2024. december 18.
Szeretek ellentmondásos lenni és elgondolkodtatni az embereket.
Remélem, hogy ez a poszt pont ezt fogja elérni.
Készen állsz arra, hogy félretedd a hagyományokat, mindent, amit eddig hittél és tettél a belső ellenőrzésben?
Igazán nyitott az elméd?
Remélem, igen.
Nemrégiben a LinkedIn-en kérdeztem meg embereket arról, hogy megkérdezték-e az igazgatótanácsban (vagy az auditbizottságban) és a felsővezetésben lévő ügyfeleiket, hogy olvasták-e az ellenőrzési jelentéseket. A legtöbben azt mondták, hogy megkérdezték. Mindössze 15% mondta, hogy ügyfeleik elolvasták a teljes jelentést, míg 27% azt mondta, hogy csak a vezetői összefoglalót olvasták el.
Ha csak az összefoglalót olvassák el, akkor mi értelme több jelentést küldeni nekik?
Képzeljük el, hogy egy belső ellenőrzési vezető részt vesz a vezérigazgató vezetői csapatának ülésén, és megkérdezi, hogy milyen információkat szeretnének kapni.
Képzeljük el továbbá, hogy brutálisan őszinték. Elmondják a belső ellenőrzési vezetőnek, hogy nagyra értékelik a belső ellenőrzést, de:
A jelentések túl hosszúak,
Túl sok időt vesznek igénybe (amiből nekik kevés jut) az elolvasásukhoz,
Hetekkel az ellenőrzés lezárása után érkeznek, és
Nem mindig teszik világossá, hogy mit kell tudniuk (ha egyáltalán van valami), és mi alapján kell cselekedniük.
Azt mondani, hogy valami magas kockázatú, nem ugyanaz, mint megmondani, hogy melyik felsővezetőt kell személyesen bevonni, ha van ilyen.
A vezetők azt mondják a belső ellenőrzési vezetőnek, hogy számítanak a közvetlen jelentéseikre, hogy szóljanak nekik, ha probléma van, és teljes mértékben elvárják tőlük, hogy minden problémával foglalkozzanak. Az ellenőrzési jelentés általában nem mond nekik semmi újat, amit tudniuk kellene!
Néhányan azt kérdezik, hogy a belső ellenőrzési vezető nem tudna-e csak egy e-mailt küldeni nekik néhány pontot, esetleg csak az általános véleményt, ha komoly probléma merül fel, és hogy ez mit jelentene számukra.
Nem igazán van szükségük ellenőrzési jelentésre, ha minden rendben van, vagy csak kisebb problémák vannak, amelyeket a csapatuk kezel.
Valójában a legtöbbjük arra gondol, még ha nem is mondja ki, hogy „miért nem tud a belső ellenőrzési vezető eltekinteni az ellenőrzési jelentésektől, és csak akkor hívja fel őket, ha valami fontos megbeszélnivaló van?”.
A vezérigazgató egyetért a változtatás szükségességével, és arra kéri a belső ellenőrzési vezetőt, hogy találjon módot arra, hogy csak azt közölje, amit közölni kell, és könnyítse meg a csapata számára az eredmények befogadását és szükség esetén az azok alapján történő cselekvést.
Ő maga örülne, ha havonta vagy akár negyedévente kapna helyzetjelentést. (Az ellenőrzési jelentések olvasása nem olyasmi, amit nagyon vár. Általában ezzel múlatja az időt, amikor repül).
Ha komoly probléma merül fel, elvárja, hogy a belső ellenőrzési vezető találkozzon vele vagy a megfelelő felsővezetővel, hogy megbeszéljék azt.
Az utolsó dolog, amire szüksége van, hogy elolvasson egy csomó szót, és ki kell találnia, mit kezdjen velük.
A belső ellenőrzési vezető megemlíti, hogy néhány kollégájának van egy „egyoldalas ellenőrzési jelentésnek” nevezett gyakorlata, és körbead egy példányt.
A vezetők megrázzák a fejüket, és azt mondják a belső ellenőrzési vezetőnek, hogy még az egy oldal is több adatot tartalmaz, mint értékes információt, és nem kell minden ellenőrzés után kapniuk egyet.
A belső ellenőrzési vezető megköszöni, de nem tesz más ígéretet, mint azt, hogy meglátják, mit tehetnek.
Amikor azonban az auditbizottság tagjai nagyjából ugyanazt a választ adják, a belső ellenőrzési vezetőt meggyőzik arról, hogy cselekedni kell.
Készen áll a változásra. Tudja, hogy az ügyfelei ezt akarják.
De előbb időt kell szánnia a gondolkodásra, és fel kell tennie magának néhány nehéz kérdést.
Miért írunk ellenőrzési jelentéseket - még ha azok csak egy-két oldalasak is?
Ennek számos oka lehet, többek között:
Ön elfogadná ezt a választ a vezetőségtől, amikor megkérdezi tőlük, hogy miért csinálnak valamit?
Nagyon remélem, hogy nem!
Csak azt tegye, ami hozzáadott értéket teremt az ügyfél számára.
Ez nem igaz.
Sem a korábbi IIA IPPF, sem az új GIAS (=Globális Belső Ellenőrzési Normák) nem írja elő az írásbeli ellenőrzési jelentés elkészítését.
A GIAS ezt mondja:
A "11.3 norma: Az eredmények közlése
Követelmények
A belső ellenőrzési vezetőnek rendszeresen és adott esetben minden egyes megbízás esetében tájékoztatnia kell a vezetőtestületet és a felsővezetést a belső ellenőrzési szolgáltatások eredményeiről. A belső ellenőrzési vezetőnek tisztában kell lennie a vezetőtestület és a felsővezetés elvárásaival a kommunikáció jellegével és időzítésével kapcsolatban.
A belső ellenőrzési szolgáltatások eredményei közé tartozhatnak:
• A megbízás következtetései.
• Olyan témák, mint a hatékony gyakorlatok vagy a kiváltó okok.
• A szervezeti egység vagy a szervezet szintjén levont következtetések."
Jegyezze meg ezt a mondatot: „A belső ellenőrzési vezetőnek rendszeresen és adott esetben minden egyes megbízás esetében tájékoztatnia kell a vezetőtestületet és a felsővezetést a belső ellenőrzési szolgáltatások eredményeiről.”
Az IIA azt mondja nekünk, hogy munkánk eredményeit (azaz a bizonyosságot, tanácsokat és véleményeket) úgy kell kommunikálnunk az igazgatótanácsban és a felső vezetésben lévő ügyfeleinkkel, hogy az segítse őket munkájuk elvégzésében.
Nem mondja meg, hogy hogyan kommunikáljuk, sőt azt sem, hogy minden ellenőrzés után így kell tennünk!!! (Itt lehet, hogy a hivatalos magyar fordítás szigorúbb, mint az eredeti szöveg? - Zsolt) Azt mondja, hogy „rendszeresen és adott esetben”.
Nem.
A mi eredményünk az a bizonyosság, tanácsadás és vélemény, amelyre az igazgatóságnak és a vezetésnek szüksége van - hogy rendszereik, folyamataik, kontrolljaik és szervezetük észszerű bizonyosságot nyújtanak arra vonatkozóan, hogy a vállalati célok elérését fenyegető jelentősebb kockázatok a kívánt szinten vannak.
Az IIA új normái meghatározzák a belső ellenőrzés célját.
"A belső ellenőrzés erősíti a szervezet értéket teremtő, védő és fenntartó képességét azáltal, hogy független, kockázatalapú és tárgyilagos bizonyosságot, tanácsot, mélyebb szakmai megértésre és az előretekintésre vonatkozó lehetőséget nyújt a vezetőtestület és a felsővezetés számára."
Nem azt mondja ki, hogy a célunk az, hogy ellenőrzési jelentéseket írjunk.
Az ellenőrzési jelentés a legjobb esetben is csak egy módja annak, hogy ezt az információt közöljük.
Miért van erre egyáltalán szükség?
Mit kell bizonyítanunk?
Beperelnek minket? Nagyon valószínűtlen.
A külső ellenőrnek a mi munkánkra kell majd támaszkodnia? Lehet, és ha igen, akkor valamit be kell mutatnunk nekik. Rendben, de a munkadokumentumok és a jóváhagyott cselekvési pontokat megerősítő feljegyzések is elegendőek lehetnek.
A szabályozó hatóságok követelnek jelentést? Talán, de a legtöbb szervezetet nem terheli ez a teher.
...és ne felejtsük el, hogy a belső ellenőrzési vezető negyedévente jelentést tesz az igazgatóságnak (vagy az igazgatóság auditbizottságának) az ellenőrzési tervvel kapcsolatos előrehaladásról. Ez a dokumentáció.
Ezt erősen kétlem!
Időt és erőforrásokat von el az ellenőrzéstől.
Ez egy egyirányú kommunikáció tőlünk feléjük. A legjobb kommunikációs módszerek kétirányú megbeszélést tesznek lehetővé.
Arra kéri az ügyfeleinket, hogy a korlátozott idejüket a jelentéseink olvasásával töltsék, mintha azok fontosabbak lennének, mint az asztalukon lévő más ügyek
Így akarnak az ügyfeleink információt kapni? Több jelentést is kapnak minden más funkciótól, például az információbiztonságtól, a megfelelőségtől, a pénzügyektől stb. Ezek a többi funkció valószínűleg havi vagy negyedéves jelentéseket ad. De mi nem?
Az operatív vezetést a záró értekezleten tájékoztatják, és velünk együttműködve meghatározzák a folyamatok és kontrollok korszerűsítéséhez szükséges cselekvési elemeket. Ezt a megbeszélést dokumentáljuk, és esetleg készíthetünk egy utólagos emlékeztetőt, hogy megerősítsük az elfogadott cselekvési elemeket. Ezeknek az ügyfeleknek többre van szükségük? Ezt a feljegyzést később felhasználhatjuk, ha nyomon kell követnünk a korrekciós intézkedések állapotát, vagy a jövőbeli ellenőrzések tervezése során.
A felső vezetésnek joga van arra támaszkodni, hogy a csapataik foglalkozzanak az általunk azonosított problémákkal, és teljesítsék az elfogadott intézkedési tételeket. El kell mondanunk nekik, hogy mik ezek az intézkedési tételek? Miért kell tudniuk? A lehető leghamarabb tudniuk kell a komoly problémákról, nem pedig megvárni, amíg elküldjük nekik az írásos jelentést.
Az igazgatótanács auditbizottsága a negyedéves üléseken kap tájékoztatást munkánk eredményeiről. Mi többre van szükségük? Ismétlem, a nagyon komoly ügyekről közvetlenül és azonnal értesíteni kell őket.
Senkit sem lehet megbeszélés nélkül, egy írásos jelentéssel rávenni valamire.
Tegyük félre azt az elképzelést, hogy minden ellenőrzés végén jelentést KELL írnunk.
Ismerjük fel, hogy a személyes találkozók konstruktív megbeszéléseket tesznek lehetővé, és nagyobb valószínűséggel vezetnek ahhoz, hogy a vezetés magára vállalja a felelősséget, és az intézkedési pontokat végrehajtja. Emellett remek lehetőséget biztosítanak számunkra a kapcsolatok és a hitelesség kiépítésére is.
Értse meg az ügyfeleit. Mit kell tudniuk, és mi a legjobb módja annak, hogy ezt az információt eljuttassuk hozzájuk?
Minden ügyfele ugyanúgy szeretné megkapni az információt? Meg tudja ezt könnyíteni számukra?
Ismerje fel, hogy egyes problémákat egyszerűen nem kell a folyamatgazdán túlra jelenteni, különösen, ha már kijavították őket.
Gondolja át, mi a legjobb módja annak, hogy a vezetőség (és mi) nyomon követhessük az összes intézkedési elemet. Egyes funkciók, például az IT, rendelkeznek olyan folyamatokkal, amelyeket arra terveztek, hogy nyomon kövessék őket.
Vannak-e olyan speciális követelményeink, amelyeknek a szabályozó hatóságok és/vagy a külső ellenőrök részéről meg kell felelnünk?
Most tervezze meg a kommunikációs folyamatot vagy folyamatokat.
Figyelje, hogyan működnek, és rendszeresen ellenőrizze ügyfeleivel.
Alkalmazkodjon, legyen rugalmas, és használja ki a technológiát, ahol az segíthet.
Egyetértesz?
Az ellenőrzési jelentések jelentik a legjobb módját az összes ügyfelével való együttműködésnek?
Felkészültél a változásokra?
Norman Marks
Forrás: https://normanmarks.wordpress.com/2024/12/18/what-if-you-didnt-write-audit-reports/
(Asszisztált gépi fordítás a DeepL segítségével.)