A cikksorozat második részében a szerző a Boeing esetét felhasználva szemlélteti mennyire fontos a belső kontrollpontok felállítása és a folyamatos auditálás, tesztelés.
Cikksorozatunk első részében áttekintettük a vállalati compliance alapjait és elemeztük a Boeing egyik 787 Dreamliner típusú repülőgépével 2024 márciusában történt incidenst kockázatelemzési és kockázatkezelési szempontok alapján.
A cikksorozat jelen második részében folytatjuk a Boeing-nél történt események vizsgálatát, ezúttal a belső kontrollpontok kialakítása és fenntartása, valamint a folyamatos auditálás és tesztelés követelményeit szem előtt tartva.
A belső kontrollpontok fontossága
A vállalati compliance program szerves részét képezik az ún. belső kontrollpontok is, amelyek lényegében az adott vállalat által kialakított compliance rendszerbe integrált olyan konkrét lépések és intézkedések, amelyek által ténylegesen lehetővé válik a potenciális jog- és szabálysértéseket okozó tevékenységek vagy mulasztások azonosítása, bejelentése, elhárítása, megelőzése, korrekciója, illetve dokumentálása.
Bár nagyon hasonlít a kockázatértékelés és kockázatkezelés kapcsán írtakhoz[1], fontos látni, hogy a belső kontrollpontok kialakítását szükségszerűen megelőzi a kockázatértékelés és a kockázatkezelés is, hiszen az egyes konkrét lépések és intézkedések szükségességét (létjogosultságát) a potenciális kockázatok feltárása és értékelése fogja megalapozni, magyarul: csak akkor tudjuk meghatározni a „hogyant”, ha már tudjuk a „mit”.
Az ilyen belső kontrollpontok kialakítására nincs általános recept, azokat a vállalat minden esetben saját magának alakítja ki, mivel csak ő maga látja át a tevékenysége következtében felmerülő lehetséges kockázatokat – a GDPR[2]-nak való megfelelés esetében az adatkezelői felelősség primer jellegéhez hasonlóan.
Lényeges továbbá azt is kiemelni, hogy ugyan valóban fontos a belső vállalati szabályzatok megalkotása, de legalább ennyire fontos az is, hogy – a megalkotott belső szabályzatoknak megfelelően – ténylegesen és hatékonyan működőképes folyamatokat hozzunk létre. A vállalati compliance ugyanis nem arról szól, hogy súlytalan és lobogtatnivaló papírokat gyártsunk, amelyeket aztán bevágunk a szekrénybe, hanem arról, hogy egy hatékony compliance rendszert alkossunk meg, és ennek a folyamatnak a szabályzatalkotás csupán egy részeleme. A hatékony, megfelelően működő és megfelelő minőségű compliance program lelke a jól kialakított, átgondolt, és az adott vállalat tevékenységére szabott folyamatrendszer, melynek egyik esszenciális pillére a belső kontrollpontok kialakítása, fenntartása és folyamatos finomhangolása (pl. a munkavállalók képzése során egy mindenki számára érthető gyakorlati nyelvezet alkalmazása, egy vagy több belső ellenőrzési vagy jóváhagyási láncolat kialakítása, ténylegesen működő bejelentési és bejelentővédelmi rendszer kialakítása, belső vizsgálatok lefolytatására külön szervezeti egység felállítása és valódi hatáskörökkel való felruházása stb.).
Minőség-ellenőrzés, mint kontrollpont
A gyártók (pl. elektronikai eszközök gyártói) általában kiemelt prioritásként kezelik a minőségellenőrzést, hiszen egy hibás termék komoly károkat tud okozni a felhasználóknak, fogyasztóknak, de akár más személyeknek is (pl. gondoljunk azokra az okostelefonokra, amelyek akkumulátorai néhány évvel ezelőtt rendszeresen túlhevültek, kigyulladtak, illetve felrobbantak).[3]
A fentiek fényében különösen érdekes fejlemény volt, amikor a Boeing arról tájékoztatta az amerikai szövetségi légügyi felügyeletet, az FAA-t (Federal Aviation Administration), hogy az egyik általa gyártott repülőgéptípus, nevezetesen a 787 Dreamliner esetében nem végezték el a biztonsági ellenőrzéseket, illetve meghamisították az ilyen ellenőrzésekről készült dokumentumokat:
„Az FAA vizsgálatot indított a Boeing ellen, miután a vállalat áprilisban önként arról nyújtott tájékoztatást, hogy egyes 787 Dreamliner repülőgépek esetében nem végezte el a megfelelő ragasztás és rögzítés megerősítéseként előírt ellenőrzéseket ott, ahol a szárnyak a géptörzshöz csatlakoznak.”[4]
Nem kell különösebben hangsúlyozni, hogy a géptörzs és az ahhoz csatlakozó szárnyak a repülőgépek lényegi elemei. Mégis, az egyik ilyen esetről készült – eredetileg belső – beszámolóban Scott Stocker (aki az egyik dél-karolinai összeszerelő üzem általános ügyvezetője) így értékelte az incidenst: „a mérnök csapat úgy ítélte meg, hogy ez a szabálytalanság nem okozott azonnali repülésbiztonsági problémát.”[5]
Már csak minőségbiztosítási szempontból sem feltétlenül szerencsés, ha olyan 787 Dreamliner repülőgépek szelhetik az eget, amelyeknél a szárnyak és a géptörzs csatlakozásának hibátlan volta nem került ellenőrzésre. Ahogyan azt az előző cikkünkben is említettük, a sérelem bekövetkezésének a lehetősége már önmagában kockázatot jelent. A típussal kapcsolatban sajnos egyébként sem ez az egyetlen probléma, ami a közelmúltban a figyelem középpontjába került.[6]
Folyamatos auditálás és tesztelés
A vállalati compliance program formai követelményrendszerének harmadik – és jelen cikksorozatunk vizsgálati szempontját tekintve egyben utolsó – eleme a folyamatos auditálás és tesztelés fontossága.
Az audit kifejezés talán sokakban azonnali gyomorgörcsöt okozhat, pedig az audit célja, hogy felmérjék a vállalati compliance program hatékonyságát és működőképességét, azaz egy audit során ténylegesen tesztelésre kerül, hogy a vállalat által előírt szabályok és folyamatok mennyire vannak összhangban a mindennapi működés során ténylegesen követett gyakorlattal, illetve azok valóban a hatékony működést szolgálják-e. Az audit segít felmérni és kideríteni az esetleges hiányosságokat, melyek – az eredmények kiértékelését és ezek alapján a megelőző, illetve helyreállító intézkedések megtételét követően – hozzájárulhatnak a meglévő folyamatok fejlesztéséhez, egyszerűsítéséhez, vagy a hatékonyság növeléséhez.
Az audit egyik legfontosabb jellemzője a függetlenség, vagyis annak biztosítása, hogy az auditot végző szervezet vagy szervezeti egység az audit alá vont szervezettel vagy szervezeti egységgel szemben rendelkezzen az ellenőrzés elvégzéséhez szükséges hatáskörökkel, szakértelemmel és erőforrásokkal. Legalább ennyire fontos az is, hogy az audit alá vont vállalat ténylegesen alávesse magát az auditnak és elkötelezze magát az esetlegesen feltárt hiányosságok mihamarabbi és hatékony kezelése mellett.
A tesztelés megvalósulhat az audit során, illetve attól függetlenül is és célja, hogy az adott folyamatot, terméket, eljárást, szolgáltatást intenzív igénybevételnek tegye ki, kifejezetten azzal a céllal, hogy az esetleges hiányosságok, hibák vagy gyenge pontok még idejében kiderülhessenek.
Mind az audit, mind a tesztelés akkor működik célszerűen és megfelelően, ha azokra nem eseti jelleggel, hanem rendszeresen kerül sor, mivel így biztosítható, hogy az adott hiányosság valóban és időben orvoslásra kerülhessen (pl. az egyik háztartási gépeket gyártó vállalat a mosogatógépek működését az összeszerelés után több alkalommal is teszteli, mielőtt kereskedelmi forgalomba hozná azokat).
A Boeing Starliner
Az audit és a tesztelés egyik legfontosabb ismérve tehát a folyamatosság és az ebből következő időszerűség: a problémák kijavítása minél hamarabb.
Az utóbbi évek egyik legizgalmasabb témája az a sajátos űrverseny, ami az Amerikai Egyesült Államokban – és persze az űrben – zajlik a Boeing és a SpaceX között. Tekintve, hogy az utóbbi hónapokban nem csak a Boeing repülőgépei, hanem még az új űrkapszulája esetében is problémák merültek fel, kétségtelenül egyre nagyobb a tét.
Röviden: a NASA 2014-ben adott megbízást űrhajóépítésre a Boeing-nek és az akkor még tapasztalatlan SpaceX-nek. A sors fricskája, hogy míg a SpaceX 2020 májusában már embert tudott küldeni az űrbe, a Boeing Starliner űrhajóját csak 4 évvel később, 2024. június 5-én sikerült fellőni. A sikeres indítást megelőzően a Starliner kilövését több alkalommal is elhalasztották különböző műszaki problémák miatt, azóta pedig olyan hibák adódtak az űrkapszulában, amelyek miatt a nemzetközi űrállomásra dokkolt kényszerpihenőjét követően végül személyzet nélkül tért vissza a Földre.
A Starliner-t ugyanis úgy indították el június 5-én, hogy már akkor is ismert volt, szivárog belőle a hélium. Hiába érkezett meg sikeresen a Starliner az űrállomásra, további héliumszivárgás és szelepmeghibásodás is történt, ráadásul a manőverező hajtóművekből is több leállt. A Starliner kálváriája azért is került reflektorfénybe, mert ez volt az űrhajó első olyan küldetése, amely során embereket szállított az űrbe, akik azonban a meghibásodások miatt az eredetileg tervezett néhány nap helyett hónapokat fognak az űrállomáson tölteni.
A Starliner története azért is különösen érdekes, mert az idén júniusban megvalósult indításnak az eredeti tervek szerint már 2017-ben kellett volna megtörténnie, ám a sorozatos tesztelések és hibajavítások miatt folyamatosan elhalasztották a kilövést. Nem mellesleg a hírek szerint a Starliner fejlesztése több mint másfél milliárd dollárral lépte túl az eredeti költségkeretet.
Az igazi pofont mégis leginkább az jelenti, hogy – a dolgok jelenlegi állása szerint – az űrhajósok nem a Boeing Starliner-t fogják használni a Földre történő visszatérésre, hanem a SpaceX Crew Dragon űrhajóját várhatóan valamikor 2025 februárjában, mivel a NASA (National Aeronautics and Space Administration) szerint túl nagy kockázatot jelentett volna, ha a két űrhajós – Butch Wilmore és Sunita Williams – a Boeing űrhajójával tér vissza.[7] A Starliner végül szeptember 7-én üresen, személyzet nélkül tért vissza a Földre.
Cikksorozatunk következő és egyben utolsó részében a Boeing compliance programjának fejlesztésére vonatkozóan az amerikai kormányzat felé tett vállalásait és ennek részleteit vizsgáljuk meg a vállalat lehetséges jövőképének figyelembevétele mellett.
Források:
[1] Vállalati compliance szempontból kockázatnak tekintünk minden olyan potenciális sérülékenységet vagy veszélyt, amely – annak figyelmen kívül hagyása, illetve megfelelő kezelésének elmulasztása esetén – jogszabályi rendelkezés, illetve egyéb kötelező előírás (pl. belső szabályzat, szerződéses kikötés, iparági norma, szabvány) megsértéséhez vezethet és a vállalat tevékenységére vagy hírnevére negatív kihatással lehet.
[2] Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, röviden: GDPR).
[3] Forrás: https://www.nbcnews.com/tech/tech-news/samsung-finally-explains-galaxy-note-7-exploding-battery-mess-n710581
[4] Forrás: https://gizmodo.com/boeing-admits-employees-falsified-aircraft-records-1851459132
[5] Forrás: https://gizmodo.com/boeing-admits-employees-falsified-aircraft-records-1851459132
[6] Forrás:
https://hvg.hu/tudomany/20240411_boeing-787-dreamliner-baleset-osszeszereles-hiba-gyartas
https://www.theguardian.com/business/2024/mar/15/boeing-cockpit-seat-switch-latam-flight
[7] Forrás: https://www.reuters.com/technology/space/spacex-return-boeings-starliner-astronauts-space-next-year-nasa-says-2024-08-24/
https://hvg.hu/tudomany/20240824_NASA-Boeing-Starliner-Nemzetkozi-Urallomas-ISS-urhajosok-hazaterese
A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.
