Menu
Menu
Úgy érzem, még többet és többet kell beszélnem a belső kontrollrendszer fontosságáról. Ugyanis azt látom, hogy a kiépítésének biztosítása hiába lenne az első számú vezető feladata, sok esetben nem vagy rosszul valósul meg.
Ennek oka, hogy általában háttérbe szorul a fontosabbnak vélt feladatok között…
Holott a belső kontrollrendszer kiépítése számtalan előnyhöz juttatja az intézményt. Arról nem beszélve, hogy meglétét kéri az ÁSZ, a Magyar Államkincstár, a belső ellenőr, a Kormányzati Ellenőrzési Hivatal is (vagy bárki, aki ellenőrzést végez a szervezetnél).
Ezért döntöttem úgy, hogy ebben a cikkemben összefoglalok mindent, amit a belső kontrollrendszerről tudnia kell. Így teljes körű képet kaphat a témában.
Az Államháztartási Szabályozás szerint a belső kontrollrendszer lényege, „hogy a szervezetirányítás elválaszthatatlan eszközeként, magában foglalja mindazon szabályokat, eljárásokat, gyakorlati módszereket és szervezeti struktúrákat, amelyeket arra a célra terveztek, hogy segítséget nyújtson a vezetésnek a céljai eléréséhez.”
Előnyei közé tartozik, hogy a szervezet nyereségesen működjön, ne folyjon el a pénz, hatékonnyá váljon a kommunikáció, megvalósuljon a célkitűzés, időben észrevegyék a hibákat, illetve csökkentsék a számukat. Sőt, a segítségével az is feltárható, mi akadályozza a szervezetet abban, hogy elérje a célját.
A belső kontrollrendszer meglétének további pozitív eredményeiről a „Milyen előnyökhöz juttatja a szervezetet egy belső kontrollrendszer?” című cikkemben írtam. Sőt, ha érdeklik a leggyakrabban jelentkező hibák, akkor olvassa el a „3 gyakori probléma, amely úgyis kiderül a belső ellenőrzés során” című cikkemet is.
Menjünk tovább!
Számtalanszor elmondtam már, de a jövőben is fogom ismételni magamat: a belső ellenőr nem ellenség, hanem barát. Az első számú vezető bátran fordulhat hozzá segítségért, ha a belső kontrollrendszer kiépítéséről van szó, hiszen tanácsadó tevékenységet is végez.
De vajon mit várhat el a vezető a belső ellenőrtől? Milyen munkákat végezhet el? Mit jelent a belső ellenőr hitelessége? Ezekre a kérdésekre adom meg a választ a „Meddig tart a belső ellenőr felelőssége? Mit várhat el a vezető?” című bejegyzésemben.
Épp belső ellenőrt keres? Segítek! Két tartalmat is készítettem ebben a témában, amelyekben leírom, hogyan dolgozom és milyen szakmai háttér áll mögöttem. A címük: „Hogyan dolgozom belső ellenőrként?” és a „Miért bízza rám szervezetét, ha belső ellenőrt keres?”.
Még egy fontos téma…
Több olyan eset és helyzet áll mögöttem, amelyek folyamatosan vissza-visszatértek a munkáim során. Ezeket egy csokorba gyűjtöttem és meg is osztottam az „5 tévhit a belső ellenőrről – Talán ön is így hiszi!” című bejegyzésemben.
Azért tartom fontosnak, hogy beszéljünk a tévhitekről, mert szeretném egyesével ledöntögetni őket. Íme az az öt, amelyeket a saját tapasztalataim ihlettek. Bővebben róluk a fent említett cikkben olvashat.
1. A belső ellenőr nem csinál semmit.
2. Rá lehet tolni az apró feladatok.
3. Operatív feladatokat is ellát.
4. A belső ellenőr megcsinálja a hiányosságokat.
5. Elkészíti az intézkedési tervet.
A belső kontrollrendszernek összesen 5 eleme van. Ezek a következők: kontrollkörnyezet, integrált kockázatkezelési rendszer, információs és kommunikációs rendszer, kontrolltevékenységek és a nyomonkövetési rendszer, vagyis a monitoring.
Mindegyik elemnek vannak tipikusnak mondható hibái. Ezekről bővebben erre a linkre kattintva olvashat. – EZEK A BELSŐ KONTROLLRENDSZER TIPIKUS HIBÁI Talán néhányat már ön is tapasztalt közülük!
Ahhoz, hogy egy szervezet hatékonyan működhessen, elengedhetetlen a célkitűzés. Az első számú vezető feladata, hogy az alapító okiratnak megfelelően készítse el a stratégiai tervet, amelyben kitér a haladási irányra és természetesen a célokra is.
Mikor jó a stratégiai terv?
Mi a hatékony célkitűzés alapja?
Mi a különbség a rosszul és a jól megfogalmazott célok között?
Ezeket bővebben „A célkitűzés fontossága egy költségvetési szervnél” című írásomban részletezem. Ismertetem továbbá, hogyan kellene átadni a célokat a munkatársaknak és hogy miért van szükség mutatószámokra a célkitűzésben.
A célok mellett persze számtalan dolog van még, amiről beszélni érdemes. Kiemelném például a kockázatokat, amelyekről négy cikket is publikáltam már a weboldalon.
„Kockázatkezelési stratégiák és azok használata”
„Hogyan lehet azonosítani a kockázatokat?”
„Ezekre a kockázatokra mindenképp figyeljen!”
„A csúf igazság a kockázatkezelésről”
Beszélni a kommunikációról alapvető és nélkülözhetetlen. Nem véletlenül ez az egyik eleme a belső kontrollrendszernek. Egyetlen szervezet sem képes működni enélkül, hiszen minden megnyilvánulás során információcsere zajlik.
Ha szeretne bővebb tudással rendelkezni a megbízható kommunikációról, amely hozzásegíti szervezetét a hatékony és eredményes működéshez, akkor kattintson IDE és olvassa el a cikket.
A leggyakoribb kommunikációs hibák a szervezet belük:
Ezekről részletesen a „Megmutatom a 3 leggyakoribb kommunikációs hibát a szervezetében” című írásomban beszélek. Szintén rendkívül érdekes és elgondolkodtató bejegyzés, ajánlom elolvasásra minden első számú vezetőnek.
Ebben a témában három alapvető kérdés tisztázása szükséges. Az egyik, hogy mi egyáltalán az integritás, a másik, hogy miért van rá szükség a belső kontrollrendszer részeként, a harmadik pedig, hogy mi az Állami Számvevőszék szerepe ebben a tekintetben.
Az integritás fogalmát nehéz néhány szóban átadni, ezért javaslom, hogy nézze meg „Az integritás fejlesztése a szervezet belül” című anyagomat, hogy teljes képet kaphasson. Tovább boncolgatom a témát a cikksorozat második részében, amely ERRE A LINKRE kattintva érhető el. – AZ INTEGRITÁS FEJLESZTÉSE A SZERVEZETEN BELŐL II. RÉSZ
Ezzel a címmel egy komplett bejegyzés készült az oldalra, ahol részletesen kifejtem a kérdésre adott választ. A monitoring vagyis a nyomonkövetési-rendszer lényege: fel kell mérni az egyes rendszerek eredményességét és teljesítményét. Olvassa el a teljes bejegyzést itt! – MIÉRT FONTOS A SZERVEZETBEN A MONITORING?
És ha már teljesítmény, akkor térjünk ki a teljesítmény-ellenőrzésre is, amelyet a belső ellenőrök végeznek. Van erre egy nagyon jó történetem, amely tökéletesen példázza, hogy mi lehet egy teljesítmény-ellenőrzés hozadéka. Ide kattintva tudja elolvasni. – MIÉRT VAN SZÜKSÉG TELJESÍTMÉNY-ELLENŐRZÉSRE?
Egy kis ízelítő gyanánt elmondom, hogy egy húszmilliós kár történetét mesélem el benne, amely elkerülhető lett volna. Nagyon tanulságos történet, mindenképp javaslom az elolvasását. Így talán ön is megmentheti intézményét egy húszmilliós kártól.
A kockázatok kezelése mindig egy védekezés:
A legfontosabb mindig a prevenció, vagyis a megelőzés: az első számú vezető és a vezetőség tudatosan figyel arra, hogy lecsökkentsék a különböző kockázatok fenyegetettségének veszélyét.
Amennyiben a káresemény mégis megtörténik, felkészülten, hideg fejjel kell hozzáfogni a kárelhárításhoz és adott esetben a feladatok újragondolásához. Mindez csak egységes és tudatos kockázatkezelési rendszer alkalmazásával biztosítható.
Két korábbi bejegyzésemben már írtam arról, mely kockázatokra érdemes mindenképp figyelni, illetve hogyan lehet azonosítani ezeket. [Ezeket ide belinkelni!] Most pedig arról lesz szó, milyen kockázatkezelési stratégiákat használhatunk.
Miután feltárták a lehetséges kockázatokat, szükséges azok értékelése is. Ezt az értéket az egyik módszer alapján a valószínűség és a hatás szorzataként fogja megkapni. Egy múltbéli kockázatról könnyebb információt szerezni, majd az alapján meghatározni a bekövetkezési valószínűséget. Ez azonban nem minden esetben áll rendelkezésre.
Ellenben minden kockázatra igaz, hogy minél több információt és adatot tud begyűjteni, annál pontosabb becslést tud adni a bekövetkezés esélyeiről. Néha elég mindössze logikusan végiggondolni, hogy egy kockázati esemény, milyen kiváltó okokra vezethető vissza. Ennek alapján lehet kiszámítani a tényleges bekövetkezésének esélyét.
Valószínűségen azt kell érteni, hogy az ötfokozatú skálán, a vezető rendelkezésére álló tapasztalatok alapján, a feltárt kockázatok milyen valószínűséggel fognak bekövetkezni. A skála minden egyes kockázati szemponthoz 1-től 5-ig terjedő valószínűségi mérőszámot rendel a súlyosságnak megfelelően („1” a legalacsonyabb, „5” a legsúlyosabb).
A hatásskála a kockázatok bekövetkezése esetén szintén ötfokozatú skálán a hatás mértékét becsüli meg. Minden egyes kockázati szemponthoz 1-től 5-ig terjedő hatásmérőszámot kell rendelni a súlyosságnak megfelelően („1” a legalacsonyabb, „5” a legsúlyosabb).
Ahogy említette, a kockázati érték pedig a hatás és a valószínűség értékek szorzata (egy Excel-táblázatban ez automatikusan beíródik). A kapott kockázati értékek növekvő vagy csökkenő sorrendbe rendezése adja meg a kockázatok sorrendjét. Ezen belül a maximális kockázati érték arányos felosztása alapján a kockázatokat az alábbi 3 kategóriába kell sorolni:
1-9 kockázati érték: A-lacsony (zöld)
10-19 kockázati érték: K-özepes (sárga)
20-25 kockázati érték: M-agas (piros)
Íme néhány példa:
kockázatkezelési stratégia –letöltés
A kockázatok értékelése után rangsorolni kell őket. Ennek a célja leginkább az, hogy az erőforrásokat a kulcskockázatokhoz tömörítsék és hatékonyan használják fel. A kockázati térképen a kockázatok a valószínűség és az érték alapján helyezkednek el.
Szükséges meghatározni a tűréshatárt, pl.: a tűréshatár kockázati értéke: 20.
Azokra a kockázatokra, amelyek a skálán a kockázati tűréshatár közelében és felett vannak, mindenképp figyelni kell. Sőt, meg kell fogalmazni egy kockázatkezelési stratégiát, egy válaszlépést, amivel azonnal kezelni tudja, amint felmerül.
Íme néhány példa:
kockázatkezelési stratégia.2 –letöltés
Példa egy kockázati összesítésre:
| Kockázati osztályok | Kockázati kategóriák | |||
| Alacsony (1-8) |
Közepes (9-17) |
Magas (18-25) |
Összesen | |
| Emberi erőforrás | 5 | 4 | 0 | 9 |
| Informatikai | 0 | 10 | 0 | 10 |
| Korrupciós | 4 | 0 | 0 | 4 |
| Külső | 0 | 4 | 0 | 4 |
| Pénzügyi | 1 | 7 | 0 | 8 |
| Projekt | 0 | 0 | 0 | 0 |
| Tevékenységi | 4 | 9 | 0 | 13 |
| Összesen | 14 | 34 | 0 | 48 |
Miután értékelte a kockázatokat és elkészítette a kockázati térképet, érdemes beszélni a kockázatkezelési stratégiákról is. Ez azt jelenti, hogy minden kockázat esetén választani kell egy válaszstratégiát. Majd ennek megfelelően kell elkészíteni az úgynevezett integrált kockázatkezelési intézkedési tervet.
Lássuk, milyen stratégiák közül válogathat.
Azon folyamatok, eljárások összessége, amelynek célja a kockázati esemény bekövetkezésének kivédése. Például szerződéses kapcsolatokban határidőre történő nem teljesítés esetére kötbér alkalmazása.
Amikor egy partner átvállalja a kockázatot a kezelésével és a felelősséggel együtt. Persze valamilyen kompenzáció fejében. Ilyen a biztosítás (betörés, lopás, viharkár kockázat), a kiszervezés, amikor egy adott feladatot annak fenntarthatóságának gazdaságtalansága miatt (könyvelés, porta szolgálat, recepció, belső ellenőrzés, belső kontrollrendszer működtetése) az arra specializálódott személlyel vagy szervezettel végeztetik el.
A legtöbb kockázat esetében ezt a stratégiát alkalmazzák, mert az általuk érintett folyamatok nem szüntethetők meg, illetve nem is hárítható át maga a kockázat. A cél: azoknak a kontrolloknak a kidolgozása, bevezetése vagy kifejlesztése, amelyek segítenek a toleranciaszint alá vinni a kockázatot és az abból eredő kárt.
Például fizetési nehézségek esetén kifizetések felülvizsgálata a kiadások csökkentése érdekében, néhány munkatárs folyamatos túlóráztatása miatt a feladatok és a munkaköri leírások felülvizsgálata.
Amikor a kockázat ugyan jelen van, de tudatosan vállaljuk. Például, amikor egy dolgozónak jogellenesen felmond a munkáltató annak kockázatával, hogy ha a munkavállaló a munkaügyi bírósághoz fordul és azt megnyeri, kifizeti a szükséges összeget. Ez csak akkor lehetséges, ha maga az eredendő kockázat és annak hatása nem olyan jelentős.
Egy felelős szervezetirányítás alappilére a kockázati események tudatosítása, felismerése és kezelése. A kockázatkezelésnek, kockázatmenedzsmentnek be kell épülnie a vállalatirányításba, és naprakészen kell kezelni.
Mit jelent a kockázat?
Hogyan kapcsolódik a szervezet céljaihoz?
Miként hiúsítja meg azokat?
Ezekre a kérdésekre adtam meg a választ az „Ezekre a kockázatokra mindenképp figyeljen!” [ide majd linkeld be a cikket] című cikkemben. Most pedig továbbmegyünk ebben a témában és újabb kérdésköröket járunk körbe.
Ezek a következők:
A folyamattérképet és a folyamatok listáját kell a kockázati univerzumnak tekinteni. Ez lesz az egész kockázatkezelés alapja. Ám ha a vezetők úgy vélik, hogy a folyamatok listája nem teljes vagy nem fedi le az egész szervezetet, akkor egyesével kell meghatározni a kockázati univerzum elemeit.
Ehhez meg kell határozni a főfolyamatot, részfolyamatot, a kapcsolódó szervezeti célkitűzéseket és a szervezeti egységeket és ki kell jelölni a folyamatgazdákat.
Hogyan azonosíthatók a kockázatok? [H2 kiemelés]
A kockázatokat a szervezeti célokhoz, az egyes folyamatokhoz kapcsolódóan kell azonosítani – mégpedig a szervezet egészére levetítve. Először az eredendő kockázatok kell feltárni a folyamattérkép, illetve a folyamatlisták alapján. Persze fontos felismerni a szervezet egészét érintő kockázatokat is.
A kérdés már csak az: hogyan?
A legegyszerűbb módszer az úgynevezett brainstormingok vagy kiscsoportos megbeszélések szervezése. Legyen jelen minden szakterület képviselője, a vezetők, az elsőszámú vezető, valamint azok a munkatársak, akiket csak közvetve érint az adott folyamat. Az eredmény így nagyobb valószínűséggel lesz közérthető és megbízható.
A résztevőknél elengedhetetlen, hogy ismerjék a saját szakterületüket, más területekre is legyen rálátásuk, törekedjenek a kompromisszumokra, képesek legyenek kreatívan gondolkodni, rendelkezzenek széles látókörrel.
A megbeszélés részleteit mindig dokumentálni kell!
Nézzék végig a különböző típusú kockázatokat a könnyebb azonosítás érdekében. Beszélhetünk integritási, pénzügyi, stratégiai, működési, biztonsági, információs, kommunikációs, külső, belső, humán erőforrás kockázatokról stb.
Kritikus pont szokott lenni a kockázatok megfelelő megfogalmazása – ugyanúgy, mint a célok, a célkitűzés esetén. Meg kell adni a kiváltó okot, a hatást, illetve hogyan befolyásolja mindez a szerv céljainak megvalósulását.
Ha nem megfelelően fogalmazzák meg a kockázatokat, akkor mások számára nem lesz értelmezhető, nem lehet visszavezetni a kockázati tényezőkre és nem lehet hatékonyan kezelni, megelőzni az újabb kialakulását.
Először mindig egy adott célból kell kiindulni, utána megfogalmazni a kockázat leírását. Mutatok három példát.
Cél: a keletkező ügyek intézésének jogi támogatása.
Kockázat (rossz): az ügyeknél a jogszabályok feltüntetése és a jogi ellenjegyzés elmarad (ez hibás, mert nem a célt szolgálja, hanem annak ellentéte).
Kockázat (jó): a nem megfelelő jogforrás használata.
Cél: Munkavédelmi bejárás (veszélyforrások felkutatása), annak dokumentálása, a bérbeadó tájékoztatása.
Kockázat (rossz): elmarad a munkavédelmi bejárás.
Kockázat (jó): felderítetlen veszélyforrás marad.
Cél: az iratok egynapos határidőben történő szignálása.
Kockázat (rossz): elmarad a szignálás.
Kockázat (jó): egyéb elfoglaltság miatt késve történik.
Megtörtént a kockázatok feltárása és leírása?
Akkor most már nekiláthat az Integrált Kockázati Leltár elkészítésének.
Ide kell felvezetni a beazonosított kockázatokat a következők szerint: kockázati esemény, vonatkozó kockázati tényezők, veszélyeztetett szervezeti célkitűzések, érintett folyamatok, folyamatgazda, integrált kockázatot vagy korrupciós kockázatot hordoz-e, Integrált Kockázatkezelési Intézkedési terv.
Ezután történik a kockázati tényezők meghatározása és kiértékelésére. Erről a következő bejegyzésemben írok.
Ön, mint elsőszámú vezető, tudja, mi a kockázat?
Valószínűleg igen.
A jövőben valamilyen valószínűséggel bekövetkező esemény, ami bizonyos mértékben negatív vagy pozitív irányban befolyásolja a szervezeti célok elérését. A negatív negatív hatás, szélsőséges esetben, amelynek akár katasztrófa is lehet a vége, a szervezet által kitűzött célok meghiúsulását vonhatja maga után.
A legnagyobb kockázat azonban a megbízó elégedetlensége.
Ez a valódi kudarc az érintett szerv és persze az elsőszámú vezető számára. Ezért olyan fontos a megfelelő kockázatmenedzsment biztosítása a szervezeten belül.
Ugyanis a kockázatok talán véletlenszerűen ütik fel a fejüket, de ha a szervezet előzetesen felkészül a tipikusnak mondható, tapasztalatok alapján meghatározható kockázatokra, akkor már nem érinti olyan váratlanul a vezetőséget. Az éberség és a felkészültség lehetővé teszi a gyors intézkedést, illetve a negatív hatások minőségének és mennyiségének csökkentését.
A belső kontrollrendszer öt elemét már biztosan jól ismeri: kontrollkörnyezet, kockázatkezelés, kontrolltevékenység, információ és kommunikáció, valamint monitoring. Ezek egymás mellett, egymást kiegészítve helyezkednek el, ugyanis egymással szoros kapcsolatban és kölcsönhatásban vannak.
A kockázat mindig kapcsolatban van a szervezet céljaival. Vagyis: ha nincsenek jól meghatározva, világosan kitűzve a célok, akkor a kockázatok felmérése sem lehetséges.
Amint felüti a fejét egy kockázat, mindig érdemes visszavezetni a kiváltó okra, vagyis a kockázati tényezőre. Ugyanis több kockázati tényező akár egymást is erősítheti, így a kockázatok kialakulására is nagyobb az esély.
Arról nem beszélve, hogy ha nem tárják fel a kockázati tényezőket, akkor nem fogják tudni megfelelően értékelni. Miért baj ez? Mert ebben óriási tapasztalat rejlik a jövőre, a jövőbeli kockázatokra nézve.
A jogszabályoknak és belső szabályzatoknak a nem megfelelő működése például egy kiemelt kockázat. Ez a következő okokra vezethető vissza: az SZMSZ nem tartalmazza az első számú vezető belső kontrollrendszer kialakításával, működtetésével és fejlesztésével kapcsolatos felelősségét, a belső szabályzat a jogszabályváltozást követően nem kerül módosításra, az adott személy munkaköri leírásában nem jelenik meg a folyamatgazdai feladat ellátása.
Kockázat továbbá például a kontrollok kialakításának hiánya. Ennek oka lehetnek: a kötelezettségvállalási jogkör értékhatárainak kialakítása bonyolult és átláthatalan, nem állapítható meg az ellenjegyzés időpontja, távozó munkatárs esetén a feladatok tételes és írásos átadása nem valósul meg (feladatok végezetlenül maradnak) és/vagy az informatikai rendszerekhez történő jogosultság törlése elmarad (utalhat saját bankszámlaszámra).
A szervezet minden tevékenysége magában hordozza a kockázatot. Éppen ezért szükséges a kockázati tűréshatár meghatározása is. Vagyis: mi az a pont, amelyet átlépve a szervezet felsővezetése mindenképp intézkedni akar a kockázat miatt.
Az egyes kockázati tényezők szervezeti és folyamatszintű tűréshatárát az elsőszámú vezető egyrészt a tapasztalatok alapján, másrészt a kockázatok feltárása, azonosítása, összegyűjtése és felmérése során szerzett információk alapján határozza meg. Továbbá az ő feladata a tűréshatárt meghaladó, különböző súlyú kockázatoknak a kezelési módját is leírni.
A tűréshatár meghatározására hatással lehet a szervezeti kultúra, a rendelkezésre álló erőforrások, a különböző jogszabályok és a szervezet technikai lehetőségei.
A külső kockázatok között említhetjük a konkurencia magatartását, a szervezet külső környezetét, illetve az egyre nehezebben követhető jogszabályok alakulását. Továbbá ide tartozik a politikai célok irányváltása; például a költségvetési szerv működésének finanszírozási rendszere úgy változik meg, hogy az intézmény kevesebb állami támogatásban részesül.
De említhetném a jogszabályok módosulásait is. Mondjuk, amikor jogszabályváltozással egy költségvetési szervet vagy egy szervezeti egységet megszüntetnek úgy, hogy a feladata a jogszabályváltozás miatt megszűnik.
A belső fenyegetettségek közé tartozik a munkaerő, a vezetőség alkalmasságának kérdése, a pénzügyi kockázatok, az erőforrásokban rejlő kockázatok vagy a belső kontrollrendszer nem megfelelő kialakítása és működtetése stb. Ez utóbbi esetben például van integrált kockázatkezelési szabályzat, azonban az abban foglaltak megvalósítása, vagyis maga a kockázatelemzés elmarad.
Itt említhetjük még azt, amikor a munkavégzést nem egyértelmű szabályzatokkal és folyamatleírásokkal szabályozzák. Például külsősök alkalmazásával kapcsolatban két utasítás is hatályban van, amelyekben az alkalmazható óradíjak ugyanarra az esetre különböző összeggel szerepelnek.
Vagy nem kerül biztosításra a feladatellátáshoz szükséges számú és megfelelő képesítéssel, kompetenciával rendelkező személy. A belső kontrollrendszer kiépítésére (ellenőrzési nyomvonal, integrált kockázatkezelési rendszer) nem alkalmaznak Okleveles Európai Belső Pénzügyi Kontroll Felmérő (CEUIFCA) oklevéllel rendelkező személyt.
Ez indokolja a következő kijelentésemet: figyelem, fegyelem, naprakészség, szervezettség és hatékony belső ellenőrzés nélkül nem lehet eredményes a szervezet – hosszú távon. Mindig vannak rések és apró sérülések, de ezek minősége és mennyisége egyáltalán nem mindegy.
És hadd jegyezzem még meg: az ellenőrzések elsődleges célja a rendszer fejlesztése. Ezért szoktam azt mondani, hogy a belső ellenőr barát és nem ellenség, ahogy a legtöbb első számú vezető gondolja.