belso-ellenorzes-penzugyi-szektor-prioritasok-belso-ellenorzes-innovacioja-2022

Elemzések

Belső ellenőrzés innovációja

Belső Ellenőrzés a pénzügyi szektorban – Prioritások 2022-ben

6.1. Dinamikus kockázatértékelés

Miért fontos?

Ahogy a szervezetek és a vonatkozó – egyébként is gyorsan változó – szabályozói rendelkezések összetettsége nő, egyre világosabbá válik, hogy a hagyományos belső ellenőrzési módszerek, mint például az éves (statikus) tervezés, nem képesek azonnal feltárni a legfontosabb üzleti kockázatokat, amint azok felmerülnek. Míg a rugalmas gondolkodásmód és megközelítés alkalmazása a folyamatos tervezéssel ezt a problémát kezelné, az idő- és erőforrás-korlátok arra késztetik a belső ellenőrzési vezetőket, hogy mérlegeljék, hogyan használhatják a technológiát a kockázatértékelés dinamikusabb megközelítése érdekében. A dinamikus kockázatértékelési módszerek lehetővé teszik a szervezetek számára, hogy kiterjedt adatértékelés alkalmazásával közel valós időben nyomon kövessék és azonosítsák a kockázatokat. Ez egyedülálló lehetőséget kínál arra, hogy azonos erőforrásokkal, valós idejű bizonyossági modellekkel sokkal nagyobb lefedettséget, jelentős költségmegtakarítást és komolyabb előrelátást tegyenek lehetővé, illetve magasabb szintű bizonyosságot nyújtsanak.

Mi változott?

Az első és második vonalbeli kockázatértékelés módszerének javítása lehetővé teszi a szervezeteken belüli hatékonyságnövelést. Ilyen módszerek például az erőforrások (emberi és technológiai) elosztásának kockázatalapú megközelítése vagy a kockázatoknak az egész vállalaton belüli megvitatására szolgáló következetes mechanizmus.

Ez a megközelítés elősegítheti több funkció koordinációját, valamint az erőforrások és a kockázati lefedettség összehangolását, ugyanakkor a belső ellenőrzési bizonyosság nyújtásának dinamikáját is fokozhatja.

Mi a belső ellenőrzés feladata?

A valódi dinamika elérése érdekében fontos, hogy a belső ellenőrzés fokozza a kockázatértékelés valósidejűségét azáltal, hogy meghatározza az ellenőrzés fókuszát, és biztosítja, hogy maga a belső ellenőrzési funkció alkalmazkodó és rugalmasan reagáló legyen, és a megfelelő kockázatokat azonosítsa. A belső ellenőrzési funkcióknak át kell gondolniuk a feladatkörüket, és szükség esetén újra kell gondolniuk és át kell helyezniük a fókuszt annak érdekében, hogy előrelátóbbá és jobb tanácsadóvá váljanak, hogy ne csak jobb bizonyosságot nyújthassanak, hanem materiálisan több értéket adhassanak hozzá az üzleti tevékenységhez. A belső ellenőrzésnek továbbá támogatnia kell az első és második vonalbeli kockázatértékelési módszerek fejlesztését annak érdekében, hogy a kockázatértékelési módszer támogatására több adatvezérelt, valós idejű és nagy gyakoriságú monitoringot vezethessenek be. A belső ellenőrzésnek arra is törekednie kell, hogy az első és második védelmi vonal kockázatértékelési folyamatának továbbfejlesztését saját éves, időszakos és valós idejű kockázatértékelési és tervezési folyamataihoz is felhasználja. A következő területeket javasoljuk átgondolni:

  • Az ellenőrzés struktúrája: Függetlenül az alkalmazott struktúrától, a belső ellenőrzésnek együtt kell működnie az üzleti területekkel a meglévő technológia használata/technológia kifejlesztése érdekében azért, hogy minden egyes ellenőrizhető szervezeti egységre vonatkozóan könnyen hozzáférhető legyen az összes kockázat, folyamat, törvény és szabályozás rögzítéséhez szükséges releváns adat. A folyamatok automatizálása lehetővé teszi a belső ellenőrzés számára, hogy az adatforrások sokféleségének növelésén dolgozzanak, miközben az egész vállalaton belül biztosítják az adatok minőségét és konzisztenciáját;
  • Kockázatértékelési tényezők és módszerek: Az adatelemzés fokozottabb használata és az automatizálás/technológia kihasználása az üzletágon belül csak tovább segíti a belső ellenőrzést a kockázatértékelési döntések meghozatalában, és jobban tájékoztatja őket az azonosított kockázatok valószínűségéről és hatásáról, amelyek beépülnek a kockázatértékelési folyamatba;
  • Integráció és harmonizáció: Bár a belső ellenőrzési struktúrák érettsége a szervezeteken belül eltérő lehet, a legfontosabb, hogy a szervezet három védelmi vonalának modelljében elkezdjék azonosítani az aktuális hatékonysági hiányosságokat azért, hogy előremutató, átfogó és gyakorlatias stratégiai lépésekkel ösztönözzük az innovációt. Az innovációnak túl kell mutatnia a technológián, beleértve a koordinációt, a kommunikációt, az ellenőrzési és kockázatértékelési módszertant, valamint az első és második vonal érdekelt feleivel való kapcsolat és bevonódásuk magasabb fokra emelését;
  • Az ellenőrzés tervezése: Bár a szervezetek többsége még mindig elsősorban az éves ellenőrzési tervezési folyamatra támaszkodik, a belső ellenőrzésnek törekednie kell arra, hogy kockázatértékelési folyamatát a lehető legdinamikusabbá tegye. A dinamikus ellenőrzési tervezés nagyobb rugalmasságot biztosít, de a megfelelő végrehajtásához kellő koncentrációra, rugalmasságra, összpontosításra és az erőforrások megfelelő allokációjára van szükség. A kockázatértékelési folyamatot úgy kell kialakítani, hogy az egész évben bármikor elvégezhető legyen, és hogy azt az üzleti kockázati profil változásainak felmérése és rögzítése érdekében kulcskockázati indikátorokkal (KPI-okkal) lehessen támogatni;
  • Eszközök, technológia és adatok: Bár történtek lépések az innovatív megoldások és technológiák fejlesztésére és alkalmazására, a szervezetek még mindig nem ismerték fel az innovatív technológiák és az adatelemzés teljes értékét kockázatértékelési módszereikben. Azok a típusú technológiák és eszközök, amelyekbe a belső ellenőrzés befektet, segíthetnek a döntések hatékonyabb és eredményesebb meghozatalában, miközben megismételhető, szabványosított eszközöket és módszereket biztosítanak, amelyek lehetővé teszik a kockázatok folyamatos nyomon követését és az ellenőrzési terv kiigazítását.

6.2. Jelentés az Audit Bizottság részére

Miért fontos?

A lényeges jelentések készítése – beleértve a hagyományos jelentések helyettesítésére vagy kiegészítésére szolgáló alternatív jelentéstételi módszerek használatát a lényeges információk átadása érdekében – már régóta a jól működő belső ellenőrzési funkciók következő generációjának kulcsfontosságú eszköze. Az Egyesült Királyságban és más világpiacokon egy generáció óta nem látott, potenciálisan legjelentősebb gazdasági kihívásokkal szembenézve a belső ellenőrzés számára a gyorsabb jelentéstétel, gyorsabb kapcsolattartás az érdekelt felekkel, és az értéknövelés új módszereinek megtalálása most fontosabb, mint valaha.

Ezt a Deloitte 2020-as Global Audit Committee felmérése is megerősítette, amely több mint 140 vállalat és 20 ország minden főbb iparágában több mint 60 igazgatósági tag, auditbizottsági elnök és auditbizottsági tag meglátásait gyűjtötte össze. A felmérésben résztvevők 63%-a szerint a belső ellenőrzésnek gyorsabban kellene beszámolnia munkája eredményeiről, és szükség van a jelentések testre szabására annak érdekében, hogy az érdekelt feleket jobban tájékoztathassák a felmerülő problémákról, mielőtt azok kritikussá válnának.

Mi változott?

Mivel a belső ellenőrzésnek a COVID-19 világjárvány fényében kellett a változó üzleti kockázatokra reagálnia, rugalmasabb jelentési mechanizmusok váltak szükségessé annak érdekében, hogy az érdekeltek szinte valós időben megismerhessék a belső ellenőrzés álláspontját. Ezekben a változékony időkben számos szervezet irányítása megkezdte a működés átalakítására és digitalizálására készített tervek megvalósítását.

Ebben az időszakban a belső ellenőrzési funkciók egyre inkább eltávolodtak a hagyományos jelentéstételi módszerektől, és egyre nagyobb arányban alkalmaztak olyan alternatív, rugalmasabb jelentéstételi technikákat, mint a „hot review”-k, nem minősített jelentések, e-mailben küldött jelentések, a belső ellenőrzési vizsgálat folyamatában tett időközi „Point-Of-View”, szubjektív elemeket is tartalmazó (státusz- és előzetes eredmény-) jelentések és a szóbeli visszajelzések. Ez – egyéb változások mellett – lehetőséget teremtett az ellenőrzési módszertan hosszabb távon történő továbbfejlesztésére, szemben a rövid távra vagy átmeneti időszakra adott válaszokkal.

Mi a belső ellenőrzés feladata?

A belső ellenőrzésnek újra át kell gondolnia és meg kell újítania a folyamatokat az Audit Bizottságoknak és vagy egyéb döntéshozó testületeknek készítendő jelentések relevanciájának és értékének növelése érdekében.

A következőket javasoljuk:

  • Történetet meséljünk! Az Audit Bizottság vagy más döntéshozó testület az elé terjesztett információk alapján hoz döntéseket, ezért fontos tudnia, hogy mi az, ami ténylegesen materiális és valóban fontos. Sajátítsuk el a történetmesélés művészetét! Az Audit Bizottság közönsége számára meggyőző, de tömören megfogalmazott kulcsüzeneteket kell közvetíteni, amelyekre az olvasó emlékezni fog.
  • Szabjuk testre a jelentéseket! Az Audit Bizottságnak készülő jelentéseknek tematikus jellegűeknek kell lenniük, a kiinduló okokat kell elemezzék és vizuális eszközöket kell alkalmazniuk az összefüggések megmutatására és a különböző auditok kulcsfontosságú üzeneteinek kiemelésére. A jelentéseknek holisztikus képet kell mutatniuk, és be kell mutassák a kontrollkörnyezetre gyakorolt hatást.
  • Tekintsünk előre! Az Audit Bizottságok szeretik az előre tekintő narratívákat, melyek előrejelzik és priorizálják a felmerülő kockázatokat. Mondjuk el nekik, mire számíthatnak a közeljövőben és az miért kritikus fontosságú! Magabiztosan fejtsük ki nézőpontunkat még akkor is, ha az adatoknak csak 80%-a áll rendelkezésünkre, ahelyett, hogy a 100%-os bizonyosságra várnánk!
  • Legyünk lényegretörőek! A hosszas „körítés” helyett térjünk a lényegre, és a technikai részleteket hagyjuk meg a mellékleteknek (vagy csak külön kérésre adjuk meg őket). Sok jelentés tartalmaz felesleges, leíró részleteket, és csak elvonja a vezetői közönség figyelmét.
  • Gondoljuk újra a hagyományos jelentéstételi formákat! Gondoljuk át, melyik lenne a legjobb formája az információk bemutatásának. Az infografikák és az adatvizualizációs technikák, mint például a dashboard-ok és az interaktív jelentések segíthetnek a kockázati és bizonyossági trendek és a kiváltó (gyökért) okok megismerésében. Néhány vezető belső ellenőrzési funkció kísérleti jelleggel videófelvételeket használ konkrét ellenőrzésekről, például a munkavédelemről szóló jelentésekhez, hogy a belső ellenőrzés által kiemelt kockázatokat életszerűvé tegye.
  • Ne várjunk a jelentésre! Fontos a rendszeres kapcsolattartás az Audit Bizottság elnökével az ülések időbeosztásán kívül, hogy a jelentős kockázatokat a jelentések formális kiadása nélkül eszkalálhassuk, lehetővé téve a valós idejű jelentéstételt. A belső ellenőrzés az Audit Bizottság szeme és füle, és a jelentéstételi ciklusok közötti szünetek nem vezethetnek a kommunikáció leállásához.

6.3. 1 évvel a COVID-19 után: „Növekedés” —Visszatérés a munkába

Miért fontos?

A 2022-es év elején sok szervezet küzd azzal, hogyan megfelelő válaszoljon a járványt követő korlátozások közötti munkakörnyezettel kapcsolatos kihívásokra. Az oltási programok sikeres lebonyolítását és a járvány visszaszorulását követően a szervezetek és a dolgozók is a helyszíni munkavégzéshez történő visszatérés felé fognak elmozdulni. Azonban a munkahelyek, ahová a dolgozók visszatérnek, illetve a gazdasági környezet, amelyben a szervezetek működni fognak, jelentősen eltérhetnek a járványt megelőző környezettől, és mind a szervezeteknek, mind pedig a dolgozóknak képesnek kell lenniük az új helyzethez hatékonyan és a kockázatok tudatában alkalmazkodni. Így például az aktuális üzleti stratégiák kialakításánál figyelembe kell venni a pandémia gazdasági hatásait, például a kereskedelmiingatlan-szektor részére történő hitelnyújtás esetében, újra vizsgálni kell a cash-flow-t, az eszközök értékét és a hitelfelvevő hitelminősítését. Fokozott figyelmet kell fordítani a munkavállalók egészségére, ami túlmutat a jogi kötelezettségeken, és olyan kérdésekre kell összpontosítani, mint például a működési rugalmasság, azaz, hogy hogyan lehet fenntartani a vállalkozás működését, ha az alkalmazottaknak a COVID-19-től való félelem miatt kellő távolságtartás mellett munkát végezniük. A szervezetek egészen biztosan olyan stratégiákat fognak kialakítani a jövőbeli munkavégzést illetően, ahol a dolgozók egyre inkább távmunkában és agilisen dolgoznak, aminek lehetnek versenyelőnyei, de kockázatokat is hozhatnak magukkal, amelyeket megfelelően kezelni kell, ilyenek például a távmunka kiberkockázati kihívásai vagy az „online meetingek” miatti fáradtság, amelyet a dolgozók az elmúlt évben érzékeltek. A szervezeteknek mindezeket a kockázatokat és lehetőségeket figyelembe kell venni a 2022-es és az azt követő stratégiák kialakításakor. Az alkalmazott megoldásokat a belső ellenőrzésnek megfelelően értékelnie kell.

Mi változott?

A pandémia kezdeti szakaszában a szervezetek arra fókuszáltak, hogy a COVID-19 kezdeti hatásaira reagáljanak, és a belső ellenőrzési funkció komoly szerepet játszott abban, hogy továbbra is tudtak bizonyosságot és tanácsot nyújtani a vezetőség és az igazgatóság számára a változó kockázati- és kontrollkörnyezettel kapcsolatban, illetve segíteni a kockázatok előrejelzésében. A belső ellenőrzés ebben az időszakban az alábbi javaslataink mentén tudott hatékonyan és eredményesen működni:

  • Legyenek agilisak és rövid távú prioritásokra koncentráljanak;
  • Működjenek együtt az érintettekkel és értsék meg a változó kockázatokat a változó környezetben;
  • Használjanak új technológiákat, illetve fokozzák azok használatát (pl. Zoom, Teams), azaz aknázzák ki a virtuális megbeszélésekben és workshopokban rejlő lehetőségeket;
  • Gyorsítsák fel az elemzések használatát; és
  • Helyezzék a bizonyosságot a kialakulóban lévő kockázati környezet elé.

A járvány második, „helyreállítási” szakaszában a belső ellenőrzés fontos szerepe abban állt, hogy a szervezetek törekvéseit a helyreállás céljai felé irányítsa, bizonyosságot nyújtson az elkerülhetetlen változásokból adódó fontosabb kockázatok megfelelő kezeléséről, tanácsot adjon a változó kontrollkörnyezettel és az előrelátható kockázatokkal kapcsolatban. Három fontos fókuszterületet határoztunk meg:

  • A munka jövője—A pandémia következtében a szervezetek felülvizsgálják működési modelljeiket és munkagyakorlataikat annak érdekében, hogy dolgozóiknak nagyobb rugalmasságot biztosíthassanak abban, hogy mikor, hol és hogyan végzik el a munkájukat;
  • Technológiába való beruházás—A COVID-19 következtében minden területen komoly eltolódás volt tapasztalható a technológiák átvételének és az azokra való támaszkodás irányába; és
  • A kontrollok újratervezése —A legfontosabb működési kontrollok nagy részét digitalizálni kell, hogy a megnövekedett távmunka során is működjenek. A belső ellenőrzés alapvető szerepet játszik annak biztosításában, hogy az első és második védelmi vonalak válaszai összhangban legyenek a tágabb szervezeti célokkal, és alátámasszák azokat.

A harmadik és utolsó szakaszban, melyet „Gyarapodás”-ként jelöltünk, lehetőséget látunk a Belső Ellenőrzés számára, hogy értéknövelő és tanácsadó szerepét növelje azáltal, hogy gyors, agilis felülvizsgálatokat végez („flash auditot”), amelyek középpontjában néhány kulcsfontosságú kockázatra vonatkozó vizsgálat áll és amelynek eredményeképpen limitált és koncentrált tartalmú ún. „Flash Report” kerül kiadásra. Azok a területek, ahol e megközelítés alapján értéket látunk, a technológiai kockázat, az üzleti következmények, a munkavállalók és a munkakörnyezet kapcsolata.

Mi a belső ellenőrzés feladata?

Technológia (és Kiberbiztonság)

Javasoljuk, hogy a belső ellenőrzési funkciók a változó környezet következtében megnövekedett kockázatokra – így például a kiber-kockázatokra – koncentráljanak. A szervezeteknek azt is fel kell mérniük, amit „ellenőrzési adósságnak” nevezünk, vagyis azt, hogy milyen mértékben lazították a kontrollok elvárásait a pandémia korábban bemutatott „Reagálás” és „Helyreállás” fázisok során, például tettek-e kivételeket a kontrollok esetében, hogy figyelembe vegyék a korábban példátlan körülményeket, és ismerik-e a szervezetek, hogy hol vannak ezek a kivételek, vagy vannak-e terveik ezek „visszafordítására”, például a rendszerhozzáférési jogokra vonatkozóan. Az elmúlt 12 hónap során összességében a digitalizáció és virtualizáció felgyorsulását figyelhettük meg, és a 2022-es belső ellenőrzési terveknek ezt is figyelembe kell venniük.

Gazdasági hatások

Elkerülhetetlen az, hogy a fogyasztói nehézségek súlyosbodjanak, ezért nagyobb érzékenységre lesz szükség a magatartási kockázattal kapcsolatban. A belső ellenőrzésnek érdemes értékeline a szervezetek erre adott válaszait. Vannak bizonyos szektorok, melyeket várhatóan különösen érinteni fog a járvány még a lecsengését követően is, például a szabadidő- és vendéglátási vagy a kereskedelmiingatlan-szektor, amelynek a kockázatvállalási hajlandóságának és kockázati profiljának változására különösképpen számíthatunk, mivel az ügyfelek korábban már a viselkedési mintáit torzíthatja a COVID-19. Vannak olyan stratégiai kockázatok is, amelyeket szintén figyelembe kell venni, például az új és felgyorsult ügyfélkapcsolati modellek vagy az elmozdulás a fiókalapú bankszervezettől.

Emberek és munkakörnyezet

A pénzügyi szektor szereplői egyre inkább felismerik (helyesen), hogy fontos a dolgozóik biztonsága, és azt is, hogy komoly jogi kockázatokkal, illetve jó hírnevük csorbulásával néznek szembe azok a szervezetek, melyek ezt nem megfelelően kezelik. Ez messzebbre mutat, mint a hagyományos HR- és jogi kötelezettségek, mivel ide értjük a fizikai és mentális jóllétet is, a stresszkezelést, valamint annak szükségességét, hogy a szervezetek biztonságos környezetet teremtsenek pszichológiai szempontból is. A belső ellenőrzésnek fel kell mérnie a hibrid munkamodellekből adódó a kockázatokat, mint például a távoli munkavégzés következtében a szervezeti és kockázati kultúra jelentős átalakulása.

Hasznosnak találta?