Highway

32_1.jpg
Forrás: ITB
Igazgatás, kockázat, megfelelés

Valós folyamatok és intézkedések kellenek a tanúsítvány papírja mögé

A vállalatirányítási rendszerek mára elengedhetetlen részei a cég működésének, az igazgatási rendszerek azonban még nem vívták ki maguknak ezt a rangot. Csak kevesen ismerték fel, hogy ha megfelelően, azaz integráltan foglalkoznak a folyamatokkal, az most legalább akkora versenyelőnyt jelenthet, mint húsz éve egy ERP-rendszer.

Igazgatási rendszer, kockázatkezelés, megfelelőség – a kis- és középvállalatok vezetői sokszor azt hiszik, hogy ezek csak a nagyobb cégek számára érdekesek. Pedig Pflanzner Sándornak, az ADAPTO fejlesztési vezetőjének a januári ITB Clubon elmondott, a saját életéből vett példája is azt mutatja, hogy az angol rövidítéssel csak GRC-nek (Governance, Risk management, Compliance) nevezett igazgatási rendszer a kkv-k számára is életbe vágóan fontos lehet. (Lásd „A szőlőnek is kell...” című keretet!)

Pflanzner Sándor, Adapto Solutions
Pflanzner Sándor, Adapto Solutions

Hiányzik az integráció

Az igazgatási rendszerek messze elmaradtak a vállalatirányítási rendszerek (ERP) mögött. Utóbbiak esetében az 1990-es évekre elkészültek mindazon modulok (pénzügy, kontrolling, készletgazdálkodás, logisztika, egyebek), amelyek egymással integrálva teljes körű vállalatirányítást tettek lehetővé. „Manapság egy ERP-rendszerben minden benne van, amire a vállalatnak szüksége lehet, és magától értetődő, hogy az egyes modulok szorosan integráltak”, mondta Pflanzner Sándor.

Ennél sokkal lassabban fejlődtek az igazgatási rendszerek. Az első minőségközpontú ISO szabvány, az ISO 9001, 1987-ben jött ki; 2000-ig kellett várni, hogy a folyamatszemlélet megjelenjen az ISO szabványokban; a következő lépcsőfok pedig 2014-ben jött el, amikor feltűnt a szabványban a kockázat alapú gondolkodás. Itt már az a lényeg, hogy nem elég leírni és dokumentálni az egyes folyamatokat, hanem fel is kell térképezni az azokra leselkedő kockázatokat. Ezt a szemléletet tükrözik az újabb szabványok, mint például az ISO 27001 (IT-biztonság) vagy az ISO 22301 (üzletmenet-folytonosság).

Az ERP-rendszerekkel ellentétben viszont az igazgatási rendszerek legfeljebb a nevükben integráltak, a legtöbbször még lazán sem kapcsolódnak egymáshoz. A folyamatszabályozás nem kötődik a kockázatkezeléshez, a kockázatkezelésnek nem része az IT-biztonság, és így tovább. Jó esetben szigetrendszerek működnek egymás mellett, amelyekből nem lehet egységes képet kinyerni. „Ez is az oka annak, hogy rendkívül drága projekteket lehet eladni cégeknek, amelyek végén igazából semmi nem változik, csak éppen kapnak egy dokumentumot, hogy megfelelnek ennek vagy annak a szabályozásnak. Hogyan hiheti el a vállalat vezetése, hogy megfelel a GDPR előírásainak, ha nem nyúltak az információbiztonsági rendszerhez? Olyan ez, mintha több millió forintot kifizetnénk egy projektért, hogy átalakították az irodát, miközben minden szék és íróasztal továbbra is ugyanott van, mint eddig, a kivetítőhöz továbbra sem lehet kapcsolódni és a klíma sem működik megfelelően – de van egy papírunk arról, hogy az átalakítás megtörtént”, hozott egy érzékletes példát Pflanzner Sándor.

GRC és GDPR

Sokat segíthet egy igazgatási rendszer a GDPR-megfelelésben is. A magyar vállalatok nem kis hányada beérte az előírt dokumentáció elkészítésével (és ezt a NAIH ellenőrzési gyakorlata is bátorította). Pedig a GDPR-megfelelés akár mintegy „mellékterméke” is lehetne az igazgatási rendszer kialakításának. Ha a felmérésből tudjuk, hogy milyen folyamatokban és milyen alkalmazásokban milyen adatkörök érintettek, azoknál milyen kockázatokkal kell számolni és ezeket hogyan lehet elhárítani, már meg is oldottuk a GDPR-t – villantotta fel a lehetőségeket Pflanzner Sándor. Ráadásul a GRC kikényszeríti, hogy a kockázatkezelés és a megfelelés beépüljön a vállalati mindennapokba, így a GDPR-megfelelés sem csak egyszeri alkalom lesz.

Három kérdés, sok válasz

A kétféle rendszer közötti különbség abban is megmutatkozik, hogy az ERP-megoldások értékajánlata jól megfogható és mindenki előtt világos. Az alkalmazások minden tranzakciót rögzítenek, a vezetőség minden egyes pillanatban tisztában lehet azzal, hogy állnak ténylegesen és a tervekhez képest a vállalat pénzügyei, a megrendelések, a raktárkészlet, és így tovább.

Ezzel szemben az igazgatási rendszerek hasznát kevesen tudnák megfogalmazni. Készülnek szabályzatok és tanúsítványok, mert azok ilyen vagy olyan okból kötelezőek a vállalat számára, de ezen túl általában minden marad a régiben. „Ha a tanúsítvány megvan, és fel lehet mutatni, már senkit nem igazán érdekel, mi zajlik a háttérben”, mondta tapasztalatai alapján Pflanzner Sándor.

Az ADAPTO fejlesztési vezetője szerint a vállalatigazgatási rendszerek három kérdésre adhatnak választ:

  1. Hogyan mennek nálunk a dolgok? Az ERP-ből kinyerhetők a tranzakciós adatok, de a GRC rendszerek számos más kulcs teljesítmény mutatót (KPI-t) és kulcs kockázati mutatót (KRI-t) is láthatóvá tesznek a vezetőség számára. Csak egy példa: ha nő az ügyfélpanaszok száma (ez a KRI), az előre jelzi, hogy a KPI-ként meghatározott ügyfél-elégedettség is romlani fog.
  2. Mi okozhat problémát? Itt jelenik meg a kockázatalapú gondolkodás. Egységes, integrált kockázatkezelési rendszerben összegyűjtve és összehasonlítva a különböző területek kockázatait, lehetővé válik, hogy a legkritikusabb pontok kezelésére fókuszáljuk véges erőforrásainkat. Ennek a lényege, hogy jó előre vizsgáljuk meg, mi okozhat problémát, készüljünk fel a lehetséges krízisekre, és most építsük ki azokat a védelmi intézkedéseket, amelyekkel csökkenthetők a kockázatok – sorolta az ismérveket Pflanzner Sándor. „Azt kell itt felismerni, hogy egy esetleges üzemzavar, leállás vagy hiba sokkal több kárt tud okozni, mint amennyit a kockázatkezelésre el kell költeni”, tette hozzá.
  3. Hol tart a megoldás? Végül a megoldás harmadik eleme azt mutatja meg, hogy a különféle projektek hol tartanak. „Mondtátok, hogy gond van, biztosítottuk a pénzt, most mutassátok meg, hogy hol tartotok” – ezt kérheti a menedzsment, és a GRC rendszerek erre is választ tudnak adni.

 

Folyamatok és hatások

A legmodernebb elveket követő kockázat alapú működés megvalósításához szükséges, hogy az igazgatási rendszerek egyenszilárdságúak legyenek a már működő vállalatirányítási rendszerekkel. „Bármelyik is gyengébb a kettő közül, a vállalat csak annyira lehet hatékony, amennyire azt a gyengébb láncszem lehetővé teszi”, figyelmeztetett Pflanzner Sándor.

Sokféleképpen megvalósítható egy igazgatási rendszer, de vannak bizonyos funkciók, amelyeket nem érdemes kihagyni. Mártha Csenge, az ADAPTO technológiai vezetője saját megoldásukon keresztül mutatta be, mire képes egy modern GRC szoftver.

Mindenképpen fontos elem az igazgatás (governance). Ebben a modulban rögzítheti egy vállalat, hogy milyen kötelező és önként vállalt előírásoknak (jogszabályok, iparági szabványok, vállalati előírások) kíván megfelelni és elvégezhetik a magas szintű SWOT- vagy PESTEL-elemzést. A stratégiai célkitűzéseket a könnyebb áttekinthetőség kedvéért stratégiatérképen ábrázolják. Lényeges a kulcs teljesítmény mutatók (KPI-k) meghatározása is, hogy az előrehaladást mérni lehessen („Hogy mennek nálunk a dolgok?”)

Mártha Csenge, Adapto Solutions
Mártha Csenge, Adapto Solutions

Ha a célok megvannak, ismerni kell a kiindulási pontot is: erre szolgál a hatáselemzés. Ennek részeként felrajzolják a kulcsfontosságú folyamatokat és hozzájuk rendelik a működtetésükhöz nélkülözhetetlen (emberi, logikai, fizikai)  erőforrásokat (beleértve az adatvagyont is). A már feltárt folyamatokon elvégezhető a hatáselemzés, vagyis meghatározható, hogy az egyes folyamatokban bekövetkezett zavarok, kiesések miként érintik a vállalat működését, eredményét.

A folyamatok és hatások ismeretében már viszonylag egyszerű feladat az üzletmenet-folytonosság menedzsmentje. „Csupán meg kell válaszolni azt a kérdést, hogy ha zavar támad a folyamatban, akkor mit csináljunk, milyen intézkedéseket foganatosítsunk. Ezzel csak néhány órával lesz hosszabb egy folyamat felmérése, viszont így a folyamatleírás mellett egyből megszületik az üzletmenet-folytonossági terv váza is. 30 folyamatnál ez plusz 2-3 hét – ennyi idő alatt senki nem csinál meg egy önálló BCP-projektet”, érzékeltette az előnyöket Pflanzner Sándor.

 

Összehasonlítható kockázatok

A kockázat alapú szemlélet természetesen nem lehet teljes a kockázatok elemzése nélkül. Egy vállalatra számtalan különféle kockázat leselkedik: emberi, szállítói, információbiztonsági, környezeti, folyamat-, létesítménykockázatok, és ezekkel az egyes osztályok többnyire foglalkoznak is. A legtöbb esetben azonban nincs közös, egységes kockázati keretrendszer és kockázati mátrix sem, így a vállalatvezetés információ híján nem tudja eldönteni, hogy egy kulcsbeszállító elvesztése vagy egy zsarolóvírus fertőzése jelenti-e a nagyobb kockázatot.

„Ebben a helyzetben pedig általában nem a tényleges veszélyek alapján osztják el az erőforrásokat, hanem az kapja a pénzt, aki a leghangosabban érvel a vezetői értekezleteken”, mondja ennek veszélyéről Mártha Csenge. Egy jó GRC-rendszerben nemcsak felmérhetők a kockázatok, hanem melléjük rendelhetők a kockázatkezelési tervek és a becsült költségek is.

A szőlőnek is kell a GRC

Pflanzner Sándor az ADAPTO-ban folytatott tevékenysége mellett egy hathektáros, frissen telepített szőlőbirtoknak is a tulajdonosa. A szükséges oltványokat pár évvel ezelőtt vette hazai oltványmanufaktúrából. Ott egy kockás füzetbe írták be a megrendelését, amelyet később aztán csak kisebb huzavona után tudtak teljesíteni: kiderült, hogy a manufaktúra raktárában valahogy elkeveredett, majd meglett egy raklapnyi oltvány.

Tavaly viszont kiderült, hogy az ültetvényben több száz, nem fajtaazonos tőke van. Ezek kiszedése, pótlása, az elmaradt termés összességében mintegy 2,6 millió forintos veszteséget jelent a szőlőbirtoknak. A manufaktúra magyarázata szerint egyrészt az oltás során összekeveredhetnek a különböző fajták oltócsapjai, másrészt az oltványkert egy részét kimosta egy nagy eső. Legjobb tudásuk szerint visszadugványozták a töveket, de ott is lehetett keveredés.

A rossz tapasztalatok után a gazda felkeresett egy osztrák oltványmanufaktúrát, ahonnan 100 százalékban fajtaazonos oltványokat kapott, miközben az alapvető technológia ugyanaz. A különbség: az osztrák cég alkalmaz alapvető vállalatigazgatási és -irányítási rendszereket, szabályokat. Egyszerre csak egy fajtát oltanak, utána letakarítják az asztalokat, így ott nem lehet fajtakeveredés. Ha az ültetvényen kimosódik egy-egy oltvány, azt nem dugják vissza, hanem kidobják. A rendeléseket nem kockás füzetben, hanem számítógépes rendszerben vezetik, és a raktárban lévő dobozok is számítógépes azonosítót kapnak. Vagyis néhány egyszerű szabály és folyamat betartása (igazgatási rendszer) és az ezeket támogató számítógépes alkalmazások (irányítási rendszer) jelentik a különbséget a jó működés, valamint az ügyfélnek okozott több milliós kár, és az ebből fakadó ügyfélvesztések között.

Végül a GRC-rendszerek két következő nagyobb modulja a megfelelés (compliance), illetve a feladatok, projektek nyomon követése. Előbbibe minden fontos kötelezettséget, előírást, best practice-t részletesen fel lehet venni, az egyes előírásokhoz pedig folyamatokat, szabályzatokat, kockázatkezelési akciókat, egyéb feladatokat lehet rendelni. A projektek nyomon követéséből pedig a már említett „Hol tart a megoldás?” kérdésre lehet választ kapni.

 

Nagyobb a szükség, mint az igény

Magyarországon egyelőre még nem jelentős a GRC-megoldások iránti kereslet – tette hozzá a fentiekhez Vincze Miklós, aki a PwC-nél a GRC-tanácsadási projekteket vezeti. „Nagyobb szükség van ezekre a rendszerekre, mint amekkora az igény”, fogalmazott. Ennek egyik oka, hogy ha egy vállalat valamilyen szinten már kezeli a kockázatait, azt hiszi, készen is van. Így hamis biztonságérzetbe ringatja magát, és nem törekszik az igazgatási funkciók integrálására. Pedig ezeknek a funkcióknak akár kisebb cégeknél is lenne helye.

Az ADAPTO már két, tíz fő alatti cégnél is bevezette a rendszert. Az egyiknél a PSD2 előírásainak való megfelelés volt a fő hajtóerő, a másik pedig a folyamatait szerette volna tökéletesen rendben tudni, ugyanis harmadik országba szervezi ki termékei gyártását.