Beszámoló az IIA Croatia 11. szakkonferenciájáról print

croatia2019. április 11-13 között került megtartásra a horvát társszervezetünk, az IIA Croatia 11. szakkonferenciája a festői Opátiai Riviérán, a Monarchia-beli, egyszersmind hamisítatlan mediterrán hangulatot ötvöző Lovran városában, melyen az IIA Croatia meghívására vettem részt.

Meg kell hagyni, a horvát kollégák jól csinálják: minden konferenciájuk egy tengerparti szállodában kerül megszervezésre, ami önmagában is óriási vonzerőt jelent. Ugyanakkor szakmailag is érdekes volt az idei konferencia, ami a belső ellenőrzés fentarthatóságának legjobb gyakorlataival foglalkozott. Plenáris előadók az első napon Mike Taylor, az Egyesült Királyság és Írországi IIA korábbi vezetője, és Thomas Pivonka, a Cseh társszervezetünk elnöke, a második napon pedig Martin Wiedemann, az E&Y belső ellenőrzésért regionális szinten felelős partnere és jómagam voltunk. (Minden más előadás horvátul volt, tolmácsolás nélkül.)

Taylor úr a kockázatalapú belső ellenőrzés szükségességéről és fejlesztési lehetőségeiről tartott előadást. Szerinte szükség is van a fejlesztésre, mert egy nemrégiben készült angliai felmérés szerint a fő stakeholderek közül csak 44% gondolta (a korábbi 54%-hoz képest), hogy a belső ellenőrzés számottevő hozzáadott értéket képvisel a szervezeten belül és ezen stakeholderek mintegy 70%-a gondolja úgy, hogy a belső ellenőrzés nem veszi ki kellően a részét a mai „diszruptívnak” nevezett folyamatok kezeléséből. Ugyanezen kör mindössze 9%-a tekinti a belső ellenőrzést egy megbízható, hiteles tanácsadó („trusted advisor”) funkciónak. Taylor úr szerint ennek oka a tervezési hiányosságokban keresendő, többek között a még mindig erős ciklikus tervezési megközelítésben, melyet fel kell, hogy váltson a kizárólag a szervezet fő tevékenységének mély megértésén és annak kockázatértékelésén alapuló módszertan. Richard Chambers-t, az IIA Global Elnökét idézve azt mondta, hogy az első számú ok, amiért a belső ellenőrzési funkciók jellemzően nem felelnek meg a stakeholder-i elvárásoknak az, hogy elkerülik az igazán magas kockázatú területeket és elfogadják a hatókörükre vonatkozó korlátozásokat. Az előadás végén praktikus megfontolások is ismertetésre kerültek, pl a saját tervezés melletti külső inputok figyelembe vételére, az esetleges scoring eljárásokra, a terv finomítására, véglegesítésére vonatkozóan.

Thomas Pivonka, aki egyben az ECIIA elnökségi tagja is, arról beszélt, hogy miként lehet kevés audit erőforrással is sokat elérni. Ehhez szerinte négy dolog kell: ismerjük magunkat (mi a mi szakmai célunk), ismerjük a stakeholdereket (ők mit szeretnének), a belső ellenőrzés megfelelő pozícionálása (hol tudja most a legnagyobb hatást kifejteni) és az alaposan megfontolt munkavégzés (folyamatosan törekedni arra, hogy a legkisebb energiabefektetéssel a legnagyobb hatást tudjuk elérni). Mindezt a saját példáján keresztül, a CEZ csoport (Európa 8. legnagyobb energiaszolgáltatója) belső ellenőrzési vezetőjeként mutatta be. Az első szempontnál azt emelte ki, hogy definiálni kell magunkban mi is a cél. Náluk az, hogy érezhető hatást gyakoroljanak a cégcsoportra és ezáltal pozitív változásokat indukáljanak. A második szempontot ketté bontotta: a CEZ audit bizottságának elvárása, hogy egy modern belső ellenőrzést működtessen és évente értékelje a belső kontroll rendszer állapotát, míg a vezérigazgatója úgy fogalmazta meg, hogy „tegye azt, amit ő tenne ha lenne rá ideje”. Ez utóbbiba beletartozik a kiemelt projektek minőségbiztosítása, részvétel a problémás leánycégek felügyelő bizottságában, eseti elmélyülés és tanácsadás egyes fontos kérdésekben igény szerint, stb. A harmadik kapcsán kiemelte a belső ellenőrzési csapat megfelelő összeállítását (hogy az össz-kompetencia megfeleljen az audit univerzum alapján megfogalmazott fő kockázatoknak), folyamatos motiválását és személyes és szakmai fejlesztését. Végül a negyedik szempont alatt olyan példákat hozott, mint:

  • a vizsgálati előkészületre illetve a vizsgálati eredmények kommunikálására való fókuszálás (előbbi a befektetett idő/energia akár 30%-át, míg utóbbi akár a 40%-át is elérheti),
  • annak felmérése, hogy mekkora hatást lehet elérni a vizsgálat által és mi kell a hatás bekövetkezésének biztosításához (mindenek előtt: jó follow-up),
  • az alkalmazott tervezési eljárások megfelelősége (vizsgálataik kb. egy-egy negyede szabályozói jellegű, kockázati alapon meghatározott, menedzsment által kért illetve a belső ellenőrzési vezető által elrendelt),
  • végül az audit funkció egy hatékony belső marketingje.

A rendezvény házigazdája, egyben az IIA Croatia elnöke és a konferencia szervezője, Jasna Turkovic volt, aki hamisítatlan horvát vendéglátással örvendeztette meg a résztvevőket. Az első nap végén kirándulást tettünk az isztriai Hum-ba, ami a világ legkisebb városa címmel büszkélkedik, hiszen minden a horvát jog szerint ehhez szükséges funkciója (polgármester, stb) megvan, ugyanakkor csak 27-en lakják (pardon: a helyiek szerint majdnem 28-an, mert az egyik lakos várandós). Az odavezető úton át kellett menni az Opatia felett magasodó hegy, az Ucka gyomrán át fúrt alagúton, hogy bejussunk Isztria szívébe. Az alagútról (és a horvát bürokráciáról) megtudtuk, hogy több, mint 7 éven át tartott a papírmunka, utána már csak meg kellett építeni, ami 3 év alatt volt meg. A városlátogatást követően egy helyi tavernában kóstolhattunk helyi sonkát, sajtot, olivabogyót, helyben sült kenyeret és az Ucka hegy „levét”, a helyi bort.

A második nap első plenáris előadójaként a társ védelmi vonalakkal való együttműködés fontosságáról és gyakorlati megvalósításáról tartottam előadást, melynek elkészítésében nagy segítségemre volt a témában megtartott március 13-i budapesti konferenciánkon kapott számos impulzus. Szó esett benne a 3 védelmi vonal modelljének hasznosságáról és egyben a felülvizsgálatának szükségességéről, arról, hogy a belső ellenőrzésnek immár nem egy „hermetikusan elzárt” harmadik védelmi vonalként, hanem szükség esetén akár egy operatív „task force” tagjaként is képesnek kell lenni működnie. Szó volt továbbá az integrált bizonyosságnyújtás jelentéséről, tartalmáról, az ezzel kapcsolatos stakeholder-i elvárásokról, illetve hogy miként profitálhatunk ebből mi is auditorokként. Végezetül az együttműködés lehetséges területei is áttekintésre kerültek, a tervezésben, a feladatok-végrehajtásában, azok eredményéről való beszámolásban, a follow-up-ban, vagy akár kiemelt projektekben való kooperáció konkrét megvalósíthatóságára vonatkozó példákon keresztül.

A legutolsó plenáris előadó Martin Wiedemann volt, aki a digitalizációról és annak a belső ellenőrzésre gyakorolt hatásáról beszélt. Kiemelte a napjainkban tapasztalható, gyakorlatilag az élet minden területét érintő változások „diszruptív” (paradigmaváltással felérő) jellegét, hogy a változási ciklusok egyre gyorsabbakká válnak, lényegében a teljes működési környezet (mindenki és minden szervezet vonatkozásában) drámai változáson megy keresztül, ami a szervezetek működési modelljében és az ott dolgozók hozzáállásában is mélyreható változásokat okoz.

Mindez szükségessé teszi a kockázatokhoz való hozzáállás megváltoztatását is, a puszta mitigáció helyett, azok tekintetében az „upside” (felfele mutató, lehetőségeket jelentő), az „outside” (külső, a szervezet által nem befolyásolható) és „downside” (lefelé mutató, veszélyeket rejtő és továbbra is mitigálandó) kockázatok szerinti megkülönböztetést javasolta a szervezetek számára.

És hogy mindez mit jelent a belső ellenőrzés számára? Szerinte a jövőben az audit egyre inkább az „irányítótorony” szerepét fogja betölteni, a kockázatok monitoringja egyre nagyobb mértékben automatizálásra kerül (és lehetővé válik azok valós idejű megfigyelése, jelzése). Ennek keretében a belső ellenőrzés szerepe nem megváltozni, hanem sokkal inkább továbbfejlődni fog: ideális esetben az audit egy, a szervezet vezetésébe mélyen integrálódott, előre tekintő, proaktív funkció lesz, amely a hagyományos bizonyosság-nyújtáson (amely kibővül majd a „downside” kockázatokra való fókuszálásról az „upside” és az „outside” kockázatok elemzésére is) túl stratégiai tanácsadóként is működik majd.

A jövő belső ellenőrzésének kulcs-szavai az agilitás, a rugalmasság és a dinamizmus, a markánsabb (tanácsadó jellegű) értékelések „bevállalása”, a tevékenység-végzés és a riporting digitalizálása, amelyet megfelelő mértékben támogat a technológia és az új feladatokhoz igazodóan összeállított (úgy külső, mint belső) erőforrásokból álló csapat.

Ez persze a jövő. Hogy mit lehet ma csinálni? Wiedemann úr erre is fogalmazott meg javaslatokat: Mindenek előtt érdemes egy őszinte és alapos önértékeléssel kezdeni: hol állunk ma a technológia alkalmazásával (szervezeten belül, illetve külső benchmarkokhoz is viszonyítva) és melyek az automatizálásra leginkább érett területek (az előadó szerint biztos, hogy minden audit funkcióban vannak már ilyenek). Ezt követően határozottan fel kell vállalni a szükséges befektetéseket, kezdve az „alacsonyan csüngő gyümölcsökkel”, azaz a legkönnyebben megvalósítható projektekkel. Innen kiindulva pedig meg kell tudnunk fogalmazni azt az értékajánlatot (business case-t), amivel az erőforrások felett diszponáló stakeholdereket meg tudjuk győzni a befektetések szükségességéről, ezzel párhuzamosan pedig tudatosan és szisztematikusan kell alakítani a belső ellenőrzési csapatot ahhoz, hogy a technológia lehetőségeinek maximális kiaknázására alkalmas emberek alkossák azt.

Összességében sok értékes gondolattal és kellemes benyomással gazdagodtam a konferencián való részvétel által. A rendezvény körülményei kapcsán az is felmerült (és erről már az Elnökség szintjén is beszéltünk), hogy kísérletképpen egyszer mi is rendezhetnénk konferenciát Budapesten kívül is. A közeljövőben igyekszünk majd felmérni a tagság ezirányú preferenciáit és ha ez a felmérés ezt alátámasztja, akkor egy rendezvényünket akár turisztikailag is vonzó helyszínen (pl a Balatonnál?) is tarthatnánk a jövőben.

Dr. Gajdos Márton CIA, CISA
A BEMSZ Elnöke