatok.
3. Operatív feladatokat is ellát.
4. A belső ellenőr megcsinálja a hiányosságokat.
5. Elkészíti az intézkedési tervet.
A belső kontrollrendszernek összesen 5 eleme van. Ezek a következők: kontrollkörnyezet, integrált kockázatkezelési rendszer, információs és kommunikációs rendszer, kontrolltevékenységek és a nyomonkövetési rendszer, vagyis a monitoring.
Mindegyik elemnek vannak tipikusnak mondható hibái. Ezekről bővebben erre a linkre kattintva olvashat. – EZEK A BELSŐ KONTROLLRENDSZER TIPIKUS HIBÁI Talán néhányat már ön is tapasztalt közülük!
Ahhoz, hogy egy szervezet hatékonyan működhessen, elengedhetetlen a célkitűzés. Az első számú vezető feladata, hogy az alapító okiratnak megfelelően készítse el a stratégiai tervet, amelyben kitér a haladási irányra és természetesen a célokra is.
Mikor jó a stratégiai terv?
Mi a hatékony célkitűzés alapja?
Mi a különbség a rosszul és a jól megfogalmazott célok között?
Ezeket bővebben „A célkitűzés fontossága egy költségvetési szervnél” című írásomban részletezem. Ismertetem továbbá, hogyan kellene átadni a célokat a munkatársaknak és hogy miért van szükség mutatószámokra a célkitűzésben.
A célok mellett persze számtalan dolog van még, amiről beszélni érdemes. Kiemelném például a kockázatokat, amelyekről négy cikket is publikáltam már a weboldalon.
„Kockázatkezelési stratégiák és azok használata”
„Hogyan lehet azonosítani a kockázatokat?”
„Ezekre a kockázatokra mindenképp figyeljen!”
„A csúf igazság a kockázatkezelésről”
Beszélni a kommunikációról alapvető és nélkülözhetetlen. Nem véletlenül ez az egyik eleme a belső kontrollrendszernek. Egyetlen szervezet sem képes működni enélkül, hiszen minden megnyilvánulás során információcsere zajlik.
Ha szeretne bővebb tudással rendelkezni a megbízható kommunikációról, amely hozzásegíti szervezetét a hatékony és eredményes működéshez, akkor kattintson IDE és olvassa el a cikket.
A leggyakoribb kommunikációs hibák a szervezet belük:
Ezekről részletesen a „Megmutatom a 3 leggyakoribb kommunikációs hibát a szervezetében” című írásomban beszélek. Szintén rendkívül érdekes és elgondolkodtató bejegyzés, ajánlom elolvasásra minden első számú vezetőnek.
Ebben a témában három alapvető kérdés tisztázása szükséges. Az egyik, hogy mi egyáltalán az integritás, a másik, hogy miért van rá szükség a belső kontrollrendszer részeként, a harmadik pedig, hogy mi az Állami Számvevőszék szerepe ebben a tekintetben.
Az integritás fogalmát nehéz néhány szóban átadni, ezért javaslom, hogy nézze meg „Az integritás fejlesztése a szervezet belül” című anyagomat, hogy teljes képet kaphasson. Tovább boncolgatom a témát a cikksorozat második részében, amely ERRE A LINKRE kattintva érhető el. – AZ INTEGRITÁS FEJLESZTÉSE A SZERVEZETEN BELŐL II. RÉSZ
Ezzel a címmel egy komplett bejegyzés készült az oldalra, ahol részletesen kifejtem a kérdésre adott választ. A monitoring vagyis a nyomonkövetési-rendszer lényege: fel kell mérni az egyes rendszerek eredményességét és teljesítményét. Olvassa el a teljes bejegyzést itt! – MIÉRT FONTOS A SZERVEZETBEN A MONITORING?
És ha már teljesítmény, akkor térjünk ki a teljesítmény-ellenőrzésre is, amelyet a belső ellenőrök végeznek. Van erre egy nagyon jó történetem, amely tökéletesen példázza, hogy mi lehet egy teljesítmény-ellenőrzés hozadéka. Ide kattintva tudja elolvasni. – MIÉRT VAN SZÜKSÉG TELJESÍTMÉNY-ELLENŐRZÉSRE?
Egy kis ízelítő gyanánt elmondom, hogy egy húszmilliós kár történetét mesélem el benne, amely elkerülhető lett volna. Nagyon tanulságos történet, mindenképp javaslom az elolvasását. Így talán ön is megmentheti intézményét egy húszmilliós kártól.
Gyakorlatilag elmondható, hogy minden orvosolandó problémának számít, amit a belső ellenőrzés vagy az ÁSZ felfed. Ugyanakkor van három olyan hiányosság, amely tapasztalataim szerint a legtöbb szervezetnél fennáll.
Ezek közül kettő orvosolásában bármikor a rendelkezésére áll egy tapasztalt szakember, egy megfelelő kompetenciákkal és tudással bíró belsőkontrollrendszer tanácsadó, ám a harmadik ebből a szempontból egy kakukktojás. Ezen ugyanis csak az elsőszámú vezető hozzáállása tud segíteni.
Az ön szervezetén belül melyik nincs rendben a három pont közül?
Ellenőrizze le!
A folyamatalapú ellenőrzési nyomvonal fontosságáról már beszéltem a „4 dolog az ellenőrzési nyomvonalról, amit bár tudott volna az ÁSZ ellenőrzés előtt” című bejegyzésemben is. IDE kattintva tudja elolvasni. [LINK]
Annak ellenére, mennyire nélkülözhetetlen, az egyik legnagyobb probléma a három közül, hogy általában még sincs az intézményekben ilyen. Rengeteg önkormányzati és költségvetési szerv van ma Magyarországon, ugyanakkor úgy gondolom, hogy legalább a 10%-ának hiányzik ez az elem a belső kontrollrendszeréből.
2003-ban vezették be, hogy kötelezően el kell készíteni az ellenőrzési nyomvonalat. Ekkor elvileg mindenki megcsinálta, legalább is a pénzügyi területre vonatkozóan, de szervezeti egység alapon. Például osztályszinten leírták, hogy milyen feladatokat kell megcsinálni, ám ezek nem egyeznek meg a folyamatokkal. Jogszabály szerint az ellenőrzési nyomvonalnak folyamatalapúnak kell lennie.
Ezt azonban sokan nem érti meg…
Az integrált kockázatkezelési rendszernek is folyamatalapúnak kell lennie. A folyamatalapú ellenőrzési nyomvonal kiinduló oszlopa megegyezik az integrált kockázatkezelési rendszer kiinduló oszlopával. Hiszen mindkettő a folyamatokat tartalmazza, ezeken alapszik, ezeket kell ellenőrizni.
Így derül ki, melyek azok a kockázatok, amelyek akadályozzák az intézmény célkitűzését és a célok elérését. Ha ez rendben van, utána jön a kockázatkezelés folyamata, vagyis a kockázatok és a negatív következmények mérséklése és kezelése.
Régen csak a gazdasági terület tartozott a belső ellenőrzéshez. Akkor úgy hívták a belső ellenőrt, hogy pénzügyi ellenőr. Több mint egy évtizede ez azonban megváltozott, és a belső ellenőr már nemcsak a gazdasági területet ellenőrzi, hanem az intézmény összes tevékenységét.
Sok vezető ezt sem tudta elfogadni. Mindenki azt hiszi, hogy csak a gazdasági területet kell ellenőrizni. Egy egyetemen, ahol korábban dolgoztam, a rektor például nem engedte az oktatási rendszer átvizsgálását.
Sőt, gyakran a céges kommunikációáramlásba sem láthatok bele, mert egyszerűen a vezető nem engedi meg, nem hív meg vezetői értekezletre. Ennek elsősorban az az oka, hogy az ellenőrnek van egy plusz kötelezettsége, amelyet szintén jogszabály ír elő. E szerint, ha talál valami gyanúsat az első számú vezetőnél, mint például a visszaélés, akkor azt jeleznie kell a felettes szervnek.
Ugyanakkor nekem látni kellene, hogy mit csinálnak, miről van szó egy-egy vezetőségi megbeszélésen. Mert, ha az információáramlásból kizárják a belső ellenőrt, ezzel gyakorlatilag ellehetetlenítik a jogszabályszerű munkavégzést.
Az éves ellenőrzés során meg kell csinálnom a kockázatelemzést az összes tevékenységre vonatkozóan. Ha kijön, hogy melyik terület kockázatos, azt ellenőriznem kell. De ha ezt nem engedik meg, akkor kockázatosnak kell ítélnem az adott területet, mert nem rendelkezek a megfelelő információkkal.
Ám az ördögi kör itt még nem zárult be, hiszen ahelyett, hogy segíthetnék az első számú vezetőnek hatékonyabbá tenni az intézményét, nem tudom, mert nem engedi. Ezért említettem korábban, hogy a harmadik problémát egyetlen szakember sem tudja orvosolni, mert a hiba a gondolkodásmódban és a hozzáállásban van.
A kockázatok kezelése mindig egy védekezés:
A legfontosabb mindig a prevenció, vagyis a megelőzés: az első számú vezető és a vezetőség tudatosan figyel arra, hogy lecsökkentsék a különböző kockázatok fenyegetettségének veszélyét.
Amennyiben a káresemény mégis megtörténik, felkészülten, hideg fejjel kell hozzáfogni a kárelhárításhoz és adott esetben a feladatok újragondolásához. Mindez csak egységes és tudatos kockázatkezelési rendszer alkalmazásával biztosítható.
Két korábbi bejegyzésemben már írtam arról, mely kockázatokra érdemes mindenképp figyelni, illetve hogyan lehet azonosítani ezeket. [Ezeket ide belinkelni!] Most pedig arról lesz szó, milyen kockázatkezelési stratégiákat használhatunk.
Miután feltárták a lehetséges kockázatokat, szükséges azok értékelése is. Ezt az értéket az egyik módszer alapján a valószínűség és a hatás szorzataként fogja megkapni. Egy múltbéli kockázatról könnyebb információt szerezni, majd az alapján meghatározni a bekövetkezési valószínűséget. Ez azonban nem minden esetben áll rendelkezésre.
Ellenben minden kockázatra igaz, hogy minél több információt és adatot tud begyűjteni, annál pontosabb becslést tud adni a bekövetkezés esélyeiről. Néha elég mindössze logikusan végiggondolni, hogy egy kockázati esemény, milyen kiváltó okokra vezethető vissza. Ennek alapján lehet kiszámítani a tényleges bekövetkezésének esélyét.
Valószínűségen azt kell érteni, hogy az ötfokozatú skálán, a vezető rendelkezésére álló tapasztalatok alapján, a feltárt kockázatok milyen valószínűséggel fognak bekövetkezni. A skála minden egyes kockázati szemponthoz 1-től 5-ig terjedő valószínűségi mérőszámot rendel a súlyosságnak megfelelően („1” a legalacsonyabb, „5” a legsúlyosabb).
A hatásskála a kockázatok bekövetkezése esetén szintén ötfokozatú skálán a hatás mértékét becsüli meg. Minden egyes kockázati szemponthoz 1-től 5-ig terjedő hatásmérőszámot kell rendelni a súlyosságnak megfelelően („1” a legalacsonyabb, „5” a legsúlyosabb).
Ahogy említette, a kockázati érték pedig a hatás és a valószínűség értékek szorzata (egy Excel-táblázatban ez automatikusan beíródik). A kapott kockázati értékek növekvő vagy csökkenő sorrendbe rendezése adja meg a kockázatok sorrendjét. Ezen belül a maximális kockázati érték arányos felosztása alapján a kockázatokat az alábbi 3 kategóriába kell sorolni:
1-9 kockázati érték: A-lacsony (zöld)
10-19 kockázati érték: K-özepes (sárga)
20-25 kockázati érték: M-agas (piros)
Íme néhány példa:
kockázatkezelési stratégia –letöltés
A kockázatok értékelése után rangsorolni kell őket. Ennek a célja leginkább az, hogy az erőforrásokat a kulcskockázatokhoz tömörítsék és hatékonyan használják fel. A kockázati térképen a kockázatok a valószínűség és az érték alapján helyezkednek el.
Szükséges meghatározni a tűréshatárt, pl.: a tűréshatár kockázati értéke: 20.
Azokra a kockázatokra, amelyek a skálán a kockázati tűréshatár közelében és felett vannak, mindenképp figyelni kell. Sőt, meg kell fogalmazni egy kockázatkezelési stratégiát, egy válaszlépést, amivel azonnal kezelni tudja, amint felmerül.
Íme néhány példa:
kockázatkezelési stratégia.2 –letöltés
Példa egy kockázati összesítésre:
| Kockázati osztályok | Kockázati kategóriák | |||
| Alacsony (1-8) |
Közepes (9-17) |
Magas (18-25) |
Összesen | |
| Emberi erőforrás | 5 | 4 | 0 | 9 |
| Informatikai | 0 | 10 | 0 | 10 |
| Korrupciós | 4 | 0 | 0 | 4 |
| Külső | 0 | 4 | 0 | 4 |
| Pénzügyi | 1 | 7 | 0 | 8 |
| Projekt | 0 | 0 | 0 | 0 |
| Tevékenységi | 4 | 9 | 0 | 13 |
| Összesen | 14 | 34 | 0 | 48 |
Miután értékelte a kockázatokat és elkészítette a kockázati térképet, érdemes beszélni a kockázatkezelési stratégiákról is. Ez azt jelenti, hogy minden kockázat esetén választani kell egy válaszstratégiát. Majd ennek megfelelően kell elkészíteni az úgynevezett integrált kockázatkezelési intézkedési tervet.
Lássuk, milyen stratégiák közül válogathat.
Azon folyamatok, eljárások összessége, amelynek célja a kockázati esemény bekövetkezésének kivédése. Például szerződéses kapcsolatokban határidőre történő nem teljesítés esetére kötbér alkalmazása.
Amikor egy partner átvállalja a kockázatot a kezelésével és a felelősséggel együtt. Persze valamilyen kompenzáció fejében. Ilyen a biztosítás (betörés, lopás, viharkár kockázat), a kiszervezés, amikor egy adott feladatot annak fenntarthatóságának gazdaságtalansága miatt (könyvelés, porta szolgálat, recepció, belső ellenőrzés, belső kontrollrendszer működtetése) az arra specializálódott személlyel vagy szervezettel végeztetik el.
A legtöbb kockázat esetében ezt a stratégiát alkalmazzák, mert az általuk érintett folyamatok nem szüntethetők meg, illetve nem is hárítható át maga a kockázat. A cél: azoknak a kontrolloknak a kidolgozása, bevezetése vagy kifejlesztése, amelyek segítenek a toleranciaszint alá vinni a kockázatot és az abból eredő kárt.
Például fizetési nehézségek esetén kifizetések felülvizsgálata a kiadások csökkentése érdekében, néhány munkatárs folyamatos túlóráztatása miatt a feladatok és a munkaköri leírások felülvizsgálata.
Amikor a kockázat ugyan jelen van, de tudatosan vállaljuk. Például, amikor egy dolgozónak jogellenesen felmond a munkáltató annak kockázatával, hogy ha a munkavállaló a munkaügyi bírósághoz fordul és azt megnyeri, kifizeti a szükséges összeget. Ez csak akkor lehetséges, ha maga az eredendő kockázat és annak hatása nem olyan jelentős.
Egy felelős szervezetirányítás alappilére a kockázati események tudatosítása, felismerése és kezelése. A kockázatkezelésnek, kockázatmenedzsmentnek be kell épülnie a vállalatirányításba, és naprakészen kell kezelni.
Ön, mint elsőszámú vezető, tudja, mi a kockázat?
Valószínűleg igen.
A jövőben valamilyen valószínűséggel bekövetkező esemény, ami bizonyos mértékben negatív vagy pozitív irányban befolyásolja a szervezeti célok elérését. A negatív negatív hatás, szélsőséges esetben, amelynek akár katasztrófa is lehet a vége, a szervezet által kitűzött célok meghiúsulását vonhatja maga után.
A legnagyobb kockázat azonban a megbízó elégedetlensége.
Ez a valódi kudarc az érintett szerv és persze az elsőszámú vezető számára. Ezért olyan fontos a megfelelő kockázatmenedzsment biztosítása a szervezeten belül.
Ugyanis a kockázatok talán véletlenszerűen ütik fel a fejüket, de ha a szervezet előzetesen felkészül a tipikusnak mondható, tapasztalatok alapján meghatározható kockázatokra, akkor már nem érinti olyan váratlanul a vezetőséget. Az éberség és a felkészültség lehetővé teszi a gyors intézkedést, illetve a negatív hatások minőségének és mennyiségének csökkentését.
A belső kontrollrendszer öt elemét már biztosan jól ismeri: kontrollkörnyezet, kockázatkezelés, kontrolltevékenység, információ és kommunikáció, valamint monitoring. Ezek egymás mellett, egymást kiegészítve helyezkednek el, ugyanis egymással szoros kapcsolatban és kölcsönhatásban vannak.
A kockázat mindig kapcsolatban van a szervezet céljaival. Vagyis: ha nincsenek jól meghatározva, világosan kitűzve a célok, akkor a kockázatok felmérése sem lehetséges.
Amint felüti a fejét egy kockázat, mindig érdemes visszavezetni a kiváltó okra, vagyis a kockázati tényezőre. Ugyanis több kockázati tényező akár egymást is erősítheti, így a kockázatok kialakulására is nagyobb az esély.
Arról nem beszélve, hogy ha nem tárják fel a kockázati tényezőket, akkor nem fogják tudni megfelelően értékelni. Miért baj ez? Mert ebben óriási tapasztalat rejlik a jövőre, a jövőbeli kockázatokra nézve.
A jogszabályoknak és belső szabályzatoknak a nem megfelelő működése például egy kiemelt kockázat. Ez a következő okokra vezethető vissza: az SZMSZ nem tartalmazza az első számú vezető belső kontrollrendszer kialakításával, működtetésével és fejlesztésével kapcsolatos felelősségét, a belső szabályzat a jogszabályváltozást követően nem kerül módosításra, az adott személy munkaköri leírásában nem jelenik meg a folyamatgazdai feladat ellátása.
Kockázat továbbá például a kontrollok kialakításának hiánya. Ennek oka lehetnek: a kötelezettségvállalási jogkör értékhatárainak kialakítása bonyolult és átláthatalan, nem állapítható meg az ellenjegyzés időpontja, távozó munkatárs esetén a feladatok tételes és írásos átadása nem valósul meg (feladatok végezetlenül maradnak) és/vagy az informatikai rendszerekhez történő jogosultság törlése elmarad (utalhat saját bankszámlaszámra).
A szervezet minden tevékenysége magában hordozza a kockázatot. Éppen ezért szükséges a kockázati tűréshatár meghatározása is. Vagyis: mi az a pont, amelyet átlépve a szervezet felsővezetése mindenképp intézkedni akar a kockázat miatt.
Az egyes kockázati tényezők szervezeti és folyamatszintű tűréshatárát az elsőszámú vezető egyrészt a tapasztalatok alapján, másrészt a kockázatok feltárása, azonosítása, összegyűjtése és felmérése során szerzett információk alapján határozza meg. Továbbá az ő feladata a tűréshatárt meghaladó, különböző súlyú kockázatoknak a kezelési módját is leírni.
A tűréshatár meghatározására hatással lehet a szervezeti kultúra, a rendelkezésre álló erőforrások, a különböző jogszabályok és a szervezet technikai lehetőségei.
A külső kockázatok között említhetjük a konkurencia magatartását, a szervezet külső környezetét, illetve az egyre nehezebben követhető jogszabályok alakulását. Továbbá ide tartozik a politikai célok irányváltása; például a költségvetési szerv működésének finanszírozási rendszere úgy változik meg, hogy az intézmény kevesebb állami támogatásban részesül.
De említhetném a jogszabályok módosulásait is. Mondjuk, amikor jogszabályváltozással egy költségvetési szervet vagy egy szervezeti egységet megszüntetnek úgy, hogy a feladata a jogszabályváltozás miatt megszűnik.
A belső fenyegetettségek közé tartozik a munkaerő, a vezetőség alkalmasságának kérdése, a pénzügyi kockázatok, az erőforrásokban rejlő kockázatok vagy a belső kontrollrendszer nem megfelelő kialakítása és működtetése stb. Ez utóbbi esetben például van integrált kockázatkezelési szabályzat, azonban az abban foglaltak megvalósítása, vagyis maga a kockázatelemzés elmarad.
Itt említhetjük még azt, amikor a munkavégzést nem egyértelmű szabályzatokkal és folyamatleírásokkal szabályozzák. Például külsősök alkalmazásával kapcsolatban két utasítás is hatályban van, amelyekben az alkalmazható óradíjak ugyanarra az esetre különböző összeggel szerepelnek.
Vagy nem kerül biztosításra a feladatellátáshoz szükséges számú és megfelelő képesítéssel, kompetenciával rendelkező személy. A belső kontrollrendszer kiépítésére (ellenőrzési nyomvonal, integrált kockázatkezelési rendszer) nem alkalmaznak Okleveles Európai Belső Pénzügyi Kontroll Felmérő (CEUIFCA) oklevéllel rendelkező személyt.
Ez indokolja a következő kijelentésemet: figyelem, fegyelem, naprakészség, szervezettség és hatékony belső ellenőrzés nélkül nem lehet eredményes a szervezet – hosszú távon. Mindig vannak rések és apró sérülések, de ezek minősége és mennyisége egyáltalán nem mindegy.
És hadd jegyezzem még meg: az ellenőrzések elsődleges célja a rendszer fejlesztése. Ezért szoktam azt mondani, hogy a belső ellenőr barát és nem ellenség, ahogy a legtöbb első számú vezető gondolja.
A csúf igazság az integrált kockázatkezelésről
A kockázatfelmérés a belső kontrollrendszer öt eleme közül az egyik. Mellette beszélhetünk még a monitoringról, az információról és a kommunikációról, a kontrolltevékenységekről és a kontrollkörnyezetről.
És hogy mi a csúf igazság?
Az, hogy az első számú vezető a legtöbbször figyelmen kívül hagyja az egész kontrollrendszert, így a kockázatokat is. Utána meg jöhet a kapkodás és a tűzoltás, ha ég a ház egy-egy válsághelyzet miatt.
A kockázatfelmérés a célok elérését veszélyeztető kockázatok meghatározását, bekövetkezési valószínűségét, várható hatását és ezek kielemzését jelenti. Ennek alapján kerül meghatározásra az elkerülésük vagy a kezelésük módja is.
A vezetőség nem határozza meg a stratégiai vagy az operatív célokat. Irreális kezdeményezéseket és határidőket állítanak fel. Nem áll rendelkezésre szakképzett munkaeő, hiányzik a megfelelő információáramlás, nem mérik fel jól az erőforrásokat, így hiány léphet fel.
Soroljam még?
Irreális, pontatlan vagy ellentmondásos célokat tűznek ki. Mindezt úgy, hogy nem veszik figyelembe a rendelkezésre álló emberi, illetve a tárgyi erőforrásokat. És akkor még a természeti, társadalmi és a technológiai kockázatról, illetve a tévedésről és a szabotázsról még nem is beszéltünk.
Ezek egy részét egy hatékony kockázatfelméréssel el lehet kerülni, más része pedig orvosolható.
Először meg kell tudni határozni az esetleges kockázati elemeket az adott munkafolyamatok viszonyában. Fontos! Kockázat nemcsak magában a folyamatban, hanem az eredményben is felmerülhet.
Ezt követően végigmegyünk az egyes kockázati elemeken és megnézzük, mennyire valószínű a bekövetkezése. Skálamérettől függően, jelen esetben 4 fokozatú skálán megkülönböztetünk jelentéktelen, kicsi, közepes és nagy bekövetkezési valószínűséget. Amennyiben ezzel végeztünk, már van egy jó kis táblázatunk a jövőben – talán – bekövetkező nehézségekről.
Értékelni kell továbbá, hogy milyen hatással lesz az adott kockázat bekövetkezése magára az eredményre vagy az adott munkafolyamatra. Vagyis: milyen mértékben nehezíti meg a kívánt eredmény elérését. Ebben az esetben is a jelentéktelen, kicsi, a közepes és a nagy besorolást használjuk.
Végül pedig mérjük fel, hogy a tűréshatár feletti kockázatokkal mit lehet tenni, hogy azt elkerüljük. Amennyiben elkerülni nem lehet, a cél, hogy minimálisra csökkentsük a várható károkat és negatív hatásokat.
Vajon mindez hogyan lenne lehetséges egy megfelelő kockázatelemzés és -felmérés nélkül? Hogyan lehetne elkerülni a katasztrófát vagy visszaszorítani a károkat? A belső kontrollrendszer kiépítése és a hozzá kapcsolódó kockázatfelmérés elvégzése óriási felelősség. Nemcsak a hozzáértő szakemberé, hanem az első számú vezetőé is.
Hiszen általa számtalan útvesztőben való tévelygéstől védheti meg a szervezetét, az alkalmazottakat és persze önmagát is. A kockázatok folyamatosan jelen vannak. A vezetőktől függ, hogyan viszonyulnak hozzájuk: megkímélik az erőforrásaikat, a munkaerőt és a pénzt az esetleges károktól, vagy a szerencsére bízzák magukat.
Ön melyik csoportba akar tartozni?
Ha csak egyetlen tanácsot adhatnék, azt mondanám: a szerencse forgandó, ne hagyja rá a szervezetét! Amennyiben belső ellenőrre van szüksége, szívesen állok rendelkezésére. Ám akkor is érdemes rám gondolnia, ha a belső kontrollrendszerét kell kiépíteni.