2021. július 18.
Ahogy a világ lassan kilábal a történelmi Covid–19 világjárványból, sokat gondolkodtam azon, milyen tanulságokat kell levonnia a belső ellenőrzési szakmának az elmúlt évből. Az egyik megfigyelésem az volt, hogy azok a belső ellenőrök, akik feltűrték az ingujjukat és segítettek szervezetüknek megküzdeni a példátlan zavarokkal, jártak a legjobban. Megnyerték vagy megőrizték kulcsfontosságú érdekelt feleik támogatását, és büszkék lehetnek az értékre, amit nyújtottak. Az ezekkel az ellenőrökkel folytatott beszélgetések során lenyűgözött a szenvedélyük, bátorságuk és innovációjuk. Míg a szakma egy része lehajtott fejjel követte a járvány előtt kidolgozott ellenőrzési terveket, a bátor belső ellenőrök felkeresték a szervezetük előtt tornyosuló viharfelhőket, és a vihar felé hajóztak.
A veszélyt a legtöbb ember kerüli. A biztonság és a védelem iránti vágy mélyen gyökerezik. Ugyanez igaz az üzleti életben is, ahol gyakran ösztönös a hajlam arra, hogy a lehetőségekre összpontosítsunk, ne pedig a kockázatokra. Olyan kényes témákat, mint a vezetői javadalmazás, jogi megfelelés, kultúra, esélyegyenlőség és inklúzió, gyakran kerülik, mert attól tartanak, hogy ezek felvetése haragot vált ki azokból, akik esetleg kudarcot vallottak.
A tapasztalat azonban megtanított arra, hogy ez a „szemet hunyás” hajlamos súlyosbítani a feltáratlan problémákat. Hiszen a füst forrásának figyelmen kívül hagyása könnyen vezethet ellenőrizetlen tűzhöz.
Sajnos egyes belső ellenőrök attól tartanak, hogy a magas kockázatú területek ellenőrzése nem talál kedvező fogadtatásra a felső vezetésnél. Mások bizonytalanságból vagy a kudarc félelméből nem vállalják az új vagy ingatag kockázatok vizsgálatát. A történelem pedig azt mutatja, hogy sok vezető és szervezet nem értékeli a felügyeletet, sőt megtorlást alkalmaz azokkal szemben, akik szembesítik őket. De ha röviden megvizsgáljuk ezt az „elkerülési játékot”, gyorsan kiderül, hogy a kényes témák kerülése nem tartja meg a vezetés jóindulatát, és nem óvja meg a szervezetet a bajtól.
Korábbi blogbejegyzésemben a vezetői javadalmazást „harmadik sínnek” neveztem a belső ellenőrzés számára. Valóban, a felmérések azt mutatják, hogy a legtöbb belső ellenőr minimális vagy semmilyen erőfeszítést nem tesz a felsővezetői fizetések vizsgálatára. A CAE-k gyakran magánbeszélgetésekben osztják meg velem, hogy elkerülik a témát az extrém érzékenység és a karrierkockázat miatt.
Sajnos a vezetői javadalmazás elkerülése nem csökkenti a kockázatot. Sőt, az ilyen programok idővel még nagyobb kockázatot jelentenek, ha sosem vizsgálja őket független és tárgyilagos forrás.
Írtam már a belső ellenőrzés és a jogi igazgató közötti feszült viszonyról is. Túl gyakran panaszkodnak a CAE-k, hogy a jogi igazgatók inkább a hírnév- és jogi kockázatokkal törődnek, mintsem hogy lehetőséget adjanak a belső ellenőrzésnek a munka eredményeinek teljes körű bemutatására. Elismerem, hogy a hírnév- és jogi kockázatok fontosak. De a jogi igazgatók túl gyakran inkább eltüntetnék ezeket a kockázatokat az ellenőrzési jelentésekből – gyakorlatilag elhallgattatva a belső ellenőrzést, hogy ne osszon meg kritikus információkat az igazgatósággal vagy az auditbizottsággal.
A hírnévkockázatoktól való félelem nem korlátozódik a jogi osztályra. Gyakran a közszférában dolgozó ellenőröket választott tisztviselők próbálják eltántorítani a kellemetlen megállapítások közzétételétől. Az Internal Audit Foundation könyve, The Politics of Internal Auditing, egy olyan esetet mutat be, ahol egy város belső ellenőrzési csapata feltárta, hogy a földvásárlások értékbecslési és tárgyalási folyamatai sérültek. Független értékbecslések alapján úgy tűnt, hogy a város akár 25%-kal többet fizetett az ingatlanokért. A választott tisztviselők és a felső vezetés nyomása ellenére a CAE nyilvánosságra hozta csapata megállapításait. Sajnos a helyes döntés az állásába került, amikor ugyanaz a testület nem hosszabbította meg a szerződését.
Évek óta hangsúlyozom a kultúra hatását a kockázatra. Ez is tabunak számíthat a belső ellenőrzés számára, különösen olyan cégeknél vagy régiókban, ahol erős a tekintélytisztelet. A kihívás itt az, hogy legyőzzük a felsővezetők feltételezett tévedhetetlenségét, vagy pontosabban azt a kulturális konvenciót, hogy az ilyen kihívások tiszteletlenek vagy helytelenek.
Valószínűleg mindannyian találkoztunk már olyan felsővezetőkkel, akik felháborodnak a jelentéseinkben szereplő valós vagy vélt kritikán. Ha ez szélsőséges méreteket ölt, ezek a vezetők nyílt ellenfelei lehetnek a belső ellenőrzésnek. Ilyenkor nem szabad elkerülni a kockázatalapú ellenőrzést az ő felelősségi területeiken. Ehhez bátorság kell, és a bátor belső ellenőrök hajlandók zárt ajtókat döngetni és a vihar felé hajózni. Ez visszavezet minket a járvány tanulságaihoz.
Amikor a Covid 2020 elején gyorsan megjelent, sok belső ellenőrzési terv már készen állt. A biztonságos út az lett volna, hogy maradjanak a kijelölt pályán. Könnyebb lett volna elvégezni a tervben szereplő ellenőrzéseket, és a vezetésre hagyni a szervezetet sújtó ingatag és félelmetes kockázatok kezelését. Hiszen mit tehetett volna a belső ellenőrzés az üzletmenet-folytonossági tervek, az ellátási lánc zavarai vagy az egészségügyi kockázatok értékelésében, ha ezek már megjelentek? A szakma „viharvadászai” nem riadtak vissza. Belevágtak az üzletmenet-folytonossági tervek hatékonyságának értékelésébe, és ahol szükséges volt, bizonyosságot és időszerű ajánlásokat nyújtottak. Gyorsan azonosították az újonnan felmerülő ellátási lánc kockázatokat, és az elsők között ismerték fel a karanténban dolgozó munkaerővel kapcsolatos fokozott kiberbiztonsági kockázatokat.
A 2020-as tanulságok 2021-ben is érvényesek. A kiberbűnözők lázas tempóban tevékenykednek, az éghajlattal kapcsolatos kockázatok világszerte megjelennek, és a Covidhoz kapcsolódó kockázatok szinte naponta változnak. Arra biztatom a belső ellenőrzési vezetőket mindenhol, hogy ragadják meg a lehetőségeket, összpontosítsanak az új és felmerülő kockázatokra, és hajózzanak a vihar felé.
Richard Chambers
Forrás: https://www.richardchambers.com/courageous-internal-auditors-are-storm-chasers/