top s1 compass 2Alkalmazandó módszerekMinősítés ECQA okleveles szakértőkkel

 
 
 
Felelős Vállalkozások MagyarországonVezetőknekKV - Kockázatkezelésről Vezetőknek1. rész: Kontrollok és mellékhatások

Kontrollok és mellékhatások

Mind az államháztartási szabályozás alá tartozó, mind pedig a versenyszférában működő szervezetek számára egyre inkább előtérbe kerül az eddig jóformán csak a kötelező, kontroll-alapú megfelelőségi („compliance") kritériumok mentén kialakított és a külső illetve belső ellenőrzések által eszerint is vizsgált kockázatkezelés rendszerszemléletű továbbfejlesztésének szükségessége.

Szakma-történeti érdekesség, hogy a költségvetési szervekre és az államháztartás rendszerébe sorolt egyéb szervezetekre (így egyes jelentős állami vállalatokra is) vonatkozó magyar szabályozás lényegében kiemeli a kockázatkezelési rendszer megvalósítását a kontroll-alapú kockázatértékelés szűkebb értelmezéséből. Mindez részben a számvevőszékek nemzetközi szervezete által a COSO modellek alapján elkészített, és 2004-ben az INTOSAI budapesti világkongresszusán elfogadott „Irányelvek a belső kontroll standardokhoz a közszférában" című kiadvány fordításának is köszönhető, mely során a kontrollrendszert bemutató ábrában a „kockázatértékelés" helyére a magyar változatban a jóval tágabb értelmű „kockázatkezelés" került.

Mindazonáltal mind a versenyszférába tartozó, mind az államháztartásba sorolt szervezetek számára a COSO modellek megvalósítási útmutatókként való követése nem biztosít szakmai alapot a kockázatkezelés rendszerének olyan megvalósításához, amely hozzáadott értéket jelentene a kontrolldokumentációk készítéséhez képest, bár kétségkívül hivatkozási lehetőséget nyújthat a megfelelőségi hiányosságok utólagos ellenőrzések során történő megállapításához. Ennek egyik oka az lehet, hogy sem a 2013-ban frissített COSO belső kontroll keretrendszer, sem a 2004-es COSO ERM modell nem tisztázza azokat az alapelveket, amelyek mentén a kockázatkezelési rendszernek és a vezetői döntésekbe beépülő kockázatkezelési tevékenységeknek az irányítási rendszer egészébe történő integrálása megvalósulhat. Mindehhez azonban az ellenőrzési szakma nemzetközi szervezetei által propagált kontroll-alapú szemlélet vagy „védelmi vonalak" megközelítés megváltoztatása lenne szükséges. Ld. Áttérés a célkitűzés-központú vállalatirányításra

A nyersanyagok és energiahordozók kitermelése, az ipari és fogyasztási célra tervezett termékek gyártása, vagy éppen az energia- és közműszolgáltatások fenntartása, stb. területén alkalmazott korszerű technológiai folyamatok tervezésekor a szabványosítás és az automatizálás fejlődésének eredményeképpen a folyamatszabályozásra és a teljesítménymérésre épülő kontrollok a folyamatirányítás szerves részét képezik. Ugyanakkor a közvetlen emberi beavatkozást és döntést igénylő helyzetekben az adott szervezeti vagy működési célok elérésére ható bizonytalanság, vagyis a „kockázatok és mellékhatások" minden érdekelt fél számára elfogadható keretek között tartása kapcsán a kontroll-alapú megközelítés számos olyan kihívást rejt magában, mely feltétlenül továbblépést igényel.

A hagyományos szervezeti kockázatkezelési megoldások a kockázatkezelés és kontrollok viszonyának értelmezésekor általában nem lépnek túl a „mi volt előbb a tyúk vagy a tojás?" típusú megközelítésen. Az is gyakori, hogy a kockázatkezelési tevékenységek „silószerűen" elkülönülnek egymástól, egyrészt kiemelve a kockázat-megosztási tevékenységek egy részét, mint például a biztosítások menedzselését, másrészt eltérő megközelítéseket alkalmazva az egyes szakmai tevékenységek (pl. az információ-biztonság vagy az üzletmenet-folytonosság) területén, vagy akár irányítási szintenként, elválasztva például az operatív működési szinteket az legfelső irányítási és felügyeleti tevékenységektől. A kockázati silókban való gondolkodás is felerősíti az egyes szakterületeket, vagy vezetői szinteket célzó kontroll-irányultságú modellek szerint kialakított kockázatkezelési gyakorlatok elterjedését, holott a kockázatkezelés és a kontroll nem ugyanannak „az éremnek a két oldalát" jelentik.

A kockázatkezelés és a kontrollok megkülönböztetésének szükségessége egyszerűen indokolható: míg a kockázatkezelés jellemzően a szervezet minden szintjén megjelenő döntési folyamatok részét képező vezetői feladat, addig a kontrollok kialakítása és működtetése a vezetői döntések megfelelő végrehajtását kell, hogy szolgálják az adott szervezeti keretek között.

A társadalmi-gazdasági környezet igényeit és elvárásait egy-egy szűkebb szakterületre leképező hatósági szabályozások olyan megfelelőségi követelményeket és szankcionálási eszközöket írnak elő, melyek mentén külső és belső „védelmi vonalak" alakíthatók vagy alakítandók ki (pl. belső kontrollrendszer és/vagy minőségirányítási rendszer működtetésére és auditálására vonatkozó hatósági előírások). Ugyanakkor az elmúlt évtizedek nemzetközi és hazai tapasztalatai alapján állítható, hogy a hatósági szabályozási követelmények és a kontroll-alapú rendszerelőírások teljesítése önmagában nem garantálja egy szervezet sikeres működését, vagy a jelentős kudarcok elkerülését.

Az alacsonyabb szervezeti és működési szintek végrehajtási és vezetési tevékenységei jól szabályozhatóak, például ügyrendi- vagy folyamatleírásokkal, szervezeti és működési szabályzatokkal, munkafolyamatok végrehajtását támogató informatikai rendszerekbe épített alkalmazási kontrollokkal, stb. Mindezek a szabályozások a szervezet irányításának magasabb szintjein természetszerűen egyre kevésbé konkrétak, illetve egyre tágabb kontroll-limiteket alkalmaznak (pl. a döntési jogkörök meghatározásakor). Azt is figyelembe kell venni, hogy a lefektetett szabályok követése az automatizált technológiai folyamatoktól eltérően nem feltétlenül valósul meg maradéktalanul az emberi közreműködéssel végrehajtott tevékenységek által. A szabálykövetési hajlandóság függhet a szűkebb és tágabb környezet kulturális adottságaitól, a vezetők példamutatásától, és a résztvevők személyes érdekviszonyaitól is. Ezen körülmények miatt a kontrollok - bármilyen magas színvonalú - kialakítása és fenntartása a szervezeti működés eredményessége és hatékonysága szempontjából csak korlátozott, és nem feltétlenül elégséges bizonyosságot képes nyújtani.

Egy szervezet külső és belső körülmények változásaira való megfelelő idejű, eredményes és hatékony reagálási képességének fenntartására, illetve fejlesztésére a kontroll-alapú megfelelési követelmények önmagukban nem alkalmazhatóak. Például a jelentősen negatív, akár természeti és/vagy gazdasági-társadalmi környezetre katasztrofális kihatású, szervezeti (pl. nagyvállalati), vagy éppen központi illetve helyi kormányzati szintű döntések mögött általában az érdekeltek egy szűk(ebb) csoportjának erős(ebb) érdekérvényesítési lehetőségei állnak. Az adott szervezeten belüli érdekérvényesítési képesség - akár egyszerű vezetői utasítás formájában - teret adhat a kontrollok megváltoztatásának vagy akár megkerülésének is, figyelmen kívül hagyva az érdekeltek tágabb körébe tartozók (pl. környezeti katasztrófát kiváltó esetekben a helyi lakosság) szempontjait. Más esetekben a megváltozott körülmények miatt valóban szükség lehet a kontrollok megkerülésére, vagy olyan innováció gyors bevezetésére, melynek alkalmazásba vétele a meglévő szabályozás és kontrollok módosítását igényli. A vezetés részéről az érdekelt felekkel való konzultáció és kommunikáció azonban ilyen esetekben is nélkülözhetetlen.

A kontroll-alapú megfelelőségi követelmények (gyakran indokolatlanul) az érintett felek egy szűkebb csoportjának igényeire fókuszálnak. Például a new yorki tőzsdei szabályozó hatóság egyrészről a befektetők információs igényeinek teljesítésére koncentrál, másrészről olyan kontroll megközelítést (ld. COSO) preferál, mely mind szélesebb körű alkalmazásában a jelentős érdekérvényesítő képességgel bíró nagy nemzetközi könyvvizsgáló, illetve tanácsadó cégek érdekeltek. A nagy könyvvizsgáló, illetve tanácsadó cégek célja nyilván a könyvvizsgálói és tanácsadói szolgáltatások iránti kereslet növelése – akár a hatósági szabályozási tevékenység szakmai „támogatásán" keresztül. A kontroll-alapú COSO modellek alkalmazásának széles szabályozási körben való elterjedését (ideértve a közszférát is) elsősorban az ellenőrzési szakmát képviselő nemzetközi szervezetek érdekérvényesítő képessége és nem az érintettek tágabb körének valós igényei váltották ki.

A COSO modellek alkalmazásának fenntartás nélküli átemelése a tőzsdei szabályozási környezetből már azért is aggályosnak mondható, mert a tőzsdei szabályozási logika elsődlegesen az érdekelt felek egy leszűkített csoportját előtérbe helyező befektetői érdekek érvényesítésének biztosítására épül. Az általános kontroll megközelítések COSO modelleken keresztül történő sematikus bemutatása kiválóan alkalmas például oktatási célokra, ugyanakkor valódi (akár költségvetési, akár versenyszférában működő) szervezet irányítási rendszerének vonatkozásában a szervezeti és működési szintek egyedi céljaihoz való kapcsolódás hiányában a COSO alkotóelemeknek való megfelelés konkrét irányítási cél nélküli vizsgálata lényegében felesleges és a tágabb érdekelt kör számára érdektelen, bár jól dokumentálható (így jobban „eladható") ellenőrzési gyakorlatnak tekinthető. Például a kontrolltevékenységek kialakításának COSO modell szerinti megfelelősége önmagában nem elégséges annak megállapítására, hogy a folyamatintegritásra vonatkozó, szervezet-specifikusan kialakított célkitűzés milyen mértékben valósul meg, és mindez hozzájárul-e a működési/szervezeti egység szintű eredményességi és hatékonysági célok nagyobb biztonsággal történő eléréséhez, illetve a célok elfogadási tartományától való akár pozitív, akár negatív irányú eltérés esetén milyen mértékben válik szükségessé a kontrolltevékenységek átalakítása.

A tőzsdei szabályozás kontroll-irányultsága elsősorban a vállalati pénzügyi jelentések megbízhatóságára vonatkozó igényekből fakad, és adott esetben egy konkrét - például éves - pénzügyi jelentés vonatkozásában lehet jelentősége annak, hogy a vállalatvezetés vagy a könyvvizsgáló milyennek értékeli a pénzügyi beszámolás belső kontrollrendszerének működését az alkalmazott COSO modell alapján. Ugyanakkor ez elsősorban megfelelőségi kérdés és nem ad képet például arról, hogy egy szervezet (ez esetben egy tőzsdén jegyzett gyógyszeripari vagy energetikai társaság) mennyire hatékony eszközöket alkalmaz egy lehetséges üzemi katasztrófa megelőzésére, vagy egy bekövetkező környezeti katasztrófa következményei és azok elhárítása hogyan érintené nemcsak a befektetőket, hanem a vevőket, beszállítókat, helyi közösségeket, stb.

A COSO modellekkel szembeni kritika is elsősorban arra irányul, hogy a kontroll-alapú modellek ugyan könnyebben alkalmazhatóak a külső és belső ellenőrzés által lefolytatott megfelelőségi vizsgálatok során, de az ilyen típusú vizsgálatok csekély hozzáadott értékkel bírnak annak meghatározására, hogy a szervezet irányítási rendszere mely lényeges működési területeken fejlesztendő a változó külső és belső körülmények, illetve elvárások figyelembe vételével.

Ezt a hiányosságot azok az ellenőrzési szakemberek is a bőrükön érezhetik, akiknek nehézséget okoz a kontroll-alapú ellenőrzési munka hozzáadott értékének bemutatása. Az ebből a problémakörből való kilépési szándékot a szervezeti irányítás és kockázatkezelés rendszerének - audit szabványok által előírt - ellenőrzési fókuszba helyezése is jelzi. A kontroll-alapú megközelítés megtartása azonban gátolja mind a kockázatkezelési rendszer értéknövelő kialakítását és fejlesztését, mind pedig a kockázatkezelés eredményességére vonatkozó (pl. ellenőrzési) megállapítás alátámasztását. A kontroll-alapú COSO ERM modell 2004. évi megjelenése óta a kockázatkezelés célkitűzés-alapú kialakítását és vizsgálatát támogató olyan új módszerek kerültek kidolgozásra, melyek a COSO modellekkel szemben az ISO 31000 Risk Management szabvány egyre szélesebb körű elterjedését támogatják.

Következö részek: 2. rész: Az új Ptk. mellékhatásai, 3. rész: A siker tényezővé válása, 4. rész: A siker alapozása - irányítási szépségtippek, 5. rész: A kockázati szintek alkalmazása, 6. rész: A siker buktatóinak elkerülése, 7. rész: Szerepek és felelősségek, 8. rész: Az eredményesség értékelése, 9. rész: A vezető tisztségviselők kártérítési felelősségének egyes kérdései

Kapcsolódó ajánlatunk: Risk Management Mentoring

Attachments:
Download this file (Risk Management Mentoring 2016.pdf)Risk Management Mentoring[Éves képességfejlesztő és minőségértékelő program a kockázatkezelés eredményes megvalósításának támogatására]1201 kB
 

Együttműködő partnerünk:

Képernyőfotó 2016-08-04 - 15.39.07

Szakmai támogatók:

Go to top