Kiszervezések minőségbiztosítása

2011. február 22.

A globalizáció hatására a gazdasági társaságok szinte mindegyike vagy elgondolkozott, vagy már ki is szervezte bizonyos tevékenységét külső szolgáltató cégeknek, hogy ezzel növelje hatékonyságát. A kiszervezések akkor tudnak igazán sikeresek lenni, ha az elvárt költségcsökkenés mellett a szolgáltató az elvárt minőséget is tudja biztosítani. A korábbi években a SAS70 jelentés nyújtott segítséget a kiszervezésben érintetteknek, viszont a felhasználók köre főleg az IT és pénzügyi szektor szerepelőire koncentrálódott, viszont az új nemzetközi sztenderdnek köszönhetően, ami az ISAE3402, a gazdaság valamennyi szereplője élvezheti ennek a jelentésnek az előnyeit. 

Az 90-es évek elején vita alakult ki az Egyesült Államokban a kiszervezések biztonságosságáról, illetve azokról a módszerekről, amelyek biztosítják a kiszervezett üzleti funkciók megfelelő külső, harmadik fél általi kontrolláltságát. Mindez a kiszervezett szolgáltatások gyors fejlődésének globális trendjére érkező reakció volt, amely trend lényege az alaptevékenységekre való fókuszálás, a költségcsökkentés és az üzleti funkciók központosítása volt. A vita következtében, illetve annak eredményeként 1992-ben az AICPA kiadta a SAS70 szabványt. 

A SAS 70 jelentés a belső kontrollkörnyezet, a kockázatkezelési módszerek, a kulcsfontosságú kontrollok és rendszerek, illetve a nyújtott szolgáltatások részletes leírását tartalmazza. Ezen információk hasznosak a szolgáltató cégek ügyfelei számára, hiszen így megérthetik a szolgáltatások részleteit, valamint a jelentésben lévő információk, illetve a belső kontrollok és bevezetett kockázatkezelési rendszerek hatékonysága egy külső, független auditor által kerül megvizsgálásra, aki véleményt bocsát ki a szolgáltató központ folyamatairól, kontrolljairól, azok bevezetéséről, illetve arról, hogy az adott időszakban megfelelően és hatékonyan működtek-e.

A SAS 70 jelentés jelenleg a legismertebb szabvány világszerte, amely szabályozza a jelentéskészítés és kommunikáció kérdéseit a korábban említett témában. Mivel azonban ez egy amerikai szabvány, az ilyen jellegű auditra szakosodott szolgáltatók száma szűk az Egyesült Államokon kívül.

Viszlát SAS70, üdv ISAE3402!

Az IAASB, amely a nemzetközi audit sztenderdekért felelős bizottság (International Auditing and Assurance Standards Board), 2009 decemberében kiadott egy új ajánlást, amely kibővítené a véleményadási lehetőséget a nemzetközi auditorok számára a szolgáltató szervezetek („outsourcing cégek”) belső kontrolljaira vonatkozóan is. Az ajánlott ISAE 3402 szabványnak nem az a célja, hogy lecserélje az egyes országok ehhez hasonló szabványait, hanem az, hogy kialakítson egy globális szabványt, melyet minden országban és minden gazdasági szektorban ismernek és elfogadnak. A SAS70 felhasználói nagyrészt a pénzügyi beszámolók szempontjából fontos folyamatokra fókuszálnak, míg az ISAE3402 arra összpontosít, hogy összefoglalja egy egységesített jelentésformába a szolgáltatást igénybevevőknek fontos minőségi és eljárásbeli elvárásokat, mely elvárásoknak való megfelelőséget a vezetőség részletesen leírja és kiértékeli, továbbá ezen egységes jelentést az auditor ellenőrizi és véleményével látja el a szolgáltató társaságnál elvégzett vizsgálati feladatok eredményének megfelelően. 

Ezen új szemléletmódnak köszönhetően az ISAE3204 inkább egy rendkívül széles körben alkalmazható minőségbiztosítási eszköz lehet a kiszervezésben érdekelt gazdasági szereplők részére. Ha egy szolgáltatást igénybevevő társaság pontosan definiálni tudja elvárásait a szolgáltatást nyújtó felé, legyen az pénzügyi vagy logisztikai eljárásbeli elvárás, egy független szakértő ellenőrizheti és véleményezheti, hogy azoknak valóban megfelel-e és ha nem,akkor milyen területeken van szükség változtatásra, fejlesztésre.

Auditjelentés a kontrollokról, magyar módra

A magyar piacon növekszik az érdeklődés a SAS70/ISAE3402 jelentések iránt. Például egy vállalatnál, amely többek között pénzügyi és könyvelési szolgáltatások nyújtásával foglalkozik, számos, a SAS 70-ről folytatott beszélgetés során a menedzsment nem látta egy ilyen típusú audit végrehajtásának szükségességét. Aztán egy érdekes helyzet következett be: a vállalat egyik ügyfele megkérdezte, hogy mikor tudja elküldeni a szolgáltató SAS 70 jelentését, ami – mint később kiderült – az aláírt szolgáltatási megállapodásban is rögzített követelmény volt. Egy másik példában két, ügyfeleik ellátási lánc folyamatait részlegesen működtető logisztikai vállalat szerepel, akik egymástól függetlenül találkoztak szembe olyan elvárásokkal, mint hogy az ügyfelek követelményként specifikálták a belső kontrollkörnyezet megbízhatóságának harmadik fél általi vizsgálatát és véleményezését.

Egy multinacionális termelő cég nemrég azzal kereste meg társaságunkat, hogy ők kiszervezték a raktározásukat egy külső cégnek, viszont mivel jelentős vámtranzakciókat bonyolítanak le a társaság nevében a raktárból, így szükségük lenne egy olyan független szakértőre, aki rendszeresen ellenőrizni tudná a raktározási cég működését, hiszen ha a szolgáltatásban minőségi problémák merülnek fel, akkor ez a termelő cég számára komoly működési problémákat okozhatna. Mivel a termelő cégnek nem volt kapacitása és megfelelő szaktudása egy ehhez hasonló vizsgálat rendszeres elvégzésére, így társaságunkhoz fordult segítségért, mi pedig a jelenlegi SAS70-et tudtuk ajánlani megoldásként.

A magyar szolgáltatók hozzáállása jellemzően passzív az effajta audittal kapcsolatban. A sikeres SAS 70 auditra való felkészülés, amelyet már a kiszervezési döntés meghozatalát követően érdemes elkezdeni, jelentős időt igényelhet. A magyar piacon jelenleg a leggyakoribb ok a SAS 70 iránti érdeklődés megjelenésére a meglévő vagy potenciális ügyfelektől érkező elvárás. A szállítói ajánlatok összegyűjtése során az ügyfelek gyakran megkérdezik, hogy a potenciális szállító rendelkezik-e ilyen jelentéssel, illetve, hogy vállalja-e rendszeres időközönként annak jóváhagyásra való elküldését, ellenőrzését. Sőt, bizonyos iparágakban a SAS 70 jelentés megléte alapvető követelménnyé vált, melynek hiánya versenyhátrányt jelent. Egyre gyakrabban megfigyelhető – és ez nagyon pozitív jel –, hogy a SAS 70 iránti érdeklődés a belső kontrollok állapotából és az azok – a szervezet dinamikus növekedési időszakára jellemző – szervezési törekvéséből származik.

Az ISAE3402 a logisztikában

Magyarországon a logisztikai outsourcing egy nagyon sikeres üzleti konstrukció, a kiszervezést választó cégek általában elégedettek az outsourcing nyújtotta eredményekkel. Azon társaságok melyek egyszer a kiszervezés mellett döntöttek, nem tervezik visszavenni ezen tevékenységeket a szolgáltató cégektől.

Az elmúlt években a magyar és európai piacokon a verseny egyre erősödik, egyre több szolgáltató van a piacon, akik alapvetően jó konstrukciókat kínálnak, tapasztalattal és ISO minőségbiztosítással rendelkeznek, valamint hosszú távú működést garantálnak. Az erős versenynek köszönhetően az árak rendkívül nyomottá váltak az elmúlt években, mely gyakran a minőség rovására ment, ami az ügyfelek elvesztéséhez vezetett, így a logisztikai oursourcingban érdekelt cégek esetében a minőségbiztosítás került előtérbe. A kiszervezést használók köre legnagyobb kockázatnak a logisztikai szolgáltató nem megfelelő teljesítését és az ebből fakadó károkat tekinti, melyek jelentős hatással lehetnek saját működésükre is.

Az ISAE3402 megoldást nyújthat mind a logisztikai szolgáltatást nyújtó, mind a szolgáltatást igénybevevő számára. A kiszervezőknek minden esetben előre definiált elvárásaik vannak a szolgáltató cégek felé, úgymint időben történő kiszállítás, készletszint csökkentés, hatósági szabályok szigorú betartása, mely elvárások nagyrészt általánosak a kiszervezők részéről. Ha a szolgáltató társaság saját maga készít el egy összefoglaló jelentést, mely tartalmazza az általános elvárásokat, és hogy azokat milyen minőségbiztosítási folyamatokkal garantálják, mely részletes leírást egy nemzetközileg elismert auditorral hitelesítenek is, akkor egy erős piaci előnyre tehetnek szert.

A potenciális vevővel folytatott tárgyalás máris egy lépcsőfokot előre ugorhat, hiszen a társaság működéséről részletes jelentés készül, melyben egy független szakértő igazolja, hogy a kialakított kontrollkörnyezet és kockázatkezelési eszközök az elmúlt hónapokban hatékonyan működtek, és hogy a kialakított működési környezet biztosítja a szolgáltatás igénybevevők által felállított elvárásoknak való megfelelőséget.

Néhány szó a jövőről

Amikor a jövőre gondolok és a magyar piacot figyelem, óriási lehetőséget látok a SAS 70 és ISAE 3402 koncepció előtérbe kerülésében. Először és legfőképpen, dinamikus növekedés figyelhető meg az üzleti folyamatok kiszervezése kapcsán. Ugyanakkor sok országban népszerű jelenleg a kockázatmenedzsment témája, ami ahhoz a tényhez kapcsolódik, hogy míg az üzleti funkciók rábízhatók egy külső szervezetre, addig a kockázatok és a menedzsment, illetve a felügyelőbizottság felelőssége nem. Így az új ISAE 3402 – mint ahogy a SAS 70 is – egyre népszerűbbé és széles körben alkalmazott eszközzé válik Európában.

Mik a következő lépések? Bizonyosan egy, az adott vállalat saját környezetét, jellemzőit figyelembe vevő elemzés elvégzése az ISAE 3402 vagy SAS 70 jelentések potenciális költségeiről és hasznairól. A döntéshozatali folyamat ennek megfelelően minden szervezet esetében kicsit más lesz. Végül, de nem utolsó sorban, habár ma a SAS 70 és az ISAE 3402 belső komfortot és kompetitív előnyt biztosít, holnap már piaci alapkövetelménnyé válik, amit elvárnak az ügyfelek – szóval mi értelme várni?

Erdélyi Gábor
A szerző a PwC menedzsere

Rövidítések:

  • AICPA - American Institute of Certified Public Accountants
  • ISAE 3402 International Standard on Assurance Engagements - Assurance Reports on Controls at a Service Organisation.
  • SAS 70 - Statement on Auditing Standards (SAS) No. 70, Service Organizations