Védekezz!

A vállalati kockázatkezelés helyzete Magyarországon

Mekkora veszteség érheti a vállalatot, ha releváns adatai megsérülnek? Vajon mekkora az adatsérülés bekövetkezésének valószínűsége? És hogyan alakulnának a vállalat pénzügyi eredményei, ha a forint erősödne az euróval szemben? Mennyire valószínű a forint értéknyerése? Érdemes-e erőforrásokat csoportosítani ezeknek az eshetőségeknek a kezelésére?

A fenti kockázatokkal kapcsolatos kérdések napjainkban majd minden vállalatnál felmerülnek, és amennyiben hatékony üzleti kockázatkezelési rendszer működik, a kérdésekre a válasz is a vezetés rendelkezésére áll. Az üzleti kockázatkezelés a vállalatot érintő kockázatok időbeni felismerésével, kiértékelésével és a megfelelő válaszlépések kialakításával foglalkozik. Üzleti kockázat minden olyan jövőben lehetséges esemény, amely a vállalati stratégiai célok elérésére és így a vállalat eredményességére kihatással van. Üzleti kockázatok a vállalat minden területén léteznek, és együttesen alkotják a kockázatok összetett és táguló világegyetemét. A kockázatokat az általuk befolyásolt területek szerint célszerű csoportosítani; az Ernst & Young nemzetközi tanácsadó vállalat definíciója szerint megkülönböztetünk információs, tranzakciós, pénzügyi, működési, irányítási és üzleti környezetből származó kockázatokat.

Lehetőség és kockázat

Minden üzleti lehetőség magában hordozza a kockázatot is, amelynek időbeni felismerése alapvető fontosságú a sikeres üzletmenethez. Folyamatosan változó és összetett üzleti világunkban a jelen levő kockázatok nem csupán szerteágazóak, hanem kölcsönhatásban is állnak egymással. A globalizáció, a technológiai változások, az Európai Unió bővülése és a hullámzó világgazdaság folyamatosan új kockázatokkal szembesíti a vállalatokat, és egyben jelentősen befolyásolja az általános üzleti környezet alakulását. Ez ahhoz vezet, hogy a legtöbb vállalat kockázatkezelési szükséglete messze meghaladja az e téren tett erőfeszítéseinek eredményét. Sokak esetében ezt a szakadékot tovább mélyíti a gyors döntéshozás kényszere, az üzleti modellek változása és az alkalmazottak állandó cserélődése.

A változások felvetik azt a fontos kérdést, vajon a magyar vállalatok mennyire felkészültek, hogy megbirkózzanak e változó üzleti környezet elkerülhetetlenül felmerülő kihívásaival és kockázataival. A fejlett üzleti kockázatkezelés, mely a vállalati kockázatkezelés (Enterprise Risk Management) és a belső audit (Internal Audit) tevékenységeket foglalja magában, nagyban segíti a vállalatokat, hogy ezekkel az üzleti kihívásokkal szembenézzenek.

Vállalati kockázatkezelés

A vállalatok jelentős része csak költséges tapasztalatok árán tanulja meg, hogy kockázatkezelési gyakorlata elavult (már ha egyáltalán foglalkoznak kockázatkezeléssel a cégnél). A kockázatkezelési módszereket sokszor nem fejlesztik folyamatosan, így nem tudnak megfelelően lavírozni a kockázatok világegyetemében. Ezt bizonyítja az a tanulmány is, amelynek keretében az Ernst & Young 300 olyan, az amerikai tőzsdén jegyzett céget vizsgált meg, melyek mindegyike a felmérés előtti 12 hónap folyamán piaci értékének legalább 40 százalékát elvesztette. A felmérés eredményeként kiderült, hogy a vállalatok hanyatlásának oka több, egymástól független, még a szaksajtó által is felismert és publikált kockázat együttes és párhuzamos hatása volt. A vállalatok hagyományos kockázatkezelési rendszere azonban nem tudta időben beazonosítani és megfelelően csökkenteni ezeket a kockázatokat.

A fontos üzleti kockázatok között említhetjük a várakozásoktól elmaradó fogyasztói keresletet, a versenytársak kihívásait, az adat- és információvesztést, a túlzott költségeket, a beszerzési problémákat vagy a kamatlábváltozásokat. A hagyományos kockázatkezelési rendszerben ezeket a kockázatokat a vállalati osztályok külön-külön, saját döntésük szerint értékelik ki, és önállóan teszik meg az esetleges válaszlépéseket. Fejlett vállalati kockázatkezelés esetén egységes módszertant használva minden terület felelős azért, hogy a saját kockázatait felismerje, kiértékelje, és azt egy közös vállalati mutatóhoz (pl. hatás a bevételre) kapcsolja. Az így kialakított rendszerben a vállalati vezetés képes a kockázatokat hatásuk alapján rangsorolni és az erőforrásokat a stratégiai célokat legjobban befolyásoló kockázatok kivédésére felhasználni.

Egyre több vezető ismeri fel, hogy a kockázatok kiterjedt rendszerével sokkal többet és hatékonyabban szükséges foglalkozni, mint eddig bármikor. A jól működő kockázatkezelési rendszer segíti a stratégiai célok megvalósítását, a jobb döntéshozatalt, és pozitívan befolyásolja a mérleg szerinti eredmény alakulását.

Értékteremtő folyamat

A belső audit a vállalat stratégiai céljait legjobban befolyásoló folyamatokban rejlő kockázatok kezelésére kialakított kontrollok hatékonyságáról ad független értékelést a vezetőknek. A belső ellenőrzéssel szemben, amely hagyományos, csupán pénzügyi és jogszabályi megfelelésre koncentráló ellenőrzést végez, a belső audit a vállalati folyamatokban rejlő kockázatok megfelelő kezelését és kontrollját vizsgálja. Sok szervezet belső audit funkciója azonban nem tud lépést tartani az egyre változó versenykörnyezettel, így gyakran fordul elő, hogy a végrehajtott ellenőrzés nem terjed ki a vállalat összes kulcsfontosságú kockázatára. Pedig a vállalatoknál ma már elvárás, hogy a belső audit átfogóan és hatékonyan fedje le a folyamatosan bővülő veszélykört, és ezáltal segítse elő a költségek csökkenését, a bevétel növekedését és az üzleti folyamatok fejlődését.

A fejlesztés útja

Néhány egyszerű kérdés megválaszolásával könnyen ellenőrizhető, hogy a társaság kockázatkezelése a megfelelő szinten áll-e. Az esetleges hiányosságok megoldásában és a kockázatkezelési rendszer fejlesztésében nagy segítséget nyújthatnak a területre specializálódott tanácsadók. A szakértők szerint a vállalati kockázatkezelés és a belső audit megvalósításához vezető út kiindulópontjaként azt kell elősegíteni, hogy a társaságok figyelmüket a vállalati irányításra (Corporate Governance) összpontosítsák. Ugyanis a nemzetközi tapasztalat azt mutatja, hogy a hatékony vállalatirányítási elvek és irányvonalak alkalmazásában elhivatott vállalatoknál ismerik fel legjobban azokat a lényeges értékeket, amelyekkel a kockázatkezelés és a belső audit hozzájárul a cég stratégiai fontosságú üzleti céljainak biztonságos megvalósításához. Egy átfogó vállalati kockázatkezelési rendszer kiépítése megalapozza a szervezet kockázatvállalási és kockázattűrési szintjét, lényegesen fejlődik a kockázatok csökkentésének, elfogadásának, kezelésének és nyomon követésének hatékonysága. A hasonlóképpen megfelelő módon szervezett belső audit osztály képes a vállalat stratégiai céljait legjobban befolyásoló folyamatokban rejlő kockázatokról és kontrollokról megfelelő független értékelést adni a vezetők felé, ezáltal elősegíteni a vállalat működésének sikerességét.

Piaci kényszer

A vállalati kockázatkezelés a vállalkozás egészét érintő kockázatok átfogó és egységes kezelését biztosító folyamat. Az egységes kockázatkezelés célja egyrészt a kockázatviselő tevékenységek megtérülésének optimalizálása, másrészt a tulajdonosok és a befektetők (érdekeltek) értékeinek maximalizálása. Segíti a stratégiai célok elérését, a pénzügyi teljesítmény javítását, a döntéshozatal megalapozottságának növelését és a vállalatirányítás hatékonyságának növelését.

Bár nem minden vállalkozásnál működik formális alapokra fektetett kockázatkezelési folyamat, a kockázatkezelés alapjai sokuknál felfedezhetők. A hazai kockázatkezelési gyakorlatokat, folyamatokat megismerendő a GKI Gazdaságkutató Rt. és az Ernst & Young Tanácsadó Kft. közösen felmérést végzett a 250-nél több alkalmazottat foglalkoztató belföldi vállalatok teljes körében.

A felmérés célja a társaságok kockázatkezelésre vonatkozó eltérő gyakorlatának a feltérképezése volt, hogy ezek viszonyítási alapként szolgáljanak a különböző kockázatkezelési gyakorlatok elterjedtségének felméréséhez, valamint a jövőbeli eredmények nyomon követéséhez. Mivel a válaszadás önkéntes volt, feltételezhető, hogy a kockázatkezelésben már amúgy is érdekelt cégek töltötték ki és küldték vissza a kérdőívet, ami a vizsgálat reprezentativitását csorbítja. Ezáltal a felmérés feltehetően a valóságosnál pozitívabb képet fest a kockázatkezelés hazai helyzetéről.

A kockázat el van vetve?

Ma Magyarországon a 250-nél több alkalmazottat foglalkoztató vállalatok több mint 80 százalékánál létezik valamilyen szintű kockázatkezelés, ám az e tevékenységgel rendelkezők felénél további fejlesztéseket tartanak szükségesnek.

Igaz ugyan, hogy a társaságok többségénél létezik kockázatkezelés, ám ez az esetek több mint felében még mindig a hagyományos, az egyes kockázatokat elkülönítetten kezelő tevékenységet jelenti. A válaszadók csupán 45 százaléka mondta azt, hogy társaságuknál a kockázatkezelés a vállalat egészére vonatkozó, átfogó rendszerként működik.

A válaszadók 75 százalékánál nincs, és csak 17 százaléknál van a fő kockázatokért felelős, kijelölt személy (pl. kockázati igazgató). A fennmaradó 8 százaléknál létezik ugyan ilyen személy, ám e téren még további fejlesztéseket tartanak szükségesnek. Nemcsak a kockázatokért felelős kijelölt személy, de kockázatkezelési bizottság (Audit Committee) – vagy hasonló testület – sem létezik a vállalatok 80 százalékánál. E testület feladata lenne, hogy a kockázatkezelési tevékenységeket igazgassa és koordinálja.

A legnagyobb lemaradást a kockázatok mértékét rögzítő kockázatkezelési szabályzat terén tapasztalták. A társaságok 70 százaléka nem rendelkezik ilyesmivel.

Igaz ugyan, hogy a társaságok többségénél létezik rendszeres kockázatfelmérés, ám az ehhez szükséges eszközök a vállalatok többségénél hiányoznak. Összességében a válaszadók 60 százalékánál nem létezik egységesen alkalmazott kockázatfelmérési módszertan.

A hatékony kockázatkezelést biztosító információáramlás a legtöbb vállalatnál nem megfelelő: a cégek több mint felénél az alkalmazandó kockázatkezelési szabályok a munkatársak számára semmilyen kommunikációs csatornán nem érhetők el (pl. intranet).

A vállalkozások több mint 60 százalékánál nem tájékoztatják a társaság valamennyi dolgozóját a kockázatkezeléssel kapcsolatos elvárásokról, a kereteiről, szabályairól és eljárásairól. Efféle tájékoztatásról csak a válaszadók 14 százaléka számolt be.

A cégek közel 60 százalékánál nem fordítanak kellő energiát arra, hogy a vezetés és a személyzet megfelelő kockázatkezelési képzésben részesüljön, illetve hiányzik a monitoringrendszer a kockázatkezelési képesség biztosítása végett. Ezekről csak a cégek 12 százaléka adott pozitív választ.

Érdekes képet mutat a kockázatkezelés kultúrájáról az a tény, hogy a cégek 71 százaléka ma még nem rendelkezik írásba foglalt kockázatkezelési szabályzattal, mely a fő üzleti folyamatok kockázatkezelési eljárásait rögzíti. E "sajátossággal" csak a válaszadók 29 százaléka "büszkélkedhet".

A felmérés során megvizsgáltuk azt is, hogy az utóbbi 2-3 évben a társaságnál történt-e csalás, illetve mennyire sikeresen derítik fel azokat a területeket ("kiskapukat"), ahol csalás előfordulhat. Az utóbbi években a társaságok több mint felénél nem történt szándékos csalás; viszont ha történt volna, akkor azt a vállalatok több mint 70 százaléka nem fedezte volna fel. Ám ha a társaságok súlyát is figyelembe vesszük, akkor azt tapasztaljuk, hogy a nagyvállalatok többsége felfedezte volna a csalásokat.

Belső audit

Nemcsak a kockázatkezelés tevékenysége, de a belső audit szerepe is felértékelődött. Viszont ez utóbbi tevékenység elterjedtsége még rosszabb arányt mutat.

A belső audit (Internal Audit) a vállalat független értékelő funkciója, amely ellenőrzi a vállalat belső folyamatait és az ezekbe beépített kontrollokat. Célja annak biztosítása, hogy a vállalati folyamatok ténylegesen a vezetés által kitűzött célok irányába haladjanak. A belső ellenőrzés klasszikus dokumentum- és adatellenőrző funkciója helyett a folyamatok eredményességét vizsgálja, és a belső folyamatok szabályozottságának javításával járul hozzá a vállalat teljesítményéhez.

A felmérés eredményeként azt kaptuk, hogy a 250 fő felett foglalkoztató vállalati szféra 40 százaléka rendelkezik belső audittal. Ez az arány a nagyvállalatok körében jóval magasabb, illetve valamennyi társaságnál megkezdődött az osztály kiépítése. A kisebb forgalmú vállalatoknál azonban még a jövőbeli kiépítés lehetősége sem jelenik meg.

A vállalkozásoknak értékelniük kellett a belső audittevékenységről kialakult képet. Azok a cégek, amelyek egyáltalán rendelkeznek ilyesmivel, 35 százalékban úgy ítélték meg, hogy cégüknél ez a szervezet gyorsan reagál, a pénzügyekre összpontosít, hivatásos belső ellenőrökkel dolgoznak, és tevékenységük nem feltűnő. 28 százalék viszont úgy értékelte az egység tevékenységét, hogy elébe megy a dolgoknak, a működésre összpontosít, a belső ellenőrökből néha operatív vezetővé lépnek elő, és a működésük észrevehetőbb.

A vállalatok több mint 90 százalékánál úgy látják, hogy náluk a belső audit osztály feladatai és a vele szemben megfogalmazott elvárások világosak, és az alkalmazottak ismerik azokat. A nagyvállalatok többsége úgy véli, hogy az egység szerepe a vállalat működésében nem tisztázott. Ezzel szemben a vállalkozások 72 százaléka elégedett, illetve nagyon elégedett az osztály által nyújtott értékekkel. A vállalatok 63 százaléka úgy ítélte meg, hogy a belső auditorok rendelkeznek a megfelelő képességekkel a speciális területek ellenőrzésére, míg 27 százalék erről nem volt teljesen meggyőződve.

A belső ellenőrzés szerepe felértékelődött, ám egyelőre a társaságok igyekeznek saját erőforrásból kiépíteni ezt az osztályt. A válaszadók egyharmada értékelte úgy, hogy a jövőben egyes kiválasztott feladatokat külső szakemberekkel végeztetnek el, míg a teljes funkció kihelyezését csak 12 százalék tartotta elképzelhetőnek.

A cégek 52 százaléka szerint a kihelyezett szakember előnye, hogy rendelkezésére áll a legjobb ellenőrzési módszertan és technológia. A kihelyezés további előnyeként a társaságok több mint fele a költségmegtakarítást jelölte meg. 46 százalék az állandó, azonos szintű lefedettségben látja az előnyt; 33 százalék szerint a kihelyezett szakember rendelkezésére állnak az ellenőrzéshez szükséges szakismeretek, míg 22 százalék vallja, hogy a szakember rendelkezésére áll a legjobb gyakorlat/viszonyítási alap (best practices/benchmarks). Az eredmények azt mutatják, hogy elsősorban a nagyvállalatok azok, amelyek a kihelyezést részesítik előnyben a saját erőforrásból történő megoldás helyett.

A belső audit osztállyal nem rendelkezők vállalatok aránya ma Magyarországon 60 százalék. Hiánya elsősorban a kisebb forgalmú társaságokra jellemző. Ezek 68 százaléka szerint az indok az, hogy a pénzügyi osztály is képes elvégezni a belső audit feladatait. 29 százalék úgy értékelte, hogy cégüknél a kontrollok kevésbé bonyolultak; 26 százalék az egyéb kategóriát jelölte meg; míg 20 százaléknál a vezetési/működési kontrollt részesítik előnyben.

Számos országban egyre szigorítják a vállalatirányításra vonatkozó szabályokat, amelyeknek gyakran velejárója egy belső audit osztály létrehozása. Ezzel kapcsolatban megkérdezték azt is, hogy az egyes társaságok mennyire tartják valószínűnek, hogy a következő 5 évben létrejöjjön náluk egy ilyen szervezeti egység. A válaszadók 20 százaléka szerint biztosan lesz, vagy valószínűleg lesz, míg több mint 50 százalék szerint valószínűleg nem lesz, vagy biztosan nem lesz.

Élen a pénzügyi szektor

Az iparági elemzés szerint a kockázatelemzés a pénzügyi szektorban a legelterjedtebb (95 százalék), míg a legelmaradottabb a kereskedelem/szolgáltatás (33 százalék) területén.

Érdekes képet mutat a távközlés és a számítástechnika, ahol a válaszadók közül senki nem jelölte meg a "nem létezik" kategóriát. Ez valószínűleg azzal magyarázható, hogy ezek a társaságok nagyon gyorsan változó gazdasági és technológiai környezetben működnek, ahol a versenyelőny megszerzése érdekében folyamatos technológiai fejlesztések végrehajtása szükséges, ami magas kockázattal jár. Itt alapszükséglet a kockázatok kezelése, aminek hiánya az üzletmenet folytonosságát veszélyeztetné.

Az átfogó vállalati kockázatkezelés szintén a pénzügyi szektor erőssége, ahol az intézetek 64 százaléka foglalkozik e tevékenységgel. Az átfogó kockázatkezelés területén a többi szektorban általános lemaradás figyelhető meg: a vállalatok több mint a felénél vagy ad hoc jelleggel foglalkoznak a kockázatkezeléssel, vagy az egyes kockázatokat elkülönítetten kezelik.

Összességében a magyar vállalati szektor felismerte a kockázatkezelés szükségességét, ám az ehhez elengedhetetlen formális szabályzatokkal és módszertanokkal még csak nagyon kevés társaság rendelkezik. Az egész céget átfogó kockázatkezelés szintén kevés vállalatnál működik hatékonyan; ott, ahol a vezetés elvárásai távol állnak a jelenlegi eredményektől, további fejlesztések várhatók. A kockázatkezelési tevékenység gyakorlati jelentősége pedig kifejezetten növekedni fog azokban az iparágakban, ahol a piaci verseny erősödésére lehet számítani.