Régóta foglalkoztat az a gondolat, hogy milyen jó lenne, ha a KKV szektor tulajdonosai megismerhetnék az internal audit (belső auditor) tevékenységben rejlő lehetőségeket. Amennyiben ez a szektor alkalmazná ezt a munkakört, akkor a váratlan helyzetekre való felkészülés (lehetséges kockázatok) sokkal könnyebben elkerülhetők lennének VIS MAIOR helyzetekben is, pl. válság esetén.
Vajon milyen okok miatt nincs jelen az internal audit a KKV szektorban?
KKV tulajdonosok körében folytatott sok éves tevékenységem, vizsgálatok és tesztelések során felmerült interjúkból gyűjtöttem össze az alábbi ellenvetéseket:
- „Ez egy technikai huncutság. Ezt a tevékenységet csak a nagyvállalatok és a bankok tudják megengedni maguknak.”
- „Nem szeretnék a tulajdonosok, hogy a gazdasági vezetőn kívül más is belelásson a cég életébe, nem kell ide megmondó ember!”
- „Mivel tudná segíteni a céget az internal auditor, ugyanis van kiszervezett könyvelőnk, rendszergazdánk, ügyvédünk, munkavédelmi szakemberünk, illetve minőségbiztosítási szakemberünk is. Van belső kontrollunk is, hiszen az ügyvezető minden kifizetésre váró számlát leigazol kifizetés előtt. Mi az, ami még kellhet nekünk?”
- „Minek kellene nekünk belső ellenőr, amikor az ISO-t is bevezettük? Jó sok pénzbe került, azóta is csak feladatokat generál számunkra és leköti az embereink idejét.”
- GDPR? „Igen csináltattunk már szabályzatot, ha jönnek ellenőrizni, van ilyenünk, sőt még a dolgozókkal az oktatást igazoló papírokat is aláírattuk.”
- „Minek akar az auditor real time (azonnali) adatokat kinyerni a termelőgépeinkből, nem fontos nekünk a valós önköltség (egy körülbelüli számot tudunk), majd év végén kialakul az eredmény.”
- Hogyan fordulhat az elő, hogy EU-s pályázati pénzek rendelkezésre állása ellenére a szektor szereplői által bevezetett ERP rendszerbevezetések rendre sikertelenek?
KKV vezetők többsége nem ismeri, vagy nem hallott még erről a szakmáról, nem is tudja miért lehetne hasznos, még inkább kifizetődő a cégük számára. Ezért, elsőként közreadom mi az internal audit definíciója:
„Az internal audit olyan független, objektív bizonyosságot adó eszköz és tanácsadói tevékenység, amely értéket ad a szervezet működéséhez és javítja annak minőségét. Módszeres és szabályozott eljárással értékeli és javítja a kockázatkezelési, a kontroll és az irányítási folyamatok hatékonyságát, ezáltal segíti a szervezeti célok megvalósítását.”
Milyen hiányokat pótolhat az internal (belső) auditor a KKV szervezetekben?
Nagyon ritka az, ha egy KKV-nak van Felügyelő Bizottsága, vagy Igazgatósága
A hazai piacon, a szektorra leginkább jellemző társasági forma a Kft vagy a Bt. Ezekben az esetekben legtöbbször nincs törvényi kötelem a Felügyelő Bizottság és Igazgatóság létrehozására. Miért is jó, ha van egy szervezetnek FB testülete? A jól működő Felügyelő Bizottságokban – közép és nagyvállalatok esetében – széleslátókörű, más iparágakban és vállalkozásokban tapasztalt, magasan képzett elismert szakemberek vannak. Az FB tagok szerepe az, hogy a vállalkozás lehetséges kockázatait a lehető legkisebb mértékig csökkentsék és kontrollt gyakoroljanak a szervezetre, ehhez anyagi felelősségvállalást is előír a jogalkotó.
A tulajdonosok részére ez egy belső védelmi vonal, ami biztonságosabb működést biztosít minden piaci szereplő számára. Kisebb vállalkozásoknál valóban nincs lehetőség FB fenntartására, de ennek kiváltására egy jól képzett internal auditor(ok) alternatív megoldást jelenthet(nek).
„Stratégiai építész” a belső védelmi vonalak kialakításában, amely lépést tart a szervezet méret növekedésével, a piaci-, illetve a nem várt környezeti változásokkal
A méretnagyságból fakadóan hiányzik ebből a vállalati körből, vagy kezdetleges formában van jelen három fontos tevékenység: a compliance (jogszabályoknak való megfelelőség), a kockázatkezelés és a csalásmegelőzés. Tapasztalatom szerint azon vállalkozásoknál, ahol nincs képzett internal auditor, ott a tulajdonosoknak sokkal nagyobb a „kockázati étvágyuk”, mint ott, ahol van.
Ez is igazolja azt a tényt, hogy az adószámfelfüggesztésre ítélt, vagy felszámolásra kerülő vállalkozások esetében nincs megfelelően működtetett belső védelmi (vonal) rendszer, de ez már csak akkor derül ki, amikor a cég bajba került. A válság során néhány vállalkozásra hirtelen több oldalról zuhantak rá a problémák, egyszerre több olyan dologgal szembesültek a tulajdonosok, aminek egy része igazából a válság miatt elkerülhetők lettek volna, ha módszeresen kialakított kontroll környezetet működtetnének.
Amennyiben a tulajdonosok felismerik, illetve elfogadják, hogy előfordulhatnak nem várt események (kockázatok, amelyeket kezelni -megelőzni- kellene), akkor a nem várt makrogazdasági válság kevésbé érintené a cégeket. Nézzünk néhány valós életből vett példát:
Több cégnél előfordult, hogy nem kerül időben leadásra a beszámoló (annak ellenére, hogy a vállalkozás alkalmaz könyvvizsgálót), ami az elmúlt évtizedekben a szabályozói környezet lazasága miatt nem jelentett problémát. Ugyanakkor ma már, ha valaki komoly piaci szereplő az adott szektorban (vagy azzá szeretne válni), igencsak fontos, hogy az alapvető jogszabályi előírásokat betartsa, mivel már nemcsak a multik, hanem a fejlett hazai cégek is elvégzik a beszállítók minősítését, aminek egyik legtriviálisabb elvárt eleme a jogszabályi feltételeknek való működés, illetve a pozitív adózói minősítés státusz fenntartása.
Nincs üzletmenet folytonossági terv arra vonatkozóan, ha valamelyik funkcionális terület eszközei, vagy emberei váratlanul kiesnek a működésből (pl. az informatikus, aki a programot írta súlyos betegséget szenved, akkor nincs aki helyettesítse a munkáját-amit rövid távon szinte lehetetlenség pótolni, mivel jellemzően nincsenek ledokumentálva a fejlesztések, beállítások.) Ezek is jelentős üzletmenet folytonossági kockázatot okozhatnak.
Előfordul az is, hogy a tulajdonosok akkor érzik magukat biztonságban, ha a szervezetüknél van a szerver és a tartalékszerver, ugyanakkor az adatbiztonságra nem hajlandók költeni, vagy erre szakosodott profi szolgáltatót megbízni és azt megfizetni. Gyakori az is, hogy szünetmentes egységekre nem kívánnak „fölösleges” pénzt költeni mindaddig, amíg egyszer nem áll le véglegesen a szerverük, stb.
Megesik az is, hogy a cégvezetés nem fordít kellő figyelmet a munkavállalók szerződéseinek megkötésekor a konkurenciához történő átmenetel korlátozásáról, vagy a vállalati adatvagyon védelmére, stb.
Szembesülünk azzal is, hogy a cégvezetésnek nincs olyan a cégműködésre vonatkozó jogszabálygyűjteménye, ami alapján azonnal választ tudna adni arra, hogy konkrétan milyen jogszabályok, kormányrendeletek, stb. vonatkoznak rájuk a különböző szakmai területek tekintetében.
Folyamkorszerűsítő, optimalizáló és fenntartó szerepkör
Amikor egy vállalkozás elér egy méretnagyságot és anyagilag is megengedheti magának (saját vagy pályázati forrásból), gyakran vásárol egy vállalatirányítási rendszert. A hazai KKV piacon az ERP bevezetések jelentős hányada az első bevezetés alkalmával sikertelen és a tulajdonosok nem értik ennek az okát.
Az okok abban keresendők, hogy a szervezetek legtöbbször még nem érettek a vállalatirányítási rendszer alkalmazására, hiszen a folyamatok nincsenek leszabályozva, rögzítve, a törzsállományok kaotikusak, nem tudnak megfelelő nyitó folyószámla adatokat kinyerni az átálláskor. Fontos azt is figyelembe venni, hogy egy ERP rendszer folyamatos fejlesztést, tesztelést, karbantartást igényel. Amikor jól működik a belső védelmi vonal, akkor az internal auditor segítheti a tulajdonosokat a szervezet felkészítésében, vagyis az ügyfél oldali teendők elvégzését irányíthatja, koordinálhatja (pl. folyamatkorszerűsítések, törzsadatállományok tisztása).
Mivel lehet több a belső auditor ebben az esetben egy arra szakosodott külső szakértőnél? Abban, hogy a belső auditor a projekt éles indulását követően is a szervezetnél marad és képes úgy felépíteni a munkaprogramját, hogy az folyamatos felügyeletet, kontrollt jelentsen a szoftver, vagy szoftverek megfelelő működtetésében. Ezzel a tevékenységgel jelentősen csökkenthető a működési kockázat a cégnél.
Az internal auditor részt vehet a szoftver bevezetése előtti teendők felmérésében, elvégzésében, irányításában. A szoftverbevezetés alatt ügyfél oldali projektvezető lehet, az éles átállás után pedig folyamatos kontrollt biztosíthat a szoftverek megfelelő működtetése tekintetében. Gyakori eset, hogy a szoftvertanácsadók tevékenységének befejezését követően hosszabb, vagy rövidebb idő elteltével a használt funkciók lecsökkennek, degradálódnak, mert ezekben az esetekben nincs olyan szakember, aki képes lenne fenntartani, átlátni, vagy fejleszteni a szoftver teljes működését.
Nem ritka jelenség, hogy a cégeknél a bevezetésben részt vevő munkavállalók évek múltán távoznak és ekkor megfelelő dokumentáció hiányában, a többi felhasználó belső támogatás, segítség nélkül marad.
Ne felejtsük el azt a tényt, hogy egy vállalatirányítási rendszer működtetéséhez olyan komplex szakismeretre van szükség, ami mind a bejövő, mind a kimenő folyamatok, valamint a kapcsolódó területek cash-management, banki kapcsolatok alapos ismeretét, azok egymásra hatásait és beállítási lehetőségeit igényli. Mély tudással kell rendelkezni a beszerzés, a bevételezés, a bejövő számlázás, a főkönyvi feladás, csakúgy, mint a vevőmegrendelés, gyártás, kiszállítás, számlázás, folyószámla egyenlegek megfelelő előállíthatósága tekintetében.
Generációváltáskor híd szerep, „coach pozíció”
A KKV szektorban kiemelt jelentőséggel bír a generációváltásból fakadó konfliktusok kezelése. Amennyiben a tulajdonos az internal auditort a stratégiai védelmi vonal képviselőjének tekinti, akkor a belső auditor képes úgy felépíteni a munkaprogramját, hogy az segítse az új generációs tulajdonost a vállalati folyamatok megismerésében, és megmutatja számára, hol és hogyan lehet, illetve célszerű a kontroll pontokat beépíteni a folyamatokba és azokat fenntartani a szervezetben. Az ilyen esetekben a belső auditor coach-ként is funkcionálhat. Ekkor csökkenthető, vagy kiküszöbölhetővé válhat az idősebb és fiatalabb generáció közötti szakadék, ezt híd szerepnek tekinthetjük.
GDPR szabályozással kapcsolatos feladatok és szerepkör is kiadható a belső ellenőrnek
A KKV szektorban nem elvárható, hogy legyen külön szakember az adatvédelem kapcsolatos előírások kidolgozására, annak működtetésére. Bár a vállalkozások nagyrésze ügyvéddel kidolgoztatja a szabályzatot és még az oktatások is megtörténnek, azokat le is dokumentálják, jóesetben. A valóságban azonban a vállalkozások kipipálják ezt a feladatot, hogy igen, ezt is megcsináltuk, megvan a dokumentációnk. Ezt kiegészítik azzal, hogy kineveznek egy dolgozót adatvédelmi felelősnek is.
De vajon ki kontrollálja a KKV-k esetében a törvényi és a belső előírásokat a GDPR témakörben? Ebben is tud segíteni a vállalati auditor, aki megfelelő DPO képzettség megléte esetén képes támogatást nyújtani a következők kialakításában és működtetésében: az adatkezelés feltérképezése, a felelősségi szintek kialakítása, a dokumentumok és az adatvédelem folyamatszintű szabályozása, az adatbiztonsági incidensek meghatározása, a munkahelyi adatkezelés szabályozása, az adatfeldolgozók beazonosítása. Emellett a szakképzett internal auditor képes az informatika rendszerekre vonatkozó kérdéseket is megválaszolni a következők szerint:
- Milyen alkalmazások, adatbázisok vesznek részt a személyes adatkezelésben?
- Milyen fájltárolási, megosztási megoldások vesznek részt a személyes adatkezelésben?
- Milyen biztonsági alrendszerek vannak használatban a személyes adatokat kezelő infrastruktúrákhoz kapcsolódóan?
- Milyen dokumentációk, illetve biztonsági szabályzatok vannak a személyes adatokat kezelő infrastruktúrákhoz kapcsolódóan?
- Milyen szerződést érdemes az informatikai szolgáltatókkal kötni annak érdekében, hogy az adatkezelői szerepkörük hatékonyan legyen működtethető?
A belső auditor segíteni tudja a szervezetet az ügyvéd által kialakított GDPR szabályozás testre szabásában, annak informatikai vonatkozásainak feltérképezésében.
Hogyan lehetne finanszírozni a belső ellenőri tevékenységet a KKV szervezetben?
A belső auditor akkor tudja leghatékonyabban és legjobban ellátni a tevékenységét, ha független a szervezet többi részlegétől és vezetőitől. A KKV szektor esetében az lenne a javasolt, ha az internal auditor a tulajdonos közvetlen megbízásából és érdekében tevékenykedhetne, végezhetné el a munkaprogramját. Egy jól képzett auditor munkavállalói bére szinte megfizethetetlennek tűnik e szektor szereplői számára.
Ugyanakkor vannak olyan erre szakosodott szakemberek akik, ha már ismerik a szervezet vállalatirányítási rendszereit, ezt a pozíciót el tudja látni havi néhány napban. Költségoldalról, a kiszervezett internal auditori tevékenység már megfontolást tárgyát képezheti a tulajdonosok számára, ezáltal biztosítva saját maguk részére kialakított független, belső védelmi vonalat.
Kik tudnák a belső ellenőri tevékenységet ellátni a vállalkozói szférában (milyen tudású szakemberek szükségesek)?
Ellenőrzésben jártas gazdasági szakemberek pl. könyvvizsgálók, számviteli-, pénzügyi vezetők, akik rendelkeznek magas szintű informatikai ismeretekkel és vállalatirányítási tapasztalatokkal is, akik folyamatosan képzik magukat. Alapvetően a tisztesség, becsületesség, megbízhatóság és szakmai elkötelezettség jellemzi ezeket az embereket. Különösen fontos, hogy jeleskedjenek konfliktuskezelésben és problémamegoldásban is.