3 belső ellenőrzési kihívás és trend a COVID tükrében
Évindító 2022 – kihívások
Ma már, 2022 elején láthatjuk, hogy a COVID szükségessé tette a gyors újratervezést a vállalatok részéről, ahol azt érezhetik a cégvezetők, hogy most kell az elsők között ébernek maradni és gyorsnak lenni, vagyis rugalmasan alkalmazkodni, hogy le ne maradjon a vállalat (sok esetben, hogy egyáltalán fennmaradjon), illetve, hogy megfeleljen a pandémia okozta egyre gyorsabban változó piaci és szabályozói elvárásoknak. Az új normalitáshoz való rugalmas alkalmazkodás az IA / Compliance részéről is elkerülhetetlenné vált. Most 3 kulcskihívásra hívjuk fel a figyelmet, amit érdemes alaposan megfontolni 2022-ben:
- Dinamikus kockázatértékelés szükségessége
A belső ellenőrzés előtt jelentős kihívássá vált, hogy hatékonyan azonosítsa a kulcsfontosságú kockázatokat, hogy támogatni tudja a szervezeteket abban, hogy azok a megfelelő, mégis prudens, növekedési sávban maradjanak az elkövetkező időszakban. Ehhez dinamikusabban kell a kockázatokat követni és értékelni, és ehhez alkalmazkodó programokat megalkotni – példa erre a Dynamic Risk Assessment (DRA), ami egy olyan módszer, ami segíti a stratégiai tervezést és lehetővé teszi a folyamatos nyomon követést, azaz a kockázatok mérését és értékelését. A DRA újdonsága, hogy nem csak időben vizsgálja az egyes kockázatok változását, hanem a közöttük lévő kapcsolatot is elemzi. Némely kockázatok jobban kapcsolódnak egymáshoz, mint az összes többi kockázat a hálózatban, melyek klasztereket alkotnak és egy változás során „együtt mozognak” (KPMG 2021 – The powerful four, DRA). Annak érdekében, hogy a belső ellenőrzési funkció továbbra is releváns tudjon maradni az üzlet számára és a legtöbb értéket tudja teremteni a szervezet számára, már nem elegendő az éves ciklusban történő kockázatértékelés. Azt folyamatosan monitorozni szükséges, aminek eredményei alapján az audit terv felülvizsgálatra kerülhet.
- Egyre növekvő elvárások
A belső ellenőrzéssel szembeni elvárások egyre növekednek, mind a bizonyosságot nyújtó, mind pedig a tanácsadói tevékenység ellátását nyújtó tevékenységekkel kapcsolatban. Ezért egyre sokrétűbb és mélyebb szakértelmet kívánnak meg a belső ellenőrzési feladatok, akár olyan speciális témákban is, mint az IT, kiberbiztonság, ESG/fenntarthatóság, HR, számviteli vagy aktuáriusi tevékenység. Ezeket az igényeket sokszor felerősítik a COVID miatt egyre gyorsabban változó és szigorúbbá váló szabályozói elvárások (KPMG 2021 – Financial Risk & Regulation). Például, minden eddiginél több érintett fókuszál a pénzügyi jelentések pontosságára, a részvényesek pedig azt követelik, hogy a könyvvizsgálók előremutatóbban értékeljék a szervezet állapotát. Olykor mind a hazai, mind a nemzetközi szabályrendszereknek való megfelelésre is szükség van, így a szervezeti irányítás és a compliance terület még nagyobb prioritást kap, különösen azoknál a szervezeteknél, amelyek nemzetközi ügyfelekkel vagy irodákkal rendelkeznek.
- Erőforrás-kihívások
Egyre nagyobb kihívást jelent a belső ellenőrzési funkció erőforrás-szükségleteinek és kapacitásainak dinamikus kezelése is. Ez adódhat egyrészt a már említett kockázatok, az azokhoz kapcsolódó feladatok volatilitásának változásából. Az időszakosan ismétlődő pl. év végi munkacsúcsok mellett, a COVID kapcsán is egyre több nem tervezett, ad hoc elrendelt, célzott vizsgálat lehet szükséges, továbbá a különböző hatósági vizsgálatok is egyre több kapacitást igényelnek, mely további, még jelentősebb és hosszabb ideig fennálló munkacsúcsokat alakít ki időlegesen erőforráshiányt okozva. Ad hoc munkacsúcsokat okozhat még emberi oldalról történő változás is: egy nem tervezett felmondás, passzív állományba kerülés, tartós távollét, betegség vagy egy hosszabb kiküldetés, esetleg egy belső projektmunkába való bevonódás vagy egy magas prioritású hatósági vizsgálatban való részvétel. Mivel a munkaerőpiacon ebben a szakmában is jelentős lassulás érzékelhető, a hagyományos munkamódszerekkel, létszámbővítéssel ezek nehezen kezelhetőek, hiszen sok esetben speciális tudásra csak időszakosan van szükség, valamint a felvételi folyamat akár 3-6 hónap is lehet. Ez mind resource management szempontokból fejfájást okozhat a vállalat, illetve az IA / Compliance vezetőknek. A megfelelő erőforrások előzetes és pontos allokálásának a hiánya a jövőben még többe kerülhet. Ezek korlátot jelenthetnek a kockázatok lefedése, az üzleti relevancia és a csapat értékteremtési képessége szempontjából.
Tehát látható, hogy több ok miatt is szükségesé válhat a belső ellenőrzési funkció külső erőforrásokkal való támogatása, „kiszervezése”, aminek módja nagyban változhat a terület méretétől, kapacitásától, szaktudásától, illetve a munkacsúcsoktól függően. Az IA kiszervezésének 3 lehetséges típusát különböztetjük meg:
- „Outsourcing”: tevékenység vagy funkció, avagy a teljes folyamat kiszervezése, külső forrás által történő ellátása.
- „Co-sourcing”: tevékenység vagy funkció, avagy a folyamat külső és belső források közös felhasználásával történő ellátása.
- „Szakértő bevonása” (ad-hoc): speciális szaktudást igénylő feladat ellátása, mely az outsourcing vagy co-sourcing szerződés része is lehet.
Az új ismeretek és munkamódszerek – mint például a DRA – implementálása kapcsán is kiemelkedően hasznos az outsourcing és co-sourcing lehetőségei, hiszen ily módon gyorsabban mobilizálhatók az új ismeretek, tudáselemek és az erőforrásigényt is gyorsabban lehet mobilizálni. Az IA kiszervezése egy független nézőpontot és professzionális szakértelem bevonását jelenti, amely egy nehéz gazdasági környezetben is megfelelő rezilienciát, illetve értékteremtést biztosít.
Kitekintés 2022-re – trendek
Új korszak köszönt ránt a belső ellenőrzésben. A világjárvány főbb csúcspontjaival – reményeink szerint – a hátunk mögött, az ehhez tartozó bizonytalansággal és válságmenedzsmenttel együtt a belső ellenőrzés 2022-re abba az érdekes helyzetbe került, hogy egy rugalmasabb üzletmenet érdekében a szervezeteket új kockázati elemek mentén kell átvezetnie. A belső ellenőrzésben 3 új top trend jelenik meg, melyeket egy belső ellenőrzési vezetőnek kiemelten fontos lesz szem előtt tartania:
- Az IT szerepének további növekedése
A 2020-2021-es évek a jelentős kihívások és átalakulások évei voltak, összetett működési és kockázatkezelési kihívások elé állítva az IT-t és a belső ellenőrzést (IA), melyek megrengették a status quo-t. Az IA-funkciók számára mindig is kihívást jelentett, hogy korlátozott költségvetéssel és erőforrásokkal, hogyan lehet a legjobban priorizálni, hogy a belső ellenőrök hol töltsék idejüket. A KPMG felmérést végzett az IT belső audit vezetőivel szerte a világon, hogy segítsen azonosítani azokat a területeket, amelyekről úgy gondolják, hogy a legnagyobb hatást érik el, és ötleteket osszanak meg azzal kapcsolatban, hogy az IT belső ellenőrzési funkció hogyan tud hozzáadni értéket és hogyan lehet releváns az új valóságban. A KPMG felmérése az alábbiakat azonosította, mint kulcsfontosságú kockázati területek (és a lehetséges IT belső ellenőrzési tevékenységek):
- Új technológiák és megoldások adaptálása, mint például tömeges adatbázis/ adattárház szintű automatizált detektív kontroll vizsgálatok, robotizált üzleti folyamat automatizáció (RPA), gépi tanulási algoritmusok implementálása mintázatok automatizált felismerésére
- Kiberbiztonság (kiberbiztonsági folyamat/kiberköltség-optimalizálás, vállalati szintű adatvédelmi program, adat menedzsment és governance audit, „kiber tudatosság” képzési program, fraud értékelés).
- Üzleti változások (az irodába való visszatérés keretrendszerének, stratégiáinak, technológiai vonatkozásainak értékelése).
- Alapvető informatikai műveletek/kritikus infrastruktúra (katasztrófa-helyreállítási rendszer architektúra dizájn értékelése, kommunikációs tervek áttekintése, a belső és harmadik felek közötti függőségek felmérése).
Munkamódszereink megváltoztak, a szervezetek pedig továbbra is olyan összetett transzformációs tevékenységeket hajtanak végre, amelyek új kihívások elé állítják az IT belső ellenőrt, hogy relevánsak maradjanak és értéket biztosítsanak a szervezet számára.
- A belső ellenőrzés automatizáltabbá válik
2022-ben a becslések szerint az óriásvállalatok 90%-a rendelkezik majd valamilyen formában robotizált üzleti folyamat automatizálási eszközzel (RPA), illetve az RPA szoftverek bevétele globálisan várhatóan meghaladja majd az 1,58 milliárd dollárt, ami nagyjából 20% -os növekedést jelent (Gartner 2020). Íme néhány olyan terület, ahol az automatizálás a legnagyobb hatást gyakorolhatja a belső ellenőrzésre:
- Adatgyűjtés elemzéshez: az RPA olyan elemzéseket hozhat létre, amelyek ellenőrzik a mezők és az ismétlődések teljességét, szignifikánsan lerövidítve az időt, amit a belső ellenőrzés általában adatgyűjtésre használna.
- Kockázatelemzések: az éves kockázatértékelési folyamatok egyre jobban automatizálhatóak, melyek segítsenek az auditnak a trendek elemzésében, illetve a sürgetőbb kockázatok feltárásában.
- Populációk összeállítása: az automatizálási technológia hatékonyabban és pontosabban képes feldolgozni az adatpopulációkat, különösen nagy adathalmazok kezelésekor.
- Kontrollok automatizálása: az automatizálás elvégezheti a kontroll teszteléseket, előtérbe helyezve az audit számára a legsürgetőbb feladatokat.
- Kiemelt tendencia a holisztikus megközelítés alkalmazása a harmadik felek kockázatkezelésére (TPRM)
A TPRM a kockázatkezelés azon formája, amely a harmadik felekhez (szállítók, beszállítók, partnerek, vállalkozók vagy szolgáltatók) kapcsolódó kockázatok azonosítására és csökkentésére szolgál, illetve segít tisztán látni egy szervezet erősségeit és gyengeségeit. A harmadik felek kockázatkezelése kulcsfontosságúvá vált a szervezetek számára – ennek része lehet, például az IT-szállító kiberrugalmasságának felmérése vagy a szerződéseknek való megfelelés (contract compliance). A TPRM programok a pandémiából levont tanulságokra építenek, hogy a szervezetek magabiztos, informált kockázati döntéseket legyenek képesek hozni a harmadik felekkel kapcsolatosan. A harmadik felek menedzselése kockázati szempontból a 6 lépcsős TPRM életciklusra alapszik. Ezek a screening, onboarding, értékelés, kockázatcsökkentés, monitorozás és az offboarding. A TPRM értékelés magában foglalja az összes különféle kockázat azonosítását, értékelését és ellenőrzését, amelyek a harmadik felekkel fennálló kapcsolatok teljes életciklusa során kialakulhatnak. Az értékelés fontos sarokköve, hogy azonosítja és elemzi a külső szolgáltatóknak történő kiszervezéssel kapcsolatos kiberkockázatokat is.
A belső ellenőrzés egyre nagyobb hangsúlyt fektet annak a felmérésére, hogy ezen harmadik feles kockázatokat a szervezet miként kezeli folyamataiban, szerződéses feltételeiben és egyéb kontrolljaiban és mechanizmusaiban, ami biztosíthatja a magasabb szintű üzleti rugalmasságot.
A KPMG professzionális belső ellenőrzési, kockázati és compliance megoldásai kapcsán részletek itt olvashatók.
Bővebb profil
