okvir profesionalnog djelovanja - hiir profesionalnog djelovanja.pdf · smjernice za obavljanje...

OKVIR PROFESIONALNOG DJELOVANJA

Fondacija za istraživanje Instituta internih revizora (IIA)

Izjava

Autorska prava © Instituta internih revizora (IIA), 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Sva prava pridržana. Tiskano u Sjedinjenim Američkim Državama. Ni jedan dio ove publikacije ne smije se reproducirati, čuvati u sustavima za pretraživanje ili emitirati u bilo kakvom obliku i putem bilo kakvih sredstava – elektroničkih, mehaničkih, fotokopiranjem, snimanjem ili na drugi način – ako prethodno nije dobiveno pisano odobrenje izdavača. IIA objavljuje ovaj dokument u informativne i obrazovne svrhe. Namjera ovog dokumenta je osigurati informacije, ali ne i zamijeniti pravne ili računovodstvene preporuke. IIA ne daje takve savjete te ne jamči bilo kakve pravne ili računovodstvene rezultate na temelju objavljivanja ovog dokumenta. U slučaju pravnih ili računovodstvenih problema, za pomoć je potrebno potražiti i angažirati stručnu osobu.Okvir profesionalnog djelovanja (OPD) osmišljen je kako bi se na primjeren način na jednome mjestu objedinile već postojeće smjernice za obavljanje struke, kao i nove koje se razvijaju. OPD obuhvaća Definiciju interne revizije, Etički kodeks, Međunarodne standarde za stručnu provedbu interne revizije (Standardi) i Preporuke za rad, te utire put vrhunskoj internoj reviziji. Cilj je Fondacije za istraživanje Instituta internih revizora (IIARF) postati globalni predvodnik u sponzoriranju, širenju i promicanju istraživanja i izvora znanja u svrhu unaprjeđenja razvoja i učinkovitosti struke internih revizora.

NASLOV IZVORNIKA: The Professional Practices Framework

ISBN-10: 0-89413-558-904643 01/05Prvo izdanje07478 05/07Šesto izdanje (REVIDIRANO)

IZDAVAČ IZVORNIKA: The institute of Internal AuditorsGlobal Practices Center247 Maitland AvenueAltamonte Springs, FL 32701-4201 SADTelefon: +1-407-937-1362Faks: : +1-407-937-1101e-mail: [email protected]

NAKLADNIK: Hrvatski institut internih revizoraZagreb, Jakova Gotovca 1/II

ZA NAKLADNIKA: mr. Stanko Tokić, predsjednik

PREVODITELJ: HalPet d.o.o., Zagreb

UREDNICI / REDAKTORI: prof. dr. Boris Tušek i prof. dr. Lajoš Žager

LEKTOR: prof. Ana Krivec

NAKLADA: 2000

TISAK I DISTRIBUCIJA: Marko M usluge d.o.o., Zagreb

ISBN: 978-953-55827-0-0CIP zapis dostupan u računalnom katalogu Nacionalne i sveučilišne knjižnice u Zagrebu pod brojem 710989.

3

SADRŽAJ

PREDGOVOR HRVATSKOM IZDANJU .......................................................................23

PREDGOVOR ...................................................................................................................25

ZAHVALA ........................................................................................................................27

DEFINICIJA INTERNE REVIZIJE ..................................................................................29

ETIČKI KODEKS .............................................................................................................31

MEĐUNARODNI STANDARDI ZA STRUČNU PROVEDBU INTERNE REVIZIJE (STANDARDI) ....................................................................................................................35

Uvod ...................................................................................................................................35

OPĆI STANDARDI ..........................................................................................................37

1000 – Svrha, ovlasti i odgovornosti .................................................................................371100 – Neovisnost i objektivnost .......................................................................................37

1110 – Organizacijska neovisnost ................................................................................371120 – Individualna objektivnost .................................................................................381130 – Narušavanje neovisnosti ili objektivnosti ........................................................38

1200 – Stručnost i dužna profesionalna pozornost ............................................................381210 – Stručnost ...........................................................................................................38

4

Okvir profesionalnog djelovanja

1220 – Dužna profesionalna pozornost ........................................................................391230 – Kontinuiran profesionalni razvoj .....................................................................40

1300 – Program osiguranja kvalitete i unaprjeđenja ..........................................................401310 – Ocjenjivanje programa kvalitete .....................................................................40 1311 – Interno vrednovanje ..........................................................................................40 1312 – Vanjsko vrednovanje ........................................................................................401320 – Izvještavanje o programu kvalitete ..................................................................401330 – Uporaba fraze „Provedeno u skladu sa Standardima“ .....................................401340 – Obavijest o neusklađenosti ...............................................................................41

STANDARDI IZVOĐENJA .............................................................................................43

2000 – Vođenje interne revizije .........................................................................................432010 – Planiranje ..........................................................................................................432020 – Priopćavanje i odobrenje ..................................................................................432030 – Upravljanje resursima ......................................................................................442040 – Politike i postupci .............................................................................................442050 – Koordinacija .....................................................................................................442060 – Podnošenje izvještaja upravi i višem menadžmentu ........................................44

2100 – Priroda posla ..........................................................................................................442110 – Upravljanje rizicima .........................................................................................442120 - Kontrola ...........................................................................................................452130 – Korporativno upravljanje .................................................................................45

2200 – Planiranje angažmana ............................................................................................462201 – Uvjeti planiranja ...............................................................................................462210 – Ciljevi angažmana ............................................................................................472220 – Opseg posla ......................................................................................................472230 – Raspoređivanje resursa za poslovni angažman ................................................472240 – Program rada ....................................................................................................47

2300 – Obavljanje angažmana ...........................................................................................482310 – Utvrđivanje informacija ...................................................................................482320 – Analiza i procjena .............................................................................................482330 – Evidentiranje informacija .................................................................................482340 – Nadzor angažmana ...........................................................................................48

2400 – Priopćavanje rezultata ............................................................................................492410 – Kriteriji priopćavanja .......................................................................................492420 – Kvaliteta priopćavanja ......................................................................................49

5

Sadržaj

2430 – Izjava o neusklađenosti angažmana sa Standardima .......................................492440 – Distribucija rezultata ........................................................................................49

2500 – Praćenje napretka ...................................................................................................502600 – Odluka uprave o prihvaćanju rizika .......................................................................50

POJMOVNIK ....................................................................................................................51

PREPORUKE ZA RAD ....................................................................................................57

Preporuka za rad 1000-1: Povelja o internoj reviziji ...................................................................................................58

Preporuka za rad 1000.C1-1: Smjernice internim revizorima za obavljanje konzultacija ................................................59

Preporuka za rad 1000.C1-2:Dodatni uvjeti za formalna savjetovanja ............................................................................62

Preporuka za rad 1000.C1-3:Dodatni uvjeti za konzultacijske angažmane u državnim organizacijama ........................68

Preporuka za rad 1100-1:Neovisnost i objektivnost ...................................................................................................76

Preporuka za rad 1100-1:Organizacijska neovisnost .................................................................................................77

Preporuka za rad 1110.A1-1:Otkrivanje razloga za zahtjeve za informacijama ..............................................................79

Preporuka za rad 1110-2:Linije izvještavanja glavnog revizora ................................................................................80

Preporuka za rad 1120-1:Individualna objektivnost ...................................................................................................84

Preporuka za rad 1130-1:Narušavanje neovisnosti ili objektivnosti ..........................................................................86

Preporuka za rad 1130.A1-1:Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorni .......................87

6


Preporuka za rad 1130.A1-2:Odgovornost interne revizije za ostale (nerevizijske) funkcije ..........................................89

Preporuka za rad 1200-1:Stručnost i dužna profesionalna pozornost ........................................................................92

Preporuka za rad 1210-1:Stručnost ............................................................................................................................93

Preporuka za rad 1210.A1-1:Angažiranje usluga za potporu ili dopunu internoj reviziji ...............................................95

Preporuka za rad 1210.A2-1:Odgovornosti revizora u pogledu procjene rizika od prijevare; sprječavanja i otkrivanja .........................................................................................................................99

Preporuka za rad 1210.A2-2:Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanja ................................................................................................. 107

Preporuka za rad 1220-1:Dužna profesionalna pozornost ....................................................................................... 113

Preporuka za rad 1220-2:Računalno podržane revizijske tehnike (CAAT alati) .................................................... 114

Preporuka za rad 1230-1:Kontinuirani profesionalni razvoj ................................................................................... 120

Preporuka za rad 1300-1:Program osiguranja kvalitete i unaprjeđenja ....................................................................121

Preporuka za rad 1310-1:Ocjene programa kvalitete .............................................................................................. 124

Preporuka za rad 1311-1:Interno ocjenjivanje .......................................................................................................... 126

Preporuka za rad 1311-2:Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizije ............................................................. 128

7

Sadržaj

Preporuka za rad 1312-1:Vanjsko ocjenjivanje ...................................................................................................... 135

Preporuka za rad 1312-2Vanjsko vrednovanje samoprocjene s nezavisnom ocjenom ......................................... 139

Preporuka za rad 1320-1:Izvještavanje o programu kvalitete ................................................................................. 142

Preporuka za rad 1330-1:Upotreba fraze „Provedeno u skladu sa Standardima“ ................................................... 143

Preporuka za rad 2000-1Upravljanje aktivnostima interne revizije ....................................................................... 145

Preporuka za rad 2010-1Planiranje ........................................................................................................................ 146

Preporuka za rad 2010-2Povezivanje plana revizije s rizikom i izloženostima ..................................................... 148

Preporuka za rad 2020-1Priopćavanje i odobrenje ................................................................................................. 150

Preporuka za rad 2030-1Upravljanje resursima ..................................................................................................... 151

Preporuka za rad 2040-1Politike i procedure ......................................................................................................... 152

Preporuka za rad 2050-1Koordinacija .................................................................................................................... 153

Preporuka za rad 2050-2Akvizicija usluga vanjske revizije .................................................................................. 157

Preporuka za rad 2060-1:Izvještavanje odbora i višeg menadžmenta ..................................................................... 160

Preporuka za rad 2060-2:Povezanost s Odborom za reviziju .................................................................................. 162

8


Preporuka za rad 2100-1:Priroda posla ................................................................................................................... 166

Preporuka za rad 2100-2:Sigurnost informacija ...................................................................................................... 168

Preporuka za rad 2100-3:Uloga interne revizije u procesu upravljanja rizicima .................................................... 170

Preporuka za rad 2100-4:Uloga interne revizije u organizacijama bez procesa upravljanja rizicima .................... 172

Preporuka za rad 2100-5:Pravni obziri u procjeni programa regulacijskog usklađivanja ....................................... 174

Preporuka za rad 2100-6:Implikacije kontrole i revizije pri aktivnostima e-trgovine ............................................ 180

Preporuka za rad 2100-7:Uloga interne revizije u prepoznavanju i prijavi rizika za okoliš ................................... 186

Preporuka za rad 2100-8:Uloga interne revizije u procjeni okvira privatnosti organizacije ................................... 189

Preporuka za rad 2100-9:Revizija aplikacijskih sustava ......................................................................................... 192

Preporuka za rad 2100-10:Uzimanje uzoraka revizije .............................................................................................. 196

Preporuka za rad 2100-11:Utjecaji sveobuhvatnih kontrola IS-a .............................................................................. 201

Preporuka za rad 2100-12:Eksternaliziranje aktivnosti IS-a drugim organizacijama ............................................... 207

Preporuka za rad 2100-13:Utjecaj trećih strana na informatičku kontrolu organizacije ........................................... 211

Preporuke za rad 2100-14:Zahtjev na revizijske dokaze ........................................................................................... 218

9

Sadržaj

Preporuka za rad 2110-1:Procjena adekvatnosti procesa upravljanja rizicima ....................................................... 221

Preporuka za rad 2110-2:Uloga interne revizije u procesu poslovne kontinuiranosti ............................................. 224

Preporuka za rad 2120.A1-1:Ocjenjivanje i izvještavanje o procesima kontrole ......................................................... 227

Preporuka za rad 2120.A1-2:Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa kontrole ..... 230

Preporuka za rad 2120.A1-3:Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenjima, i ovjerama rukovodstva ................................................................................................... 234Preporučene radnje za interne revizore ........................................................................... 236

Preporuka za rad 2120.A1-4:Revizija procesa financijskog izvještavanja ................................................................... 239Izvještavanje o internoj kontroli ..................................................................................... 240Okvir za internu kontrolu ................................................................................................ 241Uloge internog revizora .................................................................................................. 243

Preporuka za rad 2120.A4-1:Kriteriji kontrole ............................................................................................................. 245

Preporuka za rad 2130-1:Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacije ....... 246Korporativno upravljanje i kultura organizacije ............................................................. 247Podijeljena odgovornost za etičku kulturu organizacije ................................................. 247Aktivnost interne revizije kao zagovornika etike ........................................................... 247

Preporuka za rad 2200-1:Planiranje rada ................................................................................................................ 249

Preporuka za rad 2210-1:Ciljevi rada ...................................................................................................................... 251

10


Preporuka za rad 2210.A1-1:Procjena rizika u planiranju angažmana ......................................................................... 252

Preporuka za rad 2230-1:Raspodjela resursa u angažmanu .................................................................................... 255Preporuka za rad 2240-1:Program rada angažmana ................................................................................................ 256

Preporuka za rad 2240.A1-1:Odobrenje programa rada ............................................................................................... 257

Preporuka za rad 2300-1:Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizije .... 258

Preporuka za rad 2310-1:Utvrđivanje informacija .................................................................................................. 260

Preporuka za rad 2320-1:Analiza i vrednovanje ..................................................................................................... 261

Preporuka za rad 2330-1:Evidentiranje informacija ................................................................................................ 263

Preporuka za rad 2330.A1-1:Kontrola dokumentacije angažmana ............................................................................... 265

Preporuka za rad 2330.A1-2:Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmana ....................... 266

Preporuka za rad 2330.A2-1:Zadržavanje dokumentacije ............................................................................................ 269

Preporuka za rad 2340-1:Nadzor angažmana .......................................................................................................... 270

Preporuka za rad 2400-1:Pravni obziri u priopćavanju rezultata ............................................................................ 272

Preporuka za rad 2410-1:Kriteriji priopćavanja ...................................................................................................... 275

11

Sadržaj

Preporuka za rad 2420-1:Kvaliteta priopćenja ........................................................................................................ 278

Preporuka za rad 2440-1:Primatelji rezultata angažmana ....................................................................................... 280

Preporuka za rad 2440-2:Priopćavanje izvan organizacije ..................................................................................... 282

Preporuka za rad 2440-3:Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lanca ......................... 284

Preporuka za rad 2500-1:Praćenje napretka ............................................................................................................ 289

Preporuka za rad 2500.A1-1:Proces praćenja ............................................................................................................... 291

Preporuka za rad 2600-1:Prihvaćanje rizika od strane uprave ................................................................................ 293

PRIJEVOD ILI PRILAGODBA OKVIRA PROFESIONALNOG DJELOVANJA I POVEZANIH SMJERNICA (Administrativna direktiva br. 2) .................................... 295

DODATAK: POJMOVI KOJI SE KORISTE U OVOM OKVIRU .............................. 299

13

TEMATSKI INDEKS PREPORUKA ZA RAD

Povelja revizijePreporuka za rad 1000-1 Povelja o internoj revizijiPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1310-1 Ocjene programa kvalitetePreporuka za rad 2010-1 PlaniranjePreporuka za rad 2060-2 Povezanost s Odborom za revizijuPreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicimaPreporuka za rad 2330.A1-2 Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmanaPreporuka za rad 2440-2 Priopćavanje izvan organizacijePreporuka za rad 2440-3 Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lancaPreporuka za rad 2500.A1-1 Proces praćenja

Preuzimanje nerevizijskih obvezaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1000.C1-3 Dodatni uvjeti za konzultacijske angažmane u državnim organizacijamaPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorni

14


Preporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicima

OsiguranjePreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1210.A2-2 Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanjaPreporuka za rad 1220-1 Dužna profesionalna pozornostPreporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2100-6 Implikacije kontrole i revizije pri aktivnostima e- trgovinePreporuka za rad 2100-7 Uloga interne revizije u prepoznavanju i prijavi rizika za okolišPreporuka za rad 2100-8 Uloga interne revizije u procjeni okvira privatnosti organizacijePreporuka za rad 2110-1 Procjena adekvatnosti procesa upravljanja rizicimaPreporuka za rad 2110-2 Uloga interne revizije u procesu poslovne kontinuiranostiPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2120.A1-2 Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa kontrolePreporuka za rad 2120.A1-3 Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenjima i ovjerama rukovodstvaPreporuka za rad 2120.A1-4 Revizija procesa financijskog izvještavanjaPreporuka za rad 2120.A4-1 Kriteriji kontrole

Izvještavanje odbora i višeg menadžmentaPreporuka za rad 1000-1 Povelja o internoj revizijiPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnosti

15

Tematski indeks preporuka za rad

Preporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1311-1 Interno ocjenjivanjePreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-1 Vanjsko ocjenjivanjePreporuka za rad 1320-1 Izvještavanje o programu kvalitetePreporuka za rad 2020-1 Priopćavanje i odobrenjePreporuka za rad 2050-1 KoordinacijaPreporuka za rad 2060-1 Izvještavanje odbora i višeg menadžmentaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2440-3 Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lancaPreporuka za rad 2600-1 Prihvaćanje rizika od strane uprave

Odgovornosti glavnog revizoraPreporuka za rad 1000-1 Povelja o internoj revizijiPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1100-1 Neovisnost i objektivnostPreporuka za rad 1110-1 Organizacijska neovisnostPreporuka za rad 1110.A1-1 Otkrivanje razloga za zahtjeve za informacijamaPreporuka za rad 1110-2 Linije izvještavanja glavnog revizoraPreporuka za rad 1120-1 Individualna objektivnostPreporuka za rad 1300-1 Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-2 Vanjsko vrednovanje samoprocjene s nezavisnom ocjenomPreporuka za rad 2000-1 Upravljanje aktivnostima interne revizijePreporuka za rad 2040-1 Politike i procedurePreporuka za rad 2050-1 KoordinacijaPreporuka za rad 2050-2 Akvizicija usluga vanjske revizijePreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrole Preporuka za rad 2120.A1-3 Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenjima i ovjerama rukovodstva

16


Preporuka za rad 2120.A1-4 Revizija procesa financijskog izvještavanjaPreporuka za rad 2200-1 Planiranje radaPreporuka za rad 2330-1 Evidentiranje informacijaPreporuka za rad 2330.A1-1 Kontrola dokumentacije angažmanaPreporuka za rad 2330.A1-2 Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmanaPreporuka za rad 2330.A2-1 Zadržavanje dokumentacijePreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2410-1 Kriteriji priopćavanjaPreporuka za rad 2440-1 Primatelji rezultata angažmanaPreporuka za rad 2440-2 Priopćavanje izvan organizacijePreporuka za rad 2500-1 Praćenje napretkaPreporuka za rad 2500.A1-1 Proces praćenja

Udovoljavanje StandardimaPreporuka za rad 1300-1 Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-1 Vanjsko ocjenjivanjePreporuka za rad 1312-2 Vanjsko vrednovanje samoprocjene s nezavisnom ocjenomPreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“

KonzultacijePreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1000.C1-3 Dodatni uvjeti za konzultacijske angažmane u državnim organizacijamaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicimaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2130-1 Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacije

OtkrivanjePreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnostiPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“

17


Preporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2440-3 Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lanca

Priopćenja angažmanaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1100-1 Neovisnost i objektivnostPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“Preporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2050-1 KoordinacijaPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2400-1 Pravni obziri u priopćavanju rezultataPreporuka za rad 2410-1 Kriteriji priopćavanjaPreporuka za rad 2420-1 Kvaliteta priopćenjaPreporuka za rad 2440-1 Primatelji rezultata angažmanaPreporuka za rad 2440-2 Priopćavanje izvan organizacije

Izvedba angažmanaPreporuka za rad 1110.A1-1 Otkrivanje razloga za zahtjeve za informacijamaPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1220-1 Dužna profesionalna pozornostPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2310-1 Utvrđivanje informacijaPreporuka za rad 2320-1 Analiza i vrednovanjePreporuka za rad 2330-1 Evidentiranje informacijaPreporuka za rad 2340-1 Nadzor angažmana

Planiranje i opseg angažmanaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnostiPreporuka za rad 2200-1 Planiranje rada

18


Preporuka za rad 2210-1 Ciljevi radaPreporuka za rad 2210.A1-1: Procjena rizika u planiranju angažmanaPreporuka za rad 2230-1 Raspodjela resursa u angažmanuPreporuka za rad 2240-1 Program rada angažmanaPreporuka za rad 2240.A1-1 Odobrenje programa radaPreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2410-1 Kriteriji priopćavanja

Radni papiri angažmanaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2330-1 Evidentiranje informacijaPreporuka za rad 2330.A1-2 Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmanaPreporuka za rad 2330.A2-1 Zadržavanje dokumentacijePreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2400-1 Pravni obziri u priopćavanju rezultata

Korporativno upravljanjePreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2110-1 Procjena adekvatnosti procesa upravljanja rizicimaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2130-1 Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacijeNeovisnost i objektivnostPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1000.C1-3 Dodatni uvjeti za konzultacijske angažmane u državnim organizacijamaPreporuka za rad 1100-1 Neovisnost i objektivnostPreporuka za rad 1110-1 Organizacijska neovisnostPreporuka za rad 1120-1 Individualna objektivnostPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnostiPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2130-1 Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacije

19


Informacijska tehnologijaPreporuka za rad 1220-2 Računalno podržane revizijske tehnike (CAAT alati)Preporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-6 Implikacije kontrole i revizije pri aktivnostima e- trgovinePreporuka za rad 2100-8 Uloga interne revizije u procjeni okvira privatnosti organizacijePreporuka za rad 2100-9 Revizija aplikacijskih sustavaPreporuka za rad 2100-10 Uzimanje uzoraka revizijePreporuka za rad 2100-11 Utjecaji sveobuhvatnih kontrola IS-aPreporuka za rad 2100-12 Eksternaliziranje aktivnosti IS-a drugim organizacijamaPreporuka za rad 2100-13 Utjecaj trećih strana na informatičku kontrolu organizacijePreporuka za rad 2100-14 Zahtjev za revizijskim dokazimaPreporuka za rad 2110-2 Uloga interne revizije u procesu poslovne kontinuiranostiPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizije

Interna revizijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2120.A1-2 Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa kontrolePreporuka za rad 2120.A4-1 Kriteriji kontrole

Eksternaliziranje ili suradnjaPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 2050-2 Akvizicija usluga vanjske revizije

Stručnost i dužna pozornost

Preporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1210-1 Stručnost

20


Preporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1210.A2-2 Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanjaPreporuka za rad 1220-1 Dužna profesionalna pozornostPreporuka za rad 1230-1 Kontinuirani profesionalni razvojPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2340-1 Nadzor angažmana

Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1300-1 Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1310-1 Ocjene programa kvalitetePreporuka za rad 1311-1 Interno ocjenjivanjePreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-1 Vanjsko ocjenjivanjePreporuka za rad 1312-2 Vanjsko vrednovanje samoprocjene s nezavisnom ocjenomPreporuka za rad 1320-1 Izvještavanje o programu kvalitetePreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“

Upravljanje resursimaPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1200-1 Stručnost i dužna profesionalna pozornostPreporuka za rad 1210-1 StručnostPreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 2030-1 Upravljanje resursimaPreporuka za rad 2050-2 Akvizicija usluga vanjske revizijePreporuka za rad 2100-2 Sigurnost informacija

Planiranje na temelju rizikaPreporuka za rad 2010-1 PlaniranjePreporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2020-1 Priopćavanje i odobrenje

21


Preporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrole

Upravljanje rizicima i procjenjivanjePreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicimaPreporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2100-6 Implikacije kontrole i revizije pri aktivnostima e- trgovinePreporuka za rad 2100-7 Uloga interne revizije u prepoznavanju i prijavi rizika za okolišPreporuka za rad 2110-1 Procjena adekvatnosti procesa upravljanja rizicimaPreporuka za rad 2210-1 Ciljevi radaPreporuka za rad 2210.A1-1 Procjena rizika u planiranju angažmanaPreporuka za rad 2600-1 Prihvaćanje rizika od strane uprave

Prijevod ili prilagodba Okvira profesionalnog djelovanja i povezanih smjernica (administrativna direktiva br. 2)

23

PREDGOVOR HRVATSKOM IZDANJU

Svako područje profesionalnog djelovanja, pa tako i interna revizija, ne može egzistirati bez vlastitih “pravila igre”, kao pretpostavke profesionalnog obavljanja revizijskog posla. U tom smislu Institut internih revizora (IIA) (The Institute of Internal Auditors - IIA), ulaže velike napore i sredstva u definiranje i oblikovanje te razradu što kvalitetnijeg cjelokupnog koncepta stručnog rada i djelovanja interne revizije kao profesije. U proteklih nekoliko godina objavljeno je više stručnih pravila za rad interne revizije, od definicije interne revizije, etičkog kodeksa, standarda i smjernica za stručno obavljanje interne revizije i pojednih stručnih dokumenata. Okvir profesionalnog djelovanja (The Professional Practices Framework - PPF) je rezultat takvoga rada i doprinosa IIA. Okvir profesionalnog djelovanja interne revizije izradio je i objavio Institut internih revizora odnosno njegova Fondacija za istraživanja IIA (The IIA Research Foundation), čiji je to upravo zadatak. Okvir profesionalnog djelovanja se sastoji od definicije interne revizije, Etičkog kodeksa, Međunarodnih standarda za profesionalno obavljanje interne revizije, Preporuka za rad i Pojmovnika. Svrha Okvira profesionalnog djelovanja interne revizije je da se na jednom mjestu oblikuju i definiraju te zajednički objave stručna pravila. Na taj način strukovna udruga (IIA) pomaže internim revizorima diljem svijeta, kao i koplementarnim strukama i revizijskim odborima. Definiranjem Okvira, na odgovarajući sistematičan način, internim revizorima se daju obvezujuće i neobvezujuće smjernice za uspostavljanje i djelovanje interne revizije te rad internih revizora. Uloga i zadatak smjernica je da pomognu internim revizorima u njihovom svakodnevnom radu pružanjem odgovarajućih smjernica i preporuka u svim fazama procesa provođenja interne revizije, poglavito odgovarajućeg načina provođenja određenih postupaka ili procesa u obavljanju sve složenijih zadataka i aktivnosti interne revizije. Njihovom primjenom interni revizori osiguravaju kvalitetno provođenje interne revizije i pružanje proizvoda i usluga svojim korisnicima, sukladno njihovim potrebama i očekivanjima te mogu utjecati na proces upravljanja i poslovanja.U kontekstu primjene Okvira profesionalnog djelovanja internog revizora treba istaknuti činjenicu da se diljem svijeta interna revizija provodi u različitim okolnostima i vrstama

24


organizacija koje se razlikuju po djelatnosti, veličini, organizacijskoj strukturi, poslovnoj kulturi, tradiciji i slično. Često puta institucionalni okviri za profesionalno djelovanje interne revizije u pojedinim zemljama se međusobno razlikuje, a te razlike mogu utjecati na organizaciju i djelovanje interne revizije i rad internih revizora. Povezano s tim, primjena Okvira profesionalnog djelovanja u značajnoj je mjeri uvjetovana okruženjem u kojemu interni revizori ispunjavanju svoje obveze, ovlasti i odgovornosti koje su im dodijeljene. Zbog toga često puta interni revizori moraju uskladiti primjenu Okvira profesionalnog djelovanja s mjerodavnim pravom i institucionalnim okvirom unutar kojeg djeluju.Hrvatski institut internih revizora (HIIR) ovim prvi puta objavljuje prijevod Okvira profesionalnog djelovanja. I nadalje će HIIR pratiti, prevoditi i objavljivati službene objave smjernica i preporuka te dokumenata Instituta internih revizora (IIA). Ovaj prijevod Okvira profesionalnog djelovanja je dosljedan prijevod Okvira profesionalnog djelovanja izvornog engleskog izdanja The Professional Practices Framework, The IIA Research Foundation, March 2007. Budući da je ovo prvi službeni prijevod jednog dokumenta IIA, zasigurno da ima nekih stručnih i jezičnih problema. Sve stručne sugestije, prijedloge i savjete za kvalitetnijim prijevodom u duhu hrvatskog jezika prihvatit ćemo sa zahvalnošću te ih nastojati uvažiti u nekom novom prijevodu.U nastojanju da svojim članovima pomažemo u njihovom svakodnevnom radu, HIIR će do kraja 2009.g. objaviti i novi Međunarodi okvir profesionalnog djelovanja, engl. The International Professional Practices Framework (IPPF), na hrvatskom jeziku.

Zagreb, srpanj 2009.g.

PREDSJEDNIK HIIR-amr. Stanko Tokić, dipl.oec.

25

PREDGOVOR

U lipnju 1999. godine Upravni odbor Instituta internih revizora (IIA) izglasovao je novu definiciju interne revizije i novi Okvir profesionalnog djelovanja (OPD). Načelno, okvir daje strukturirani plan načina na koji se kombinira korpus znanja i smjernica. Kao jedinstven sustav, on olakšava dosljedan razvoj, tumačenje i primjenu koncepata, metodologija i tehnika koje su korisne u nekoj disciplini ili struci. Konkretno, svrha je OPD-a organizirati smjernice za provođenje interne revizije na način koji je lako i pravovremeno dostupan. Uključujući i trenutačnu praksu interne revizije, OPD bi trebao pomoći profesionalcima diljem svijeta da na odgovarajući način reagiraju na rastuće tržište na kojem se traže visokokvalitetne usluge interne revizije.

OPD se sastoji od Definicije interne revizije, Etičkog kodeksa, Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i Preporuka za rad. Prva tri elementa smatraju se obveznim smjernicama (Definicija interne revizije, Etički kodeks i Standardi). Sve obvezne smjernice su u fazi izrade nacrta prošle kontrolu struke i smatraju se prijeko potrebnima za stručno provođenje interne revizije. Ostali elementi OPD-a povezani su s predmetnim Standardima.

Prema definiciji, interna revizija je neovisno i objektivno jamstvo i konzultacijska aktivnost koja se rukovodi filozofijom dodane vrijednosti s namjerom poboljšanja poslovanja organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.

Diljem svijeta interna se revizija provodi u različitim okolnostima i u organizacijama koje se razlikuju prema svojoj svrsi, veličini i strukturi. Osim toga, zakoni i običaji u različitim zemljama međusobno se razlikuju, a te razlike mogu utjecati na provođenje interne revizije. Dakle, provedbu OPD-a uređuje okruženje u kojemu interni revizori ispunjavaju odgovornosti

26


koje su im dodijeljene. Ni jedna informacija koja je sadržana u OPD-u ne smije se tumačiti na način koji je suprotan mjerodavnom pravu ili zakonima. Ako se dogodi situacija u kojoj su informacije sadržane u OPD-u u sukobu sa zakonodavstvom ili propisima, interni revizori se potiču da se obrate IIA-u ili da potraže pravni savjet za daljnje postupanje.

Svrha Etičkog kodeksa IIA je promicanje etičke kulture u internoj reviziji. Etički kodeks je potreban i primjeren za struku interne revizije budući da se temelji na povjerenju u njezino objektivno mišljenje o upravljanju rizikom, kontroli i korporativnom upravljanju.

Standardi, na način na koji su opisani u OPD-u, čine kriterije na osnovu kojih se ocjenjuje i vrednuje djelovanje odjela za internu reviziju. Njihova je svrha osigurati provođenje interne revizije u primjerenu obliku. Svrha je Standarda da služe cjelokupnoj struci interne revizije i u svim vrstama organizacija u kojima se nalaze interni revizori. Unutar OPD-a postoje tri skupine standarda: opći standardi, standardi izvođenja i standardi primjene. Opći standardi odnose se na značajke organizacija i pojedinaca koji pružaju usluge interne revizije. Standardi izvođenja opisuju prirodu usluga interne revizije i propisuju kriterije kvalitete na osnovu kojih je moguće vrednovati obavljanje tih usluga. Opći i standardi izvođenja odnose se na sve usluge interne revizije. Standardi primjene nadograđuju se na opće i standarde izvođenja i osiguravaju smjernice koje se primjenjuju u određenim slučajevima.

Poštivanje koncepata koji su istaknuti u obveznim smjernicama potrebno je kako bi se mogle ispuniti odgovornosti internih revizora. Kao što se navodi u Etičkom kodeksu, interni revizori dužni su pružati usluge interne revizije u skladu sa Standardima. Svi članovi IIA-e i svi ovlašteni interni revizori suglasni su s poštivanjem Etičkog kodeksa i Standarda, a svrha je ovih smjernica primjenjivost za sve članove struke internih revizora, bez obzira na to jesu li ili ne članovi IIA-e.

Kako bi njihova primjena mogla biti sveobuhvatna, obvezne smjernice u određenoj mjeri moraju biti općenite. IIA snažno preporučuje i promiče Preporuke za rad. Iako nisu obvezne, preporuke za rad predstavljaju najbolju praksu koju podržava IIA kao način provedbe Standarda. U jednom dijelu preporuke za rad mogu pomoći u tumačenju Standarda ili njihovoj primjeni u specifičnom okruženju u kojemu se provodi interna revizija. Brojne preporuke za rad primjenjive su na sve interne revizore, dok neke mogu biti namijenjene za potrebe internih revizora u posebnoj djelatnosti, posebnoj vrsti revizije ili zemljopisnom području. Sve preporuke za rad podliježu službenom postupku kontrole koji provodi Odbor za stručna pitanja IIA-e.

Tiskana verzija Okvira profesionalnog djelovanja (katkada se naziva ‘Crvena knjiga’) sadrži definiciju interne revizije, Etički kodeks, Standarde i Preporuke za rad. Za sve najnovije informacije pratite internetsku stranicu IIA na http://www.theiia.org/guidance.

Tijekom idućih godina interni revizori mogu dati svoj doprinos i osigurati jačanje OPD-a aktivnim sudjelovanjem u razvoju smjernica. Pozivaju se sve zainteresirane strane da daju komentare i prijedloge o bilo kojem aspektu OPD-a. Za sve stručne savjete, komentare ili prijedloge pošaljite elektroničko pismo na [email protected].

27

ZAHVALA

Institut internih revizora (IIA) zahvaljuje državnim agencijama, stručnim organizacijama, internim i vanjskim revizorima, članovima rukovodstva,upravnom odboru i akademskoj zajednici koji su osigurali smjernice i pomoć u razvoju i tumačenju Međunarodnih standarda za stručnu provedbu interne revizije (Standardi). IIA iskreno zahvaljuje onim pojedincima koji su tijekom godina radili u Vijeću za standarde interne revizije, Odboru za pitanja struke, Etičkom povjerenstvu i ostalim međunarodnim odborima.

29

DEFINICIJA INTERNE REVIZIJE

Interna revizija je neovisno i objektivno jamstvo i konzultacijska aktivnost koja se rukovodi filozofijom dodane vrijednosti s namjerom poboljšanja poslovanja organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.

31

ETIČKI KODEKS

Uvod

Svrha Etičkog kodeksa Instituta je promicanje etičke kulture u struci internih revizora.

Interna revizija je neovisno i objektivno jamstvo i konzultacijska aktivnost koja se rukovodi filozofijom dodane vrijednosti s namjerom poboljšanja poslovanja organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.

Etički kodeks prijeko je potreban i primjeren za struku interne revizije budući da se temelji na povjerenju koje se daje objektivnoj provjeri upravljanja rizikom, kontrole i korporativnog upravljanja. Etički kodeks Instituta seže dalje od puke definicije interne revizije i uključuje dva ključna elementa:

1. načela koja su važna za struku i provođenje interne revizije 2. pravila ponašanja koja opisuju očekivane standarde ponašanja internih revizora; ta pravila služe kao pomoć u tumačenju načela u svrhu praktične primjene te kao smjernice za etičko postupanje internih revizora.

Etički kodeks, zajedno s Okvirom profesionalnog djelovanja Instituta te ostalim bitnim publikacijama Instituta, osigurava smjernice internim revizorima koji drugima pružaju usluge. Pojam „interni revizori“ odnosi se na članove Instituta, nositelje ili kandidate za

32


dobivanje stručnog certifikata IIA-e, kao i one koji pružaju usluge interne revizije u okviru definicije interne revizije.

Primjenjivost i provedba

Ovaj Etički kodeks u jednakoj se mjeri primjenjuje na pojedince i subjekte koji pružaju usluge interne revizije.

Za članove Instituta i nositelje ili kandidate za dobivanje stručnog certifikata IIA-e kršenje Etičkog kodeksa ocjenjuje se i sankcionira u skladu s podzakonskim aktima Instituta i administrativnim smjernicama. Činjenica da određeno postupanje nije spomenuto u Pravilima ponašanja, ne sprječava da se ono smatra neprihvatljivim ili da šteti ugledu, te se stoga član, nositelj stručnog certifikata ili kandidat mogu smatrati odgovornima i podliježu disciplinskim mjerama.

Načela

Od internih se revizora očekuje primjena i pridržavanje sljedećih načela:

1. Integritet Poštenje internih revizora donosi povjerenje i osigurava temelj povjerenja u njihovu prosudbu.

2. Objektivnost Interni revizori moraju pokazivati najveći stupanj profesionalne objektivnosti prilikom prikupljanja, procjene i priopćavanja informacija o aktivnosti ili postupku koji se ispituju. Interni revizori daju usklađenu ocjenu svih relevantnih okolnosti, a prilikom donošenja mišljenja na njih ne utječu neprimjereni vlastiti interesi ili interesi drugih.

3. Povjerljivost Interni revizori poštuju vrijednost i vlasništvo nad informacijama koje dobivaju i te informacije ne otkrivaju bez odgovarajućih ovlasti, osim ako ne postoji zakonska ili profesionalna obveza da to učine.

4. Stručnost Interni revizori primjenjuju znanje, vještine i iskustvo koje je potrebno za pružanje usluga interne revizije.

Pravila ponašanja

1. Integritet Interni revizori moraju poštovati sljedeće odrednice:

33

Etički kodeks

1.1. Dužni su obavljati svoj posao pošteno, marljivo i odgovorno. 1.2. Dužni su poštivati zakon i objavljivati informacije u slučaju kada to propisuje zakon ili struka. 1.3. Ne smiju svjesno sudjelovati u bilo kakvim nezakonitim aktivnostima ili radnjama koje narušavaju ugled struke internih revizora ili organizacije. 1.4. Dužni su poštivati i doprinositi legitimnim i etičkim ciljevima organizacije.

2. Objektivnost Interni revizori:

2.1. Ne smiju sudjelovati u bilo kakvoj radnji ili odnosu koji može narušiti ili za koje se može pretpostaviti da će narušiti nepristranu procjenu. Ovo sudjelovanje uključuje one radnje ili odnose koji mogu biti u suprotnosti s interesima organizacije. 2.2. Ne smiju prihvaćati ništa što bi moglo narušiti ili za što bi se moglo pretpostaviti da će narušiti njihovo profesionalno rasuđivanje. 2.3. Dužni su otkriti sve materijalne činjenice s kojima su upoznati a koje bi, ako ih ne otkriju, mogle iskriviti izvještavanje ili radnje koje se ispituju.

3. Povjerljivost Interni revizori:

3.1. Dužni su postupati razborito prilikom korištenja i zaštite informacija prikupljenih tijekom obavljanja svojih dužnosti. 3.2. Ne smiju koristiti informacije za osobni probitak ili na način koji bi bio suprotan zakonu ili koji bi štetio legitimnim i etičkim ciljevima organizacije.

4. Stručnost Interni revizori:

4.1. Smiju pružati samo one usluge za koje posjeduju potrebno znanje, vještine i iskustvo. 4.2. Dužni su provoditi revizijske usluge u skladu s Međunarodnim standardima za stručnu provedbu interne revizije. 4.3. Dužni su stalno nadograđivati svoje stručno znanje, učinkovitost i kvalitetu svojih usluga.

35

MEĐUNARODNI STANDARDI ZA STRUČNU PROVEDBU INTERNE REVIZIJE (STANDARDI)

STANDARDI

Uvod

Interna revizija provodi se u različitim pravnim i kulturalnim okruženjima; u organizacijama koje se razlikuju prema svrsi, veličini, složenosti i strukturi, a provode je osobe unutar ili izvan organizacije. Iako razlike mogu utjecati na provođenje interne revizije u svakom pojedinom okruženju, pridržavanje Međunarodnih standarda za stručnu provedbu interne revizije (Standarda) potrebno je kako bi se ispunile odgovornosti internih revizora. U slučaju da zakoni ili propisi zabranjuju internim revizorima postupanje u skladu s nekim dijelovima Standarda, trebaju se pridržavati svih ostalih dijelova Standarda i dati odgovarajuće izjave.

Svrha je Standarda:

1. dati pregled osnovnih načela koja predstavljaju praksu interne revizije onakvom kakva ona treba biti2. osigurati okvir za obavljanje i promicanje širokog raspona radnji interne revizije s dodanom vrijednošću 3. utvrditi osnovu za vrednovanje provedene interne revizije 4. promicati unaprjeđenje organizacijskih postupaka i radnji.

36


Standardi se sastoje od općih standarda, standarda izvođenja i standarda primjene. Opći standardi odnose se na značajke organizacija ili pojedinaca koji pružaju usluge interne revizije. Standardi izvođenja opisuju prirodu usluga interne revizije i daju kriterije kvalitete na temelju kojih se može ocijeniti izvršenje tih usluga. Opći i standardi izvođenja primjenjuju se na sve usluge interne revizije. Standardi primjene nadovezuju se na opće i standarde izvođenja te osiguravaju smjernice koje se primjenjuju u posebnim slučajevima. Ti se standardi mogu odnositi na specifičnu djelatnost, regiju ili posebne vrste revizijskih usluga.

Postoji jedna skupina općih standarda i standarda izvođenja, međutim postoji više skupina standarda primjene: skupina za svaku važniju aktivnost interne revizije. Standardi primjene utvrđeni su za radnje vezane uz provjeru (P) i savjetovanje (S).

Usluge provjere uključuju objektivnu ocjenu dokaza koju donosi interni revizor kako bi mogao donijeti objektivno mišljenje ili zaključke o postupku, sustavu, ili nekom drugom predmetu. Prirodu i opseg provjere određuje interni revizor. U načelu, tri su strane uključene u usluge provjere: (1) osoba ili skupina koja neposredno sudjeluje u postupku, sustavu ili drugom predmetu – nositelj postupka, (2) osoba ili skupina koja daje ocjenu – interni revizor i (3) osoba ili skupina koja koristi rezultat ocjene – korisnik.

Konzultacijske usluge po prirodi su konzultacijske i u načelu se obavljaju na poseban zahtjev klijenta. Priroda i opseg konzultacijskog angažmana ovise o dogovoru s klijentom koji traži uslugu. Konzultacijske usluge u načelu uključuju dvije strane: (1) osobu ili skupinu koja nudi savjet – interni revizor i (2) osobu ili skupinu koja traži i dobiva savjet – klijent koji traži angažman. Prilikom pružanja konzultacijskih usluga interni revizor trebao bi zadržati objektivnost i ne bi smio preuzimati na sebe odgovornosti rukovodstva.

U Standardima se koriste pojmovi čije je značenje objašnjeno u priloženom pojmovniku. Razvoj i objavljivanje Standarda stalan je proces. Odbor za standarde interne revizije održava sveobuhvatne konzultacije i raspravu prije izdavanja Standarda, što uključuje prikupljanje javnih komentara iz cijelog svijeta na nacrt Standarda. Svi nacrti objavljeni su na internetskoj stranici IIA-e i distribuiraju se pridruženim članovima IIA-e.

Prijedlozi i komentari u vezi sa Standardima mogu se poslati na sljedeću adresu:

Institut internih revizoraOdjel za stručno poslovanje

227 Maitland AvenueAltamonte Springs, FL 32701-4201, SAD

e-mail: [email protected]: http://www.theiia.org

37

OPĆI STANDARDI

1000 – Svrha, ovlasti i odgovornosti

Svrhu, ovlasti i odgovornosti interne revizije trebalo bi formalno definirati u povelji, koja mora biti u skladu sa Standardima i koju odobri uprava.

1000.A1 – Prirodu usluga provjere koje pruža organizacija treba definirati u povelji o reviziji. Ako se provjera osigurava strankama izvan organizacije, prirodu takvih provjera također treba definirati u povelji. 1000.C1 – Prirodu konzultacijskih usluga treba definirati u povelji o reviziji.

1100 – Neovisnost i objektivnost

Interna revizija mora biti neovisna, a interni revizori moraju biti objektivni prilikom izvršavanja svojih zadaća.

1110 – Organizacijska neovisnost Glavni revizor podnosi izvještaj onoj razini unutar organizacije koja omogućava internoj reviziji da ispuni svoje odgovornosti.

1110.A1 – Ne smije se utjecati na djelatnike interne revizije prilikom određivanja opsega provedbe interne revizije, obavljanja posla i priopćavanja rezultata.

38


1120 – Individualna objektivnost Interni revizori moraju biti nepristrani, objektivni i moraju izbjegavati sukobe interesa.

1130 – Narušavanje neovisnosti ili objektivnosti Ako dođe do stvarnog ili navodnog narušavanja neovisnosti ili objektivnosti, o detaljima takvog narušavanja treba obavijestiti odgovarajuće stranke. Priroda takve objave ovisit će o narušavanju.

1130.A1 – Interni revizori moraju se suzdržati od procjene određenih radnji za koje su prethodno bili nadležni. Smatra se da je objektivnost narušena kada interni revizor pruža usluge provjere za djelatnost za koju je bio odgovoran u razdoblju tijekom prethodne godine.

1130.A2 – Angažman provjere funkcija za koje je glavni revizor odgovaran treba nadgledati stranka izvan djelatnosti interne revizije.

1130.C1 – Interni revizori mogu pružati konzultacijske usluge koje se odnose na radnje za koje su prethodno bili odgovorni.

1130.C2 – Ako postoji mogućnost narušavanja neovisnosti ili objektivnosti internih revizora u pogledu predloženih konzultacijskih usluga, o tome je potrebno obavijestiti klijenta koji je naručio uslugu prije nego što posao bude prihvaćen.

1200 – Stručnost i dužna profesionalna pozornost

Poslove treba obavljati stručno i uz dužnu profesionalnu pozornost.

1210 – Stručnost Interni revizori moraju posjedovati znanja, vještine i ostale sposobnosti koje su potrebne za ispunjavanje pojedinačnih odgovornosti. U kolektivnom smislu, struka internih revizora treba posjedovati ili steći znanja, vještine i ostale sposobnosti koje su potrebne za ispunjavanje pojedinačnih odgovornosti.

1210.A1 – Glavni revizor dužan je pribaviti stručan savjet i pomoć ako interni revizori ne posjeduju znanja, vještine i ostale sposobnosti koje su potrebne za ispunjavanje dijela ili cijelog poslovnog angažmana.

1210.A2 – Interni revizor mora posjedovati dovoljan stupanj znanja da može odrediti pokazatelje koji upućuju na prijevaru, no ne očekuje se da posjeduje stručno znanje kao osoba čija je glavna odgovornost otkrivanje i istraživanje prijevare.

39

Opći standardi

1210.A3 – Interni revizori trebali bi posjedovati znanje o ključnim rizicima i kontrolama informacijske tehnologije te o dostupnim revizijskim tehnikama koje koriste tehnologiju za obavljanje posla koji im je dodijeljen. Međutim, ne očekuje se od svih internih revizora da posjeduju stručno znanje kao i onaj interni revizor čija je primarna odgovornost revizija informacijske tehnologije.

1210.C1 – Glavni revizor mora odbiti savjetovanje ili treba pribaviti stručan savjet i stručnu pomoć ako interni revizori ne posjeduju znanja, vještine i ostale sposobnosti koje su potrebne za obavljanje dijela i cijelog poslovnog angažmana.

1220 – Dužna profesionalna pozornostInterni revizori moraju postupati s pozornošću i vještinom koje se očekuju od razborita i stručnog internog revizora. Dužna profesionalna pozornost ne podrazumijeva nepogrješivost.

1220.A1 – Interni revizor mora postupati s dužnom profesionalnom pozornošću tako što će u obzir uzeti:

• opseg potrebnog posla kako bi se ispunili ciljevi poslovnog angažmana

• relativnu složenost, materijalnost ili važnost stvari na koje se primjenjuje postupak provjere

• prikladnost i učinkovitost postupaka upravljanja rizikom, kontrole i korporativnog upravljanja

• vjerojatnost pojave važnih grešaka, nepravilnosti ili neusklađenosti

• trošak provjere s obzirom na moguće koristi.

1220.A2 – Prilikom postupanja s dužnom profesionalnom pozornošću, interni revizor trebao bi u obzir uzeti korištenje računalnih revizijskih alata i ostalih tehnika analize podataka.

1220.A3 – Interni revizor mora obratiti pozornost na značajne rizike koji bi mogli utjecati na ciljeve, poslovanje ili resurse. Međutim, sami postupci provjere, čak i kada se provode uz dužnu profesionalnu pozornost, ne jamče da će značajni rizici biti uočeni.

1220.C1 – Interni revizor mora postupati s dužnom profesionalnom pozornošću tijekom konzultacijskog angažmana, uzimajući u obzir sljedeće:

• potrebe i očekivanja klijenata, uključujući prirodu, vrijeme i priopćavanje rezultata angažmana

• relativnu složenost i opseg posla koji je potreban da bi se ostvarili ciljevi angažmana

40


• trošak savjetovanja u odnosu na moguću korist.

1230 – Kontinuiran profesionalni razvoj Interni revizori trebali bi nadograđivati svoje znanje, vještine i ostale sposobnosti kroz kontinuiran profesionalni razvoj.

1300 – Program osiguranja kvalitete i unaprjeđenja rada

Glavni revizor mora razraditi i održavati program osiguranja kvalitete i unaprjeđenja koji obuhvaća sve aspekte aktivnosti interne revizije te stalno prati njezinu učinkovitost. Ovaj program uključuje povremeno interno i vanjsko ocjenjivanje te stalno interno praćenje. Svaki dio programa mora biti kreiran tako da pomogne internoj reviziji da dobije na vrijednosti i da unaprijedi poslovanje organizacije, te da osigura jamstvo da je interna revizija obavljena u skladu sa Standardima i Etičkim kodeksom.

1310 – Ocjenjivanje programa kvalitete Interna revizija treba usvojiti postupak za praćenje i ocjenu cjelokupne učinkovitosti programa kvalitete. Postupak treba uključivati i interno i vanjsko ocjenjivanje.

1311 – Interno vrednovanje Interno vrednovanje mora uključivati:

• stalne kontrole radnog učinka (uspješnosti) interne revizije; i • povremene kontrole koje se provode putem samoprocjenjivanja

ili vrednovanja od strane drugih osoba u organizaciji koje posjeduju znanje o internoj reviziji i koje su upoznate sa Standardima.

1312 – Vanjsko vrednovanje Barem jednom u pet godina vanjsko vrednovanje treba provesti kvalificiran, neovisan ocjenjivač ili ocjenjivački tim izvan organizacije. O eventualnoj potrebi za učestalijim vanjskim vrednovanjem, kao i kvalifikacijama i neovisnosti vanjskog ocjenjivača ili ocjenjivačkog tima, uključujući mogući sukob interesa, trebaju raspraviti glavni revizor i uprava. U takvoj bi se raspravi također u obzir trebala uzeti veličina, složenost i djelatnost organizacije u odnosu na iskustvo ocjenjivača ili ocjenjivačkog tima.

1320 – Izvještavanje o programu kvalitete Glavni revizor mora obavijestiti upravu o rezultatima vanjskog vrednovanja.

1330 – Uporaba fraze „Provedeno u skladu sa Standardima“Interni revizori potiču se da u izvještajima navedu da su njihove radnje „provedene u skladu s Međunarodnim standardima za stručnu provedbu interne revizije“.

41

Opći standardi

Međutim, interni revizori ovu izjavu smiju koristiti samo ako su ocjene programa unaprjeđenja kvalitete pokazale da interna revizija jest u skladu sa Standardima.

1340 – Obavijest o neusklađenosti Iako interna revizija treba u potpunosti biti u skladu sa Standardima, a interni revizori trebaju poštivati Etički kodeks, mogu se javiti slučajevi u kojima nije ostvarena potpuna usklađenost. Kada neusklađenost ima utjecaj na cjelokupan opseg ili provedbu interne revizije, o tome treba obavijestiti više rukovodeće osoblje i upravu.

43

STANDARDI IZVOĐENJA

2000 – Vođenje interne revizije

Glavni revizor mora učinkovito voditi internu reviziju kako bi se organizaciji osigurala dodana vrijednost.

2010 – Planiranje Glavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koju su dosljedni ciljevima organizacije.

2010.A1 – Planovi angažmana interne revizije trebaju se temeljiti na procjeni rizika koja se provodi barem jednom godišnje. U tom procesu u obzir treba uzeti komentare višeg menadžmenta i odbora.

2010.C1 – Glavni revizor mora razmotriti prihvaćanje predloženih konzultacijskih angažmana na osnovu potencijala takve preuzete obveze da unaprijedi upravljanje rizikom, doda vrijednosti i unaprijedi poslovanje organizacije. Prihvaćeni angažmani trebaju biti uključeni u plan.

2020 – Priopćavanje i odobrenjeGlavni revizor mora obavijestiti viši menadžment i odbor o planovima provedbe interne revizije i potrebama resursa, uključujući značajne privremene promjene, u svrhu kontrole i odobrenja. Glavni revizor također mora obavijestiti o utjecaju ograničenih resursa.

44


2030 – Upravljanje resursima Glavni revizor mora osigurati primjerenost resursa za internu reviziju, dostatnost te učinkovito raspoređivanje u svrhu postizanja odobrenog plana.

2040 – Politike i postupci Glavni revizor mora utvrditi politike i postupke kao smjernice za provedbu interne revizije.

2050 – Koordinacija Glavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim unutarnjim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenost te da bi se na najmanju moguću razinu svelo ponavljanje.

2060 – Podnošenje izvještaja upravi i višem menadžmentu Glavni revizor povremeno treba podnijeti izvještaj odboru ili višem menadžmentu o svrsi interne revizije, ovlastima, odgovornostima i učinku u odnosu na plan. Podnošenje izvještaja također treba uključivati značajne izloženosti riziku i pitanja kontrole, pitanja upravljanja poduzećem, te ostala potrebna pitanja koja traži odbor ili viši menadžment.

2100 – Priroda posla

Interna revizija dužna je vrednovati i doprinijeti unaprjeđenju postupaka upravljanja rizikom, kontrole i korporativnog upravljanja koristeći sustavan i discipliniran pristup.

2110 – Upravljanje rizicima Interna revizija trebala bi pomoći organizaciji tako što će identificirati i procijeniti značajne izloženosti riziku i doprinijeti unaprjeđenju upravljanja rizikom i sustavima kontrole.

2110.A1 – Interna revizija treba pratiti i procijeniti učinkovitost sustava upravljanja rizikom u organizaciji.

2110.A2 – Interna revizija treba dati ocjenu izloženosti riziku koja se odnosi na upravljanje organizacijom, poslovanje i informacijske sustave u pogledu:

• pouzdanosti i integriteta financijskih i operativnih informacija• učinkovitosti i djelotvornosti poslovanja• zaštiti imovine • poštivanju zakona, propisa i ugovora.

2110.C1 – Tijekom konzultacijskih angažmana interni revizori trebaju se baviti rizikom u skladu s ciljevima angažmana te trebaju obratiti pozornost na postojanje ostalih značajnih rizika.

45

Standardi izvođenja

2110.C2 – Interni revizori moraju objediniti znanje o rizicima stečeno tijekom savjetovanja u postupak utvrđivanja i procjene značajne izloženosti organizacije riziku.

2120 - KontrolaInterna revizija treba pomoći organizaciji u održavanju djelotvorne kontrole kroz procjenu učinkovitosti i djelotvornosti te kroz promicanje stalnog unaprjeđivanja.

2120.A1 – Na osnovu rezultata ocjene rizika, interna revizija mora procijeniti primjerenost i učinkovitost kontrole koje obuhvaćaju upravljanje organizacijom, njezino poslovanje i informacijske sustave. Ona bi trebala uključivati:

• pouzdanost i integritet financijskih i operativnih informacija• učinkovitost i djelotvornost poslovanja• zaštitu imovine • poštivanje zakona, propisa i ugovora.

2120.A2 – Interni revizori moraju odrediti u kojem su opsegu ciljevi poslovanja i programa utvrđeni i sukladni ciljevima organizacije.

2120.A3 – Interni revizori moraju pregledati poslovanje i programe kako bi utvrdili opseg u kojem su rezultati dosljedni utvrđenim ciljevima i odredili provodi li se poslovanje i programi u skladu s namjeravanim.

2120.A4 – Za procjenu kontrole potrebni su primjereni kriteriji. Interni revizori trebaju odrediti opseg u kojem je rukovodstvo utvrdilo primjerene kriterije kako bi odredili jesu li ciljevi ispunjeni. Ako su primjereni, interni revizori moraju koristiti takve kriterije u svojoj procjeni. Ako nisu primjereni, interni revizori trebaju surađivati s rukovodstvom kako bi zajedno izradili primjerene kriterije za procjenu.

2120.C1 – Tijekom savjetovanja, interni revizori trebaju se baviti kontrolama u skladu s ciljevima angažmana te trebaju obratiti pozornost na postojanje bilo kakvih značajnih slabosti u kontrolama.

2120.C2 – Interni revizori trebaju objediniti znanje o kontrolama stečeno tijekom savjetovanja u postupak utvrđivanja i procjene značajne izloženosti organizacije riziku.

2130 – Korporativno upravljanje Interna revizija treba ocijeniti i dati primjerene preporuke za unaprjeđenje upravljanja u svrhu postizanja sljedećih ciljeva:

46


• promicanja odgovarajuće etike i vrijednosti unutar organizacije

• osiguranja djelotvorna upravljanja poslovanjem i odgovornosti u organizaciji

• učinkovita informiranja o riziku i kontrolama u odgovarajućim odjelima u organizaciji

• učinkovite koordinacije aktivnosti i protoka informacija između uprave, vanjskih i internih revizora, i rukovodstva.

2130.A1 – Interna revizija treba procijeniti ustroj, provedbu i učinkovitost ciljeva, programa i aktivnosti organizacije koji se odnose na etička pitanja.

2130.C1 – Ciljevi savjetovanja trebaju biti dosljedni sveukupnim vrijednostima i ciljevima organizacije.

2200 – Planiranje angažmana

Interni revizori trebaju izraditi i evidentirati plan za svaki angažman, uključujući opseg, ciljeve, vrijeme i raspodjelu sredstava.

2201 – Uvjeti planiranjaU planiranju posla interni revizori u obzir trebaju uzeti:

• ciljeve djelatnosti koja se kontrolira i sredstva pomoću kojih ta djelatnost nadzire svoj učinak

• značajne rizike za djelatnost, njezine ciljeve, sredstva i poslovanje kao i sredstva pomoću kojih se utjecaj mogućeg rizika održava na prihvatljivoj razini.

• primjerenost i učinkovitost upravljanja rizikom i kontrolnih sustava za tu djelatnost u usporedbi s odgovarajućim upravljačkim okvirom ili modelom

• prilike za značajno unaprjeđenje upravljanja rizikom i sustava kontrole za tu djelatnost.

2201.A1 – Prilikom planiranja angažmana za stranke izvan organizacije, interni revizori s njima trebaju sklopiti pisani sporazum o ciljevima, pojedinačnim odgovornostima i ostalim očekivanjima, uključujući ograničenja distribucije rezultata angažmana i pristup evidenciji o obavljenom poslu.

2201.C1 – Interni revizori trebaju sklopiti sporazum s klijentom kojem pružaju savjetovanje o ciljevima, opsegu, pojedinačnim odgovornostima i ostalim očekivanjima klijenta. U slučaju značajnijih angažmana, takav sporazum treba biti dokumentiran.

47


2210 – Ciljevi angažmana Za svaki je angažman potrebno utvrditi ciljeve.

2210.A1 – Interni revizori trebaju provesti preliminarnu procjenu rizika koji su relevantni za djelatnost koja se kontrolira. Ciljevi angažmana trebaju odražavati rezultate te ocjene.

2210.A2 – Interni revizor u obzir treba uzeti vjerojatnost značajnih grešaka, nepravilnosti, neusklađenosti i ostalih izloženosti prilikom izrade ciljeva angažmana.

2210.C1 – Ciljevi konzultacijskog angažmana trebaju se odnositi na rizike, kontrolu i upravljanje u opsegu u kojem se postigne dogovor s klijentom.

2220 – Opseg posla Utvrđen opseg treba biti dovoljan kako bi se zadovoljili ciljevi angažmana.

2220.A1 – U opsegu posla u obzir treba uzeti odgovarajuće sustave, evidencije, osoblje i materijalnu imovinu, uključujući one koje su pod nazorom trećih strana.

2220.A2 – Ako se tijekom provjere pruži prilika za važnu konzultaciju, treba zaključiti poseban pisani sporazum u pogledu ciljeva, opsega, odgovornosti i ostalih očekivanja, a rezultate konzultacije treba priopćiti u skladu sa standardima konzultacije.

2220.C1 – Tijekom konzultacijskog angažmana interni revizori trebaju osigurati da je opseg posla dovoljan za ispunjavanje dogovorenih ciljeva. Ako tijekom angažmana interni revizori uvide neka ograničenja u vezi s opsegom, o tim ograničenjima trebaju raspraviti s klijentom kako bi utvrdili treba li nastaviti s obavljanjem posla.

2230 – Raspoređivanje resursa za poslovni angažman Interni revizori trebaju odrediti odgovarajuće resurse u svrhu postizanja ciljeva angažmana. Broj osoblja treba se temeljiti na procjeni prirode i složenosti svakog angažmana, vremenskih ograničenja i raspoloživih sredstava.

2240 – Program radaInterni revizori trebaju izraditi programe rada temeljem kojih se ostvaruju ciljevi posla. Predmetne programe treba evidentirati.

2240.A1 – U programima rada treba utvrditi postupke za određivanje, analizu, procjenu i evidentiranje informacija tijekom obavljanja posla. Program rada

48


treba biti odobren prije provedbe, a bilo kakve prilagodbe treba odobriti bez odgađanja.

2240.C1 – Programi rada za konzultacijske angažmane mogu se razlikovati prema sadržaju, ovisno o prirodi posla.

2300 – Obavljanje angažmana

Interni revizori trebaju utvrditi, analizirati, procijeniti i evidentirati dovoljno informacija kako bi postigli ciljeve angažmana.

2310 – Utvrđivanje informacija Interni revizori trebaju utvrditi dovoljne, pouzdane, relevantne i korisne informacije u svrhu postizanja ciljeva posla.

2320 – Analiza i procjena Interni revizori trebaju temeljiti zaključke i rezultate u sklopu angažmana na odgovarajućim analizama i procjenama.

2330 – Evidentiranje informacija Interni revizori trebaju evidentirati relevantne informacije koje potkrjepljuju zaključke i rezultate angažmana.

2330.A1 – Glavni revizor treba nadzirati pristup evidenciji obavljenih angažmana. Glavni revizor, prema potrebi, treba pribaviti odobrenje višeg menadžmenta i/ili pravnog zastupnika prije objave takvih podataka vanjskim strankama.

2330.A2 – Glavni revizor treba sastaviti zahtjeve za čuvanjem dokumenata o angažmanu. Predmetni zahtjevi za čuvanjem trebaju biti u skladu sa smjernicama organizacije i bilo kojim odgovarajućim regulatornim i drugim zahtjevima.

2330.C1 – Glavni revizor treba izraditi politike koje uređuju kontrolu i čuvanje dokumenata o angažmanu kao i njihovo objavljivanje unutarnjim i vanjskim strankama. Predmetne politike trebaju biti u skladu sa smjernicama organizacije i bilo kojim odgovarajućim regulatornim i drugim zahtjevima.

2340 – Nadzor angažmana Posao treba propisno nadzirati kako bi se osiguralo postizanje ciljeva, osiguranje kvalitete i unaprjeđenje osoblja.

49


2400 – Priopćavanje rezultata

Interni revizori trebaju priopćiti rezultate nakon dovršetka angažmana. 2410 – Kriteriji priopćavanjaU priopćenjima moraju biti navedeni ciljevi angažmana i opseg, te valjani zaključci, preporuke i akcijski planovi.

2410.A1 – Završno priopćenje o rezultatima angažmana treba, prema potrebi, sadržavati cjelokupno mišljenje internog revizora i/ili zaključke.

2410.A2 – Interni revizori potiču se da u priopćenju o angažmanima istaknu zadovoljavajući učinak (uspjeh).

2410.A3 – Prilikom objave rezultata nakon angažmana strankama izvan organizacije, u priopćenju treba navesti ograničenja u pogledu distribucije i korištenja rezultata.

2410.C1 – Priopćenje o napretku i rezultatima konzultacije razlikovat će se po obliku i sadržaju ovisno o prirodi posla i potrebama klijenta.

2420 – Kvaliteta priopćavanja Priopćenja trebaju biti točna, objektivna, jasna, sažeta, konstruktivna, potpuna i pravovremena.

2421 – Greške i propusti Ako završno priopćenje sadrži značajnu grešku ili propust, glavni revizor treba dostaviti ispravljene informacije svim strankama koje su dobile prvotno priopćenje.

2430 – Izjava o neusklađenosti angažmana sa Standardima Kada neusklađenost sa Standardima utječe na pojedini angažman, u obavijesti o rezultatima treba navesti:

• Standard(e) s kojima nije postignuta potpuna usklađenost.• razlog(e) neusklađenosti, i • utjecaj neusklađenosti na angažman.

2440 – Distribucija rezultataGlavni revizor treba obavijestiti relevantne stranke o rezultatima.

2440.A1 – Glavni revizor odgovoran je za priopćavanje konačnih rezultata strankama koje su odgovorne za daljnje postupanje s njima.

50


2440.A2 – Ako pravni, zakonski ili regulatorni zahtjevi ne propisuju drukčije, prije objave rezultata strankama izvan organizacije glavni revizor treba:

• ocijeniti potencijalni rizik za organizaciju• konzultirati se s višim menadžmentom i/ili pravnim zastupnikom

po potrebi• nadzirati distribuciju kroz ograničenje korištenja rezultata.

2440.C1 – Glavni revizor odgovoran je za priopćavanje konačnih rezultata savjetovanja klijentima.

2440.C2 – Tijekom konzultacijskih angažmana mogu se utvrditi problemi upravljanja rizikom, kontrole i korporativnog upravljanja. Kada god su ta pitanja važna za organizaciju, o njima treba obavijestiti viši menadžment i odbor.

2500 – Praćenje napretka

Glavni revizor treba utvrditi i održavati sustav za praćenje postupanja s rezultatima koji su priopćeni rukovodstvu.

2500.A1 – Glavni revizor treba utvrditi nastavne aktivnosti u sklopu praćenja kako bi osigurao da su radnje koje odredi rukovodstvo uspješno provedene, ili da je viši menadžment na sebe preuzelo rizik nepoduzimanja radnji.

2500.C1 – Interna revizija treba pratiti postupanje s rezultatima savjetovanja u opsegu koji je dogovoren s klijentom.

2600 – Odluka uprave o prihvaćanju rizika

Kada glavni revizor smatra da je viši menadžment prihvatio stupanj preostalog rizika koji može biti neprihvatljiv organizaciji, glavni revizor o tom pitanju treba raspraviti s višim menadžmentom. Ako se odluka o preostalom riziku ne riješi, glavni revizor i viši menadžment stvar predaju na rješavanje odboru.

51

POJMOVNIK

Dodavanje vrijednosti

Vrijednost je osigurana kroz unaprjeđenje prilika za postizanje ciljeva organizacije, određivanje poboljšanja u poslovanju, i/ili smanjenje izloženosti riziku kroz usluge provjere i savjetovanja.

Primjerena kontrola

Prisutna je ako ju je rukovodstvo isplaniralo i organiziralo (osmislilo) na način koji osigurava prihvatljivo uvjerenje o djelotvornom upravljanju rizicima u organizaciji, te da će se ciljevi organizacije postići na učinkovit i ekonomičan način.

Usluge provjere

Objektivno ispitivanje dokaza kako bi se organizaciji osigurala neovisna ocjena o postupcima upravljanja rizikom, kontrole i korporativnog upravljanja. Primjeri mogu uključivati angažmane koji se odnose na financije, radnu učinkovitost, usklađenost, sigurnost sustava i dužnu pozornost.

Odbor

Odbor je upravljačko tijelo organizacije, na primjer upravni odbor, nadzorni odbor, čelnik agencije ili zakonodavnog tijela, vijeće guvernera ili povjerenika neprofitne organizacije, ili bilo koje drugo imenovano tijelo u organizaciji, uključujući i odbor za reviziju, kojemu glavni revizor može podnositi izvještaj.

52


Povelja

Povelja o internoj reviziji je formalni pisani dokument u kojem je definirana svrha djelatnosti, njezine ovlasti i odgovornosti. Povelja bi trebala (a) utvrditi položaj interne revizije unutar organizacije; (b) dati ovlast za pristup dokumentima, osoblju i materijalnoj imovini koji su važni za provođenje angažmana, i (C) definirati opseg radnji u okviru interne revizije.

Glavni revizor

Predstavlja najviši položaj unutar organizacije koja je odgovorna za internu reviziju. Obično je to voditelj interne revizije. U slučaju da se za internu reviziju angažira vanjski pružatelj usluga, glavni revizor je osoba koja je odgovorna za nadzor ugovora o uslugama i cjelokupno osiguranje kvalitete tih aktivnosti, podnošenje izvještaja višem menadžmentu i odboru o aktivnostima interne revizije, kao i prateće aktivnosti s obzirom na rezultate angažmana. Pojam također uključuje i funkcije šefa revizije, glavnog internog revizora i glavnog inspektora.

Etički kodeks

Etički kodeks Instituta internih revizora (IIA) predstavlja načela koja su relevantna za djelatnost i provođenje interne revizije i pravila ponašanja koja opisuju kakvo se ponašanje očekuje od internih revizora. Etički kodeks odnosi se na stranke i subjekte koji pružaju usluge interne revizije. Svrha je Etičkog kodeksa promicanje etičke kulture u globalnoj djelatnosti interne revizije.

Usklađenost

Predstavlja usklađenost i poštivanje politika, planova, postupaka, zakona, propisa, ugovora i ostalih zahtjeva.

Sukob interesa

Bilo kakav odnos koji nije ili se čini da nije u najboljem interesu organizacije. Sukob interesa dovodi u pitanje sposobnost pojedinca da objektivno obavlja svoje dužnosti i odgovornosti.

Konzultacijske usluge

Usluge savjetovanja i srodne usluge za klijenta čija se priroda i opseg određuju u dogovoru s klijentom, a čija je svrha dodavanje vrijednosti i unaprjeđenje postupaka upravljanja organizacijom, upravljanja rizikom i nadzora, a da pritom interni revizor ne

53

Pojmovnik

preuzima odgovornost rukovodstva. Primjeri uključuju zastupanje, savjetovanje, potporu te usavršavanje i osposobljavanje.

Kontrola

Svaka radnja koju poduzme rukovodstvo, uprava i druge stranke u svrhu upravljanja rizikom i povećanja vjerojatnosti za postizanje utvrđenih ciljeva. Rukovodstvo planira, organizira i usmjerava izvršavanje dostatnih radnji u svrhu osiguranja da će ciljevi biti postignuti.

Kontrolno okruženje

Stav i radnje uprave i rukovodstva u pogledu važnosti kontrole u organizaciji. Kontrolno okruženje osigurava disciplinu i strukturu za postizanje osnovnih ciljeva sustava interne kontrole. Kontrolno okruženje uključuje sljedeće elemente:

• integritet i etičke vrijednosti • stav rukovodstva i način poslovanja • ustroj organizacije• određivanje ovlasti i odgovornosti • politika i praksa upravljanja ljudskim potencijalima • stručnost osoblja.

Kontrolne aktivnosti

Politike, postupci i radnje koje su dio kontrolnog okvira, osmišljene kako bi osigurale zadržavanje rizika u okvirima tolerancije koji su utvrđeni u postupku upravljanja rizikom.

Angažman

Poseban zadatak, zadaća ili pregled za internu reviziju kao što je interna revizija, provjera samoprocjenjivanja, istraživanje prijevara ili savjetovanje. Angažman može obuhvaćati višestruke zadatke ili radnje koje su osmišljene tako da ostvare poseban skup povezanih ciljeva.

Ciljevi angažmana

Sveobuhvatne izjave koje sastave interni revizori u kojima su definirana postignuća u okviru angažmana.

54


Program rada u sklopu angažmana

Dokument u kojem se navode postupci kojih se treba pridržavati tijekom angažmana, a sastavljen je u svrhu ostvarivanja plana angažmana.

Vanjski pružatelj usluga

Osoba ili poduzeće, izvan organizacije, koje posjeduje posebno znanje, vještine ili iskustvo u određenoj disciplini.

Prijevara

Bilo koja nezakonita radnja koju karakterizira varanje, prikrivanje ili povrjeda povjerenja. Te radnje ne ovise o prijetnjama nasiljem ili fizičkom silom. Prijevare čine stranke ili organizacije u svrhu stjecanja novca, imovine ili usluga; u svrhu izbjegavanja plaćanja ili gubitka usluga; ili u svrhu osiguranja osobne ili poslovne koristi.

Korporativno upravljanje

Kombinacija postupaka i struktura koje provodi uprava u svrhu informiranja, usmjeravanja, rukovođenja i praćenja aktivnosti organizacije radi postizanja ciljeva.

Narušavanje

Narušavanje individualne objektivnosti i organizacijske neovisnosti mogu uključivati osobni sukob interesa, ograničenja opsega, ograničenje pristupa dokumentima, osoblju i imovini, te ograničenje resursa (financiranja).

Neovisnost

Nepostojanje uvjeta koji ugrožavaju objektivnost ili dojam objektivnosti. Takvo ugrožavanje objektivnosti mora se riješiti na razini pojedinog revizora, angažmana, funkcije ili organizacije.

Interna revizija

Odjel, odsjek, skupina savjetnika ili ostalih profesionalca koji pružaju usluge neovisne i objektivne provjere ili savjetovanja radi dodavanja vrijednosti i unaprjeđenja poslovanja organizacije. Interna revizija pomaže organizaciji da postigne svoje ciljeve kroz sustavan i discipliniran pristup radi procjene i unaprjeđenja učinkovitosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.

55

Pojmovnik

Objektivnost

Nepristran stav koji omogućuje internim revizorima obavljanje angažmana na takav način da iskreno vjeruju u produkt svojega rada i da nije bilo značajnijih kompromisa u pogledu kvalitete. Objektivnost zahtijeva od internih revizora da svoje prosudbe u pitanjima revizije ne podređuju prosudbama drugih.

Preostali rizik

Rizik koji preostaje nakon što rukovodstvo poduzme radnje kako bi se smanjio utjecaj ili vjerojatnost od štetnog događaja, uključujući kontrolne aktivnosti kao odgovor na rizik.

Rizik

Mogućnost nastanka događaja koji će utjecati na postizanje ciljeva. Rizik se mjeri u kontekstu utjecaja i vjerojatnosti.

Upravljanje rizikom

Postupak identifikacije, ocjene, upravljanja i nadzora nad mogućim događajima ili situacijama u svrhu primjerena osiguranja postizanja ciljeva organizacije.

Trebati

Korištenje riječi „treba“ u Standardima predstavlja obvezu.

Standard

Stručna objava koju proglasi Odbor za standarde interne revizije u kojoj se navode zahtjevi za obavljanje širokog raspona radnji u sklopu interne revizije, kao i za procjenu učinkovitosti (uspješnosti) interne revizije.

57

Preporuke za rad

PREPORUKE ZA RAD

58


Preporuka za rad 1000-1:Povelja o internoj reviziji

Tumačenje Standarda 1000 izMeđunarodnih standarda za stručnu

provedbu interne revizije

Povezani standard 1000 – Svrha, ovlasti i odgovornosti Svrhu, ovlasti i odgovornosti interne revizije treba formalno definirati u povelji, koja mora biti u skladu sa Standardima i koju odobri uprava.

Priroda ove preporuke za rad: interni revizori trebaju u obzir uzeti sljedeće prijedloge prilikom usvajanja povelje o internoj reviziji. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom usvajanja povelje, nego jednostavno skup preporučenih savjeta koje treba uzeti u obzir.

1. Svrhu, ovlasti i odgovornosti interne revizije treba definirati u povelji. Glavni revizor od višeg menadžmenta treba zatražiti odobrenje povelje, a od odbora suglasnost. Odobrenje povelje treba biti zabilježeno u zapisniku upravnog tijela. Povelja treba (a) utvrditi položaj interne revizije unutar organizacije; (b) dati ovlaštenje za pristup dokumentima, osoblju i materijalnoj imovini koja je važna za obavljanje posla; i (c) definirati opseg radnji u sklopu interne revizije.

2. Povelju o internoj reviziji treba sastaviti u pisanom obliku. Pisana izjava predstavlja službeni dokument koji pregledava i odobrava rukovodstvo, a na koji odbor daje suglasnost. Također omogućava povremenu ocjenu primjerenosti svrhe, ovlasti i odgovornosti interne revizije. Formalni, pisani dokument u kojem je sadržana povelja o internoj reviziji ključan je za upravljanje funkcijom revizije unutar organizacije. Svrhu, ovlasti i odgovornosti treba definirati i objaviti kako bi se utvrdila uloga interne revizije i kako bi se rukovodstvu i odboru osigurao temelj koji mogu koristiti za evaluaciju poslovanja te funkcije. U slučaju da se postavi to pitanje, povelja također osigurava formalan, pisan sporazum s rukovodstvom i odborom o ulozi i odgovornostima interne revizije unutar organizacije.

3. Glavni revizor povremeno treba ocijeniti jesu li svrha, ovlasti i odgovornosti, temeljem definicije u povelji, i dalje adekvatne kako bi omogućile internoj reviziji postizanje ciljeva. O rezultatima povremenih ocjena treba obavijestiti viši menadžment i odbor.

59

Preporuke za rad

Preporuka za rad 1000.C1-1:Smjernice internim revizorima

za obavljanje konzultacija

Tumačenje Standarda 1000.C1 izMeđunarodnih standarda za stručnu


Povezani standard 1000.C1 – Prirodu konzultacijskih usluga treba definirati u povelji o reviziji.

Priroda ove preporuke za rad - definicija interne revizije glasi: „Interna revizija neovisna je aktivnost objektivne provjere i savjetovanja osmišljena da poveća vrijednost organizacije i poboljša njezino poslovanje. Ona pomaže organizaciji da ostvari svoje ciljeve putem uvođenja sustavna i disciplinirana pristupa za vrednovanje i poboljšanje djelotvornosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.“ Podsjećamo internog revizora da se opći standardi i standardi izvođenja odnose na interne revizore koji obavljaju kako angažmane provjere tako i savjetovanja.

Preporuka se odnosi na sveobuhvatne parametre koje treba uzeti u obzir u svim konzultacijskim angažmanima. Savjetovanje može obuhvaćati raspon od formalnih angažmana koji su utvrđeni u pisanim sporazumima pa do konzultacijskih radnji, kao što je na primjer sudjelovanje u stalnim ili privremenim upravnim odborima ili projektnim timovima. Od internih se revizora očekuje da koriste svoj stručni sud kako bi utvrdili opseg u kojem će koristiti ovu preporuku u svakoj pojedinoj situaciji. Posebni konzultacijski angažmani, na primjer sudjelovanje u projektu spajanja ili preuzimanja, ili u hitnim angažmanima, na primjer ponovno uspostavljanje poslovanja nakon prirodnih nepogoda, mogu zahtijevati odstupanje od uobičajenih ili utvrđenih postupaka za provođenje konzultacijskih angažmana.

Interni revizori u obzir trebaju uzeti sljedeće smjernice prilikom obavljanja konzultacijskih angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijskog angažmana, a interni revizori moraju poduzeti posebne mjere da utvrde kako rukovodstvo i uprava razumiju i da su suglasni s konceptom, operativnim smjernicama i priopćenjima koji se zahtijevaju u svrhu pružanja usluga savjetovanja.

1. Pretpostavka vrijednosti – pretpostavka vrijednosti interne revizije ostvaruje se unutar svake organizacije koja zapošljava interne revizore na način koji je primjeren kulturi i resursima predmetne organizacije. Ta pretpostavka vrijednosti sadržana je u

60


definiciji interne revizije i obuhvaća provjere i savjetovanja kojima je cilj dodavanje vrijednosti organizaciji kroz uvođenje sustavna, disciplinirana pristupa u područjima korporativnog upravljanja, rizika i kontrole.

2. Dosljednost sa definicijom interne revizije – disciplinirana i sustavna metodologija procjene dio je svake aktivnosti interne revizije. Popis usluga u načelu može biti objedinjen u sveobuhvatnim kategorijama provjere i savjetovanja. Međutim, usluge također mogu uključivati i dinamične oblike usluga koje dodaju vrijednost i koje su u skladu sa širom definicijom interne revizije.

3. Revizijske aktivnosti (osim provjere i savjetovanja) – postoji više vrsta usluga interne revizije. Provjera i savjetovanje ne isključuju jedno drugo i ne sprječavaju ostale revizijske usluge kao što su istražni postupci i uloge nevezane uz reviziju. Mnoge revizijske usluge istovremeno imaju ulogu i provjere i savjetovanja.

4. Odnos između provjere i savjetovanja – savjetovanje u okviru interne revizije obogaćuje internu reviziju koja dodaje vrijednost. Iako je savjetovanje često izravan rezultat usluga provjere, potrebno je uvidjeti kako provjera može biti rezultat konzultacijskih angažmana.

5. Ovlastiti savjetovanje u povelji o internoj reviziji – interni revizori tradicionalno pružaju razne vrste konzultacijskih usluga u rasponu od analize kontrola koje su ugrađene u sustave u razvoju, analize sigurnosnih proizvoda, sudjelovanja u radnim skupinama u svrhu analize poslovanja i davanja preporuka i tako dalje. Uprava (ili odbor za reviziju) treba dati ovlasti internoj reviziji za pružanje dodatnih usluga kada iste ne predstavljaju sukob interesa ili umanjuju obveze prema odboru. To ovlaštenje treba biti navedeno u povelji o internoj reviziji.

6. Objektivnost – usluge savjetovanja mogu poboljšati revizorovo shvaćanje poslovnih procesa ili pitanja koja su povezana s angažmanom provjere i nužno ne narušavaju objektivnost revizora ili interne revizije. Interna revizija nije rukovodeća funkcija za donošenje odluka. Odluke o usvajanju ili provođenju preporuka na osnovu rezultata usluga savjetovanja interne revizije treba donijeti rukovodstvo. Dakle, odluke koje donosi rukovodstvo ne bi trebale narušiti objektivnost interne revizije.

7. Zaklada interne revizije za konzultacijske usluge – velik dio savjetovanja prirodan je nastavak provjere i istražnih radnji, a može predstavljati formalne ili neformalne savjete, analize ili ocjene. Interna revizija ima jedinstvenu mogućnost za pružanje ovakvog oblika savjetovanja na osnovu (a) poštivanja najviših standarda objektivnosti i (b) širine znanja o organizacijskim procesima, rizicima i strategijama.

8. Izvještavanje o osnovnim informacijama – primarna vrijednost interne revizije je davanje potvrde višem menadžmentu i odboru za reviziju. Savjetovanje nije moguće provesti na način da se prikriju informacije o kojima prema mišljenju glavnog

61

Preporuke za rad

revizora treba obavijestiti više rukovoditelje i članove uprave. Svako savjetovanje treba shvatiti u tom kontekstu.

9. Načela savjetovanja kako ih shvaća organizacija – organizacije moraju imati osnovna pravila za pružanje konzultacijskih usluga koje razumiju svi članovi organizacije, a ta se pravila trebaju sistematizirati u povelji o reviziji koju odobri odbor za reviziju i proglasi organizacija.

10. Formalni konzultacijski angažmani – rukovodstvo često angažira vanjske konzultante za formalne konzultacijske angažmane koji traju dulje vrijeme. Međutim, organizacija može uvidjeti da je interna revizija kvalificirana za provedbu nekih konzultacijskih zadaća. Ako interna revizija prihvati formalan konzultacijski angažman, skupina internih revizora provedbi angažmana mora pristupiti sustavno i disciplinirano.

11. Odgovornosti glavnog revizora – konzultacijske usluge omogućuju glavnom revizoru da kroz razgovor s rukovodstvom dobije odgovore na neka posebna pitanja rukovođenja. U tom dijalogu opseg angažmana i rokovi se prilagođavaju potrebama rukovodstva. Međutim, glavni revizor zadržava pravo određivanja revizijskih tehnika i ispravnog podnošenja izvještaja višim rukovoditeljima i članovima revizijskog odbora kada priroda i materijalnost rezultata predstavljaju značajne rizike za organizaciju.

12. Kriteriji za rješavanje sukoba ili rastućih problema – interni revizor prije svega je interni revizor. Dakle, prilikom pružanja bilo kakvih usluga interni revizor postupa u skladu s Etičkim kodeksom IIA-e te općim standardima i standardima izvođenja iz Međunarodnih standarda za stručnu provedbu interne revizije (Standardi). Bilo kakve nepredviđene sukobe ili radnje treba riješiti u skladu s Etičkim kodeksom i Standardima.

62


Preporuka za rad 1000.C1-2:Dodatni uvjeti za formalna savjetovanja

Tumačenje Standarda 1000.C1 (i ostalih povezanih Provedbenih standarda za konzultacije) iz

Međunarodnih standarda za stručnuprovedbu interne revizije


Posebna napomena u vezi s ovom preporukom za rad i u vezi sa Standardima. Ova preporuka za rad obuhvaća smjernice koje se odnose na Provedbene standarde za konzultacije. Osim Standarda 1000.C1, smjernice također obuhvaćaju Standarde 1130.C1 i C2; 1210.C1; 1220.C1; 2010.C1; 2110.C1 i C2; 2120.C1 i C2; 2130.C1; 2201.C1; 2210.C1; 2220.C1; 2240.C1; 2330.C1; 2410.C1; 2440.C1 i C2; i 2500.C1. Reference na te Standarde prikazane su u zagradama uz naslove u ovoj preporuci za rad.

Priroda ove preporuke za rad: ova preporuka za rad po svojoj je temi slična preporuci 1000.C1-1, koja razmatra načela za pružanje konzultacijskih usluga i obje su preporuke korisne internim revizorima u obavljanju savjetovanja. Definicija interne revizije glasi: „Interna revizija neovisna je aktivnost objektivne provjere i savjetovanja osmišljena da poveća vrijednost organizacije i poboljša njezino poslovanje. Ona pomaže organizaciji da ostvari svoje ciljeve putem uvođenja sustavna i disciplinirana pristupa za vrednovanje i poboljšanje djelotvornosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.“ Podsjećamo interne revizore da se opći standardi i standardi izvođenja odnose na interne revizore koji obavljaju i angažmane provjere i savjetovanja.

Ova preporuka odnosi se na sveobuhvatne parametre koje treba uzeti u obzir u svim konzultacijskim angažmanima. Savjetovanje može obuhvaćati raspon od formalnih angažmana koji su utvrđeni u pisanim sporazumima, pa do konzultacijskih radnji, kao što je na primjer sudjelovanje u stalnim ili privremenim upravnim odborima ili projektnim timovima. Od internih se revizora očekuje da koriste svoj stručni sud kako bi utvrdili opseg u kojem će koristiti ovu preporuku u svakoj pojedinoj situaciji. Posebni konzultacijski angažmani, na primjer sudjelovanje u projektu spajanja ili preuzimanja, ili u hitnim angažmanima (na primjer, ponovno uspostavljanje poslovanja nakon prirodnih nepogoda), mogu zahtijevati odstupanje od uobičajenih ili utvrđenih postupaka za provođenje konzultacijskih angažmana.

63

Preporuke za rad

Interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom obavljanja savjetovanih angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijskog angažmana, a interni revizori moraju poduzeti posebne mjere da utvrde kako rukovodstvo i uprava razumiju i kako su suglasni s konceptom, operativnim smjernicama i priopćenjima koja se zahtijevaju u svrhu pružanja usluga savjetovanja.

Definicija konzultacijskih usluga

1. U Pojmovniku Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) „konzultacijske usluge“ definirane su na sljedeći način: „Usluge savjetovanja i srodne usluge koje se pružaju klijentu čija se priroda i opseg određuju u dogovoru s klijentom, a čija je svrha dodavanje vrijednosti i unaprjeđenje postupaka upravljanja organizacijom, upravljanja rizikom i kontrole, a da pritom interni revizor ne preuzima odgovornost rukovođenja. Primjeri uključuju zastupanje, savjetovanje, potporu i stručno osposobljavanje i usavršavanje.“

2. Glavni revizor treba odrediti metodologiju koja će se koristiti za klasificiranje angažmana unutar organizacije. U nekim okolnostima može biti prikladan „mješoviti“ angažman u koji su uključeni i elementi savjetovanja i provjere koji zajedno čine jedan integriran pristup. U drugim slučajevima može biti primjereno napraviti razliku između provjere i savjetovanja kao zasebnih elemenata angažmana.

3. Interni revizori mogu pružati usluge savjetovanja kao dio uobičajenih ili rutinskih aktivnosti, ali i kao odgovor na zahtjev rukovodstva. Svaka organizacija u obzir treba uzeti vrstu konzultacijskih aktivnosti koje će ponuditi te odrediti je li potrebno izraditi posebne smjernice ili postupke za svaku od aktivnosti. Moguće kategorije mogu uključivati:

• formalne konzultacijske angažmane – planirani su i u skladu s pisanim ugovorom • neformalne konzultacijske angažmane – rutinske radnje, kao na primjer sudjelovanje u stalnim odborima, projektima s ograničenim trajanjem, na ad hoc sastancima i rutinska razmjena informacija• posebne konzultacijske angažmane – sudjelovanje u timovima koji rade na udruživanju ili preuzimanju, ili tima za preoblikovanje sustava• hitne konzultacijske angažmane – sudjelovanje u timu koji je osnovan u svrhu oporavka ili održavanja poslovanja nakon prirodnih nepogoda ili drugog izvanrednog poslovnog događaja, ili tim koji je okupljen kako bi privremeno pružio pomoć u svrhu ispunjavanja posebnog zahtjeva ili neuobičajenog roka.

4. U načelu, revizori ne trebaju pristati na konzultacijski angažman samo zato da bi se zaobišli, ili da se drugima omogući zaobilaženje, zahtjeva koji se inače primjenjuju na provjeru, ako je predmetnu uslugu primjerenije pružiti u obliku provjere. Ovo ne isključuje prilagođavanje metodologija u slučaju da se nakon što je usluga pružena u obliku provjere smatra prikladnijim da bude u obliku savjetovanja.

64


Neovisnost i objektivnost u konzultacijskim angažmanima (Standard 1130.C1)

5. Od internih se revizora katkada zahtijevaju konzultacijske usluge koje se odnose na poslove za koje su prethodno bili odgovorni ili u vezi kojih su pružali usluge provjere. Prije no što ponudi konzultacijske usluge, glavni revizor treba potvrditi da uprava razumije i prihvaća poimanje pružanja usluga savjetovanja. Nakon odobrenja, povelju o internoj reviziji treba izmijeniti i dopuniti tako da uključuje ovlasti i odgovornosti za usluge savjetovanja, a interna revizija treba izraditi prikladne smjernice i postupke za provođenje takvih angažmana.

6. Interni revizori trebaju zadržati objektivnost prilikom donošenja zaključaka i savjetovanja rukovodstva. Ako postoji narušavanje neovisnosti ili objektivnosti prije početka konzultacijskog angažmana, ili ako do njega dođe tijekom angažmana, o tome je potrebno bez odgađanja obavijestiti rukovodstvo.

7. Neovisnost i objektivnost mogu biti narušene ako se u roku od godine dana nakon formalnog angažmana savjetovanja pružaju usluge provjere. Moguće je poduzeti korake kako bi se na najmanju moguću mjeru sveli učinci narušavanja tako što će za svaku uslugu biti angažirani drugi revizori, uspostavom neovisnog rukovodstva i nadzora, definiranjem zasebne odgovornosti za projektne rezultate, i obavijest o pretpostavljenom narušavanju. Rukovodstvo treba biti odgovorno za prihvaćanje i provedbu preporuka.

8. Osobito u konzultacijskim angažmanima koji su u tijeku ili kontinuirani, treba obratiti pozornost kako interni revizori ne bi neprimjereno ili nenamjerno preuzeli odgovornosti rukovodstva koje nisu zacrtane u izvornim ciljevima i opsegu angažmana.

Dužna profesionalna pozornost u savjetovanjima (Standardi 1210.C1, 1220.C1, 2130.C1 i 2201.C1)

9. Interni revizor treba postupati s dužnom profesionalnom pozornošću u provođenju formalnog savjetovanja uz razumijevanje sljedećeg: • potrebe rukovodećih dužnosnika, uključujući prirodu, vrijeme i obavještavanje

o rezultatima angažmana• moguće motive i razloge onih koji traže uslugu • opseg potrebnog posla za ostvarivanje ciljeva angažmana • vještine i resurse koji su potrebni za obavljanje angažmana • učinak na opseg plana revizije koji je prethodno odobrio odbor za reviziju • mogući utjecaj na buduće revizijske zadatke i angažmane• moguće dobrobiti za organizaciju koje proizlaze iz angažmana.

65

Preporuke za rad

10. Osim opisane procjene neovisnosti i objektivnosti i dužne profesionalne pozornosti, interni revizor treba: • održati potrebne sastanke i prikupiti potrebne informacije za ocjenu prirode i

opsega usluge koju treba pružiti• potvrditi da oni kojima se usluga pruža shvaćaju i da su suglasni s relevantnim

smjernicama koje su sadržane u povelji o internoj reviziji, politikama i postupanju interne revizije, i ostalim relevantnim smjernicama koje uređuju provedbu savjetovanja; interni revizor mora odbiti savjetovanja koja su zabranjena temeljem povelje o internoj reviziji, koja su u suprotnosti s politikama i postupcima interne revizije, ili koja ne dodaju vrijednost i nisu u najboljem interesu organizacije

• procijeniti je li savjetovanje u skladu s cjelokupnim planom angažmana interne revizije; planovi angažmana interne revizije na temelju rizika mogu sadržavati i oslanjati se na konzultacijske angažmane, u opsegu koji smatraju primjerenim, kako bi osigurali potreban obuhvat organizacije revizijom

• zabilježiti opće uvjete, sporazume, očekivane rezultate i ostale ključne čimbenike formalnog savjetovanja u pisanom ugovoru ili planu; prijeko je potrebno da i interni revizor i subjekti kojima se pruža usluga savjetovanja razumiju i da su suglasni sa zahtjevima izvještavanja i priopćavanja.

Opseg posla u konzultacijskim angažmanima(Standardi 2010.C1, 2110.C1 i C2, 2120.C1 i C2, 2201.C1, 2210.C1, 2220.C1, 2240.C1, i 2440.C2)

11. Kao što je ranije navedeno, interni revizori trebaju postići sporazum o ciljevima i opsegu savjetovanja sa subjektima kojima se pruža ta usluga. Bilo kakve rezerve u pogledu vrijednosti, koristi ili mogućim negativnim posljedicama savjetovanja treba priopćiti subjektima kojima se usluga pruža. Interni revizori moraju planirati opseg posla u svrhu osiguranja profesionalnosti, integriteta, vjerodostojnosti i očuvanja ugleda djelatnosti interne revizije.

12. Prilikom planiranja formalnih konzultacijskih angažmana, interni revizori ciljeve moraju planirati tako da udovoljavaju odgovarajućim potrebama rukovodećih dužnosnika kojima se usluge pružaju. U slučaju da rukovodstvo ima posebne zahtjeve, interni revizori mogu u obzir uzeti sljedeće radnje, ukoliko vjeruju da ciljevi koje treba ispuniti prelaze zahtjeve rukovodstva: • uvjeriti rukovodstvo da uključe dodatne ciljeve u savjetovanje • dokumentirati činjenicu da ti ciljevi nisu ostvareni i navesti to zapažanje u

završnom priopćenju o rezultatima savjetovanja• uključiti ciljeve u zaseban naknadni angažman provjere.

13. Radni programi za konzultacijske angažmane moraju zabilježiti ciljeve i opseg angažmana kao i metodologiju koja će se koristiti za ispunjenje ciljeva. Oblik i sadržaj programa mogu se razlikovati ovisno o prirodi angažmana. Prilikom

66


utvrđivanja opsega angažmana, interni revizori mogu proširiti ili ograničiti opseg kako bi udovoljili zahtjevima rukovodstva. Međutim, interni revizor mora biti siguran da će predviđen opseg posla biti dovoljan za ispunjavanje ciljeva angažmana. Ciljeve, opseg i uvjete angažmana treba povremeno preispitati i prilagoditi tijekom obavljanja posla.

14. Interni revizori moraju pozorno pratiti učinkovitost upravljanja rizikom i postupke kontrole tijekom formalnog savjetovanja. Značajne izloženosti riziku ili materijalne slabosti u kontroli treba istaknuti rukovodstvu. U nekim situacijama zabrinutost revizora treba priopćiti i izvršnom menadžmentu, odboru za reviziju i/ili upravnom odboru. Revizori moraju koristiti svoj stručni sud (a) za određivanje važnosti izloženosti ili slabosti te poduzetih ili predviđenih radnji za ublažavanje ili ispravljanje takvih izloženosti ili slabosti, i (b) utvrditi očekivanja izvršnog menadžmenta, odbora za reviziju i uprave nakon prijave tih stvari.

Priopćavanje rezultata konzultacijskih angažmana (Standardi 2410.C1 i 2440.C1)

15. Priopćavanje o napretku i rezultatima konzultacijskih angažmana razlikovat će se prema obliku i sadržaju ovisno o prirodi angažmana i potrebama klijenta. Zahtjeve za izvještavanje u načelu određuje subjekt koji traži uslugu i treba ispuniti ciljeve koje je odredilo i odobrilo rukovodstvo. Međutim, format priopćavanja rezultata savjetovanja treba jasno opisivati prirodu angažmana i bilo kakve nedostatke, ograničenja ili druge čimbenike s kojima korisnici informacija moraju biti upoznati.

16. U nekim okolnostima interni revizor može zaključiti da rezultate treba priopćiti i drugim strankama, a ne samo onima kojima je usluga pružena ili koji su je zatražili. U takvim slučajevima interni revizor treba proširiti opseg izvještavanja tako da rezultati budu priopćeni nadležnim strankama. Prilikom proširivanja opsega izvještavanja na druge stranke, revizor treba postupati slijedeći ove korake dok ne bude zadovoljan s rješenjem stvari: • treba utvrditi kakav je smjer propisan u ugovoru o konzultacijskom angažmanu i s time povezanim priopćenjima • treba nastojati uvjeriti one kojima se pruža usluga ili koji su je tražili da svojevoljno prošire priopćavanje na nadležne stranke • odrediti kakve su smjernice propisane poveljom o internoj reviziji ili politike i postupci interne revizije koje se odnose na priopćenja o savjetovanju • odrediti kakve su smjernice propisane u pravilima ponašanja, etičkom kodeksu i ostalim mjerodavnim politikama, upravnim propisima ili pravilima o postupanju organizacije

67

Preporuke za rad

• odrediti kakve su smjernice propisane u Standardima IIA ili Etičkom kodeksu, ostalim standardima ili kodeksima koji se primjenjuju na revizore, te bilo kakve regulatorne i pravne uvjete koji se odnose na predmet revizije.

17. Interni revizori trebaju obavijestiti rukovodstvo, odbor za reviziju, upravu ili drugo

upravljačko tijelo organizacije o prirodi, opsegu i ukupnim rezultatima formalnih konzultacijskih angažmana zajedno s ostalim izvještajima o internoj reviziji. Interni revizori moraju informirati izvršni menadžment i odbor za reviziju o načinu na koji se koriste sredstva za reviziju. Nisu potrebni detaljni izvještaji o tim konzultacijskim angažmanima niti je potrebno obavještavati o posebnim rezultatima i preporukama. Međutim, primjeren opis takvih vrsta angažmana i njihove značajne preporuke treba priopćiti, što je potrebno kako bi se ispunila odgovornost internog revizora u skladu sa Standardom 2060, Izvještavanje odbora i višeg menadžmenta.

Zahtjevi u pogledu dokumenta za konzultacijske angažmane (Standard 2330.C1)

18. Interni revizori trebaju dokumentirati posao obavljen u svrhu postizanja ciljeva formalnog savjetovanja, kao potkrjepu rezultatima. Međutim, nije nužno da se dokumentacija potrebna za angažmane provjere primjenjuje i za konzultacijske angažmane.

19. Revizori se ohrabruju da usvoje prikladne smjernice za čuvanje evidencija i riješe s tim povezana pitanja kao što je vlasništvo nad evidencijama o savjetovanju, kako bi se adekvatno zaštitila organizacija i izbjegli mogući nesporazumi u vezi sa zahtjevima za pristup tim evidencijama. Situacije u kojima se vodi pravni postupak, regulatorni zahtjevi, porezna i računovodstvena pitanja mogu zahtijevati posebno postupanje s određenim podacima o savjetovanju.

Praćenje konzultacijskih angažmana (Standard 2500.C1)

20. Interna revizija treba pratiti rezultate savjetovanja u onom opsegu u kojem je dogovoreno s klijentom. Različite vrste praćenja primjerene su za različite vrste konzultacijskih angažmana. Praćenje može ovisiti o čimbenicima kao što je izričit interes rukovodstva za predmetni angažman ili ocjenu internog revizora o rizicima projekta ili vrijednosti za organizaciju.

68


Preporuka za rad 1000.C1-3:Dodatni uvjeti za konzultacijske angažmane u

državnim organizacijama

Tumačenje Standarda 1000.C1 (i ostalih povezanih Provedbenih standarda za konzultacije) iz



Priroda ove preporuke za rad: ova preporuka za rad po svojoj je temi slična preporuci 1000.C1-1 i C1-2, koja razmatra načela za pružanje konzultacijskih usluga i obje su preporuke korisne internim revizorima u obavljanju savjetovanja. Definicija interne revizije glasi: „Interna revizija neovisna je aktivnost objektivne provjere i savjetovanja osmišljena da poveća vrijednost organizacije i poboljša njezino poslovanje. Ona pomaže organizaciji da ostvari svoje ciljeve putem uvođenja sustavna i disciplinirana pristupa za vrednovanje i poboljšanje djelotvornosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.“ Podsjećamo interne revizore da se opći standardi i standardi izvođenja odnose na interne revizore koji obavljaju i angažmane provjere i savjetovanja.

Ova preporuka za rad daje smjernice za državne revizijske organizacije koje posluju u skladu sa Standardima IIA, ali čija lokalna pravila upravljanja, revizijski standardi, politike, i/ili zakonodavstvo strože ograničavaju usluge koje nisu provjera (savjetovanje). Parametre unutar kojih organizacija planira pružati usluge koje nisu provjera (savjetovanje) treba uključiti u povelju o internoj reviziji i trebaju biti pokrijepljeni politikama i postupcima interne revizije. Smjernice u ovoj preporuci mogu pomoći organizacijama da kreiraju primjeren jezik i politike za upravljanje pružanjem usluga koje nisu provjera (savjetovanje).

Od internih se revizora očekuje da koriste svoj stručni sud kako bi utvrdili opseg u kojem će koristiti ovu preporuku u svakoj pojedinoj situaciji. Interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom obavljanja savjetovanih angažmana.

1. Kontekst. Definicija konzultacijskih usluga IIA-e glasi: „Usluge savjetovanja i srodne usluge koje se pružaju klijentu čija se priroda i opseg određuju u dogovoru s klijentom, a čija je svrha dodavanje vrijednosti i unaprjeđenje postupaka korporativnog upravljanja, upravljanja rizikom i kontrole, a da pritom interni revizor

69

Preporuke za rad

ne preuzima odgovornost rukovođenja. Primjeri uključuju zastupanje, savjetovanje, potporu i stručno osposobljavanje i usavršavanje.“

2. Ključni elementi uloge revizora. Kroz angažmane provjere (revizije), revizori pomažu osigurati odgovornost rukovodstva za ispunjavanje ciljeva organizacije i poštivanje unutarnjih i vanjskih zahtjeva za vođenje poslovanja i aktivnosti. Iako takvi angažmani mogu uključivati i aspekt „pomoći“ putem preporuka za poboljšanje, revizor ne snosi konačnu odgovornost za provedbu ili odobrenje poboljšanja. U slučaju da revizor preuzme odgovornost za provedbu ili odobrenje unaprjeđenja, bilo da se radi o preporuci tijekom revizije (provjere) ili tijekom zasebnog nerevizijskog angažmana (savjetovanja), vrlo je vjerojatno da će revizor ugroziti neovisnost i objektivnost koji su potrebni za ulogu revizije.

Čak i u slučaju pomoći organizaciji kroz nerevizijske aktivnosti (savjetovanje), revizori trebaju svoj rad zadržati u granicama koje definiraju ključne elemente službe za reviziju. Ti ključni elementi obuhvaćaju sljedeće: 1

• revizori moraju biti neovisni i izbjegavati odnose i situacije koje bi mogle ugroziti objektivnost revizora• revizori ne smiju provjeravati svoj vlastiti rad • revizori ne smiju obavljati rukovodeće funkcije ili donositi rukovodeće odluke.

Ovi su elementi „ključni“ jer podržavaju temeljnu premisu revizije, odnosno načelo da objektivna treća strana dokazuje (obavlja provjeru s obzirom na) vjerodostojnost tvrdnji rukovodstva. U skladu s time, kako bi zaštitili svoju sposobnost da osiguraju provjeru, revizori moraju na najmanju moguću mjeru svesti moguće prijetnje revizorskoj neovisnosti koje mogu proizaći iz toga da ista revizijska djelatnost također pruža usluge koje nisu revizija (savjetovanje).

Osim navedenih ključnih elementa, utvrđene su i druge prijetnje neovisnosti revizije, uključujući i postupanje u poslovima koji nisu revizija (savjetovanje) koje: • stvaraju zajedničke interese• stavljaju revizore u položaj branitelja društva2 .

3. Pravila upravljanja. Posebna pravila o nadležnosti koja propisuju ograničenja na rad revizora izvan uloge revizije (provjere) mogu se primjenjivati samo na revizore koji provode vanjsku reviziju (financijskih izvještaja ili zakonsku) ili se mogu

primjenjivati na revizore koji obavljaju sve vrste revizija. Nadalje, pravila mogu

1 Ta su načela formulirala brojna tijela za određivanje standarda, uključujući smjernice koje je objavio IAASB/IFAC u svojem Stručnom etičkom kodeksu i Vladin ured za odgovornost SAD-a u svojim Općeprihvaćenim vladinim standardima revizije. 2 Taj je rizik spomenut u Simthovu Izvještaju iz siječnja 2003. Revizijski odbori i kombinirane smjernice za kodekse, kojega je imenovalo Vijeće za financijsko izvještavanje, te se njime, među ostalima, bave i smjernice koje je objavio ICAEW (Institut ovlaštenih računovođa revizora iz Engleska i Walesa).

70


biti utvrđena u zakonskim propisima koji omogućuju revizorsku djelatnost, mogu biti nametnuta od strane nadzornih ili regulatornih tijela, ili dio etičkih kodeksa ili revizijskih standarda koji su potrebni za reviziju posebnih organizacija ili nadležnosti3. Odgovornost je glavnog revizora osigurati usklađenost povelje o službi za reviziju i njezinih politika i postupanja s mjerodavnim pravilima upravljanja.

Nadalje, čak i kada funkcija revizije ne podliježe pravilima upravljanja koja ograničavaju nerevizijske (konzultacijske) usluge, glavni revizori moraju osigurati da je sustav osiguranja kvalitete ustrojen tako da na najmanju moguću mjeru svede prijetnje neovisnosti ili objektivnosti revizora. U suprotnome, nerevizijske (konzultacijske) zadaće mogle bi imati dugoročan učinak i dovesti u pitanje sposobnost službe za reviziju da obavlja svoju revizijsku ulogu (ulogu provjere). Osim toga, angažman službe za reviziju u nerevizijskom (konzultacijskom) poslu koji u pitanje odvodi njezinu neovisnost mogao bi spriječiti ostale revizore da se pouzdaju u posao službe za reviziju.

4. Aktivnosti koje u pitanje dovode objektivnost ili neovisnost. Sposobnost revizora

da obavljaju nerevizijski (konzultacijski) posao, a da pritom ne odvode u pitanje svoju objektivnost ili neovisnost, u određenoj mjeri ovisi o tome gdje „postave granicu“ između pomaganja ili konzultacija u smislu savjetovanja nasuprot pomaganja tako što obavljaju posao za koji je odgovorno rukovodstvo. Na primjer, savjetovanje o primjerenim kontrolama tijekom osmišljavanja sustava uz jasno shvaćanje da je rukovodstvo odgovorno za prihvaćanje ili odbijanje savjeta, u budućnosti bi imalo ograničen utjecaj na revizorovu objektivnost prema tom sustavu. Nasuprot tome, ako revizor predvodi dizajnerski tim, ako je odlučivao o odabiru kontrola, ili je nadzirao provedbu preporučenih kontrola, buduća sposobnost revizora da objektivno procjeni sustav uvelike će biti narušena. Međutim, ostale nerevizijske zadaće ne moraju biti tako jasno određene. U skladu s time, službe za reviziju moraju razviti postupke za preispitivanje mogućih nerevizijskih (konzultacijskih) zadaća i utvrđivanje predstavljaju li one prijetnju za neovisnosti ili objektivnost. Kontrolu za utvrđivanje utjecaja na neovisnost ili objektivnost u budućnosti treba dokumentirati. Uvid u predmetnu dokumentaciju treba omogućiti ocjenjivačima kvalitete tijekom angažmana ocjene kvalitete.

5. Postupci za smanjenje prijetnji za objektivnost i neovisnost na najmanju moguću mjeru. Služba za reviziju treba primjenjivati kontrole koje pomažu smanjenju mogućnosti da nerevizijski (konzultacijski) projekti u pitanje dovedu

3 Primjeri posebnih ograničenja uključuju Standard interne revizije 2.4.2. Vlade Velike Britanije koji glasi: „Pretpostavlja se da je objektivnost narušena kada pojedini revizori preispituju bilo kakvu aktivnost u kojoj su prije imali izvršnu ulogu, ili u kojoj su davali konzultantske savjete:“ Taj standard dopunjen je Smjernicama za dobru konzultacijsku praksu u kojima stoji, „U toj je ulozi važno da interni revizor rukovodstvu osigura dobar savjet, a ne da preuzima zadaće u ime rukovodstva ili kao zamjena za rukovodstvo. Prihvaćanje savjeta koje ponudi interni revizor od strane rukovodstva ne prenosi niti smanjuje odgovornost rukovodstva za njihova područja odgovornosti.“ (3.5.3.)

71

Preporuke za rad

objektivnost pojedinih revizora ili neovisnost službe za reviziju u cjelini. Tehnike mogu uključivati: a. formulacije u povelji koje definiraju parametre nerevizijskih (konzultacijskih) usluga b. politike i postupke kojima se ograničava vrsta, priroda i/ili stupanj sudjelovanja u nerevizijskim (konzultacijskim) uslugama c. korištenje postupka detaljne provjere nerevizijskih (konzultacijskih) projekata, s ograničenjima za prihvaćanje angažmana koji bi mogli ugroziti objektivnost d. odvajanje nerevizijskih (konzultacijskih) jedinica od jedinica za reviziju (angažmani provjere) unutar iste službe za revizijue. izmjenjivanje revizora u angažmanima f. angažiranje vanjskih suradnika za obavljanje nerevizijskih (konzultacijskih) usluga ili za provođenje angažmana provjere u aktivnostima gdje je utvrđeno da je prijašnje sudjelovanje službe za reviziju u nerevizijskom (konzultacijskom) angažmanu narušilo objektivnost/neovisnostg. objavljivanje u revizijskim izvještajima, ukoliko je došlo do narušavanja objektivnosti zbog sudjelovanja u prethodnom nerevizijskom (konzultacijskom) projektu.

Prilog A daje primjere odgovarajućeg jezika za neke od ovih kontrolnih tehnika.

72


Prilog APrimjer jezika za kontrolne tehnike kako bi

se na najmanju moguću mjeru svele prijetnje za neovisnost

Formulacije povelje koje definiraju parametre za nerevizijske (konzultacijske) usluge. Formulacije korištene u povelji utvrdit će granice unutar kojih će djelovati služba za reviziju, ali ne očekuje se da detaljno odrede koje će se usluge pružati ili koje se neće pružati. U skladu s tim, ako je osnova za neovisnost opisana na drugom mjestu u povelji, ili je dio posebnih revizijskih standarda koji se navode, povelja može uključivati samo referencu na te ostale kriterije kako bi odredila parametre za usluge koje će se pružati. Tri niže navedena primjera prikazuju jezik koji korišten u dva slučaja gdje su nerevizijske (konzultacijske) usluge ograničene na one koje ne bi trebale dovesti u pitanje neovisnost i objektivnost, i za slučaj kada služba za reviziju može biti pozvana da obavi posao za koji je inače odgovorno rukovodstvo.

• U slučaju kada služba za reviziju ograničava nerevizijske (konzultacijske) usluge na one koje ne dovode u pitanje objektivnost i neovisnost:

„Revizor također može pomagati gradonačelniku, gradskom poglavarstvu i rukovodećem osoblju u obavljanju njihovih odgovornosti tako da im osigura objektivne i pravovremene informacije o provođenu gradskih poslova ili savjetovanje o odgovarajućim upravljačkim kontrolama, u skladu s (naslov odgovarajućeg/ih) revizijskim standardom/ima.“

„Odjel interne revizije može obavljati ostale nerevizijske funkcije, u skladu s ostalim odredbama ove povelje te sastaviti i podnijeti takve izvještaje, ovisno o tome kako odredi komisija.“

• Kada služba za reviziju pruža puni spektar nerevizijskih usluga, čak i pojedine takve usluge mogu ugroziti objektivnost ili neovisnost poslova revizije:

„S vremena na vrijeme revizor može biti pozvan da sudjeluje u nerevizijskim aktivnostima agencije, ili da pomaže glavnom direktoru ili rukovodstvu u provođenju njihovih odgovornosti, u skladu s odobrenjem odbora za reviziju.“

Politike i postupci koji ograničavaju vrstu, prirodu i/ili stupanj sudjelovanja u nerevizijskim (konzultacijskim) projektima; ili utvrđivanje kontrola koje na najmanju moguću mjeru svode prijetnje za objektivnost ili neovisnost od sudjelovanja u nerevizijskim angažmanima. Ako revizori obavljaju rukovodeće funkcije za organizaciju, jedinica za reviziju treba utvrditi odgovarajuće politike i postupke. Politike bi posebno trebale zabraniti takvim osobama da planiraju, provode ili kontroliraju buduće revizije predmeta koji uključuju nerevizijske (konzultacijske) usluge. Nadalje, ako služba za reviziju obavlja nerevizijski (konzultacijski) angažman koji će narušiti cjelokupnu neovisnost, prije no što angažman počne treba obavijestiti nadzorno tijelo službe za reviziju (npr. odbor za reviziju) da će neovisnost revizije biti narušena u bilo kojem budućem revizijskom poslu u tom području. U slučaju da funkcija revizije nastavi s revizijskom aktivnošću u slučaju narušavanja, takvo narušavanje treba se navesti u revizijskom izvještaju.

73

Preporuke za rad

Te se zabrane mogu ublažiti ako postoje značajne promjene u predmetnom području nakon što je pružena pomoć ili ako je pomoć uključivala neke od utvrđenih minimalnih standarda, kao što je „manje od 40 sati“.Niže naveden primjer politike i postupka opisuje nerevizijske (konzultacijske) usluge te uključuje jezik (vidi podcrtan tekst) koji ograničava usluge u okvirima parametara koji na najmanju mjeru svode prijetnje u pogledu objektivnosti i neovisnosti revizora. Politika: osim usluga revizije, revizijski ured osigurava još tri vrste usluga rukovoditeljima pod nadležnošću ili na zahtjev Komisije – osiguranje kvalitete za projekte u tijeku, konzultacije i usavršavanje i vođene radionice za samoprocjenu kontrola. Parametri za svaku vrstu usluge dani su niže u tekstu.

Usluge osiguranja kvalitete

Za vrijeme pružanja usluga osiguranja kvalitete, gradski ured za reviziju prati projekte u tijeku i pruža pomoć dajući ocjenu o sljedećem:

• ciljevi projekta će biti postignuti i opravdani • sve su opcije utvrđene i temeljito analizirane • kvalitativne i kvantitativne analize su potpune i točne • utvrđen je projektni plan i osoblje koje radi na projektu pridržava se plana• najbolja praksa za dovršetak projektnih ciljeva koju koriste ostala nadležna tijela može biti usvojena u gradskim tijelima.

Konzultacijske usluge i stručno usavršavanje

Revizijsko osoblje na raspolaganju je za pružanje pomoći i stručna usavršavanja osoblja iz gradskih tijela u kreiranju sustava za odgovornost rukovodstva i temeljito restrukturiranje poslovanja. Revizijsko osoblje daje samo savjete, a rukovodstvo mora preuzeti odgovornost za provedbu bilo kakvih prijedloga.

Vođene radionice samoprocjenjivanja kontrole

U ovom postupku revizije skupina zaposlenika sastaje se s revizorima kako bi održali strukturirane rasprave o načinu za postizanje ciljeva na najučinkovitiji i djelotvoran način. Umjesto formalnog revizijskog izvještaja sastavljaju se akcijski planovi koji se bave uklanjanjem bilo kakvih prepreka za postizanje cilj(ev)a. Članovi skupine zaposlenika odgovorni su za provedbu konačnih mjera iz akcijskog plana.

Niže navedeni primjeri postupaka sadrže formulacije koje pojašnjavaju radnje koje treba poduzeti služba za reviziju kada se prihvate nerevizijski (konzultacijski) angažmani koji ugrožavaju neovisnost i objektivnost budućih angažmana provjere (revizija).

74


Kada odbor za reviziju zatraži od službe za reviziju da obavi nerevizijske angažmane za koje glavni revizor utvrdi da narušavaju neovisnost službe za reviziju ili objektivnost pojedinog revizora u budućim poslovima revizije, potrebno je obaviti sljedeće postupke:

1. Prije početka nerevizijskog angažmana glavni revizor pisanim će putem obavijestiti odbor za reviziju da će dotični angažman narušiti neovisnost ili objektivnost; opisat će prirodu narušavanja te navesti posljedice narušavanja za buduće revizije (na primjer, služba za reviziju mora odbiti buduće revizije u tom području ili revizijski odbor mora ugovoriti buduće revizije s trećom stranom). Glavni revizor od odbora za reviziju mora zatražiti pisani odgovor u kojem se služba za reviziju upućuje ili da nastavi s nerevizijskim angažmanom ili da ga odbije.

2. Ako odbor za reviziju uputi službu za reviziju da nastavi s nerevizijskim angažmanom, glavni revizor zabilježit će narušavanje u: • dokumentaciji o nerevizijskom angažmanu, čija se kopija šalje rukovodstvu koje je odgovorno za nerevizijski angažman • Godišnjem planu projekata službe za reviziju• priopćenjima revizije uz vanjske pružatelje usluga osiguranja kvalitete u sljedećem pregledu osiguranja kvalitete.

Ako odbor za reviziju uputi službu za reviziju da provede reviziju koja uključuje aktivnosti ili poslovanje koji su bili dio prethodnog nerevizijskog angažmana koji je služba za reviziju obavila, a za koji je glavni revizor već odredio da će narušiti budući revizijski posao, potrebno je obaviti sljedeće postupke:

1. prije početka revizije glavni revizor poslat će pisano priopćenje odboru za reviziju, u kojem navodi i opisuje narušavanje, te navodi mogućnosti za obavljanje posla uz najveći mogući stupanj objektivnosti (na primjer, angažiranje treće strane, ili zahtjev za pomoć od revizora iz partnerskih ili regulatornih tijela)

2. ako odbor za reviziju uputi službu za reviziju da nastavi s revizijskim angažmanom, glavni revizor zabilježit će narušavanje u: • dokumentaciji za planiranje revizijskog angažmana• završnom izvještaju o reviziji.

3. osim toga, glavni revizor mora obznaniti događaj i osigurati potpunu dokumentaciju vanjskim pružateljima usluga osiguranja kvalitete službi za reviziju u sljedećoj kontroli osiguranja kvalitete.

Postupak analize/kontrole za nerevizijske (konzultacijske) projekte. Prilikom prihvaćanja i provođenja savjetovanja, revizori moraju zabilježiti obrazloženje za pružanje konzultacijskih usluga i dokazati svoj sud o tome da usluge ne krše ključne elemente revizijske uloge. Te informacije trebalo bi priopćiti vanjskim ocjenjivačima osiguranja kvalitete. Jedan primjer smjernice za kontrolu naveden je niže u tekstu:

1. Nakon primitka zahtjeva za nerevizijskim (konzultacijskim) uslugama, odjel interne revizije treba razmotriti hoće li pružanje takve usluge dovesti osobno

75

Preporuke za rad

narušavanje u stvarnosti ili naizgled, a koje bi nepovoljno utjecalo ili na objektivnost imenovanog revizora ili na neovisnost odjela u provođenju naknadnih revizija u istome području. Ako se odredi kako angažman predstavlja narušavanje neovisnosti ili objektivnosti, zahtjev treba odbiti. Ako je odbijen, čimbenike i konačan zaključak treba zabilježiti u memorandumu koji je naslovljen na podnositelja zahtjeva za uslugu.

2. Prije provedbe nerevizijskih (konzultacijskih) usluga, odgovorni revizor dokumentirat će sporazum s podnositeljem/podnositeljima zahtjeva da je/su podnositelj/podnositelji zahtjeva odgovorni za rezultat posla, te stoga ima odgovornost da stvarno donese utemeljenu odluku o rezultatima nerevizijskog (konzultacijskog) posla. Odjel za internu reviziju mora sklopiti sporazum s podnositeljem/podnositeljima zahtjeva koji se odnosi na cilj, opseg, i ograničenja za nerevizijske (konzultacijske) usluge.

76


Preporuka za rad 1100-1:Neovisnost i objektivnost



Povezani standard 1100 – Neovisnost i objektivnostInterna revizija mora biti neovisna, a interni revizori moraju biti objektivni u obavljanju svoga posla.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene neovisnosti i objektivnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori neovisni su kada svoj posao mogu obavljati slobodno i objektivno. Neovisnost omogućava internim revizorima da daju nepristrana i objektivna mišljenja koja su potrebna za pravilno provođenje angažmana. To se postiže kroz organizacijski status i objektivnost.

77

Preporuke za rad

Preporuka za rad 1100-1:Organizacijska neovisnost



Povezani standard 1100 – Organizacijska neovisnostGlavni revizor treba podnositi izvještaje onoj razini unutar organizacije koja omogućava djelatnosti interne revizije da ispuni svoje odgovornosti.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene organizacijske neovisnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori moraju imati potporu višeg menadžmenta i odbora kako bi mogli računati na suradnju klijenata gdje se obavlja angažman i obaviti svoj posao bez uplitanja.

2. Glavni revizor odgovara osobi u organizaciji koja ima dovoljne ovlasti za promicanje neovisnosti i osiguranje širokog obuhvata revizije, odgovarajućih uvjeta za komunikaciju u okviru angažmana, i primjereno postupanje po preporukama iz angažmana.

3. Idealno, glavni revizor bi trebao odgovarati odboru u funkcijskom pogledu, a generalnom direktoru organizacije u administrativnom pogledu.

4. Glavnom revizoru mora biti omogućena izravna komunikacija s upravom. Redovita komunikacija s upravom pomaže u osiguranju neovisnosti i osigurava sredstvo, kako upravi tako i glavnom revizoru, kojim jedni drugima prenose informacije o pitanjima od zajedničkog interesa.

5. Izravna komunikacija znači da glavni revizor redovito prisustvuje i sudjeluje na sastancima uprave koji se odnose na njezine odgovornosti za nadzor revizije, financijskog izvještavanja, organizacijskog upravljanja i kontrole. Prisustvovanje i sudjelovanje glavnog revizora na tim sastancima osigurava mogućnost da bude upoznat sa strateškim poslovnim i operativnim razvojem događaja, te da se u ranoj fazi istaknu visokorizična pitanja sustava, postupaka ili kontrole. To je također i

78


prilika za razmjenu informacija o planovima i aktivnostima za internu reviziju. Glavni bi revizor s upravom trebao održati sastanak barem jednom godišnje.

6. Neovisnost je pojačana kada se odbor usuglašava s imenovanjem i sudjelovanjem glavnog revizora.

79

Preporuke za rad

Preporuka za rad 1110.A1-1:Otkrivanje razloga za zahtjeve za informacijama

Tumačenje Standarda 1110.A1 izMeđunarodnih standarda za stručnu


Povezani standard 1110.A1 – Interna revizija mora biti slobodna od uplitanja u odlučivanje o opsegu interne revizije, obavljanje poslova i priopćavanje rezultata.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedlog, ukoliko se od njih zatraži da otkriju razloge za podnošenje zahtjeva za informacijama. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Katkada klijent koji je naručio angažman, ili druge stranke, može zatražiti od internog revizora objašnjenje zbog čega je traženi dokument važan za angažman. Otkrivanje ili neotkrivanje razloga zbog kojega su dokumenti potrebni tijekom angažmana treba odlučiti na temelju okolnosti. Značajne nepravilnosti mogu zahtijevati manje otvorenu okolinu nego što je inače pogodno za suradnju. Međutim, to mišljenje treba donijeti glavni revizor na osnovu posebnih okolnosti.

80


Preporuka za rad 1110-2:Linije izvještavanja

glavnog revizora



Povezani standard 1110 – Organizacijska neovisnost Glavni revizor mora podnositi izvještaje onoj razini unutar organizacije koja omogućava internoj reviziji da ispuni svoje odgovornosti.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom utvrđivanja ili vrednovanja linija izvještavanja i odnosa s dužnosnicima u organizaciji kojima glavni revizor podnosi izvještaj. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Međunarodni standardi za stručnu provedbu interne revizije (Standardi) IIA-e propisuju da glavni revizor podnosi izvještaj onoj razini unutar organizacije koja omogućava internoj reviziji da ispuni svoje odgovornosti. IIA čvrsto vjeruje da u svrhu postizanja potrebne neovisnosti glavni revizor funkcionalno treba podnositi izvještaj odboru za reviziju ili jednakovrijednoj instanci. Zbog administrativnih razloga, u većini slučajeva, glavni revizor treba podnositi izvještaj neposredno generalnom direktoru organizacije. Sljedeći opisi predstavljaju ono što IIA smatra „izvještavanjem prema funkciji“ i „izvještavanjem prema administraciji“ i svrha im je pomoći u usmjeravanju rasprave o ovoj preporuci za rad. • Izvještavanje prema funkciji – linija izvještavanja prema funkciji za internu

reviziju predstavlja krajnji izvor njezine neovisnosti i ovlasti. IIA preporučuje da glavni revizor podnosi izvještaj prema funkciji odboru za reviziju, upravnom odboru, ili drugom upravljačkom tijelu. U tom smislu, izvještavanje prema funkciji znači da upravljačko tijelo treba:

- odobriti cijelu povelju interne revizije- odobriti procjenu rizika interne revizije i povezani plan revizije- primati priopćenja od glavnog revizora o rezultatima interne revizije ili drugim stvarima koje glavni revizor smatra potrebnima, uključujući privatne sastanke s glavnim revizorom bez prisutnosti rukovodstva - odobriti sve odluke koje se odnose na imenovanje na dužnost ili uklanjanje s dužnosti glavnog revizora- odobriti godišnju naknadu i usklađivanje plaće glavnog revizora

81

Preporuke za rad

- odgovarajuće ispitati rukovodstvo i glavnog revizora kako bi se utvrdilo postoje li ograničenja u pogledu opsega ili proračuna koja narušavaju sposobnost interne revizije da izvrši svoje odgovornosti.

• Izvještavanje prema administraciji – izvještavanje prema administraciji predstavlja odnos unutar rukovodeće strukture organizacije koji olakšava svakodnevno poslovanje interne revizije. Izvještavanje prema administraciji obično uključuje:

- planiranje proračuna i financijske izvještaje uprave- upravljanje ljudskim potencijalima, uključujući vrednovanje i kompenzaciju osoblja - unutarnji tijek komunikacija i informacija- provedbu internih politika i postupaka u organizaciji.

2. Ova preporuka naglasak stavlja na okolnosti za utvrđivanje i vrednovanje linija izvještavanja glavnog revizora. Primjerene linije izvještavanja ključne su za postizanje neovisnosti, objektivnosti i organizacijskog uporišta potrebnog za uspješno obavljanje obveza interne revizije. Linije izvještavanja glavnog revizora također su ključne za osiguranje odgovarajućeg toka informacija i pristupa ključnim izvršnim direktorima i rukovoditeljima koji su temelj procjene rizika i izvještavanja o rezultatima revizijskih aktivnosti. Nasuprot tome, svaku linija izvještavanja koja narušava neovisnost i učinkovito funkcioniranje interne revizije glavni revizor mora smatrati ozbiljnim ograničenjem opsega, što je potrebno napomenuti odboru za reviziju ili istovjetnom tijelu.

3. Ova preporuka također prepoznaje da na linije izvještavanja glavnog revizora utjecaj ima i priroda organizacije (javna ili privatna te njezina veličina); uobičajene prakse u svakoj zemlji; sve veća složenost organizacija (zajednički pothvati, multinacionalne korporacije s podružnicama); i trend da interne revizijske skupine pružaju usluge dodane vrijednosti uz sve veću suradnju s klijentima u pogledu prioriteta i opsega. U skladu s time, iako IIA vjeruje da postoji idealna struktura izvještavanja gdje se izvještaji prema funkciji podnose odboru za reviziju, a prema administraciji generalnom direktoru, ostali odnosi mogu biti djelotvorni ako postoji jasno razgraničenje između linija izvještavanja prema funkciji i administraciji i ako u svakoj liniji postoje odgovarajuće aktivnosti koje će osigurati neovisnost i opseg aktivnosti. Od internih se revizora očekuje da koriste stručan sud kako bi odredili u kojoj se mjeri smjernice iz ove preporuke trebaju primjenjivati u određenoj situaciji.

4. Standardi naglašavaju važnost toga da glavni revizor podnosi izvještaj osobi koja ima dovoljne ovlasti za promicanje neovisnosti i koja može osigurati širok opseg revizije. Standardi su namjerno ponešto općeniti u pogledu izvještavanja zbog toga jer su sastavljeni tako da se mogu primjenjivati u svim organizacijama, bez obzira na njihovu veličinu i druge čimbenike. Čimbenici koji „jedno pravilo za sve“ čine nedostižnim uključuju veličinu i vrstu organizacije (privatna, državna, poslovna). U

82


skladu s time, glavni revizor u obzir treba uzeti sljedeće značajke prilikom ocjene primjerenosti linije izvještavanja prema administraciji. • Ima li osoba dovoljne ovlasti i status za osiguranje učinkovitosti posla? • Ima li osoba odgovarajuću stav u pogledu kontrole i korporativnog upravljanja da pomogne glavnom revizoru u njihovoj ulozi?• Ima li osoba vremena i interesa pružiti aktivnu podršku glavnom revizoru u pitanjima revizije? • Razumije li osoba izvještavanje prema funkciji i podržava li ga?

5. Glavni revizor također mora osigurati održanje primjerene neovisnosti, ukoliko je

osoba odgovorna za liniju izvještavanja prema administraciji također odgovorna za ostale aktivnosti u organizaciji koje podliježu internoj reviziji. Na primjer, neki glavni revizori izvještavaju prema administraciji glavnog financijskog rukovoditelja, koji je također odgovoran za računovodstvene zadaće u organizaciji. Interna revizija mora biti slobodna u obavljanju revizije i podnošenju izvještaja o bilo kojoj aktivnosti koja također podnosi izvještaj njezinom administrativnom čelniku, ako takav obuhvat smatra primjerenim za svoj plan revizije. Svako ograničenje u opsegu izvještavanja o rezultatima tih aktivnosti treba napomenuti odboru za reviziju.

6. U sklopu nedavnog pokreta za strožim zakonodavnim i regulatornim uvjetima u pogledu financijskog izvještavanja u svijetu, linije izvještavanja glavnog revizora trebaju omogućiti internoj reviziji da ispuni povećane potrebe odbora za reviziju ili drugih važnih zainteresiranih strana. U sve većem broju slučajeva od glavnog se revizora traži da preuzme značajniju ulogu u upravljanju organizacijom i aktivnostima upravljanja rizikom. Linije izvještavanja glavnog revizora trebaju olakšati sposobnost interne revizije da ispuni ta očekivanja.

7. Bez obzira kakav oblik izvještavanja odabere organizacija, nekoliko ključnih radnji može pomoći da linije izvještavanja pružaju potporu i omoguće učinkovitost i neovisnost interne revizije: • izvještavanje prema funkciji:

- linija izvještavanja prema funkciji mora ići direktno odboru za reviziju ili istovjetnom tijelu kako bi se osigurala odgovarajuća razina neovisnosti i komunikacije- glavni revizor mora se privatno sastati s odborom za reviziju ili istovjetnim tijelom, bez prisutnosti rukovodstva, kako bi potvrdio neovisnost i prirodu svog izvještavanja- odbor za reviziju mora imati definitivnu ovlast za kontroliranje i odobravanje godišnjeg plana revizije i svih većih izmjena plana- u svakom trenutku glavni revizor mora imati slobodan i izravan pristup predsjedniku odbora za reviziju i njegovim članovima ili predsjedniku uprave ili cijeloj upravi, prema potrebi- barem jednom godišnje odbor za reviziju treba prekontrolirati radni učinak glavnog revizora i odobriti godišnju naknadu i usklađenje plaće

83

Preporuke za rad

- povelja o internoj reviziji treba jasno formulirati linije izvještavanja prema funkciji i administraciji za djelatnost, kao i glavne aktivnosti usmjerene ka vrhu svake linije.

• izvještavanje prema administraciji: - linija izvještavanja prema administraciji glavnog revizora mora ići

generalnom direktoru ili drugom direktoru koji ima dovoljno ovlasti da mu omogući odgovarajuću podršku za postizanje svakodnevnih aktivnosti. Takva potpora mora uključivati i pozicioniranje funkcije i glavnog revizora u strukturi organizacije na takav način da je profesiji osiguran odgovarajući status unutar organizacije. Podnošenje izvještaja preniskoj instanci u organizaciji može negativno utjecati na status i učinkovitost interne revizije.

- linija izvještavanja prema administraciji ne smije imati konačnu ovlast za opseg ili izvještavanje o rezultatima interne revizije

- linija izvještavanja prema administraciji treba olakšati otvorenu i neposrednu komunikaciju s direktorom i resornim rukovodstvom; glavnom revizoru mora biti omogućena neposredna komunikacija s bilo kojom razinom rukovodstva, uključujući i generalnog direktora

- linija izvještavanja prema administraciji treba omogućiti adekvatnu komunikaciju i tijek informacija tako da glavni revizor i interna revizija imaju adekvatne i pravovremene informacije u aktivnostima, planovima i poslovnim inicijativama organizacije

- proračunske kontrole i uvjeti koje nameće linija izvještavanja prema administraciji ne smiju narušavati sposobnost interne revizije da ispuni svoju misiju.

8. Glavni revizori također trebaju razmotriti svoj odnos s ostalim kontrolnim i službama za praćenje (upravljanje rizikom, usklađenost, sigurnost, pravo, etika, zaštita okoliša, vanjska revizija) i olakšati izvještavanje odboru za reviziju o materijalnom riziku i pitanjima kontrole.

84


Preporuka za rad 1120-1:Individualna objektivnost



Povezani standard 1120 – Individualna objektivnostInterni revizori moraju biti nepristrani i objektivni te izbjegavati sukobe interesa.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom ocjene individualne objektivnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Objektivnost je neovisan stav koji interni revizori trebaju zadržati prilikom obavljanja angažmana. Interni revizori ne smiju podređivati svoje mišljenje u pitanjima revizije mišljenjima drugih.

2. Objektivnost zahtijeva od internih revizora da angažman provode iskreno vjerujući u produkt svojega rada i da se ne čine značajniji ustupci u kvaliteti. Interni revizori ne smiju biti dovedeni u situacije u kojima nisu u mogućnosti donijeti objektivno stručno mišljenje.

3. Zadaće osoblja trebaju biti raspoređene tako da se izbjegnu mogući i stvarni sukobi interesa i pristranost. Glavni revizor povremeno treba od internih revizora pribaviti informacije o mogućim sukobima interesa i pristranosti. Zadaće internih revizora treba povremeno rotirati, kada god je to izvedivo.

4. Rezultate interne revizije treba prekontrolirati prije nego što pripadajuća priopćenja budu objavljena kako bi se osiguralo da je posao obavljen objektivno.

5. Nije etično da interni revizor prihvaća naknadu, dar ili zabavu od zaposlenika, klijenta, naručitelja, dobavljača ili poslovnog suradnika. Prihvaćanje naknade, dara ili zabave može stvoriti dojam da je narušena objektivnost revizora. Dojam narušene objektivnosti može se odnositi na sadašnje ili buduće angažmane revizora. Status angažmana ne smije se smatrati opravdanjem za primanje naknada, darova ili zabave. Prihvaćanje promotivnih predmeta (kao što su olovke, kalendari ili uzorci) koji su dostupni zaposlenicima i široj javnosti, a koji imaju minimalnu vrijednost, ne

85

Preporuke za rad

bi trebali ometati stručno mišljenje internih revizora. Interni revizori trebaju odmah obavijestiti svoje nadređene o ponudi svake materijalne naknade ili darova.

6. Interna revizija treba usvojiti politiku koja se bavi obvezom povođenja radnji kojom se izbjegavaju sukobi interesa i otkrivaju sve aktivnosti koje bi za rezultat mogle imati sukob interesa.

86


Preporuka za rad 1130-1:Narušavanje neovisnosti ili objektivnosti



Povezani standard 1130 – Narušavanje neovisnosti ili objektivnosti Ako dođe do narušavanja neovisnosti ili objektivnosti u stvarnosti ili naizgled, o detaljima narušavanja treba obavijestiti odgovarajuće stranke. Priroda objave ovisi o narušavanju.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom ocjene narušavanja neovisnosti ili objektivnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori moraju glavnom revizoru prijaviti svaku situaciju u kojoj postoji sukob interesa ili pristranost ili se o njima može donijeti opravdan zaključak. Glavni bi revizor trebao prerasporediti takve revizore.

2. Ograničenje opsega je ograničenje koje se nameće internoj reviziji i koje sprječava internu reviziju da ostvari svoje ciljeve i planove. Među ostalim, ograničenje opsega može ograničiti: • opseg koji je definiran u povelji• pristup interne revizije evidencijama, osoblju i materijalnoj imovini koja je važna za obavljanje angažmana • odobren plan rada za angažman • obavljanje potrebnih postupaka u okviru angažmana • odobren plan popunjavanja kadrovima i financijski proračun.

3. Ograničenje opsega s mogućim učinkom treba prijaviti upravi, po mogućnosti u pisanom obliku.

4. Glavni revizor treba razmotriti je li primjereno obavijestiti upravu o ograničenju opsega o kojima je već prethodno obavijestio upravu i koje je ista prihvatila. To može biti prijeko potrebno pogotovo ukoliko je došlo do promjena u organizaciji, odboru ili višem menadžmentu, ili drugih promjena.

87

Preporuke za rad

Preporuka za rad 1130.A1-1:Ocjenjivanje poslova za koje su interni revizori

prethodno bili odgovorni



Povezani standard 1130.A1 – Interni revizori moraju se suzdržati od ocjenjivanja posebnih poslova za koje su prethodno bili nadležni. Pretpostavlja se da je objektivnost narušena ako revizor pruža usluge provjere za djelatnost za koju je revizor bio nadležan tijekom prethodne godine.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u situaciji kada je revizor dobio zadatak ocijeniti posao za koji je prethodno bio odgovoran. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori ne smiju preuzimati operativne odgovornosti. Ako viši menadžment uputi interne revizore da obavljaju posao koji nije revizija, smatra se da oni ne djeluju kao interni revizori. Nadalje, pretpostavlja se da je objektivnost narušena kada interni revizori obavljaju bilo kakvu kontrolu bilo koje aktivnosti za koju su bili ovlašteni ili odgovorni unutar protekle godine. Narušavanje treba uzeti u obzir prilikom priopćavanja rezultata revizije. • Ako se interne revizore uputi da obavljaju dužnosti koje nisu revizija, glavni revizor

mora obavijestiti viši menadžment i odbor da takva radnja nije revizijska radnja provjere, pa se stoga ne smiju davati zaključci vezani uz reviziju.

• Osim toga, kada se operativne odgovornosti dodijele internoj reviziji, posebnu pozornost treba obratiti na osiguranje objektivnosti kada se nakon toga prihvati angažman provjere u povezanom području poslovanja. Smatra se da je objektivnost narušena kada interni revizori kontroliraju bilo koju aktivnost za koju su bili ovlašteni ili odgovorni unutar prethodne godine. Te činjenice treba jasno dati do znanja prilikom priopćavanja rezultata revizije koja je povezana s područjem u kojem je revizor imao operativnu odgovornost.

2. U svakom trenutku u kojem dodijeljeni zadaci uključuju pretpostavku operativne ovlasti, smatra se da je revizorska objektivnost narušena u pogledu predmetne radnje.

88


3. Osobe koje interna revizija premjesti ili privremeno angažirane osobe ne smiju se raspodijeliti na revizije onih aktivnosti koje su prethodno obavljali sve dok ne prođe odgovarajući vremenski rok (barem jedna godina). Pretpostavlja se da takvi zadatci narušavaju objektivnost, a svaki drugi element mora se uzeti u obzir prilikom nadzora angažmana ili priopćavanja rezultata angažmana.

4. Objektivnost internog revizora nije pod negativnim utjecajem ako revizor preporuči standarde kontrole za sustave ili postupke kontrole prije nego što isti budu provedeni. Smatra se da je objektivnost revizora narušena ako revizor kreira, ugradi ili izradi postupke ili ako upravlja takvim sustavima.

5. Ako interni revizor povremeno obavlja nerevizijske poslove, uz potpuno objavljivanje prilikom izvještavanja, to neće nužno narušiti objektivnost. Međutim, zahtijeva temeljito razmatranje rukovodstva i internog revizora u svrhu izbjegavanja negativnih utjecaja na objektivnost internog revizora.

89

Preporuke za rad

Preporuka za rad 1130.A1-2:Odgovornost interne revizije

za ostale (nerevizijske) funkcije



Povezani standard 1130.A1 – Interni revizori moraju se suzdržati od ocjenjivanja posebnih poslova za koje su prethodno bili nadležni. Pretpostavlja se da je objektivnost narušena ako revizor pruža usluge provjere za djelatnost za koju je revizor bio nadležan tijekom prethodne godine.

Priroda ove preporuke za rad: ova se smjernica preporučuje internim revizorima kada su suočeni s mogućnošću prihvaćanja odgovornosti za nerevizijske operativne funkcije ili dužnosti. Prihvaćanje takvih odgovornosti može narušiti neovisnost i objektivnost te je, ako je moguće, treba izbjegavati. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja procjene takvih odgovornosti ili zadaća.

1. Neki interni revizori raspoređeni su na ili su prihvatili nerevizijske dužnosti zbog različitih poslovnih razloga koji imaju smisla za rukovodstvo organizacije. Od internih se revizora sve češće traži preuzimanje uloga i odgovornosti koje mogu narušiti neovisnost ili objektivnost. S obzirom na sve veće zahtjeve organizacija, javnih i privatnih, da razviju učinkovitije i djelotvornije poslovanje i da to obave uz manje sredstava, neke službe interne revizije rukovodstvo u njihovim organizacijama upućuje da preuzmu odgovornost za poslove koji podliježu povremenim provjerama interne revizije.

2. Kada je interna revizija ili pojedini interni revizor odgovoran ili rukovodstvo razmatra raspoređivanje na posao koji bi mogli kontrolirati, može doći do narušavanja neovisnosti i objektivnosti internog revizora. Interni bi revizor u obzir trebao uzeti sljedeće čimbenike prilikom ocjenjivanja utjecaja na neovisnost i objektivnost: • zahtjeve Etičkog kodeksa IIA-e i Međunarodnih standarda za stručnu provedbu interne revizije(Standardi)• očekivanja zainteresiranih strana koje mogu biti dioničari, uprava, odbor za

reviziju, rukovodstvo, zakonodavna tijela, javni subjekti, regulatorna tijela i javne interesne skupine

• dopuštenja i/ili ograničenja koja su sadržana u povelji interne revizije • objave koje se zahtijevaju u Standardima

90


• naknadnu provjeru revizije onih aktivnosti ili odgovornosti koje je prihvatio interni revizor.

3. Interni revizori u obzir trebaju uzeti sljedeće čimbenike za određivanje primjerenog djelovanja kada im se ponudi prilika za prihvaćanje odgovornosti nerevizijskog posla:

A. Etički kodeks IIA-e i Standardi zahtijevaju da interna revizija bude neovisna i da interni revizori budu objektivni prilikom obavljanja svog posla • ukoliko je moguće, interni bi revizori trebali izbjegavati prihvaćanje

odgovornosti za nerevizijske poslove ili zadaće koje podliježu povremenim ocjenama interne revizije; ukoliko to nije moguće, tada:

• narušavanje neovisnosti i objektivnosti mora biti objavljeno odgovarajućim strankama, a priroda objave ovisi o narušavanju

• smatra se da je objektivnost narušena ako revizor pruža usluge provjere za aktivnost za koju je revizor bio odgovoran unutar prethodne godine

• ako rukovodstvo uputi interne revizore da obavljaju nerevizijski posao, tada se smatra da oni ne djeluju kao interni revizori.

B. Očekivanja zainteresiranih strana, uključujući regulatorne ili zakonske zahtjeve, treba procijeniti i ocijeniti s obzirom na potencijalno narušavanje.

C. Ako povelja o internoj reviziji sadrži posebna ograničenja ili ograničavajuće formulacije u pogledu rasporeda internog revizora na nerevizijske poslove, tada takva ograničenja treba objaviti i o njima raspraviti s rukovodstvom. Ako rukovodstvo ustraje na takvom zadatku, revizor treba obznaniti i raspraviti o toj stvari s odborom za reviziju ili odgovarajućim upravljačkim tijelom. Ako povelja ne spominje takvo pitanje, treba uzeti u obzir smjernice navedene niže u tekstu. Sve točke koje slijede podređene su povelji.

D. Procjena – rezultate procjene treba raspraviti s rukovodstvom, odborom za reviziju, i/ili ostalim odgovarajućim zainteresiranim stranama. Potrebno je donijeti odluku u pogledu brojnih pitanja, a neka od kojih utječu jedno na drugo: • treba procijeniti važnost operativne funkcije organizaciji (u smislu prihoda,

izdataka, ugleda i utjecaja) • treba procijeniti duljinu trajanja zadatka i opseg odgovornosti • treba procijeniti prikladnost razdvajanja dužnosti• prilikom izvještavanja o rezultatima revizije u obzir treba uzeti moguće

narušavanje objektivnosti ili neovisnosti ili pojavu takvog narušavanja.

E. Revizija funkcije i objave – s obzirom na to da interna revizija ima operativne odgovornosti i da je poslovanje dio plana revizije, postoji nekoliko pristupa koje revizor može uzeti u obzir:

91

Preporuke za rad

• reviziju može obaviti treća stranka s kojom je potpisan ugovor, vanjski revizori ili služba za internu reviziju; u prve dvije situacije narušavanje objektivnosti svedeno je na najmanju moguću mjeru angažiranjem revizora izvan organizacije, dok bi u potonjem slučaju objektivnost bila narušena

• pojedini revizori koji imaju operativne odgovornosti ne bi smjeli sudjelovati u reviziji; ako je moguće, revizore koji provode procjenjivanje treba nadzirati i njima treba podnijeti izvještaj o rezultatima procjene, onima čija neovisnost ili objektivnost nije narušena

• objavljivanje treba obuhvatiti operativne odgovornosti revizora za funkciju, važnost operacije za organizaciju (u smislu prihoda, izdataka ili drugih važnih informacija) te odnos između onoga koji je kontrolirao funkciju i revizora

• objava operativnih odgovornosti revizora treba biti navedena u pripadajućem revizijskom izvještaju i uobičajenim priopćenjima koja revizor podnosi odboru za reviziju ili drugom upravljačkom tijelu.

92


Preporuka za rad 1200-1:Stručnost i dužna profesionalna pozornost



Povezani standard 1200 – Stručnost i dužna profesionalna pozornostAngažmane treba provoditi stručno i uz dužnu profesionalnu pozornost.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge kada obavljaju angažmane. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Stručno znanje predstavlja odgovornost glavnog revizora i svakog pojedinog internog revizora. Glavni revizor dužan je osigurati da osobe raspoređene na pojedini zadatak kolektivno posjeduju potrebno znanje, vještine i ostale kompetencije za ispravno obavljanje angažmana.

2. Interni revizori moraju postupati u skladu s profesionalnim standardima postupanja. Etički kodeks IIA-e proteže se izvan definicije interne revizije i obuhvaća dva ključna elementa: • načela koja su važna za struku i provođenje interne revizije: integritet, objektivnost, povjerljivost i stručnost• pravila postupanja koja opisuju standarde ponašanja kakvo se očekuje od internih revizora; ta pravila pomažu da se načela prenesu u praktičnu primjenu i namjena im je pružiti smjernice za etičko postupanje internih revizora.

93

Preporuke za rad

Preporuka za rad 1210-1:Stručnost



Povezani standard 1210 – Stručnost Interni revizori moraju posjedovati znanje, vještine i ostale kompetencije potrebne za obavljanje individualnih odgovornosti. Interna revizija kolektivno mora posjedovati ili pribaviti znanje, vještine i ostale kompetencije potrebne za obavljanje svoje odgovornosti .

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene stručnosti obavljaju angažmane. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Svaki interni revizor treba posjedovati određeno znanje, vještine i ostale kompetencije: • Za obavljanje angažmana potrebna je stručnost u primjeni standarda interne

revizije, postupaka i tehnika. Stručnost znači sposobnost primjene znanja u vjerojatnim situacijama i rješavanje istih, bez pribjegavanja opsežnom tehničkom istraživanju i pomoći.

• Od revizora koji mnogo rade s financijskim podacima i izvještajima zahtijeva se stručnost u računovodstvenim načelima i tehnikama.

• U svrhu prepoznavanja i procjene važnosti odstupanja od dobre poslovne prakse potrebno je razumijevanje načela upravljanja. Razumijevanje znači sposobnost primjene sveobuhvatna znanja u vjerojatnim situacijama, prepoznavanje značajnih odstupanja i sposobnost provođenja istraživanja koje je potrebno da se dođe do primjerenih rješenja.

• Potrebno je poznavanje osnovnih tema kao što su računovodstvo, ekonomija, komercijalno pravo, oporezivanje, financije, kvantitativne metode i informacijska tehnologija. Razumijevanje znači sposobnost prepoznavanja problema ili mogućih problema, te određivanje daljnjeg istraživanja koje treba provesti ili pomoći koju treba angažirati.

2. Interni revizori moraju imati razvijene vještine ponašanja s ljudima i učinkovite

komunikacije. Interni revizori moraju dobro razumjeti međuljudske odnose i održavati zadovoljavajuće veze s klijentima koji ih angažiraju.

94


3. Interni revizori moraju biti vješti u pisanoj i usmenoj komunikaciji kako bi jasno i učinkovito mogli prenijeti stvari koje se odnose na angažman kao što su ciljevi, procjene, zaključci i preporuke.

4. Glavni revizor treba utvrditi primjerene kriterije u pogledu obrazovanja i iskustva za popunjavanje radnih mjesta u internoj reviziji, uzimajući u obzir opseg posla i stupanj odgovornosti. Potrebno je pribaviti odgovarajuću potvrdu o kvalifikaciji i stručnosti od svakog potencijalnog revizora.

5. Interna revizija kolektivno mora posjedovati znanje i vještine koje su prijeko potrebne za provođenje djelatnosti unutar organizacije. Potrebno je provoditi godišnju analizu znanja i vještina u odjelu za reviziju kako bi se utvrdila područja koja zahtijevaju nadogradnju kroz kontinuirani profesionalni razvoj, zapošljavanje ili model suradnje s klijentom.

6. Kontinuirani profesionalni razvoj potreban je za osiguranje stručnosti revizijskog osoblja. (Vidi Preporuku za rad 1230-1 za pojedinosti koje se odnose na kontinuirani profesionalni razvoj.)

7. Glavni revizor treba zatražiti pomoć od vanjskih stručnjaka izvan interne revizije, u svrhu osiguranja podrške ili dopune područja u kojima djelatnost nije potpuno stručna. (Vidi Preporuku za rad 1210.A1-1 za pojedinosti koje se odnose na angažiranje usluga za potporu ili dopunu internoj reviziji.)

95

Preporuke za rad

Preporuka za rad 1210.A1-1:Angažiranje usluga za potporu

ili dopunu internoj reviziji



Povezani standard 1210.A1 – Glavni revizor treba pribaviti kompetentan savjet i pomoć ako osoblju interne revizije nedostaju znanje, vještine ili druge kompetencije potrebne za obavljanje cijelog ili dijela angažmana.

Priroda ove preporuke za rad: Interni revizori u obzir trebaju uzeti sljedeće prijedloge kada razmatraju angažiranje dodatnih usluga za potporu internoj reviziji. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interna revizija mora imati zaposlenike ili koristiti vanjske pružatelje usluga koji su kvalificirani u disciplinama poput računovodstva, revizije, ekonomije, financija, statistike, informatičke tehnologije, inženjerstva, oporezivanja, prava, zaštite okoliša i ostalim područjima koja su potrebna da bi se ispunile odgovornosti interne revizije. Međutim, svaki djelatnik u internoj reviziji ne mora biti kvalificiran u svim disciplinama.

2. Vanjski pružatelj usluga je osoba ili poduzeće, neovisna/neovisno od organizacije, koja/koje posjeduje posebno znanje, vještinu i iskustvo u određenoj disciplini. Vanjski pružatelji usluga uključuju, među ostalima, aktuare, računovođe, procjenitelje, specijaliste za ekologiju, istražitelje prijevara, odvjetnike, inženjere, geologe, specijaliste za sigurnost, statističare, specijaliste za informacijsku tehnologiju, vanjske revizore organizacije i ostale revizorske organizacije. Vanjskog pružatelja usluga mogu angažirati odbor, viši menadžment ili glavni revizor.

3. Interna revizija može koristiti vanjske pružatelje usluga, među ostalim, u vezi sa: • revizijskim aktivnostima koje zahtijevaju specijalizirane vještine i znanja kao

što su informacijska tehnologija, statistika, porezi, jezični prijevodi ili u svrhu obavljanja angažmana u planiranom roku

• procjenjivanjem imovine kao što su zemljište ili zgrade, umjetnička djela, drago kamenje, investicije i složeni financijski instrumenti

• određivanjem količina ili fizičkog stanja određene imovine kao što su mineralne ili naftne rezerve

96


• mjerenjem dovršenih radova i radova u tijeku koji trebaju biti dovršeni temeljem ugovora

• istraživanjem prijevara i sigurnosti • određivanjem iznosa korištenjem specijaliziranih metoda kao što je aktuarsko

određivanje obveza za doprinose za zaposlenike • tumačenjem pravnih, tehničkih i regulatornih zahtjeva • procjenom programa za unaprjeđenje interne revizije u skladu s Odjeljkom 1300

Međunarodnih standarda za stručnu provedbu interne revizije(Standardi)• spajanjem i preuzimanjem • konzultacijama o upravljanju rizikom i drugim stvarima.

4. Kada glavni revizor namjerava koristiti i osloniti se na rad vanjskog pružatelja usluga, glavni revizor mora ocijeniti kompetentnost, neovisnost i objektivnost vanjskog pružatelja usluga s obzirom na povezanost s određenim zadatkom koji treba obaviti. Ovo je ocjenjivanje također potrebno kada vanjskog pružatelja usluga odabere viši menadžment ili odbor, a glavni revizor namjerava koristiti ili se osloniti na rezultate posla vanjskog pružatelja usluga. Kada odabir vrše drugi, a glavni revizor ocijeni da neće koristiti ili se oslanjati na posao vanjskog pružatelja usluga, rezultate ocjene treba priopćiti višem menadžmentu ili odboru, prema potrebi.

5. Glavni revizor treba utvrditi posjeduje li vanjski pružatelj usluga potrebno znanje, vještine i ostale kompetencije za obavljanje angažmana. Prilikom ocjenjivanja kompetencija, glavni revizor u obzir mora uzeti: • dokaz o kvalifikaciji, dozvolu ili drugu potvrdu kompetencije vanjskog pružatelja

usluga u određenoj disciplini • članstvo vanjskog pružatelja usluga u odgovarajućim stručnim organizacijama i

poštivanje etičkog kodeksa predmetne organizacije • ugled vanjskog pružatelja usluga, što može uključivati kontaktiranje s drugima

koji su upoznati s radom vanjskog pružatelja usluga• iskustvo vanjskog pružatelja usluga u vrsti posla koji mu se namjerava dodijeliti • obrazovanje, stručno usavršavanje i osposobljavanje koje je prošao vanjski

pružatelj usluga u disciplinama koje se odnose na određeni angažman • znanje i iskustvo vanjskog pružatelja usluga u djelatnosti u kojoj organizacija

posluje.

6. Glavni revizor mora ocijeniti odnos vanjskog pružatelja usluga s organizacijom i internom revizijom kako bi osigurao neovisnost i objektivnost tijekom cijelog angažmana. U davanju ocjene glavni revizor mora utvrditi da ne postoje financijski, organizacijski ili osobni odnosi koji bi spriječili vanjskog pružatelja usluga da donese nepristrane i objektivne sudove i mišljenja u obavljanju ili izvještavanju o angažmanu.

97

Preporuke za rad

7. Prilikom ocjenjivanja neovisnosti i objektivnosti vanjskog pružatelja usluga, glavni revizor u obzir mora uzeti: • financijski interes koji vanjski pružatelj usluga može imati u organizaciji • osobnu ili profesionalnu povezanost pružatelja s odborom, višim menadžmentom

ili ostalima u organizaciji• odnos koji je pružatelj možda imao s organizacijom ili aktivnostima koje se

kontroliraju• opseg drugih usluga koje su u tijeku i koje pružatelj osigurava organizaciji• naknadu ili druge poticaje koje možda prima pružatelj.

8. Ako je vanjski pružatelj usluga ujedno vanjski revizor organizacije, a priroda angažmana su proširene usluge revizije, glavni revizor mora utvrditi da obavljeni posao ne narušava neovisnost vanjskog revizora. Proširene revizijske usluge odnose se na one usluge izvan zahtjeva revizijskih standarda koje načelno prihvaćaju vanjski revizori. Ako se vanjski revizori organizacije ponašaju ili izgledaju kao da se ponašaju kao članovi višeg menadžmenta, tada je njihova neovisnost narušena. Nadalje, vanjski revizori organizaciji mogu pružati i druge usluge, kao što su porezne ili konzultacijske usluge. Međutim, neovisnost treba procjenjivati u odnosu na puni raspon usluga koje se pružaju organizaciji.

9. Glavni revizor mora pribaviti dovoljno informacija o opsegu posla vanjskog pružatelja usluga. To je potrebno kako bi se potvrdilo da je opseg posla prikladan za potrebe interne revizije. Bilo bi korisno da se ta i slična pitanja zabilježe u pismu o preuzimanju obveze ili ugovoru. Glavni revizor s vanjskim pružateljem usluga treba provjeriti: • ciljeve i opseg posla • određena pitanja za koja se očekuje da će biti obuhvaćena priopćenjima u sklopu

angažmana • pristup potrebnim evidencijama, osoblju i materijalnoj imovini • informacije o pretpostavkama i postupcima koje treba koristiti • prema potrebi, vlasništvo i čuvanje radnih spisa o angažmanu • povjerljivost i ograničenja u pogledu informacija koje su prikupljene tijekom

angažmana• prema potrebi, u pismu o preuzimanju obveze treba navesti da je potrebno

pridržavati se Standarda IIA-e i standarda odjela za internu reviziju koji se odnose na radnu praksu.

10. Kada internu reviziju provodi vanjski pružatelj usluga, glavni revizor mora odrediti

i osigurati da se posao izvodi u skladu sa Standardima i standardima odjela za internu reviziju koji se odnose na radnu praksu. Prilikom kontrole posla vanjskog pružatelja usluga, glavni revizor treba ocijeniti adekvatnost obavljena posla. Takva ocjena uključuje dostatnost prikupljenih informacija koje daju razumnu osnovu za donošenje zaključaka i rješavanje značajnih iznimaka ili drugih neobičnih stvari.

98


11. Kada glavni revizor preda priopćenja o angažmanu, a korištene su usluge vanjskog pružatelja, glavni revizor može, prema potrebi, navesti takve pružene usluge. Vanjski pružatelj usluga o tome treba biti obaviješten i, prema potrebi, dati suglasnost prije nego se takav navod uvrsti u priopćenje o angažmanu.

99

Preporuke za rad

Preporuka za rad 1210.A2-1:Odgovornosti revizora u pogledu procjene

rizika od prijevare, sprječavanja i otkrivanja



Povezani standard 1210.A2 – Interni revizor mora posjedovati dovoljno znanja da identificira pokazatelje prijevare, ali se ne očekuje da posjeduje stručnost osobe čija je primarna odgovornost otkrivanje i istraživanje prijevara.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u vezi prijevare. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni, nego daju preporučenu minimalnu razinu znanja o prijevari i radnjama koje treba poduzeti. Razina osposobljenosti i iskustva koju traži odjel za internu reviziju i osobe unutar odjela razlikovat će se ovisno o njihovim utvrđenim ulogama, kao i o konzultacijskim i profesionalnim uslugama koje od glavnog revizora očekuje rukovodstvo i uprava. Stoga, viši stupanj uključenosti zahtijeva veću stručnost.

Ovu preporuku za rad treba tumačiti zajedno s preporukom 1210.A2-2, Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanja

Što je prijevara?

Prijevara obuhvaća raspon nepravilnosti i nezakonitih radnji koje karakterizira namjerno obmanjivanje ili lažno prikazivanje za koje osoba zna da su lažne ili ne vjeruje da su istinite. U ovoj preporuci za rad i u preporuci 1210.A2-2, smjernice mogu spominjati određene radnje kao „prijevaru“, a koje su zakonski i/ili uobičajeno definirane kao korupcija. Prijevaru čini osoba koja je svjesna da će rezultat biti neka neovlaštena korist toj osobi, organizaciji, ili drugoj osobi, a mogu je počiniti osobe izvan ili unutar organizacije.

1. Prijevara na štetu organizacije u načelu se provodi zbog izravne ili neizravne koristi zaposlenika, osobe izvana ili druge organizacije. Neki primjeri su: • prihvaćanje mita ili darova• skretanje na zaposlenika ili osobu izvana potencijalno unosne transakcije koja bi

inače generirala profit za organizaciju • prijevara, koju uobičajeno predstavlja nezakonito prisvajanje novca ili imovine

i falsificiranje financijskih podataka u svrhu prikrivanja tog čina te na taj način otežava otkrivanje

100


• namjerno prikrivanje ili lažno prikazivanje događaja, transakcija ili podataka • potraživanje naknada za usluge ili robu koje nisu stvarno pružene organizaciji • namjerno nepoduzimanje radnji u situacijama gdje poduzeće ili zakon zahtijevaju

poduzimanje• neovlašteno ili bespravno korištenje povjerljivih ili zaštićenih informacija • neovlašteno ili bespravno rukovanje informacijskim mrežama ili operativnim

sustavima • krađa.

2. Prijevara osmišljena u korist organizacije u načelu rezultira u takvoj koristi kroz iskorištavanje nepravične ili nepoštene prednosti koja može zavarati stranku izvana. Počinitelji takvih djela obično stječu neizravnu osobnu korist, na primjer isplatu menadžerskog bonusa ili promaknuće. Primjeri prijevare u korist organizacije uključuju: • nepravilna plaćanja, kao što su nezakonite kontribucije političkim strankama,

mita, darovi, potplaćivanje državnih dužnosnika, posrednika državnih dužnosnika, klijenata ili dobavljača

• namjerno i nepropisno prikazivanje ili vrednovanje transakcija, imovine, obveza i prihoda, između ostalog

• namjerno i nepropisno određivanje prijenosa cijena (npr. određivanje vrijednosti roba koje razmjenjuju povezane organizacije). Kroz namjerno nepravilno strukturiranje tehnika određivanja cijena, rukovodstvo može poboljšati rezultate svog poslovanja na štetu druge organizacije

• namjerne i nepropisne radnje povezane stranke gdje jedna stranka stječe korist koju nije moguće steći u nepristranoj transakciji

• namjeran propust da se točno ili u potpunosti zabilježi ili otkrije važna informacija koja može dati bolju sliku organizacije vanjskim strankama

• prodaja ili prijenos fiktivne ili lažno prikazane imovine • namjerno nepoduzimanje radnji u situacijama gdje poduzeće ili zakon zahtijevaju

poduzimanje• zabranjene poslovne radnje, kao one kojima se krše državni zakoni, pravila,

propisi ili ugovori.

Osim navedenoga, postoje različiti načini klasifikacije ili kategorizacije prijevara. Revizor može htjeti istražiti informacije koje su objavile stručna računovodstvena ili društva i udruge za istraživanje prijevara kako bi utvrdili koja je metoda klasifikacije najprimjerenija za njihovu organizaciju.

Zašto dolazi do prijevara?

U načelu, tri čimbenika utječu na počinjenje prijevare. To su prilika, motiv i racionalizacija.

101

Preporuke za rad

1. Prilika

• Postupak može biti kreiran pravilno za uobičajene uvjete. Međutim, može se pojaviti prilika da nešto krene po zlu ili da se stvore okolnosti za neuspješnu kontrolu.

• Prilika za prijevaru može nastati zbog loše osmišljene kontrole ili nedostatka kontrolnih mehanizama. Na primjer, može biti ustrojen sustav koji izgleda kao da štiti imovinu, ali u kojemu, međutim, nedostaju važni kontrolni mehanizmi. Svatko tko je upoznat s takvom prazninom može uzeti što želi bez mnogo napora.

• Osobe na položajima s ovlastima mogu stvoriti prilike za poništavanje postojećih kontrola budući da im podređeni ili slabi kontrolni mehanizmi omogućavaju zaobilaženje pravila.

2. Motiv (također se naziva poticaj ili pritisak)

• Ljudi mogu racionalizirati o svojim postupcima, ali mora postojati motiv koji ih potiče na određeno ponašanje.

• Moć je sjajan poticatelj. Moć može biti običan rast ugleda u očima obitelji ili suradnika. Na primjer, mnoge računalne prijevare počinjene su da bi haker pokazao kako ima moć to učiniti, a ne zbog namjernog nanošenja štete.

• Drugi poticatelj je zadovoljenje želja, kao što su pohlepa ili ovisnost. • Treći poticatelj je pritisak, bilo da se radi o fizičkom stresu ili pritisku trećih

strana izvana.

3. Racionalizacija

• Najveći broj osoba sebe smatra dobrim ljudima, čak i ako katkada učine nešto loše. Kako bi sami sebe uvjerili da su i dalje dobri ljudi, takve osobe mogu smatrati da imaju pravo na ukradeni predmet, ili - ako i direktori krše pravila, onda je to prihvatljivo i za druge.

• Neki će ljudi počiniti stvari koje organizacija smatra neprihvatljivim ponašanjem, ali su u njihovom okruženju uobičajene ili ih je prijašnji poslodavac prihvaćao. Kao rezultat toga, takve osobe ne poštuju pravila koja njima nemaju smisla.

• Neke osobe mogu biti suočene s novčanim problemima, možda imaju skupu ovisnost ili su suočeni s drugom vrstom pritiska. Kao posljedica toga, oni racionaliziraju da samo posuđuju novac i da će ga vratiti jednom kada im se život poboljša. Ostali možda smatraju da krađa iz poduzeća nije loša pa na taj način depersonaliziraju tu radnju.

Iako revizori možda ne mogu saznati pravi motiv ili racionalizaciju koja je dovela do prijevare, od njih se očekuje da su dovoljno upoznati s internom kontrolom da mogu utvrditi prilike za prijevaru. Revizori također moraju razumjeti planove i scenarije za prijevaru, te biti svjesni znakova koji upućuju na prijevaru i kako ih spriječiti. Informacije koje su na

102


raspolaganju od IIA-e i ostalih stručnih udruženja ili organizacija treba preispitati kako bi se osiguralo da je znanje revizora aktualno.

Procjena rizika prijevare i kršenja dužnosti

Sve organizacije izložene su određenoj razini prijevare u svakom postupku gdje se zahtijeva ljudsko djelovanje. Stupanj do kojega je organizacija izložena riziku povezan je s rizicima prijevare koji su svojstveni poslu, opsegom učinkovitih internih kontrola za otkrivanje ili sprječavanje prijevare, te poštenjem i integritetom onih koji sudjeluju u tom procesu.

Rizik prijevare predstavlja vjerojatnost da će se dogoditi prijevara ili potencijalnu ozbiljnost ili posljedice za organizaciju kada do nje dođe. Vjerojatnost za prijevaru obično se temelji na tome koliko je lako počiniti prijevaru, motivacijskim čimbenicima koji dovode do prijevare, i povijesti društva s obzirom na prijevare. Upravljanje pojavom prijevara uključuje ograničavanje ili uklanjanje posljedica, što obuhvaća više od samog ograničavanja ili uklanjanja financijskog gubitka. Na primjer, za neke organizacije gubitak ugleda može imati značajan utjecaj na sposobnost privlačenja i zadržavanja kvalificiranog osoblja ili kupaca njihovih proizvoda, kao i dobivanje prostora i dozvola potrebnih za razvoj i održivost posla.

U svrhu procjene rizika od prijevare, interni revizori trebaju koristiti model za upravljanje rizikom poduzeća, ako ga organizacija ima. U suprotnome, revizori mogu koristiti ove smjernice:

1. Upoznati se s određenim planovima prijevara koje bi mogle ugroziti organizaciju. Koristiti mapu modela rizika i procijeniti osjetljivost organizacije, a koji uključuje sve rizike imanentne organizaciji. Također, model rizika trebao bi koristiti dosljedne kategorije (odnosno, ne bi smjelo biti preklapanja područja rizika) i mora biti dovoljno detaljan da omogući procjenu rizika da se utvrde i obuhvate predviđena visokorizična područja.

2. Okvir Upravljanja rizikom poduzeća Odbora sponzorskih organizacija (COSO) povjerenstva Treadway daje koristan model koji uključuje sljedeća poglavlja: • Određivanje događaja, kao što je iznošenje ideja, razgovori, fokusne skupine,

upitnici, istraživanje gospodarske grane i popisivanje događaja.• Procjene rizika koje uključuju vjerojatnosti i posljedice. • Strategije odgovora na rizik, kao što je postupanje, prijenos, toleriranje ili prekid

rizika. • Kontrolne aktivnosti, kao što je povezivanje rizika s postojećim programima za

suzbijanje prijevara i kontrolne aktivnosti te vrednovanje njihove učinkovitosti. • Praćenje, uključujući planove i programe revizije koji razmatraju preostale

prijevare i rizik zbog kršenja dužnosti.

103

Preporuke za rad

3. Prilikom procjene kontrola za sprječavanje ili smanjenje rizika od prijevara za organizaciju, potrebno je napraviti analizu troškova i koristi. U procjeni u obzir treba uzeti može li prijevaru počiniti pojedinac ili je potrebno dogovaranje. U praksi, 100 postotno sprječavanje prijevara nije moguće, a nije ni isplativo. U obzir treba uzeti i negativan utjecaj neopravdane sumnje u zaposlenike ili davanje dojma nepovjerenja u zaposlenike.

Elementi prevencije ili sprječavanja prijevara

Prevencija prijevare uključuje radnje koje obeshrabruju počinjenje prijevare i ograničavaju izloženost prijevari kada do nje dođe. Glavni mehanizam za sprječavanje prijevara je interna kontrola. Glavna odgovornost za utvrđivanje i održavanje interne kontrole treba počivati na upravi.

Slijede neki od kontrolnih elemenata programa za prevenciju prijevara koji je ogledno predstavljen unutar kontrolnog okvira COSO-a. Svaki element predstavlja valjan parametar, bez obzira na to koji kontrolni okvir koristi revizor.

1. Kontrolno okruženje. Kompanije moraju utemeljiti primjereno kontrolno okruženje koje uključuje: • pravila postupanja, politiku etike ili politiku protiv prijevara koja određuju

odgovarajući ton na samom vrhu • programe besplatnih telefonskih linija za etička pitanja i zviždače gdje mogu

prijaviti sumnje • smjernice i praksu za zapošljavanje i promaknuća • nadzor odbora za reviziju, uprave ili drugog nadzornog tijela • istraživanje prijavljenih problema i popravne mjere za potvrđena kršenja.

2. Procjena rizika od prijevare. Organizacije moraju utvrditi i procijeniti rizike od prijevara, uključujući procjenu potencijalnog netočnog financijskog izvještavanja, nezakonita prisvajanja imovine, nepravilnih računa i troškova ili financijsko kršenje dužnosti rukovodstva i ostalih. Poduzeća također trebaju procijeniti postoji li adekvatno razdvajanje dužnosti.

3. Kontrolne aktivnosti. Poduzeća moraju uspostaviti i provoditi učinkovitu kontrolu, uključujući radnje koje poduzima rukovodstvo za utvrđivanje, sprječavanje i ublažavanje lažnog financijskog izvještavanja ili zlouporaba imovine organizacije, te sprječavanje rukovodstva da zaobilazi kontrole. Osim toga, poduzeća trebaju uspostaviti postupak potvrđivanja ili certifikacije u svrhu potvrđivanja da je zaposlenik pročitao i razumio korporativnu politiku i da je se pridržava.

104


4. Informiranje i priopćavanje. Poduzeća moraju uspostaviti djelotvornu praksu informiranja i priopćavanja o prijevarama, uključujući dokumentiranje i distribuciju politika, smjernica i rezultata, prilike za raspravu o etičkim dvojbama, komunikacijske kanale, izobrazbu osoblja i razmatranje utjecaja i korištenja tehnologije za sprječavanje prijevara, kao što je trajno korištenje softvera za praćenje.

5. Praćenje. Organizacije trebaju provoditi trajno i povremeno ocjenjivanje radnog učinka te utvrditi utjecaj i korisnost računalne tehnologije za sprječavanje prijevara.

Uloga internog revizora

Interni revizori odgovorni su za pomaganje poduzećima u sprječavanju prijevara putem ispitivanja i procjene adekvatnosti i učinkovitosti njihovih internih sustava kontrole, proporcionalno opsegu potencijalne izloženosti unutar organizacije. Prilikom ispunjavanja svojih odgovornosti, interni revizori u obzir trebaju uzeti sljedeće elemente:

1. kontrolno okruženje - procjena aspekata kontrolnog okruženja, provođenje proaktivnih revizija i istraga protiv prijevara, priopćavanje rezultata revizija prijevara i osiguranje podrške nastojanjima za otklanjanje. U nekim slučajevima interni revizori mogu uspostaviti telefonsku liniju za zviždače.

2. procjena rizika od prijevare - ocjena procjene rizika od prijevare rukovodstva, osobito njihovih postupaka za identifikaciju, ocjenu i ispitivanje potencijalnih planova i scenarija za prijevaru ili kršenje dužnosti, uključujući one koji bi mogli uključivati dobavljače, izvođače i ostale stranke.

3. kontrolne aktivnosti - procjena ustroja i učinkovitosti kontrola rizika; osigurati da planovi i programi revizije nude rješenje za preostali rizik i uključuju revizije prijevara; ocijeniti konstrukciju prostorija iz perspektive prijevare ili krađe; pregled predloženih promjena zakona, propisa ili sustava i njihov utjecaj na kontrolu.

4. informiranje i priopćavanje - ocijeniti učinkovitost sustava za informiranje i priopćavanje i postupaka te osigurati podršku inicijativama za izobrazbu o prijevarama.

5. praćenje - ocijeniti aktivnosti praćenja i pripadajući računalni softver; provođenje istraga; podrška nadzoru odbora za reviziju koji se odnosi na kontrolu i pitanja prijevara; podrška razvoju pokazatelja prijevare; zapošljavanje i osposobljavanje zaposlenika u svrhu stjecanja odgovarajućeg iskustva za reviziju prijevara ili istragu.

105

Preporuke za rad

Otkrivanje prijevara

Rukovodstvo i interna revizija imaju različite uloge u pogledu otkrivanja prijevara. Slijedi opis svake od njih.

Uloga rukovodstva u otkrivanju prijevara

Rukovodstvo je odgovorno za utvrđivanje i održavanje učinkovitog sustava kontrole uz razuman trošak. To uključuje kreiranje nekih kontrola koje će pokazati kada ostale kontrole ne funkcioniraju ispravno. Postupanje po tim pokazateljima može rezultirati u utvrđivanju moguće prijevare.

Jedan primjer kontrole praćenja je uspostava i komunikacija putem telefonske linije ili sličnog sustava koji mogu koristiti klijenti ili zaposlenici za podnošenje pritužaba ili izražavanje zabrinutosti. Ostale kontrole za praćenje i otkrivanje uključuju:

• ugrađivanje alarmnih sustava na vrata i prozore prostora • ugrađivanje nadzornih kamera• instaliranje provjera uređivanja u informacijske sustave • popisivanje inventara• reviziju• kontroliranje i odobravanje faktura i rashodi troškovnog centra • sravnjenje računa.

Uloga internog revizora u otkrivanju prijevara

U stupnju u kojem prijevara može biti prisutna u radnjama koje su obuhvaćene uobičajenom revizijom, interni revizori odgovorni su za postupanje s dužnom profesionalnom pozornošću kako je definirano u Standardu 1220 Međunarodnih standarda za stručnu provedbu interne revizije u pogledu otkrivanja prijevara.

Međutim, od većine internih revizora ne očekuje se da posjeduju znanje istovjetno kao i osoba čija je glavna odgovornost otkrivanje i istraživanje prijevara. Također, sam postupak revizije, čak i kada je proveden s dužnom stručnom pozornošću, ne jamči da će prijevara biti otkrivena.

Dobro kreiran sustav interne kontrole ne smije pogodovati prijevari. Ispitivanja koja provode revizori poboljšavaju vjerojatnost da će bilo koji postojeći pokazatelji prijevare biti otkriveni i da će se po njima provesti daljnja istraga. Prilikom provođenja angažmana, odgovornosti internog revizora za otkrivanje prijevara su sljedeće:

• Prilikom ocjene ustroja kontrola treba uzeti u obzir procjenu rizika od prijevare i odrediti koje je korake u reviziji potrebno poduzeti. Od internih revizora ne očekuje se da otkriju prijevare i nepravilnosti, ali se od internih revizora očekuje dobivanje

106


opravdane potvrde o tome da su poslovni ciljevi za postupak koji se kontrolira postignuti, te da se otkriju nedostaci u materijalnoj kontroli – bilo zbog obične greške ili namjerno.

• Trebaju posjedovati dovoljno znanja o prijevari da mogu identificirati opasnosti koje upućuju na to da je možda počinjena prijevara. To znanje uključuje karakteristike prijevare, tehnike koje se koriste za počinjenje prijevare, i različite planove i scenarije za prijevare koji su povezani s aktivnostima pod kontrolom.

• Moraju biti na oprezu u pogledu prilika koje omogućuju prijevaru kao što su slabosti u kontroli. Ako se otkriju značajne slabosti u kontroli, dodatna ispitivanja revizori trebaju usmjeriti u identifikaciju ostalih pokazatelja prijevare. Neki primjeri pokazatelja su neovlaštene transakcije, iznenadna odstupanja u opsegu ili vrijednosti transakcija, zaobilaženje kontrola, neobjašnjene iznimke u cijenama, i neobično veliki gubici proizvoda. Interni revizori trebaju prepoznati da prisutnost više od jednog pokazatelja u bilo kojem trenutku povećava vjerojatnost da je počinjena prijevara.

• Ocjenjivanje pokazatelja prijevare i donošenje odluke o tome jesu li potrebne daljnje radnje ili treba preporučiti istragu.

• Obavijestiti nadležna tijela unutar organizacije ako je donesena odluka da je počinjena prijevara i preporučiti istragu.

107

Preporuke za rad

Preporuka za rad 1210.A2-2:Odgovornosti revizora u pogledu istraživanja prijevare,

izvještavanja, rješavanja i priopćavanja



Povezani standard 1210.A2 – Interni revizor mora posjedovati dovoljno znanja da odredi pokazatelje prijevare, ali se ne očekuje da posjeduje stručnost osobe čija je primarna odgovornost otkrivanje i istraživanje prijevara.

Priroda ove preporuke za rad: Interni revizori u obzir trebaju uzeti sljedeće prijedloge u vezi prijevare. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni. Umjesto toga, preporučuje minimalnu razinu znanja o prijevari i nekim radnjama koje se mogu poduzeti. Razina osposobljenosti i iskustva koju traži odjel za internu reviziju i osobe unutar odjela razlikovat će se ovisno o njihovim utvrđenim ulogama, kao i o konzultacijskim i profesionalnim uslugama koje od glavnog revizora očekuju rukovodstvo i uprava. Viši stupanj uključenosti zahtijeva veću stručnost.

Ovu preporuku za rad treba tumačiti zajedno s preporukom 1210.A2-1, Odgovornosti revizora u pogledu rizika od prijevare, procjene, sprječavanja i otkrivanja

Istraživanje prijevare

Ovaj dio preporuke za rad ne odnosi se na aktivnost koja je poznata pod nazivom „revizija za otkrivanje prijevare“, a koja je definirana kao „revizija kreirana tako da proaktivno otkrije pokazatelje prijevare u onim postupcima ili transakcijama u kojima analiza upućuje na značajan rizik od prijevare“. Ova smjernica odnosi se na istrage koje se pokreću kada se unutar organizacije javi zabrinutost zbog propusta u kontroli ili sumnje u prijestup. Sumnje mogu biti rezultat službenog žalbenog postupka, neslužbenih dojava ili revizije, uključujući revizije koje su namijenjene ispitivanju prijevara.

Istraga prijevare sastoji se od prikupljanja dovoljno informacija o određenim detaljima i provođenju onih postupaka koji su neophodni za određivanje je li došlo do prijevare, gubitka ili izloženosti koji se povezuju s prijevarom, tko je bio umiješan i plana prijevare (kako se dogodila). Važan rezultat istrage je oslobađanje sumnji nedužnih osoba .

108


Istrage moraju biti organizirane tako da otkriju cijelu prirodu i opseg prijevare, a ne samo događaj temeljem kojega je počela istraga. Istraga uključuje pripremu radnih papira/podnošenja dokumenata za sudski postupak.

Interni revizori, odvjetnici, istražitelji, osoblje zaduženo za sigurnost i ostali stručnjaci unutar ili izvan organizacije stranke su koje obično provode istrage ili sudjeluju u istragama o prijevari.

Istrage i povezane radnje za rješavanje moraju biti vođene pozorno i u skladu s lokalnim zakonima. Zakoni mogu upućivati na to kako i gdje se provode istrage, disciplinski i postupci sanacije i priopćenja. U najboljem je interesu revizora, profesionalno i pravno, učinkovita suradnja s pravnim zastupnikom organizacije i upoznavanje s mjerodavnim zakonima. Ovdje dane smjernice namijenjene su međunarodnim korisnicima i zato su po prirodi općenite.

Uloga rukovodstva

Rukovodstvo je odgovorno za izradu kontrola istražnih postupaka, uključujući razvoj politika i postupaka za učinkovite istrage i standarde za postupanje s rezultatima istraga, izvještavanje i priopćavanje. Takvi standardi često su zabilježeni u politici za suzbijanje prijevara, a u izradu politike može biti uključena interna revizija.

Takve politike i postupci moraju u obzir uzeti prava uključenih pojedinaca, kvalifikacije osoba ovlaštenih za provođenje istrage i mjerodavne zakone zemalja i lokalnih vlasti gdje su prijevare počinjene ili gdje se istražuju. Politike trebaju u obzir uzeti opseg u kojem će rukovodstvo disciplinirati zaposlenike, dobavljače ili klijente, uključujući zakonske mjere za povrat gubitaka i građanski ili kazneni postupak. Važno je da rukovodstvo jasno odredi ovlasti i odgovornosti različitih uloga u sklopu istrage, posebno odnos između istražitelja i pravnog zastupnika. Također je važno da rukovodstvo odredi i pridržava se postupaka koji na najmanju mjeru svode interno priopćavanje o istrazi u tijeku, posebno u početnoj fazi.

Politika treba detaljno odrediti ulogu koju će istražitelj imati u donošenju odluke da je počinjena prijevara. Rukovodstvo mora razmotriti hoće li istražitelj ili rukovodstvo donijeti zaključak o prijevari ili će poduzeće činjenice uputiti na zaključak vanjskim tijelima. Mišljenje o tome da je počinjena prijevara u nekim pravosudnim sustavima mogu donijeti samo policijska ili sudbena tijela. Istraga može samo dovesti do zaključka da je prekršena politika poduzeća.

Uloga interne revizije

Ulogu interne revizije u istražnim radnjama treba definirati u povelji o internoj reviziji, kao i u politici za sprječavanje prijevara. Na primjer, interna revizija može imati primarnu

109

Preporuke za rad

odgovornost za istraživanje prijevara, može djelovati kao izvor za istrage ili se mora suzdržati od sudjelovanja u istragama (budući da je odgovorna za ocjenu učinkovitosti istrage). Svaka je od ovih uloga prihvatljiva sve dok se prepoznaje i primjereno rješava utjecaj tih radnji na neovisnost interne revizije.

Kako bi se zadržala stručnost, ekipe za istragu prijevara moraju steći dovoljno znanja o planovima za prijevaru, istražnim tehnikama i zakonima. Postoje nacionalni i internacionalni programi za izobrazbu i certificiranje istražitelja i forenzičkih stručnjaka.

Ako je interna revizija odgovorna za osiguranje provođenja istrage, ona može provoditi istragu s osobljem zaposlenim u organizaciji, može angažirati vanjskog izvršitelja ili kombinacijom obiju mogućnosti. U nekim slučajevima interna revizija također može kao pomoć koristiti zaposlenike u organizaciji koji nisu revizori.

Često je važno okupiti istražni tim bez odgađanja. Ako organizacija treba vanjske stručnjake, glavni revizor treba razmotriti prethodnu kvalifikaciju pružatelja usluga kako bi vanjski resursi bili brzo na raspolaganju.

U poduzećima gdje glavna odgovornost za istražne radnje nije dodijeljena internoj reviziji, od internih se revizora može zatražiti pomoć u prikupljanju informacija i davanju preporuka za poboljšanje internih kontrola.

Uloga istražitelja (bilo da je dodijeljena internoj reviziji ili vanjskim izvršiteljima)

Plan istrage mora biti sastavljen za svaku istragu, u skladu s istražnim protokolima organizacije. Glavni istražitelj mora odrediti potrebno znanje, vještine i ostale kompetencije za učinkovito provođenje istrage, te u tim imenovati odgovarajuće ljude. Ovaj postupak treba uključivati potvrdu da nema potencijalnog sukoba interesa u odnosu na one koji su obuhvaćeni istragom ili bilo kojeg zaposlenika u organizaciji.

Plan u obzir treba uzeti metode za: • prikupljanje dokaza, kao što su nadzor, intervjui ili pisane izjave • evidentiranje dokaza, u skladu sa zakonskim pravilima o dokazima i poslovnom

korištenju dokaza• određivanje opsega prijevare • utvrđenje plana (tehnike korištene za počinjenje prijevare) • procjenu uzroka • identificiranje počinitelja.

U bilo kojoj fazi ovog postupka istražitelj može zaključiti da pritužba ili sumnja nisu opravdane te zaključiti slučaj.

110


Prema potrebi, radnje treba koordinirati s rukovodstvom, pravnim zastupnikom i ostalim stručnjacima, kao na primjer rukovodstvom za upravljanje kadrovima i upravljanje osiguranjem od rizika tijekom cijele istrage.

Istražitelji moraju posjedovati znanje i biti upoznati s pravima osoba koje su obuhvaćene istragom te ugledom same organizacije.

Treba ocijeniti razinu i opseg suučesništva u prijevari u organizaciji. Takva ocjena može biti ključna kako bi se osiguralo da glavni dokazi ne budu uništeni ili narušeni, te da bi se izbjegle obmanjujuće informacije od osoba koje su možda umiješane.

Izvještavanje o prijevarama

Izvještavanje o prijevarama sastoji se od različitih usmenih ili pisanih, privremenih ili konačnih priopćenja koja su upućena višem menadžmentu i/ili upravnom odboru u pogledu statusa i rezultata istraga o prijevarama. Izvještaji mogu biti preliminarni i podnositi se tijekom istrage. Nakon svakog usmenog informiranja rukovodstva ili upravnog odbora može se podnijeti pisani izvještaj kako bi se evidentirali nalazi.

Odjeljak 2400 Međunarodnih standarda za stručnu provedbu interne revizije daje informacije koje se primjenjuju na priopćavanje o angažmanu. Slijede dodatne smjernice o internom izvještavanju o prijevarama:

• Nacrt prijedloga konačnih priopćenja o prijevari treba predati pravnom zastupniku na kontrolu. U slučajevima kada organizacija ima mogućnost pozvati se na pravo korisnika i to iskoristi, izvještaj mora biti upućen pravnom zastupniku.

• Kada se s utemeljenom sigurnošću utvrde incidenti značajne prijevare ili narušavanja povjerenja, viši menadžment i upravni odbor odmah moraju biti obaviješteni.

• Rezultati istrage o prijevari mogu upućivati na to da je prijevara mogla imati prethodno neotkriven štetan utjecaj na financijski položaj organizacije i njezine poslovne rezultate za jednu ili više godina za koju(e) su već izdani financijski izvještaji. Viši menadžment i upravni odbor moraju biti obaviješteni o takvom otkriću.

• Na kraju istražne faze treba podnijeti pisani izvještaj o ostalim formalnim priopćenjima. Njime treba biti obuhvaćen temelj za pokretanje istrage, rokovi, zapažanja, zaključci, rezolucije i poduzete korektivne radnje (ili preporuke) za ispravljanje kontrola. Ovisno o tome kako je riješena istraga, izvještaj mora biti sastavljen tako da osigura tajnost uključenim osobama. Sadržaj takvog izvještaja je osjetljiv i isti mora ispunjavati zahtjeve upravnog odbora i rukovodstva, a istovremeno mora biti u skladu sa zakonskim odredbama i ograničenjima te politikama i postupcima poduzeća.

111

Preporuke za rad

Rješavanje prijevara

Rukovodstvo, a ne interni revizor ili istražitelj, odgovorno je za rješavanje incidenata prijevara. Rješavanje se sastoji od odlučivanja koje će radnje poduzeti organizacija nakon što je u potpunosti istražen plan prijevare i počinitelj(i) i nakon što se preispitaju dokazi.

Interni revizori trebaju ocijeniti činjenice istraga i savjetovati rukovodstvo u pogledu ispravljanja slabosti u kontroli koje su dovele do prijevare. Revizori moraju kreirati dodatne korake u redovitim programima revizije ili razviti programe „revizije za otkrivanje prijevara“ kako bi pomogli u otkrivanju sličnih prijevara u budućnosti.

Politike i postupci rukovodstva za suzbijanje prijevara (spomenuti ranije u Preporukama za rad) trebaju definirati tko ima ovlasti i odgovornosti za pojedini postupak. Interni revizori mogu biti uključeni kao savjetnici u sljedećim postupcima, sve dok se prepoznaje i primjereno postupa u pogledu utjecaja tih aktivnosti na neovisnost interne revizije. Rješavanje može uključivati sve ili nešto od sljedećeg:

• osigurati zaključenje osobama koje su u početku bile pod sumnjom, ali za koje se utvrdilo da su nedužne

• osigurati zaključenje onima koji su prijavili sumnju• izreći disciplinske mjere zaposleniku u skladu sa standardima poduzeća, propisima

o radnom odnosu ili ugovoru u radu• zahtijevanje dobrovoljne odštete od zaposlenika, klijenta ili dobavljača• raskid ugovora s dobavljačima• prijavljivanje incidenta policiji, regulatornim tijelima ili sličnim tijelima te suradnja

u njihovoj istrazi• pokretanje građanske parnice ili sličnog sudskog postupka • potraživanje iz osiguranja• podnošenje pritužbe stručnoj udruzi koje je počinitelj član.

Osim savjetovanja klijenata, interni revizori mogu se uključiti u: • praćenje istražnog postupka kako bi osigurali da se organizacija pridržava

mjerodavnih politika, postupaka, zakona i propisa (kada interna revizija nije zadužena za provođenje istrage)

• lociranje i/ili osiguranje nezakonito stečene ili povezane imovine • podrška pravnim radnjama organizacije, osiguranja ili drugim radnjama za povrat • procjena i praćenje unutarnjih i vanjskih izvještaja organizacije nakon istrage i

planove i postupke priopćavanja • praćenje provedbe preporučenih poboljšanja u kontroli u svrhu osiguranja

pravovremenosti, djelotvornosti i učinkovitosti

112


Priopćenja

Kako bi se ograničio rizik od neovlaštene distribucije neprimjerenih i/ili netočnih informacija, interni revizor može dati savjet rukovodstvu o ustroju komunikacijske strategije i taktičkog plana čim je ranije moguće u istrazi.

Osim prije navedenog izvještavanja o prijevarama, postoje dvije vrste priopćenja koje mogu dovesti do pokretanja istrage: javna neplanirana priopćenja i planirana interna priopćenja.

Najbolje je da svaki komentar koji rukovodstvo iznese tisku, policiji i ostalim vanjskim subjektima koordinira pravni zastupnik. Komentare treba davati samo ovlašteni glasnogovornik.

Interna priopćenja predstavljaju strateški instrument koji rukovodstvo koristi da bi ojačalo svoj položaj u pogledu integriteta, dokazalo da poduzima odgovarajuće radnje u slučaju kršenja politike poduzeća te da bi pokazalo zbog čega su važne interne kontrole. Takva priopćenja mogu biti u obliku članka u biltenu, memoranduma rukovodstva ili se situacija u organizaciji može iskoristiti kao primjer u sklopu programa izobrazbe o poštenju. Takva se priopćenja u načelu šalju interno nakon što je slučaj riješen i ne otkrivaju imena počinitelja ili druge detalje istrage koji nisu nužni da bi se prenijela poruka ili koji bi bili suprotni zakonu.

Istraga i rezultati istrage mogu dovesti do značajnog stresa i moralnih problema koji mogu poremetiti organizaciju, posebno kada prijevara izađe u javnost. Rukovodstvo može isplanirati interaktivne sastanke i/ili strategije za jačanje timskog duha za ovakve situacije.

Stvaranje mišljenja o sustavu interne kontrole za sprječavanje prijevara

Rukovodstvo ili upravni odbor od internog revizora može zatražiti mišljenje o sustavu interne kontrole za sprječavanje prijevara u organizaciji. Revizori mogu koristiti različite preporuke za rad iz serije 2410 ili druge instrumente za pomoć IIA-e, kao što su Praktične smjernice za internu reviziju za davanje mišljenja o internim kontrolama, kako bi utvrdili jesu li u dovoljnoj mjeri razmotrili sve povezane informacije prije nego što daju mišljenje.

113

Preporuke za rad

Preporuka za rad 1220-1:Dužna profesionalna pozornost



Povezani standard 12202 – Dužna profesionalna pozornostInterni revizori moraju postupati s pozornošću i vještinom koja se očekuje od razborita i stručnog internog revizora. Dužna stručna pozornost ne podrazumijeva nepogrješivost.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene dužne profesionalne pozornosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Dužna profesionalna pozornost zahtijeva zornost i vještinu razborita i stručnog internog revizora u istim ili sličnim okolnostima. Dakle, profesionalna pozornost mora biti primjerena složenosti angažmana. Prilikom postupanja s dužnom profesionalnom pozornošću, interni revizori moraju obratiti pozornost na namjerno protupravno postupanje, greške i propuste, neučinkovitost, uništavanje, nedjelotvornost i sukobe interesa. Također moraju obratiti pozornost na one uvjete i radnje koje su najizglednije za pojavu prijevare. Osim toga, trebaju utvrditi neadekvatne kontrole i preporučiti poboljšanja u svrhu unaprjeđenja poštivanja prihvatljivih postupaka i prakse.

2. Dužna pozornost podrazumijeva odgovarajuću brigu i stručnost, ne nepogrešivost ili izvanredan učinak. Dužna pozornost zahtijeva od revizora provođenje ispitivanja i provjere u razumnom opsegu, ali ne zahtijeva detaljne kontrole svih transakcija. U skladu s tim, interni revizori ne mogu dati potpunu potvrdu da ne postoje neusklađenosti ili nepravilnosti. No, ipak, mogućnost značajnih nepravilnosti ili neusklađenosti treba uzeti u obzir kada interni revizor provodi internu reviziju.

114


Preporuka za rad 1220-2:Računalno podržane revizijske tehnike (CAAT alati)



Povezani standard 1220.A2 – Dužna profesionalna pozornost U postupanju s dužnom profesionalnom pozornošću interni revizor mora razmotriti korištenje računalno podržanih revizijskih alata i ostalih tehnika za analizu podataka.

Ova preporuka za rad usvojena je iz Smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA) – Korištenje računalno podržanih tehnika revizije (CAAT alata), dokument G3. Ovu smjernicu za reviziju informacijskih sustava (IS) objavila je ISACA u prosincu 1998. godine. ISACA je dala odobrenje i pristanak za korištenje i usvajanje ovog dokumenta. U slučaju kada se ova preporuka za rad na bilo koji način razlikuje od smjernica/postupka koje propisuje ISACA, ISACA ne jamči točnost niti potvrđuje takve promjene.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom revizije kontrola informacijskih sustava. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja revizije IS-a, nego preporučuju osnovni skup odgovornosti revizora višeg stupnja kao nadopunu detaljnim planovima. Sukladnost s preporukama za rad je po izboru.

1. Potreba za smjernicama

Računalno podržane revizijske tehnike (CAAT alati) predstavljaju važno oruđe za revizora prilikom revizije. CAAT alati uključuju mnoge vrste oruđa i tehnika, kao što su općeniti revizijski softver, uslužni softver, testni podaci, aplikacijski softver za praćenje i preslikavanje i stručni sustavi za reviziju. CAAT alati mogu se koristiti za obavljanje različitih revizijskih postupaka, uključujući:

• ispitivanje detalja transakcija i bilance • analitičku kontrolu• ispitivanje sukladnosti općih kontrola IS-a • ispitivanje sukladnosti aplikacijskih kontrola IS-a • ispitivanje dostupnosti.

115

Preporuke za rad

CAAT alati mogu generirati velik dio revizijskih dokaza na temelju revizija, a kao rezultat revizor mora pomno planirati i postupati s dužnom stručnom pozornošću prilikom korištenja CAAT alata.

2. Planiranje

Čimbenici koji utječu na odluku o korištenju CAAT alata

Prilikom planiranja revizije, revizor mora razmotriti odgovarajuću kombinaciju manualnih tehnika i CAAT alata. Prilikom odlučivanja o korištenju CAAT alata, u obzir treba uzeti ove čimbenike:

• poznavanje računala, stručnost i iskustvo revizora• raspoloživost prikladnih CAAT alata i uređaja IS-a • učinkovitost i djelotvornost korištenja CAAT alata u usporedbi s manualnim

tehnikama• vremenska ograničenja• integritet informatičkih sustava i IT okruženja • razinu rizika revizije.

Planiranje korištenja CAAT alata

Glavni koraci koje revizor mora poduzeti u pripremi za primjenu odabranih CAAT alata su:

• određivanje ciljeva revizije korištenja CAAT alata • utvrđivanje dostupnosti i raspoloživosti IS-a u organizaciji, programa/sustava i

podataka• definiranje postupaka koje treba poduzeti (npr. statističko uzorkovanje, ponovni

obračun, potvrđivanje, itd.)• definiranje zahtjeva u pogledu rezultata • određivanje izvora, odnosno osoblja, CAAT alata, okruženja za obradu (uređaja IS-a

u organizaciji ili uređaji IS-a revizije)• dobivanje pristupa IS-a u organizaciji, programima/sustavima i podacima, uključujući

definicije datoteka• zabilježiti koji će se CAAT alati koristiti, uključujući ciljeve, dijagrame toka visoke

razine i upute za korištenje.

Dogovori s klijentom

Podatkovne datoteke, kao što su detaljne datoteke o transakcijama, često se čuvaju kratko vrijeme; stoga revizor treba dogovoriti čuvanje podataka koji obuhvaćaju odgovarajući vremenski okvir za reviziju. Pristup IS-a, programima/sustavima i podacima u organizaciji treba dogovoriti dosta prije potrebnog vremena kako bi se na najmanju mjeru sveo utjecaj na proizvodno okruženje u organizaciji. Revizor treba procijeniti utjecaj koji promjene

116


proizvodnih programa/sustava mogu imati na korištenje CAAT alata. Pritom revizor treba u obzir uzeti utjecaj tih promjena na integritet i korisnost CAAT alata, kao i integritet programa/sustava i podataka koje koristi revizor.

Ispitivanje CAAT alata

Revizor mora pribaviti odgovarajuću potvrdu o integritetu, pouzdanosti, korisnosti i sigurnosti CAAT alata putem primjernog planiranja, kreiranja, ispitivanja i kontrole dokumentacije. To treba obaviti prije nego se planira korištenje CAAT alata. Priroda, vrijeme i opseg ispitivanja ovise o komercijalnoj dostupnosti i stabilnosti CAAT alata.

Sigurnost podataka i CAAT alata

Kada se CAAT alati koriste za izvlačenje informacija za analizu podataka, revizor mora potvrditi integritet informatičkog sustava i IT okruženja iz kojeg se podaci dobivaju. CAAT alati mogu se koristiti za izvlačenje osjetljivih programskih/sistemskih informacija i proizvodnih podataka koje treba čuvati kao povjerljive. Revizor treba čuvati programske/sistemske informacije i proizvodne podatke uz odgovarajući stupanj povjerljivosti i zaštite. Pritom revizor u obzir treba uzeti stupanj povjerljivosti i zaštite koji zahtijeva organizacija koja posjeduje podatke i sve mjerodavne zakone. Revizor treba koristiti i evidentirati rezultate određenih postupaka kako bi osigurao stalan integritet, pouzdanost, korisnost i sigurnost CAAT alata. Na primjer, to uključuje kontrolu održavanja programa i kontrole promjene programa integriranog softvera za reviziju kako bi se utvrdilo da su u CAAT alatima rađene samo ovlaštene izmjene. Kada se CAAT alati nalaze u okruženju koje nije pod kontrolom revizora, na snazi mora biti odgovarajući stupanj kontrole kako bi se utvrdile promjene u CAAT alatima. Kada su CAAT alati izmijenjeni, revizor mora dobiti potvrdu o njihovu integritetu, pouzdanosti, korisnosti i sigurnosti kroz odgovarajuće planiranje, oblikovanje, ispitivanje i kontrolu dokumentacije prije nego se planira korištenje CAAT alata.

3. Obavljanje revizije

Prikupljanje revizijskih dokaza

Revizor mora kontrolirati korištenje CAAT alata kako bi se uvjerio da su ispunjeni ciljevi revizije i detaljne specifikacije CAAT alata. Revizor mora:

• prema potrebi, uskladiti kontrolne sume • prekontrolirati ispravnost rezultata • prekontrolirati logiku, parametre ili druge značajke CAAT alata • prekontrolirati opće kontrole IS-a u organizaciji koje mogu doprinijeti integritetu

CAAT alata (npr. kontrole promjene programa i pristupa sustavu, programske i/ili podatkovne datoteke).

117

Preporuke za rad

Opći revizijski softverski alati

Prilikom korištenja općih revizijskih softverskih alata za pristup proizvodnim podacima, revizor mora poduzeti primjerene korake u svrhu zaštite integriteta podataka organizacije. Uz integrirani revizijski softver, revizor mora sudjelovati u kreiranju sustava, a moraju se razviti i održavati tehnike unutar organizacijskih aplikacijskih programa/sustava.

Uslužni softver

Kada koristi uslužni softver, revizor mora potvrditi da tijekom obrade nije došlo do neplaniranih intervencija te da je uslužni softver nabavljen iz odgovarajuće sistemske biblioteke. Revizor također mora poduzeti odgovarajuće korake da bi zaštitio integritet sustava organizacije i datoteka budući da ti uslužni programi lako mogu oštetiti sustav i datoteke u njemu.

Testni podaci

Prilikom korištenja ispitnih podataka, revizor mora biti svjestan da ispitni podaci samo upućuju na moguću pogrešnu obradu; tom se tehnikom ne procjenjuju stvarni proizvodni podaci. Revizor također mora biti svjestan da analiza ispitnih podataka može biti vrlo složena i vremenski zahtjevna, ovisno o broju obrađenih transakcija, broju ispitanih programa i složenosti programa/sustava. Prije korištenja ispitnih podataka revizor mora potvrditi da ispitni podaci neće trajno utjecati na sustave u funkciji.

Slijeđenje i preslikavanje pomoću aplikacijskog softvera

Prilikom slijeđenja i preslikavanja pomoću aplikacijskog softvera revizor mora potvrditi da je ciljni program koji se trenutačno koristi u proizvodnji generiran koristeći izvorni kod koji se vrednuje. Revizor mora biti svjestan da slijeđenja i preslikavanja pomoću aplikacijskog softvera samo upućuje na moguću pogrješnu obradu; ono ne vrednuje stvarne proizvodne podatke.

Stručni revizijski sustavi

Kada koristi stručne revizijske sustave, revizor mora biti dobro upoznat s funkcioniranjem sustava kako bi potvrdio da su donesene odluke primjerene za predmetno revizijsko okruženje/situaciju.

118


4. Dokumenti CAAT alata

Radni spisi

Postupak korištenja CAAT alata po koracima treba biti dokumentiran u dovoljnoj mjeri da osigura adekvatne revizijske dokaze. Posebno, radna dokumentacija o reviziji treba sadržavati dovoljno dokumenata koji opisuju primjenu CAAT alata, zajedno s detaljima koji su navedeni po sljedećim odlomcima.

Planiranje

Dokumentacija mora sadržavati: • ciljeve CAAT alata • popis koji će se CAAT alati koristiti • kontrole koje će se obaviti• broj osoblja i vrijeme.

Provedba

Dokumentacija mora sadržavati: • pripremu CAAT alata, postupke ispitivanja i kontrola • detalje o ispitivanju koje je provedeno pomoću CAAT alata • detalje o unosima (npr. korištenim podacima, raspored datoteka), obradi (npr.

dijagrami toka visoke razine CAAT alata, logika) i rezultatima (npr. dnevnici rada, izvještaji)

• popise relevantnih parametara ili izvorni kod.

Revizijski dokazi

Dokumentacija mora sadržavati: • dobivene rezultate• opis obavljene revizijske analize rezultata • nalaze revizije• zaključke revizije • preporuke revizije.

5. Izvještavanje

Opis CAAT alata

Poglavlje izvještaja o ciljevima, opsegu i metodologiji treba jasno opisivati koji su CAAT alati korišteni. Ovaj opis ne treba biti pretjerano detaljan, ali mora dati jasan prikaz čitatelju.

119

Preporuke za rad

Opis korištenih CAAT alata također mora biti u glavnom tekstu izvještaja, u dijelu gdje se raspravlja o određenom nalazu u vezi s korištenjem CAAT alata. Ako se opis korištenih CAAT alata može primijeniti na više nalaza, ili ako je previše detaljan, to treba ukratko biti raspravljeno u odlomku izvještaja o ciljevima, opsegu i metodologiji, a čitatelj mora biti upućen na dodatak koji sadrži detaljniji opis.

Pojmovnik

Slijeđenje i preslikavanje pomoću aplikacijskog softvera: specijalizirani alati koji se mogu koristiti za analizu toka podataka kroz obradu logike aplikacijskog softvera te za dokumentiranje logike, putanja, kontrolnih uvjeta i redoslijed obrade. Jezik naredaba ili upravljačke naredbe i programski jezik mogu se analizirati. Ova tehnika uključuje: preslikavanje, slijeđenje, trenutačne prikaze, usporedne simulacije i usporedbe kodova programa/sustava.

Stručni revizijski sustavi: sustavi podrške za stručnjake ili odlučivanje koji se mogu koristiti da pomognu revizorima u donošenju odluka kroz automatiziranu obradu znanja stručnjaka u tom području. Ova tehnika uključuje automatiziranu analizu rizika, sistemskog softvera i kontrolne ciljeve softverskih paketa.

Računalno podržane revizijske tehnike (CAAT alati): bilo koja automatizirana tehnika revizije, kao što je općeniti revizijski softver, uslužni softver, ispitni podaci, slijeđenje i preslikavanje pomoću aplikacijskog softvera i stručni revizijski sustavi.

Općeniti revizijski softver: računalni program ili niz programa koji su kreirani za obavljanje određenih automatskih funkcija. Te funkcije uključuju čitanje računalnih datoteka, odabir podataka, rukovanje podacima, izračune, odabir uzoraka, i tiskanje izvještaja ili pisama u obliku koji odredi revizor. Ova tehnika uključuje softver koji je nabavljen ili napisan za potrebe revizije i softver koji je integriran u proizvodne sustave.

Ispitni podaci: simulirane transakcije koje se mogu koristiti za ispitivanje logike obrade, izračune i kontrole koje su programirane u računalnim aplikacijama. Mogu se ispitati zasebni programi ili cijeli sustav. Ova tehnika uključuje integrirane ispitne uređaje (Integrated Test Facilities – ITF) i osnovne naredbe za vrednovanje sustava (Base Case System Evaluations – BSCE).

Uslužni softver: računalni programi koje osigura proizvođač računalnog hardvera ili prodavatelj softvera i koji se koriste za funkcioniranje sustava. Ova tehnika može se koristiti za ispitivanje obrade, testne programe, sistemske radnje i operativne postupke, aktivnosti pohranjivanja podataka i analizu podataka koji potkrjepljuju posao.

120


Preporuka za rad 1230-1:Kontinuirani profesionalni razvoj



Povezani standard 1230 – Kontinuirani profesionalni razvoj Interni revizori moraju unaprjeđivati svoje znanje, vještine i ostale kompetencije kroz kontinuiran profesionalni razvoj.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u pogledu kontinuirana profesionalnog razvoja. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori odgovorni su za svoj kontinuirani razvoj kako bi zadržali stručnost. Trebaju se informirati o poboljšanjima i razvoju u standardima, postupcima i tehnikama interne revizije. Trajna izobrazba može se postići članstvom i sudjelovanjem u stručnim udruženjima; sudjelovanjem na konferencijama, seminarima, tečajevima na fakultetima i programima izobrazbe na radnom mjestu te sudjelovanjem u istraživačkim projektima.

2. Interni revizori potiču se da dokažu svoju stručnost dobivanjem odgovarajućeg dokaza o kvalifikaciji, kao što je zvanje ovlašteni interni revizor, te druga zvanja koje daje Institut internih revizora (IIA).

3. Interni revizori koji imaju potvrdu o kvalifikaciji trebaju se i dalje usavršavati u dovoljnoj mjeri da zadovolje uvjete potvrde o kvalifikaciji koju imaju.

4. Interni revizori koji trenutačno ne posjeduju odgovarajuće potvrde potiču se da upišu jedan od programa izobrazbe u svrhu dobivanja potvrde o stručnosti.

121

Preporuke za rad

Preporuka za rad 1300-1:Program osiguranja kvalitete i unaprjeđenja



Povezani standard 1300 – Program osiguranja kvalitete i unaprjeđenjaGlavni interni revizor mora uspostaviti i održavati program osiguranja kvalitete i unapređenja koji obuhvaća sve aspekte interne revizije i kontinuirano nadzire učinkovitost. Taj program uključuje povremene interne i vanjske kontrole kvalitete i trajno interne praćenje. Svaki dio programa treba biti osmišljen tako da pomogne internoj reviziji da doda vrijednost i unaprijedi poslovanje organizacije te osigura da interna revizija poštuje Standarde i Etički kodeks.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom izrade ili procjene programa kvalitete. Ove smjernice ne predstavljaju sve postupke potrebne za cjelovite programe kvalitete ili njihovu ocjenu, nego preporučuju skup kvalitetnih postupaka za ocjenjivanje.

1. Pregled programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i definicije interne revizije Instituta internih revizora (IIA). Kako bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja.

2. Provedba programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za provedbu postupaka koji trebaju dati odgovarajuće jamstvo različitim zainteresiranim stranama interne revizije da ona: • postupa u skladu s poveljom, koja mora biti sukladna Standardima i Etičkom kodeksu• posluje na učinkovit i djelotvoran način• da je zainteresirane strane percipiraju kao da dodaje vrijednost i unaprjeđuje poslovanje organizacije.

3. Priroda i opseg programa osiguranja kvalitete i unaprjeđenja – program osiguranja kvalitete i unaprjeđenja mora biti dovoljno sveobuhvatan kako bi uključio sve aspekte djelovanja i upravljanja internom revizijom, kao što je propisano u

122


Standardima i najboljoj praksi. Program osiguranja kvalitete i unaprjeđenja treba provoditi glavni revizor ili mora biti pod njegovim izravnim nadzorom. Osim u malim aktivnostima interne revizije, glavni revizor obično prenosi većinu odgovornosti u sklopu programa osiguranja kvalitete i unaprjeđenja na podređene zaposlenike. U velikim ili složenim okruženjima (na primjer, brojne poslovne jedinice i/ili lokacije), glavni revizor mora uspostaviti formalnu funkciju programa osiguranja kvalitete i unaprjeđenja koja je neovisna u pogledu segmenata revizije i savjetovanja djelatnosti interne revizije. Na čelu takve neovisne funkcije treba biti rukovoditelj revizor. Takav rukovoditelj (i ograničen broj osoblja) obično ne provodi sve odgovornosti u sklopu programa osiguranja kvalitete i unaprjeđenja nego upravlja i prati takve aktivnosti.

4. Ključni elementi programa osiguranja kvalitete i unaprjeđenja – program osiguranja kvalitete i unaprjeđenja mora biti strukturiran tako da postigne optimalnu razinu stručne osposobljenosti, a kontrole se trebaju provoditi, u opsegu u kojem je to izvedivo, neovisno o funkcijama i djelatnostima koje se kontroliraju. Sljedeći ključni elementi interne revizije – koje provodi ili kojima upravlja osoba ili funkcijska jedinica prema uputama glavnog revizora – trebaju biti uzeti u obzir za funkciju programa osiguranja kvalitete i unaprjeđenja: • nadzor nad razvojem i provedbom politika/postupaka interne revizije; upravljanje/

održavanje politika/priručnika za postupanje interne revizije • pomoć glavnom revizoru i rukovodstvu revizije u planiranju proračuna i

upravljanju financijama za djelatnost interne revizije• održavanje i ažuriranje sveobuhvatnog rizika revizije, uključujući prikupljanje i

unos novih informacija koje utječu na reviziju; nadzor nad podjelom odgovornosti u internoj reviziji, vanjskoj reviziji i ostalim funkcijama za evaluaciju i istrage

• upravljanje općenitim djelovanjem sustava za procjenu rizika revizije i dugoročnog planiranja – pomaganje glavnom revizoru i rukovodstvu revizije u tom području

• pomoć u cjelokupnom postupku planiranja rasporeda revizije i savjetovanja te s tim povezano praćenje rokova

• pomoć rukovodstvu interne revizije u nabavi, održavanju i korištenju alata za reviziju i ostale tehnologije

• obavljanje vanjskog zapošljavanja i sudjelovanje interne revizije u rotaciji osoblja unutar organizacije te upravljanje razvojnim programima

• nadzor nad stručnim osposobljavanjem i usavršavanjem/razvojem osoblja – na primjer, odabir ili osmišljavanje razvojnih i programa izobrazbe provođenje povezanog planiranja karijera i procjene, uključujući sustav praćenja profesionalnog razvoj za svakog pojedinog zaposlenika

• nadzor sustava za statistiku/metriku interne revizije i za analize nakon revizije te ostale analize (npr. klijenata i drugih zainteresiranih strana u internoj reviziji)

• provođenje/praćenje osiguranja kvalitete i obrada radnji za unaprjeđenje, uključujući formalne interne i vanjske ocjene kvalitete

123

Preporuke za rad

• nadzor nad/upravljanje prikupljanjem informacija i sastavljanjem periodičkih sažetih izvještaja koje interna revizija podnosi višem menadžmentu i odboru za reviziju (uključujući izvještaje o rezultatima internih i vanjskih ocjena kvalitete)

• upravljanje/održavanje cjelovite baze podataka s preporukama i akcijskim planovima koji nastanu kao rezultat angažmana internih revizora i rada vanjskih revizora i ostalih funkcija internog vrednovanja i istrage

• pomoć glavnom revizoru, rukovodstvu revizije i osoblju interne revizije da budu u toku sa Standardima i ostalim promjenama koje rezultiraju iz najbolje prakse struke interne revizije, regulatornih pitanja i ostalih stvari i prilika koje se pojave – pod upravljanjem rukovodstva interne revizije

• riječi „pomaganje, upravljanje, praćenje i održavanje“ trebaju naznačiti da nije nužno da osoba(e) koja(e) obavljaju funkciju programa osiguranja kvalitete i unaprjeđenja obavljaju veći dio tog posla. Ona se može dodijeliti – ili ad hoc za određene zadaće ili dugoročno – drugim rukovoditeljima u internoj reviziji i osoblju, ali ih nadzire, njima upravlja itd. kroz program osiguranja kvalitete i unaprjeđenja

124


Preporuka za rad 1310-1:Ocjene programa kvalitete



Povezani standard 1310 – Ocjene programa kvalitete Interna revizija treba usvojiti postupke za praćenje i ocjenu cjelokupne učinkovitosti programa kvalitete. Takav postupak mora uključivati interno i vanjsko ocjenjivanje.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u prilikom izrade ili ocjenjivanja programa kvalitete. Ove smjernice ne predstavljaju sve postupke potrebne za cjelovite programe kvalitete ili njihovu ocjenu, nego preporučuju skup kvalitetnih postupaka za ocjenjivanje.

1. Praćenje programa kvalitete – znači stalne i povremene ocjene cijelog raspona revizijskih i konzultacijskih poslova koje obavlja interna revizija, te nije ograničeno na ocjenjivanje njezina programa za osiguranje kvalitete i unaprjeđenje – vidi preporuku za rad 1300-1. Takvo stalno i povremeno ocjenjivanje treba se sastojati od strogih i sveobuhvatnih postupaka, rutine, stalnog nadzora i ispitivanja radnog učinka revizije i savjetovanja, te povremenog potvrđivanja sukladnosti s Međunarodnim standardima za stručnu provedbu interne revizije (Standardi). Praćenje također mora uključivati stalno mjerenje i analize pokazatelja radnog učinka (npr. ispunjenje plana revizije, vrijeme ciklusa, prihvaćene preporuke i zadovoljstvo klijenta). Ako rezultati tih ocjena upućuju na mogućnost unaprjeđenja interne revizije, takva poboljšanja treba provesti glavni revizor kroz program osiguranja kvalitete i unaprjeđenja.

2. Definicija i vrijeme ocjenjivanja • Stalno interno ocjenjivanje (fraza „interno ocjenjivanje“ je sinonim za fraze

„interna kontrola“ i „samoprocjenjivanje“ koje se koriste u Preporukama za rad) treba biti cjelovit dio svakodnevnog nadzora, kontrole i mjerenja interne revizije, kao što je propisano u preporuci za rad 1311-1, stavcima 2. i 3.

• Povremeno interno ocjenjivanje treba dovršiti u skladu s propisanim u preporuci za rad 1311-1, stavcima 4. i 5.

• Povremeno vanjsko ocjenjivanje djelatnosti interne revizije, koje provodi pojedinac ili skupina s visokim stupnjem stručnosti i iskustva iz struke interne revizije, treba biti provedeno u skladu s Preporukama za rad 1312-1 i 1312-2 (novo).

125

Preporuke za rad

• Zahtjev kojim interna revizija mora provoditi stalno i povremeno interno ocjenjivanje stupio je na snagu 1. siječnja 2002. godine. Osim toga, zahtijeva se barem jedno vanjsko ocjenjivanje u roku od pet godina od tog datuma i barem jednom svakih sljedećih pet godina. Moguće je odricanje od zahtjeva za povremenim internim ocjenjivanjem u godini u kojoj se obavlja vanjsko ocjenjivanje.

3. Ocjenjivanje programa kvalitete – u ocjenjivanju treba procijeniti i donijeti zaključak o kvaliteti interne revizije i dati preporuke za odgovarajuća poboljšanja. Ocjenjivanje programa kvalitete treba obuhvatiti procjenu:• sukladnosti sa Standardima i Etičkim kodeksom, uključujući pravovremene

korektivne radnje za ispravljanje bilo kakvih značajnih neusklađenosti• adekvatnost povelje o internoj reviziji, ciljeva, politika i postupaka • doprinos upravljanju organizacijom, upravljanju rizikom i postupcima kontrole• sukladnost s mjerodavnim zakonima, propisima i standardima države ili

djelatnosti • učinkovitost stalnih aktivnosti na unaprjeđenju i usvajanju najbolje prakse• dodaje li interna revizija vrijednost te unaprjeđuje li poslovanje organizacije.

4. Stalno unaprjeđivanje – svako ocjenjivanje kvalitete i nastojanja za unaprjeđenjem treba uključivati primjereno i pravovremeno prilagođavanje sredstava, tehnologije, procesa i postupaka, kao što je navedeno u aktivnostima praćenja i ocjenjivanja.

5. Priopćavanje rezultata – kako bi se osigurala odgovornost i transparentnost, glavni revizor treba priopćiti rezultate vanjskog i, prema potrebi, internog ocjenjivanja različitim zainteresiranim stranama u djelatnosti, kao što su viši menadžment, odbor i vanjski revizori.

126


Preporuka za rad 1311-1:Interno ocjenjivanje



Povezani standard 1311 – Interno ocjenjivanje Interno ocjenjivanje treba obuhvatiti: • stalne kontrole radnog učinka interne revizije• povremene kontrole koje se provode putem samoprocjenjivanja ili drugih osoba unutar organizacije koje su upoznate s postupcima interne revizije i sa Standardima.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom provođenja internog ocjenjivanja unutar djelatnosti interne revizije. Ove smjernice ne predstavljaju sve postupke potrebne za cjelovito interno ocjenjivanje, nego preporučuju skup kvalitetnih postupaka za ocjenjivanje.

1. Pregled programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i definicije interne revizije Instituta internih revizora (IIA). Kako bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja. Program osiguranja kvalitete i unaprjeđenja mora uključivati stalne i povremene interne ocjene (fraza „interno ocjenjivanje“ je sinonim za fraze „interna kontrola“ i „samoprocjenjivanje“ koje se koriste u Preporukama za rad). Takvo stalno i povremeno ocjenjivanje mora obuhvatiti cijeli raspon revizijskih i konzultacijskih poslova koje obavlja interna revizija i nije ograničeno na ocjenjivanje njezina programa za osiguranje kvalitete i unaprjeđenje – vidi preporuku za rad 1300-1.

2. Stalno interno ocjenjivanje – obično je integrirano u rutinsku politiku i praksu koje se koriste za vođenje interne revizije i treba je provoditi kroz takve procese koristeći oruđe kao što je: • nadzor angažmana kako je opisano u preporuci za rad 2340-1, Nadzor

angažmana • kontrolne liste i ostala sredstva koja potvrđuju da se poštuju postupci koje je

usvojila interna revizija (npr. U priručniku o reviziji i postupanju) • povratne informacije od korisnika revizije i ostalih zainteresiranih strana

127

Preporuke za rad

• proračuni za projekte, sustavi za kontrolu radnog vremena, dovršetak plana revizije, povrat troškova

• analize ostalih pokazatelja učinkovitosti (uspješnosti) (kao što su vrijeme ciklusa i prihvaćene preporuke).

3. Zaključci se trebaju sastaviti u odnosu na kvalitetu trenutačnog poslovnog učinka, a treba poduzeti radnje kako bi se osigurala provedba odgovarajućih poboljšanja.

4. Povremeno interno ocjenjivanje – obično predstavlja kontrole koje nisu rutinske te ispitivanje sukladnosti. Ono treba biti osmišljeno tako da se ocjenjuje (a) sukladnost s poveljom o internoj reviziji, Standardima i Etičkim kodeksom, i (b) učinkovitost i djelotvornost djelatnosti u ispunjavanju potreba različitih zainteresiranih strana. Priručnik za ocjenu kvalitete IAA, ili skup usporedivih smjernica i alata, treba se koristiti kao osnova za povremeno interno ocjenjivanje.

5. Povremena ocjenjivanja mogu: • uključivati više temeljitih razgovora i anketiranje skupina zainteresiranih strana• provoditi članovi interne revizije (samoprocjenjivanje)• provoditi ovlašteni interni revizori ili drugi kompetentni stručnjaci za reviziju koji su

u tom trenutku raspoređeni na drugo mjesto u organizaciji• sastojati se od kombinacije samoprocjenjivanja i pripreme materijala koje naknadno

kontroliraju ovlašteni interni revizori ili drugi kompetentni stručnjaci za reviziju• uključivati uspoređivanje postupaka i pokazatelja učinka (uspješnosti) interne

revizije s vrijedećom najboljom praksom struke interne revizije.

6. Povremeno kratko interno ocjenjivanje prije vanjskog ocjenjivanja može olakšati i smanjiti trošak vanjskog ocjenjivanja. Ako se vanjsko ocjenjivanje provodi u obliku „samoprocjenjivanja s neovisnim vrednovanjem“ (nova preporuka za rad 1312-2), povremeno interno ocjenjivanje može poslužiti kao samoprocjenjivanje u sklopu tog postupka.

7. Zaključci moraju biti doneseni s obzirom na kvalitetu učinka i primjerene radnje koje su poduzete u svrhu unaprjeđenja i poštivanja Standarda, ako je to potrebno.

8. Glavni revizor treba odrediti strukturu za izvještavanje o rezultatima povremenih kontrola koja zadržava primjerenu vjerodostojnost i objektivnost. U načelu, osobe kojima je dodijeljena odgovornost za stalne i povremene kontrole trebaju podnositi izvještaj glavnom revizoru za vrijeme provođenja kontrole i rezultate trebaju priopćavati izravno glavnom revizoru.

9. Priopćavanje rezultata – glavni revizor mora priopćiti rezultate internog ocjenjivanja, potrebnih akcijskih planova i njihove uspješne provedbe odgovarajućim osobama izvan djelatnosti, kao što je viši menadžment, odbor i vanjski revizori.

128


Preporuka za rad 1311-2:Utvrđivanje pokazatelja

(kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama

uspješnosti interne revizije

Ova Preporuka za rad odražava preporučene postupke za mjerenje radnog učinka interne revizije.

Povezani standard 1311 – Interno ocjenjivanje Interno ocjenjivanje treba obuhvatiti: • stalne kontrole uspješnosti interne revizije• povremene kontrole koje se provode putem samoprocjenjivanja ili drugih osoba unutar organizacije koje su upoznate s postupcima interne revizije i sa Standardima.

Povezana Preporuka za rad 1311-1 – Interno ocjenjivanje

Priroda ove preporuke za rad: ova Preporuka za rad nadovezuje se na Preporuku 1311-1 i daje smjernice za utvrđivanje pokazatelja za kontrolu učinka (uspješnosti) interne revizije. Ove smjernice nisu namijenjene za korištenje samo kao temelj za utvrđivanje pokazatelja uspješnosti, nego se preporučuju zajedno s Međunarodnim standardima za stručnu provedbu interne revizije (Standardi) i ostalim uobičajenim postupcima mjerenja. Iako ova preporuka daje primjere određenih pokazatelja koje glavni revizori smatraju ključnima, ne postoji jedinstveni skup pokazatelja koji je učinkovit za sve revizijske aktivnosti. I kvantitativna metrika i kvalitativne procjene važne su za predstavljanje učinka interne revizije ključnim zainteresiranim stranama.

Uvod

Standard 1310 propisuje da interna revizija mora usvojiti postupak za praćenje i ocjenu cjelokupne učinkovitosti svojega programa kvalitete. Takav postupak mora uključivati i interno i vanjsko ocjenjivanje. Preporuka 1311-1 predlaže korištenje analize pokazatelja učinka kao elementa u provedbi takvih internih kontrola.

Osim poštivanja Standarda, pokazatelji učinka interne revizije mogu uključivati: stupanj doprinosa unaprjeđenju upravljanja rizikom te kontroli i korporativnom upravljanju, postizanje ključnih zadanih ciljeva, procjena napretka u odnosu na plan revizije, poboljšanje

129

Preporuke za rad

produktivnosti osoblja, povećana isplativost revizije, veći broj akcijskih planova za unaprjeđenje postupaka, adekvatno planiranje angažmana i nadzora, učinkovitost u ispunjavanju potreba zainteresiranih strana, dostatnost kontrola osiguranja kvalitete, itd.

Postupak za utvrđivanja izmjere učinka (uspješnosti)

U svrhu utvrđivanja učinkovitih pokazatelja uspješnosti, glavni revizor mora utvrditi postupak kojime se:

• utvrđuju ključne kategorije učinkovitosti (uspješnosti) (npr. zadovoljstvo interno zainteresiranih strana). Ova preporuka predlaže korištenje sljedećih kategorija: - zadovoljstvo zainteresiranih strana - procesi interne revizije - inovacija i sposobnost.

• Identificira strategije i pokazatelje kategorije uspješnosti. Strategije treba provoditi na način koji je sukladan Standardima, ostalim odgovarajućim stručnim standardima, mjerodavnim zakonima i propisima, te da osiguraju zadovoljstva zainteresiranih strana. Korištenje pokazatelja učinkovitosti (uspješnosti) može biti element za interno ocjenjivanje interne revizije kako bi bio u skladu sa Standardima.

• Osigurava postupak za rutinsko praćenje, analizu i izvještavanje o pokazateljima uspješnosti.

Glavni revizor mora osigurati da pokazatelji koji se koriste odgovaraju veličini njihove djelatnosti te da su primjenjivi u toj industriji, zemlji, prema nacionalnim zakonima i propisima i poslovnom okruženju. Pokazatelji uspješnosti moraju biti posebno određeni za organizaciju, a glavnim revizorima ne preporuča se da se oslanjaju na općenite pokazatelje koji nisu značajni za određenu revizijsku aktivnost. Primjeri pokazatelja koje glavni revizor može smatrati važnima navedeni su u Dodatku A na kraju ovih Preporuka za rad.

Određivanje ključnih kategorija učinkovitosti (uspješnosti)

Kao što je ranije navedeno, glavni revizor mora odrediti ključne kategorije pokazatelja učinkovitosti (uspješnosti) kao što su zadovoljstvo kupca, revizijski postupci, te inovacije i sposobnosti interne revizije.

Zainteresirane strane mogu uključivati odbor za reviziju, izvršno rukovodstvo, vanjska državna tijela i regulatore, te vanjske revizore. Revizijski postupci mogu uključivati procjenu rizika, planiranje i revizijske metode. Inovacije i sposobnosti mogu uključivati učinkovito korištenje tehnologije , izobrazbu i znanje o gospodarskoj grani.

130


Identificiranje kategorija strategija i pokazatelja učinkovitosti (uspješnosti)

Standardi, ostali primjenjivi stručni standardi, zajednički i strateški planovi interne revizije, zakoni i propisi, te povelja o internoj reviziji i misiji predstavljaju učinkovitu osnovu za određivanje primjerenih strategija za svaku kategoriju uspješnosti. Kategorije i pokazatelji učinkovitosti (uspješnosti) temelje se na ovoj osnovi i analizi zadovoljstva zainteresiranih strana.

Slika 1. daje slikovni prikaz s primjerima kategorija uspješnosti:

Unutarnje i vanjske zainteresirane strane

Tipično, ključne zainteresirane strane (klijenti) interne revizije dijele se na unutarnje i vanjske zainteresirane strane:

• unutarnje zainteresirane strane mogu uključivati: upravni odbor/odbor za reviziju, viši i niži menadžment

• vanjske zainteresirane strane mogu uključivati: regulatore i vanjsku reviziju.

Glavni revizor mora odrediti sve relevantne zainteresirane strane te proizvode i usluge koji su važni ili koji bi trebali biti važni svakoj zainteresiranoj strani. Glavni revizor treba ocijeniti trenutačnu razinu njihova zadovoljstva (i odgovarajućih prioriteta) i bilo kakve

Unutarnji klijenti

- Upravni odbor/odbor za reviziju

- Viši menadžment- Niži menadžment

Okvir profesionalnog djelovanja Korporacijske i strategije interne revizije Zakoni i propisi

Vanjski klijenti

- Regulatori - Vanjska revizija - Zajednica - Klijent poduzeća

Inovacije i sposobnosti

- Izobrazba - Tehnologija - Znanje o djelatnosti

Postupci interne revizije

- Planiranje procjene rizika/revizije

- Planiranje i provedba revizijskog angažmana

- Izvještavanje

131

Preporuke za rad

utvrđene praznine. Ocjenjivanje se može provesti putem intervjua, vođenih sastanaka i/ili upitnika. Nakon što se utvrde praznine, glavni revizor se potiče da izradi primjeren akcijski plan. Može biti potrebno uskladiti i potvrditi zadovoljstvo klijenta.

Aspekti određivanja relevantnih zainteresiranih strana i njihova zadovoljstva uključuju: • opseg regulacije za organizaciju ili internu reviziju • odnos s ključnim unutarnjim i vanjskim zainteresiranim stranama • prirodu organizacije (u javnom ili privatnom vlasništvu, na primjer).


Norme rada IIA-e moraju biti uzete u obzir prilikom određivanja kategorija pokazatelja uspješnosti postupaka interne revizije. Nadalje, u obzir treba uzeti očekivane rezultate temeljem povelje o internoj reviziji. Povratne informacije i mjerni mehanizmi mogu se prilagoditi za prikupljanje informacija koje se odnose na angažmane savjetovanja za rukovodstvo (koje nužno ne moraju slijediti iste ‘postupke’ kao revizija) i za usluge istraživanja prijevara, ako su iste uključene u povelju odjela za internu reviziju. Primjeri postupaka interne revizije i moguća područja za mjerenje u svakoj kategoriji su sljedeća:

a. Procjena rizika/planiranje revizije

• Jesu li povratne informacije dobivene od ključnih zainteresiranih strana (odbora za reviziju, višeg menadžmenta i vanjskog revizora) o tome je li revizija učinkovito riješila zabrinutost u pogledu rizika?

• Ocjenjuje li revizija opseg u kojem se rješavaju ključna područja rizika?

b. Planiranje i provedba revizijskog angažmana

• Jesu li utvrđeni primjereni planovi za reviziju za svaki angažman koji uključuje opseg, ciljeve, rokove i dodjelu sredstava?

• Jesu li revizije provedene u skladu s utvrđenim revizijskim metodama i radnim postupcima?

c. Priopćavanje i izvještavanje

• Jesu li dobivene povratne informacije od ključnih zainteresiranih strana u pogledu kvalitete, stupnja detaljnosti i učestalosti priopćenja revizije?

• Mjeri li interna revizija stupanj provedbe ključnih preporuka?

132



Opći standardi i standardi izvođenja iz Standarda IIA trebaju biti uzeti u obzir prilikom određivanja kategorija pokazatelja uspješnosti u pogledu inovativnosti i sposobnosti aktivnosti interne revizije. Primjeri kategorija inovativnosti i sposobnosti te moguća područja za mjerenje u svakoj od kategorija su:

a. Stručno usavršavanje i osposobljavanje

• Jesu li određeni pokazatelji za osiguranje dostatne izobrazbe revizijskog osoblja (sati izobrazbe po zaposleniku, dovršetak ključnih predmeta, itd.)?

• Mjeri li se zadovoljstvo osoblja pruženom izobrazbom? • Prati li se broj certifikata izdanih zaposlenicima?

b. Korištenje tehnologije

• Jesu li utvrđeni ciljevi za stručno usavršavanje i osposobljavanje u pogledu korištenja tehnologije? Jesu li određeni pokazatelji za osiguranje ispunjenja tih ciljeva?

• Jesu li utvrđeni ciljevi za korištenje tehnologije za učinkovitu podršku revizijskom ispitivanju i analizi? Jesu li određeni pokazatelji za osiguranje ispunjenja tih ciljeva?

c. Znanje o djelatnosti

Jesu li određeni pokazatelji za osiguranje da osoblje posjeduje dovoljno znanja o djelatnosti, poslu, poslovanju i ključnim funkcijama (na primjer, mjerenje dovršetka orijentacijskih sastanaka, revizijski projekti u ključnim područjima, poslovne aktivnosti)?

Učinkovito mjerenje uspješnosti i postupak izvještavanja

Glavni revizor mora odrediti postupak mjerenja koji potiče ponašanje koje podržava utvrđene ciljeve revizije i koje osigurava primjerenu ocjenu postignuća tih ciljeva. Učinkovit stalan postupak uključuje:

• Pokazatelje uspješnosti koji su usklađeni sa Standardima, ključne strateške ciljeve, te mjerodavne zakone i propise. Takvi pokazatelji mogu biti kvalitativni i kvantitativni. Mjerne točke moraju biti jasni, mjerljivi, ostvarivi, realni ciljevi i/ili standardi.

• Dosljedni postupci prikupljanja, sažimanja i analiziranja mjernih podataka i osiguranje pravovremenih povratnih informacija.

• Postupci za osiguranje da su pokazatelji ažurni i u skladu s promjenjivim očekivanjima, uvjetima, prioritetima i ciljevima.

• Izvještavanje o rezultatima postupaka mjerenja rukovodstvu odjela i ključnim zainteresiranim stranama.

• Godišnje izvještavanje o učinkovitosti interne revizije odboru za reviziju.

133

Preporuke za rad

Slika 2 daje vizualni prikaz načina na koji se može primjenjivati mjerenje uspješnosti. Ovaj primjer pokazuje mjerenje uspješnosti u kategoriji inovacija i sposobnosti, uključujući povezivanje sa strategijom poduzeća i strategijom revizije.

Strategija poduzeća Sposobnost utjecaja na ključne sustave financijskog izvještavanja i izvještavanja o rukovođenju kao i automatizaciju internih kontrola.

Strategija interne revizije Utjecaj na izvještavanje unutar ključnih sustava za revizijske

aplikacije koje podržavaju ključne procese koji se kontroliraju.

Kategorija uspješnosti: Inovacije i sposobnosti Strategija kategorije: zapošljavanje i izobrazba osoblja o sustavima

izvještavanja i sposobnostima revizije. Pokazatelji: - broj sati izobrazbe po revizoru o povezanim sustavima

- broj zaposlenika koji imaju iskustvo u reviziji sustava

Za dodatne smjernice, izvore i primjere, molimo pogledati popis povezanih IIA Standarda i Preporuka za rad i ostalih izvora koji su navedeni.

Povezane Preporuke za rad i ostali izvori

Preporuka za rad 2100-3: Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2140-4: Uloga interne revizije u organizacijama koje nemaju postupak upravljanja rizikom Preporuka za rad 1300-1: Program osiguranja kvalitete i unaprjeđenja Preporuka za rad 1310-1: Ocjene programa kvalitete Preporuka za rad 1311-1: Interno ocjenjivanje Preporuka za rad 1312-1: Vanjsko ocjenjivanje Preporuka za rad 1312-2: Vanjsko vrednovanje samoprocjene s nezavisnom ocjenom Preporuka za rad 1320-1: Izvještavanje o programu kvalitete Preporuka za rad 1330-1: Upotreba fraze „Provedeno u skladu sa Standardima“

Dodatni izvori:

• Priručnik za ocjenu kvalitete koji je objavio Institut internih revizora

• Upravljanje rizikom u poduzećima – integrirani okvir Odbora sponzorskih organizacija (COSO) povjerenstva Treadway

134


• „20 pitanja o internoj reviziji koja trebaju postaviti direktori“, John Fraser i Hugh Lindsay. Ovaj je članak dostupan na internetskoj stranici IIA, a sponzorirala ga je Fondacija za istraživanje IIA, kanadski Institut ovlaštenih računovođa i Institut direktora korporacija

• Globalna revizorska informacijska mreža IIA (GAIN) koja omogućava organizacijama da usporede veličinu svojih odjela za internu reviziju, iskustvo, stručnost i ostale pokazatelje u odnosu na zajednički prosjek organizacije slične veličine i njihove grane

• Okvir za uravnoteženu tablicu postignuća za odjele interne revizije, Mark L. Frigo, dr. sc., ovlašteni javni računovođa – CPA, ovlašteni menadžerski računovođa – CMA. Knjigu je financirala je Fondacija za istraživanje IIA

Prikaz A izvađen je i prilagođen iz publikacije naslovljene Okvir za uravnoteženu tablicu postignuća za odjele interne revizije. Ovaj prikaz daje pregled pokazatelja uspješnosti koje važnima smatra određen broj glavnih revizora. Potrebno je odabrati određene pokazatelje uspješnosti koji će odgovarati jedinstvenim potrebama interne revizije.

Okvir profesionalnog

djelovanjaKorporacijske i strategije

interne revizijeZakoni i propisi

Upravni odbor/odbor za reviziju

- Anketa o zadovoljstvu odbora za reviziju

- Uloga interne revizije kako je vidi odbor za reviziju

- zabrinutost odbora za reviziju u pogledu rizika


- Važnost pitanja revizije - Dovršene vs. planirane

revizije - Broj važnijih nalaza

revizije - Iznos ušteda revizije - Razvoj tehnika za

osiguranje kvalitete - Broj ponovljenih nalaza - Broj dana od dovršetka

poslova na terenu do objave izvještaja


- Iskustvo osoblja - Broj sati izobrazbe po

internom revizoru - Izvještavanje glavnog

revizora – funkcionalno - Postotak ovlaštenog

osoblja koje ima uvjerenje

Rukovodstvo i subjekti gdje je povedena revizija

- Rezultati ankete o zadovoljstvu subjekata gdje je povedena revizija

- Postotak provedenih preporuka revizije

- Broj zahtjeva rukovodstva - Očekivanja rukovodstva u

pogledu interne revizije - Broj pritužaba o reviziji

135

Preporuke za rad

Preporuka za rad 1312-1:Vanjsko ocjenjivanje



Povezani standard 1312 – Vanjsko ocjenjivanje Vanjsko ocjenjivanje treba provoditi barem jednom svakih pet godina kvalificirani, neovisni ocjenjivač ili skupina ocjenjivača izvan organizacije. O mogućoj potrebi za učestalijim vanjskim ocjenjivanjem te kvalifikacijama i neovisnosti vanjskog ocjenjivača ili skupine ocjenjivača, uključujući bilo kakav moguć sukob interesa, moraju raspraviti glavni revizor i uprava. U takvim se razgovorima također u obzir moraju uzeti veličina, složenosti i djelatnost organizacije u odnosu na iskustvo ocjenjivača ili skupine ocjenjivača.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge kada planiraju i ugovaraju vanjsko ocjenjivanje svoje interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni za vanjsko ocjenjivanje, nego preporučuju skup aspekata više razine u pogledu vanjskog ocjenjivanja.

1. Pregled programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i definicije interne revizije Instituta internih revizora (IIA). Da bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja. Program osiguranja kvalitete i unaprjeđenja mora uključivati i stalne i povremene interne ocjene (fraza „interno ocjenjivanje“ je sinonim za fraze „interna kontrola“ i „samoprocjenjivanje“ koje se koriste u Preporukama za rad). Takvo stalno i povremeno ocjenjivanje mora obuhvatiti cijeli raspon revizijskih i konzultacijskih poslova koje obavlja interna revizija i nije ograničeno na ocjenjivanje njezina programa za osiguranje kvalitete i unaprjeđenje – vidi preporuku za rad 1300-1.

2. Opći aspekti – vanjsko ocjenjivanje interne revizije mora dati procjenu i mišljenje o tome poštuje li interna revizija Standarde i, prema potrebi, treba uključiti preporuke za poboljšanje. Takve kontrole mogu imati značajnu vrijednost za glavnog revizora i ostale članove interne revizije. Samo kvalificirane osobe (stavak 5. dolje) mogu obavljati takve kontrole.

136


3. Od 1. siječnja 2002. godine provođenje vanjskog ocjenjivanja zahtijeva se svakih pet godina. Snažno se preporučuje ranije usvajanje novog Standarda koji zahtijeva vanjsku kontrolu. Organizacije koje su imale vanjske kontrole prije tog datuma potiču se da sljedeću kontrolu provedu u roku od pet godina od posljednje.

4. Po završetku kontrole upravi mora biti poslano službeno priopćenje (kao što je definirano u pojmovniku Standarda) i višem menadžmentu.

5. Kvalifikacije vanjskih ocjenjivača – vanjski analitičari, uključujući one koji potvrđuju samoprocjenjivanje (nova preporuka za rad 1312-2), moraju biti neovisni u odnosu na organizaciju i internu reviziju. Skupina za kontrolu mora se sastojati od osoba koje su kompetentne za stručno provođenje interne revizije i vanjsko ocjenjivanje. Da bi bili uzeti u obzir kao kandidati za vanjske ocjenjivače, kvalificirane osobe mogu obuhvatiti kontrolore osiguranja kvalitete IIA, regulatorne ispitivače, konzultante, vanjske revizore, ostale stručne pružatelje usluga i interne revizore izvan organizacije čija je interna revizija objekt vanjske ocjene.

6. Neovisnost – osoba ili organizacija koja preuzme vanjsko ocjenjivanje, članovi skupine ocjenjivača i sve druge osobe koje sudjeluju u ocjenjivanju ne smiju imati obveze prema ili interese u organizaciji čija je interna revizija objekt vanjskog ocjenjivanja ili osoblju u takvoj organizaciji. Pojedini aspekti koji se odnose na neovisnost vanjskih ocjenjivača uključuju: • Pojedinci koji provode takva ocjenjivanja moraju biti neovisni u odnosu na

organizaciju čija je interna revizija objekt ocjenjivanja i ne smiju imati stvaran ili prividan sukob interesa. „Neovisan u odnosu na organizaciju“ znači da nije dio ili pod kontrolom organizacije kojoj pripada interna revizija. Prilikom odabira vanjskog ocjenjivača u obzir treba uzeti moguć stvaran ili navodni sukob interesa koji ocjenjivač može imati zbog sadašnjih ili prošlih odnosa s organizacijom ili njezinom internom revizijom.

• Osobe koje su u drugom odjelu predmetne organizacije ili u povezanoj organizaciji, iako ustrojstveno odvojene od interne revizije, ne smatraju se neovisnima za potrebe provođenja vanjskog ocjenjivanja. „Povezana organizacija“ može biti matično društvo, podružnica u istoj skupini subjekata, ili subjekt koji ima redovitu nadležnost za nadzor, nadgledanje ili osiguranje kvalitete u odnosu na organizaciju čija je interna revizija objekt vanjskog ocjenjivanja.

• Uzajamne stručne revizije između tri ili više organizacija (npr. unutar neke djelatnosti li druge srodne skupine, ili druge skupine organizacija) mogu biti strukturirane na način koji smanjuje zabrinutost u pogledu neovisnosti, ali mora se voditi briga da ne dođe do problema neovisnosti. Uzajamne stručne revizije između dvije organizacije ne mogu proći test neovisnosti.

• Kako bi se riješile brige u pogledu prividnog ili stvarnog narušavanja neovisnosti u slučajevima o kojima se govori u ovom stavku, jedna ili više neovisnih osoba mogu biti dio vanjskog ocjenjivačkog tima, ili mogu biti angažirani za naknadno sudjelovanje kako bi neovisno potvrdili posao vanjske ocjenjivačke skupine.

137

Preporuke za rad

7. Integritet i objektivnost – integritet zahtijeva od ocjenjivačke skupine da bude poštena i otvorena unutar ograničenja povjerljivosti. Služba i javno povjerenje ne smiju biti podređeni osobnom probitku i koristi. Objektivnost je svjetonazor i kvaliteta koja daje vrijednost uslugama skupine za ocjenjivanje. Načelo objektivnosti nameće obvezu nepristranosti, poštenja i bez sukoba interesa.

8. Kompetencija – obavljanje vanjskog ocjenjivanja i priopćavanje rezultata zahtijevaju stručno mišljenje. U skladu s tim, osoba koja radi kao vanjski ocjenjivač mora: • biti kompetentna kao ovlašten stručnjak za reviziju (npr. ovlašteni interni revizor,

ovlašteni javni računovođa, ovlašteni revizor, ovlašteni revizor informacijskih sustava) koji posjeduje aktualno i temeljito znanje o Standardima

• mora biti dobro upoznata s najboljom praksom struke• mora imati barem tri godine aktualnog iskustva u struci interne revizije na

rukovodećoj razini• Voditelji skupine za vanjsko ocjenjivanje i neovisni ocjenjivači (nova preporuka

za rad 1312-2) moraju posjedovati dodatnu razinu stručnosti i iskustva, poput onoga koje se stječe od prethodna rada u skupini za vanjsko vrednovanje kvalitete, uspješan dovršetak tečaja IIA o ocjenjivanju kvalitete ili sličnog tečaja, te iskustvo glavnog revizora ili slično iskustvo u višem menadžmentu interne revizije.

9. Ocjenjivačka skupina mora uključiti članove koji posjeduju stručno znanje o informacijskoj tehnologiji i relevantno iskustvo u djelatnosti. Osobe koje posjeduju stručno znanje u drugim specijaliziranim područjima mogu pružati pomoć ocjenjivačkoj skupini. Na primjer, specijalisti za upravljanje rizikom u poduzećima, statističko uzorkovanje, ili kontrola samoprocjenjivanja mogu sudjelovati u određenim segmentima kontrole.

10. Odobrenje rukovodstva i uprave – glavni revizor mora uključiti viši menadžment i odbor u postupak odabira vanjskog kontrolora i dobiti njihovo odobrenje.

11. Opseg vanjskog ocjenjivanja – vanjsko ocjenjivanje treba obuhvatiti širok raspon koji uključuje sljedeće elemente interne revizije: • poštivanje Standarda, Etičkog kodeksa IIA-e i povelje o internoj reviziji, planove,

politike, postupke, praksu i mjerodavne zakonske i regulatorne zahtjeve • očekivanja uprave, izvršnog i nižeg menadžmenta od interne revizije• integriranje interne revizije u upravljačke procese u organizaciji, uključujući

prateće odnose između i među ključnim skupinama koje sudjeluju u tom procesu

• alate i tehnike koje koristi interna revizija• mješavinu znanja, iskustva i disciplina među osobljem, uključujući fokus osoblja

na unaprjeđenje postupka• odluku o tome dodaje li ili ne revizija vrijednost i unaprjeđuje li poslovanje

organizacije.

138


12. Priopćavanje rezultata – treba rezultate kontrole raspraviti s glavnim revizorom tijekom i na kraju postupka ocjenjivanja. Konačni rezultati moraju se priopćiti glavnom revizoru ili drugom dužnosniku koji je ovlastio kontrolu u ime organizacije, po mogućnosti kopija treba biti poslana odgovarajućim članovima višeg menadžmenta i odbora.

13. Priopćenje treba sadržavati sljedeće:

• Mišljenje o poštivanju Standarda od strane interne revizije na osnovu strukturirana postupka ocjenjivanja. Pojam „poštivanje“ znači da postupanje interne revizije u cjelini ispunjava zahtjeve Standarda. Slično tome, „nepoštivanje“ znači da su utjecaj i ozbiljnost nedostataka u postupcima interne revizije toliko značajni da narušavaju sposobnost interne revizije da obavlja svoje odgovornosti. Stupanj „djelomičnog poštivanja“ pojedinih Standarda, ako je važno za cjelokupno mišljenje, treba također navesti u izvještaju o neovisnoj ocjeni. Formulacija mišljenja o rezultatima vanjskog ocjenjivanja zahtijeva primjenu ispravnog poslovnog suda, integriteta i dužne stručne pozornosti.

• Ocjena i vrednovanje korištenja najbolje prakse, kako onih koje su uočene tijekom ocjenjivanja, tako i drugih koje su potencijalno primjenjive na djelatnost.

• Preporuke za unaprjeđenje, prema potrebi.• Odgovori glavnog revizora koji uključuju akcijski plan i rokove provedbe.

14. Glavni revizor mora priopćiti rezultate kontrole odgovarajućim članovima višeg menadžmenta i odboru, ako već nisu izravno preuzeti, kao i detalje o planiranim korektivnim radnjama za važna pitanja i naknadne informacije o ostvarenju tih planiranih radnji.

139

Preporuke za rad

Preporuka za rad 1312-2Vanjsko vrednovanje samoprocjene s nezavisnom ocjenom

Interpretacija Standarda 1312 iz Međunarodnih standarda za stručnu provedbu interne revizije

Povezani standard 1312 – Vanjsko vrednovanjeBarem jednom u pet godina vanjsko vrednovanje treba provesti kvalificiran, neovisan ocjenjivač ili ocjenjivački tim izvan organizacije.

Priroda ove preporuke za rad: interni revizori trebaju u obzir uzeti sljedeće prijedloge pri planiranju i potpisivanju ugovora za vanjsko ocjenjivanje aktivnosti njihove interne revizije. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom vanjske revizije, nego jednostavno skup preporučenih uvjeta koje treba uzeti u obzir prilikom vanjskog vrednovanja.

1. Osvrt na Program osiguranja kvalitete i unaprjeđenja - glavni revizor je odgovoran za uspostavljanje aktivnosti interne revizije čije područje djelovanja uključuje sve aktivnosti u Međunarodnim standardima za stručnu provedbu interne revizije (Standardima) i definiciji interne revizije Instituta internih revizora. Kako bi se ovo osiguralo, prema Standardu 1300, glavni revizor treba pripremiti i održavati Program osiguranja kvalitete i unaprjeđenja. Program osiguranja kvalitete i unaprjeđenja trebao bi uključiti periodičnu vanjsku ocjenu koja se provodi barem jednom u pet godina od strane kvalificiranog neovisnog revizora ili revizorskog tima. Ove vanjske ocjene trebaju pokriti cijeli spektar revizorskih i konzultantskih aktivnosti koje provodi interna revizija i ne bi trebale biti ograničene na ocjenjivanje svojeg Programa osiguranja kvalitete i unaprjeđenja – vidi Preporuku za rad 1300-1.

2. Samoprocjena s nezavisnim vrednovanjem – kao odgovor na pitanje može li vanjska procjena od strane nezavisnog pojedinca ili tima biti preopterećujuća za manje aktivnosti interne revizije, Institut internih revizora nudi alternativan proces „samoprocjene s nezavisnim (vanjskim) vrednovanjem“, koji ima sljedeće karakteristike:

• Sveobuhvatan i u potpunosti dokumentiran proces samoprocjene, koji bi trebao oponašati proces vanjske procjene, barem u odnosu na vrednovanje suglasja sa Standardima.

• Nezavisna izravna procjena od strane kvalificiranog revizora.• Ušteda vremena i resursa – na primjer, primarni fokus bio bi na suglasju sa

standardima. Pozornost ostalim područjima poput sustavnog vrednovanja, revizije i konzultacija oko primjene najboljih praksi te razgovora s višim i nižim

140


menadžmentom (čija mišljenja su već poznata glavnom revizoru i osoblju interne revizije) može se smanjiti ili čak izostaviti.

• U protivnom, isti zahtjevi i kriteriji navedeni u Preporukama za rad 1312-1 bi se primjenjivali na:

• Generalno promatranje• Kvalifikacije nezavisnog ocjenjivača (vanjskog revizora)• Nezavisnost, integritet i objektivnost, kompetencija, odobrenje rukovodstva

i uprave, područje primjene (osim za područja kao što su upotreba alata, tehnika, ostalih dobrih praksi, razvoj karijera i aktivnosti koje donose povećanje vrijednosti)

• Objavljivanje rezultata (uključujući mjere poboljšanja i njihovu provedbu).

3. Tim pod vodstvom glavnog revizora treba provoditi i u potpunosti dokumentirati proces samoprocjene. Priručnik za ocjenu kvalitete Instituta internih revizora sadrži kratki prikaz procesa uključujući smjernice i alate za samoprocjenu. Potrebno je pripremiti nacrt izvješća sličan procjeni vanjskog revizora.

4. Kvalificirani nezavisni revizor treba provesti ograničeno testiranje samoprocjene kako bi vrednovao rezultate i izrazio mišljenje o navedenoj razini do koje se moraju poštivati Standardi. Nezavisno vrednovanje treba izvršavati u skladu s procesom opisanim u Priručniku za ocjenu kvalitete Instituta internih revizora ili sličnim sveobuhvatnim procesom.

5. Nakon dovršetka nezavisne procjene, uključujući i strogu reviziju suglasja sa Standardima i Etičkim kodeksom koju provodi tim za samoprocjenu:

• nezavisni procjenitelj treba revidirati nacrt izvješća spomenut u Odlomku 3 i pokušati riješiti eventualna pitanja koja su ostala neriješena

• ukoliko u svojoj procjeni suglasnosti sa Standardima i Etičkim kodeksom, nezavisni procjenitelj doda tekst (u slučaju potrebe) izvješću, koji se podudara u procjeni, u adekvatnom opsegu, s tekstom nalaza izvješća, zaključcima i preporukama

• u slučaju nepodudarnosti s procjenom, nezavisni procjenitelj treba dodati tekst u kojem postoji nesuglasje u izvješće, te navesti dijelove u kojima postoji nesuglasje s izvješćem te, u adekvatnom opsegu s važnim nalazima, zaključcima i preporukama u izvješću

• umjesto toga, nezavisni procjenitelj može pripremiti posebno nezavisno izvješće, u kojem izlaže ili navodi neslaganje, kao dodatak izvješću o samoprocjeni

• završno (završna) izvješće (izvješća) o samoprocjeni s nezavisnim procjeniteljima tada treba potpisati tim za samoprocjenu i nezavisni procjenitelj i glavni revizor ga podnosi višem menadžmentu i odboru.

6. Dok potpuna revizija od strane vanjskog revizora donosi maksimalnu korist za aktivnost i treba biti uključena u program kvalitete revizije, samoprocjena s

141

Preporuke za rad

nezavisnom procjenom nudi alternativno sredstvo kojim se postiže potpuno suglasje sa Standardom 1312. Međutim, u onoj mjeri u kojoj je to moguće, kako bi se postigla najveća moguća kvaliteta i koristi poboljšanja procesa, interna revizija treba razmotriti samoprocjenu s nezavisnom procjenom kao privremenu mjeru i težiti tome da dobije cjelovitu vanjsku procjenu tijekom narednog perioda.

142


Preporuka za rad 1320-1:Izvještavanje o programu kvalitete

Interpretacija Standarda 1320 iz Međunarodnih standarda za stručnu provedbu interne revizije

Povezani standard 1320 – Izvještavanje o programu kvaliteteGlavni revizor treba priopćiti rezultate vanjske procjene upravi.

Priroda ove preporuke za rad: interni revizori trebaju u obzir uzeti sljedeće prijedloge prilikom izvještavanja o programu kvalitete. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom izvještavanja, nego jednostavno skup preporučenih uvjeta koje treba uzeti u obzir.

1. Po dovršetku vanjske ocjene, radna skupina za reviziju treba pripremiti formalno izvješće koje sadrži mišljenje o suglasju aktivnosti interne revizije s Međunarodnim standardima za stručnu provedbu interne revizije (Standardima)(vidi Preporuku za rad 1312-1). Izvješće se također treba osvrnuti na suglasje aktivnosti interne revizije s poveljom i drugim primjenjivim standardima i uključivati prikladne preporuke za poboljšanje. Izvješće treba biti naslovljeno na osobu ili organizaciju koja zahtijeva ocjenu. Glavni revizor treba pripremiti pisani plan akcije kao odgovor na važne komentare i preporuke sadržane u izvješću vanjskog ocjenjivača.

Priprema odgovarajućeg izvješća o praćenju, tj. nastavka izvješća također je odgovornost glavnog revizora.

2. Ocjena suglasja sa Standardima ključna je komponenta vanjske ocjene. Revizorski tim treba se rukovoditi Standardima u procjeni i davanju mišljenja o suglasnosti aktivnosti interne revizije sa Standardima. Međutim, kako je navedeno u Preporukama za rad 1310-1, postoje i dodatni kriteriji koje treba uzeti u obzir pri vrednovanju provedbe aktivnosti interne revizije.

143

Preporuke za rad

Preporuka za rad 1330-1:Upotreba fraze „Provedeno u skladu sa Standardima“

Interpretacija Standarda 1330 iz Međunarodnih standardaza stručnu provedbu interne revizije

Povezani standard 1330 – Upotreba fraze „Provedeno u skladu sa Standardima“Interni revizori potiču se da u izvještajima navedu da su njihove radnje „provedene u skladu s Međunarodnim standardima za stručnu provedbu interne revizije“. Međutim, interni revizori ovu izjavu smiju koristiti samo ako ocjene programa unaprjeđenja kvalitete pokažu da se aktivnosti interne revizija vrše u skladu sa Standardima.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge pri upotrebi fraze „Provedeno u skladu s Međunarodnim standardima za stručnu provedbu interne revizije“. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, već se koriste kao dopuna Standardima.

1. Opća razmatranja – vanjska i interna procjena aktivnosti interne revizije treba se provoditi radi ocjene i izražavanja mišljenja o suglasju aktivnosti interne revizije s Međunarodnim standardima za stručnu provedbu interne revizije (Standardima) i s Etičkim kodeksom, a u adekvatnom opsegu trebaju sadržavati i preporuke za poboljšanje.

2. Potrebna je vanjska procjena u roku od pet godina od 1.1.2002. godine. Preporuča se ranije donošenje novog standarda koji zahtijeva vanjsku ocjenu. Organizacije u kojima se vršila vanjska revizija potiču se da provedu sljedeću vanjsku reviziju u roku od pet godina od zadnje revizije.

3. Upotreba fraze o suglasju – Može se koristiti fraza „u suglasju sa Standardima“ ili „udovoljavajući Standardima“, ili „u skladu sa Standardima“. Upotreba fraze o suglasju zahtijeva vanjsku ocjenu barem jednom tijekom svakog petogodišnjeg razdoblja zajedno s povremenim internim ocjenama kojima je zaključeno da je aktivnost interne revizije obavljena u skladu sa Standardima i Etičkim kodeksom. Nije prikladno upotrebljavati frazu o suglasju prije nego što vanjska revizija obavljena u posljednjih pet godina ne pokaže da je aktivnost interne revizije usklađena sa Standardima i Etičkim kodeksom. O primjerima nesuglasja (neusklađenosti) koje utječu na cjelokupan opseg djelovanja interne revizije, te u slučaju da se do 1.1. 2007. godine ne dobije vanjska procjena, potrebno je obavijestiti viši menadžment i odbor.

144


4. Prije nego što interna revizija upotrijebi frazu o usklađenosti, svaki primjer nesuglasja koji je naveden u ocjeni kvalitete (interne ili vanjske) koji umanjuje sposobnosti interne revizije da izvrši svoje dužnosti:• treba biti ispravljen na adekvatan način• mjere za poboljšanje potrebno je dokumentirati i prijaviti nadležnom ocjenitelju

(ocjeniteljima) kako bi se ustanovilo da je primjer neusklađenosti adekvatno ispravljen i

• o mjerama za poboljšanje i slaganju relevantnog procjenitelja s istim treba izvijestiti viši menadžment i odbor.

145

Preporuke za rad

Preporuka za rad 2000-1Upravljanje aktivnostima interne revizije


Povezani standard 2000 – Upravljanje aktivnostima Interne revizijeGlavni revizor treba učinkovito upravljati aktivnostima interne revizije i osigurati da aktivnost interne revizije donosi povećanje vrijednosti organizacije.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene organizacijske neovisnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Glavni revizor odgovoran je za odgovarajuće upravljanje aktivnostima interne revizije na način da:• aktivnost revizije ispunjava glavne svrhe i odgovornosti opisane u povelji koju

odobrava odbor i, ako je potrebno, viši menadžment• resursi interne revizije se raspoređuju na način koji omogućava učinkovitost i

djelotvornost• aktivnosti revizije usklađene su s Međunarodnim standardima za stručnu

provedbu interne revizije (Standardima).

146


Preporuka za rad 2010-1Planiranje


Povezani standard 2010 – PlaniranjeGlavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koji su dosljedni ciljevima organizacije.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom planiranja aktivnosti interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom planiranja, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Planiranje aktivnosti interne revizije treba biti usklađeno s poveljom interne revizije i ciljevima organizacije. Proces planiranja uključuje uspostavu:• ciljeva• rasporeda aktivnosti • planiranja osoblja i proračuna• izvješća o aktivnostima.

2. Ciljeve interne revizije potrebno je ispuniti u okviru zadanih poslovnih planova i planiranog proračuna i trebaju biti mjerljive do adekvatne razine. Njih je potrebno dopuniti kriterijima mjerenja i ciljanim datumima izvršenja.

3. Raspored aktivnosti treba uključiti: • aktivnosti koje treba izvršiti• vrijeme u kojem će te aktivnosti biti izvršene• planirano trajanje izvršenja aktivnosti, uzimajući u obzir opseg planiranih

aktivnosti i prirodu i opseg aktivnosti koje obavljaju drugi.

4. Pitanja koja treba uzeti u obzir pri uspostavi rasporeda aktivnosti trebaju uključiti:• datume i rezultate zadnjeg zadatka• ažurirane ocjene rizika i učinkovitost upravljanja rizikom i kontrolnim

procesima• zahtjeve odbora i višeg menadžmenta• tekuća pitanja vezana uz upravljanje organizacijom• velike promjene u poslovanju organizacije, aktivnostima, programima, sustavima

i kontrolama

147

Preporuke za rad

• prilike za postizanje poslovne koristi i• promjene u osoblju revizije i njihovim sposobnostima. Raspored aktivnosti treba

biti fleksibilan u dovoljnoj mjeri kako bi pokrio potrebe za aktivnostima interne revizije.

148


Preporuka za rad 2010-2Povezivanje plana revizije s rizikom i izloženostima


Povezani standard 2010 – PlaniranjeGlavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koji su dosljedni ciljevima organizacije.

Priroda ove preporuke za rad: Strategija rizika organizacije treba se odražavati u planu aktivnosti interne revizije. Treba primijeniti koordinirani pristup kako bi se povećali sinergijski učinci između upravljanja rizikom organizacije i procesa interne revizije. Bit će potrebni mogući dodatni uvjeti koje treba razmotriti, a koji nisu sadržani u ovoj Preporuci za rad.

1. Svaka organizacija susreće se s određenim brojem neizvjesnosti i rizika koji mogu negativno ili pozitivno utjecati na organizaciju. Moguće je upravljati rizikom na nekoliko različitih načina koji uključuju prihvaćanje, izbjegavanje, prijenos ili kontrolu. Interne kontrole su uobičajena metoda za smanjenje potencijalnog negativnog utjecaja rizika i neizvjesnosti.

2. Plan aktivnosti interne revizije potrebno je provoditi na temelju procjene rizika i izloženosti koje mogu utjecati na organizaciju. Naposljetku, ključni ciljevi revizije su pružiti rukovodstvu informacije za ublažavanje negativnih posljedica povezanih s ispunjenjem ciljeva organizacije, te ocjena učinkovitosti aktivnosti upravljanja rizikom. Stupanj ili važnost izloženosti može se promatrati kao rizik ublažen kroz uspostavu kontrolnih aktivnosti.

3. Revizija može uključivati komponente iz strateškog plana organizacije. Inkorporiranjem komponenti strateškog plana organizacije, revizija će razmatrati i odražavati cjelokupne poslovne ciljeve. Strateški planovi obično su dobar pokazatelj stava koji je organizacija zauzela u odnosu na rizike i stupanj težine u ispunjenju planiranih ciljeva. Na reviziju će obično utjecati i rezultati procesa upravljanja rizikom. Strateški plan organizacije treba pripremiti tako da se razmotri okolina u kojoj organizacija posluje. Isti ti čimbenici okoline bi vjerojatno utjecali na reviziju i ocjenu rizika.

4. Promjene u smjeru upravljanja, ciljevima, naglasku i fokusu trebaju se odražavati u ažuriranju aktivnosti revizije i plana revizije. Najmanje jednom godišnje preporuča

149

Preporuke za rad

se ocjena revizije koja bi odražavala najnovije strategije i smjer organizacije. U nekim situacijama planove revizije bit će potrebno često ažurirati (npr. na kvartalnoj osnovi) kao odgovor na promjene u okolini upravljanja organizacije.

5. Plan revizije treba se, između ostalog, temeljiti na ocjeni prioriteta i izloženosti rizicima. Određivanje prioriteta potrebno je pri donošenju odluka o primjeni resursa koji se temelje na važnosti rizika i izloženostima. Raznolikost modela rizika postoji kako bi pomogli glavnom revizoru pri određivanju prioriteta kod potencijalnih područja revizije. Većina modela rizika koristi se faktorima rizika u uspostavi prioriteta djelovanja kao što su financijski utjecaj, likvidnost imovine, upravljačke kompetencije, kvaliteta internih kontrola, stupanj promjene ili stabilnosti, vrijeme zadnje aktivnosti revizije, složenost, odnosi između zaposlenika i uprave itd. Pri obavljanju aktivnosti revizije, metode i tehnike za testiranje i vrednovanje izloženosti trebaju odražavati važnost rizika i vjerojatnost pojave rizika.

6. Izvješćivanje uprave i priopćavanje trebaju odražavati zaključke upravljanja rizikom te preporuke za smanjenje izloženosti. Da bi uprava u potpunosti razumjela stupanj izloženosti, ključno je identificirati važnost i posljedice koje izloženost rizicima može imati na postizanje ciljeva u revizorskom izvješću.

150


Preporuka za rad 2020-1Priopćavanje i odobrenje


Povezani standard 2020 – Priopćavanje i odobrenje Glavni revizor mora obavijestiti viši menadžment i odbor o planovima provedbe interne revizije i potrebama resursa, uključujući značajne privremene promjene, u svrhu kontrole i odobrenja. Zadaća glavnog revizora također je obavijestiti o utjecaju ograničenih resursa.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom priopćavanja i traženja odobrenja za planove i resurse interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Glavni revizor treba jednom godišnje podnijeti sažetak rasporeda poslova interne revizije, plan osoblja i financijski proračun na odobrenje odboru, te ako je potrebno višem menadžmentu. Glavni revizor također treba podnijeti sve važne privremene promjene na odobrenje i radi informiranja. Raspored poslova, plan osoblja i financijski proračun trebaju biti pokazatelj višem menadžmentu i odboru o opsegu posla interne revizije i o mogućim ograničenjima vezanim uz opseg revizije.

2. Odobreni raspored aktivnosti, plan osoblja i financijski proračun, kao i sve važne privremene promjene trebaju sadržavati dovoljnu količinu informacija da omoguće upravi da ustanovi odražavaju li ciljevi i planovi interne revizije ciljeve i planove organizacije i uprave organizacije.

151

Preporuke za rad

Preporuka za rad 2030-1Upravljanje resursima


Povezani standard 2030 – Upravljanje resursimaGlavni revizor mora osigurati primjerenost resursa za internu reviziju, dostatnost te učinkovito raspoređivanje u svrhu postizanja odobrenog plana.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene resursa interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Planove osoblja i proračuna, uključujući i broj revizora, te znanje, vještine i ostale kompetencije potrebne za obavljanje aktivnosti interne revizije potrebno je odrediti sa stajališta rasporeda aktivnosti, administrativnih aktivnosti, potreba za obrazovanjem i obukom, te potrebama istraživačkog rada i razvoja.

2. Glavni revizor treba uspostaviti program za odabir i razvoj ljudskih resursa interne revizije. Program treba osigurati sljedeće:

• pisani opis poslova za svaku razinu revizorskog osoblja• odabir pojedinaca koji su kvalificirani i kompetentni za revidirana područja i u

primjeni vještina interne revizije• mogućnost obuke i kontinuirane izobrazbe za svakog internog revizora• uspostavu godišnjih ciljeva za interne revizore• vrednovanje rezultata svakog internog revizora barem jednom godišnje• savjetovanje internih revizora pri provođenju njihove aktivnosti i profesionalnom

razvoju.

3. Glavni revizor trebao bi razmotriti djelomično eksternaliziranje aktivnosti, te angažiranje drugih konzultanata ili zaposlenika ostalih organizacijskih jedinica tvrtke koji bi primijenili specijalizirane ili dodatne vještine gdje je to potrebno.

152


Preporuka za rad 2040-1Politike i procedure


Povezani standard 2040 – Politike i procedureGlavni revizor mora utvrditi politike i postupke kao smjernice za provedbu interne revizije.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom definiranja politika i procedura. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve aktivnosti, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Sadržaj i forma pisanih politika i procedura trebaju biti odgovarajući veličini i strukturi aktivnosti interne revizije i složenosti posla interne revizije. Formalni administrativni i tehnički revizorski priručnici možda neće biti potrebni za sve sudionike interne revizije. Manjim aktivnostima interne revizije može se upravljati na neformalan način. Upravljanje i kontrola revizorskog osoblja angažiranog na takvom zadatku može se vršiti putem temeljitog dnevnog nadzora i pisanih memoranduma. Za velike revizorske poslove potrebne su formalnije i sveobuhvatnije politike i procedure koje su ključne u davanju smjernica revizorskom osoblju za dosljedno slijeđenje standarda za stručnu provedbu interne revizije.

153

Preporuke za rad

Preporuka za rad 2050-1Koordinacija


Povezani standard 2050 – KoordinacijaGlavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim internim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenost te da bi se na najmanju moguću razinu svelo ponavljanje.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom koordiniranja aktivnosti s ostalim pružateljima usluga provjere i savjetovanja. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Posao interne i vanjske revizije treba biti koordiniran kako bi se osigurala adekvatna pokrivenost i broj ponavljanja sveo na najmanju moguću mjeru. Opseg interne revizije obuhvaća sustavan i discipliniran pristup procjeni i poboljšanju učinkovitosti upravljanja rizikom, kontroli rizika i procesu korporativnog upravljanja. Opseg interne revizije je opisan u Odjeljku 2100 Međunarodnih standarda za stručnu provedbu interne revizije (Standarda). U drugu ruku, uobičajeno ispitivanje vanjske revizije osmišljeno je kako bi se dobilo dovoljno dokaza koji bi potvrdili mišljenje o točnosti godišnjih financijskih izvještaja. Obujam rada vanjskih revizora određen je njihovim standardima struke i oni su odgovorni za prosudbu adekvatnosti provedenih postupaka i dokaza dobivenih u svrhu izražavanja mišljenja o godišnjim financijskim izvještajima.

2. Nadzor nad radom vanjskih revizora, uključujući i koordinaciju s internom revizijom je odgovornost uprave. Stvarna koordinacija trebala bi biti zadaća glavnog revizora. Glavni revizor će zahtijevati potporu uprave kako bi postigao učinkovitu koordinaciju revizije.

3. Pri koordiniranju aktivnosti internih revizora s aktivnostima vanjskih revizora glavni revizor trebao bi osigurati da aktivnosti koje interna revizija obavlja sukladno Odjeljku 2100 Standarda ne ponavljaju aktivnosti vanjskih revizora, na koje se može osloniti za potrebe opsega aktivnosti interne revizije. Do one mjere u kojoj to dozvoljavaju organizacijske i profesionalne odgovornosti, interni revizori trebali

154


bi izvršavati svoje zadaće na način koji omogućava maksimalnu koordinaciju i učinkovitost revizije.

4. Glavni revizor može pristati na obavljanje aktivnosti za potrebe vanjske revizije koje su povezane s njihovom godišnjom revizijom financijskih izvještaja. Aktivnosti koje provode interni revizori kao pomoć vanjskim revizorima u provođenju svojih odgovornosti podliježe svim relevantnim odredbama Standarda.

5. Glavni revizor treba provoditi redovno vrednovanje koordinacije između interne i vanjske revizije. Takvo vrednovanje može uključivati i ocjenu opće učinkovitosti i djelotvornosti funkcija interne i vanjske revizije, uključujući i ukupne troškove revizije.

6. U obavljanju svoje nadzorne funkcije, uprava može zatražiti od glavnog revizora da ocjeni aktivnost vanjskih revizora. Takva ocjena se obično radi u kontekstu uloge glavnog revizora u koordiniranju aktivnosti interne i vanjske revizije i trebala bi obuhvatiti i ostala pitanja samo na izričit zahtjev višeg menadžmenta ili odbora. Ocjena provedbe aktivnosti vanjskih revizora trebala bi se temeljiti na dovoljnoj količini informacija koja bi potvrdila zaključke revizije. Ocjena provedbe aktivnosti vanjskih revizora s obzirom na koordiniranje aktivnosti interne i vanjske revizije trebala bi odražavati kriterije opisane u ovoj Preporuci za rad.

7. Ocjena provedbe aktivnosti vanjske revizije koja obuhvaća pitanja van koordinacije s internim revizorima može uključivati dodatne čimbenike poput:• stručnih znanja i iskustva• znanja grane aktivnosti organizacije• neovisnosti• dostupnosti specijaliziranih usluga• anticipiranja i odgovora na potrebe organizacije• razmjerna kontinuiteta u osoblju angažiranom na ključnim aktivnostima• održavanja adekvatnih poslovnih odnosa• ispunjenja ugovornih obveza• podizanja opće vrijednosti organizacije.

8. Glavni revizor trebao bi priopćiti rezultate ocjene koordinacije između interne i vanjske revizije višem menadžmentu i odboru zajedno s komentarima o provedbi aktivnosti vanjske revizije u adekvatnoj mjeri.

9. Vanjski revizori prema standardima struke mogu biti obvezni osigurati da se upravu obavijesti o pojedinim pitanjima. Glavni revizor trebao bi komunicirati s vanjskim revizorima u vezi s tim pitanjima kako bi oni bili upoznati s njima. Ova pitanja mogu uključiti i sljedeće:

• pitanja koja mogu utjecati na neovisnost vanjskih revizora

155

Preporuke za rad

• značajne slabosti u kontroli• greške i nepravilnosti• nezakonitosti• prosudbe rukovodstva i računovodstvene procjene• značajne revizorske prilagodbe• neslaganja s rukovodstvom• poteškoće pri provođenju revizije.

10. Koordinacija aktivnosti revizije uključuje redovne sastanke na kojima bi se raspravljalo o pitanjima od obostranog interesa:• Pokrivenost revizije. O planiranim aktivnostima interne i vanjske revizije

trebalo bi se raspravljati kako bi se omogućila koordinacija pokrivenosti revizije i ponavljanje svelo na najmanju moguću mjeru. Potrebno je planirati dovoljan broj sastanaka tijekom procesa revizije kako bi se osigurala koordinacija revizije i učinkovito i pravovremeno dovršenje aktivnosti revizije i odredilo je li prema zapažanjima i preporukama iz aktivnosti provedenih do određenog datuma potrebna korekcija planiranih aktivnosti revizije.

• Pristup programima revizije i radnom materijalu. Pristup programu vanjskih revizora i radnim papirima može biti važan kako bi interni revizori bili zadovoljni prihvatljivošću oslanjanja na aktivnosti vanjske revizije za potrebe aktivnosti interne revizije. Takav pristup uključuje odgovornost internih revizora da poštuju povjerljivost ovih programa i radnih papira. Slično, treba omogućiti vanjskoj reviziji pristup programima i dokumentima interne revizije kako bi vanjski revizori bili zadovoljni činjenicom da se oslanjaju na rad interne revizije za potrebe vanjske revizije.

• Razmjena revizorskih izvješća i pisama uprave. Završno izvješćivanje interne revizije, odgovor rukovodstva na ta izvješća i daljnja izvješća interne revizije o aktivnostima praćenja trebaju biti dostupni vanjskim revizorima. Ova izvješća pomažu vanjskim revizorima u određivanju i prilagodbi opsega posla. Nadalje, interni revizori trebaju pristup pismima vanjske revizije upravi. Pitanja o kojima se raspravlja u pismima upravi pomažu internim revizorima u planiranju područja na koja treba staviti naglasak u idućoj aktivnosti interne revizije. Nakon pregleda pisama upravi i poduzimanja mogućih potrebnih korektivnih mjera od strane rukovodstva i članova uprave odgovornih za reviziju, glavni revizor trebao bi osigurati da su provedene odgovarajuće aktivnosti praćenja i korektivne mjere.

• Obostrano razumijevanje revizorskih tehnika, metoda i terminologije. Ponajprije, glavni revizor trebao bi poznavati planirani opseg vanjske revizije i trebao bi ustanoviti da je planirana aktivnost vanjske revizije s planiranom aktivnosti interne revizije usklađena sa zahtjevima navedenim u Odjeljku 2100 Standarda. Da bi se to postiglo, potrebno je razumijevanje razine važnosti koju vanjski revizori koriste u planiranju te prirode i opsega planiranih postupaka vanjske revizije.

Kao drugo, glavni revizor treba osigurati da vanjski revizori imaju potrebno razumijevanje tehnika, metoda i terminologije koje koriste interni revizori kako

156


bi omogućilo glavnom revizoru da: (1) koordinira aktivnosti interne i vanjske revizije; (2) procjeni, za potrebe suradnje, aktivnost vanjske revizije i (3) omogući da interni revizori koji provode pojedine aktivnosti radi ispunjavanja ciljeva vanjske revizije mogu učinkovito komunicirati s vanjskim revizorima.

Naposljetku, glavni revizor trebao bi pružiti dovoljnu količinu informacija kako bi omogućio vanjskim revizorima razumijevanje tehnika, metoda i terminologije koje koristi interna revizija i olakšao vanjskoj reviziji pri oslanjanju na aktivnosti koje se provode upotrebom takvih tehnika, metoda i terminologije. Bilo bi mnogo učinkovitije kad bi interna i vanjska revizija koristile slične tehnike, metode i terminologiju kako bi se učinkovito koordiniralo aktivnostima interne revizije i omogućilo oslanjanje interne revizije na vanjsku i obratno.

157

Preporuke za rad

Preporuka za rad 2050-2Akvizicija usluga vanjske revizije


Povezani standard 2050 – KoordinacijaGlavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim internim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenost te kako bi se na najmanju moguću razinu svelo ponavljanje.

Priroda ove preporuke za rad: Glavni revizori trebaju razmotriti ove smjernice kad su zamoljeni ili kad im je dodijeljena dužnost akvizicije usluga vanjske revizije. Ove smjernice također mogu poslužiti i odboru za reviziju i financijskom rukovodstvu ako im je povjerena dužnost akvizicije usluga vanjske revizije. Ove smjernice sadržane u Preporuci za rad ne predstavljaju sve uvjete koji mogu biti potrebni prilikom svake situacije. Glavni revizori trebaju prilagoditi i korigirati ove smjernice u skladu s potrebama radi njihovog usklađenja s posebnim uvjetima. Ova Preporuka za rad je osobito prikladna za akviziciju usluga vanjske revizije financijskih izvještaja ali također može biti korisna u angažiranju usluga vanjske revizije za druge vrste zadataka. Vidi Preporuku za rad 2050-1, „Koordinacija“, za smjernice vezane uz „koordinaciju“ aktivnosti interne i vanjske revizije.

1. Sudjelovanje internog revizora u odabiru, vrednovanju ili zadržavanju vanjskih revizora neke organizacije mogu varirati od situacije da nemaju nikakvu ulogu u procesu, do uloge savjetovanja rukovodstva ili odbora za reviziju, pomoći ili sudjelovanja u procesu, vođenju procesa ili obavljanja revizije procesa. Pošto Međunarodni standardi za stručnu provedbu interne revizije (Standardi) zahtijevaju od internih revizora da „dijele informacije i koordiniraju aktivnosti s ostalim internim i eksternim pružateljima relevantnih usluga provjere i savjetovanja“, savjetuje se da interni revizori imaju neku ulogu u odabiru ili zadržavanju vanjskih revizora i u definiranju opsega posla.

2. Politika koju je odobrila uprava ili odbor za reviziju može omogućiti redovne zahtjeve za uslugama vanjske revizije i pozicionirati takve zahtjeve kao redovne poslovne aktivnosti tako da trenutni pružatelji usluga ne smatraju odluku da se zatraže ponude kao znak da je organizacija nezadovoljna sadašnjim uslugama. Ako navedena politika ne postoji, interni revizori trebaju odrediti podliježu li takve usluge nekoj

158


drugoj postojećoj politici nabave organizacije. U nedostatku adekvatnih politika, interni revizor treba razmotriti poticanje na izradu adekvatnih politika.

3. Prikladne politike za izbor i zadržavanje usluga vanjske revizije trebaju se razmotriti s naglaskom na sljedeće karakteristike:• odobrenje politike od strane uprave ili odbora za reviziju• priroda i tip usluga koju regulira politika• trajanje ugovora, učestalost formalnih zahtjeva za uslugom i/ili volja da se zadrži

trenutni pružatelj usluga• članovi ili sudionici tima za odabir i procjenu• bilo koji važni ili primarni kriteriji koje treba razmotriti u procjeni• ograničenja cijene usluge i procedure za odobrenje iznimki od politika• regulatorni ili ostali rukovodstveni zahtjevi jedinstveni za pojedine grane

djelatnosti i zemlje.

4. Politika uprave može također obuhvatiti akviziciju usluga koje se ne odnose na reviziju financijskih izvještaja koje nude tvrtke za vanjsku reviziju. One mogu uključivati sljedeće usluge:• porezne usluge• konzultantske usluge i ostale nerevizorske usluge• eksternalizacija aktivnosti interne revizije i/ili djelomična eksternalizacija

(partnerstvo)• specifične usluge kako što su dogovorene servisne usluge• vrednovanje, procjena i aktuarske usluge• privremene usluge kao što su pronalaženje novih kadrova, knjigovodstvo i

tehnološke usluge• pravne usluge koje pružaju tvrtke za vanjsku reviziju.

5. Potrebno je čuvati dokumentaciju vezanu uz periodičke, formalne odluke da se zadrži postojeći pružatelj usluga i da se njemu da prednost, tj. odgodi angažman drugih potencijalnih pružatelja usluga.

6. Potrebno je napraviti plan odabira koji će definirati sudionike komisije za izbor, ključne usluge i ciljane datume za svaku fazu procesa, kandidate od kojih će se zahtijevati usluge, priroda i opseg usluga koje će se zatražiti i kako će se informacije priopćiti potencijalnim kandidatima. Često na početku procesa odabira organizacija može održati sastanak sa svim potencijalnim kandidatima na kojem rukovodstvo održi formalnu prezentaciju kako bi se pokrile informacije vezane uz zahtjev za uslugom i kako bi se kandidatima pružio formalni paket informacija ili izvješće s opisom zahtijevane usluge. Nakon ovakvog sastanka uvodnog karaktera, mogu uslijediti sastanci s pojedincima, tj kandidatima koji mogu uključivati i predstavnike rukovodstva. Ostale kombinacije sastanaka i paketi informacija su također praktični i prikladni za posebne situacije.

159

Preporuke za rad

7. Zahtjev koji se odvija u dvije faze može biti potreban kako bi se olakšao proces ispitivanja, tj. da se suzi ili reducira broj potencijalnih pružatelja usluga na manji broj kandidata koji su ušli u završni krug odabira. Početni zahtjevi za informacijama trebaju se usredotočiti na dobivanje izjava o kvalifikacijama koje uključuju i popis poslova i ostale općenite informacije o potencijalnim kandidatima. Potrebno je dobiti informacije o povijesti tvrtke, veličini tvrtke, dostupnim resursima, filozofiji tvrtke i revizorskom pristupu, području specijalizacije, uredu u organizaciji ili izvan organizacije u kojem će se obavljati zadaci, sličnom iskustvu, te o biografijama ključnih članova tima kojima će se povjeriti revizija.

8. Nakon početnog ispitivanja, kandidatima koji prođu u sljedeću fazu selekcije šalje se drugi zahtjev za informacijama koje pružaju specifične detalje o usluzi. Potrebno je izraditi detaljan zahtjev za uslugama koji sadrži ključne planirane usluge i planirane ključne datume. Od kandidata je potrebno zatražiti da daju specifične detalje, kao što su cijene usluga. Može se dati i raspored za ostatak procesa s rokovima za dostavu dodatnih zahtijevanih informacija, sastanke na kojima će kandidati održati prezentacije članovima komisije za odabir i datum završnog odabira. Detaljan zahtjev za uslugom treba se odnositi posebno za svaku od zahtijevanih usluga i treba biti pokazatelj da li usluge mogu biti dodijeljene kao jedan paket usluga ili ih je moguće podijeliti između većeg broja kandidata.

9. Moglo bi biti korisno usporediti i zbrojiti karakteristike kandidata po ključnim kriterijima u formatu koji bi omogućio dosljednu ocjenu svih pružatelja usluga. Mogu se postavljati pitanja koja stimuliraju proces razmatranja i usmjeravaju ocjenu na ključne kriterije. Obrazac za ocjenjivanje može olakšati sakupljanje podataka za svakog sudionika i zaključaka o svakom od kandidata. Informacije kao što su informacije o povijesti organizacije s različitim kandidatima, vrsta usluga koje je kandidat pružao te povijest naknada naplaćenih za usluge mogu pružiti komisiji za odabir adekvatno polazište za procjenu.

10. Uvjeti usluge vanjske revizije trebaju biti dokumentirani u pisanom ugovoru koji treba biti potpisan od strane pružatelja usluge i klijenta.

11. Ako proces odabira rezultira u promjeni pružatelja usluge, potrebno je napraviti prikladne planove za prijelaz kako bi se omogućilo glatko i uredno obavljanje promjene. Sve zainteresirane strane, uključujući i regulatorna tijela treba potrebno je pravovremeno obavijestiti.

12. Interni revizori trebaju odrediti kako organizacija nadzire aktivnosti vanjskih revizora koje su u tijeku. Ispunjavanje uvjeta ugovora o pružanju usluga i ostalih ugovora potrebno je redovno ocjenjivati. Ocjena neovisnosti vanjskih revizora treba uključivati i sudjelovanje interne revizije i treba je donositi barem jednom godišnje te priopćiti odboru za reviziju.

160


Preporuka za rad 2060-1:Izvještavanje

odbora i višeg menadžmenta

Tumačenje Standarda 2060 iz Međunarodnih standarda za stručnu provedbu interne revizije

Povezani standard2060 - Izvještavanje odbora i višeg menadžmentaGlavni revizor trebao bi povremeno izvještavati odbor i viši menadžment o svrsi aktivnosti interne revizije, nadležnom tijelu, odgovornosti i učinku koji je važan za njen plan. Izvještavanje bi također trebalo uključiti značajna izlaganja rizicima i probleme kontrole, probleme korporativnog upravljanja te druga pitanja koja su potrebna ili koja je zatražio odbor i viši menadžment.

Priroda ovih preporuka za rad: interni revizori trebali bi razmotriti sljedeće prijedloge pri izvještavanju odbora i višeg menadžmenta. Ove smjernice nisu namijenjene predstavljanju svega što je potrebno uzeti u obzir, već jednostavno preporučenog niza stvari kojima treba pristupiti.

1. Glavni revizor trebao bi tijekom godine povremeno predavati izvješća o aktivnosti višem menadžmentu i odboru. Izvješća o aktivnosti bi trebala naglašavati značajna zapažanja o angažmanu i preporuke te izvijestiti viši menadžment i odbor o svim važnim odstupanjima od odobrenog radnog rasporeda angažmana, plana za osoblje i financijskih sredstava te njihovih razloga.

2. Važna zapažanja o angažmanu su uvjeti koji bi, prema procjeni glavnog revizora, mogli imati štetan utjecaj na organizaciju. Važna zapažanja o angažmanu mogu uključivati uvjete u kojima rješavaju nepravilnosti, nezakonita djela, greške, neefikasnost, štete zbog nehata, neučinkovitost, sukob interesa i slabosti kontrole. Nakon što izvrši reviziju takvih uvjeta s višim menadžmentom, glavni revizor bi trebao priopćiti važna zapažanja o angažmanu i dati preporuke odboru, bilo da su one riješene na zadovoljavajući način ili ne.

3. Odgovornost rukovodstva je donošenje odluka o primjerenom djelovanju koje treba poduzeti vezano za važna zapažanja o angažmanu i preporuke. Viši menadžment može odlučiti preuzeti rizik da ne ispravi stanje o kojem je dobila izvještaj zbog troška ili drugih obzira. Odbor bi trebao biti obaviješten o odlukama višeg menadžmenta u vezi svih važnih zapažanja i preporuka.

161

Preporuke za rad

4. Glavni revizor bi trebao uzeti u obzir primjerenost pružanja obavijesti odboru u vezi s prethodno priopćenim značajnim zapažanjima i preporukama u onim slučajevima kada su viši menadžment i odbor preuzeli rizik da ne isprave stanje o kojem su primili izvještaj. Ovo može biti potrebno osobito kada je došlo do promjena organizacije, odbora, višeg menadžmenta te drugih promjena.

5. Uz teme koje su pokrivene u gornjem tekstu, izvješća o aktivnosti trebala bi također usporediti (a) stvarnu izvedbu s ciljevima aktivnosti interne revizije i revizijom radnih rasporeda i (b) rashode s financijskim sredstvima. Izvješća bi trebala objasniti razlog glavnih odstupanja i uputiti na svako poduzeto ili nužno djelovanje.

162


Preporuka za rad 2060-2:Povezanost s Odborom za reviziju

Tumačenje standarda 2060 iz Međunarodnih standarda za stručnu provedbu interne revizije

Povezani standard2060 - Izvještavanje odbora i višeg menadžmentaGlavni revizor trebao bi povremeno izvještavati odbor i viši menadžment o svrsi aktivnosti interne revizije, nadležnom tijelu, odgovornosti i učinku koji je važan za njen plan. Izvještavanje bi također trebalo uključiti značajna izlaganja rizicima i probleme kontrole, probleme korporativnog upravljanja te druga pitanja koja su potrebna ili koja je zatražio odbor i viši menadžment.

Priroda ovih preporuka za rad: interni revizori trebali bi razmotriti sljedeće prijedloge koji se odnose na povezanost aktivnosti interne revizije i odbora za reviziju nadležnog tijela.Ove smjernice nisu namijenjene tome da predoče sve što je potrebno uzeti u obzir, već samo pružaju sažetak ključnih informacija vezanih za odgovarajuće veze odbora za reviziju i interne revizije.

1. Način na koji se upotrebljava pojam ‘’odbor za reviziju’’ u ovom tekstu odnosi se na nadležno tijelo koje ima zadaću nadzora nad revizijom organizacije i kontrolnih funkcija. Iako se za ove fiducijarne dužnosti često ovlašćuje odbor za reviziju upravnog odbora, informacije u ovim preporukama za rad također bi trebale biti primjenjive na druge nadzorne grupe s jednakim ovlastima i odgovornostima, kao što su povjerenici, zakonodavna tijela, vlasnici subjekata kojima upravljaju vlasnici, interni odbori za kontrolu ili upravni odbori u punom sazivu.

2. Institut internih revizora (IIA) prepoznaje da odbori za reviziju i interni revizori imaju ciljeve koji se isprepliću. Jaka radna povezanost s odborom za reviziju je ključna za pojedinačno ispunjavanje odgovornosti prema višem menadžmentu, upravnom odboru, dioničarima i drugim vanjskim strankama. Preporuke za rad daju sažetak mišljenja IIA-a vezanih uz aspekte i karakteristike odgovarajuće povezanosti između odbora za reviziju i funkcija interne revizije. IAA potvrđuje da odgovornosti odbora za reviziju uključuju aktivnosti koje su izvan opsega ovih preporuka za rad te ni u kojem slučaju nema namjeru biti opširnim opisom odgovornosti odbora za reviziju.

3. Postoje tri područja aktivnosti koja su ključna za efikasnu povezanost između odbora za reviziju i funkcije interne revizije, prvenstveno putem osobe glavnog revizora:

163

Preporuke za rad

• pomaganje odboru za reviziju da osigura odgovarajuću povelju, aktivnosti i procese kako bi se izvršile odgovornosti

• osigurati jasno razumijevanje povelje, uloge i aktivnosti interne revizije te također da one odgovaraju potrebama odbora za reviziju i upravnog odbora

• održavanje otvorene i djelotvorne komunikacije s odborom za reviziju i predsjednikom.

Odgovornosti odbora za reviziju

4. Glavni revizor bi trebao pružati potporu odboru osiguravajući da su povelja, uloge i aktivnosti odbora odgovarajuće za postizanje odgovornosti. Glavni revizor može igrati važnu ulogu pomažući odboru da povremeno revidira svoje aktivnosti i predlaže poboljšanja. Na ovaj način glavni revizor služi kao cijenjeni savjetnik odbora vezano za teme odbora za reviziju i regulatorne prakse. Primjerni aktivnosti koje glavni revizor može poduzeti su:• najmanje jednom godišnje izvršiti reviziju i savjetovati odbor o tome bavi li se

povelja svim odgovornostima koje su usmjerene prema odboru u obliku smjernica ili mandatima od strane upravnog odbora

• izvršiti reviziju ili zadržati dnevni red planiranja za sastanke odbora za reviziju u kojem se detaljno navode sve potrebne aktivnosti kako bi se osiguralo njihovo izvršavanje i koje pomažu odboru u godišnjem izvještavanju upravnog odbora o izvršenju svih dodijeljenih obveza

• sastaviti nacrt dnevnog reda za reviziju od strane predsjednika, olakšati raspodjelu materijala članovima odbora za reviziju te voditi zapisnik sastanaka odbora za reviziju

• dati poticaj odboru za reviziju za provođenje povremene revizije svojih aktivnosti i praksa u usporedbi s najboljim trenutnim praksama kako bi se osiguralo da su njegove aktivnosti sukladne vodećim praksama

• povremeno se sastajati s predsjednikom kako bi se raspravilo zadovoljavaju li materijali i informacije dostavljeni odboru njihove potrebe

• postaviti upit odboru za reviziju o tome smatraju li korisnima neku obrazovnu ili informativnu sjednicu ili prezentaciju, primjerice osposobljavanje novih članova odbora u pogledu rizika i kontrola

• postaviti upit odboru o tome jesu li učestalost i dodijeljeno vrijeme dostatni odboru.

Uloga aktivnosti interne revizije

5. Povezanost glavnog revizora s odborom za reviziju trebala bi se koncentrirati oko središnje uloge glavnog revizora kojom se osigurava da odbor za reviziju razumije, pruža potporu i prima svu potrebnu potporu od funkcije interne revizije. IIA

164


podržava koncept ispravnog upravljanja koje ovisi o sinergiji koja se stvara između četiri različite komponente djelotvornog korporativnog upravljanja sustavom: upravni odbor, rukovoditelji, interni revizori i vanjski revizori. U toj strukturi vanjski revizori i odbori za reviziju se međusobno podupiru. Razmatranje poslova internih revizora ključno je kako bi odbor za reviziju dobio cjelovito razumijevanje poslovanja organizacije. Primarna komponenta uloge glavnog revizora s odborom je osigurati izvršenje ovog cilja, a odbor smatra glavnog revizora savjetnikom kojem vjeruje. Glavni revizor može izvršavati nekoliko aktivnosti kako bi ostvario svoju ulogu:

• zahtijevati od odbora izvršavanje revizije i odobravanje povelje interne revizije na godišnjoj osnovi. (Model povelja odjela za internu reviziju dostupan je na internetskoj stranici IIA-e pod: http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383)

• zajedno s odborom za reviziju izvršiti reviziju funkcionalnih i administrativnih linija izvještavanja interne revizije kako bi se osiguralo da organizacijska struktura koja se provodi dopušta dovoljnu nezavisnost vanjskim revizorima (Preporuke za rad 110-2'', ''Linije izvještavanja glavnog revizora'')

• u povelju odbora za reviziju uključiti pregled odluka glavnog revizora o zapošljavanju, uključujući imenovanje, kompenzaciju, procjenu, zadržavanje i otpuštanje

• u povelju uključiti prijedloge za eksternaliziranje internih revizorskih aktivnosti kako bi odbor za revizije izvršio reviziju i odobrio prijedloge

• pomagati odboru za revizije u procjeni adekvatnosti osoblja i proračuna te opsega rezultata internih aktivnosti revizije, kako bi se osiguralo da ne postoje ograničenja vezana za proračun ili opseg koja bi sprječavala sposobnost funkcije internog revizora da izvrši svoje odgovornosti

• pružiti informaciju o koordinaciji s i nadzorom drugih funkcija kontrole i praćenja (npr. upravljanje rizicima, usklađenost, sigurnost, poslovni kontinuitet, pravna, etička, ekološka i vanjska revizija).

• izvještavati o važnim pitanjima koja se odnose na procese za kontrolu aktivnosti organizacije i njenih podružnica, uključujući potencijalna poboljšanja ovih procesa i pružati informacije vezane za takva pitanja kroz rezoluciju

• pružati informaciju višem menadžmentu i odboru za reviziju o statusu i rezultatima godišnjeg plana revizije i dostatnosti sredstava odjela za viši menadžment i odbor za reviziju

• razviti fleksibilan godišnji plan revizije koristeći odgovarajuću metodologiju temeljenu na rizicima, uključujući sve rizike ili bojazni vezano za kontrolu koje je prepoznalo rukovodstvo te predati plan odboru za revizije na pregled i odobravanje kao i povremeno ažuriranje

• izvještavati o implementaciji godišnjeg plana revizije, prema odobrenju, uključujući prema potrebi bilo kakve posebne zadaće ili projekte koje je zatražilo rukovodstvo i odbor za revizije

165

Preporuke za rad

• u povelju interne revizije uključiti odgovornost odjela za internu reviziju da izvještava odbor za revizije u dogovorenim vremenskim razmacima o bilo kakvoj zloporabi koja bi uključivala rukovodstvo ili zaposlenike koji su znatno uključeni u interne kontrole tvrtke. Pomagati u istrazi značajnih aktivnosti zloporabe na koje se sumnja unutar organizacije i obavijestiti rukovodstvo i odbor za revizije o rezultatima

• odbori za reviziju trebali biti svjesni da se kvalitetna procjena aktivnosti interne revizije provodi svakih pet godina kako bi se za aktivnost revizije moglo reći da zadovoljava Međunarodne standarde za stručnu provedbu interne revizije (Standardi) IIA-a. Stalne procjene kvalitete bit će jamstvo odboru za revizije i rukovodstvu da su aktivnosti interne revizije sukladne Standardima.

Komunikacija s odborom za reviziju

6. Kako se ne bi umanjila vrijednost aktivnosti koje su zabilježene gore, u velikoj mjeri cjelokupna djelotvornost povezanosti glavnog revizora i odbora za reviziju bit će koncentrirana na komunikacije među strankama. Odbori za reviziju danas očekuju visoku razinu otvorene i iskrene komunikacije. Ako odbor glavnog revizora treba promatrati kao savjetnika u kojeg ima povjerenja, komunikacija je ključni element. Interna revizija po definiciji može pomoći odboru za reviziju da ostvari svoj cilj donoseći sustavan, discipliniran pristup svojim aktivnostima, no ako nema odgovarajuće komunikacije, odbor ovo ne može utvrditi. Glavni revizor bi trebao razmotriti davanje izvješća odboru za revizije u sljedećim područjima:• odbori za reviziju trebali bi se redovito privatno susretati s glavnim revizorom

kako bi se raspravljalo o osjetljivim problemima• pružiti godišnji izvještaj u kojem se sažima ili procjenjuje rezultate aktivnosti

revizije koji se odnose na definiranu misiju i opseg revizorskog rada• izdavati povremena izvješća odboru za reviziju i rukovodstvu sažimajući rezultate

revizorske aktivnosti• odbor za reviziju treba obavještavati o trendovima koji se pojavljuju i uspješnim

praksama u internoj reviziji• zajedno s vanjskim revizorima raspraviti o ispunjavanju potreba odbora za

informacijama • pregledati cjelovitost i točnost informacija koje se predaju odboru za reviziju • potvrditi da postoji djelotvorna i učinkovita koordinacija posla vezano za aktivnosti

internih i vanjskih revizora. Utvrditi postoji li neko udvostručavanje između rada internih i vanjskih revizora te dati razloge za takvo udvostručavanje.

166


Preporuka za rad 2100-1:Priroda posla


Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.

Priroda ovih preporuka za rad: Interni revizori trebali bi razmotriti sljedeće prijedloge kad procjenjuju prirodu rada aktivnosti interne revizije. Ove smjernice nisu namijenjene predočavanju što treba uzeti u obzir tijekom takve procjene, već jednostavno predstavljaju preporučeni niz stvari kojima bi se trebalo baviti.

1. Opseg rada interne revizije uključuje sustavni, disciplinirani pristup procjeni i poboljšanju adekvatnosti i učinkovitosti procesa upravljanja rizicima, kontrole i korporativnog upravljanja te kvalitete učinka u izvršavanju dodijeljenih odgovornosti. Svrhe procjene adekvatnosti postojećih procesa upravljanja rizicima, kontrole i korporativnog upravljanja je da pruži: (1) razumno uvjerenje da ovi procesi funkcioniraju prema namjeri te da će omogućiti ostvarivanje ciljeva i svrha i (2) preporuku za poboljšanje poslovanja organizacije i u smislu učinkovitog i djelotvornog učinka. Viši menadžment i odbor također mogu dati općenito usmjerenje u vezi opsega rada i aktivnosti koje treba revidirati.

2. Adekvatnost upravljanja rizicima, procesa kontrole i korporativnog upravljanja postoji ako ih je uprava planirala i oblikovala na način koji pruža razumno uvjerenje da će se ciljevi i svrha organizacije postići učinkovito i ekonomično. Učinkovita izvedba ostvaruje ciljeve i svrhu na točan, pravovremen i ekonomičan način. Ekonomična izvedba ostvaruje ciljevi i svrhu uz minimalno korištenje resursa (odn. troškova) razmjerno izlaganju riziku. Razumno uvjerenje daje se ako su poduzete najpovoljnije mjere u fazama oblikovanja i implementacije kako bi se smanjilo rizike i ograničilo očekivana odstupanja na razinu koja se može tolerirati. Stoga proces oblikovanja počinje određivanjem ciljeva i svrhe. Zatim slijede povezivanje ili stavljanje u međusoban odnos koncepata, dijelova, aktivnosti i ljudi na način da se može zajedno poslovati kako bi se postigli postavljeni ciljevi i svrha.

3. Učinkovitost upravljanja rizicima, procesima kontrole i korporativnog upravljanja prisutna je ako rukovodstvo usmjerava procese na takav način da pruži razumno uvjerenje da će se ostvariti ciljevi i svrhe organizacije. Uz ostvarivanje ciljeva i planiranih aktivnosti, rukovodstvo usmjerava dajući ovlasti za aktivnosti i transakcije,

167

Preporuke za rad

nadzirući učinak koji proizlazi i potvrđujući da procesi organizacije teku prema planu.

4. Općenito govoreći, rukovodstvo je odgovorno za održivost cijele organizacije i snosi odgovornost prema vlasnicima, drugim dioničarima, regulatorima i široj javnosti za djelovanje, ponašanje i učinak organizacije. Konkretno, prvenstveni ciljevi cjelokupnog procesa upravljanja su postići sljedeće:• relevantnu, pouzdanu i vjerodostojnu informaciju o financijama i poslovanju• efikasno i djelotvorno korištenje resursa organizacije • čuvanje imovine organizacije • poštivanje zakona, propisa, etičkih i poslovnih normi i ugovora• prepoznavanje izloženosti riziku i korištenje učinkovite strategije za kontrolu• utvrđeni ciljevi i svrha za poslovanje ili programe.

5. Rukovodstvo planira, organizira i usmjerava učinak dostatnih aktivnosti da se pruži razumno uvjerenje za postizanja ciljeva i svrhe. Rukovodstvo povremeno revidira svoje ciljeve i svrhu i izmjenjuje svoje procese kako bi se udovoljilo promjenama u internim i vanjskim uvjetima. Rukovodstvo također ostvaruje i održava organizacijsku kulturu, uključujući etičku klimu koja razumije izlaganje riziku i implementira djelotvorne strategije rizika za njihovo upravljanje.

6. Kontrola je bilo koje djelovanje koje poduzima rukovodstvo kako bi se poboljšala vjerojatnost ostvarivanja utvrđenih ciljeva i svrhe. Kontrola može biti preventivna (kako bi se spriječili neželjeni događaji), detektivna (kako bi se prepoznali i ispravili neželjeni događaji koji su nastupili) ili direktivna (kako bi se uzrokovao ili ohrabrio poželjni događaj). Koncept sustava kontrole je integrirani skup komponenata kontrole i aktivnosti koje koristi organizacija kako bi postigla svoje ciljeve i svrhu.

7. Interni revizori procjenjuju cijeli proces upravljanja od planiranja, organiziranja i usmjeravanja kako bi utvrdili postoji li razumno uvjerenje da će se ostvariti ciljevi i svrha. Interni revizori trebali bi paziti na prave ili potencijalne promjene internih ili vanjskih uvjeta koji utječu na sposobnost pružanja uvjerenja iz buduće perspektive. U tim slučajevima interni revizori bi se trebali baviti rizikom pogoršanja učinka.

8. Ove procjene vanjske revizije, sve u svemu, pružaju informaciju za procjenu cjelokupnog procesa upravljanja. Svi poslovni sustavi, procesi, poslovanje, funkcije i aktivnosti unutar organizacije ovisni su o procjeni internog revizora. Sveobuhvatan opseg posla internog revizora trebao bi dati razumno uvjerenje da rukovodstvo ima:• djelotvoran sustav upravljanja rizicima• adekvatan sustav interne kontrole, djelotvoran i efikasan• upravljački proces koji je djelotvoran utvrđivanjem i očuvanjem vrijednosti,

postavljanjem ciljeva, praćenjem aktivnosti i učinka te definiranjem mjere odgovornosti.

168


Preporuka za rad 2100-2:Sigurnost informacija



Priroda ovih preporuka za rad: Interni revizori trebali bi razmotriti sljedeće prijedloge pri procjeni aktivnosti upravljanja organizacije povezanih sa sigurnošću informacija. Ove smjernice nisu namijenjene predočavanju svih potrebnih postupaka za sveobuhvatno uvjerenje ili angažman za savjetovanje koji je povezan sa sigurnošću informacija, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunile srodne odgovornosti odbora i rukovodstva.

1. Interni revizori trebali bi utvrditi kako rukovodstvo i odbor imaju jasno razumijevanje da je sigurnost informacija odgovornost rukovodstva. Ova odgovornost uključuje sve ključne informacije organizacije bez obzira na medij u kojim je pohranjena informacija.

2. Glavni revizori trebali bi odrediti kako aktivnost interne revizije posjeduje ili ima pristup stručnim resursima za provođenje revizije kako bi procijenila sigurnost informacija i povezane rizike izlaganja. Ovo uključuje i interne i vanjske rizike izlaganja, uključujući izlaganje koje se odnosi na povezanost organizacije s vanjskim subjektima.

3. Interni revizori trebaju odrediti kako je odbor tražio uvjerenje od rukovodstva da će se prodori u sigurnost informacija i uvjeti koji mogu predstavljati prijetnju organizaciji odmah obznaniti onima koji obavljaju aktivnost interne revizije.

4. Interni revizori trebaju procijeniti učinkovitost preventivnih, detektivnih i mjera za ublažavanje protiv prošlih napada, prema tome što se smatra primjerenim, te budućih napada ili događaja za koje se smatra da će se vjerojatno dogoditi. Interni revizori trebali bi potvrditi da je odbor na primjeren način obaviješten o prijetnjama, slučajevima, iskorištenim slabostima te korektivnim mjerama.

5. Interni revizori bi povremeno trebali procjenjivati praksu sigurnosti informacija organizacije i prema potrebi preporučiti poboljšanja ili implementaciju novih

169

Preporuke za rad

kontrola i osiguranja. Nakon procjene, odboru treba predati izvješće o uvjerenju. Takve procjene se mogu provoditi kao odvojeni neovisni angažmani ili višestruki angažmani koje se kasnije integrira u druge revizije ili angažmane koji se provode kao dio odobrenog plana revizije.

170


Preporuka za rad 2100-3:Uloga interne revizije

u procesu upravljanja rizicima



Priroda ovih preporuka za rad: definicija interne revizije zahtijeva ‘’...discipliniran pristup procjeni i poboljšanju učinkovitosti upravljanja rizicima, procesa kontrole i korporativnog upravljanja. Interni revizori igraju ključnu ulogu u procesu upravljanja rizicima organizacije kako bi provodili internu reviziju u skladu sa standardima. U ovim preporukama za rad revizoru se pružaju smjernice za određivanje svoje uloge u procesu upravljanja rizicima organizacije i za poštivanje Standarda. Osim razmatranja koja sadrže ove preporuke za rad, mogu biti potrebna i dodatna razmatranja..

1. Upravljanje rizicima ključna je odgovornost rukovodstva. Kako bi se postigli poslovni ciljevi, rukovodstvo bi trebalo osigurati postojanje i funkcioniranje valjanih procesa upravljanja rizicima. Upravni odbori i odbori za reviziju imaju ulogu nadzora kako bi utvrdili postojanje odgovarajućih procesa upravljanja rizicima i kako su uvedeni procesi adekvatni i djelotvorni. Interni revizori trebaju pomagati i rukovodstvu i odboru za revizije pregledom, procjenom, izvještavanjem i preporukom poboljšanja adekvatnosti i učinkovitosti procesa upravljanja rizicima. Rukovodstvo i odbor snose odgovornost za upravljanje rizicima svoje organizacije i procese kontrole. Međutim, interni revizori koji igraju konzultacijsku ulogu mogu pomagati organizaciji u prepoznavanju, procjeni i implementaciji metodologija upravljanja rizicima i kontrola kako bi se pristupilo rješavanju rizika.

2. Razvoj procjena i izvješća o procesima upravljanja rizicima organizacije obično imaju visok prioritet revizije. Procjena procesa upravljanja rizicima razlikuje se od uvjeta da revizori koriste analizu rizika kako bi planirali reviziju. Međutim, informacije iz opsežnog procesa upravljanja rizicima, uključujući identifikaciju bojazni rukovodstva i odbora može pomoći internom revizoru u planiranju aktivnosti revizije.

171

Preporuke za rad

3. Glavni revizor trebao bi razumjeti očekivanja rukovodstva i odbora u vezi aktivnosti interne revizije u procesu upravljanja rizicima organizacije. Ovo razumijevanje trebalo bi kodificirati u povelji aktivnosti interne revizije i odbora za reviziju.

4. Odgovornosti i aktivnosti bi trebalo koordinirati između svih grupa i pojedinaca s ulogom u procesu upravljanja rizicima organizacije. Ove odgovornosti i aktivnosti trebalo bi dokumentirati na odgovarajući način u strateškim planovima organizacije, mjerama odbora, direktivama uprave, postupcima u poslovanju i drugim instrumentima upravljačkog tipa. Primjeri aktivnosti i odgovornosti koje bi trebalo dokumentirati uključuju:• određivanje strateškog smjera moglo bi biti odgovornost upravnog odbora ili

odbora za reviziju• vlasništvo rizika moglo bi se dodijeliti razini višeg menadžmenta• prihvaćanje preostalog rizika moglo bi biti odgovornost razine izvršnog

rukovodstva• kontinuirani procesi prepoznavanja, procjene, ublažavanja i nadzora mogu se

dodijeliti na razini poslovanja i• povremena procjena i uvjerenje drugima trebala bi preuzeti interna revizorska

aktivnost.

5. Od internih revizora očekuje se prepoznavanje i procjena značajnog izlaganja rizicima u normalnom tijeku svojih dužnosti.

6. Uloga aktivnosti interne revizije u procesu upravljanja rizicima organizacije može se tijekom vremena promijeniti te pronaći u nekom trenutku u kontinuumu koji se proteže od:• bez uloge prema reviziji procesa upravljanja rizicima kao dio internog plana

revizije do• aktivne, kontinuirane podrške i uključenosti u proces upravljanja rizicima kao

što je sudjelovanje u odborima za nadzor, aktivnostima praćenja i izvještavanja o stanju do upravljanja i koordinacije procesom upravljanja rizicima.

7. Konačno, uloga je izvršnog menadžmenta i odbora za reviziju odrediti ulogu interne revizije u procesu upravljanja rizicima. Stajalište rukovodstva glede uloga internih revizora vjerojatno će biti određeno faktorima kao što je kultura organizacije, sposobnost osoblja za internu reviziju, uvjeta koji vladaju na području te običaja zemlje.

8. Dodatne smjernice mogu se naći u sljedećim preporukama za rad:• PR2100-4, ‘’Uloga interne revizije u organizacijama bez procesa upravljanja

rizicima’’• PR1130.A1-2,’’Odgovornost interne revizije za ostale (nerevizorske) funkcije’’• PR2110-1,’’Procjena adekvatnosti procesa upravljanja rizicima’’• PR2010-2,’’Povezivanje plana revizije s rizikom i izloženostima“.

172



u organizacijama bez procesa upravljanja rizicima

Tumačenje standarda 2100 iz Međunarodnih standarda

za stručnu provedbu interne revizije

Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima upravljanja koristeći se sustavnim i discipliniranim pristupom.

Priroda ovih preporuka za rad: Definicija interne revizije zahtijeva ‘’..discipliniran pristup procjeni i poboljšanju učinkovitosti upravljanja rizicima, kontrole i procesa korporativnog upravljanja. Interni revizori igraju ključnu ulogu u procesu upravljanja rizika organizacije kako bi provodili internu reviziju u skladu sa Standardima. Međutim, neke organizacije nemaju ustanovljen proces upravljanja rizicima. Ovim preporukama za rad internim revizorima želi se pružiti smjernice za određivanje njihove uloge u organizaciji bez ustanovljenog procesa za upravljanje rizicima. Osim razmatranja koja sadrže ove preporuke za rad, mogu biti potrebna i daljnja razmatranja.

1. Upravljanje rizicima je ključna odgovornost uprave. Kako bi se postigli poslovni ciljevi, uprava bi trebala osigurati valjane procese upravljanja rizicima koji se primjenjuju i funkcioniraju. Upravni odbori i odbori za reviziju imaju nadzornu ulogu kako bi utvrdili da su ovi procesi adekvatni i djelotvorni. Interni revizori trebaju pomagati i upravi i odboru za reviziju pregledom, procjenom, izvještavanjem i preporukom poboljšanja glede adekvatnosti i učinkovitosti procesa upravljanja rizicima uprave. Uprava i odbor snose odgovornost za upravljanje rizicima svoje organizacije i procese kontrole. Međutim, interni revizori koji igraju konzultacijsku ulogu mogu pomagati organizaciji u prepoznavanju, procjeni i implementaciji metodologija upravljanja rizicima i kontrolama kako bi se pristupilo tim rizicima.

2. Razvoj procjena i izvješća o procesima upravljanja rizicima organizacije obično imaju visok prioritet revizije. Procjena procesa upravljanja rizicima razlikuje se od uvjeta da revizori koriste analizu rizika kako bi planirali reviziju. Međutim, informacija iz opsežnog procesa upravljanja rizicima, uključujući identifikaciju bojazni uprave i odbora može pomoći internom revizoru u planiranju aktivnosti revizije.

173

Preporuke za rad

3. Glavni revizor trebao bi razumjeti očekivanja uprave i odbora u vezi aktivnosti interne revizije u procesu upravljanja rizicima organizacije. Ovo razumijevanje trebalo bi kodificirati u povelji aktivnosti interne revizije i odbora za reviziju.

4. Ako organizacija nema utvrđeni proces upravljanja rizicima, interni revizor bi navedeno trebao naglasiti upravi, zajedno s prijedlozima za utvrđivanje takvog procesa. Interni revizor trebao bi tražiti upravu i odbor da ga usmjeri vezano za ulogu aktivnosti u procesu upravljanja rizicima. Povelja i revizorske aktivnosti i odbor za reviziju trebali bi dokumentirati ulogu svakog od njih u procesu upravljanja rizicima.

5. Prema zahtjevu interni revizori mogu igrati proaktivnu ulogu pomažući u prvotnom uspostavljanju upravljanja procesima rizika za organizaciju. Proaktivnija uloga nadopuna je tradicionalnim aktivnostima uvjerenja s konzultacijskim pristupom poboljšanju temeljnih procesa. Ako takva pomoć prijeđe razumno uvjerenje i aktivnosti savjetovanja koje provode interni revizori, to bi moglo oštetiti neovisnost. U ovim situacijama interni revizori trebali bi poštovati uvjete o objavljivanju sadržane u Međunarodnim standardima za stručnu provedbu interne revizije (Standardi). Dodatne smjernice se također mogu naći u Preporukama za rad 1130.A1-2, ‘’Odgovornost interne revizije za ostale (nerevizijske) funkcije’’.

6. Proaktivna uloga u razvoju i upravljanju procesom upravljanja rizicima nije ista kao uloga ‘’vlasništva rizika’’. Kako bi se izbjegla uloga ‘’vlasništva rizika’’, interni revizori trebali bi zatražiti potvrdu od uprave s obzirom na njenu odgovornost za prepoznavanje, olakšavanje, praćenje i ‘’vlasništvo’’ nad rizicima.

7. Sažeto rečeno, interni revizori mogu olakšati ili omogućiti proces upravljanja rizicima, no oni ne bi trebali ‘’posjedovati’’ ili biti odgovorni za upravljanje prepoznatim rizicima.

174


Preporuka za rad 2100-5:Pravni obziri

u procjeni programa regulacijskog usklađivanja



Priroda ovih preporuka za rad: Interni revizori trebaju razmotriti sljedeće prijedloge kada procjenjuju programe regulacijskog usklađivanja organizacije. Namjera ovih preporuka za rad nije predstavljanje svih postupaka koji su potrebni za opće uvjerenje ili konzultacijski angažman u vezi s regulacijskim usklađivanjem.

Upozorenje: Interne revizore se potiče da potraže savjet pravnika u vezi sa svim pravnim pitanjima budući da uvjeti mogu znatno varirati u različitim nadležnostima. Smjernice koje su sadržane u ovim preporukama za rad su temeljene prvenstveno na pravnom sustavu Sjedinjenih Američkih Država.

1. Programi usklađivanja pomažu organizacijama u sprječavanju nenamjernih povrjeda zaposlenika, otkrivanju nezakonitih aktivnosti i odvraćanju od namjernih povreda zaposlenika. Također mogu pomagati u dokazivanju odštetnih zahtjeva, određivanju odgovornosti direktora i rukovoditelja, stvoriti ili poboljšati identitet tvrtke i odlučiti o primjerenosti kaznenih odšteta. Interni revizori trebali bi procijeniti programe regulacijskog usklađivanja organizacije u svjetlu sljedećih preporučenih koraka za djelotvorne programe usklađivanja.

2. Organizacija bi trebala ustanoviti standarde usklađivanja i postupke koje trebaju slijediti njeni zaposlenici i drugi činitelji koji su u nekoj mjeri sposobni za smanjivanje mogućnosti kažnjivog ponašanja.• Organizacija bi trebala razviti pisani poslovni kodeks ponašanja koji jasno

određuje zabranjene aktivnosti. Ovaj kodeks bi trebao biti napisan na jeziku koji razumiju svi zaposlenici, uz izbjegavanje pravnog žargona.

• Dobar kodeks daje smjernice zaposlenicima o relevantnim problemima. Kontrolna lista, dio s pitanjima i odgovorima i s uputom za dodatne izvore daljnje informacije pomažu učiniti kodeks prihvatljivim za korisnike.

• Organizacija bi trebala sastaviti organizacijski dijagram na kojem su označeni članovi odbora, viši službenici, viši rukovoditelji za usklađivanje i osoblje odjela koje je odgovorno za implementaciju programa usklađivanja.

175

Preporuke za rad

• Kodeks ponašanja koji se smatra opterećen pravnim izrazima i ‘’jednostranim’’ od strane zaposlenika može povećati rizik da će se zaposlenici početi baviti neetičnim ili nezakonitim ponašanjem, dok su kodeksi koje se smatra jasnim i pravednim smanjuju rizik zaposlenika da se počnu baviti takvim aktivnostima .

• Tvrtke koje koriste sustav nagrađivanja uz koje su povezani financijski poticaji za naoko neetično ili nezakonito ponašanje mogu očekivati loše okruženje za usklađivanje.

• Tvrtke s međunarodnim poslovanjem trebale bi uvesti program usklađivanja na globalnoj bazi, ne samo za izabrane zemljopisne lokacije. Takvi programi trebaju odražavati odgovarajuće lokalne uvjete, zakone i propise.

3. Određenim pojedincima ili pojedincu unutar visoko rangiranog osoblja u organizaciji trebalo bi dodijeliti cjelokupnu odgovornost nadgledanja regulacijskog usklađivanja sa standardima i postupcima.• Visoko rangirano osoblje organizacije znači pojedince koji imaju veliku kontrolu

nad organizacijom ili veliku ulogu u stvaranju politike u okviru organizacije.• Visoko rangirano osoblje organizacije uključuje: direktora, izvršnog rukovoditelja,

pojedinca koji vodi glavnu funkcionalnu ili poslovnu jedinicu organizacije, kao što je prodaja, administracija ili financije i pojedinac sa znatnim vlasništvom dionica.

• Kako bi bili u potpunosti djelotvorni, izvršni direktor i drugo visoko rukovodstvo moraju biti u značajnoj mjeri uključeni u program.

• Dodjela glavne odgovornosti za usklađivanje glavnom savjetniku tvrtke u nekim organizacijama može uvjeriti zaposlenike da uprava nije posvećena programu i da je program važan samo pravnom odjelu, a ne cijeloj tvrtci. U drugim organizacijama suprotno može biti istinito.

• U velikoj tvrtci s nekoliko poslovnih jedinica odgovornosti za usklađivanje trebaju se dodijeliti visoko rangiranom osoblju u svakoj jedinici.

• Za tvrtku nije dovoljno stvoriti položaj glavnog rukovoditelja za usklađivanje i izabrati ostatak jedinice za usklađivanje. Tvrtka bi također trebala osigurati da navedeno osoblje ima odgovarajuću punomoć te resurse koji su potrebni za izvršavanje njihove misije. Osoblje za usklađivanje treba imati adekvatan pristup višem menadžmentu. Glavni rukovoditelj za usklađivanje bi trebao direktno izvještavati izvršnog direktora.

4. Organizacija bi trebala obratiti dužnu pozornost da ne delegira veliku diskrecijsku odgovornost pojedincima za koje organizacija zna, ili bi trebala znati uslijed provođenja dužne pozornosti, da imaju sklonost upuštanja u nezakonite aktivnosti. • Tvrtke bi trebale kandidate za zaposlenje na svim razinama podvrgnuti ispitivanju

prošlih prekršaja, posebno onih unutar korporativnog sektora.• U prijavama za zaposlenje trebalo bi tražiti potvrdu o nekažnjavanju. Stručnjake

bi trebalo ispitati o bilo kakvom disciplinskom postupku pred odborom za licenciranje.

176


• Trebalo bi obratiti dužnu pozornost osiguranju kako tvrtka ne bi povrijedila prava privatnosti zaposlenika i kandidata prema vrijedećim zakonima. Mnoge nadležnosti imaju zakone koji ograničavaju količinu informacija koje tvrtka može dobiti pri izvođenja provjere povijesti zaposlenika.

5. Organizacija bi trebala poduzeti korake da sve zaposlenike i druge činitelje učinkovito izvijesti o svojim standardima i postupcima, npr. zahtjevom za sudjelovanje u programima obuke ili distribucijom materijala koji na praktičan način objašnjavaju što je potrebno.• Učinkovitost programa usklađivanja ovisit će o načinima na koje ih se objavi

zaposlenicima. Općenito govoreći, interaktivni format je bolji od predavanja. Programi koje se predstavlja osobno obično funkcioniraju bolje nego programi koje se prenosi isključivo kroz formate videa ili igre. Programi koji se povremeno ponavljaju bolji su od jednokratnih prezentacija.

• Najbolji programi uključuju obuku zaposlenika koja im dopušta vježbanje novih tehnika i korištenje novih informacija. Takve aktivnosti su posebno prikladne s obzirom na obuku upravljanja, no djelotvorne su u pogledu zaposlenika na svim razinama.

• Jezik koji se koristi u kodeksu ponašanja organizacije i u priručnicima za zaposlenike trebao bi biti jednostavan za razumijevanje. Trebaju se pronaći i implementirati alternativne metode informiranja o kodeksu i priručniku za zaposlenike kojima nedostaje formalnog obrazovanja.

• Preporuke za usklađivanje, izjave i upozorenja trebalo bi raspodijeliti zaposlenicima u raznovrsnim medijima na raspolaganju: biltenima, posterima, e-mailom, upitnicima i prezentacijama.

• Organizacije bi trebale predstaviti program na raznim prigodama različitim grupama zaposlenika, ciljajući na informacije predstavljene na područjima koja su važna svakoj funkcionalnoj grupi zaposlenika. Informacije bi trebale biti prilagođene zahtjevima posla te grupe. Na primjer, informacije o usklađivanju ekologije trebalo bi usmjeriti na one odjele kao što je proizvodni ili upravljanje nekretninama gdje postoji veća vjerojatnost kršenja ili otkrivanja kršenja takvih zakona i propisa. S druge strane, pružati takvu obuku odjelu koji nema nikakve takve odgovornosti moglo bi biti štetno, kao i ohrabrivati apatiju zaposlenika ili vjerovati da program nije dobro osmišljen.

• Novi zaposlenici trebali bi dobiti temeljnu obuku usklađivanja kao dio svoje orijentacije. Kasnije ih se može uključiti u tekuća nastojanja za usklađivanje u njihovim odjelima.

• Agente organizacije trebalo bi zamoliti da pohađaju prezentacije koje su usmjerene posebno na njih. Važno je da organizacija obavijesti svoje agente o temeljnim vrijednostima organizacije, te da se akcije njenih agenata u ime tvrtke prati u vezi s programom usklađivanja. Organizacija bi trebala biti spremna prestati poslovati s agentima koji ne poštuju standarde usklađivanja organizacije.

• Organizacije bi od zaposlenika trebale zahtijevati povremenu potvrdu kako su pročitali, razumjeli i djelovali u skladu s kodeksom ponašanja tvrtke. Ovu

177

Preporuke za rad

informaciju bi trebalo godišnje priopćiti višem menadžmentu i upravnom odboru.

• Svi dokumenti povezani s etikom-kodeksi ponašanja, mjere ljudskih resursa/priručnici itd. – trebali bi biti dostupni svim zaposlenicima. Stalna mogućnost pristupa, kao na primjer kroz intranet organizacije, snažno se potiče.

6. Organizacija bi trebala poduzeti razumne korake kako bi postigla usklađenost sa svojim standardima, npr. korištenjem sustava za praćenje i reviziju pravilno osmišljenih koraka za opažanje kažnjivog ponašanja od strane svojih zaposlenika i drugih agenata te uz pomoć postojećeg i objavom sustava izvještavanja putem kojeg bi zaposlenici i drugi agenti mogli prijaviti kažnjivo ponašanje od strane drugih u okviru organizacije, a bez straha odmazde. • Organizacija bi trebala posvetiti određeni iznos svojih sredstava za plan interne

revizije koji je primjeren veličini tvrtke te težini zadaće revizije. Plan revizije bi se trebao koncentrirati na aktivnosti organizacije u svakom od njenih poslova.

• Plan revizije bi također trebao uključivati pregled programa usklađivanja organizacije i njene postupke, uključujući preglede za određivanje sljedećeg: jesu li pisani materijali djelotvorni, dobivaju li zaposlenici izvješća, obrađuju li se otkriveni prekršaji na primjeren način, je li disciplina bila pravedna, protiv doušnika nije bilo odmazde, te je li jedinica za usklađivanje ispunila svoje dužnosti. Revizori bi trebali pregledati program usklađivanja kako bi odredili može li ga se odobriti te zamoliti zaposlenike za ulazne informacije u tom pogledu.

• Svaki program trebao bi imati ‘’vruću liniju’’ ili drugi sustav prijave prema kojem zaposlenici mogu prijaviti aktivnost za koju vjeruju da je neetička, nezakonita ili protiv kodeksa ponašanja tvrtke. Zaposlenici moraju biti slobodni prijaviti takvo ponašanje bez straha od odmazde.

• Iako je odvjetnik koji prati vruću liniju u boljoj poziciji zaštititi tajnost odnosa odvjetnik-klijent i posao-proizvod, u jednoj studiji je primijećeno da zaposlenici imaju malo povjerenja u vruće linije na koje odgovora pravni odjel ili vanjska služba. Ista studija je pokazala da se zaposlenici još manje pouzdaju u izvješća koja trebaju ispuniti ili u osobu za žalbe izvan tvrtke, no imaju najviše povjerenja u vruće linije na koje odgovaraju predstavnici unutar tvrtke uz prateće mjere bez odmazde.

• Korištenje osobe zadužene za žalbe unutar organizacije je djelotvornije ako ona direktno izvještava rukovoditelja za usklađivanje ili upravni odbor, ako osoba zadužena za žalbe drži imena doušnika tajnom, ako osoba zadužena za žalbe daje smjernice doušnicima, te ako poduzima naknadnu reviziju kako bi se osiguralo da nije došlo do odmazde. Uz to, neke nadležnosti osobama zaduženima za žalbe priznaju ograničenu obvezu tajnosti prema kojem je osoba zadužena za žalbe zaštićena od davanja povjerljivih izvješća koje su joj doušnici odali.

• Djelotvorno oruđe za otkrivanje neetičkih i nezakonitih aktivnosti je etički upitnik. Svaki zaposlenik organizacije trebao bi primiti upitnik u kojem se zaposlenika pita zna li nešto o podmićivanju ili drugim nezakonitim djelima.

178


Kako bi se zaštitila tajnost, upitnik bi trebalo poslati savjetnik organizacije, u njemu bi trebala biti izjava da je upitnik zaštićen povjerljivošću informacija, a zaposlenici trebaju ispuniti upitnik, potpisati te vratiti upitnik bez stvaranja kopije, uz izjavu da organizacija zadržava pravo objaviti informaciju koju je tvrtka primila državnim agencijama ili u sudskom procesu.Treba napomenuti da se povjerljivost informacija gubi ako se upitnik otkrije vanjskim stranama.

7. Standarde treba dosljedno provoditi kroz odgovarajuće disciplinske mehanizme uključujući prema potrebi discipliniranje pojedinaca koji su odgovorni za neuočavanje prekršaja. Adekvatno discipliniranje pojedinaca koji su dogovorni za prekršaj je potrebna sastavnica primjene; međutim, oblik discipliniranja koje je potreban određivat će se ovisno o slučaju.

8. Program usklađivanja trebao bi sadržavati disciplinski sustav prema kojem oni koji prekrše kodeks ponašanja organizacije bivaju kažnjeni prema prekršaju, kao što je upozorenje, neisplata, suspenzija, premještaj ili otkaz. No, ako se otkrije da je zaposlenik počinio neko nezakonito djelo, organizacija će morati otpustiti zaposlenika u skladu s obvezom organizacije da koristi ‘’dužnu pažnju da ne delegira veliko diskrecijsko ovlaštenje pojedincima za koje je organizacija znala, ili trebala znati kao posljedica provođenja dužne pažnje, da imaju sklonost upuštanja u nezakonite aktivnosti.’’ • Discipliniranje prema programu mora biti pravedno. Program ima malu šansu

za uspjeh ako se ne kažnjava neetička ili nezakonita aktivnost, posebice ako se povezuje s aktivnostima višeg menadžmenta ili velikih proizvođača. Prekršaji koji se ignoriraju od strane tih osoba poticat će takvo ponašanje kod ostalih zaposlenika.

• Otkaz ili druge disciplinske akcije prema zaposlenicima mogu biti ograničene zakonima o doušnicima, uz iznimku doktrine slobodnog otpuštanja zaposlenika, ugovora sa zaposlenicima ili sindikatima i dužnostima zaposlenika u pogledu diskriminacije, nezakonitog otpuštanja i zakona/doktrina loše vjere poslodavca.

• Program bi trebao pružati discipliniranje rukovoditelja i dugih odgovornih osoba koje su znale ili trebale znati o kršenju dužnosti, a nisu ga prijavile. Nemogućnost programa da to učini može se sudu učiniti kao neučinkovitost programa; program tada neće imati povoljan utjecaj na presudu.

• Organizacija bi trebala imati obzira i biti temeljita u dokumentiranju discipline zaposlenika. Organizacija bi trebala biti u stanju dokazati da je učinila najbolje što je mogla kako bi sakupila informacije u pogledu bilo kakvog događaja te je djelovala na primjeren način na temelju dostupnih informacija.

9. Nakon otkrivanja prekršaja, organizacija bi trebala poduzeti sve opravdane korake kako bi na primjeren način odgovorila na prekršaj i spriječila ponavljanje sličnih prekršaja-uključujući sve potrebne izmjene svojeg programa za sprječavanje i otkrivanje kršenja zakona.

179

Preporuke za rad

• Organizacija bi na primjeren način trebala odgovoriti na svaki prekršaj koji je otkriven programom usklađivanja. Primjereni odgovori uključuju disciplinsku akciju koja se poduzima u odnosu na one koji su uključeni u kažnjivo ponašanje.

• U nekim okolnostima primjeren odgovor može zahtijevati samostalnu prijavu kršenja vladi, suradnju s vladinim istragama i prihvaćanje odgovornosti za kršenje. Treba napomenuti da, slično kao što postoji djelotvorni program za usklađivanje, ovi odgovori bi mogli rezultirati smanjenjem novčane kazne za organizaciju od strane suda.

• Ozbiljno kršenja zakona koje nije uočeno ili spriječeno moglo bi biti naznaka da program usklađivanja treba dobro preispitati. Nakon otkrivanja prekršaja osoblje za usklađivanje bi trebalo barem pregledati program kako bi utvrdilo treba li napraviti promjene.

• S obzirom na kršenje, promjena koja će vjerojatno biti potrebna može biti zamjena ili reorganizacija osoblja za usklađivanje. Zapravo, organizacija bi mogla disciplinirati ili zamijeniti svakog rukovoditelja koji nije primijetio ili spriječio kršenje dužnosti u područjima pod nadzorom upravitelja, posebice ako je prekršaj takav kakvog je rukovoditelj trebao primijetiti.

180


Preporuka za rad 2100-6:Implikacije kontrole i revizije pri

aktivnostima e-trgovine



Priroda ovih preporuka za rad: Rast e-trgovine nastavlja se brzim korakom, i za aplikacije posao do posla i posao do korisnika. Djelotvorne kontrole i procesi ključni su za uspješan razvoj i implementaciju strategije e-trgovine. Stoga nastojanje djelotvorne procjene e-trgovine treba biti ključan dio godišnjeg plana revizije za mnoge tvrtke. Ove preporuke za rad daju pregled kontrola i implikacija za reviziju. Dodatni resursi za praktičare su: IIA-ov proizvod Uvjerenje sustava i kontrola (SAC) i drugi izvještaji o tehnologiji i objave ISACA. Oba su razvili smjernice i kriterije procjene elektronskih sustava i modela.

1. Elektronička trgovina (e-trgovina) općenito se definira kao ‘’izvršavanje komercijalnih aktivnosti preko interneta.’’ Ove komercijalne aktivnosti mogu biti posao do posla (B2B) i posao do korisnika (B2C) i posao do zaposlenika (B2E).

Rast e-trgovine bio je dramatičan, a očekuje se da će rasti još brže u godinama koje dolaze. Aktualna objava istraživačke zaklade IIA-a, Uvjerenje sustava i kontrola (SAC), te uspjeh www.ITAudit.org temeljenog na internetu te različitih e-mail biltena IIA-a potvrđuje da tehnologija ne samo da daje podršku strategiji e-trgovine, već je sastavni dio. Promjene temeljene na internetu i drugim tehnologijama imaju dramatičan utjecaj na društvo, upravljanje, gospodarstvo, konkurenciju, tržišta, organizacijsku strukturu i nacionalnu obranu. Jasno, ove promjene i dramatičan rast e-trgovine stvorile su velike izazove kontrole i upravljanja koje trebaju razmotriti interni revizori pri razvoju i implementiranju svojih planova revizije.

Razumijevanje i planiranje angažmana e-trgovine

2. Stalne tehnološke promjene otvaraju struci interne revizije velike mogućnosti i rizike. Prije pokušaja davanja uvjerenja o sustavima i procesima, interni revizor trebao bi razumjeti promjene u informacijskim i poslovnim sustavima, povezane rizike, te poklapanje strategija s oblikom poduzeća i zahtjevima tržišta. Interni revizor trebao

181

Preporuke za rad

bi izvršiti pregled strateškog planiranja uprave i procesa procjene rizika te odluka o sljedećem: • Koji su rizici ozbiljni?• Koje se rizike može osigurati?• Koje aktualne kontrole će ublažiti rizike?• Koje su dodatne kompenzirajuće kontrole potrebne?• Koja vrsta praćenja je potrebna?

3. Glavne značajke revizije aktivnosti e-trgovine su sljedeće: • procijeniti strukturu interne kontrole, uključujući smjer koji diktira viši

menadžment,• pružiti razumno uvjerenje da se mogu postići svrha i ciljevi• odrediti jesu li rizici prihvatljivi• razumjeti protok informacija• revidirati probleme sučelja (hardver do hardvera, softver do softvera i hardver do

softvera) i• procijeniti poslovni kontinuitet i planove oporavka od katastrofe.

4. U obavljanju angažmana kod e-trgovine dužnost je glavnog revizora brinuti o kompetentnosti i sposobnosti interne revizije. Između ostalog, mogući čimbenici koji bi mogli predstavljati prepreku internoj reviziji su sljedeći:• Ima li aktivnost interne revizije dovoljne vještine? Ako ne, mogu li se te vještine

naučiti?• Je li potrebna obuka ili drugi resursi?• Je li razina popunjenosti osobljem kratkoročno i dugoročno dovoljna?• Može li očekivani plan revizije biti realiziran?

5. Pitanja internog revizora tijekom procjene. Publikacija IIA-a, SAC, može pomoći internom revizoru u planiranju revizije i procjeni rizika. Uključuje listu područja e-trgovine koja bi trebala biti od interesa internom revizoru koji poduzima angažman i procjenu rizika. Pitanje koje moraju razmotriti interni revizori je: • Postoji li poslovni plan za projekt ili program e-trgovine?• Pokriva li plan integraciju planiranja, dizajna i implementacije sustava e-trgovine

sa strategijama organizacije?• Koji će biti utjecaj na učinak, sigurnost, pouzdanost i dostupnost sustava?• Hoće li funkcionalnost zadovoljiti potrebe krajnjeg korisnika (npr. zaposlenika,

klijenata, poslovnih partnera) kao i ciljeve uprave?• Jesu li uvjeti vlade i propisi analizirani i uzeti u obzir?• Koliko je siguran hardver i softver i hoće li se spriječiti ili otkriti neovlašteni

pristup, neprimjereno korištenje i druge štetne efekte i gubitke?• Hoće li obrada transakcija biti aktualna, točna, cjelovita i nesporna?• Dopušta li kontrolno okruženje organizaciji da postigne svoje ciljeve e-trgovine

kada se kreće od koncepcija do rezultata?• Uključuje li procjena rizika interne i vanjske sile?

182


• Je li započelo bavljenje prisutnim rizicima povezanima s internetom i ponuđačem interneta (kao što je pouzdanost temeljnih komunikacija, ovlaštenje korisnika, te tko ima pristup)?

• Je li započeto bavljenje drugim problemima (na primjer, objavljivanje povjerljivih poslovnih informacija, zloporaba intelektualnog vlasništva, kršenje autorskih prava, povrjeda zaštitnog znaka, kleveta na internetskim stranicama, prijevara, zloporaba elektroničkih potpisa, povrede privatnosti i povreda ugleda)?

• Ako se koriste vanjski prodavatelji, je li provedena procjena trajnog poslovanja od strane trećih kojima se vjerujete i koji su ovlašteni za certifikaciju prodavatelja?

• Ako prodavatelji pružaju usluge hostinga, imaju li testirani plan poslovne kontingencije? Jesi li pružili aktualno izvješće SAS-70 (izvješća SAS-70 mogu ponuditi vrijedne informacije o internim kontrolama korisničkim organizacijama)?

• Također, jesu li riješena pitanja privatnosti?• Uključuje li ugovor prava na reviziju?

Rizici e-trgovine i problemi kontrole

6. Rizik e-trgovine i okolina kontrole su komplicirani i razvijaju se. Rizik se može definirati kao nesigurnost događaja koji će se dogoditi, a koji bi mogao imati negativan utjecaj na postizanje ciljeva. Rizik je prisutan u svakom poslu ili vladinom subjektu. Rizici mogućnosti koje preuzima uprava često potiču organizacijske aktivnosti. Osim ovih mogućnosti, mogu postojati prijetnje i druge opasnosti koje se ne razumije jasno niti procjenjuje u potpunosti te ih se olako prihvaća kao dio poslovanja. U pokušaju upravljanja rizikom, ključno je razumjeti elemente rizika. Također je važno biti svjestan novih prijetnji i promjena u tehnologiji koje stvaraju nova ranjiva mjesta u sigurnosti informacija. U svrhu upravljanja, sedam ključnih pitanja u donjem tekstu može poslužiti za identificiranje organizacijskih rizika i usmjeravanje na potencijalne načine kontroliranja ili olakšavanja izloženosti. (Stručnjaci za rizike koriste mnogo različitih pristupa upravljanju rizikom; ova pitanja ilustriraju jedan pristup.) Elementi rizika povezani s pitanjima prikazani su u zagradama.(a) Identifikacija rizika i kvantifikacija

• Koji događaj bi mogao imati negativan utjecaj na sposobnost organizacije da postigne svoje ciljeve i izvrši svoju strategiju? [prijeteći događaji]• Ako se taj događaj ostvari, kakav je njegov potencijalni financijski utjecaj? [vrijednost izloženosti pojedinačnom gubitku]• Koliko često se takav događaj može dogoditi? [učestalost]• Koliko su vjerojatni odgovori na prva tri pitanja? [nesigurnost]

(a) upravljanje rizicima i olakšavanje • Što se može učiniti kako bi se izbjeglo, ublažilo i detektiralo rizike i pružilo

upozorenje? [zaštita i kontrole] • Koliko će to stajati? [zaštita i troškovi kontrole]

183

Preporuke za rad

• Koliko bi to bilo učinkovito? [analiza troškova i koristi ili analiza povrata ulaganja]

7. Neki od važnijih rizika i problema kontrole kojima se mora pozabaviti interni revizor su:• općeniti rizici upravljanja projektom• određene prijetnje sigurnosti, kao što su odbijanje usluge, fizički napadi, virusi,

krađa identiteta i neovlašteni pristup ili objavljivanje podataka• održavanje integriteta transakcije pod kompleksnom mrežom poveznica na

sustavima nasljeđivanja i skladištima podataka• pregled sadržaja web stranice i potvrda u slučaju čestih promjena i profinjenih

elemenata za korisnike i sposobnosti koje nude uslugu 24 sata na dan• brze promjene tehnologije• pravna pitanja, kao što su rastući propisi diljem svijeta kojima se želi zaštititi

privatnost pojedinca; provedivost ugovora izvan države u kojoj se nalazi organizacija; te problemi oporezivanja i računovodstva

• promjene u okruženju poslovnog procesa i organizacijskih struktura.

Revizija aktivnosti e-trgovine

8. Cilj cjelokupne revizije trebao bi biti osiguranje svim procesima e-trgovine djelotvornih internih kontrola. Upravljanje inicijativama e-trgovine trebalo bi dokumentirati u strateškom planu koji je dobro razvijen i odobren. Ako postoji odluka da se ne sudjeluje u e-trgovini, ta odluka mora se pažljivo analizirati, dokumentirati i odobriti od strane upravnog odbora.

9. Ciljevi revizije za angažman e-trgovine mogu uključivati: • dokaze transakcije e-trgovine• dostupnost i pouzdanost sigurnosnog sustava• učinkovito sučeljavanje između e-trgovine i financijskih sustava• sigurnost novčanih transakcija• učinkovitost procesa ovlaštenja klijenta• adekvatnost procesa poslovnog kontinuiteta, uključujući nastavak poslovanja• usklađenost sa zajedničkim sigurnosnim standardima• učinkovito korištenje i kontrola digitalnih potpisa• adekvatnost sustava, mjere i postupci za kontrolu certifikata javnih ključeva

(koristeći kriptografske tehnike javnog ključa)• adekvatnost i pravovremenost upravljanja podacima i informacijama• dokumentirani dokazi o učinkovitom sustavu interne kontrole.

10. Detalji programa revizije koji se koriste za revidiranje aktivnosti e-trgovine u određenim organizacijama varirat će ovisno o sektoru, zemlji i pravnim i poslovnim

184


modelima. Slijedi pregled mogućih protokola revizije e-trgovine za ključna područja.a) Organizacija e-trgovine - interni revizor bi trebao raditi sljedeće:

• odrediti vrijednost transakcija• identificirati dioničare (vanjske i interne)• revidirati proces promjene uprave• revidirati proces odobravanja• revidirati poslovni plan za aktivnosti e-trgovine• procijeniti mjere preko certifikata javnih ključeva • revidirati postupke digitalnog potpisivanja• ispitati sporazume o razini kvalitete usluga između kupca, dobavljača i tijela za ovlašćivanje• utvrditi politiku osiguranja kvalitete• procijeniti politiku privatnosti i sukladnosti u aktivnostima e-trgovine• procijeniti sposobnost odgovora na incidente.

b) Prijevara - interni revizor bi trebao paziti na sljedeće uvjete:• neovlašteno kretanje novca (npr. prijenosi na nadležnost gdje bi oporavak sredstava bio težak)• udvostručavanje isplata• negiranje narudžaba koje su poslane ili dobivene, dobivenih dobara ili uplata• izvješća o izuzetnim situacijama i povezane procedure te učinkovitost praćenja.• digitalni potpisi: koriste li se za sve transakcije? Tko ih odobrava? Tko im ima pristup?• zaštita protiv virusa i aktivnosti hakera (datoteka o povijesti, korištenje alata)• prava pristupa: revidira li ih se redovito? Mijenja li ih se odmah kada se promijene članovi osoblja?• povijest presretanja transakcija od neovlaštenih osoba.

c) Ovlaštenje - interni revizor trebao bi revidirati mjere za ovlaštenje transakcija i procjenu kontrola:• dokaz o redovitim revizijama • alati kontrolne samoprocjene (CSA) koje koristi uprava• redoviti neovisni pregledi• razdvajanje dužnosti• alati koje bi uprava trebala primjenjivati: vatrozide (višerazinske za razdiobu e-trgovine i druge aktivnosti), upravljanje zaporkama, neovisno usklađivanje i kontrola knjiženja

d) Korupcija - interni revizor bi trebao procijeniti kontrole integriteta podataka• Tko može mijenjati kataloge i cijene ili stope? Koji je mehanizam odobrenja?• Može li netko uništiti kontrolu knjiženja?• Tko može odobriti izmjene i dopune oglasne ploče?

185

Preporuke za rad

• Koji su postupci za naručivanje i snimanje?• Postoji li u procesu prijave na natječaj preko interneta adekvatna dokumentacija?• Alati koje treba primjenjivati uključuju: upravljanje nedopuštenim ulazom (softver praćenja, automatski prekid i analiza trendova), fizička sigurnost za servere e-trgovine, kontrole promjene i usklađivanje.

e) Prekidi poslovanja: interni revizor bi trebao revidirati poslovni plan kontinuiteta i odrediti je li on testiran. Uprava je trebala osmisliti alternativna sredstva kako bi obradila transakciju u slučaju prekida. Uprava bi trebala imati implementiran proces kako bi se nosila sa sljedećim potencijalnim uvjetima:• napadi na veličinu• negiranje napada na uslugu • nedoraslost u sučelju među e-trgovine i sustava financijskog upravljanja• objekti za sigurnosne kopije• strategija za borbu protiv: hakera, upada, krekiranja, virusa, crva, trojanaca i stražnjih vrata.

f) Problemi uprave: interni revizor trebao bi procijeniti upravljaju li poslovne jedinice dobro procesom e-trgovine. Sljedeće su neke srodne teme:• revizija upravljanja projektom za individualne inicijative i projekte razvoja• revizija životnog ciklusa razvoja sustava• izbor prodavatelja, sposobnosti prodavatelja, povjerljivost i povezivanje• gospodarska revizija nakon implementacije: jesu li postignuti dobitci? Koji se sustav koristi za mjerenje uspjeha? • Revizije postimplementacijskog procesa: jesu li novi procesi implementirani i rade li učinkovito?

186


Preporuka za rad 2100-7:Uloga interne revizije u prepoznavanju

i prijavi rizika za okoliš



Priroda ovih preporuka za rad: Svrha ovih preporuka za rad je pružiti smjernice organizacijama za internu reviziju o rizicima i pitanjima neovisnosti povezanima s aktivnostima ekološke revizije. Interni revizori bi trebali obratiti pozornost na potencijalne rizike koji mogu proizlaziti iz organizacijskog pozicioniranja i prijave povezanosti revizora okoliša. Ove preporuke za rad predlažu minimalnu zaštitu kako bi se osiguralo da se važna pitanja ekologije prijavljuju pravovremeno i na primjerenoj razini. Rizici povezani s nepoštivanjem okoliša, kazne i globe te drugo nesavjesno poslovanje mogu rezultirati značajnim gubicima za organizaciju.

Potencijalni rizici

1. Glavni revizor trebao bi uključiti rizike okoliša, zdravlja i sigurnosti (EH&S) u svaku procjenu upravljanja rizicima na mnoštvu subjekata te procijeniti aktivnosti na uravnotežen način u odnosu na druge tipove rizika povezane s poslovanjem subjekta. Među izlaganjima riziku koje treba procijeniti su: strukture prijave organizacije, vjerojatnost uzrokovanja štete za okoliš, kazne i globe, izdaci koje je odredila Agencija za zaštitu okoliša (EPA) ili druge vladine organizacije; povijest povrjeda i smrti; podaci o gubitku klijenata te epizode negativnog publiciteta i gubitka javne slike i ugleda.

2. Ako glavni revizor utvrdi kako upravljanje rizicima EH&S većinom ovisi o funkcijama ekološke revizije, glavni revizor treba razmotriti implikacije organizacijske strukture i njenih utjecaja na poslovanje i mehanizme izvještavanja. Ako glavni revizor smatra da se izlaganjem ne upravlja adekvatno te da postoje preostali rizici, zaključak bi obično rezultirao promjenama plana angažmana aktivnosti interne revizije i daljnjom istragom.

187

Preporuke za rad

3. Većina funkcija revizije okoliša izvještava odjel za ekologiju svoje organizacije ili općeg savjetnika, ne glavnog revizora. Tipični modeli za ekološku reviziju spadaju u jedan od sljedećih scenarija: • glavni revizor i glavni šef revizije okoliša su u odvojenim funkcionalnim

jedinicama s malo međusobnog kontakta• glavni revizor i glavni šef revizije okoliša su u odvojenim funkcionalnim

jedinicama i koordiniraju svoje aktivnosti• glavni revizor ima dužnost vršiti reviziju problema okoliša.

4. Prema sažetom izvješću IIA-e o problemima revizije okoliša:• otprilike polovica revizora okoliša rijetko se sastaje s odborom upravljačkog

tijela te ih samo 40 posto ima neki kontakt s glavnim revizorom• sedamdeset posto organizacija izvijestilo je da se problemi ekologije ne uključuju

redovito na dnevni red upravljačkog tijela• oko 40 posto organizacija je izvijestilo da su platili kazne ili globe za povrjedu

okoliša u zadnje tri godine; dvije trećine upitanih opisalo je ekološke rizike značajnima.

5. Okrugli stol revizije usklađenosti s propisima o zaštiti okoliša, zdravlja i sigurnosti (novo ime je okrugli stol za reviziju) angažirao je Richarda L. Ratliffa sa sveučilišta Utah State, kao i grupu istraživača da provedu studiju revizije okoliša, zdravlja i sigurnosti. Nalazi istražitelja povezani s rizikom i problemima nezavisnosti su sljedeći: • Funkcija revizije EH&S je donekle izolirana od drugih aktivnosti revizije

organizacije. Organizirana je odvojeno od interne revizije, samo dodiruje vanjsku reviziju i financijska izvješća, a podnosi izvještaje izvršnom direktoru za EH&S, radije nego upravnom odboru ili višem menadžmentu. Ova struktura pretpostavlja da uprava vjeruje kako je revizija EH&S tehničko polje koje je najbolje smjestiti unutar funkcije EH&S u organizaciji.

• S tim smještanjem organizacije, revizori EH&S možda neće moći zadržati svoju neovisnost, koja se smatra jednim od glavnih uvjeta djelotvorne funkcije revizije. Upravitelji EH&S revizije obično izvještavaju administrativno izvršnim direktorima koji su odgovorni za reviziju fizičkih objekata. Stoga se loš učinak EH&S može negativno odraziti na upravljački tim za objekte, koji bi stoga pokušali uspostaviti svoj autoritet i utjecaj nad onim o čemu se izvještava u nalazima revizije, kako se provode revizije ili što se uključuje u planu revizije. Ovo potencijalno podređivanje profesionalnog suda revizora, čak i kad se samo čini takvim, krši neovisnost revizora i objektivnost.

• Također je uobičajeno da se pismeni revizorski izvještaji u organizaciji ne dijele na viši položaj od izvršnih direktora za okoliš. Ti direktori mogu imati potencijalni konflikt interesa te mogu smanjiti daljnju distribuciju revizorskog nalaza EH&S na viši menadžment i upravljačko tijelo.

• Informacije o reviziji često se klasificiraju kao ili (a) tajnost informacija odvjetnik-klijent ili radni materijal odvjetnika (b) tajno i povjerljivo ili (c) ako ne povjerljivo,

188


onda s ograničenim pristupom. Ovo rezultira ozbiljnim ograničavanjem pristupa informacijama revizije EH&S.

Prijedlozi za glavnog revizora

6. Glavni revizor bi trebao promicati bliski radni odnos sa šefom revizije okoliša te koordinirati aktivnosti s planom za reviziju okoliša. U primjerima kada funkcija za reviziju okoliša izvještava nekoga tko nije glavni revizor, glavni revizor bi trebao ponuditi pregled plana revizije i učinak angažmana. Glavni revizor bi povremeno trebao odrediti datum pregleda osiguranja kvalitete za funkciju revizije okoliša, ukoliko je organizacijski neovisno o aktivnosti interne revizije. Pregledom bi se trebalo odrediti rješavaju li se rizici za okoliš adekvatno. Program revizije EH&S mogao bi biti ili (a) usmjeren na usklađivanje (tj. potvrda usklađenosti sa zakonima, propisima i vlastitim mjerama subjekta EH&S, postupcima i ciljevima učinka) ili (b) usmjeren na upravljačke sustave (tj. dajući procjenu upravljačkih sustava s ciljem osiguravanja usklađenosti s pravnim i internim zahtjevima i ublažavanjem rizika) ili (c) kombinacija obaju pristupa.

7. Glavni revizor bi trebao procijeniti djeluju li revizori za okoliš koji nisu dio organizacije glavnog revizora u skladu s priznatim profesionalnim standardima revizije i priznatim etičkim kodeksom. Odbor za certifikaciju revizora za okoliš, zdravlje i sigurnost kao i IIA objavljuju standarde prakse i etičke kodekse.

8. Glavni revizor bi trebao procijeniti organizacijski plasman i neovisnost funkcija revizije okoliša kako bi osigurao izvještavanje o značajnim problemima koji proizlaze iz ozbiljnih rizika za poduzeće, i to prema zapovjednom lancu revizoru ili drugom odboru upravljačkog tijela. Glavni revizor bi također trebao olakšati izvještavanje o važnim pitanjima EH&S rizika i kontrole odboru za reviziju (ili drugom odboru).

189

Preporuke za rad

Preporuka za rad 2100-8:Uloga interne revizije u procjeni

okvira zaštite privatnosti organizacije



Priroda ovih preporuka za rad: Interni revizori trebali bi razmotriti sljedeće prijedloge pri procjeni aktivnosti organizacije koji se odnose na njen okvir privatnosti. Ove smjernice nisu namijenjene predočavanju svih potrebnih postupaka za cjelovito uvjerenje ili konzultacijski angažman koji je povezan s okvirom privatnosti, već preporučenu temeljnu grupu visokih odgovornosti revizora kako bi se nadopunilo povezane odgovornosti odbora i uprave.

1. Bojazni povezane sa zaštitom osobne privatnosti postaju sve očitije, usmjerenije i globalnije kako napredci u informatici i komunikacijama kontinuirano uvode nove rizike i prijetnje privatnosti. Kontrole privatnosti predstavljaju zakonske zahtjeve za poslovanje u većini svijeta.

2. Definicije privatnosti mogu dosta varirati ovisno o zemlji, kulturi, političkom okruženju i pravnim okvirima. Privatnost može uključivati osobnu privatnost (fizičku i psihološku); privatnost prostora (sloboda od nadzora); privatnost komunikacije (sloboda od praćenja); i privatnost informacija (skupljanje, korištenje i objavljivanje osobnih informacija od strane ostalih). Osobne informacije općenito se odnose na informacije koje se mogu povezati s određenim pojedincem ili koje imaju karakteristike prepoznavanja koje se mogu kombinirati s drugim informacijama u tu svrhu.4 Može uključivati bilo koju činjeničnu ili subjektivnu informaciju, zabilježenu ili ne, u bilo kojem obliku ili mediju. Osobne informacije mogu uključivati na primjer:• ime, adresu, identifikacijske brojeve, dohodak ili krvnu grupu• procjene, komentare, socijalni status ili disciplinske akcije • dosjee zaposlenika, podatke o kreditima i zajmovima.

4 Hargraves, Kim, Susan, B.Lione, Kerry L.Shackelford i Peter C. Tilton, Privatnost: Procjena rizika (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation), 2003.

190


3. Privatnost je problem upravljanja rizicima. Nemogućnost zaštite privatnih i osobnih informacija s odgovarajućim kontrolama može imati ozbiljne posljedice za organizaciju. Na primjer, može oštetiti ugled pojedinaca i organizacije, dovesti do problema pravne odgovornosti te doprinijeti nepovjerenju klijenata i zaposlenika.

4. Postoji mnogo zakona i propisa koji se razvijaju diljem svijeta, a odnose se na zaštitu osobnih informacija. Također postoje općenito prihvaćene mjere i načini koji se mogu primjenjivati na problem privatnosti.

5. Jasno je da dobra praksa privatnosti doprinosi dobrom upravljanju i odgovornosti. Upravno tijelo (npr. upravni odbor, šef agencije ili zakonodavnog tijela) ima krajnju odgovornost osigurati prepoznavanje glavnih rizika organizacije te implementaciju odgovarajućih sustava i ublažavanje tih rizika. Ovo uključuje osnivanje potrebnog okvira privatnosti za organizaciju i nadgledanje njene implementacije.

6. Interni revizori mogu doprinijeti osiguravanju dobrog upravljanja i odgovornosti obavljajući ulogu u pružanju pomoći organizaciji da udovolji ciljevima. Interni revizor ima jedinstven položaj da procijeni okvir privatnosti u svojoj organizaciji te prepozna značajne rizike zajedno s odgovarajućim preporukama za njihovo ublažavanje.

7. U provođenju takve procjene okvira privatnosti, interni revizor bi trebao uzeti u obzir sljedeće:• različiti zakoni, propisi i mjere koje se odnose na privatnost u pojedinačnim

nadležnostima (uključujući svaku nadležnost gdje organizacija posluje)• suradnja s pravnim savjetnikom unutar kuće kako bi se odredila točna priroda

takvih zakona, propisa, i drugih standarda i praksa koje se primjenjuju na organizaciju i na zemlju ili zemlje u kojima se posluje

• suradnja s informatičkim stručnjacima kako bi se osigurala sigurnost informacija i uvedene kontrole zaštite podataka te redoviti pregledi i procjene prikladnosti

• razina zrelosti prakse organizacije; ovisno o razini, interni revizor može imati različite uloge - revizor može olakšati razvoj i implementaciju programa privatnosti, provoditi procjenu rizika za privatnost kako bi se odredile potrebe i izloženost rizicima organizacije, ili može pregledati i dati uvjerenje o učinkovitosti mjera za privatnost, praksa i kontrola u cijeloj organizaciji. Ako interni revizor preuzme dio odgovornosti za razvoj i implementaciju programa privatnosti, može se umanjiti neovisnost revizora.

8. Uobičajeno je očekivanje od internog revizora da prepozna tipove i prikladnost informacija koje prikuplja njegova organizacija, koje se smatraju osobnim ili privatnim, korištenu metodologiju prikupljanja te je li korištenje informacija koje su prikupljene na taj način od strane organizacije u skladu s ciljem korištenja i zakonima, u područjima na kojima se informacija sakuplja, drži i koristi.

191

Preporuke za rad

9. S obzirom na visoko tehnološku i pravnu prirodu teme, interni revizor trebao bi osigurati dostupnost odgovarajućeg detaljnog znanja i kapaciteta za provođenje takve procjena okvira privatnosti, koristeći stručnjake treće strane ukoliko je to potrebno.

192


Preporuka za rad 2100-9:Revizija aplikacijskih sustava



Povezani standard 2100 – Priroda poslaInternom revizijom se ocjenjuje i doprinosi poboljšanju upravljanja rizicima te poboljšanju sustava kontrole i korporativnog upravljanja.

Ova Preporuka za rad usvojena je iz smjernice Smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA) pod nazivom - Revizija aplikacijskih sustava, dokument G14. ISACA je u studenom 2001. godine izdala tu smjernicu za reviziju informacijskog sustava (IS). Uporaba i usvajanje tog dokumenta provedeno je po odobrenju i priznanju ISACA-e. Za dijelove iz ove Preporuke za rad, koji se na bilo koji način razlikuju od Smjernice/Procedure koju je izdala ISACA, ISACA ne jamči za točnost tih izmjena niti daje potvrdu za iste.

Priroda ove preporuke za rad: : Interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom revizije aplikacijskih sustava. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni za sveobuhvatno osiguranje ili konzultacijski angažman vezano uz reviziju aplikacijskog sustava, nego preporučeni niz važnih odgovornosti revizora kako bi se upotpunili napori detaljnog planiranja revizije. Usklađenost s Preporukama za rad nije obavezna..

1. Glavni revizor mora utvrditi kako interna revizija posjeduje ili ima pristup neovisnim5 i mjerodavnim revizorskim izvorima za provedbu revizije aplikacijskih sustava i vrednovanje povezanih izlaganja riziku.

Razmatranja planiranja

2. Sastavni dio planiranja je razumijevanje okoline informacijskog sustava u mjeri koja je dostatna da bi revizor odredio veličinu i složenost sustava te stupanj ovisnosti organizacije o informacijskim sustavima. Revizor mora razumjeti misiju organizacije i ciljeve poslovanja, razinu i način na koji se koristi informacijska tehnologija i sustavi u svrhu podrške organizacije, te koji su rizici i izlaganja vezani uz ciljeve organizacije

5 Neovisnost - tj. ako revizor nije uključen u razvoj, akviziciju, provedbu ili održavanje aplikacijskog sustava.

193

Preporuke za rad

i njezine informacijske sustave. Isto tako, mora razumjeti organizacijsku strukturu, uključujući uloge i odgovornosti ključnog osoblja odgovornog za informacijske sustave (IS) i vlasnika poslovnog procesa aplikacijskog sustava. Prilikom planiranja revizije također treba uzeti u obzir rizike unutar poslovnih područja.

Primarni cilj planiranja je određivanje rizika vezanih uz aplikacijsku razinu. Relativna razina rizika utječe na razinu potrebnih dokaza za reviziju. Rizici razine aplikacije na sustavnoj i podatkovnoj razini uključuju sljedeće:

• rizike dostupnosti sustava vezano uz nedostatak operativne sposobnosti sustava• rizike obzirom na sigurnost sustava, koji su povezani s neovlaštenim pristupom

sustavu i/ili podacima• rizike obzirom na cjelovitost sustava, koji su povezani s nepotpunom, netočnom,

nepravovremenom ili neovlaštenom obradom podataka• rizike obzirom na mogućnost održavanja sustava, koju su povezani s

nesposobnošću za ažuriranjem sustava kada je to potrebno na način da se i dalje osigurava dostupnost, sigurnost i cjelovitost sustava

• rizike obzirom na podatke, koji su povezani s njihovom potpunošću, cjelovitošću, povjerljivošću, privatnošću, točnošću i pravovremenošću.

Aplikacijski upravljački elementi koji će se baviti rizicima na aplikacijskoj razini, mogu biti u obliku kompjuteriziranih kontrola ugrađenih u sustav ili kontrola kojima se ručno upravlja, ili pak može biti kombinacija obiju vrsta kontrola. Primjeri uključuju kompjuterizirano usklađivanje dokumenata (nalog za nabavu, faktura i izvještaj o zaprimljenoj robi), provjeru i potpisivanje kompjuterski izrađenih čekova, te kontrolu izvještaja o iznimkama od strane višeg menadžmenta.

Ako se donese odluka da će se oslanjati na programirane kontrole, treba svakako uzeti u obzir relevantne kontrole opće informacijske tehnologije (IT), kao i one koje su specifično relevantne za predmet revizije. Opće IT kontrole mogu biti predmet zasebne kontrole, koja bi uključivala sljedeće: fizičke kontrole, razinu sigurnosti sustava, mrežni menadžment, podatkovnu podršku te planiranje za slučaj nužde. Ovisno o kontrolnim ciljevima revizije, revizor možda neće imati potrebu revidirati opće kontrole, npr. u slučaju kada se vrši procjena aplikacijskog sustava za nabavu.

Revizija aplikacijskog sustava može se provoditi kada se obavlja procjena paketa aplikacijskog sustava za nabavu, prije nego što se počne s proizvodnjom aplikacijskog sustava (prije implementacije) te nakon što se počne s proizvodnjom aplikacijskog sustava (poslije implementacije). Opseg revizije aplikacijskog sustava prije implementacije uključuje arhitekturu sigurnosti na razini aplikacije, planove za provedbu sigurnosti, adekvatnost sustava i korisničku dokumentaciju, kao i adekvatnost stvarnog ili planiranog testiranja prihvaćanja od strane korisnika. Opseg revizije aplikacijskog sustava poslije implementacije uključuje sigurnosti na razini aplikacije poslije implementacije te može

194


pokrivati konverziju sustava ukoliko dođe do prijenosa podataka i informacija iz glavne datoteke iz starog u novi sustav.

Ciljevi i opseg revizije aplikacijskih sustava obično čine dio plana rada. Oblik i sadržaj plana rada može varirati, ali svakako mora uključivati sljedeće:

• ciljeve i opseg revizije aplikacijskih sustava• revizora(e), koji obavlja(ju) reviziju• izjavu o neovisnosti revizora na projektu• kada će početi revizija i vremenski okvir revizije• dogovore u vezi izvještavanja, uključujući zaključni sastanak• ciljevi moraju biti razvijeni tako da se odnose na 7 kriterija o informacijama u skladu

s COBIT-om (Control of Objectives of IT and Related Technology) te ih organizacija mora odobriti. Kriteriji za informacije prema COBIT-u mogu uključivati sljedeće: učinkovitost, djelotvornost, povjerljivost, cjelovitost, dostupnost, sukladnost i pouzdanost informacija.

Ako je revizor prethodno bio uključen u razvoj, nabavu, primjenu ili održavanje aplikacijskog sustava, a imenovan je za provođenje revizije, neovisnost revizora može biti narušena. Revizor mora konzultirati odgovarajuće smjernice kako bi se riješio takav slučaj.

Provedba revizije

3. a) Dokumentiranje tijeka transakcija

Prikupljene informacije moraju uključivati i kompjuterizirane i manualne aspekte sustava. Naglasak bi trebao biti na unosu podataka (bilo elektroničkom bilo ručnom), obradi, pohrani i izlazu podataka, koji su značajni za ciljeve revizije. Revizor može smatrati, ovisno o poslovnim procesima i uporabi tehnologije, da dokumentiranje tijeka transakcija nije praktično. U tom slučaju revizor mora pripremiti dijagram protoka podataka na visokoj razini ili opis i/ili iskoristiti dokumentaciju sustava, ako je ona osigurana.

Treba promisliti i o dokumentiranju aplikacijskih sučelja s drugim sustavima. Revizor mora potvrditi dokumentaciju provodeći procedure, poput testiranja obilaskom.

b) Identificiranje i testiranje kontrola aplikacijskog sustava

Specifične kontrole za ublažavanje aplikacijskih rizika mogu biti utvrđeni i dostatni revizijski dokazi kako bi se revizor uvjerio da kontrole rade kako je predviđeno. To se može postići procedurama kao što su ispitivanje i promatranje, pregled dokumentacije te testiranje kontrola aplikacijskog sustava, pri čemu se testiraju programirane kontrole (treba uzeti u obzir uporabu CAAT-a).

195

Preporuke za rad

Priroda, vrijeme i opseg testiranja trebaju se temeljiti na razini rizika područja koje se revidira i ciljevima revizije. Ako ne postoje jake opće informatički kontrole, revizor može napraviti procjenu učinka tog nedostatka na pouzdanost kompjuteriziranih aplikacijskih kontrola. Ako revizor IS-a pronađe značajni nedostatak na kompjuteriziranim aplikacijskim kontrolama, mora se priskrbiti osiguranje (ovisno o cilju revizije), po mogućnosti, od kontrola obrade koje se provode ručno.

Učinkovitost kompjuteriziranih kontrola ovisi o jakim općim IT kontrolama. Stoga, ako se ne revidiraju opće IT kontrole, mogućnost oslanjanja na aplikacijske kontrole može biti znatno ograničena te revizor mora razmisliti o alternativnim procedurama.

Izvještavanje

4. Obavještavanje o rezultatima rada na aplikacijskim sustavima mora jasno opisivati prirodu rada i svako ograničenje, restrikciju ili neke druge čimbenike kojih bi korisnici informacija trebali biti svjesni. Revizor u svom izvještaju mora dati odgovarajuće preporuke za poboljšanje kontrola.

Nedostaci otkriveni prilikom revizije aplikacija zbog nepostojanja kontrola ili neizvršenja, trebaju se priopćiti vlasniku poslovnog procesa i menadžmentu IS-a, koji je odgovoran za podršku aplikacije. Ako se nedostaci, otkriveni tijekom revizije aplikacijskih sustava, smatraju značajnima ili vrlo važnima, prikladnoj razini menadžmenta treba savjetovati poduzimanje trenutnih korektivnih mjera.Budući da učinkovite kompjuterizirane aplikacijske kontrole ovise o općim IT kontrolama, također treba izvijestiti i o nedostacima na tom području. Ako opće IT kontrole nisu bile revidirane, tu činjenicu treba uključiti u izvještaj.

196


Preporuka za rad 2100-10:Uzimanje uzoraka revizije

Tumačenje Standarda 2100 iz Međunarodnih standarda


Povezani standard2100 - Priroda poslaAktivnost interne revizije procjenjuje i doprinosi poboljšanju upravljanja rizicima, kontroli i sustavima korporativnog upravljanja.

Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- uzimanje uzoraka revizije, dokument G10. Ove smjernice za informacijske sustave objavljenje su u ožujku 2000. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koje je izdala ISACA, ISACA ne jamči za točnost niti prihvaća te promjene.

Priroda ovih preporuka za rad: Interni revizori bi trebali razmotriti sljedeće prijedloge kod korištenja tehnika uzimanja uzoraka revizije za testiranje. Namjera ovih smjernica nije predstaviti sve potrebne postupke za uzimanje uzoraka revizije, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.

I. Izvođenje rada revizije

Uzimanje uzorka revizije

Pri korištenju statističkih ili nestatističkih metoda uzoraka, revizor bi trebao osmisliti i izabrati uzorak revizije, izvršiti postupke revizije te vrednovati rezultate uzorka kako bi dobio dovoljan, pouzdan, relevantan i koristan dokaz revizije. Kod stvaranja mišljenja o reviziji, revizori često ne ispituju sve dostupne informacije budući da to može biti nepraktično te se valjani zaključci mogu postići korištenjem uzorka revizije.

Uzimanje uzorka revizije definira se kao primjena revizorskih postupaka na manje od 100 posto populacije kako bi se revizoru omogućilo vrednovanje dokaza revizije vezano za neke značajke stvari koje su odabrane da stvore ili pomognu pri stvaranju zaključaka o

197

Preporuke za rad

populaciji. Uzimanje statističkih uzoraka uključuje korištenje tehnika iz kojih se mogu izvoditi matematički stvoreni zaključci u vezi s populacijom.

Nestatističko uzimanje uzoraka nije statistički utemeljeno i rezultate ne bi trebalo proširivati izvan populacije budući da uzorak vjerojatno neće biti reprezentativan za populaciju.

Oblikovanje uzorka

Kada se oblikuje veličina i struktura uzorka revizije, revizori bi trebali uzeti u obzir određene ciljeve revizije, prirodu populacije te metode uzimanja uzoraka i selekcije. Revizor bi trebao razmotriti potrebu uključivanja odgovarajućih stručnjaka u oblikovanje i analizu uzoraka.

Jedinica za uzimanje uzoraka- jedinica za uzimanje uzoraka će ovisiti o svrsi uzorka. Za testiranje usklađenosti kontrola obično se koristi uzimanje uzoraka svojstava, gdje je jedinica za uzimanje uzoraka događaj ili transakcija (npr. kontrola kao što je ovlaštenje ili faktura). Za materijalno testiranje često se koristi varijabilno uzimanje uzoraka ili procjena, gdje je jedinica uzorka često novčana.

Ciljevi revizije-revizor bi trebao razmotriti određene ciljeve revizije koje treba postići te postupke revizije kojima će se vjerojatno postići ti ciljevi. Kad je uzimanje uzoraka revizije odgovarajuće, treba uzeti u obzir prirodu dokaza revizije koji se traže i moguće uvjete za pogrješke.

Populacija- populacija je cijeli niz podataka iz kojih revizor želi oblikovati uzorak kako bi došao do zaključaka o populaciji. Stoga podaci o populaciji iz kojih se izvodi uzorak moraju biti odgovarajući i njihova cjelovitost se mora potvrditi za određen cilj revizije.

Stratifikacija-kako bi pomogla u djelotvornom i učinkovitom oblikovanju uzorka, stratifikacija mora biti odgovarajuća. Stratifikacija je proces odvajanja populacije u podgrupe sa sličnim karakteristikama koje su izričito definirane tako da svaka jedinica uzorka može pripadati samo jednom sloju.

Veličina uzoraka-kada se određuje veličina uzorka, revizor bi trebao razmotriti rizik određivanja uzoraka, veličinu prihvatljive grješke te razmjer očekivanih grješaka.

Rizik uzimanja uzoraka-rizici uzimanja uzoraka proizlaze iz mogućnosti razlike između zaključaka revizora i zaključka koji se mogao donijeti u slučaju da je cijela populacija podvrgnuta istom postupku revizije. Postoje dva tipa rizika kod uzimanja uzorka:

• rizik od netočnog prihvaćanja-rizik da se lažna izjava koja je značajna procijeni kao nevjerojatna, dok je činjenica o populaciji zapravo bitno iskrivljena

• rizik netočnog odbijanja-rizik da se lažna izjava koja je značajna procijeni kao vjerojatna, dok činjenica o populaciji zapravo nije bitno iskrivljena.

198


Razina rizika uzimanja uzoraka koju je revizor voljan prihvatiti utječe na veličinu uzorka. Rizike uzimanja uzorka treba razmatrati u odnosu na revizorski model rizika i njegovih dijelova, postojećih rizika i rizika opažanja.

Prihvatljiva greška-prihvatljiva greška je najveća greška u populaciji koju su revizori spremni prihvatiti, a još uvijek zaključuju da je postignut cilj revizije. Za temeljne testove prihvatljiva greška se odnosi na sud revizora o važnosti. Kod testova usklađivanja to je najmanja stopa odstupanja koju je revizor voljan prihvatiti.

Očekivana greška-ako revizor očekuje da greške budu prisutne u populaciji, obično treba pregledati veći uzorak nego kada ne postoji očekivana greška kako bi se zaključilo da prava greška u populaciji nije veća nego planirana prihvatljiva greška. Manje veličine uzoraka opravdane su kada se očekuje da populacija bude bez greške. Kada se određuje očekivana greška u populaciji, revizor bi trebao razmotriti pitanja kao što su razine pogrešaka koje su prepoznate u prethodnim revizijama, promjene u organizacijskim postupcima i dostupne dokaze iz procjene interne kontrole te rezultate iz postupka analitičke revizije.

Izbor uzorka

Postoje četiri metode uzimanja uzoraka koje se obično upotrebljavaju:

Statističke metode uzimanja uzoraka

• Slučajan odabir uzoraka-osigurati da sve kombinacije jedinica uzoraka u populaciji imaju jednaku priliku za odabir

• Sustavan odabir uzoraka-uključuje odabir jedinica uzoraka koristeći fiksni interval između odabira, prvi interval s nasumičnim početkom. Među primjerima su uzimanje novčanih jedinica uzoraka ili odabir prema ponderiranoj vrijednosti kod kojeg se svakoj pojedinačnoj novčanoj vrijednosti (npr. 1$) u populaciji daje jednaka mogućnost odabira. Kako se pojedinačna novčana jedinica obično ne može pregledavati odvojeno, element koji uključuje tu novčanu jedinicu se odabire za pregled. Ovom se metodom sustavno ponderira odabir u korist većih iznosa, no svejedno daje svakoj novčanoj vrijednosti jednaku priliku za odabir. Drugi primjer uključuje odabir svake –te jedinice.

Nestatističke metode uzimanja uzoraka

• Uzimanje neplaniranih uzoraka -pri kojem revizor odabire uzorak, ne slijedeći strukturiranu tehniku, no izbjegavajući bilo kakvu svjesnu pristranost ili predvidljivost. Međutim, analiza neplaniranih uzoraka ne bi se trebala smatrati pouzdanom za donošenje zaključaka o populaciji.

199

Preporuke za rad

• Uzorak temeljem procjene-u kojem je revizor pristran prema uzorku (npr. sve jedinice uzoraka preko određene vrijednosti, sve za specifičan tip izuzetka, svi negativi, svi novi korisnici itd.). Treba napomenuti da uzorak temeljen na procjeni nije statistički utemeljen i da rezultate ne bi trebalo procijeniti izvan populacije budući da nije vjerojatno da je uzorak reprezentativan za populaciju.

Revizor bi trebao odabrati elemente uzorka tako da se od uzorka očekuje da bude reprezentativan za populaciju s obzirom na značajke koje se testiraju (odn. korištenje statističkih metoda uzimanja uzoraka). Kako bi se zadržala nezavisnost revizije, revizor bi trebao osigurati cjelovitost populacije i kontrolirati odabir uzorka.

Kako bi uzorak bio reprezentativan, sve jedinice uzoraka trebaju imati jednaku ili poznatu vjerojatnost izbora (odn. statističke metoda odabira uzoraka). Postoje dvije uobičajene metode odabira: odabir prema evidenciji i odabir na kvantitativnim poljima (npr. novčanim jedinicama).

Za odabir prema evidenciji, uobičajene su metode:• uzimanje slučajnih uzoraka (statistički uzorak)• uzimanje neplaniranih uzoraka (nestatistički).• uzorak temeljem procjene (nestatistički; velika vjerojatnost da dovede do zaključka

s predrasudom).

Za odabir kvantitativnim poljima, uobičajene su metode:• uzimanje slučajnih uzoraka (statistički uzorak ili novčane jedinice)• uzorak fiksnog intervala (statistički uzorak koji koristi fiksni interval)• matični uzorak (statistički uzorak koji koristi slučajni odabir u intervalu).

Dokumentacija

Radni papiri revizora trebali bi uključivati dovoljno detalja kako bi jasno opisali cilj uzimanja uzoraka i korišteni proces uzimanja uzoraka. Radni papiri trebali bi uključivati izvor populacije, korištenu metodu uzimanja uzoraka, parametre za uzorke (npr. slučajni početni brojevi, ili metoda kojom je dobiven nasumični početak, interval korištenja uzoraka), izabrane stavke, detalji o izvršenim testovima revizije i zaključci koji su postignuti.

Vrednovanje rezultata uzoraka

Nakon što su na svakoj jedinici uzorka izvedeni oni postupci koji su odgovarajući za određeni cilj revizije, revizor bi trebao analizirati sve moguće greške koje su otkrivene u uzorku kako bi se utvrdilo jesu li stvarno grješke i prema potrebi im odrediti prirodu i uzrok. Za one koje su procijenjene kao grješke, planirane grješke trebaju biti odgovarajuće populaciji ako je metoda uzimanja uzoraka koje je korištena temeljena na statistici.

200


Sve moguće greške koje su otkrivene treba pregledati kako bi se utvrdilo jesi li one to doista. Revizor bi trebao razmatrati kvalitativne aspekte grešaka. One uključuju prirodu i uzrok grešaka te moguće utjecaje pogrješaka na druge faze revizije. Greške koje su rezultat kvara automatskih procesa obično imaju šire implikacije za stope grešaka nego ljudske pogreške.

Kada se ne može doći do očekivanih dokaza revizije u vezi s određenom jedinicom uzorka, revizor može dobiti dovoljno dokaza revizije provodeći alternativne postupke za odabrane stavke.

Revizor bi trebao razmotriti projiciranje rezultata uzorka na populaciju koristeći metodu projekcije koja je dosljedna metodi koja se koristi za izbor uzoraka. Projekcija uzorka može uključivati procjenu vjerojatnih grešaka u populaciji i procjenu grješaka koje su možda ostale neotkrivene zbog nepreciznosti tehnika zajedno s kvalitativnim aspektima pronađenih grešaka.

Revizor bi trebao razmotriti mogu li greške u populaciji prijeći prihvatljivu grešku uspoređujući procijenjenu grešku populacije s prihvatljivom grješkom, uzimajući u obzir rezultate drugih revizorskih postupaka koji su relevantni za cilj revizije. Kada predviđena greška populacije prijeđe prihvatljivu grešku, revizor bi trebao ponovno procijeniti rizik uzimanja uzorka, i ako je taj rizik neprihvatljiv, razmotriti postupak revizije ili provođenje alternativnih postupaka revizije.

201

Preporuke za rad

Preporuka za rad 2100-11:Utjecaji sveobuhvatnih kontrola IS-a




Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Utjecaji sveobuhvatnih kontrola IS-a, dokument G11. Ove smjernice za informacijske sustave objavljenje su u ožujku 2000. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je uz dozvolu ISACA-e i priznanje. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koje je izdala ISACA, ISACA ne jamči za točnost niti ne prihvaća te promjene.

Priroda ovih preporuka za rad: interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja kontrola IS-a. Namjera ovih smjernica nije predstaviti sve potrebne postupke za izvršavanje revizije IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi nadopunile detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.

I. Okvir kontrola

Pregled

COBIT definira ‘’kontrolu’’ kao ‘’one mjere, postupke, prakse i organizacijske strukture koje su osmišljene da pruže razumno uvjerenje za ostvarenje poslovnih ciljeva i sprečavanje neželjenih događaja, prepoznavanje ili ispravljanje.’’ Za svaku reviziju IS-a, revizori bi trebali razlikovati opće kontrole koje utječu na sve informacijske sustave i poslovanje (sveobuhvatne kontrole IS-a) i one koje funkcioniraju na razini koja je određenija (detaljne kontrole IS-a) kako bi koncentrirali nastojanja revizije na rizična područja koja su relevantna ciljevima revizije. Okvir kontrola koji je opisan u donjem tekstu trebao bi pomoći revizoru u postizanju ove koncentracije.

202


Sveobuhvatne kontrole IS-a

Primjeri sveobuhvatne kontrole IS-a uključuju kontrole nad procesima IS-a definiranima u domeni COBIT-ovog planiranja i organizacije te domene praćenja; npr. : ‘’PO1-definiranje strateškog informatičkog plana’’ o ‘’M1-praćenje procesa’’. Sveobuhvatne kontrole IS-a su podgrupa općih kontrola, a opće kontrole se koncentriraju na upravljanje i praćenje IS-a.

Utjecaj sveobuhvatnih kontrola IS-a nije ograničen na pouzdanost primjene kontrola u financijskim sustavima. Sveobuhvatne kontrole IS-a također utječu na pouzdanost detaljnih kontrola IS-a, nad npr.:

• razvojem programa• implementacijom sustava• administracijom sigurnosti• postupcima za sigurnosne kopije.

Slabo upravljanje i praćenje IS-a (odn. slabe sveobuhvatne kontrole IS-a) trebali bi upozoriti revizora o mogućnosti visokog rizika kako su kontrole koje su zamišljene za funkcioniranje na detaljnoj razini možda neučinkovite.

Detaljne kontrole IS-a

Detaljne kontrole IS-a sastoje se od aplikacijskih kontrola i onih općih kontrola koje nisu uključene u sveobuhvatne kontrole IS-a. U okviru COBIT-a, detaljne kontrole IS-a su kontrole nad akvizicijom, implementacijom, dostavom i podrškom sustava IS-a i usluga. Primjeri uključuju kontrole nad:

• implementacijom softverskih paketa• parametrima sigurnosti sustava• planiranju oporavka od katastrofa• validacijom unosa podataka• proizvodnjom izvješća o iznimkama• zaključavanjem korisničkih računa nakon nepravilnih pokušaja pristupa.

Aplikacijske kontrole su podgrupa detaljnih kontrola IS-a. Na primjer, validacija unosa podataka je također i detaljna kontrola IS-a i aplikacijska kontrola. Instalacija i akreditiranje sustava (AI5) je detaljna kontrola IS-a, no ne aplikacijska kontrola.

Povezanosti između kontrola IS-a su pokazane u sljedećem pregledu:• kontrole IS-a• opće kontrole• sveobuhvatne kontrole IS-a• detaljne kontrole IS-a• aplikacijske kontrole.

203

Preporuke za rad

Revizor bi trebao razmotriti utjecaje ne-IS kontrola na opseg i postupke revizije.

Interakcija sveobuhvatnih i detaljnih kontrola IS-a

Okvir COBIT dijeli kontrolne procese IS-a u četiri područja:

• planiranje i organizacija• akvizicija i implementacija• dostava i podrška• praćenje.

Na učinkovitost kontrola u područjima akvizicije i implementacije (AI) i dostave i podrške (DS) utječe učinkovitost kontrola kojima se upravlja u domenama planiranja, organizacije (PO) i praćenja (M). Neprimjereno planiranje, organizacija i praćenje od strane višeg menadžmenta sugeriraju da će kontrole nad akvizicijom, implementacijom i isporukom usluga te podrškom biti nedjelotvorne. Obratno, jako planiranje, organizacija i praćenje mogu identificirati i ispraviti nedjelotvorne kontrole nad akvizicijom, implementacijom i isporukom usluge i podrškom.

Na primjer, na djelotvorne detaljne kontrole IS-a nad procesima ‘’Akvizicija i održavanje aplikacijskog softvera’’ (COBIT uputa procesa AI2) djeluje adekvatnost sveobuhvatnih kontrola IS-a nad procesima:

• ‘’Definirati strateški informatički plan’’ (COBIT uputa procesa PO1) • ‘’Upravljanje procesima’’ (COBIT uputa procesa PO10) • ‘’Upravljanje kvalitetom’’ (COBIT uputa procesa PO11) • ‘’Praćenje procesa’’ (COBIT uputa procesa M1)

Revizija akvizicije aplikacijskog sustava trebala bi uključiti prepoznavanje efekata strategije IS-a, pristup upravljanju projekata, upravljanju kvalitetom te pristup praćenju. Kada je na primjer upravljanje projektima nedostatno, revizor bi trebao razmatrati:

• dodatni posao za pružanje uvjerenja kako se određenim projektima upravlja učinkovito

• prijavljivanje slabosti sveobuhvatnih kontrola IS-a višoj upravi.

Daljnji primjer da na djelotvorne detaljne kontrole IS-a nad procesom ‘’Osigurati sigurnost sustava’’ (COBIT uputa procesa DS5) utječe dostatnost sveobuhvatnih kontrola IS-a nad procesima:

• ‘’Definirati informatičku organizaciju i veze’’ (COBIT uputa procesa PO4)• ‘’Objaviti ciljeve i smjer upravljanja’’ (COBIT uputa procesa PO6)• ‘’Procijeniti rizike’’ (COBIT uputa procesa PO9)• ‘’Pratiti procese’’ (COBIT uputa procesa M1).

204


Revizija dostatnosti parametara sigurnosti u sustavu, na primjer UNIX, Windows NT, RACF, trebala bi uključiti razmatranje sigurnosnih mjera uprave (PO6), dodjelu sigurnosnih odgovornosti (PO4), postupke procjene sigurnosti (PO9) i postupke za nadzor usklađenosti sa sigurnosnom politikom (M1). Čak i kad se parametri ne slažu sa stajalištem revizora o ‘’najboljoj praksi’’, može ih se vrednovati kao dostatne u svjetlu rizika koje je prepoznao viši menadžment i mjera upravljanja koje usmjeravaju način na koji bi se trebalo postupati s tom razinom rizika. Preporuke za reviziju trebalo bi usmjeriti na upravljanje rizicima ili mjere, kao i na same detaljne parametre.

II. Planiranje

Pristup relevantnim sveobuhvatnim kontrolama IS-a

Revizorske smjernice o planiranju revizije IS-a govore da bi revizor trebao izvršiti preliminarnu procjenu kontrola nad funkcijama koje se revidira. Ova preliminarna procjena bi trebala uključiti i vrednovati relevantne sveobuhvatne kontrole IS-a. Testiranje sveobuhvatnih kontrola IS-a može se držati na različitom ciklusu u odnosu na provođenje navedene revizije budući da po svojoj prirodi pokrivaju mnogo različitih aspekata korištenja IS-a. Revizor bi stoga trebao razmotriti može li se osloniti na prethodni rad revizije u ovom području kako bi se prepoznalo i revidiralo ove kontrole.

Kada revizorski rad ukazuje na nezadovoljavajuće sveobuhvatne kontrole IS-a, revizor bi trebao razmatrati utjecaj svojeg nalaza o planiranom pristupu za ostvarivanje cilja revizije:

• jake sveobuhvatne kontrole IS-a mogu doprinijeti uvjerenju koje može dobiti revizor u odnosu na detaljne kontrole IS-a

• slabe sveobuhvatne kontrole IS-a mogu narušiti jake detaljne kontrole IS-a i pogoršati slabosti na detaljnoj razini.

Dostatni postupci revizije

Kada sveobuhvatne kontrole IS-a imaju potencijalni značajan utjecaj na cilj revizije, nije dovoljno planirati samo reviziju detaljnih kontrola. U slučaju da nije moguće praktično izvršiti reviziju sveobuhvatnih kontrola IS-a, trebalo bi izvijestiti o ograničenju opsega. Revizor bi trebao planirati testiranje značajnih relevantnih kontrola IS-a gdje to doprinosi postizanju cilja revizije.

Relevantne kontrole

Relevantne sveobuhvatne kontrole IS-a su one koje imaju utjecaj na određene ciljeve revizije za zadatak. Na primjer, kada je cilj revizije izvještavati o kontrolama oko promjena određene programske knjižnice, relevantne će biti sveobuhvatne kontrole IS-a koje se

205

Preporuke za rad

odnose na mjere sigurnosti (PO6), no možda neće biti relevantne sveobuhvatne kontrole IS-a koje se odnose na određivanje tehnološkog smjera (PO3).

Pri planiranju revizije revizor bi trebao prepoznati koja od ukupnih populacija sveobuhvatnih kontrola IS-a ima utjecaja na određene ciljeve revizije, te bi trebao planirati uključiti ih u opseg revizije. Ciljevi kontrole COBIT-a za domene ‘’planiranja i organizacije’’ i ‘’praćenja’’ mogu pomoći revizoru IS-a prepoznati relevantne sveobuhvatne kontrole IS-a.

Dokaz revizije

Sveobuhvatne kontrole IS-a se ne trebaju nužno dokumentirati, već bi revizor IS-a trebao planirati dobivanje dokaza o reviziji kako relevantne kontrole funkcioniraju učinkovito. Pregled potencijalnih testova nalazi se u dijelu izvršavanje rada revizije.

Pristup relevantnim detaljnim kontrolama IS-a

Kada revizorski rad upućuje da su sveobuhvatne kontrole IS–a zadovoljavajuće, revizor bi trebao razmotriti smanjivanje razine planiranog testiranja za detaljne kontrole IS-a budući da revizorski dokaz jakih sveobuhvatnih kontrola IS-a doprinosi uvjerenju koje dobiva revizor u odnosu na detaljne kontrole IS-a.

Kada rad revizije IS-a upućuje da sveobuhvatne kontrole IS-a nisu zadovoljavajuće, revizor bi trebao provesti dovoljno testiranje detaljnih kontrola IS-a kako bi se pružili dokazi revizije da oni funkcioniraju učinkovito unatoč slabosti relevantnih sveobuhvatnih kontrola IS-a.

III. Provođenje rada revizije

Testiranje sveobuhvatnih kontrola IS-a

Revizor bi trebao provesti dovoljno testiranja kako bi pružio uvjerenje da su relevantne sveobuhvatne kontrole IS-a funkcionirale učinkovito u revizijskom razdoblju ili u određenom trenutku. Postupci testiranja mogu uključivati:

- promatranje- potkrjepljujuće istrage- pregled relevantne dokumentacije (mjera, standarda, zapisnika sa sastanaka itd.)- ponovno provođenje (korištenjem CAAT-a, na primjer).

Ako testiranje relevantnih sveobuhvatnih kontrola IS-a upućuje da su one zadovoljavajuće, revizori bi trebali nastaviti s planiranom revizijom detaljnih kontrola IS-a koje se direktno primjenjuju na cilj revizije. Razina takvog testiranja može biti manja nego što je prikladno ako sveobuhvatne kontrole IS-a ne funkcioniraju na zadovoljavajući način.

206


IV. Izvještavanje

Slabosti sveobuhvatnih kontrola IS-a

Kada je revizor identificirao slabosti u sveobuhvatnim kontrolama IS-a, o tome treba obavijestiti viši menadžment, čak i kada razmatranje takvih područja nije posebno utvrđeno u dogovorenom opsegu poslova.

Ograničenja opsega

Kada bi sveobuhvatne kontrole IS-a trebale imati značajan utjecaj na učinkovitost detaljnih kontrola IS-a, a nije izvršena revizija kontrola IS-a, revizor bi trebao o tome izvijestiti viši menadžment u završnom izvještaju, s izjavom potencijalnih utjecaja na rezultate revizije, zaključke i preporuke. Na primjer, kada revizor izvještava o reviziji akvizicije paketa rješenja, no nije vidio strategiju IS-a organizacije, revizor bi trebao u izvještaj uključiti izjavu da strategija IS-a nije bila dostupna ili ne postoji. Kada je to relevantno, revizor bi trebao izvještavati o potencijalnim utjecajima na rezultate revizije, zaključke i preporuke. Na primjer, izjava da iz tog razloga nije moguće reći je li akvizicija paketa rješenja dosljedna sa strategijom IS-a te hoće li podržavati buduće planove poslovanja.

207

Preporuke za rad

Preporuka za rad 2100-12:Eksternaliziranje aktivnosti IS-a

drugim organizacijama




Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Eksternaliziranje aktivnosti IS-a na drugu organizaciju, dokument G4. Ove smjernice za informacijske sustave objavljenje su u rujnu 1999. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koji je izdala ISACA, ISACA ne jamči za točnost niti ne prihvaća te promjene.

Priroda ovih preporuka za rad: Interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja revizije izdvojenih aktivnosti IS-a. Namjera ovih smjernica nije predstaviti sve potrebne postupke za opsežno uvjerenje ili konzultacijski angažman povezan s revizijom izdvojenih aktivnosti IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.

Što treba uzeti u obzir prije poduzimanja revizije

1. Glavni revizor bi trebao odrediti da aktivnost interne revizije posjeduje ili ima pristup neovisnim6 i mjerodavnim resursima za reviziju kako bi izvršio reviziju aktivnosti informacijskih sustava (IS) koje su izdvojene drugoj organizaciji, te vrednovao pripadajuće rizike izlaganja.

2. Prava na reviziju pružatelja izdvojenih usluga su često nejasna. Odgovornost za usklađenost revizije također često nije jasna. Glavni revizor i /ili imenovani revizor u suradnji s odjelom pravnih poslova, ugovaranje i/ili drugim nadležnim odjelom trebao bi odrediti razmjer do kojeg sporazum o eksternaliziranju regulira reviziju

6 Neovisnost- odnosno ako revizor nije uključen u planiranje, odabir ili ugovaranje izdvojenih aktivnosti IS-a.

208


pružatelja usluga, te bi trebao razmotriti jesu li ove odredbe dostatne. Ako se ukaže potreba, treba potražiti stručan pravni savjet.

3. Glavni revizor i/ili imenovani revizor trebao bi također procijeniti potencijalno oslanjanje na rad revizije IS-a koji je izvršen ili od strane internih revizora pružatelja usluga ili neovisne treće strane koju je angažirao pružatelj usluga. Sposobnost na reviziju i/ili oslanjanje na rad druge strane trebalo bi utvrditi prije poduzimanja revizije.

Što treba uzeti u obzir kod planiranja

1. Pronalaženje činjenica

Revizor bi trebao steći razumijevanje prirode, vremenskog okvira i razmjera izdvojenih usluga. Revizor bi trebao utvrditi koje je kontrole primijenio korisnik kako bi se nosio s poslovnim zahtjevima koji nalažu: ‘’osigurati da se uloge i odgovornosti trećih strana jasno definiraju, da ih se poštuje i dalje udovoljava uvjetima’’ (COBIT cilj visoke razine kontrole SD2).

Rizike povezane s izdvojenim uslugama treba identificirati i procijeniti.

Revizor bi trebao procijeniti mjeru do koje kontrole korisnika usluga pružaju razumno uvjerenje da će se poslovni ciljevi ostvariti, te da će neželjeni događaji biti spriječeni ili otkriveni i ispravljeni.

2. Planiranje

Revizor bi trebao vrednovati svaki prethodni izvještaj revizije koji je pripremljen za pružatelja usluga, te planirati rad revizije informacijskog sustava kako bi se bavio ciljevima revizije koji su značajni za okoliš pružatelja usluga, uzimajući u obzir informacije koje je dobio tijelom planiranja.

Uprava korisnika usluge treba se sporazumjeti o cilju revizije prije nego se ona priopći pružatelju usluga. O svim promjenama koje zahtijeva pružatelj usluga treba se postići dogovor s upravom korisnika usluga.

Revizor bi trebao planirati rad revizije informacijskog sustava kako bi bio sukladan s vrijedećim standardima profesionalne revizije, kao da se revizija provodi u vlastitom okruženju korisnika usluge.

Provođenje revizije

1. Zahtjevi za reviziju dokaza

209

Preporuke za rad

Revizija bi se trebala provoditi kao da se usluga pruža u vlastitom okruženju IS-a korisnika usluge.

2. Sporazum s pružateljem usluga

Revizor bi trebao razmotriti nešto od sljedećeg:• postojanja formalnog sporazuma između pružatelja usluga i korisnika usluga• dodavanje klauzule o sporazumu za eksternaliziranje koji izričito nalaže da se

pružatelj usluga obvezuje ispuniti sve pravne uvjete vezane za njegove aktivnosti te poštovati sve zakone i propise relevantne za funkcije koje će poduzeti u ime korisnika usluga

• u sporazumu o eksternaliziranju utvrditi da su aktivnosti koje provodi pružatelj usluga podložne kontroli i revizijama kao da ih provodi sam korisnik usluge

• uključenje prava na pristup reviziji u sporazum pružatelja usluga• postojanje sporazuma o razini kvalitete usluga (SLA-ova) s postupcima praćenja

učinka• poštivanje sigurnosnih mjera korisnika usluge• dostatnost propisa pružatelja usluga o osiguranju od prijevare• dostatnost mjera pružatelja usluga o osoblju i postupcima.

3. Upravljanje izdvojenim uslugama

Revizor bi trebao verificirati sljedeće:• poslovni procesi za proizvodnju informacija koji se koriste za praćenje sukladnosti

sa SLA-ovima kontroliraju se na odgovarajući način• ukoliko ne postoji sukladnost sa SLA-ovima, korisnik usluge traži pravni lijek i

razmatra korektivno djelovanje kako bi se postigla ugovorena razina usluga• korisnik usluge ima sposobnost i stručnost za nastavak i pregled pruženih usluga.

4. Ograničenja opsega

Kada pružatelj usluga ne pokaže nesklonost za suradnju s revizorom, revizor bi trebao obavijestiti upravu korisnika usluge, kao i glavnog revizora.

Izvještavanje

Revizor bi nakon završetka rada revizije trebao ciljanim primateljima koji su korisnici usluge dati izvještaj u odgovarajućem obliku.Revizor bi prije objavljivanja trebao razmotriti raspravljanje izvještaja s pružateljem usluga, no revizor ne bi trebao biti odgovoran za izdavanje završnog izvještaja pružatelju usluga. Ako pružatelj usluga treba primiti kopiju, navedeno obično treba doći iz uprave korisnika usluge.

210


Izvještaj bi trebao precizirati sva ograničenja distribucije čije su nametanje dogovorili revizor ili uprava korisnika usluge. Na primjer, pružatelj usluge ne bi trebao dostaviti kopiju izvještaja drugim korisnicima njihove usluge bez dozvole revizorove organizacije i, gdje je to prikladno, korisnika usluge.

Revizorski izvještaj trebao bi jasno identificirati ograničenje na opseg gdje ne vrijede prava pristupa te bi trebao objasniti utjecaje ovih ograničenja u odnosu na reviziju.

Aktivnosti praćenja

Ako se revizija provodi u vlastitom okruženju korisnika usluge, revizor bi trebao zahtijevati odgovarajuću informaciju i od korisnika usluge i pružatelja usluge, vezano za prethodne nalaze koji su relevantni, zaključke i preporuke. Revizor bi trebao utvrditi jesu li pravovremeno implementirane odgovarajuće akcije ispravljanja od strane pružatelja usluga.

211

Preporuke za rad

Preporuka za rad 2100-13:Utjecaj trećih strana

na informatičku kontrolu organizacije




Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Utjecaj trećih strana na informatičku kontrolu organizacije, dokument G16. Ove smjernice za informacijske sustave objavljene su u ožujku 2002. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koji je izdala ISACA, ISACA ne jamči za točnost niti prihvaća te promjene.

Priroda ovih preporuka za rad: interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja revizije utjecaja trećih strana na informatičku kontrolu organizacije. Namjera ovih smjernica nije predstaviti sve potrebne postupke za opsežno uvjerenje ili konzultacijski angažman povezan s revizijom izdvojenih aktivnosti IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.

1. Usluge neovisnih pružatelja usluga

Organizacije koriste internet i korporativni intranet u mnoštvo svrha. One uključuju pružanje pristupa zaposlenicima, prodavačima i klijentima na postojeće i/ili nove ljudske resurse, financijske aplikacije i one za kupnju i prodaju. Ovaj pristup se, u mnogim primjerima, pruža putem jednog ili više neovisnih pružatelja usluga.

Treće strane mogu pružati usluge kao što su:• povezivost internih mreža na internet• povezivost na partnere organizacije kroz virtualne privatne mreže ekstraneta• povezivost na klijente korištenjem bežične tehnologije • razvoj web stranica• održavanje web stranice, upravljanje i praćenje• sigurnosne usluge web stranice

212


• pružanje fizičke lokacije za hardver (poznate kao kolokacija)• praćenje sustava i pristupa aplikaciji• sigurnosna kopija i usluge oporavka• razvoj aplikacije, održavanje i hosting (kao što su ERP sustavi, sustavi e-trgovine)• razvoj aplikacije, uključujući upravljanje gotovinom, kreditne kartice, obrade

narudžbe i usluge pozivnog centra.

2. Utjecaj neovisnih pružatelja usluga na organizaciju

Neovisni pružatelji usluga mogu imati utjecaj na organizaciju (uključujući njene partnere), njene procese, kontrole i ciljeve kontrole na više različitih razina. Ovo uključuje utjecaje koji proizlaze iz sljedećeg:

• gospodarske održivosti neovisnih pružatelja usluga • pristupa neovisnih pružatelja usluga informacijama koje se odašilju kroz njihove

komunikacijske sustave i aplikacije• dostupnosti sustava i aplikacija• integriteta obrade• razvoja aplikacije i procesa upravljanja promjenom• zaštite sustava i podatkovne imovine kroz rezervnu kopiju za oporavak, planiranje

kontingentnosti i redundanciju.

Treće strane mogu ostati ključna komponenta u kontrolama organizacije i ostvarivanju povezanih ciljeva kontrole. Revizor bi trebao revidirati usluge koje pruža treća strana u odnosu na informatičko okruženje, povezane kontrole i ciljeve kontrola.

Na isti način, sposobnost organizacije da postiže svoje ciljeve kontrole može se poboljšati ili oslabiti relativnom učinkovitošću ili neučinkovitošću kontrola treće stranke. Slabosti mogu proizlaziti iz mnogih izvora, uključujući:

• rupe u kontrolnom okruženju koje proizlaze iz eksternaliziranja usluga treće stranke

• loš dizajn kontrola koje uzrokuje neučinkovito funkcioniranje• nedostatak znanja i/ili nedostatak iskustva osoblja koje je odgovorno za kontrolne

funkcije• preveliko oslanjanje na kontrole treće stranke (kada ne postoje kompenzirajuće

kontrole unutar organizacije).

Nedostatak kontrola i/ili slabosti u dizajnu kontrola, funkcioniranju ili učinkovitosti mogu dovesti do nečega kao što je:

• gubitak povjerljivosti i privatnosti informacija• sustavi nisu više upotrebljivi kada je to potrebno• neovlašteni pristup i promjene sustava, aplikacija ili podataka• promjene sustava, aplikacija ili podataka koje imaju za posljedicu pad sustava

ili sigurnosti, gubitak podataka, gubitak integriteta,gubitak zaštite podataka ili nedostupnost podataka

213

Preporuke za rad

• gubitak resursa sustava i/ili podatkovne imovine• povećani troškovi organizacije kao posljedica bilo čega navedenog gore.

3. Postupci koje mora izvršiti revizor

Razumijevanje

Kao dio procesa planiranja, revizor bi trebao razumjeti i dokumentirati vezu između usluga koje pruža treća strana i kontrolnog okruženja organizacije. Revizor bi trebao razmotriti na primjer ugovor, ugovor o razini kvalitete usluga, mjere i postupke između treće strane i organizacije.

Revizor bi trebao:• dokumentirati procese i kontrole treće strane koji imaju izravan utjecaj na procese i

ciljeve kontrola organizacije• prepoznati svaku kontrolu, njenu lokaciju u kombiniranom kontrolnom okruženju

(unutarnji ili vanjski), tip kontrole, njenu funkciju (preventivnu, detektivnu ili korektivnu) te organizaciju koja izvršava funkciju (unutarnja ili vanjska)

• procijeniti rizike koje treća strana pruža organizaciji, njene kontrole i ciljeve kontrole

• odrediti važnost kontrola treće strane za sposobnost organizacije da ispuni svoje kontrolne ciljeve

• potvrditi svoje razumijevanje kontrolnog okruženja provodeći istragu i promatranje te probe za transakciju.

Procjena uloge kontrola treće strane

Ako je uloga i utjecaj koji treća strana ima na kontrolne ciljeve organizacije značajna, tada bi revizor trebao procijeniti ove kontrole kako bi odredio funkcioniraju li kako je opisano, rade li učinkovito, te pružiti pomoć organizaciji u postizanju njenih kontrolnih ciljeva.

Procjena prepoznatih slabosti kontrole

Revizori bi trebali procijeniti vjerojatnost (ili rizik kontrole) postojanja slabosti u informatičkom okruženju, a mogu se nalaziti u kontrolama, dizajnu ili upravljanju. Revizor bi trebao prepoznati gdje postoje slabosti kontrole.

Revizor bi nakon toga trebao procijeniti je li rizik kontrola značajan i koji utjecaj ima na kontrolno okruženje.

Kada se prepoznaju slabosti, revizor bi trebao odrediti postoje li kompenzirajuće kontrole koje mogu biti suprotne utjecaju prepoznatih slabosti (kompenzirajuće kontrole mogu postojati u organizaciji, kod neovisnog pružatelja usluga ili oba subjekta). Ako postoje kompenzirajuće kontrole, revizor bi trebao odrediti ublažavaju li utjecaj slabosti kontrola.

214


4. Ugovori s neovisnim pružateljima usluga

Uloge i odgovornosti

Veza između organizacije i neovisnog pružatelja usluga treba se dokumentirati u obliku izvršenog ugovora. Ugovor je ključan element i sadrži mnogo odredaba koje upravljaju djelovanjem i odgovornostima svake strane.

Revizor bi trebao pregledati ugovor (po mogućnosti uz pomoć pravnog savjetnika organizacije) kako bi odredio ulogu i odgovornosti treće strane u pružanju pomoći organizaciji i u postizanju njenih kontrolnih ciljeva. Smjernice o tome kako pregledati ugovor nisu obuhvaćene ovim preporukama za rad, međutim, sljedeća lista sadrži primjere pitanja koja treba razmotriti:

• razina usluge koju treba pružiti treća strana (bilo organizaciji, njenim partnerima ili oboje)

• prikladni honorari koje naplaćuje treća strana• odgovornost za podatke i privatnost aplikacija i povjerljivost• odgovornost za sustave, komunikacije, operativni sustav, uslužni softver, podatke i

kontrole pristupa aplikacijskom softveru i administraciji• praćenje imovine i povezanih podataka te odgovora (organizacija i treća strana) i

postupci izvještavanja (rutina, incident) • preciziranje vlasništva podatkovne imovine, uključujući podatke i imena domena• preciziranje vlasništva korisničkog programiranja koje je razvio neovisni pružatelj

usluge za organizaciju, uključujući promjenu dokumentacije, izvorski kod i uvjetne sporazume

• osiguranje zaštite za sustave i podatke, uključujući sigurnosne kopije i oporavak, planiranje kontingentnosti i redundantnost

• klauzula prava na reviziju (uključujući na primjer mogućnost nalaženja s neovisnim pružateljem usluge i osobljem za internu reviziju kako bi se njihovi radni materijali i izvještaji podvrgnuli reviziji)

• proces za pregovore, pregled i odobravanje promjena u ugovoru i povezanim dokumentima (kao što su ugovori o razini kvalitete usluga i postupci).

Revizor bi barem trebao izvršiti reviziju ugovora kako bi odredio mjeru odgovornosti za kontrole koje poduzima treća strana u ime organizacije. Ovim procesom bi se trebalo procijeniti dostatnost identificiranih kontrola i praćenje/izvještavanje o usklađenosti, njihov dizajn te učinkovitost funkcioniranja.

Korporativno upravljanje

Čak i kad su uključene treće strane, uprava još uvijek snosi odgovornost za postizanje povezanih ciljeva kontrole. Kao dio ove odgovornosti, uprava bi trebala imati proces kojim

215

Preporuke za rad

upravlja s vezom i učinkom neovisnog pružatelja usluga. Revizor bi trebao prepoznati i pregledati elemente ovog procesa. Revizor bi trebao pregledati sredstva koja upravljanje procesima koristi za prepoznavanje rizika povezanih s neovisnim pružateljem usluga, usluge koje pruža treća strana te način na koji uprava upravlja vezom među dva subjekta.Pregledom procesa upravljanja od strane revizora trebalo bi se utvrditi provjerava li uprava neovisne pružatelje usluga s obzirom na standarde izvođenja ili kriterije koji su navedeni u ugovoru ili sve standarde koje su odredila regulacijska tijela.

Proces korporativnog upravljanja trebao bi na primjer uključivati pregled sljedećeg:• financijski učinak neovisnog pružatelja usluga • usklađenost s uvjetima ugovora• promjene u kontrolnom okruženju koje je naložila treća strana, njeni revizori i/ili

regulatori• održavanje dostatnih razina osiguranja.

5. Pregled kontrola neovisnih pružatelja usluga

Ugovorna pitanja

Kada se provodi revizija kontrola treće strane, revizor bi trebao uzeti u obzir ugovornu vezu između organizacije i neovisnog pružatelja usluga te vrednovanje neovisnih pružatelja usluga i izvještavanje o njihovim kontrolama.

Ugovorna pitanja mogu spriječiti revizora od pregleda kontrola kod neovisnih pružatelja usluga. U ovim uvjetima, revizor bi trebao procijeniti ovo ograničenje opsega na vlastitoj sposobnosti da vrednuje kontrolno okruženje informacijskog sustava.

Nezavisna izvješća

Neovisni pružatelji usluga mogu podnositi izvještaj iz nezavisnih izvora o svojim kontrolama. Ovi izvještaji mogu dobiti oblik izvještaja revizije ureda službe ili drugih izvještaja temeljenih na kontroli. Revizori mogu koristiti ove izvještaje kao temelj za oslanjanje na kontrole u kontrolnom okruženju informacijskog sustava.

Ako revizor odluči koristiti nezavisni izvještaj kao temelj za oslanjanje na kontrole informacijskog sustava kod neovisnog pružatelja usluga, tada bi trebao pregledati ove izvještaje kako bi utvrdio sljedeće:

• Nezavisna stranka je kvalificirana. Ovo može uključivati posjeduje li nezavisna stranka odgovarajuće certifikate ili dozvolu stručnosti, ima li relevantno iskustvo, te uživa li dobar ugled s relevantnim profesionalnim i regulatornim (ako je relevantno) tijelima.

• Nezavisna stranka nema veza s neovisnim pružateljem usluga što bi ugrozilo njihovu nezavisnost i objektivnost.

216


• Razdoblje koje pokriva izvještaj. • Je li izvještaj dostatan (odn. izvještaj pokriva relevantne sustave i kontrole te

uključuje testove područja koje bi revizor uključio da je on izvršavao posao)?• Ako su kontrole testiranja dovoljne da omoguće revizoru oslanjanje na rad nezavisne

stranke (odn. da je testiranje kontrola dovoljno što se tiče prirode, vremenskog okvira i razmjera izvršenih postupaka).

• Izvještaj razgraničava između odgovornosti pružatelja usluga i odgovornosti organizacije korisnika.

• Organizacija korisnika se bavila sa svojim odgovornostima u odnosu na prikladne kontrole.

Testiranje kontrola treće strane

Ako revizor odluči direktno revidirati i testirati kontrole kod neovisnog pružatelja usluga, tada bi trebalo postupiti na sljedeći način:

• raditi s upravom i, ako je relevantno ili ako se smatra prikladnim, izvršiti internu reviziju neovisnog pružatelja usluga kako bi se planirao angažman, postavio njegove ciljeve i opseg revizije, te odredio vremenski okvir, potrebe osoblja i druga pitanja

• baviti se pitanjima kao što je pristup sustavima treće strane i imovini, kao i povjerljivost

• razviti program revizije, proračun i plan angažmana• ustanoviti ciljeve kontrole.

Nakon što je revizor završio rad na terenu, treba se izvesti zaključak o operativnoj učinkovitosti testiranih kontrola. Revizor bi trebao pregledati učinkovitost kontrola unutar svake organizacije i međusobno djelovanje kontrola između organizacije i treće strane. U većini situacija dolazit će do preklapanja kontrola između organizacije i treće strane. Revizor bi trebao procijeniti operativnu učinkovitost sveukupnih kontrola u odnosu na individualne.

Mogu postojati situacije u kojima za određeni cilj u organizaciji kontrole ne postoje ili ne funkcioniraju učinkovito. Pored toga, mogu postojati situacije u kojima prednosti kontrola u jednoj organizaciji mogu biti djelomično ili potpuno negirane slabostima kontrola u drugoj organizaciji. U ovim situacijama, revizor bi trebao procijeniti utjecaj koji ove slabosti imaju na cjelokupno kontrolno okruženje i na razmjer njihovih postupaka.

Interni revizori trećih strana

Revizor bi trebao razmotriti ima li treća strana odjel za internu reviziju. Postojanje internih revizora može poboljšati snagu kontrolnog okruženja. Ako postoji odjel za internu reviziju, revizor bi trebao odrediti razmjer njegovih aktivnosti u pogledu sustava i kontrola koje utječu na organizaciju.

217

Preporuke za rad

Ako je moguće, revizor bi trebao pregledavati relevantna izvješća interne revizije. U situacijama kada nije moguće pregledati te izvještaje, revizor bi trebao raspraviti opseg izvršenih revizija, pokrivene sustave i kontrole, i sva važna pitanja ili identificirane slabosti. Ako treća strana nije sklona dati pristup izvještajima, revizor bi trebao procijeniti ovo ograničenje na omjer njihovih postupaka.

Revizor bi također trebao razmatrati procjenu vještina i stručnosti osoblja za internu reviziju. Ovo se može ostvariti razgovorom s tim pojedincima i dodatnim postupcima kao što je pregled njihovih radnih planova, radnih papira i izvještaja.

6. Podugovaratelji trećih strana

Revizor bi trebao utvrditi koristi li treća strana podugovaratelje kako bi pružala sustave i usluge. U situacijama u kojima se koriste podugovaratelji, revizor bi trebao pregledati značenje ovih podugovaratelja kako bi odredio njihov potencijalni utjecaj na kontrole treće strane koje se odnose na organizaciju.

Ako podugovaratelj nema značajan utjecaj na kontrole koje su bitne organizaciji, tada bi revizor trebao dokumentirati isto u svojim radnim materijalima. Ako se utvrdi da postoji značajan utjecaj na kontrole koje su relevantne za organizaciju, tada bi revizor trebao vrednovati procese koje koristi treća stranka za upravljanje i praćenje veze s podugovarateljem. Revizor bi trebao razmotriti dijelove 4 i 5 ovih preporuka pri izvršavanju ove procjene.

7. Izvještavanje

Izvještaj revizora bi trebao upućivati na opseg revizije koji je proširen na kontrole i unutar organizacije i unutar treće stranke. Revizori bi trebali razmotriti identificiranje kontrole, slabosti kontrola i kompenzirati kontrole koje postoje u svakoj organizaciji. Kod razmjera do kojeg se zaključci i preporuke priopćavaju trebaju imati na umu vezu između organizacije i treće strane. Neke treće strane možda nisu voljne ili sposobne implementirati preporuke. U ovim situacijama, revizor bi trebao preporučiti kompenzirajuće kontrole koje bi organizacija trebala implementirati kako bi se bavila slabostima kontrole kod treće strane.

218


Preporuke za rad 2100-14:Zahtjev za revizijskim dokazima




Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Zahtjev na revizijske dokaze, dokument G2. Ove smjernice za informacijske sustave objavljenje su u prosincu 1998. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koji je izdala ISACA, ISACA ne jamči za točnost niti ne prihvaća te promjene.

Priroda ovih preporuka za rad: Interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja revizije aktivnosti IS-a. Namjera ovih smjernica nije predstaviti sve potrebne postupke za opsežno uvjerenje ili konzultacijski angažman povezan s revizijom aktivnosti IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.

1. Planiranje

Vrste revizijskih dokaza

Kod planiranja revizije IS-a, revizor bi trebao uzeti u obzir tip revizijskih dokaza koji se treba prikupiti, njihovo korištenje kao revizijskih dokaza kako bi se ispunili ciljevi revizije, te varirajuće razine pouzdanosti. Među stvarima koje treba razmotriti su nezavisnost i kvalifikacije pružatelja revizijskih dokaza. Na primjer, potvrđujući revizijski dokazi od nezavisne treće strane mogu biti pouzdaniji nego revizijski dokaz iz organizacije koju se revidira. Fizički revizijski dokazi su općenito pouzdaniji nego predstavljanja pojedinačnih.

Različiti tipovi revizijskih dokaza čije bi korištenje revizor trebao razmotriti uključuju: • zapažene procese i postojanje fizičkih stavaka• revizijske dokaze u obliku dokumenta• prezentacije

219

Preporuke za rad

• analize.Zapaženi procesi i postojanje fizičkih stavaka mogu uključivati zapažanje aktivnosti, imovine i funkcija informacijskih sustava, kao što su:

• inventar medija na skladišnoj lokaciji izvan centralne lokacije• soba s računalima i sigurnosnim sustavom koji funkcionira.

Revizijski dokazi u obliku dokumenta, zabilježeni na papiru ili drugim medijima, mogu uključivati:

• rezultate ekstrakcije podataka• zapise transakcija• popise programa• fakture• dnevnike aktivnosti i kontrole• dokumentaciju o razvoju sustava.

Predstavke onih koji su podvrgnuti reviziji mogu biti revizijski dokazi, kao na primjer:• pismene mjere i postupci• dijagrami toka sustava• pismene ili usmene izjave.

Rezultati analize informacija kroz usporedbe, simulacije, izračune i zaključivanje mogu se također podvrgnuti reviziji kao dokazi. Primjeri uključuju:

• benchmarking (sustavno vrednovanje) učinka IS-a u usporedbi s drugim organizacijama ili prethodnim razdobljima

• usporedbe stopa pogrješaka među aplikacijama, transakcijama i korisnicima.

Dostupnost revizijskih dokaza

Revizor bi trebao razmotriti vrijeme tijekom kojeg informacije postoje ili su dostupne u određivanju prirode, vremenskog okvira i razmjera stvarnog testiranja te, ukoliko je primjenjivo, testiranje usklađenosti. Na primjer, revizijski dokazi obrađeni elektronskom razmjenom podataka (EDI), obradom slika u dokumentima (DIP) i dinamičnim sustavima kao što su proračunske tablice, nakon određenog vremena neće se moći ponovno pronaći ako se promjene na dokumentima ne kontroliraju ili ukoliko se ne radi sigurnosna kopija datoteka.

Odabir revizijskih dokaza

Revizor bi trebao planirati korištenje najboljih dostupnih revizijskih dokaza dosljednih s važnošću cilja revizije i vremenom te nastojanjem koje je uloženo u dobivanje revizijskih dokaza. U slučaju kada je revizijski dokaz u obliku usmene prezentacije ključan za revizorsko mišljenje ili zaključak, revizor bi trebao razmotriti dobivanje dokumentacijske potvrde reprezentacija, bilo na papiru ili na drugom mediju.

220


2. Izvršavanje revizorskog rada

Priroda revizijskih dokaza

Revizijski dokaz trebao bi biti dovoljan, pouzdan, relevantan i koristan kako bi se formiralo mišljenje ili potkrijepili nalazi revizora i zaključci. Ukoliko prema sudu revizora dobiveni revizijski dokazi ne ispunjavaju ove kriterije, revizor bi trebao dobiti dodatni revizijski dokaz. Na primjer, popis programa može biti nedostatan revizijski dokaz dok se sakupljaju drugi revizijski dokazi kako bi se verificiralo da predstavlja pravi program koji se koristi u procesu proizvodnje.

Skupljanje revizijskih dokaza

Postupci koji se koriste za prikupljanje revizijskih dokaza variraju ovisno o informacijskom sustavu koji se revidira. Revizor bi trebao odabrati najprikladniji postupak za cilj revizije. Treba razmotriti sljedeće postupke:

• upit• promatranje• provjeru• konfirmaciju• ponovno izvođenje• nadziranje.

Gore navedeno može se primjenjivati kroz korištenje ručnih revizijskih postupaka, računalnih revizijskih tehnika ili kombiniranjem oba postupka. Na primjer:

• Sustav koji koristi zbrojeve ručnih kontrola za ujednačavanje operacija unosa podataka može pružiti revizijski dokaz da je kontrolni postupak implementiran putem izvještaja koji je usklađen na odgovarajući način uz objašnjenja. Revizor bi trebao prikupiti revizijske dokaze pregledom i testiranjem ovog izvještaja.

• Detaljni zapisi transakcija mogu biti dostupni samo u formatu koje se može čitati strojno, zbog čega revizor mora prikupiti revizijske dokaze koristeći tehnike revizije uz pomoć računala.

Dokumentacija revizije

Revizijske dokaze koje je prikupio revizor trebalo bi na odgovarajući način dokumentirati i organizirati kako bi se poduprli nalazi i zaključci revizora.

3. Izvještavanje

U situacijama kada revizor vjeruje da nije moguće dobiti dovoljno revizijskih dokaza, trebao bi objaviti ovu činjenicu na način koji je dosljedan s izvještavanjem o rezultatima revizije.

221

Preporuke za rad

Preporuka za rad 2110-1:Procjena adekvatnosti

procesa upravljanja rizicima



Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi pomagati organizaciji identificirajući i vrednujući značajnu izloženost riziku i doprinoseći poboljšanju upravljanja rizicima i kontrolnim sustavima.

Priroda ovih preporuka za rad: Internim revizorima može biti povjerena odgovornost pružanja uvjerenja višem menadžmentu i odboru za reviziju o adekvatnosti procesa upravljanja rizicima organizacije. Ova odgovornost bi zahtijevala formuliranje revizorova mišljenja o tome je li proces upravljanja rizicima organizacije dostatan za zaštitu njene imovine, ugleda i tekućeg poslovanja organizacije. U ovim preporukama nalaze se smjernice o glavnim ciljevima upravljanja rizicima koje bi revizor trebao razmotriti pri formuliranju mišljenja o adekvatnosti procesa upravljanja rizicima organizacije. Ove preporuke pokrivaju samo procjenu i izvještavanje o učinkovitosti procesa upravljanja rizicima organizacije. Druge preporuke za rad detaljnije će se baviti kontrolama i konzultacijskim pitanjima. U ovim preporukama za rad prepoznaje se da je proces upravljanja rizicima organizacije važan poslovni proces kojeg se može i treba vrednovati na sličan način kao i druge strateški važne procese.

1. Upravljanje rizicima je ključna odgovornost višeg menadžmenta. Kako bi se postigli poslovni ciljevi, viši menadžment bi trebao osigurati postojanje i funkcioniranje pouzdanih poslovnih procesa. Upravni odbori i odbori za reviziju imaju nadzornu ulogu kako bi odredili da su implementirani odgovarajući procesi upravljanja rizicima te da su ti procesi adekvatni i djelotvorni. Viši menadžment i odbor su odgovorni za upravljanje rizicima njihove organizacije i za procese kontrole. Međutim, interni revizori koji djeluju u konzultacijskoj ulozi mogu pomoći organizaciji u identificiranju, vrednovanju i implementaciji metodologija upravljanja rizicima i kontrolama za suzbijanje tih rizika.

2. Razvoj procjena i izvješća o procesima upravljanja rizicima organizacije obično imaju visoki prioritet. Vrednovanje procesa rizika višeg menadžmenta razlikuje se od zahtjeva da revizori koriste analizu rizika kako bi planirali revizije. Međutim, informacije iz opsežnog procesa upravljanja rizicima, uključujući identifikaciju briga višeg menadžmenta i odbora mogu pomoći internom revizoru u planiranju aktivnosti revizije.

222


3. Svaka organizacija može odabrati posebnu metodologiju kako bi implementirala procese upravljanja rizicima. Interni revizor trebao bi ustanoviti razumiju li metodologiju ključne grupe ili pojedinci uključeni u upravljanje tvrtkom, uključujući upravni odbor i odbor za reviziju. Interni revizori moraju zadovoljiti sebe u uvjerenju da se procesi upravljanja rizicima organizacije bave s pet ključnih ciljeva kako bi formulirali mišljenje o cjelokupnoj adekvatnosti procesa upravljanja rizicima. Pet ključnih ciljeva procesa upravljanja rizicima su:• rizici koji proizlaze iz poslovnih strategija i aktivnosti identificiraju se i čine

prioritetom• viši menadžment i odbor su utvrdili razinu rizika koja je prihvatljiva organizaciji,

uključujući prihvaćanje rizika stvorenog za postizanje strateških planova organizacije

• aktivnosti ublažavanja rizika su stvorene i implementirane da smanje ili pak upravljaju rizicima na razinama za koje je utvrđeno da su prihvatljive višem rukovodstvo i odboru

• tekuće aktivnosti praćenja provode se kako bi se povremeno ponovno procijenili rizici i učinkovitost kontrola i upravljalo rizicima

• viši menadžment i odbor primaju povremene izvještaje rezultata procesa upravljanja rizicima; procesi korporativnog upravljanja organizacije trebali bi povremeno davati dioničarima izvješća o rizicima, strategijama rizika i kontrolama.

4. Interni revizori trebali bi prepoznati kako je moguće postojanje značajnih varijacija u tehnikama koje koriste različite organizacije za svoju praksu upravljanja rizicima. Procesi upravljanja rizicima trebali bi biti osmišljeni za prirodu aktivnosti organizacije. Ovisno o veličini i kompleksnosti poslovnih aktivnosti organizacije, procesi upravljanja rizicima mogu biti:• formalni ili neformalni• kvantitativni ili subjektivni• uklopljeni u poslovne jedinice ili centralizirani na korporativnoj razini.

Posebni procesi koje koristi organizacija moraju se slagati s kulturom organizacije, stilom upravljanja i poslovnim ciljevima. Na primjer, korištenje derivata ili drugih sofisticiranih tržišnih proizvoda od strane organizacije zahtijevalo bi korištenje kvantitativnih alata za upravljanje rizicima. Manje, ne toliko složene organizacije mogu koristiti neformalni odbor za rizike kako bi raspravile profil rizika organizacije i inicirale povremeno djelovanje. Revizor bi trebao odrediti da je odabrana metodologija i opsežna i odgovarajuća za prirodu aktivnosti organizacije.

5. Interni revizori bi trebali doći do dovoljnih dokaza za spoznaju da je ispunjeno pet ključnih ciljeva kako bi formirali mišljenje o adekvatnosti procesa upravljanja rizicima. Kod prikupljanja tih dokaza, interni revizor bi trebao razmotriti sljedeće tipove postupaka revizije:

223

Preporuke za rad

• Istraživanje i pregled referentnog materijala i pozadinskih informacija o metodologijama upravljanja rizicima kao temelj za procjenu o tome jesu li procesi koje organizacija koristi odgovarajući ili nisu te predstavljaju li najbolju praksu za sektor.

• Istraživanje i pregled aktualnih razvoja, trendova, informacija iz sektora koje se odnose na posao koji provodi organizacija te drugi prikladni izvori informacija kako bi se odredili rizici i izlaganja koja mogu utjecati na organizaciju i povezane postupke kontrole koje se koristi za bavljenje, praćenje i ponovnu procjenu tih rizika.

• Pregledati korporativne mjere, upravni odbor i odbor za reviziju kako bi se odredile poslovne strategije organizacije, filozofija i metodologija upravljanja rizicima, želja za rizikom te prihvaćanje rizika.

• Pregledati prethodna izvješća vrednovanja rizika od strane višeg menadžmenta, internih revizora, vanjskih revizora i svih drugih izvora koji su mogli izdati takve izvještaje.

• Provesti intervjue s linijskim i izvršnim menadžmentom kako bi se odredili ciljevi poslovne jedinice i ublažavanje rizika uprave te aktivnosti nadzora kontrole.

• Asimilirati informacije kako bi se neovisno utvrdila učinkovitost ublažavanja rizika, praćenja i izvještavanja o rizicima i srodne aktivnosti kontrole.

• Procijeniti prikladnost linija izvještavanja za aktivnosti praćenja rizika.• Pregledati adekvatnosti i pravodobnost izvještavanja o rezultatima upravljanja

rizicima.• Pregledati cjelovitost analize rizika uprave, djelovanje koje je poduzeto kako

bi se popravila pitanja koja su postavili procesi upravljanja rizicima i predložiti poboljšanja.

• Odrediti učinkovitost procesa samoprocjene uprave kroz opažanja, direktne testove kontrole i postupke praćenja, testirajući točnost informacija korištenih u aktivnostima praćenja i drugim odgovarajućim tehnikama.

• Pregledati pitanja povezana s rizicima koja bi mogla upućivati na slabosti u praksama upravljanja rizicima i, ako je prikladno, raspraviti s upravom i odborom za reviziju te upravnim odborom. Ako revizor smatra da je uprava prihvatila razinu rizika koja nije sukladna strategiji i mjerama upravljanja rizicima organizacije, ili koja se smatra neprihvatljivom za organizaciju, revizor bi se trebao obratiti Standardu 2600 o Prihvaćanju rizika uprave i svim drugim povezanim smjernicama za dodatni smjer.

224



u procesu poslovnog kontinuiteta



Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi pomagati organizaciji identificirajući i vrednujući značajnu izloženost riziku i doprinoseći poboljšanju upravljanja rizicima i kontrolnim sustavima.

Priroda ovih preporuka za rad: interni revizori bi trebali razmotriti sljedeće prijedloge kada procjenjuju aktivnosti organizacije koje se odnose na poslovni kontinuitet. Potrebno je mnogo procesa koji trebaju osigurati kontinuitet organizacije nakon što dođe do katastrofe. Razvoj opsežnog plana počinje procjenom potencijalnog utjecaja i posljedica katastrofe i razumijevanjem rizika. (Cijeli proces osiguravanja poslovnog kontinuiteta će uz ostale stvari uključivati planove za poslovni kontinuitet i oporavak od katastrofe). Ove planove treba graditi, održavati, testirati i revidirati kako bi se osiguralo da to ostane prikladno za potrebe organizacije.

1. Smetnje poslovanja mogu proizlaziti iz prirodnih događaja i slučajnih ili namjernih kaznenih djela. Te smetnje mogu imati značajne financijske i poslovne posljedice. Revizori bi trebali procijeniti spremnost organizacije da se nosi s poslovnim prekidima. Opsežan plan trebao bi pružiti postupke hitnog odgovora, alternativne sustave komunikacije i objekte na lokaciji, sigurnosnu kopiju informacijskog sustava, oporavak od katastrofe, procjenu poslovnog utjecaja i planove nastavka, postupke za vraćanje komunalnih usluga i postupke održavanja za osiguravanje spremnosti organizacije u slučaju hitnosti ili nesreće.

2. Aktivnošću interne revizije trebao bi se procijeniti proces planiranja poslovnog kontinuiteta organizacije koji se redovito odvija kako bi se osiguralo da je viši menadžment svjestan stanja pripreme za katastrofu.

3. Mnoge organizacije ne očekuju prekid ili dugi zastoj normalnih poslovnih procesa i poslovanja zbog katastrofe ili nepredviđenog događaja. Mnogi poslovni stručnjaci kažu da pitanje nije hoće li se dogoditi katastrofa, nego kad će se dogoditi. Tijekom vremena organizacija će doživjeti događaj koji će rezultirati gubitkom informacija, pristupom imovini (materijalnoj ili nematerijalnoj) ili uslugama osoblja. Izlaganje tim tipovima rizika i planiranje poslovnog kontinuiteta je sastavni dio procesa upravljanja rizicima organizacije. Planiranje za budućnost je potrebno radi smanjivanja gubitka i

225

Preporuke za rad

osiguravanja kontinuiteta ključnih poslovnih funkcija organizacije. Navedeno može organizaciji omogućiti održavanje prihvatljive razine usluge dioničarima.

4. Ključan element poslovnog oporavka od katastrofe je postojanje opsežnog i aktualnog plana oporavka od katastrofe. Interni revizori mogu igrati ulogu u planiranju organizacije za plan oporavka od katastrofe. Aktivnost interne revizije može (a) pomoći s analizom rizika, (b) procijeniti dizajn i opsežnost plana nakon što je sastavljen i (c) provesti povremene angažmane uvjerenja kako bi se potvrdilo da se plan ažurira.

Planiranje

5. Organizacija se oslanja na interne revizore za analizu poslovanja i procjenu procesa upravljanja rizicima i kontrole. Interni revizori stječu razumijevanje cjelokupnog poslovanja i pojedinačnih funkcija te kako se one međusobno odnose. Ovo smješta aktivnost interne revizije kao vrijedni resurs u procjeni plana oporavka od katastrofe tijekom procesa formulacije.

6. Aktivnost interne revizije može pomoći s procjenom unutarnjeg i vanjskog okruženja organizacije. Unutarnji faktori koje se može razmatrati uključuju promjenu uprave i promjene informacijskih sustava, kontrola i glavnih projekata i programa. Vanjski faktori mogu uključivati promjene u vanjskom regulacijskom i poslovnom okruženju i promjene uvjeta tržišta i konkurencije, međunarodne financijske i gospodarske uvjete te tehnologije. Interni revizori mogu pomoći identificirati rizike koji uključuju ključne poslovne aktivnosti i čine funkcije za svrhe oporavka prioritetom.

Vrednovanje

7. Interni revizori mogu dati doprinos kao sudionici kod ostvarivanja ciljeva kada obavljaju reviziju predloženog poslovnog kontinuiteta i planova oporavka od katastrofe za dizajn, cjelovitost i cjelokupnu adekvatnost. Revizor može pregledati plan kako bi utvrdio da odražava poslovanje koje je uključeno i procijenjeno u procesu procjene rizika te sadrži dovoljno bojazni o internoj kontroli i propise. Opsežno znanje internog revizora o poslovanju organizacije i aplikacijama omogućava sudjelovanje tijekom razvojne faze plana poslovnog kontinuiteta vrednovanjem organizacije, opsežnosti i preporučenih djelovanja kako bi se upravljalo rizicima i održale djelotvorne kontrole tijekom razdoblja oporavka.

Povremeni angažmani uvjerenja

8. Interni revizori trebali bi povremeno obavljati reviziju poslovnog kontinuiteta i planova oporavka od katastrofe. Cilj revizije je verificirati adekvatnost planova za osiguranje pravovremenog nastavka poslovanja i procesa nakon nepovoljnih okolnosti, te odražavati aktualno okruženje poslovanja.

226


9. Poslovni kontinuitet i planovi oporavka od katastrofe mogu vrlo brzo zastarjeti. Hvatanje u koštac i odgovor na promjene je neizbježni dio upravljanja zadaćama. Smjena upravitelja i direktora i promjene u konfiguracijama sustava, sučeljima i softveru može imati veliki utjecaj na ove planove. Aktivnost interne revizije trebala bi pregledati plan oporavka kako bi utvrdila (a)je li strukturirano kako bi uključilo važne promjene koje će se dogoditi tijekom vremena i (b) o revidiranom planu obavijestit će se odgovarajući ljudi unutar i izvan organizacije.

10. Tijekom revizije interni revizori trebali bi razmotriti:• Jesu li planovi ažurirani? Postoje li postupci za ažuriranje planova?• Jesu li sve kritičke poslovne funkcije i sustavi pokriveni planovima? Ako nisu,

jesu li dokumentirani razlozi za propuste? • Jesu li svi planovi temeljeni na rizicima i potencijalnim posljedicama poslovnih

prekida?• Jesu li planovi u potpunosti dokumentirani i u skladu s organizacijskim mjerama

i postupcima? Jesu li dodijeljene funkcionalne odgovornosti?• Je li organizacija sposobna i spremna na implementiranje planova?• Jesu li planovi testirani i revidirani na temelju rezultata?• Jesu li planovi skladišteni na siguran i prikladan način? Je li lokacija i pristup

planovima poznata upravi? • Jesu li lokacije alternativnih objekata (rezervne lokacije) poznate

zaposlenicima?• Zahtijevaju li planovi koordinaciju s domaćim službama za hitnu intervenciju?

Uloga internog revizora nakon katastrofe

11. Postoji važna uloga koju interni revizori igraju odmah nakon što se dogodi katastrofa. Organizacija je ranjivija nakon što je došlo do katastrofe te se nastoji oporaviti. Tijekom tog razdoblja oporavka, interni revizori trebali bi nadzirati učinkovitost oporavka i kontrolu poslovanja. Aktivnost interne revizije trebala bi identificirati područja na kojima bi trebalo poboljšati interne kontrole i akcije ublažavanja te preporučiti poboljšanja poslovnom planu kontinuiteta subjekta. Interna revizija može također dati podršku tijekom aktivnosti oporavka.

12. Nakon katastrofe, obično u roku od nekoliko mjeseci, interni revizori mogu pomoći u identifikaciji naučenih lekcija iz katastrofa i operacija oporavka. Ta zapažanja i preporuke mogu poboljšati aktivnosti kako bi došlo do oporavka resursa i ažuriranja nove verzije plana poslovnog kontinuiteta.

13. U krajnjoj analizi viši menadžment utvrđuje stupanj uključenja internog revizora u poslovni kontinuitet i procese oporavka od katastrofe, s obzirom na njegovo znanje, vještine, neovisnost i objektivnost.

227

Preporuke za rad

Preporuka za rad 2120.A1-1:Ocjenjivanje i izvještavanje o procesima kontrole



Povezani standard 2120.A1 – Na temelju rezultata procjene rizika, interna revizija trebala bi evaluirati adekvatnost i učinkovitost kontrola koje obuhvaćaju upravljanje, poslovanje i informatičke sustave organizacije. To bi trebalo uključivati:• pouzdanost i cjelovitost financijskih i operativnih informacija• učinkovitost i djelotvornost poslovanja• očuvanje imovine• sukladnost sa zakonima, propisima i ugovorima.

Priroda ove preporuke za rad: interni revizori trebali bi uzeti u obzir sljedeće smjernice kod ocjenjivanja učinkovitosti sustava kontrole organizacije i izvještavanja o toj procjeni višem menadžmentu i upravnom odboru. Revizorski rad obavljen tijekom godine trebao bi osigurati dovoljno informacija za izradu procjene sustava kontrole i formulaciju mišljenja.

1. Jedan od zadataka upravnog odbora je uspostaviti i održavati proces upravljanja organizacijom i dobiti potvrde o učinkovitosti upravljanja rizicima i procesima kontrole. Uloga višeg menadžmenta je nadgledati osnivanje, administraciju i procjenu tog sustava upravljanja rizicima i procesima kontrole. Svrha tog višeslojnog sustava procesa kontrole je podrška ljudima iz organizacije u upravljanju rizicima i postizanju utvrđenih i objavljenih ciljeva poduzeća. Preciznije, očekuje se da ti procesi kontrole osiguraju, između ostaloga, postojanje sljedećih uvjeta:• financijske i operativne informacije su pouzdane i cjelovite• aktivnosti se obavljaju učinkovito i postižu djelotvorne rezultate• imovina je očuvana• djelovanje i odluke organizacije su u skladu sa zakonima, propisima i ugovorima.

2. Jedna od odgovornosti menadžera organizacije je procjena procesa kontrole u njihovim pripadajućim područjima. Interni i vanjski revizori daju različite stupnjeve jamstava o stanju učinkovitosti procesa kontrole i upravljanja rizicima u određenim aktivnostima i funkcijama organizacije.

3. Viši menadžment i odbor, naravno, očekuju da glavni revizor obavi zadovoljavajuće revizorski posao te prikupi ostale informacije koje su na raspolaganju tijekom godine kako bi mogao formirati mišljenje o adekvatnosti i učinkovitosti upravljanja rizicima

228


i procesima kontrole. Glavni revizor treba priopćiti takvo sveukupno mišljenje o procesu upravljanja rizicima organizacije i sustavu kontrole višem menadžmentu i odboru za reviziju. Sve veći broj organizacija uključuje izvještaj uprave o procesima upravljanja rizicima i sustavu interne kontrole u svoja godišnja ili periodična izvješća vanjskim zainteresiranim stranama.

4. Glavni revizor treba normalno razviti predloženi plan revizije za sljedeću godinu što osigurava nabavu dovoljno dokaza za procjenu učinkovitosti upravljanja rizicima i procesima kontrole. Plan bi trebao zahtijevati angažman revizije ili druge procedure kojima bi se prikupile relevantne informacije o svim većim radnim jedinicama i poslovnim funkcijama. Trebao bi uključivati pregled glavnih procesa upravljanja rizicima koji se provode u organizaciji te izbor ključnih rizika koji su utvrđeni u tim procesima. Revizijski plan bi također trebao posebno razmotriti one aktivnosti na koje su nedavne ili očekivane promjene najviše utjecale. Te promjene okolnosti mogu biti rezultat uvjeta na tržištu ili uvjeta ulaganja, akvizicija i prodaje ili restrukturiranja i novih poduhvata. Predloženi plan treba biti fleksibilan tako da se tijekom godine mogu raditi prilagodbe kao rezultat promjena strategije upravljanja, vanjskih uvjeta, područja velikog rizika ili revidiranih očekivanja o postizanju ciljeva organizacije.

5. U utvrđivanju predloženog revizijskog plana, glavni revizor bi trebao uzeti u obzir relevantan rad koji će obaviti drugi. Kako bi smanjio ponavljanje i neučinkovitost, treba uzeti u obzir posao koji je planiran ili nedavno obavljen od strane uprave u području procjene procesa upravljanja rizicima, kontrolama i procesima poboljšanja kvalitete, kao i posao planiran od strane vanjskih revizora radi određivanja očekivanog opsega koji će pokrivati revizijski plan za sljedeću godinu.

6. Naposljetku, glavni revizor bi trebao procijeniti opseg predloženog plana s dva stajališta: adekvatnost u svim tijelima organizacije i uključenost različitih vrsta transakcija i poslovnih procesa. Ako opseg predloženog revizijskog plana nije dovoljan za iskazivanje povjerenja u procese upravljanja rizicima i kontrole, glavni revizor bi trebao obavijestiti viši menadžment i odbor o očekivanim nedostatcima, njihovim uzrocima i vjerojatnim posljedicama.

7. Izazov za internu reviziju je procijeniti učinkovitost sustava upravljanja rizicima i kontrole organizacije na temelju prikupljanja mnoštva individualnih procjena. Te procjene se većinom dobivaju angažmanom interne revizije, samoprocjenom uprave i na temelju rada vanjskog revizora. Tijekom rada interni revizori bi trebali redovno prenositi svoje nalaze odgovarajućim razinama uprave kako bi se mogle poduzeti hitre akcije za ispravljanje ili ublažavanje posljedica otkrivenih odstupanja ili slabosti.

8. Tri ključna kriterija u dolasku do ocjene sveukupne učinkovitosti upravljanja rizicima organizacije i procesa kontrole su:• Jesu li prilikom revizije pronađena značajna odstupanja ili slabosti te prikupljene

druge informacije za ocjenu?

229

Preporuke za rad

• Ako jesu, jesu li napravljene ispravke ili poboljšanja nakon otkrića?• Dovode li otkrića i njihove posljedice do zaključka o postojanju prevladavajućeg

stanja čiji je rezultat neprihvatljiva razina poslovnog rizika? Privremeno postojanje značajnog odstupanja ili slabosti u upravljanju rizicima

i kontroli ne dovodi nužno do ocjene da su one rasprostranjene i da predstavljaju neprihvatljiv preostali rizik. Model otkrića, stupanj prodora i razina posljedica i izlaganja čimbenici su koje treba uzeti u obzir kod utvrđivanja je li učinkovitost cjelokupnog sustava kontrole ugrožena te postoje li neprihvatljivi rizici.

9. Izvješće glavnog revizora o stanju procesa upravljanja rizicima i kontrole organizacije trebalo bi prezentirati, obično jednom godišnje, višem menadžmentu i odboru. Izvješće bi trebalo naglašavati važnu ulogu koju procesi upravljanja rizicima i kontrole igraju u potrazi za ciljevima organizacije i trebalo bi se referirati na veliki posao koji je obavila interna revizija te na druge važne izvore informacija koji su korišteni pri formulaciji sveukupne prosudbe o sigurnosti. Dio izvješća u kojem se nalazi mišljenje obično je izražen u obliku negativne tvrdnje; tj. revizijski rad obavljen za zadano razdoblje te ostale prikupljene informacije nisu otkrili nikakve značajne slabosti u procesima upravljanja rizicima i kontrole koji bi imali rasprostranjen učinak. Ako su nedostatci ili slabosti upravljanja rizicima i kontrole značajni i rasprostranjeni, dio izvješća koji daje mišljenje može biti uvjetno ili nepovoljno mišljenje ovisno o predviđenom porastu razine preostalog rizika i njegovu utjecaju na ciljeve organizacije.

10. Ciljna publika godišnjih izvješća su viši rukovodioci i članovi odbora. Budući da navedeni čitatelji imaju nepodudarna shvaćanja revizije i poslovanja, godišnje izvješće glavnog revizora treba biti jasno, sažeto i informativno. Trebalo bi biti sastavljeno i uređeno tako da ga oni razumiju te ciljano tako da zadovolji njihove potrebe za informacijama. Njegova vrijednost za navedene čitatelje može se poboljšati fokusiranjem na glavna područja rizika te uključivanjem važnijih preporuka za unapređenje i informacije o trenutnim problemima i trendovima kontrole, poput izlaganja sigurnosti tehnologije i informacija, modela odstupanja ili slabosti kontrole u poslovnim jedinicama te potencijalnih poteškoća u poštivanju zakona i propisa.

11. Postoji mnogo dokaza o „jazu očekivanja“ koji prati aktivnost interne revizije u ocjenjivanju i davanju uvjerenja o stanju procesa upravljanja rizicima i kontrole. Jedan takav jaz postoji između obično visokih očekivanja odbora i uprave vezano uz vrijednost usluga interne revizije i skromnijih očekivanja internog revizora koja proizlaze iz poznavanja praktičnih ograničenja opsega revizije i sumnje u vlastitu mogućnost prikupljanja dovoljne količine dokaza koji bi poduprli informiranu i objektivnu prosudbu. Glavni revizor treba imati na umu mogući jaz između onoga što čitatelj izvješća pretpostavlja i onoga što se stvarno dogodilo tijekom godine. On ili ona bi trebao/la koristiti izvješće kao još jedan način obraćanja različitim mentalnim modelima i predlaganja unapređenja kapaciteta funkcije ili smanjenja ograničenja pristupa i učinkovitosti revizije.

230


Preporuka za rad 2120.A1-2:Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa

kontrole



Povezani standard 2120.A1 – na temelju rezultata procjene rizika, interna revizija treba ocijeniti adekvatnost i učinkovitost kontrola koje obuhvaćaju upravljanje organizacijom, poslovanje i informacijske sustave. To bi trebalo uključivati:• pouzdanost i integritet financijskih i operativnih informacija• učinkovitost i djelotvornost poslovanja• očuvanje imovine• sukladnost sa zakonima, propisima i ugovorima.

Priroda ove preporuke za rad: metodologiju Samoprocjenjivanja kontrole (CSA – Control Self-Assessment) mogu koristiti menadžeri i interni revizori za ocjenu adekvatnosti procesa upravljanja rizicima i kontrole u organizaciji. Interni revizori mogu koristiti CSA programe za prikupljanje relevantnih informacija o rizicima i kontrolama, za fokusiranje plana revizije na visokorizična, neobična područja te za postizanje šire suradnje s nižim menadžerima i radnim timovima.

1. Viši menadžment je zadužen za nadgledanje sustava, administraciju i procjenu procesa upravljanja rizicima i kontrole. Odgovornosti nižih menadžera su procjena rizika i kontrole unutar njihovih jedinica. Interni i vanjski revizori daju različite stupnjeve uvjerenja o stanju učinkovitosti procesa upravljanja rizicima i kontrole u organizaciji. I menadžerima i revizorima je u interesu koristiti tehnike i alate koji izoštravaju fokus te šire napore procjene procesa upravljanja rizicima i kontrole koji se primjenjuju te pronalaska načina poboljšanja svoje učinkovitosti.

2. Metodologija koja obuhvaća preglede samoprocjenjivanja i omogućene radionice pod nazivom CSA, koristan je i učinkovit način pristupa za menadžere i interne revizore kako bi surađivali u procjeni i vrednovanju procedura kontrole. U svom najčišćem obliku CSA integrira poslovne ciljeve i rizike s procesima kontrole. Samoprocjenjivanje kontrole također se naziva Samoprocjenjivanje kontrole/rizika (CRSA – Control/risk self-assessment). Iako korisnici CSA upotrebljavaju mnogo različitih tehnika i formata, većina korištenih programa ima zajedničke neke ključne osobine i ciljeve. Organizacija koja koristi samoprocjenivanje ima formalan, dokumentiran proces koji omogućava

231

Preporuke za rad

upravi i radnim timovima koji su direktno uključeni u poslovnu jedinicu, funkciju ili proces sudjelovanje na strukturiran način u svrhu:• identificiranja rizika i izlaganja rizicima• procjene procesa kontrole koji ublažavaju ili upravljaju tim rizicima• razvijanja plana akcije radi smanjenja rizika na prihvatljivu razinu• utvrđivanje vjerojatnosti postizanja poslovnih ciljeva.

3. Rezultati koji mogu proisteći iz metodologija samoprocjenjivanja su:• ljudi u poslovnim jedinicama postaju obučeni i iskusni u procjeni rizika i povezivanju

procesa kontrole s upravljanjem tim rizicima i poboljšanju izgleda za postizanje poslovnih ciljeva

• neformalne „meke“ kontrole je lakše identificirati i procijeniti• ljudi su motivirani da preuzmu "posjed“ nad procesima kontrole u svojim

jedinicama, a korektivne mjere koje poduzimaju radni timovi često su učinkovitije i pravovremenije

• cjelokupna infrastruktura ciljevi-rizici-kontrole organizacije podložna je većem nadzoru i stalnom usavršavanju

• interni revizori se uključuju i upoznaju proces samoprocjenjivanja tako što omogućavaju, služe kao zapisničari i reporteri za radne timove te kao edukatori o pojmovima rizika i kontrole koji podržavaju program CSA

• interna revizija stječe više informacija o procesima kontrole unutar organizacije te može iskoristiti te dodatne informacije raspodjelom oskudnih resursa kako bi mogla uložiti veći trud u istraživanje i provođenje testiranja poslovnih jedinica ili funkcija koje imaju bitne slabosti u kontroli ili visoke preostale rizike

• odgovornost uprave za upravljanje rizicima i procesima kontrole osnažuje se unutar organizacije, a menadžeri će biti u manjem iskušenju da prepuste te aktivnosti stručnjacima, poput revizora

• prvenstvena uloga interne revizije i dalje će uključivati validaciju procesa vrednovanja provođenjem testova i iskazivanje profesionalnog mišljenja o adekvatnosti i učinkovitosti cjelokupnog sustava upravljanja rizicima i kontrole.

4. Široka lepeza pristupa primijenjenih za CSA procese u organizaciji odražava razlike u industriji, geografiji, strukturi, organizacijskoj kulturi, stupnju ovlaštenja zaposlenika, dominantnom stilu upravljanja i načinu formuliranja strategija i politika. To zapažanje sugerira da se uspjeh određene vrste CSA programa u jednom poduzeću možda neće ponoviti u drugoj organizaciji. To također sugerira kako pristup CSA zahtijeva dinamiku i promjene zajedno s kontinuiranim razvojem organizacije.

5. Tri primarna oblika CSA programa su omogućene timske radionice, ispitivanja i analize izrađene od strane uprave. Organizacije često kombiniraju više od jednog pristupa.

6. Timske radionice prikupljaju informacije od radnih timova koji predstavljaju različite razine u poslovnoj jedinici ili funkciji. Format radionice može se temeljiti na ciljevima, rizicima, kontrolama ili procesima.

232


• Format temeljen na objektivnosti fokusira se na najbolji način postizanja poslovnog cilja. Radionica počinje utvrđivanjem kontrola koje se trenutno primjenjuju kao podrška cilju, a zatim se određuje preostali rizik. Cilj radionice je odlučiti jesu li procesi kontrole učinkoviti i rezultiraju li preostalim rizikom u prihvatljivim okvirima.

• Format temeljen na riziku fokusira se na navođenje rizika u postizanju cilja. Radionica započinje nabrajanjem svih mogućih barijera, prepreka, prijetnji i izlaganja rizicima koji bi mogli spriječiti postizanje cilja te zatim ispitivanjem procedura kontrole radi utvrđivanja jesu li dovoljne za upravljanje ključnim rizicima. Cilj radionice je odrediti značajne preostale rizike. Ovaj format provodi radni tim kroz cijelu formulu ciljeva-rizika-kontrola.

• Format temeljen na kontroli fokusira se na to koliko dobro vrijedeće kontrole funkcioniraju. Ovaj format je različit od gornja dva jer organizator utvrđuje ključne rizike i kontrole prije početka radionice. Za vrijeme trajanja radionice radni tim procjenjuje koliko dobro kontrole ublažuju rizike i omogućavaju postizanje ciljeva. Cilj radionice je izraditi analizu jaza između onoga kako kontrole funkcioniraju i kako dobro uprava očekuje da one funkcioniraju.

• Format temeljen na procesu fokusira se na odabrane aktivnosti koje su elementi lanca procesa. Procesi su obično serije povezanih aktivnosti koje se kreću od neke početne točke prema kraju, poput raznih koraka u kupnji, razvoju proizvoda ili generiranju prihoda. Ta vrsta radionice obično pokriva utvrđivanje ciljeva cijelog procesa i različitih prijelaznih faza procesa. Cilj radionice je procijeniti, ažurirati, potvrditi, usavršiti i usmjeriti cijeli proces i njegove sastavne aktivnosti. Ovaj format radionice može imati širi opseg analize od pristupa temeljenog na kontroli tako što pokriva više ciljeva unutar procesa i podržava istodobne napore uprave poput reinženjeringa, poboljšanja kvalitete i konstantnih inicijativa za usavršavanjem.

7. Obrazac CSA za ispitivanje koristi upitnik koji uglavnom postavlja jednostavna pitanja tipa "da-ne" ili „ima-nema" koja su pažljivo napisana kako bi ih ciljna publika mogla razumjeti. Ispitivanja se često koriste ako je broj željenih ispitanika prevelik ili su previše raspršeni da bi sudjelovali u radionici. To je također preferirana opcija ako kultura organizacije sprječava otvorene, iskrene rasprave u okruženju radionice ili ako uprava želi smanjiti provedeno vrijeme i nastale troškove u prikupljanju informacija.

8. Oblik samoprocjenjivanja zvan „analiza izrađena od strane uprave“, pokriva većinu ostalih pristupa grupa uprave za pripremu informacija o odabranim poslovnim procesima, aktivnostima upravljanja rizicima i procedurama kontrole. Analiza često treba dovesti do obaviještene i pravovremene prosudbe o specifičnim karakteristikama procedura kontrole te ju obično priprema tim u ulozi osoblja ili podrške. Interni revizor treba sintetizirati tu analizu s drugim informacijama kako bi poboljšao razumijevanje kontrola i podijelio znanje s menadžerima u poslovnim ili funkcionalnim jedinicama u sklopu CSA programa organizacije.

233

Preporuke za rad

9. Svi programi samoprocjenjivanja temelje se na menadžerima i članovima radnih timova koji razumiju koncepte rizika i kontrole te koriste te koncepte u komunikaciji. Za edukacijske sesije, radi olakšanog tijeka rasprava u radionici i kao provjera potpunosti sveukupnog procesa, organizacije često koriste kontrolni okvir poput modela COSO i COCO.

10. U tipičnim radionicama CSA izvješće će biti uglavnom izrađeno za vrijeme rasprave. Grupni konsenzus će biti zabilježen za različite segmente diskusije, a grupa će pregledati predloženo konačno izvješće prije kraja zadnje sesije. Neki programi će koristiti tehnike anonimnog glasovanja kako bi osigurali slobodan protok informacija i stajališta za vrijeme trajanja radionica i pomoći u pregovorima o razlikama između stajališta i interesnih grupa.

11. Ulog interne revizije u neke programe CSA je znatan. On može sponzorirati, dizajnirati, provoditi i čak posjedovati proces, provoditi obuku, angažirati potrebne ljude, zapisničare i reportere te organizirati sudjelovanje uprave i radnih timova. U drugim programima CSA, sudjelovanje internog revizora je minimalno, on je zainteresirana strana i konzultant u cjelokupnom procesu i krajnji verifikator procjena koje su dali timovi. U većini programa ulog interne revizije u napore organizacije u sklopu programa CSA je između dva gore navedena ekstrema. Kako se razina angažiranosti internog revizora u program CSA i individualne rasprave na radionicama povećava, glavni revizor bi trebao pratiti objektivnost osoblja interne revizije, poduzimati korake radi kontrole nad objektivnošću (prema potrebi) i povećati ispitivanje interne revizije kako bi osigurao da predrasude ili preferencije ne utječu na konačnu prosudbu osoblja. Standard 1120 navodi: „Interni revizori moraju biti nepristrani, objektivni i moraju izbjegavati sukobe interesa.“

12. Program CSA povećava tradicionalnu ulogu interne revizije tako što pomaže upravi ispuniti odgovornosti za uspostavljanje i održavanje upravljanja rizicima i procesa kontrole i za procjenjivanje adekvatnosti tog sustava. Kroz program CSA interna revizija te poslovne jedinice i funkcije surađuju s ciljem osiguravanja bolje obaviještenosti o tome koliko dobro procesi kontrole funkcioniraju te koliko su značajni preostali rizici.

13. Iako osiguravanje podrške osoblja za program CSA u ulozi organizatora i stručnjaka, interna revizija često smatra da može smanjiti trud uložen u prikupljanje informacija o procedurama kontrole i eliminirati neka testiranja. Program CSA treba povećati opseg procjene kontrolnih procesa unutar organizacije, poboljšati kvalitetu korektivnih mjera koje obavljaju vlasnici procesa te fokusirati rad interne revizije na pregledavanje procesa visokog rizika i neobičnih situacija. Može se fokusirati na potvrđivanje zaključaka vrednovanja koji su rezultat CSA procesa, sintetiziranje informacija prikupljenih iz komponenti organizacije i izražavanje svoje sveukupne prosudbe o učinkovitosti kontrola višem menadžmentu i odboru za reviziju.

234


Preporuka za rad 2120.A1-3:Uloga interne revizije u kvartalnom financijskom izvještavanju,

priopćenjima i ovjerama rukovodstva



Povezani standard 2120.A1 – Na temelju rezultata procjene rizika, aktivnost interne revizije treba procjenjivati adekvatnost i učinkovitost kontrola koje prate vođenje organizacije, aktivnosti i informacijske sustave. To treba uključivati: • pouzdanost i integritet financijskih i radnih informacija• učinkovitost i produktivnost operacija • očuvanje sigurnosti imovine• usklađenost sa zakonima, regulacijama i ugovorima.

Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeću smjernicu obzirom na kvartalne financijske izvještaje, priopćenja i ovjere rukovodstva koji se odnose na zahtjeve SEC-a (Komisija za vrijednosne papire i burzu SAD-a). Dok su ti zahtjevi specifično upućeni na tijela registrirana pri SEC-u, oni su također primjenjivi i na preko 1300 stranih registriranih tijela. Kako bi se ostvarila viša razina povjerenja prema dioničarima, sve veći broj nevladinih organizacija dobrovoljno usvaja odabrane SEC zahtjeve kako bi pokazale najbolju praksu za priopćenja i kontrole obzirom na kvartalno izvještavanje. Interni revizori se također usmjeravaju na Preporuku za rad 2120.A1 «Procjena i izvještavanje procesa kontrole» za dodatne smjernice.

1. Snaga svih financijskih tržišta ovisi o povjerenju ulagača. Slučajevi koji uključuju navode o nepravilnom postupanju korporacijskih direktora, nezavisnih revizora i ostalih sudionika tržišta, umanjili su to povjerenje. Kao odgovor na tu prijetnju, Američki kongres i sve veći broj zakonodavnih tijela i regulacijskih zavoda u ostalim zemljama donijeli su zakone i regulative koji se odnose na korporacijska priopćenja i financijsko izvještavanje. Posebno u SAD-u, Sarbanes-Oxleyev zakon iz 2002. donio je oštru reformu koja je zahtijevala dodatna priopćenja i ovjere financijskih izvještaja od strane glavnog direktora i financijskih direktora.

2. Novi zakon stavlja poduzeća pred izazov da osmisle procese koji će omogućiti vodećim dužnosnicima da dobiju potrebna uvjerenja na kojima bi temeljili svoju osobnu ovjeru. Ključna komponenta procesa ovjeravanja je upravljanje rizikom i interna kontrola nad bilježenjem i sažimanjem financijskih podataka.

235

Preporuke za rad

Novi statutarni zahtjevi

3. Odjeljak 302 Sarbanes-Oxleyevog zakona ističe korporativnu odgovornost za financijske izvještaje, a SEC je izdao smjernice kako bi se implementirao zakon. Kako je usvojen, SEC pravila 13a-14 i 15d-14 zahtijevaju da glavni izvršni dužnosnik izdavatelja ili dužnosnici i glavni financijski dužnosnik ili dužnosnici ili osobe koje obavljaju slične funkcije, potvrde u svakom kvartalnom i godišnjem izvještaju, uključujući tranzicijske izvještaje, evidentirano ili predano od strane izdavatelja pod odjeljkom 13 (a) ili 15 (d) Zakona o burzi, sljedeće:

• kako su on ili ona pregledali izvještaj• na temelju njegovog ili njezinog saznanja izvještaj ne sadrži neistinite tvrdnje

materijalnih činjenica te ne izostavlja materijalne činjenice koje su potrebne da bi se napravio izvještaj, u svjetlu okolnosti po kojima se takvi izvještaji sastavljaju, da nije nejasan obzirom na razdoblje koje izvještaj pokriva

• na temelju njegovog ili njezinog saznanja financijski navodi i ostali financijski podaci uključeni u izvještaj ispravno prikazuju u svakom materijalnom pogledu financijsko stanje, rezultate operacija i opticaj sredstava izdavatelja za razdoblja koja su prikazana u izvještaju

• kako su on ili ona i ostali službenici koji daju potvrdu: -odgovorni za uspostavljanje i održavanje «kontrola priopćenja i procedura»

(novo definirani termin koji odražava koncept kontrola i procedura vezanih uz priopćenje utjelovljeno u odjeljku 302 (a) (4) Zakona za izdavatelja

-osmislili takve kontrole objave i procedure kako bi osigurali da su im poznati materijalni podaci, posebno tijekom razdoblja u kojem se priprema periodički izvještaj

-procijenili učinkovitost kontrola priopćenja i procedura izdavatelja od datuma unutar 90 dana prije datuma arhiviranja izvještaja

-naveli u izvještaju svoje zaključke o učinkovitosti kontrola priopćenja i procedura na temelju potrebne procjene od tog datuma

• kako su on ili ona i ostali službenici koji daju potvrdu objavili revizorima izdavatelja i odboru za reviziju upravnog odbora (ili osobama koje obavljaju ekvivalentnu funkciju):

-sve bitne nedostatke u konceptu ili operaciji internih kontrola (prvobitni termin koji se odnosi na interne kontrole obzirom na financijsko izvještavanje) koji bi mogli negativno djelovati na sposobnost izdavatelja da bilježi, obrađuje, sažima i prijavljuje financijske podatke te su za revizore izdavatelja identificirali sve materijalne nedostatke u internim kontrolama

-bilo kakvu prijevaru, materijalnu ili drugačiju, koja uključuje rukovodstvo ili ostale djelatnike koji imaju bitnu ulogu u internoj kontroli izdavatelja

- je li ili nije bilo znatnih promjena u internoj kontroli ili ostalim faktorima koji bi značajno utjecali na internu kontrolu nakon datuma njihove procjene, uključujući sve korektivne radnje obzirom na znatne nedostatke ili materijalne deficite.

236


Preporučene radnje za interne revizore

4. Sljedeće radnje i razmatranja ponuđeni su internim revizorima kao usluge dodatne vrijednosti koje se mogu dobiti obzirom na kvartalne financijske izvještaje, priopćenja i ovjere rukovodstva vezano uz zahtjeve SEC-a i Sarbanes-Oxleyevog zakona. Te preporučene radnje su također ponuđene kao najbolja praksa za privatna poduzeća i ostale organizacije koje žele usvojiti slične procese za kvartalno financijsko izvještavanje.

a. Uloga internog revizora u takvim procesima može biti od inicijalnog dizajnera procesa, sudionika u komisiji za objavu, koordinatora ili veze između rukovodstva i njegovih revizora pa do nezavisnog procjenitelja procesa.

b. Svi interni revizori uključeni u kvartalno izvještavanje i procese objave trebaju imati jasno definiranu ulogu i procijeniti odgovornosti prema odgovarajućem IIA konzaltingom i Standardima za jamstvo te smjernicama koje su sadržane u dotičnim Preporukama za rad.

c. Interni revizori trebaju osigurati da organizacije imaju službene pravilnike i dokumentirane procedure za vođenje procesa za kvartalne financijske izvještaje, povezane objave i regulacijske zahtjeve za prijavu. Ispravna kontrola svih pravilnika i procedura od strane pravnika, vanjskih revizora i ostalih stručnjaka može predstavljati dodatnu potvrdu da su pravilnici i procedure sveobuhvatni i da točno odražavaju primjenjive zahtjeve.

d. Interni revizori moraju poticati organizacije da oforme «komisije za priopćenja» koje koordiniraju proces i pružaju pregled sudionicima. Predstavnici ključnih područja organizacije trebaju biti u komisiji, uključujući ključne menadžere financija, pravne savjetnike, upravljanje rizicima, internu reviziju i sva područja koja daju ulazne informacije i podatke za regularna evidentiranja i priopćenja. Obično glavni revizor treba biti član komisije za objavu. Potrebno je uzeti u obzir status glavnog revizora u komisiji. Glavni revizori koji predsjedaju komisijom ili su regularni ili «glasački» članovi trebaju voditi računa o neovisnosti te im se savjetuje pregledavanje Standarda IIA-e i povezanih Preporuka za rad u kojima će pronaći smjernice i potrebne informacije. Status «po službenoj dužnosti»člana obično ne stvara probleme sa samostalnošću.

e. Interni revizori trebaju periodički pregledati i ocijeniti kvartalno izvještavanje i procese priopćenja, aktivnosti komisije za priopćenja te povezanu dokumentaciju te rukovodstvu i odboru za reviziju dati procjenu procesa i potvrdu vezanu uz ukupne radnje i poštovanje pravilnika i procedura. Interni revizori čija je nezavisnost umanjena zbog dodijeljene im uloge u procesu, trebaju osigurati da rukovodstvo i odbor za reviziju mogu dobiti odgovarajuću potvrdu o procesu iz drugih izvora. Ostali izvori mogu uključivati interne samoprocjene te treće strane kao što su vanjski revizori i konzultanti.

237

Preporuke za rad

f. Interni revizori trebaju preporučiti odgovarajuća poboljšanja pravilnika, procedura i procesa za kvartalno izvještavanje i povezana priopćenja na temelju rezultata procjene povezanih aktivnosti. Preporučena najbolja praksa za takve aktivnosti može uključivati sve ili dijelove sljedećih sredstava i procedura, ovisno o specifičnom procesu koji koristi svaka pojedina organizacija:- ispravno dokumentirane pravilnike, procedure, kontrole i nadzorne izvještaje- kvartalni popis procedura i ključnih kontrolnih elemenata- standardizirane kontrolne izvještaje o kontrolama ključne objave- samoprocjene rukovodstva (kao CSA)- odjave ili potvrde reprezentacije od ključnih menadžera- kontrole nacrtnih regulatornih evidencija prije predavanja- mape procesa za dokumentiranje izvora podatkovnih elemenata za regulatorna

evidentiranja, ključne kontrole i odgovorne strane za svaki element- nastavak na prethodno prijavljene nepodmirene stavke- razmatranje internih revizijskih izvještaja izdanih tijekom dotičnog razdoblja- specijalne ili specifično ciljane kontrole visokorizičnih, kompleksnih i

problematičnih područja; uključujući elemente materijalnog računovodstva, procjene rezervi, izvanbilančne aktivnosti, glavne podružnice, združeni pothvati i tijela specijalne svrhe

- poštivanje «zaključnog procesa» za financijske izjave i povezane prilagodbene unose, uključujući odgođene prilagodbe

- konferencijski pozivi s ključnim rukovodstvom iz dalekih lokacija kako bi se osiguralo da se pravilno uzimaju u obzir te da su uključene sve glavne komponente organizacije

- kontrole potencijalnih i neriješenih parnica te kontingentnih obveza - CAE izvještaj o internoj kontroli, izdan barem jednom godišnje te kvartalno, ako

je moguće- redovito zakazana priopćenja i sastanci odbora za reviziju.

g. Interni revizori trebaju usporediti procese za poštivanje odjeljka 302 Sarbanes-Oxleyevog zakona (kvartalno financijsko izvještavanje i objave) s procedurama razvijenim za usklađenost s odjeljkom 404 obzirom na godišnju procjenu rukovodstva i javni izvještaj o internim kontrolama. Procesi koji su razvijeni kako bi bili slični ili kompatibilni pridonijet će operativnim učinkovitostima i smanjiti vjerojatnost ili rizik za probleme i pogreške koje se pojavljuju ili prolaze neprimijećene. Dok procesi i procedure mogu biti slični, moguće je da se uloga internog revizora može mijenjati. U nekim organizacijama rad internih revizora može predstavljati osnovu za tvrdnje rukovodstva o internoj kontroli, dok se u drugim organizacijama interni revizori mogu pozvati kako bi ocijenili procjenu rukovodstva. - Priroda rada internog revizora i uporaba istog, može potencijalno utjecati na

postupak ili stupanj pouzdanja koji se stavlja na rad internog revizora od strane vanjskog revizora. Interni revizori trebaju osigurati razjašnjenje uloge svakog sudionika te koordinaciju aktivnosti i dogovor s rukovodstvom i vanjskim revizorima.

238


- U organizacijama gdje rukovodstvo samo provodi procjenu kontrole kao osnovu za mišljenje, interni revizori trebaju ocijeniti procjenu rukovodstva i popratnu dokumentaciju.

- Interni revizori trebaju procijeniti kako su klasificirani komentari izvještaja interne revizije te osigurati da se komentari, koji mogu biti podvrgnuti objavi u kvartalnim potvrdama ili godišnjem izvještaju o internim kontrolama, ispravno priopće rukovodstvu i odboru za reviziju. Posebnu pažnju treba obratiti kako bi se osiguralo da se takvi komentari adekvatno riješe na vrijeme.

239

Preporuke za rad

Preporuka za rad 2120.A1-4:Revizija procesa financijskog izvještavanja

Tumačenje Standarda 2120.A1 iz


Povezani standard 2120.A1 – Na temelju rezultata procjene rizika, aktivnost interne revizije treba procjenjivati adekvatnost i učinkovitost kontrola koje prate vođenje organizacije, operacije i informacijske sustave. To treba uključivati: • pouzdanost i integritet financijskih i operativnih informacija• učinkovitost i produktivnost operacija • očuvanje sigurnosti imovine• usklađenost sa zakonima, regulacijama i ugovorima.

Priroda ove preporuke za rad: ova Preporuka za rad istražuje ulogu internog revizora i odgovornosti u procesu financijskog izvještavanja organizacije. Uloge višeg menadžmenta, vanjskih i internih revizora su:

• izvršni menadžment je vlasnik kontrolnog okruženja i financijskih informacija, uključujući bilješke koje prate financijske izjave i popratna priopćenja u financijskom izvještaju

• vanjski revizor potvrđuje korisniku financijskog izvještaja kako prikazane informacije istinito prikazuju financijsku situaciju i rezultate poslovanja određene organizacije u skladu s općenito prihvaćenim načelima računovodstva

• interni revizor obavlja procedure kako bi pružio razinu sigurnosti višem menadžmentu i odboru za reviziju ili nekom drugom odboru upravnog odbora da su kontrole, koje se odnose na proces vezan uz razvijanje financijskog izvještaja, učinkovite.

Preporuka za rad 2060-2, «Povezanost s odborom za reviziju», obuhvaća interakcije internog revizora s odborom za reviziju. Preporuka za rad 2120.A1-1 «Ocjenjivanje i izvještavanje o procesima kontrole», govori o dokazima potrebnim za procjenu sustava interne kontrole te sastavljanje mišljenja. Preporuka za rad 2120.A1-3, «Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenja i ovjerama rukovodstva» daje smjernice vezane uz zahtjeve Sarbanes-Oxleyevog zakona i povezanih pravila Komisije za vrijednosne papire i burzu SAD-a. Ova se preporuka za rad usredotočava na odnos internih revizora s višim menadžmentom i vanjskim revizorom vezano uz proces financijskog izvještavanja.

240


1. Objavljeni izvještaji o propustima korporativnog vodstva u SAD-u i ostalim zemljama naglašavaju potrebu za promjenom kako bi se postigla veća odgovornost i transparentnost od strane svih organizacija – profitnih, neprofitnih i vladinih. Viši menadžment, upravni odbori, interni revizori i vanjski revizori, predstavljaju okosnice temelja na kojima počiva učinkovito vođenje određene organizacije. Aktivnost interne revizije igra ključnu ulogu u podršci dobrom vođenju organizacije; ima jedinstven položaj u podršci poboljšavanja poslovanja organizacije putem procjene i poboljšanja učinkovitosti upravljanja rizicima, kontrole i procesa korporativnog upravljanja. Najnovije inicijative stavile su naglasak na potrebu da viši menadžment bude odgovorniji obzirom na informacije koje su sadržane u financijskim izvještajima organizacije. Viši menadžment i odbor za reviziju mnogih organizacija zahtijevaju dodatne usluge od interne revizije kako bi poboljšali vodstvo i procese financijskog izvještavanja. Ti zahtjevi uključuju procjene internih kontrola organizacije nad financijskim izvještavanjem te pouzdanost i integritet njihovih financijskih izvještaja.

Izvještavanje o internoj kontroli

2. Odbor za reviziju organizacije ili ostale komisije odbora te aktivnost interne revizije imaju zajedničke ciljeve. Temeljna uloga glavnog revizora je osigurati da odbor za reviziju prima usluge podrške i potvrde koje treba i zahtijeva. Jedan od primarnih ciljeva odbora za reviziju je pregledavanje procesa financijskog izvještavanja organizacije kako bi se osigurala njihova pouzdanost i istinitost. Odbor i viši menadžment obično zahtijevaju da aktivnost interne revizije obavi reviziju u dovoljnoj mjeri te prikupi ostale dostupne informacije tijekom godine kako bi se stvorilo mišljenje o adekvatnosti i učinkovitosti procesa interne kontrole. Glavni revizor obično odboru pravovremeno priopćava tu ukupnu procjenu. Odbor će procijeniti pokrivenosti i adekvatnost izvještaja glavnog revizora te može uključiti svoj zaključak u izvještaj odbora koji se šalje upravnom odboru.

3. Radni planovi i specifično jamstvo, koje obuhvaća aktivnost interne revizije, počinju s opreznom identifikacijom izloženosti s kojima je organizacija suočena, a radni plan interne revizije temelji se na rizicima i procjeni upravljanja rizicima i kontrolnim procesima podržanim od strane rukovodstva kako bi se smanjili ti rizici. Među događajima i transakcija koje su uključene u identifikaciju rizika su:

• novi poslovi – uključujući spajanja i akvizicije• novi proizvodi i sustavi• združeni pothvati i partnerstva• restrukturiranje• procjene, budžeti i prognoze rukovodstva• pitanja vezana uz okoliš• pridržavanje regulativa.

241

Preporuke za rad

Okvir za internu kontrolu

4. Procjena sustava interne kontrole organizacije treba uključivati široku definiciju kontrole. IIA smatra da je izvještaj Interna kontrola – integrirani okvir najučinkovitija smjernica za internu kontrolu, koja je danas dostupna, a objavljen je 1992. i 1994. od strane Odbor sponzorskih organizacija (COSO) povjerenstva Treadway. Upotreba COSO modela je široko prihvaćena, no može prikladno koristiti ostale priznate i vjerodostojne modele. Ponekad regulacijski ili zakonski zahtjevi specificiraju upotrebu određenog modela ili oblika kontrole za određenu organizaciju ili industriju u nekoj zemlji.

5. Nekoliko zaključaka u izvještaju Interna kontrola – integrirani okvir su relevantni za ovu raspravu. • Interna kontrola je široko definirana; nije ograničena na računovodstvene

kontrole te nije usko ograničena na financijsko izvještavanje. • Dok su računovodstveni i financijski izvještaji bitne stavke, postoje ostali važni

aspekti za firme, kao što su zaštita resursa, operativna učinkovitost i produktivnost, poštivanje pravila, regulacija i pravilnika organizacija. Ti faktori također imaju utjecaj na financijsko izvještavanje.

• Interna kontrola je odgovornost rukovodstva i zahtijeva sudjelovanje svih osoba unutar organizacije da bi bila učinkovita.

• Kontrolni okvir vezan je uz ciljeve posla te je dovoljno fleksibilan da bi ga se moglo prilagođavati.

Izvještavanje o učinkovitosti interne kontrole

6. Glavni revizor treba odboru za reviziju dati procjenu interne kontrole obzirom na učinkovitost sustava kontrole određene organizacije, uključujući njihovu prosudbu adekvatnosti modela ili oblika kontrole. Upravni odbor se mora oslanjati na rukovodstvo da će zadržati adekvatan i učinkovit sustav interne kontrole. Tu će sigurnost pojačati nezavisnim pregledom. Odbor ili njihov odbor za reviziju (ili drugo tijelo) treba postaviti sljedeća pitanja, a od glavnog revizora se može očekivati pomoć u odgovaranju na njih:

a. Postoji li snažno etičko okruženje i kultura?

• Predstavljaju li članovi odbora i rukovodeći direktori primjere visokog integriteta?

• Jesu li ciljevi učinkovitosti i inicijative realistični ili stvaraju preveliki pritisak za kratkoročne rezultate?

• Je li Etički kodeks poboljšan obukom i komunikacijom od vrha prema nižim strukturama? Dolazi li poruka do djelatnika na terenu?

242


• Jesu li otvoreni kanali komunikacije u organizaciji? Dobivaju li sve razine rukovodstva podatke koje trebaju?

• Postoji li nulta tolerancija na lažno financijsko izvještavanje na bilo kojoj razini?

b. Kako organizacija identificira i rješava rizike?• Postoji li proces upravljanja rizicima i je li učinkovit?• Rješava li se rizik unutar cijele organizacije?• Raspravlja li se iskreno o velikim rizicima s odborom?

c. Je li sustav kontrole učinkovit?• Jesu li kontrole organizacije nad procesom financijskog izvještavanja temeljite,

uključujući pripremanje financijskih izjava, povezanih bilješki i ostalih potrebnih i diskrecijskih priopćenja koji su sastavni dio financijskih izvještaja?

• Pokazuje li više i linijsko rukovodstvo prihvaćanje odgovornosti kontrole?• Postoji li povećana učestalost «iznenađenja» koja se pojavljuju na razini višeg

menadžmenta, odbora ili javnosti, a obzirom na prijavljene financijske rezultate organizacije ili popratna financijska priopćenja?

• Gleda li se na kontrole kao poboljšanje postignuća ciljeva ili kao na «nužno zlo»?

• Zapošljava li se promptno kvalificirane djelatnike i dobivaju li adekvatnu obuku?

• Rješavaju li se problemi brzo i u potpunosti?

d Postoji li snažan nadzor?• Je li odbor nezavisan od rukovodstva, oslobođen sukoba interesa, dobro

informiran i ispitivački?• Ima li interna kontrola podršku višeg menadžmenta i odbora za reviziju?• Imaju li interni i vanjski revizori otvorene linije komunikacije te koriste li

ih? Imaju li privatan pristup svim članovima višeg menadžmenta i odbora za reviziju?

• Nadgleda li linijsko rukovodstvo kontrolni proces?• Postoji li program za nadzor procesa eksternaliziranja?

7. Interne kontrole ne mogu osigurati uspjeh. Loše odluke i loše rukovodstvo ili okolni faktori, mogu utjecati na kontrolu. Također, neiskreno rukovodstvo može narušiti kontrolu i ignorirati ili sprječavati komunikacije od podređenih. Aktivan i nezavisan upravni odbor zajedno s otvorenom i iskrenom komunikacijom na svim razinama rukovodstva te uz podršku sposobnih financijskih, zakonskih te funkcija interne revizije, može identificirati probleme i pružiti učinkovit nadzor.

243

Preporuke za rad

Uloge internog revizora

8. Glavni revizor treba kontrolirati procjenu rizika interne kontrole i planove revizije za dotičnu godinu, ako nisu bili osigurani adekvatni resursi za pomoć višem menadžmentu, odboru za reviziju i vanjskom revizoru s njihovim dužnostima u organizaciji financijskog izvještavanja za nadolazeću godinu. Proces financijskog izvještavanja uključuje korake za stvaranje informacija i pripremu financijskih iskaza, povezanih bilješki i ostalih popratnih priopćenja u financijskim izvještajima organizacije.

9. Glavni revizor treba dodijeliti resurse interne kontrole financijskom izvještavanju, vodstvu i kontrolnim procesima u skladu s procjenom rizika organizacije. Glavni revizor treba obaviti procedure koje daju razinu sigurnosti višem menadžmentu i odboru za reviziju da su kontrole koje prate procese koji podržavaju razvijanje financijskih izvještaja, adekvatno osmišljene i učinkovito izvršene. Kontrole trebaju biti adekvatne kako bi osigurale prevenciju i otkrivanje bitnih pogrešaka, nepravilnosti, neispravnih pretpostavki i procjena te ostalih slučajeva koji mogu rezultirati netočnim ili neispravnim financijskim iskazima, povezanim bilješkama ili ostalim priopćenjima.

10. Sljedeći popisi predlažu teme koje glavni revizor može uzeti u obzir u podržavanju procesa upravljanja organizacijom te nadzorne dužnosti upravnog odbora i njegovog odbora za reviziju (ili drugog određenog odbora) kako bi se osigurala pouzdanost i integritet financijskih izvještaja.

(a) Financijsko izvještavanje• Davanje informacija relevantnih za imenovanje nezavisnih računovođa. • Koordiniranje planova revizije, pokrivenost i terminsko usklađivanje s vanjskim

revizorima.• Dijeljenje rezultata revizije s vanjskim revizorima. • Priopćavanje relevantnih promatranja vanjskim revizorima i odboru za

reviziju o računovodstvenim pravilnicima i odlukama pravilnika (uključujući računovodstvene odluke za diskrecijske stavke procesa financijskog izvještavanja te neobične ili kompleksne financijske transakcije i situacije (npr. transakcije povezanih strana, spajanja i akvizicije, združeni pothvati te partnerske transakcije).

• Sudjelovanje u financijskim izvještajima i procesu kontrole priopćenja s odborom za reviziju, vanjskim revizorima i višim menadžmentom; procjenjivanje kvalitete financijskih izvještaja, uključujući one koji su evidentirani kod regulatornih zavoda.

• Procjena adekvatnosti i učinkovitosti interne kontrole organizacije, posebno onih kontrola nad procesom financijskog izvještavanja; ta procjena treba uzeti

244


u obzir podložnost organizacije prijevari te učinkovitost programa i kontrola za smanjivanje ili eliminiranje takvih izlaganja.

• Nadzor poštivanja etičkog kodeksa organizacije od strane rukovodstva te osiguravanje da se poštuju etički pravilnici i ostale procedure koje promiču etičko ponašanje; važan faktor u uspostavljanju učinkovite etičke kulture u organizaciji je kada članovi višeg menadžmenta predstavljaju dobar primjer etičkog ponašanja te omogućavaju otvorenu i iskrenu komunikaciju prema djelatnicima, odboru i vanjskim dioničarima.

(b) Korporativno upravljanje• Kontrola korporativne politike obzirom na poštivanje zakona i regulativa,

etike, sukoba interesa i pravovremene i detaljne istrage nepravilnog ponašanja i navodnih prijevara.

• Kontrola neriješenih parnica ili regulativnih postupaka koji počivaju na riziku i upravljanju organizacijom.

• Davanje informacija o sukobu interesa djelatnika, nepravilnom ponašanju, prijevari i ostalim pitanjima vezanim uz etičke procedure organizacije i mehanizme prijavljivanja.

(c) Korporativna kontrola• Kontrola pouzdanosti i integriteta poslovnih i financijskih informacije

organizacije, koje su sažete i prijavljene od strane organizacije.• Obavljanje analize kontrola za kritične računovodstvene pravilnike te njihova

usporedba s preferiranim praksama (npr. transakcije u kojima se postavljaju pitanja o priznanju prihoda ili izvanbilančni računovodstveni postupak trebaju se kontrolirati obzirom poštuju li odgovarajuće općenito prihvaćene računovodstvene standarde).

• Procjena prihvatljivosti i pretpostavki korištenih u pripremi poslovnih i financijskih izvještaja.

• Osigurati da su procjene i pretpostavke uključene u priopćenja ili komentare u skladu s temeljnim organizacijskim informacijama i praksama te sa sličnim stavkama prijavljenim od strane ostalih poduzeća, ako je primjenjivo.

• Procjena procesa pripreme, kontrole, odobrenja te knjiženja dnevnih unosa.• Procjena adekvatnosti kontrole u računovodstvenoj funkciji.

245

Preporuke za rad

Preporuka za rad 2120.A4-1:Kriteriji kontrole

Tumačenje Standarda 2120.A4 iz


Povezani standard 2120.A4 – Potrebni su adekvatni kriteriji za procjenu kontrole. Interni revizori trebali bi utvrditi razmjer do kojeg je rukovodstvo uspostavilo adekvatne kriterije kako bi se odredilo jesu li postignuti ciljevi. Ako je prikladno, interni revizori trebali bi koristiti takve kriterije u svojoj procjeni. Ako nije prikladno, interni revizori trebaju surađivati s rukovodstvom kako bi razvili odgovarajuće kriterije za procjenu.

Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeće prijedloge kada procjenjuju kriterije kontrole. Ova smjernica nije namijenjena kako bi predstavljala sve kriterije koji mogu biti potrebni tijekom takve procjene, nego samo skup stavaka na koje treba obratiti pozornost.

1. Prije nego što se kontrole mogu procijeniti, rukovodstvo treba odrediti razinu rizika koji žele preuzeti na području koje se kontrolira. Interni revizori trebaju utvrditi kakva je ta razina rizika. To je potrebno utvrditi tako da se smanji potencijalni utjecaj ključnih prijetnji za postignuće glavnih ciljeva za područje koje se kontrolira.

2. Ako rukovodstvo nije utvrdilo ključne rizike i razinu rizika koji žele preuzeti, interni revizori mogu pomoći putem radionica za olakšavanje identifikacije rizika ili ostalih tehnika koje koristi organizacija.

3. Kada se utvrdi razina rizika, trenutno vrijedeće kontrole mogu se procijeniti kako bi se odredilo koliko se očekuje njihova uspješnost u smanjivanju rizika na željenu razinu.

246


Preporuka za rad 2130-1:Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi

organizacije



Povezani standard 2130 – Korporativno upravljanjeAktivnost interne revizije treba procijeniti i napraviti odgovarajuće preporuke za poboljšanje procesa upravljanja u ostvarenju sljedećih ciljeva:• promoviranje odgovarajuće etike i vrijednosti unutar organizacije• osiguravanje učinkovitog upravljanja poslovnim rezultatom i odgovornosti• učinkovito priopćavanje podataka vezanih za rizik i kontrolu odgovarajućim područjima organizacije• učinkovito koordiniranje aktivnosti i priopćavanje podataka među odborom, vanjskim i internim revizorima i rukovodstvom

Povezani standard 2130.A1 – Aktivnost interne revizije treba procijeniti koncept, implementaciju i učinkovitost etičkih ciljeva organizacije, programa i aktivnosti.

Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeće kada određuju ulogu u etičkoj kulturi organizacije. Ta uloga može varirati ovisno o postojanju, nedostatku ili stupnju razvoja etičke kulture organizacije. Ova smjernica nije namijenjena kako bi predstavljala sve procedure koje mogu biti potrebne za detaljno jamstvo ili konzultacijske aktivnosti vezane uz etičku kulturu organizacije.

1. Ova preporuka za rad naglašava važnost kulture organizacije u uspostavljanju etičke klime poduzeća te predlaže ulogu koju interni revizori mogu imati u poboljšavanju te etičke klime. Preporuka za rad posebno:• opisuje prirodu upravljačkog procesa• povezuje ga s etičkom kulturom organizacije• navodi da sve osobe povezane s organizacijom, a napose interni revizori, trebaju

preuzeti ulogu zagovaratelja etike• imenuje karakteristike poboljšane etičke kulture.

247

Preporuke za rad

Korporativno upravljanje i kultura organizacije

2. Organizacija koristi različite pravne oblike, strukture, strategije i procedure kako bi osigurala :

(a) da je u skladu s pravnim i regulacijskim pravilima društva(b) udovoljava općenito prihvaćenim poslovnim normama, etičkim pravilima i socijalnim

očekivanjima društva(c) pruža općenitu dobrobit za društvo te poboljšava interese specifičnih dioničara i

kratkoročno i dugoročno te(d) izvještava u potpunosti i iskreno svoje vlasnike, nadzorna tijela, ostale dioničare

i javnost kako bi osigurala odgovornost za svoje odluke, radnje, ponašanje i djelovanje.

Način na koji organizacija odabere obavljati svoje poslove kako bi udovoljila tim četirima odgovornostima obično se naziva upravljački proces. Upravljačka tijela organizacije (kao što su upravni odbor ili rukovodeći odbor) te njezin viši menadžment, odgovorni su za učinkovitost upravljačkog procesa.

3. Upravljačke prakse organizacije odražavaju jedinstvenu i konstantno promjenjivu kulturu koja utječe na uloge, specifično ponašanje, postavlja ciljeve i strategije, mjeri rezultate te definira uvjete odgovornosti. Ta kultura utječe na vrijednosti, uloge i ponašanje koje će se prihvatiti i tolerirati od strane organizacije te određuje koliko senzibilno – obazrivo ili indiferentno je poduzeće u obavljanju svojih obveza prema društvu. Stoga, koliko je učinkovit proces općenitog upravljanja u obavljanju svoje očekivane funkcije, uvelike ovisi o kulturi organizacije.

Podijeljena odgovornost za etičku kulturu organizacije

4. Sve osobe povezane s organizacijom dijele neku odgovornost za stanje njezine etičke kulture. Zbog kompleksnosti i disperzije procesa donošenja odluka u većini poduzeća, svaki pojedinac treba biti potaknut da bude zagovornik etike, bez obzira je li uloga delegirana službeno ili se samo neformalno obavlja. Etički kodeksi i izjave o viziji te politika, važne su deklaracije vrijednosti i ciljeva organizacije, ponašanja koje se očekuje od ljudi te organizacije, te strategija za održavanje kulture koja je u skladu s njezinim pravnim, etičkim i društvenim odgovornostima. Sve veći broj organizacija odredilo je glavnog direktora za etiku kao savjetnika direktora, menadžera i ostalih te kao prvu osobu u organizaciji koja je zadužena za «provođenje ispravnih stvari».

Aktivnost interne revizije kao zagovornika etike

5. Interni revizori i aktivnost interne revizije trebaju imati aktivnu ulogu u podržavanju etičke kulture organizacije. Oni imaju visoku razinu povjerenja i integriteta unutar

248


organizacije te vještine kako bi bili učinkoviti zagovornici etičkog ponašanja. Kompetentni su te mogu apelirati na direktore, menadžere i ostale djelatnike poduzeća da postupaju u skladu s etičkim i društvenim obvezama organizacije.

6. Aktivnost interne revizije može poprimiti jednu od nekoliko različitih uloga kao zagovornik etike. Te uloge uključuju vodećeg dužnosnika za etiku (pučki pravobranitelj, službenik, savjetnik za rukovodeću etiku, ili stručnjak za etiku), člana međunarodnog vijeća za etiku, ili procjenitelja etičke klime organizacije. U nekim slučajevima uloga vodećeg dužnosnika za etiku može se sukobiti sa svojstvom nezavisnosti interne aktivnosti revizije.

Procjena etičke klime organizacije

7. Minimalno, aktivnost interne revizije treba periodički procjenjivati stanje etičke klime organizacije i učinkovitost njezinih strategija, taktika, komunikacija i ostalih procesa u postizanju željene razine zakonske i etičke usklađenosti. Interni revizori trebaju procjenjivati učinkovitost sljedećih svojstava poboljšane, visoko učinkovite etičke kulture:(a) službeni etički kodeks, koji je jasan i razumljiv te povezane izjave, pravilnici

(uključujući procedure koje obuhvaćaju prijevaru i korupciju), te ostali oblici aspiracija

(b) redovita komunikacija i demonstracije očekivanih etičkih stavova i ponašanja od strane utjecajnih vođa organizacije

(c) eksplicitne strategije za podržavanje i poboljšavanje etičke kulture s redovitim programima kako bi se ažuriralo i obnovilo pridržavanje etičke kulture

(d) nekoliko jednostavno dostupnih načina za sve kako bi strogo povjerljivo mogli prijaviti navodne povrede Kodeksa, pravilnika i ostalih oblika negativnog ponašanja

(e) redovite izjave od strane djelatnika, dobavljača i korisnika da su svjesni zahtjeva vezanih uz etičko ponašanje prilikom obavljanja aktivnosti organizacije

(f) jasno delegiranje odgovornosti kako bi se osiguralo da se procjenjuju etičke posljedice, da je omogućeno povjerljivo savjetovanje, da se istražuju navodi negativnog ponašanja te da se ispravno prijavljuju rezultati za pojedine slučajeve

(g) jednostavan pristup mogućnostima za edukaciju kako bi se svim djelatnicima omogućilo da budu zagovornici etike

(h) pozitivne radnje vezane za kadar koje potiču svakog djelatnika da pridonese etičkoj klimi organizacije

(i) redovito anketiranje djelatnika, dobavljača i korisnika kako bi se odredilo stanje etičke klime u organizaciji

(j) redovito ispitivanje formalnih i neformalnih procesa unutar organizacije koji bi potencijalno mogli stvoriti pritisak i predrasude koje bi narušile etičku kulturu

(k) redovite reference i pozadinske provjere kao dio procedura zapošljavanja, uključujući testove integriteta, testiranje na droge te slične mjere.

249

Preporuke za rad

Preporuka za rad 2200-1:Planiranje rada

Tumačenje Standarda 2200 iz


Povezani standard 2200 – Planiranje radaInterni revizori trebaju razviti i evidentirati plan za svaku aktivnost, uključujući raspon, ciljeve, vremenski raspored i dodjeljivanje resursa.

Povezani standard 2201 – Što treba uzeti u obzir prilikom planiranjaU planiranju rada interni revizori trebaju imati na umu sljedeće:• ciljeve aktivnosti koja se kontrolira te sredstva kojom aktivnost revizije kontrolira svoju učinkovitost i postignuće tih ciljeva• značajnije rizike za aktivnost, njezine ciljeve, resurse i radnje te sredstva kojima se potencijalni utjecaj od i/ili vjerojatnost rizika drži na prihvatljivoj razini• adekvatnost i učinkovitost upravljanja rizikom tijekom aktivnosti te kontrolni sustavi u usporedbi s relevantnim okvirom za kontrolu ili modelom • prilike za značajna poboljšanja aktivnosti upravljanja rizikom i kontrolnih sustava.

Priroda ove preporuke za rad : interni revizori trebaju uzeti u obzir sljedeće kada planiraju rad. Ova smjernica nema namjenu predstavljati sve potencijalne kriterije, nego se radi o preporučenom skupu stavki na koje treba obratiti pozornost.

1. Interni revizor je odgovoran za planiranje i provedbu dodjele rada, ovisno o kontroli i odobrenju od strane nadzora. Program rada treba:• dokumentirati procedure internog revizora za prikupljanje, analiziranje,

interpretiranje i dokumentiranje podataka tijekom rada• navesti ciljeve rada• objasniti raspon i stupanj testiranja potrebnog za postizanje ciljeva rada u svakoj

fazi rada• identificirati tehničke aspekte, ciljeve aktivnosti, rizike, procese i transakcije

koje treba pregledati• navesti prirodu i raspon potrebnog testiranja• biti pripremljen prije početka rada i modificiran, kako je prikladno, tijekom

trajanja rada.

250


2. Direktor za reviziju treba odrediti kako, kada i kome će se priopćiti rezultati rada. Tu je odluku potrebno dokumentirati i priopćiti rukovodstvu, do mjere do koje je to praktično, tijekom planiranja faze rada. Naknadne promjene koje utječu na vremenski plan ili izvještavanje rezultata rada, također treba priopćiti rukovodstvu, ako je prikladno.

3. Potrebno je odrediti ostale zahtjeve rada, kao što je obuhvaćeno razdoblje rada i procijenjeni datumi završetka. Format konačnog priopćenja o radu treba se uzeti u obzir jer ispravno planiranje u ovoj fazi olakšava pripremanje konačnog priopćenja rada.

4. Treba informirati sve članove rukovodstva koji trebaju biti upoznati s radom. Treba održavati sastanke s rukovodstvom odgovornim za aktivnost koja se pregledava. Treba pripremiti sažetak raspravljanih pitanja na sastanku te svih donesenih zaključaka, zatim ga podijeliti pojedincima, kako je prikladno, i zadržati u radnoj dokumentaciji rada. Teme za raspravu mogu uključivati:• planirane ciljeve rada i raspon rada• vremenski plan rada• interne revizore određene za obavljanje aktivnosti• proces komunikacije tijekom rada, uključujući metode, vremenske okvire i

pojedince koji će biti odgovorni• poslovne uvjete i radnje aktivnosti koja se kontrolira, uključujući najnovije

promjene u rukovodstvu ili glavnim sustavima• pitanja ili zahtjeve rukovodstva• problematična te pitanja od posebnog interesa za internog revizora• opis procedura izvještavanja vezanih uz aktivnost interne revizije te proces

kontrole.

251

Preporuke za rad

Preporuka za rad 2210-1:Ciljevi rada

Tumačenje Standarda 2210 iz


Povezani standard 2210 – Ciljevi radaPotrebno je odrediti ciljeve za svaku aktivnost.

Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeće kada utvrđuju ciljeve rada. Ova smjernica nema namjenu predstavljati sve potencijalne kriterije, nego se radi o preporučenom skupu stavki na koje treba obratiti pozornost.

1. Treba dokumentirati planiranje. Potrebno je utvrditi ciljeve rada i raspon posla. Ciljevi rada su opći iskazi od strane internih revizora te definiraju što se namjerava postići radom. Procedure rada su sredstva za postizanje ciljeva rada. Ciljevi rada i procedure zajedno definiraju raspon posla internog revizora.

2. Ciljevi rada i procedure trebaju obratiti pozornost na rizik povezan s aktivnosti koja se kontrolira. Termin rizik znači nesigurnost događaja koji se pojavljuje, a koji može utjecati na postizanje ciljeva. Rizik se mjeri na temelju posljedica i vjerojatnosti. Svrha procjene rizika tijekom faze planiranja rada je utvrditi važna područja aktivnosti koje bi trebalo proučiti kao potencijalne ciljeve angažmana.

252


Preporuka za rad 2210.A1-1:Procjena rizika u planiranju angažmana



Povezani standard 2210.A1 – Interni revizori bi trebali provesti preliminarnu procjenu rizika relevantnih za aktivnost koja se revidira. Ciljevi angažmana trebali bi odražavati rezultate ove procjene.

Priroda ove preporuke za rad: interni revizori trebaju razmotriti sljedeće prijedloge kod procjene rizika tijekom planiranja angažmana. Namjera ove smjernice nije predstaviti sva potrebna razmatranja koje će možda biti potrebna kod takve procjene, nego jednostavno preporučeni skup stavki kojima bi se trebalo pozabaviti. Interni revizori sami prosuđuju koje su stavke potrebne za dobivanje dovoljno uvjerenja da su utvrđeni relevantni rizici za određeni angažman.

1. Interni revizor treba razmotriti procjenu rizika uprave vezanih uz aktivnost koja se revidira. Interni revizor treba uzeti u obzir:• pouzdanost procjene rizika uprave• praćenje i izvještavanje o rizičnim pitanjima od strane uprave• izvješća uprave o događajima koji su prekoračili dogovorene granice tolerancije

rizika• postoje li rizici koje je uprava utvrdila na drugim mjestima u organizaciji u

povezanim aktivnostima ili sustavima podrške koji bi mogli biti relevantni za aktivnost koja se revidira

• vlastitu procjenu uprave kontrola vezanih uz rizike.

2. Potrebno je saznati pozadinu iza aktivnosti koje će se revidirati. Treba ispitati pozadinske informacije kako bi se odredio njihov utjecaj na angažman. Relevantne stavke mogu uključivati sljedeće:• ciljeve i svrhe• politike, planove, procedure, zakone, propise i ugovore koji bi mogli znatno

utjecati na poslove i izvješća• organizacijske informacije, npr. brojevi i imena zaposlenika, ključnih zaposlenika,

opisi poslova i podaci o nedavnim promjenama u organizaciji, uključujući i velike promjene sustava

• informacije o proračunu, radni rezultati i financijski podaci o aktivnosti koju treba revidirati

253

Preporuke za rad

• radnu dokumentaciju prethodnih angažmana• rezultate iz drugih angažmana uključujući posao internih revizora koji je završen

ili u tijeku• dokumente korespondencije kako bi se utvrdila potencijalno važna pitanja u

angažmanu• autoritativnu i tehničku literaturu koja se odnosi na aktivnost.

3. Ukoliko je prikladno, trebalo bi provesti ispitivanje kako bi se upoznalo s aktivnostima, rizicima i kontrolama, kako bi se utvrdila područja na kojima se treba više angažirati i kojim bi se pozvali klijenti na komentare i sugestije . Ispitivanje je proces prikupljanja informacija bez detaljne provjere aktivnosti koja se ispituje. Njeni osnovni ciljevi su:• razumijevanje aktivnost koja se revidira• utvrđivanje značajnih područja koja zahtijevaju posebnu pažnju• dobivanje informacija koje će se koristiti u obavljanju angažmana• odrediti je li potrebna daljnja revizija.

4. Studija omogućava informiran pristup planiranju i provedbi angažmana te je učinkovito sredstvo za angažiranje resursa interne revizije tamo gdje se mogu najučinkovitije iskoristiti. Fokus studije će varirati ovisno o prirodi angažmana. Opseg rada i potrebno vrijeme će varirati. Važni čimbenici su obrazovanje i iskustvo internog revizora, poznavanje aktivnosti koja se ispituje, vrsta angažmana koji se obavlja te je li ispitivanje dio redovitog zadatka ili zadatka praćenja. Na potrebno vrijeme će također utjecati veličina i složenost aktivnosti koja se ispituje te geografska rasprostranjenost aktivnosti.

5. U ispitivanju se također mogu primjenjivati sljedeće procedure:• razgovori s naručiteljem angažmana• razgovori s pojedincima na koje aktivnost utječe, primjerice korisnici izlaznih

rezultata aktivnosti• opažanja na licu mjesta• pregled izvješća i studija uprave• analitičke revizijske procedure• izrada dijagrama tijeka• funkcionalni pregled (testovi određenih radnih aktivnosti od početka do kraja)• dokumentiranje ključnih aktivnosti kontrole.

6. Interni revizor bi trebao pripremiti sažetak rezultata revizije procjene rizika uprave, pozadinskih informacija i rezultata svih provedenih istraživanja. Sažetak bi trebao utvrditi:• važne probleme iz angažmana i razloge zbog kojih ih treba detaljnije istražiti• bitne informacije dobivene iz svih izvora• ciljeve angažmana, procedure angažmana i posebne pristupe poput računalnih

revizijskih tehnika

254


• potencijalne kritične kontrolne točke, nedostatci kontrole i/ili pretjeranost kontrole

• preliminarne procjene potrebnog vremena i sredstava• revidirane datume za faze izvješćivanja i završavanje angažmana• razloge za prekid angažmana, po potrebi.

255

Preporuke za rad

Preporuka za rad 2230-1:Raspodjela resursa u angažmanu



Povezani standard 2230 – Raspodjela resursa u angažmanuInterni revizori trebali bi odrediti odgovarajuća sredstva za postizanje ciljeva angažmana. Osiguravanje potrebnog osoblja trebalo bi se temeljiti na procjeni prirode i složenosti svakog angažmana, vremenskih ograničenja i raspoloživih resursa.

Priroda ove preporuke za rad: interni revizori trebaju razmotriti sljedeće prijedloge u određivanju raspodjele resursa u angažmanu. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

Prilikom određivanja resursa potrebnih za izvršenje ovog angažmana, potrebno je procijeniti sljedeće:

• Broj i stupanj iskustva osoblja koje provodi internu reviziju trebaju se temeljiti na procjeni prirode i složenosti zadanog angažmana, vremenskim rokovima i dostupnim resursima.

• Znanje, vještine i ostale sposobnosti osoblja koje će provoditi internu reviziju trebaju se uzeti u obzir pri odabiru internih revizora za angažman.

• Trebaju se uzeti u obzir potrebe edukacije internih revizora, budući da svaki zadani angažman služi kao osnova za postizanje razvojnih potreba interne revizije.

• Treba uzeti u obzir angažiranje vanjskih resursa u slučajevima kada je potrebno dodatno znanje, vještine i ostale sposobnosti.

256


Preporuka za rad 2240-1:Program rada angažmana



Povezani standard 2240 – Program rada angažmanaInterni revizori trebaju razviti radne programe koji će ostvariti ciljeve angažmana. Te radne programe treba evidentirati.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom razvoja radnih programa angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Procedure angažmana, uključujući testiranje i uzimanje uzoraka primijenjenih tehnika treba unaprijed izabrati ako je to moguće te ih proširiti i izmijeniti, ukoliko to okolnosti zahtijevaju. Detaljnije smjernice opisane su u Preporukama za rad 2340-1.

257

Preporuke za rad

Preporuka za rad 2240.A1-1:Odobrenje programa rada



Povezani standard 2240.A1 – Programi rada trebaju ustanoviti procedure za utvrđivanje, analizu, vrednovanje i evidentiranje informacija tijekom angažmana. Program rada treba biti odobren prije početka rada, a sve prilagodbe trebaju biti ažurno odobrene.

Priroda ove preporuke za rad: :interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom odobravanja programa rada. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Prilikom dobivanja odobrenja za plan rada angažmana, takve planove treba odobriti glavni revizor u pisanom obliku ili za to određena osoba prije početka rada na angažmanu, ako je to moguće. Odobrenje se prvo može dobiti usmeno, ako čimbenici onemogućuju dobivanje odobrenja u pisanom obliku prije početka radova na angažmanu. Prilagodbe radnih planova angažmana trebaju biti pravovremeno odobrene.

258


Preporuka za rad 2300-1:Korištenje osobnih informacija od strane interne revizije tijekom provedbe

revizije



Povezani standard 2300 – Provedba angažmanaInterni revizori trebaju ustanoviti, analizirati, vrednovati i evidentirati dovoljno informacija kako bi postigli ciljeve angažmana.

Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom razmatranja uporabe osobnih informacija u provedbi angažmana provjere ili konzultacijskog angažmana. Ove preporuke za rad ne predstavljaju sveobuhvatne smjernice vezano uz korištenje osobnih informacija, nego podsjetnik na važnost njihove odgovarajuće uporabe u skladu sa zakonima i pravilima relevantne nadležnosti gdje se revizija provodi i gdje organizacija obavlja djelatnost.

1. Zabrinutost vezana uz zaštitu osobne privatnosti i informacija postaje sve očitija, fokusirana i globalna kako napredak u informatičkoj tehnologiji i komunikacijama konstantno uvodi nove rizike i prijetnje za privatnost. Kontrola privatnosti je zakonska obveza u poslovanju u većini svijeta.

2. Osobne informacije se općenito odnose na informacije koje se mogu povezati s određenim pojedincem ili koje imaju identifikacijske karakteristike koje bi se mogle povezati s pojedincima ako se udruže s drugim informacijama72. To može uključivati sve činjenične ili subjektivne informacije bez obzira jesu li evidentirane u bilo kojem obliku ili mediju. Osobne informacije mogu primjerice uključivati:• ime, adresu, identifikacijski broj, prihod ili krvnu grupu• vrednovanja, komentare, društveni status ili disciplinske mjere• dosje zaposlenika, kreditne podatke, podatke o zajmovima.

3. U većini slučajeva zakoni zahtijevaju da organizacije utvrde svrhe za koje se prikupljaju osobne informacije za vrijeme ili prije prikupljanja informacija; a te osobne informacije ne smiju se koristiti niti otkrivati u druge svrhe, osim onih za koje su prikupljene ili uz pristanak osobe ili u skladu sa zakonskim zahtjevima.

7 2 Hargraves, Kim, Susan B. Lione, Kerry L. Shackleford, i Peter C. Tilton, Privacy: Assessing the Risk (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2003).

259

Preporuke za rad

4. Važno je da interni revizor razumije i poštuje sve zakone vezano uz korištenje osobnih informacija u svojoj nadležnosti i onim nadležnostima gdje njegova organizacija obavlja poslovanje.

5. Interni revizor mora razumjeti kako može biti nedolično ili u nekim slučajevima čak i nezakonito pristupati, preuzimati, pregledavati, manipulirati ili koristiti osobne informacije u izvršenju određenih angažmana interne revizije.

6. Interni revizor bi trebao istražiti problematična pitanja prije započinjanja revizije i potražiti savjet od unutarnjeg pravnog savjetnika ako ima nekih pitanja ili dvojbi u tom pogledu.

260


Preporuka za rad 2310-1:Utvrđivanje informacija



Povezani standard 2310 – Utvrđivanje informacijaInterni revizori trebaju utvrditi dovoljne, pouzdane, relevantne i korisne informacije za ostvarenje ciljeva revizije.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom utvrđivanja informacija. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijskog angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Informacije se trebaju prikupljati o svim predmetima vezanim uz ciljeve angažmana i opseg posla. Interni revizori koriste analitičke revizijske procedure prilikom utvrđivanja i ispitivanja informacija. Analitičke revizijske procedure provode se proučavanjem i usporedbom odnosa između financijskih i nefinancijskih informacija. Primjena analitičkih revizijskih procedura za utvrđivanje informacija koje treba istražiti temelji se na premisi da se, u nedostatku poznatih suprotnih činjenica, može pretpostaviti kako odnosi između informacija postoje i kako i dalje traju. Primjeri suprotnih činjenica uključuju neobične ili neponovljene transakcije ili događaje; računovodstvene, organizacijske, operativne, ekološke i tehnološke promjene; neučinkovitosti; nedjelotvornosti; greške; nepravilnosti; ili nezakonite akte.

2. Informacije bi trebale biti dovoljne, kompetentne, relevantne i korisne kako bi omogućile čvrstu osnovu za primjedbe i preporuke angažmana. Dovoljne informacije su činjenične, adekvatne i uvjerljive tako da razumna, informirana osoba može izvesti iste zaključke kao i revizor. Kompetentne informacije su pouzdane i najbolje ih je dobiti korištenjem odgovarajućih tehnika angažmana. Relevantne informacije podržavaju opažanja i preporuke iz angažmana te su dosljedne s ciljevima angažmana. Korisne informacije pomažu organizaciju pri ispunjenju svojih ciljeva.

261

Preporuke za rad

Preporuka za rad 2320-1:Analiza i vrednovanje



Povezani standard 2320 – Analiza i vrednovanjeInterni revizori trebaju temeljiti svoje zaključke i rezultate angažmana na odgovarajućim analizama i vrednovanjima.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom korištenja analize i vrednovanja u donošenju zaključaka. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Analitičke revizijske procedure daju internim revizorima učinkovita i djelotvorna sredstva za procjenu i vrednovanje informacija prikupljenih u sklopu angažmana. Procjena rezultira iz usporedbe s očekivanjima koje je utvrdio ili razvio interni revizor. Analitičke revizijske procedure su korisne kod utvrđivanja, između ostaloga:• neočekivanih razlika• odsutnosti razlika kada su one očekivane• potencijalnih grješaka• potencijalnih nepravilnosti ili nezakonskih akta• ostalih neobičnih ili neponovljenih transakcija ili događaja.

2. Analitičke revizijske procedure mogu uključivati:• usporedbu informacija tekućeg razdoblja sa sličnim informacijama iz prošlih

razdoblja• usporedbu informacija tekućeg razdoblja s proračunima ili predviđanjima• studiju odnosa financijskih informacija s odgovarajućim nefinancijskim

informacijama (primjerice, zabilježeni trošak plaća uspoređen s promjenama u prosječnom broju zaposlenika)

• studiju odnosa između elemenata informacija (primjerice fluktuacija zabilježenih troškova kamata u usporedbi s promjenama u povezanim bilancama dugovanja)

• usporedbu informacija sa sličnim informacijama za druge organizacijske jedinice

• usporedbu informacija sa sličnim informacijama za industriju u kojoj organizacija posluje.

262


3. Analitičke revizijske procedure mogu se provoditi pomoću monetarnih iznosa, fizičkih količina, omjera ili postotaka. Određene analitičke revizijske procedure uključuju, ali nisu ograničene na analizu omjera, trenda i regresije, razumnih testiranja, usporedbe između razdoblja, usporedbe s proračunima, predviđanjima i vanjskim ekonomskim informacijama. Analitičke revizijske procedure pomažu internim revizorima da utvrde uvjete koji mogu zahtijevati kasnije procedure u angažmanu. Interni revizori trebaju koristiti analitičke revizijske procedure u planiranju angažmana u skladu sa smjernicama iz poglavlja 2200 Međunarodnih standarda za stručnu provedbu interne revizije (Standarda) (Preporuka za rad 2210-1).

4. Analitičke revizijske procedure također se trebaju koristiti kod ispitivanja i vrednovanja informacija kako bi potkrijepili rezultate angažmana. Interni revizori trebaju razmotriti niže navedene čimbenike prilikom utvrđivanja u kojoj se mjeri mogu koristiti analitičke revizijske procedure. Nakon vrednovanja tih čimbenika interni revizori trebaju razmotriti i koristiti dodatne revizijske procedure, prema potrebi, kako bi postigli cilj angažmana. Čimbenici su sljedeći:• važnost područja koje je ispituje• procjena rizika i učinkovitosti upravljanja rizicima u području koje se ispituje• adekvatnost sustava interne revizije• dostupnost i pouzdanost financijskih i nefinancijskih informacija• preciznost kojom se rezultati analitičkih revizijskih procedura mogu predvidjeti• dostupnost i usporedivost informacija vezano uz industriju u kojoj organizacija

posluje• mjera u kojoj ostale procedure angažmana potkrjepljuju rezultate angažmana.

5. Kada analitičke revizijske procedure utvrde neočekivane rezultate ili odnose, interni revizori trebaju ispitati i vrednovati takve rezultate ili odnose. Ispitivanje i vrednovanje treba uključivati upite uprave i primjenu drugih procedura angažmana dok interni revizori ne budu zadovoljni dovoljnim objašnjenjima rezultata ili odnosa. Neobjašnjeni rezultati ili odnosi iz primjene analitičkih revizijskih procedura mogu indicirati bitne uvjete poput potencijalne greške, nepravilnosti ili nezakonitog akta. Rezultati ili odnosi koji su dovoljno objašnjeni trebaju se priopćiti odgovarajućim razinama uprave. Interni revizori mogu preporučiti odgovarajuće smjerove djelovanja ovisno o okolnostima.

263

Preporuke za rad

Preporuka za rad 2330-1:Evidentiranje informacija



Povezani standard 2330 – Evidentiranje informacijaInterni revizori trebaju evidentirati relevantne informacije kako bi potkrijepili zaključke i rezultate angažmana.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom evidentiranja informacija. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizor treba pripremiti radne papire koji dokumentiraju angažman, a rukovodstvo interne revizije treba ih pregledati. Radni papiri trebaju bilježiti sve dobivene informacije i izrađene analize te potkrijepiti osnovu za primjedbe i preporuke koje će biti iznesene u izvješću. Radni papiri u sklopu angažmana u pravilu:• daju osnovnu podršku komunikaciji angažmana• pomažu u planiranju, provedbi i pregledu angažmana• evidentiraju jesu li postignuti ciljevi angažmana• omogućavaju revizije trećih strana• daju osnovu za vrednovanje kvalitete programa interne revizije• pružaju podršku u okolnostima poput potraživanja na osnovi osiguranja, slučajeva

prijevare i tužbi• pomažu u profesionalnom razvoju osoblja interne revizije• pokazuju sukladnost interne revizije s Međunarodnim standardima za stručnu

provedbu interne revizije (Standardima).

2. Organizacija, dizajn i sadržaj radnih papira angažmana ovisit će o prirodi angažmana. Radni papiri angažmana trebaju dokumentirati sljedeće aspekte procesa angažmana:• planiranje• procjenu rizika• ispitivanje i vrednovanje adekvatnosti i učinkovitosti sustava interne kontrole• obavljene procedure angažmana, dobivene informacije i donesene zaključke• pregled

264


• priopćavanje• praćenje.

3. Radni papiri angažmana trebaju biti potpuni i potkrijepiti donesene zaključke u angažmanu. Radni papiri između ostaloga mogu uključivati:• planove i programe angažmana• kontrolne upitnike, dijagrame tijeka, liste i opisne dijelove• napomene i bilješke proizašle iz razgovora• organizacijske podatke poput organizacijskih tablica i opise• preslike važnih ugovora i sporazuma• informacije o operativnoj i financijskoj politici• rezultate vrednovanja kontrole• potvrde i predstavke• analize i testiranja transakcija, procesa i bilanci računa• rezultate analitičkih revizijskih procedura• posljednja priopćenja angažmana i odgovore uprave• korespondenciju angažmana ako ona dokumentira donesene zaključke

angažmana.

4. Radni papiri angažmana mogu biti u formatu papira, kazete, diska, disketa, filma ili nekog drugog medija. Ako su radni papiri angažmana u nekom drugom formatu osim papira, trebalo bi uzeti u obzir izradu rezervnih kopija.

5. Ako interni revizori izvještavaju o financijskim informacijama, radni papiri angažmana trebaju dokumentirati slažu li se računovodstveni zapisnici ili podudaraju s takvim financijskim informacijama.

6. Glavni revizor treba ustanoviti politiku radnih papira za razne tipove angažmana koji se obavljaju. Standardizirani radni papiri angažmana poput upitnika i programa revizije mogu poboljšati učinkovitost angažmana ili olakšati prijenos angažmana. Neki radni papiri angažmana mogu se kategorizirati kao trajni dokumenti angažmana koji se mogu prenositi u budućnost. Takvi dokumenti u pravilu sadrže informacije čija je važnost trajna.

7. Slijede tipične tehnike izrade radnih papira angažmana:• Svaki radni dokument angažmana treba utvrditi angažman i opisati sadržaj ili

svrhu radnog dokumenta.• Svaki radni dokument treba biti potpisan (ili parafiran) i datiran od strane internog

revizora koji je izvršio posao.• Svaki radni dokument angažmana treba sadržavati indeks ili referentni broj.• Revizijski simboli verifikacije (kvačice) trebaju biti objašnjeni.• Izvori podataka trebaju biti jasno navedeni.

265

Preporuke za rad

Preporuka za rad 2330.A1-1:Kontrola dokumentacije angažmana



Povezani standard 2330.A1 – Glavni revizor treba kontrolirati pristup dokumentaciji angažmana. Glavni revizor treba dobiti odobrenje višeg menadžmenta i/ili pravnika prije otkrivanja takve dokumentacije vanjskim stranama, prema potrebi.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge vezano uz kontrolu dokumentacije angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Radna dokumentacija angažmana u vlasništvu je organizacije. Registri radne dokumentacije trebaju u pravilu ostati pod kontrolom interne revizije te trebaju biti na raspolaganju samo ovlaštenom osoblju.

2. Uprava i ostali članovi organizacije mogu zatražiti pristup radnoj dokumentaciji angažmana. Takav pristup može biti potreban radi potkrjepljivanja ili objašnjenja primjedbi i preporuka angažmana ili za uporabu dokumentacije angažmana u druge poslovne svrhe. Takve zahtjeve za pristup treba odobriti glavni revizor (CAE).

3. Uobičajena je praksa da interni i vanjski revizori jedni drugima odobravaju pristup radnoj dokumentaciji. Za pristup revizijskoj radnoj dokumentaciji od strane vanjskih revizora potrebno je odobrenje glavnog revizora.

4. U nekim okolnostima strane izvan organizacije, osim vanjskih revizora, mogu zatražiti pristup radnoj dokumentaciji i izvješćima revizije. Prije otkrivanja takve dokumentacije, glavni revizor treba odobrenje višeg menadžmenta i/ili pravnika, prema potrebi.

266


Preporuka za rad 2330.A1-2:Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmana



Povezani standard 2330.A1 – Informacije o dokumentacijiGlavni revizor treba kontrolirati pristup dokumentaciji angažmana. Glavni revizor treba dobiti odobrenje višeg menadžmenta i/ili pravnika prije otkrivanja takve dokumentacije vanjskim stranama.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom razmatranja odobravanja pristupa dokumentaciji angažmana osobama izvan interne revizije. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni.

Oprez – Internim revizorima se savjetuje da potraže pravno mišljenje u svim predmetima koji se tiču pravnih pitanja budući da propisi mogu značajno varirati u različitim nadležnostima. Smjernice iz ovih preporuka za rad temelje se prvenstveno na pravnom sustavu Sjedinjenih Američkih Država.

1. Dokumentacija angažmana interne revizije uključuje izvješća, dokaznu dokumentaciju, bilješke revizije i korespondenciju bez obzira na medij na koji se pohranjuje. Interni revizori, uz potporu uprave i upravnih odbora kojima pružaju usluge revizije, pripremaju dokumentaciju angažmana. Dokumentacija angažmana se u pravilu izrađuje pod pretpostavkom da je njen sadržaj povjerljiv te da možda sadrži mješavinu činjenica i mišljenja. Međutim, oni koji nisu izravno upoznati s organizacijom ili njenim procesom interne revizije mogli bi krivo shvatiti te činjenice i mišljenja. Pristup vanjskih strana dokumentaciji angažmana bio je tražen u nekoliko različitih vrsta procedura, uključujući kazneni progon, građanske parnice, porezne revizije, regulatorne revizije, državnu reviziju ugovora i reviziju samo-regulatornih organizacija. Gotovo sva dokumentacija organizacije koja nije zaštićena odvjetničkom tajnom dostupna je u kaznenim parnicama. U nekaznenim parnicama pitanje pristupa nije tako jasno te može varirati ovisno o pravnoj nadležnosti organizacije.

2. Eksplicitna praksa u sljedećim dokumentima interne revizije može povećati kontrolu pristupa dokumentaciji angažmana. Ovi prijedlozi se razmatraju u dolje navedenim poglavljima:

267

Preporuke za rad

• Povelja• Opis posla• Politika internog odjela• Procedure za ponašanje prilikom istrage uz pravnu pomoć.

3. Povelja o internoj reviziji treba se baviti pitanjem pristupa i kontrole dokumentacije i informacija organizacije bez obzira na medij za pohranu dokumentacije.

4. Pisani opisi posla trebaju biti izrađeni za internu reviziju te uključivati složene i raznovrsne obveze koje revizori obavljaju. Takvi opisi mogu pomoći internim revizorima u rješavanju zahtjeva za dokumentacijom angažmana. Oni će također pomoći internim revizorima da shvate opseg svojeg rada, a vanjskim stranama da shvate dužnosti internih revizora.

5. Interna politika odjela treba biti izražena vezano uz djelatnost interne revizije. Takva pisana politika treba pokrivati, između ostaloga, sve što bi trebalo biti uključeno u dokumentaciju angažmana, koliko dugo treba čuvati dokumentaciju odjela, na koji način rješavati vanjske zahtjeve za uvidom u dokumentaciju odjela te kakvu politiku treba primjenjivati u slučaju istrage u suradnji s pravnikom. Ta pitanja su obrađena u daljnjem tekstu.

6. Politika koja se odnosi na različite tipove angažmana treba specificirati sadržaj i format dokumentacije angažmana te način na koji interni revizori trebaju postupati sa svojim revizijskim bilješkama, tj. trebaju li ih čuvati kao dokumentaciju o problemima koji su se javili te bili naknadno riješeni ili ih uništiti kako treće strane ne bi došle do njih. Također, ova politika treba odrediti duljinu čuvanja dokumentacije iz angažmana. Takva vremenska ograničenja bit će definirana potrebama organizacije i pravnim odredbama. (Važno je konzultirati pravnika po ovom pitanju.)

7. Pravila odjela trebaju objasniti tko je u organizaciji odgovoran za osiguravanje kontrole i sigurnosti dokumentacije odjela, tko može dobiti pristup dokumentaciji iz angažmana te kako treba rješavati zahtjeve za pristup toj dokumentaciji. Ta pravila mogu ovisiti o pravilima koja se poštuju u industriji ili pravnoj nadležnosti organizacije. Glavni revizor i drugi interni revizori trebaju pratiti promjene prakse u industriji te pravne presedane koji se mijenjaju. Trebali bi predvidjeti tko bi jednom mogao tražiti pristup proizvodima njihova rada.

8. Politika odobravanja pristupa dokumentaciji angažmana trebala bi se također pozabaviti sljedećim pitanjima:• proces za rješavanje pitanja pristupa• vremensko razdoblje čuvanja svake vrste radnog materijala• proces edukacije i dodatne edukacije osoblja interne revizije u pogledu rizika i

pitanja vezanih uz pristup njihovim radnim materijalima

268


• zahtjev za periodičkim ispitivanjem industrije kako bi se utvrdilo tko bi mogao tražiti pristup radnim materijalima u budućnosti.

9. Pravilo bi trebalo pružiti smjernicu internom revizoru u utvrđivanju kada revizija zahtijeva istragu, tj. kada revizija postaje istraga koju treba rješavati odvjetnik te koje posebne procedure treba slijediti u komunikaciji s pravnikom. Politika bi također trebala pokrivati pitanje izrade pisma o čuvanju tajne tako da bilo koje informacije dane odvjetniku ostanu tajne.

10. Interni revizori također trebaju educirati odbor i upravu o rizicima pristupa dokumentaciji iz angažmana. Politika vezana uz odobravanje pristupa dokumentaciji iz angažmana, način rješavanja takvih zahtjeva te procedure treba provoditi kada revizija zahtijeva istragu trebaju se razmotriti od strane odbora za reviziju upravnog odbora (ili ekvivalentnog upravnog tijela). Specifične politike će varirati ovisno o prirodi organizacije i privilegijama pristupa koje su zakonski ustanovljene.

11. Pažljiva priprema dokumentacije iz angažmana je važna kada je potrebno otkrivanje dokumenata. Potrebno je uzeti u obzir sljedeće korake:• Otkrijte samo dokumente koji su zatraženi. Dokumentacija iz angažmana s

mišljenjima i preporukama u pravilu se ne otkriva. Dokumenti koji otkrivaju misaoni proces odvjetnika ili strategije u pravilu će biti tajni i neće podlijegati prisilnoj obvezi otkrivanja.

• Izdajte samo preslike, zadržite originale, posebice ako su dokumenti pisani olovkom. Ako sud zahtijeva originale, interna revizija treba zadržati presliku.

• Označite svaki dokument kao povjerljiv te stavite napomenu na svaki dokument da njegova daljnja distribucija nije dozvoljena bez odobrenja.

269

Preporuke za rad

Preporuka za rad 2330.A2-1:Zadržavanje dokumentacije



Povezani standard 2330.A2 – Glavni revizor treba formirati uvjete čuvanja dokumentacije iz angažmana. Ti uvjeti čuvanja trebaju biti dosljedni sa smjernicama organizacije te svim relevantnim regulatornim i ostalim zahtjevima.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom izrade uvjeta čuvanja dokumentacije. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Uvjeti čuvanja dokumentacije trebaju biti dizajnirani tako da uključuju svu dokumentaciju angažmana neovisno o formatu u kojem je dokumentacija pohranjena.

270


Preporuka za rad 2340-1:Nadzor angažmana



Povezani standard 2340 – Nadzor angažmanaAngažman treba propisno nadzirati kako bi se osiguralo postizanje ciljeva, zajamčila kvaliteta te kako bi se osoblje usavršavalo.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom nadzora angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Glavni revizor je zadužen za osiguravanje odgovarajućeg nadzora angažmana. Nadzor je proces koji počinje planiranjem, nastavlja se kroz ispitivanje, vrednovanje, priopćavanje i praćenje angažmana. Nadzor uključuje sljedeće:• Osigurati da dodijeljeni revizori posjeduju odgovarajuće znanje, vještine i druge

sposobnosti potrebne za obavljanje angažmana.• Davanje odgovarajućih uputa tijekom planiranja angažmana i odobravanje

programa angažmana.• Osigurati da odobreni program angažmana bude proveden, osim ako su izmjene

opravdane i odobrene.• Utvrditi da radna dokumentacija iz angažmana odgovarajuće potkrjepljuje

primjedbe, zaključke i preporuke angažmana.• Osigurati da je priopćavanje vezano uz angažman točno, objektivno, jasno,

sažeto, konstruktivno i pravovremeno.• Osigurati ispunjenje ciljeva angažmana.• Osigurati mogućnosti za razvoj znanja, vještina i drugih sposobnosti internih

revizora.

2. Treba dokumentirati i čuvati odgovarajuće dokaze o nadzoru. Opseg potrebnog nadzora ovisit će o stručnosti i iskustvu internih revizora te složenosti angažmana. Glavni revizor ima sveukupnu odgovornost za pregled, ali može odrediti iskusne članove interne revizije da obave pregled. Iskusni revizori mogu se koristiti za provjeru rada drugih manje iskusnih internih revizora.

271

Preporuke za rad

3. Svi zadaci interne revizije, bez obzira provodi li ih interna revizija ili se provode za nju, odgovornost su glavnog revizora. Glavni revizor je odgovoran za sve važne stručne prosudbe donesene u fazama planiranja, ispitivanja, vrednovanja, izvješćivanja i praćenja angažmana. Glavni revizor treba primijeniti odgovarajuća sredstva kako bi osigurao ispunjavanje te odgovornosti. Odgovarajuća sredstva uključuju politike i procedure koje su osmišljene tako da:• smanjuju rizik od mogućnosti da interni revizori ili druge osobe koje rade

za internu reviziju donesu stručne prosudbe koje nisu u skladu sa stručnom prosudbom glavnog revizora tako da rezultiraju značajnim negativnim učinkom na angažman

• rješavaju razlike u profesionalnim prosudbama glavnog revizora i osoblja interne revizije u pogledu važnih pitanja vezanih uz angažman; ova sredstva mogu uključivati: (a) raspravu o bitnim činjenicama; (b) dodatne upite i/ili istraživanje; i (c) dokumentaciju i rješavanje različitih stajališta u radnoj dokumentaciji angažmana. U slučajevima razilaženja u stručnoj prosudbi po pitanju etičkog problema, odgovarajuća sredstva mogu uključivati i prosljeđivanje predmeta osobama nadležnim za etička pitanja u organizaciji.

4. Nadzor obuhvaća i obuku i usavršavanje osoblja, vrednovanje učinkovitosti zaposlenika, kontrolu utrošenog vremena i troškova te slična administrativna područja.

5. Sva radna dokumentacija iz angažmana treba biti provjerena kako bi se osiguralo da propisno potkrjepljuje priopćenje angažmana te da su obavljene sve potrebne revizijske procedure. Kao dokaz o nadzornom pregledu osoba koja pregledava materijale treba parafirati i datirati svaki radni dokument nakon što ga pregleda. Ostale tehnike koje dokazuju nadzorni pregled su popunjavanje liste zadataka za pregled radnih papira angažmana, pripremanje okružnice koja navodi prirodu, opseg i rezultate pregleda, i/ili vrednovanje i prihvaćanje u elektroničkom softveru za radne dokumente.

6. Osobe zadužene za pregled izrađuju pisanu evidenciju (bilješke pregleda) o pitanjima koja proistječu iz procesa pregleda. Kod rješavanja bilješki provjere treba obratiti pažnju da radna dokumentacija pruža odgovarajuće dokaze kako su pitanja koja su se pojavila prilikom pregleda riješena. Prihvatljive alternative vezano uz raspolaganje bilješkama pregleda su sljedeće:• čuvati bilješke pregleda kao evidenciju pitanja koje je postavila osoba zadužena

za pregled te koraka koji su poduzeti u njihovu rješavanju• baciti bilješke pregleda nakon što su proizašla pitanja riješena te nakon što je

odgovarajuća radna dokumentacija izmijenjena i dopunjena kako bi se osigurale dodatne tražene informacije.

272


Preporuka za rad 2400-1:Pravni obziri u priopćavanju rezultata



Povezani standard 2400 – Priopćavanje rezultataInterni revizori trebaju priopćiti rezultate angažmana.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom priopćavanja rezultata revizijskog angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom priopćavanja rezultata .

Oprez – Interni revizori se potiču da potraže pravni savjet u svim predmetima koji se tiču pravnih pitanja budući da propisi mogu znatno varirati u različitim nadležnostima. Smjernice iz ove Preporuke za rad temelje se prvenstveno na pravnom sustavu Sjedinjenih Američkih Država.

1. Interni revizori trebaju biti oprezni prilikom uključivanja rezultata i izdavanja mišljenja u revizijskim priopćenjima i radnoj dokumentaciji vezano uz kršenja zakona i propisa te uz druga pravna pitanja. Preporučuje se ustanovljena politika i procedure vezano uz rješavanje takvih pitanja te bliska suradnja s drugim odgovarajućim područjima (pravno savjetovanje, udovoljavanje propisima, itd.).

2. Interni revizori trebaju prikupljati dokaze, davati analitičke prosudbe, izvještavati o svojim rezultatima te osigurati korektivno djelovanje. Obaveza internih revizora da dokumentiraju evidenciju angažmana može biti u suprotnosti sa željom pravnika da se ne ostavljaju dokazi koji se mogu otkriti i koji bi mogli naštetiti obrani. Primjerice, čak iako interni revizor propisno provede istragu, otkrivene činjenice mogu naštetiti slučaju odvjetnika organizacije. Pravilno planiranje i određivanje politike vrlo je važno tako da otkrivanje ne postavi odvjetnika korporacije i internog revizora na suprotstavljene strane. Ovakva politika trebala bi uključivati definiciju uloga i metode priopćavanja. Interni revizor i odvjetnik također trebaju njegovati etički i preventivni aspekt u cijeloj organizaciji tako da osvještavaju i educiraju upravu o utvrđenoj politici. Interni revizori trebaju razmotriti sljedeće, posebice u vezi s angažmanima koji bi mogli zahtijevati otkrivanje ili dostavljanje rezultata stranama izvan organizacije.

273

Preporuke za rad

3. Četiri su elementa potrebna za povjerljivi odnos između odvjetnika i klijenta. Oni su:• priopćenje• između „zaštićenih osoba“• u povjerenju• u svrhu traženja, dobivanja ili pružanja pravne pomoći klijentu.

Takvo pravo odvjetničke tajne, koje se koristi prvenstveno za zaštitu komunikacije s odvjetnicima, može se također primijeniti i na komunikaciju s trećim stranama u suradnji s odvjetnikom.

4. Neki sudovi su priznali tajnost kritičke samoanalize koja štiti od otkrivanja samokritičnih materijala poput proizvoda revizijskog rada. U pravilu, priznavanje ovog prava temelji se na vjerovanju povjerljivost revizije u dotičnim slučajevima ima prednost pred javnim interesom. Prema objašnjenju jednog suda:

Pravo tajnosti samokritične analize priznato je kao kvalificirano pravo koje štiti od otkrivanja određenih kritičnih samoprocjena. To dozvoljava osobama ili poduzećima da iskreno procijene svoju sukladnost s regulatornim i pravnim zahtjevima bez stvaranja dokaza koje bi njihovi protivnici mogli iskoristiti protiv njih u budućim parnicama. Obrazloženje ove doktrine je da takva samokritična procjena njeguje snažan javni interes za poštivanje zakona.

5. U pravilu, tri zahtjeva trebaju biti zadovoljena da bi pravo tajnosti bilo primjenjivo:• informacije koje su zaštićene tim pravom moraju biti rezultat samokritičke

analize koju je obavila strana koja traži pravo zaštite tajnosti• javnost mora imati snažan interes u očuvanju slobodnog tijeka informacija

sadržanih u kritičnoj analizi• informacije moraju biti takvog tipa da bi njihov protok bio ograničen ako bi se

omogućilo njihovo otkrivanje. U nekim su slučajevima sudovi također uzimali u obzir je li kritička analiza

prethodila ili izazvala štetu tužitelju, a tamo gdje analiza dolazi poslije događaja koji su uzrokovali tužbu, opravdanje prava zaštite tajnosti smatra se najsnažnijim.

6. Sudovi su općenito manje skloni priznati pravo zaštite samoprocjene kada dokumente zahtijeva državna institucija, a ne privatni tužitelj; ova nesklonost vjerojatno proizlazi iz priznavanja relativno snažnijeg interesa države u provođenju zakona. Pravo zaštite samoprocjene posebno je relevantno za funkcije i aktivnosti koje imaju ustanovljene semoregulatorne procedure. Bolnice, brokeri koji trguju vrijednosnicama i javna računovodstvena poduzeća su jedne od onih koji su ustanovili takve procedure. Većina tih procedura povezana je s procedurama osiguranja kvalitete koje su pridodane operativnoj aktivnosti poput financijske revizije.

7. Ovo su tri elementa koji moraju biti zadovoljeni kako bi se dokumenti zaštitili od otkrivanja u skladu s doktrinom proizvoda rada. Dokumenti moraju biti:• vrsta proizvoda rada (npr. okružnica, računalni program)

274


• pripremljeni u očekivanju tužbe• strana koja ih priprema mora biti predstavnik odvjetnika.

8. Dokumenti pripremljeni prije nego što odnos odvjetnik-klijent zaživi nisu zaštićeni doktrinom proizvoda rada. Dostavljanje dokumenata koji su pripremljeni prije zasnivanja odnosa odvjetnik-klijent neće zaštiti te dokumente prema doktrini proizvoda rada. Uz to, doktrina je kvalificirana. Dokumenti neće biti zaštićeni u skladu s doktrinom ako postoji velika potreba za informacijama te ako se informacije ne mogu dobiti na drugi način bez nepotrebne štete. Stoga u dokumentu velike porote: Grand Jury, odbor za reviziju korporacije proveo je razgovore kako bi utvrdio jesu li izvršene upitne inozemne uplate. Njihovo je izvješće zaštićeno od otkrivanja sukladno doktrini proizvoda rada osim onih dijelova koji su sadržavali rezultate razgovora s preminulim osobama. (599F.2d 1224(1979)).

275

Preporuke za rad

Preporuka za rad 2410-1:Kriteriji priopćavanja



Povezani standard 2410 – Kriteriji za priopćavanjePriopćenja trebaju uključivati ciljeve angažmana te opseg, kao i primjenjive zaključke, preporuke i planove djelovanja.

Povezani standard 2410.A1 – Konačno priopćenje rezultata trebalo bi, tamo gdje je to primjenjivo, sadržavati sveobuhvatno mišljenje internog revizora ili njegove zaključke.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom priopćavanja rezultata angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Iako format i sadržaj konačnog priopćenja angažmana mogu varirati ovisno o organizaciji i vrsti angažmana, oni bi trebali sadržavati, najmanje, svrhu, opseg i rezultate angažmana.

2. Konačno priopćenje angažmana može uključivati pozadinske informacije i sažetke. Pozadinske informacije mogu navoditi organizacijske jedinice i revidirane aktivnosti te pružiti relevantna objašnjenja. Također može uključivati status primjedbi, zaključaka i preporuka iz prijašnjih izvješća te indikaciju pokriva li izvješće zakazani angažman ili je odgovor na zahtjev.

3. Izjave svrhe trebaju opisivati ciljeve angažmana i mogu, prema potrebi, informirati čitatelja zašto je angažman proveden i što se očekivalo da će postići.

4. Izjave o opsegu trebaju navesti revidirane aktivnosti i uključivati, prema potrebi, potkrjepljujuće informacije poput revidiranog vremenskog razdoblja. Povezane aktivnosti koje nisu revidirane trebaju biti navedene, prema potrebi, kako bi se odredile granice angažmana. Priroda i opseg obavljenog posla trebaju također biti opisani.

276


5. Rezultati trebaju uključivati primjedbe, zaključke, mišljenja, preporuke i planove djelovanja.

6. Primjedbe su odgovarajuće činjenične izjave. Primjedbe koje su potrebne kao podrška ili koje bi spriječile krivo razumijevanje zaključaka i preporuka internog revizora trebaju biti uključene u konačno priopćenje angažmana. Manje važne primjedbe ili preporuke mogu se prenijeti neformalno.

7. Primjedbe i preporuke angažmana proizlaze iz procesa usporedbe stanja kakvo je i kakvo bi trebalo biti. Na temelju toga postoji li između njih razlika, interni revizor ima osnovu na kojoj može graditi izvješće. Kada stanje zadovoljava kriterije, prikladno je priznavanje zadovoljavajuće izvedbe u priopćenjima angažmana. Primjedbe i preporuke trebaju se temeljiti na sljedećim karakteristikama:• Kriterij: standardi, mjere ili očekivanja korišteni u vrednovanju i/ili verifikaciji

(ono što bi trebalo postojati)• Stanje: činjenični dokazi koje je interni revizor pronašao tijekom ispitivanja (ono

što postoji)• Uzrok: razlog razlika između očekivanog i stvarnog stanja (zašto razlika

postoji)• Posljedica: rizik ili izlaganje s kojim se organizacija i/ili drugi susreću jer stanje

nije sukladno kriteriju (utjecaj razlike). U određivanju stupnja izlaganja riziku interni revizori trebaju uzeti u obzir posljedice koje njihove primjedbe i preporuke mogu imati na poslovanje i financijska izvješća organizacije.

• Primjedbe i preporuke također mogu uključivati postignuća klijenta, povezana pitanja i potkrjepljujuće informacije, ako nisu uključeni u neki drugi dio.

8. Zaključci i mišljenja su procjene internog revizora o posljedicama primjedbi i preporuka o pregledanim aktivnostima. Oni obično stavljaju primjedbe i preporuke u određeni okvir na temelju njihovih sveukupnih implikacija. Zaključci angažmana, ako su uključeni u izvješće angažmana, trebaju biti jasno navedeni kao takvi. Zaključci mogu obuhvaćati cjelokupni opseg angažmana ili njegove određene aspekte. Oni mogu pokrivati, ali nisu ograničeni na činjenicu udovoljavaju li operativni i programski ciljevi i svrhe onima organizacije, udovoljava li se ciljevima organizacije te funkcionira li aktivnost koja se revidira onako kako bi trebala. Mišljenje može uključivati sveukupnu procjenu kontrola ili područja koje se revidira ili može biti ograničeno na određene kontrole ili aspekte angažmana.

9. Priopćenje treba uključivati preporuke za potencijalna poboljšanja, priznanja zadovoljavajuće izvedbe i korektivne akcije. Preporuke se temelje na primjedbama i zaključcima internog revizora. One pozivaju na djelovanje u ispravljanju postojećih uvjeta ili operacije usavršavanja. Preporuke mogu predlagati pristupe ispravljanju ili unaprjeđivanju izvedbe kao vodič upravi u postizanju željenih rezultata. Preporuke mogu biti općenite ili određene. Primjerice, u određenim okolnostima, može biti poželjno preporučiti opći smjer djelovanja i specifične prijedloge za primjenu. U

277

Preporuke za rad

drugim okolnostima može biti prikladno samo predložiti daljnje istraživanje ili ispitivanje.

10. Postignuća klijenta, što se tiče napretka od prošlog angažmana ili uspostavljanja kvalitetno kontroliranog rada, mogu se uključiti u konačno priopćenje angažmana. Ta informacija može biti potrebna za vjerodostojno predstavljanje postojećih uvjeta i davanje odgovarajuće perspektive i ravnoteže konačnom priopćenju angažmana.

11. Pogledi klijenta na zaključke iz angažmana, mišljenja ili preporuke mogu se uključiti u izvještaj angažmana.

12. U sklopu razgovora internog revizora s klijentom, interni revizor treba pokušati dobiti suglasnost o rezultatima angažmana te o planu djelovanja za unaprjeđenje poslovanja, prema potrebi. Ako se interni revizor i klijent ne slažu oko rezultata angažmana, priopćenje može navoditi oba stajališta te razloge neslaganja. Pismeni komentari klijenta mogu se uključiti kao prilog izvješću o angažmanu. Osim toga, stajališta klijenta mogu se prezentirati u glavnom dijelu teksta ili u popratnom pismu.

13. Određene informacije možda se ne bi trebale otkrivati svim primateljima izvješća jer su povjerljive, osobne ili vezane uz nepropisna ili nezakonita djela. Međutim, takve informacije se mogu iznijeti u posebnom izvješću. Ako stanje o kojem se izvještava uključuje viši menadžment, izvješće bi se trebalo distribuirati odboru organizacije.

14. Privremena izvješća mogu biti u pisanom ili usmenom obliku te se mogu prenijeti formalno ili neformalno. Međuizvještaji se mogu koristiti za priopćavanje informacija koje zahtijevaju trenutnu pažnju, za priopćenje o promjeni u opsegu angažmana za aktivnost koja se revidira ili da bi se upravu obavijestilo o napredovanju angažmana kada se angažman proteže na dugo vremensko razdoblje. Korištenje međuizvještaja ne umanjuje niti eliminira potrebu za konačnim izvješćem.

15. Potpisano izvješće treba se izdati nakon završetka angažmana. Za razine uprave iznad klijenta angažmana možda bi bila prikladna sažeta izvješća koja ističu rezultate angažmana. Ona se mogu izdati zasebno ili zajedno s konačnim izvješćem. Termin “potpisan” znači da ime ovlaštenog internog revizora treba biti ručno potpisano na izvješću. Osim toga, potpis se može staviti i na popratno pismo. Interni revizor ovlašten za potpisivanje izvješća treba biti imenovan od strane glavnog revizora. Ako se izvješća o angažmanu šalju elektroničkim putem, interna revizija treba čuvati arhiviranu potpisanu verziju izvješća.

278


Preporuka za rad 2420-1:Kvaliteta priopćenja



Povezani standard 2420 – Kvaliteta priopćenjaPriopćenja trebaju biti točna, objektivna, jasna, precizna, konstruktivna, potpuna i pravovremena.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom pripreme priopćenja. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Točna priopćenja ne sadrže greške i iskrivljene informacije te su vjerna temeljnim činjenicama. Način na koji se podaci i dokazi prikupljaju, vrednuju i sažimlju za prezentaciju treba biti pažljiv i precizan.

2. Objektivna priopćenja su fer, nepristrana i bez predrasuda te su rezultat razumne i uravnotežene procjene svih relevantnih činjenica i okolnosti. Primjedbe, zaključci i preporuke trebaju proizlaziti i biti izraženi bez predrasuda, privrženosti, osobnih interesa i neumjesnog utjecaja drugih.

3. Jasna priopćenja su jednostavna za razumjeti i logična. Jasnoća se može poboljšati izbjegavanjem bespotrebnog tehničkog jezika te pružanjem svih važnih i relevantnih informacija.

4. Sažeta priopćenja iznose bit stvari te izbjegavaju nepotrebna elaboracije, suvišne detalje, višak i opširnost. Izrađena su dosljednim revidiranjem i editiranjem prezentacije. Cilj je da svaka misao bude smislena, ali sažeta.

5. Konstruktivna priopćenja pomažu klijentu angažmana i organizaciji te vode k usavršavanju tamo gdje je o potrebno. Sadržaj i ton prezentacije trebaju biti korisni, pozitivni i dobronamjerni te pridonositi ciljevima organizacije.

6. Potpuna priopćenja ne izostavljaju ništa što je važno ciljnoj publici te uključuju sve bitne i relevantne informacije i primjedbe koje potkrjepljuju preporuke i zaključke.

279

Preporuke za rad

7. Pravovremena priopćenja su vremenski raspoređena, prikladna i brza za pažljivo razmatranje onima koji će možda djelovati na temelju preporuka. Tempiranje prezentacije rezultata angažmana treba biti fiksno bez nepotrebnog kašnjenja te uz stupanj hitnosti kako bi se omogućilo brzo, učinkovito djelovanje.

280


Preporuka za rad 2440-1:Primatelji rezultata angažmana



Povezani standard 2440 – Primatelji rezultata angažmanaGlavni revizor treba dostaviti rezultate odgovarajućim stranama.

Povezani standard 2440 .A1 – Glavni revizor je odgovoran za dostavljanje konačnih rezultata stranama koje se mogu pobrinuti da je rezultatima posvećena odgovarajuća pažnja.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom izvještavanja o rezultatima. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori trebaju raspraviti zaključke i preporuke s rukovodstvom odgovarajuće razine prije izdavanja konačnog izvještaja o angažmanu.

2. Rasprava o zaključcima i preporukama obično se provodi tijekom angažmana i/ili na sastancima nakon završetka angažmana (izlazni razgovori). Druga tehnika je pregledavanje nacrta problema iz angažmana, primjedbi i preporuka od strane rukovodstva aktivnosti koja se revidira. Takve rasprave i pregledavanje pomažu osigurati da nije došlo do nesporazuma ili krive interpretacije činjenica tako što pružaju mogućnost da klijent angažmana razjasni određene predmete te da izrazi svoja stajališta o primjedbama, zaključcima i preporukama.

3. Iako razina sudionika u raspravi i pregledima može varirati ovisno o organizaciji i prirodi izvješća, to će obično biti pojedinci koji posjeduju detaljno znanje o poslovima te oni koji mogu odobriti provedbu korektivnih mjera.

4. Glavni revizor ili imenovana osoba trebaju pregledati i odobriti konačni izvještaj prije njegova izdavanja te odlučiti kome će se izvještaj podijeliti. Glavni revizor ili njegova imenovana osoba treba odobriti i može potpisati sva konačna izvješća. Ako prilike to zahtijevaju, treba razmotriti potrebu da izvršni revizor, rukovoditelj ili vodeći revizor potpišu izvješće kao zastupnici glavnog revizora.

281

Preporuke za rad

5. Konačno, priopćenje angažmana treba se poslati onim članovima organizacije koji mogu osigurati da se rezultatima angažmana posveti odgovarajuća pažnja. To znači da izvješće treba dostaviti onim osobama koje su u poziciji poduzimati korektivne mjere ili se pobrinuti da se korektivne mjere poduzmu. Konačno priopćenje angažmana treba se dostaviti rukovodstvu aktivnosti koja se revidira. Više pozicionirani članovi organizacije mogu dobiti i samo sažetak izvještaja. Izvještaj se također može dostaviti drugim zainteresiranim stranama ili stranama na koje izvještaj ima utjecaja poput vanjskih revizora i odbora.

282


Preporuka za rad 2440-2:Priopćavanje izvan organizacije




Povezani standard 2440 .A2 – Osim ako je drugačije određeno zakonskim, statutarnim ili regulatornim zahtjevima, prije izdavanja rezultata stranama izvan organizacije, glavni revizor treba:• procijeniti potencijalni rizik za organizaciju• konzultirati se s višim menadžmentom i/ili pravnikom prema potrebi• kontrolirati širenje informacija ograničavanjem uporabe rezultata.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge ako se od njih zatraži da šire informacije izvan organizacije. Do takvih situacija može doći kada se od internih revizora traži da dostave izvješće ili neke druge informacije nekome izvan organizacije za koju su usluge interne revizije osigurane. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori bi trebali proučiti smjernicu iz ugovora o angažmanu ili politiku i proceduru organizacije vezano uz prenošenje informacija izvan organizacije. Povelja o reviziji i povelja odbora za reviziju također mogu sadržavati smjernice vezane uz prenošenje informacija izvan organizacije. Ako takva smjernica ne postoji, interni revizor treba omogućiti usvajanje odgovarajuće politike od strane organizacije. Primjeri informacija koje bi mogle biti uključene u politiku su:• potrebno odobrenje za prenošenje informacija izvan organizacije• proces za traženje odobrenja za prenošenje informacija izvan organizacije• smjernice za dozvoljene i nedozvoljene vrste informacija koje se mogu

prenositi• vanjske osobe ovlaštene za dobivanje informacija te vrste informacija koje mogu

dobiti

283

Preporuke za rad

• povezani propisi o povjerljivosti, regulatorni zahtjevi i pravni obziri za prenošenje informacija izvan organizacije

• priroda uvjerenja, savjeta, preporuka, mišljenja, smjernica i ostalih informacija koje se mogu uključiti u priopćenja koja će rezultirati širenjem informacija izvan organizacije.

2. Zahtjevi se mogu odnositi na informacije koje već postoje; primjerice ranije izdano izvješće interne revizije. Također se mogu primiti zahtjevi za informacije koje se tek moraju izraditi ili utvrditi, što rezultira novim angažmanom interne revizije. Ako se zahtjev odnosi na informacije ili izvješće koje već postoji, interni revizor treba pregledati informacije kako bi utvrdio jesu li podobne za širenje izvan organizacije.

3. U određenim situacijama možda će se moći revidirati postojeće izvješće ili informacije kako bi se mogle prenositi izvan organizacije. U drugim situacijama, može se izraditi novo izvješće na temelju prethodno obavljenog posla. Treba posvetiti dužnu profesionalnu pozornost prilikom revidiranja, prilagodbe ili izrade novog izvješća na temelju prethodno obavljenog posla.

4. Prilikom prenošenja informacija izvan organizacije treba uzeti u obzir sljedeće:• potreba za pisanim sporazumom vezano uz informacije koje treba prenijeti• identifikacija pružatelja informacija, izvora, potpisnika izvješća, primatelja

informacija i osoba vezanih uz izvješće ili dostavljene informacije• identifikacija ciljeva, opsega i procedura koje treba provesti prilikom izrade

primjenjivih informacija• priroda izvješća ili drugih komunikacija, uključujući mišljenja, uključivanje ili

isključivanje preporuka, odricanja o odgovornosti, ograničenja i vrste uvjerenja ili tvrdnji koje će se izdati

• pitanja autorskog prava i ograničenja na daljnju distribuciju ili dijeljenje informacija.

5. Angažmani izvršeni radi izrade izvješća interne revizije ili komunikacije koje treba dostaviti izvan organizacije trebaju se provoditi u skladu s primjenjivim Međunarodnim standardima za stručnu provedbu interne revizije (Standardi) te uključivati reference na Standarde u izvješću ili drugim komunikacijama.

6. Ako tijekom provedbe angažmana za širenje informacija izvan organizacije, interni revizor otkrije informacije za koje smatra da bi ih trebao prenijeti rukovodstvu ili odboru za reviziju, interni revizor treba izdati odgovarajuće priopćenje odgovarajućim osobama.

284


Preporuka za rad 2440-3:Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lanca

Tumačenje Standarda 2440 i Standarda 2600 izMeđunarodnih standarda za stručnu

provedbu interne revizije i Pravila ponašanja u Etičkom kodeksu za integritet i povjerljivost


Povezani standard 2600 – Rješenje o prihvaćanju rizika od strane upraveKada glavni revizor vjeruje da je viši menadžment prihvatio razinu preostalog rizika koji može biti neprihvatljiv za organizaciju, glavni revizor treba raspraviti to pitanje s višim menadžmentom. Ako se odluka u pogledu preostalog rizika ne riješi, glavni revizor i viši menadžment trebaju obavijestiti odbor o dotičnom predmetu radi njegova razrješenja.

Povezana Pravila ponašanja Etičkog kodeksa – integritetInterni revizori:1.1 obavljati će svoj posao pošteno, marljivo i odgovorno1.2 poštivati će zakon i otkrivati informacije u skladu sa zakonom i strukom1.3 neće svjesno sudjelovati u nezakonitim aktivnostima ili sudjelovati u djelima koja ne služe na čast profesiji interne revizije ili organizacije1.4 poštivati će i pridonositi zakonitim i etičkim ciljevima organizacije.

Povezana Pravila ponašanja Etičkog kodeksa – povjerljivostInterni revizori:3.1 pametno će koristiti i štititi informacije koje steknu u tijeku obavljanja svojih dužnosti.3.2 neće koristiti informacije za osobnu korist niti na bilo koji drugi način koji bi mogao biti protivan zakonu ili štetan po legitimne i etičke ciljeve organizacije.

Priroda ove preporuke za rad: : interni revizor može otkriti informacije o izlaganjima, prijetnjama, nesigurnostima, prijevari, rasipanju i lošem upravljanju, nezakonitim radnjama, zlouporabi moći, nedoličnom ponašanju koje ugrožava javno zdravlje ili sigurnost te ostalim protupravnim djelima. U nekim slučajevima nove će informacije imati

285

Preporuke za rad

značajne posljedice, a potkrjepljujući dokazi će biti solidni i uvjerljivi. Dvojba internog revizora koja se postavlja u takvim situacijama je složena, često uključuje kulturalne razlike i razlike u poslovnoj praksi, pravnim strukturama, lokalnim i nacionalnim zakonima, kao i standardima profesije, etičkim kodeksima i osobnim vrijednostima. Način na koji interni revizor pokušava riješiti situaciju može izazvati odmazdu i potencijalnu zakonsku odgovornost. Zbog tih rizika i posljedica, interni revizor treba biti oprezan u procjenjivanju dokaza i razumnosti svojih zaključaka te preispitati razne potencijalne radnje koje bi mogao poduzeti kod prenošenja osjetljivih informacija osobama koje posjeduju ovlaštenja potrebna za rješavanje situacije i zaustavljanje nepravilnosti. U nekim zemljama određene radnje propisuju lokalni zakoni ili propisi.

Namjera ove preporuke za rad je potaknuti razmišljanje o brojnim problemima i izazovima s kojima bi se interni revizor mogao susresti u takvim situacijama. Iako ova Preporuka za rad pruža informacije i sugerira čimbenike koje bi interni revizor trebao uzeti u obzir, ona ne predstavlja sveobuhvatnu studiju teme te ne nudi pravne ili stručne savjete revizoru. Interni revizori bi trebali potražiti mišljenje pravnika u osjetljivim situacijama i kada su posljedice značajne. Ova Preporuka za rad je izrađena uz maksimalnu pažnju i kao posljedica dugotrajnog razmatranja. Međutim, IIA ne preuzima odgovornost za uporabu informacija iz ove Preporuke za rad niti za njenu primjenjivost na specifične situacije u praksi te ne jamči da će sugerirane radnje biti uspješne.

1. Interni revizori često dođu u posjed informacija koje su iznimno osjetljive i važne organizaciji te imaju važne potencijalne posljedice. Informacije se mogu odnositi na izlaganja, prijetnje, nesigurnosti, prijevaru, rasipanje i loše upravljanje, nezakonite radnje, zlouporabe moći, nedolično ponašanje koje ugrožava javno zdravlje ili sigurnost te ostale protupravne radnje. To može negativno utjecati na ugled, imidž, konkurentnost, uspjeh, održivost, tržišne vrijednosti, ulaganja i nematerijalnu imovinu ili profit organizacije. One vjerojatno povećavaju izlaganje riziku organizacije.

Priopćavanje osjetljivih informacija osobama u zapovjednom lancu

2. Kada interni revizor odluči kako su informacije solidne i uvjerljive, revizor u pravilu treba pravovremeno priopćiti informaciju osobama iz uprave koje mogu reagirati na to. U većini slučajeva, takvo priopćavanje će riješiti stvar iz perspektive internog revizora, naravno ako uprava poduzme odgovarajuće radnje za rješavanje povezanih rizika. Ako priopćavanje rezultira zaključkom da rukovodstvo, neadekvatnim radnjama ili izostankom djelovanja, izlaže organizaciju neprihvatljivoj razini rizika, glavni revizor treba razmotriti druge opcije za postizanje zadovoljavajućeg rješenja.

3. Kao jedan od smjerova djelovanja, glavni revizor treba razgovarati o svojoj zabrinutosti vezano uz izlaganje riziku s višim menadžmentom unutar svog normalnog zapovjednog lanca. Budući da odbor za reviziju ili neki drugi odbor upravnog odbora treba biti dio zapovjednog lanca glavnog revizora, članovi odbora za reviziju

286


upravnog odbora će obično biti obaviješteni o zabrinutosti glavnog revizora. Ako je glavni revizor još uvijek nezadovoljan nakon razgovora s višim menadžmentom te ako zaključi da viši menadžment izlaže organizaciju neprihvatljivom riziku te da ne poduzima odgovarajuće radnje za zaustavljanje ili ispravljanje situacije, viši menadžment i glavni revizor trebaju predstaviti važne informacije i svoja neslaganja u mišljenju drugim članovima ili odboru za reviziju upravnog odbora.

4. Taj jednostavni scenarij priopćavanja unutar zapovjednog lanca može se ubrzati u nekim vrstama osjetljivih pojava zbog nacionalnih zakona, propisa ili uobičajenih praksi. Primjerice, u slučaju dokaza o prijevare u financijskom izvješćivanju od strane društva čijim se dionicama javno trguje u Sjedinjenim Američkim Državama, propisi određuju da se odbor za reviziju odbora odmah obavijesti o okolnostima vezanim uz mogućnost nepravilnih financijskih izvješća, iako se viši menadžment i glavni revizor možda slažu po pitanju koje radnje treba poduzeti. Zakoni i propisi u nekoliko zemalja određuju da se članovi ili odbor za reviziju upravnog odbora trebaju obavijestiti o otkrivenim kršenjima kaznenih zakona, zakona o vrijednosnicama, hrani, lijekovima ili okolišu i drugim nezakonitim radnjama, poput potkupljivanja ili drugih nepravilnih plaćanja državnim službenicima ili predstavnicima dobavljača ili klijenata.

Priopćavanje izvan zapovjednog lanca

5. U nekim situacijama, interni revizor se može suočiti s dvojbom treba li priopćiti otkrivene informacije osobama izvan normalnog zapovjednog lanca ili čak izvan organizacije. Čin otkrivanja nepovoljnih informacija nekome u organizaciji tko je izvan normalnog zapovjednog lanca pojedinca ili vladinoj instituciji ili drugim vlastima koje su u potpunosti izvan organizacije, obično se naziva “cinkanje”.

6. U studijama cinkanja ustanovilo se da većina cinkaroša otkriva osjetljive informacije interno, čak iako izvan normalnog zapovjednog lanca, posebice ako imaju povjerenja u politiku i mehanizme organizacije da će istražiti optužbe o nezakonitoj ili nekoj dugoj nedoličnoj aktivnosti te da će poduzeti odgovarajuće radnje. Međutim, neke osobe u posjedu osjetljivih informacija, mogu se odlučiti za otkrivanje informacija izvan organizacije, posebice ako se boje odmazde od stane svojih zaposlenika ili kolega, ako sumnjaju da će se predmet propisno istražiti, vjeruju da će se zataškati ili posjeduju informacije o nezakonitoj ili nepropisnoj aktivnosti koja ugrožava zdravlje, sigurnost ili dobrobit ljudi u organizaciji ili zajednici. Primarni motiv većine cinkaroša koji djeluju u dobroj vjeri je zaustavljanje nezakonitog, štetnog ili nepropisnog ponašanja.

7. Interni revizor koji se suočava sa sličnom dvojbom i treba razmotriti sve moguće opcije treba procijeniti alternativne načine priopćavanja rizika nekoj osobi ili grupi koja se nalazi izvan njegovog/njenog normalnog zapovjednog lanca. Zbog rizika i

287

Preporuke za rad

posljedica vezanih uz taj pristup, interni revizor treba pažljivo procijeniti dokaze i razumnost svojih zaključaka i ispitati prednosti i mane svake potencijalne radnje. Poduzimanje ove vrste radnje od strane internog revizora može biti prikladno ako će rezultirati odgovornom akcijom osoba u višem menadžmentu ili na vladajućim položajima poput članova upravnog odbora ili jednog od vijeća. Interni revizor će vjerojatno uzeti kao posljednju opciju prenošenje informacija izvan upravne strukture organizacije. Interni revizor bi ostavio takvu vrstu akcije za rijetke prilike kada je uvjeren/a da je rizik i njegove moguće posljedice ozbiljan te da postoji velika mogućnost da postojeće rukovodstvo i upravni mehanizmi ne mogu ili neće učinkovito riješiti rizik.

8. Mnoge zemlje članice OECD-a (Organization for Economic Cooperation and Development) imaju zakone ili administrativne propise koji zahtijevaju da državni službenici koji znaju za nezakonita ili neetička djela obavijeste o njima glavnog inspektora, nekog drugog javnog službenika ili pučkog pravobranitelja. Neki nacionalni zakoni koji se odnose na akcije poput cinkanja štite građane ako otkriju određene tipove nepropisnih aktivnosti. Među tim aktivnostima navedenim u zakonima i propisima tih zemalja nalaze se:• kazneni prekršaji i ostala kršenja zakonskih obveza• djela koja se smatraju pogrješnom primjenom prava• djela koja ugrožavaju zdravlje, sigurnost ili dobrobit pojedinaca• djela koja štete okolišu• djela prikrivanja ili zataškavanja gore navedenih djela.

Neke druge zemlje ne nude nikakve smjernice niti zaštitu. Interni revizor treba biti svjestan zakona i propisa različitih lokacija na kojima organizacija posluje te treba poduzeti radnje koje su dosljedne zakonskim propisima. Interni revizor treba razmotriti traženje pravnog savjeta ako nije siguran/a u vrijedeće pravne zahtjeve.

9. Mnoge stručne udruge smatraju obvezom svojih članova da otkriju nezakonite ili neetičke radnje. Znak raspoznavanja struke je njeno prihvaćanje širokog spektra odgovornosti prema javnosti i njena zaštita javnog dobra. Osim proučavanja pravnih obveza, članovi IIA-a i svi ovlašteni interni revizori trebali bi slijediti preporuke navedene u Etičkom kodeksu IIA-a vezano uz nezakonite ili neetičke radnje.

Odluka internog revizora

10. Interni revizor ima profesionalnu dužnost i etičku odgovornost pažljivo procijeniti sve dokaze i razumnost svojih zaključaka te odlučiti je li potrebno poduzimanje dodatnih radnji radi zaštite interesa organizacije, njenih zainteresiranih strana, vanjske zajednice ili institucija društva. Revizor će također trebati razmotriti obvezu čuvanja povjerljivosti koju zahtijeva Etički kodeks IIA-a radi poštivanja vrijednosti i posjeda nad informacijama te izbjegavati njihovo otkrivanje bez odgovarajućeg

288


ovlaštenja, osim ako postoji profesionalna ili zakonska obveza da to uradi. U ovom procesu vrednovanja, revizor treba potražiti savjet ili pravno mišljenje te, prema potrebi, mišljenje drugih stručnjaka. Takvi razgovori mogu biti od pomoći u davanju drugačije perspektive na okolnosti, kao i davanju mišljenja o potencijalnom utjecaju i posljedicama različitih mogućih akcija. Način na koji interni revizor pokušava riješiti ovu vrstu složene i osjetljive situacije može rezultirati odmazdom i potencijalnom odgovornošću pred zakonom.

11. Najzad, interni revizor mora donijeti osobnu odluku. Odluka o otkrivanju informacija izvan normalnog zapovjednog lanca treba se temeljiti na dobro utemeljenom mišljenju da za nepropisno ponašanje postoje solidni, uvjerljivi dokazi te da zakonska ili propisna obveza ili profesionalna ili etička obveza zahtijeva daljnje djelovanje. Motiv revizora za djelovanje treba biti želja da zaustavi bespravnu, štetnu ili nedoličnu aktivnost.

289

Preporuke za rad

Preporuka za rad 2500-1:Praćenje napretka



Povezani standard 2500 – Praćenje napretka• Glavni revizor treba uspostaviti i održavati sustav za praćenje raspolaganja rezultatima koji se prenose upravi.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom praćenja napretka rezultata koji se dostavljaju upravi. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Glavni revizor treba ustanoviti procedure koje će uključivati:• vremenski rok unutar kojega se traži odgovor na primjedbe i preporuke iz

angažmana• procjenu odgovora uprave• verifikaciju odgovora (prema potrebi)• praćenje angažmana (prema potrebi)• proceduru priopćavanja koja eskalira nezadovoljavajuće odgovore/radnje,

uključujući pretpostavku rizika, do odgovarajućih razina rukovodstva.

2. Određene dostavljene primjedbe i preporuke mogu biti toliko značajne da zahtijevaju hitno djelovanje uprave. Interna revizija treba pratiti takvo stanje dok se ono ne ispravi zbog utjecaja koji može imati na organizaciju.

3. Tehnike koje se primjenjuju za učinkovito praćenje napretka uključuju:• Upućivanje primjedbi i preporuka angažmana odgovarajućim razinama

rukovodstva odgovornim za poduzimanje korektivnih radnji.• Primanje i procjenjivanje odgovora uprave na primjedbe i preporuke angažmana

tijekom angažmana ili unutar razumnog vremenskog razdoblja nakon priopćavanja rezultata angažmana. Odgovori su korisniji ako uključuju dovoljno informacija na temelju kojih glavni revizor može procijeniti adekvatnost i pravovremenost korektivne radnje.

• Primanje periodičkih ažuriranih informacija od uprave kako bi mogli procijeniti stanje napora uprave da ispravi prethodne priopćeno stanje.

290


• Primanje i procjena informacija iz drugih organizacijskih jedinica odgovornih za procedure praćenja ili korektivnog djelovanja.

• Izvještavanje višem menadžmentu ili odboru o statusu odgovora na primjedbe i preporuke.

291

Preporuke za rad

Preporuka za rad 2500.A1-1:Proces praćenja



Povezani standard • 2500.A1 – Glavni revizor treba uspostaviti proces praćenja kako bi osigurao da su akcije uprave učinkovito provedene ili da je viši menadžment prihvatio rizik nepoduzimanja radnji.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom uspostavljanja procesa praćenja. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Interni revizori trebaju utvrditi kako su poduzete korektivne mjere te da postižu željene rezultate ili da je viši menadžment ili odbor preuzeo rizik nepoduzimanja korektivnih mjera vezano uz priopćene primjedbe.

2. Praćenje od strane internih revizora je definirano kao proces kojim oni utvrđuju prikladnost, učinkovitost i pravovremenost radnji poduzetih od strane uprave u pogledu priopćenih primjedbi i preporuka iz angažmana, uključujući one internih revizora i drugih.

3. Odgovornost za praćenje treba se definirati u pisanoj povelji o internoj reviziji. Prirodu, vremenski raspored i opseg praćenja treba odrediti glavni revizor. Čimbenici koje treba razmotriti u utvrđivanju odgovarajućih procedura praćenja su:• značaj priopćene primjedbe ili preporuke• stupanj napora i trošak potreban za ispravljanje priopćenog stanja• utjecaj koji može rezultirati, ako korektivna mjera ne uspije• kompleksnost korektivne mjere• potrebno vremensko razdoblje.

4. Također može biti slučajeva u kojima će glavni revizor prosuditi da je usmeni ili pismeni odgovor uprave o već poduzetim mjerama dovoljan kada se odmjeri u odnosu na relativnu važnost primjedbe ili preporuke angažmana. U takvim slučajevima, praćenje se može provesti kao dio sljedećeg angažmana.

5. Interni revizori trebaju utvrditi da mjere poduzete u vezi primjedbi i preporuka iz angažmana rješavaju temeljno stanje.

292


6. Glavni revizor je odgovoran za planiranje aktivnosti praćenja kao dijela razvijanja programa rada angažmana. Planiranje praćenja treba se temeljiti na riziku i izlaganju, kao i stupnju težine i značenju vremena u provedbi korektivnih mjera.

293

Preporuke za rad

Preporuka za rad 2600-1:Prihvaćanje rizika od strane uprave



Povezani standard 2600 – Prihvaćanje rizika od strane upraveAko glavni revizor vjeruje da je viši menadžment prihvatio razinu preostalog rizika koji je neprihvatljiv za organizaciju, glavni revizor treba razgovarati o dotičnom pitanju s višim menadžmentom. Ako odluka u vezi preostalog rizika nije riješena, glavni revizor i viši menadžment trebaju o tome obavijestiti odbor radi rješavanja problema.

Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge koji se tiču prihvaćanja rizika od strane uprave. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.

1. Uprava je odgovorna za odlučivanje o odgovarajućim mjerama koje treba poduzeti kao odgovor na priopćene primjedbe i preporuke angažmana. Glavni revizor je odgovoran za procjenu tih mjera koje poduzme uprava za pravovremeno rješavanje predmeta koji su prijavljeni kao primjedbe i preporuke u sklopu angažmana. Pri odlučivanju o opsegu praćenja interni revizori trebaju uzeti u obzir procedure prirode praćenja koje obavljaju drugi u organizaciji.

2. Kao što je navedeno u poglavlju 2060 Međunarodnih standarda za stručnu provedbu interne revizije (Standardi), odlomak 3 Preporuke za rad 2060-1, viši menadžment može odlučiti preuzeti rizik neispravljanja priopćenog stanja zbog troškova ili drugih obzira. Odbor bi trebao biti obaviješten o odluci višeg menadžmenta o svim važnim primjedbama i preporukama angažmana.

295

PRIJEVOD ILI PRILAGODBA OKVIRA PROFESIONALNOG DJELOVANJA I POVEZANIH

SMJERNICA

(Administrativna direktiva br. 2)

Svrha

Ovaj dio opisuje administrativne procedure za prilagodbu Okvira profesionalnog djelovanja i povezanih smjernica za revizorska okruženja u cijelom svijetu i/ili njihovo prevođenje na druge jezike osim engleskog.

Pravna osnova

Okvir profesionalnog djelovanja i povezane smjernice Instituta internih revizora (IIA) zaštićeni su autorskim pravom Instituta internih revizora, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, bez obzira jesu li zasebno izdani ili izdani u nekoj od publikacija IIA-a. Sva prava su pridržana.

Sukladno zakonima i ugovorima o autorskim pravima niti jedan dio Okvira ili povezanih smjernica ne smije se reproducirati, pohranjivati u sustavima za pretraživanje niti prevoditi u bilo kojem obliku niti bilo kojim sredstvima – elektronički, mehanički, fotokopiranjem, snimanjem ili na neki drugi način - bez prethodnog pismenog odobrenja IIA-a. Ako nije

296


drugačije određeno zasebnim ugovorom, dozvolu za prilagodbu ili prijevod Okvira i povezanih smjernica odobrava samo IIA. Distribucija odobrenih prilagodbi ili prijevoda treba se vršiti pod rukovodstvom podružnica IIA-a.

Prijevod

Prijevod Okvira IIA-a i povezanih smjernica na jezike osim engleskog potreban je kako bi se svim članovima IIA-a i podružnicama IIA-a omogućila jednaka razina smjernica. Prije početka prevođenja potrebno je dobiti odobrenje IIA-a kako bi se dobile odgovarajuće smjernice, a u slučaju da su prijevodi već započeti treba izbjegavati bespotrebne varijacije u prijevodima na neki drugi jezik.

IIA potiče svoje podružnice u kojima engleski nije glavni jezik da osiguraju prijevode Okvira IIA-a i povezanih smjernica svojim članovima, uz uvjet:

1. prijevod treba biti u što sličnijem obliku te zadržavati koncept originala

2. kopije prevedenih dokumenata predaju se IIA-u zajedno s izjavom potpisanom od strane predsjednika podružnice IIA i ovlaštenog prevoditelja kojim se potvrđuje da su značenja i koncepti originala očuvani

3. treba dobiti odobrenje IIA-a prije objavljivanja prijevoda

4. potrebno je osigurati minimalnu razinu smjernica, prevedeni Okvir i povezana smjernica uključuju Definiciju interne revizije, Etički kodeks, Međunarodne standarde za stručnu provedbu interne revizije – Opće standarde, Standarde učinkovitosti i Standarde primjene.

5. prevedena verzija mora uključiti prevedenu izjavu da je „Dobiveno odobrenje od imatelja autorskih prava, Instituta internih revizora, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201 USA, za objavljivanje ovog prijevoda koji je istovjetan originalu u svim materijalnim aspektima kao i original.“

Prilagodba

Zakoni, propisi i običaji različitih zemalja mogu zahtijevati prilagodbu određene Smjernice kako bi se ona mogla primjenjivati u revizorskom okruženju tih zemalja. Prije objavljivanja prilagođene Smjernice svojim članovima, podružnice IIA-a trebaju:

1. Obratiti se IIA-u s molbom za odobrenje prilagodbe, navodeći prirodu izmjena, razloge zbog kojih su potrebne te učinak na profesionalnu praksu interne revizije u zemlji, ako se takve izmjene ne izvrše.

297

2. Dostaviti kopije prilagođenih, i prema potrebi, prevedenih dokumenta IIA-u uz popratnu izjavu kojom se potvrđuje da su koncepti iz originalnog dokumenta sačuvani u prilagodbi u onoj mjeri u kojoj se mogu primijeniti na lokalno okruženje. Izjave mora potpisati predsjednik podružnice IIA-a te, za prevedene dokumente, stručni prevoditelj.

3. Uključiti u sve prilagođene verzije izjavu da je “Dobiveno odobrenje od imatelja autorskih prava, Instituta internih revizora 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201 USA, za objavljivanje ove prilagodbe originala za uporabu u [ime države]. Koncepti objavljeni u originalu sačuvani su u ovoj prilagođenoj verziji.

Prijevod ili prilagodba okvira profesionalnog djelovanja i povezanih smjernica

DODATAK:POJMOVI KOJI SE KORISTE U OVOM OKVIRU

300

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

2410

ser

ies

serij

a 24

10

Aud

itors

sho

uld

refe

r to

vario

us p

ract

ice

advi

sorie

s in

the

2410

ser

ies

and

othe

r IIA

pra

ctic

e ai

ds, s

uch

as P

ract

ical

C

onsi

dera

tions

Reg

ardi

ng In

tern

al A

uditi

ng E

xpre

ssin

g an

O

pini

on o

n In

tern

al C

ontro

ls.

Rev

izor

i se

tre

baju

po

služ

iti

razl

ičiti

m

napu

tcim

a za

pra

ksu

inte

rne

revi

zije

u s

eriji

241

0, t

e dr

ugim

m

ater

ijalim

a, k

ao š

to s

u “P

rakt

ična

raz

mat

ranj

a u

svez

i izr

ažav

anja

miš

ljenj

a in

tern

e re

vizi

je o

inte

rnim

ko

ntro

lam

a.”

7 C

OB

IT in

form

atio

n cr

iteria

seda

m in

form

acijs

kih

krite

rija

CO

BIT

-a

7 C

OB

IT in

form

atio

n cr

iteria

cou

ld in

clud

e th

e fo

llow

ing:

E

ffect

iven

ess;

E

ffici

ency

; C

onfid

entia

lity;

In

tegr

ity;

Ava

ilabi

lity;

Com

plia

nce;

and

Rel

iabi

lity

of In

form

atio

n.

Sed

am

info

rmac

ijski

h kr

iterij

a C

OB

IT-a

m

ože

uklju

čiva

ti sl

jede

će:

učin

kovi

tost

, dj

elot

vorn

ost,

povj

erlji

vost

, vj

erod

osto

jnos

t, do

stup

nost

, su

klad

nost

s

prop

isim

a te

pou

zdan

ost i

nfor

mac

ija.

acce

ptan

ce o

f ris

kspr

ihva

ćanj

e riz

ika

Man

agem

ent

and

the

boar

d ha

ve

dete

rmin

ed

the

leve

l of

ris

ks a

ccep

tabl

e to

the

org

aniz

atio

n, i

nclu

ding

th

e ac

cept

ance

of

ris

ks

desi

gned

to

ac

com

plis

h th

e or

gani

zatio

n s

stra

tegi

c pl

ans.

Ruk

ovod

stvo

i up

rava

odr

eđuj

u ra

zine

riz

ika

koje

su

prih

vatlj

ive

za o

rgan

izac

iju,

uklju

čuju

ći p

rihva

ćanj

e riz

ika

koji

služ

e za

os

tvar

ivan

je

stra

tešk

ih

cilje

va

orga

niza

cije

.

acco

unta

bilit

yod

govo

rnos

t

Ste

ps c

an b

e ta

ken

to m

inim

ize

the

effe

cts

of im

pairm

ent

by a

ssig

ning

diff

eren

t au

dito

rs t

o pe

rform

eac

h of

the

se

rvic

es,

esta

blis

hing

in

depe

nden

t m

anag

emen

t an

d su

perv

isio

n, d

efin

ing

sepa

rate

acc

ount

abili

ty fo

r the

resu

lts

of th

e pr

ojec

ts, a

nd d

iscl

osin

g th

e pr

esum

ed im

pairm

ent.

Neg

ativ

an

učin

ak

sman

jene

ob

jekt

ivno

sti

mož

e se

ub

laži

ti sl

jede

ćim

m

jera

ma:

do

djel

om

razl

ičiti

h vr

sta

zada

taka

i

uslu

ga

razl

ičiti

m

revi

zorim

a,

uvođ

enje

m n

ezav

isno

g su

stav

a up

ravl

janj

a i n

adzo

ra,

utvr

điva

njem

poj

edin

ačne

odg

ovor

nost

i za

rez

ulta

te

proj

ekat

a te

ra

zotk

rivan

jem

na

vodn

ih

sluč

ajev

a sm

anje

ne o

bjek

tivno

sti.

acco

unta

ntra

čuno

vođa

Out

side

serv

ice

prov

ider

s inc

lude

, am

ong

othe

rs, a

ctua

ries,

ac

coun

tant

s,

appr

aise

rs,

envi

ronm

enta

l sp

ecia

lists

, fra

ud

inve

stig

ator

s,

law

yers

, en

gine

ers,

ge

olog

ists

, se

curit

y sp

ecia

lists

, st

atis

ticia

ns,

info

rmat

ion

tech

nolo

gy

spec

ialis

ts, t

he o

rgan

izat

ion

s ex

tern

al a

udito

rs, a

nd o

ther

au

ditin

g or

gani

zatio

ns.

Van

jski

pru

žate

lji u

slug

a, u

z os

talo

, ukl

juču

ju a

ktua

re,

raču

novo

đe, p

rocj

enite

lje, s

tručn

jake

za za

štitu

oko

liša,

is

traži

telje

prij

evar

a, o

dvje

tnik

e, i

nžen

jere

, ge

olog

e,

stru

čnja

ke z

a si

gurn

ost,

stat

istič

are,

stru

čnja

ke z

a in

form

acijs

ku t

ehno

logi

ju,

vanj

ske

revi

zore

te

drug

e re

vizi

jske

tvrtk

e.

301

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

acco

untin

gra

čuno

vods

tvo

The

inte

rnal

aud

it ac

tivity

sho

uld

have

em

ploy

ees

or u

se

outs

ide

serv

ice

prov

ider

s w

ho a

re q

ualif

ied

in d

isci

plin

es

such

as

ac

coun

ting,

au

ditin

g,

econ

omic

s,

finan

ce,

stat

istic

s, i

nfor

mat

ion

tech

nolo

gy,

engi

neer

ing,

tax

atio

n,

law

, env

ironm

enta

l affa

irs, a

nd s

uch

othe

r are

as a

s ne

eded

to

mee

t the

inte

rnal

aud

it ac

tivity

s re

spon

sibi

litie

s.

Dje

latn

ost i

nter

ne re

vizi

je tr

eba

zapo

šlja

vati

djel

atni

ke

ili

vanj

ske

pruž

atel

je

uslu

ga

koji

su

stru

čnja

ci

u di

scip

linam

a po

put r

ačun

ovod

stva

, rev

izije

, eko

nom

ije,

finan

cija

, sta

tistik

e, in

form

acijs

ke te

hnol

ogije

, por

ezni

h us

luga

, od

vjet

ništ

va,

zašt

ite

okol

išta

, te

dr

ugih

po

druč

ja k

oja

su p

otre

bna

za o

stva

rivan

je z

aduž

enja

in

tern

e re

vizi

je.

acco

untin

g fir

mra

čuno

vods

tven

a tv

rtka

Hos

pita

ls,

secu

rity

brok

ers,

and

pub

lic a

ccou

ntin

g fir

ms

are

amon

g th

ose

that

hav

e es

tabl

ishe

d su

ch p

roce

dure

s.

Nek

e od

org

aniz

acija

koj

e su

usv

ojile

takv

e pr

oced

ure

su b

olni

ce,

zašt

itars

ke b

roke

rske

age

ncije

i j

avne

ra

čuno

vods

tven

e tv

rtke.

acco

untin

g re

cord

sra

čuno

vods

tven

i pod

atci

If in

tern

al a

udito

rs a

re r

epor

ting

on f

inan

cial

info

rmat

ion,

th

e en

gage

men

t w

orki

ng

pape

rs

shou

ld

docu

men

t w

heth

er t

he a

ccou

ntin

g re

cord

s ag

ree

or r

econ

cile

with

su

ch fi

nanc

ial i

nfor

mat

ion.

Ako

inte

rni r

eviz

ori s

asta

vlja

ju iz

vješ

ća o

fina

ncijs

kim

po

daci

ma,

u r

adni

m s

pisi

ma

anga

žman

a m

ora

biti

zabi

lježe

no s

lažu

li

se r

ačun

ovod

stve

ni p

odat

ci s

ta

kvim

fina

ncijs

kim

pod

atci

ma.

acco

untin

g st

anda

rds

raču

novo

dstv

eni s

tand

ardi

Per

form

ing

an a

naly

sis

of th

e co

ntro

ls fo

r crit

ical

acc

ount

ing

polic

ies

and

com

parin

g th

em w

ith p

refe

rred

pra

ctic

es (e

.g.,

trans

actio

ns in

whi

ch q

uest

ions

are

rais

ed a

bout

reve

nue

reco

gniti

on o

r of

f-bal

ance

she

et a

ccou

ntin

g tre

atm

ent

shou

ld

be

revi

ewed

fo

r co

mpl

ianc

e w

ith

appr

opria

te

gene

rally

acc

epte

d ac

coun

ting

stan

dard

s).

Pro

vođe

nje

anal

ize

kont

rola

u

smis

lu

prim

jene

kl

jučn

ih r

ačun

ovod

stve

nih

polit

ika

te u

spor

eđiv

anje

s

usvo

jeno

m

prak

som

(n

pr.

potre

bno

je

prov

jerit

i tra

nsak

cije

u k

ojim

a se

pos

tavl

jaju

pita

nja

o pr

izna

nju

prih

oda

ili

tretm

an

vanb

ilanč

nog

raču

novo

dstv

a,

radi

suk

ladn

osti

s od

gova

raju

ćim

opć

eprih

vaće

nim

ra

čuno

vods

tven

im s

tand

ardi

ma)

.

actio

n pl

an p

lan

aktiv

nost

i

Adm

inis

ter/m

aint

ain

the

com

preh

ensi

ve

follo

w-u

p da

taba

se fo

r rec

omm

enda

tions

and

act

ion

plan

s re

sulti

ng

from

inte

rnal

aud

it en

gage

men

ts a

nd th

e w

ork

of e

xter

nal

audi

tors

and

oth

er i

nter

nal

eval

uatio

n an

d in

vest

igat

ion

func

tions

.

Odr

žava

ti is

crpn

u ba

zu

poda

taka

za

pr

epor

uke

i pl

anov

e ak

tivno

sti k

oji s

u re

zulta

t ang

ažm

ana

inte

rne

revi

zije

i r

ada

vanj

skih

rev

izor

a, t

e dr

ugih

int

erni

h oc

jenj

ivač

kih

i ist

ražn

ih fu

nkci

ja.

add

valu

edo

dati

vrije

dnos

t; do

prin

ijeti

vrije

dnos

ti ne

čega

adeq

uate

con

trol

odgo

vara

juća

kon

trola

302

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

adm

inis

trativ

e re

porti

ng li

nead

min

istra

tivna

lini

ja o

dgov

orno

sti

Oth

er r

elat

ions

hips

can

be

effe

ctiv

e if

ther

e ar

e cl

ear

dist

inct

ions

bet

wee

n th

e fu

nctio

nal

and

adm

inis

trativ

e re

porti

ng li

nes

and

appr

opria

te a

ctiv

ities

are

in e

ach

line

to e

nsur

e th

at t

he in

depe

nden

ce a

nd s

cope

of

activ

ities

ar

e m

aint

aine

d.

I dr

ugač

iji o

dnos

i m

ogu

dobr

o fu

nkci

onira

ti, u

kolik

o po

stoj

e ja

sne

razl

ike

izm

eđu

funk

cion

alni

h i

adm

inis

trativ

nih

linija

odg

ovor

nost

i i

ako

za s

vaku

lin

iju

post

oje

mje

re

koje

os

igur

avaj

u od

ržav

anje

ne

zavi

snos

ti i d

jelo

krug

a ak

tivno

sti.

advi

sor

savj

etni

k

Inte

rnal

aud

itors

may

be

invo

lved

as

advi

sors

in

the

follo

win

g pr

oces

ses,

as

long

as

the

impa

ct o

f th

ese

activ

ities

on

inte

rnal

aud

i ind

epen

denc

e is

reco

gniz

ed a

nd

hand

led

appr

opria

tely

.

Inte

rni

revi

zori

mog

u im

ati

ulog

u sa

vjet

nika

u

slje

deći

m p

roce

sim

a, u

kolik

o se

uči

nak

tih a

ktiv

nost

i na

nez

avis

nost

inte

rne

revi

zije

pre

pozn

aje

i tre

tira

na

odgo

vara

jući

nač

in.

anal

ytic

al a

udit

proc

edur

esan

aliti

čki r

eviz

ijski

pos

tupc

iIn

tern

al a

udito

rs u

se a

naly

tical

aud

iting

pro

cedu

res

whe

n id

entif

ying

and

exa

min

ing

info

rmat

ion.

Inte

rni

revi

zori

koris

te a

nalit

ičke

rev

izijs

ke p

ostu

pke

prili

kom

iden

tifik

acije

i pr

egle

da p

odat

aka.

anal

ytic

al re

view

anal

itičk

i pre

gled

Whe

n de

term

inin

g th

e ex

pect

ed e

rror

in a

pop

ulat

ion,

the

audi

tor s

houl

d co

nsid

er m

atte

rs a

s er

ror l

evel

s id

entif

ied

in

prev

ious

aud

its, c

hang

es in

the

orga

niza

tion

s pr

oced

ures

an

d ev

iden

ce a

vaila

ble

from

an

inte

rnal

con

trol e

valu

atio

n an

d re

sults

from

ana

lytic

al re

view

pro

cedu

res.

Pril

ikom

odr

eđiv

anja

oče

kiva

ne p

ogrje

ške

u od

ređe

noj

popu

laci

ji, re

vizo

r tre

ba u

zeti

u ob

zir r

azin

e po

grje

šaka

iz

pr

etho

dnih

re

vizi

ja,

prom

jene

u

proc

edur

ama

orga

niza

cije

, dok

aze

koji

potk

rjepl

juju

ocj

enu

inte

rnih

ko

ntro

la te

rezu

ltate

pos

tupa

ka a

nalit

ičko

g pr

egle

da.

anal

ytic

al re

view

pro

cedu

res

post

upci

ana

litič

kog

preg

leda

Whe

n de

term

inin

g th

e ex

pect

ed e

rror

in a

pop

ulat

ion,

the

audi

tor s

houl

d co

nsid

er m

atte

rs a

s er

ror l

evel

s id

entif

ied

in

prev

ious

aud

its, c

hang

es in

the

orga

niza

tion

s p

roce

dure

s an

d ev

iden

ce a

vaila

ble

from

an

inte

rnal

con

trol e

valu

atio

n an

d re

sults

from

ana

lytic

al re

view

pro

cedu

res.

Pril

ikom

odr

eđiv

anja

oče

kiva

ne p

ogrje

ške

u od

ređe

noj

popu

laci

ji, re

vizo

r tre

ba u

zeti

u ob

zir r

azin

e po

grje

šaka

iz

pr

etho

dnih

re

vizi

ja,

prom

jene

u

proc

edur

ama

orga

niza

cije

, dok

aze

koji

potk

rjepl

juju

ocj

enu

inte

rnih

ko

ntro

la te

rezu

ltate

pos

tupa

ka a

nalit

ičko

g pr

egle

da.

annu

al a

udit

plan

godi

šnji

plan

revi

zije

The

audi

t co

mm

ittee

sho

uld

have

the

fin

al a

utho

rity

to

revi

ew a

nd a

ppro

ve t

he a

nnua

l aud

it pl

an a

nd a

ll m

ajor

ch

ange

s to

the

plan

.

Rev

izijs

ko

vije

će

treba

im

ati

zadn

ju

riječ

pr

iliko

m

preg

leda

i o

dobr

enja

god

išnj

eg p

lana

rev

izije

i s

vih

važn

ijih

izm

jena

toga

pla

na.

annu

al fi

nanc

ial s

tate

men

tgo

dišn

je fi

nanc

ijsko

izvj

ešće

The

exte

rnal

aud

itors

ord

inar

y ex

amin

atio

n is

des

igne

d to

ob

tain

suf

ficie

nt e

vide

ntia

l mat

ter t

o su

ppor

t an

opin

ion

on

the

over

all f

airn

ess

of th

e an

nual

fina

ncia

l sta

tem

ents

.

Uob

ičaj

eni

post

upci

pro

vjer

e va

njsk

e re

vizi

je s

luže

za

prik

uplja

nje

doka

znog

mat

erija

la k

oji ć

e po

tkrij

epiti

m

išlje

nja

o op

ćem

st

anju

to

čnos

ti go

dišn

jeg

finan

cijs

kog

izvj

ešća

.

303

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

annu

al re

port

godi

šnje

izvj

ešće

The

targ

et a

udie

nces

for

the

ann

ual

repo

rt ar

e se

nior

ex

ecut

ives

and

boa

rd m

embe

rs.

God

išnj

a iz

vješ

ća n

amije

njen

a su

viso

kom

ruko

vods

tvu

i čla

novi

ma

upra

ve.

appl

icat

ion

leve

l ris

ksap

likac

ijski

rizi

ci

App

licat

ion

cont

rols

to a

ddre

ss th

e ap

plic

atio

n le

vel r

isks

m

ay b

e in

the

form

of c

ompu

teriz

ed c

ontro

ls b

uilt

into

the

syst

em, m

anua

lly p

erfo

rmed

con

trols

, or a

com

bina

tion

of

both

.

Apl

ikac

ijske

kon

trole

koj

e se

odn

ose

na a

plik

acijs

ke

rizik

e m

ogu

biti

u ob

liku

raču

naln

ih k

ontro

la u

građ

enih

u

sust

av, r

učno

oba

vlje

nih

kont

rola

ili k

ombi

naci

je o

bje

vrst

e ko

ntro

la.

appl

icat

ion

syst

em re

view

preg

led;

revi

zija

apl

ikac

ijsko

g su

stav

a

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

proc

edur

es n

eces

sary

for a

com

preh

ensi

ve a

ssur

ance

or

cons

ultin

g en

gage

men

t re

late

d to

an

appl

icat

ion

syst

em

revi

ew, b

ut s

impl

y a

reco

mm

ende

d co

re s

et o

f hig

h le

vel

audi

tor

resp

onsi

bilit

ies

to

com

plem

ent

deta

iled

audi

t pl

anni

ng e

fforts

.

Ova

j N

aput

ak n

e sa

drži

sve

pos

tupk

e po

trebn

e za

sv

eobu

hvat

ne a

ngaž

man

e s

izra

žava

njem

uvj

eren

ja

ili a

ngaž

man

e sa

vjet

ništ

va z

a re

vizi

ju a

plik

acijs

kog

sust

ava,

već

sam

o op

ćeni

to n

avod

i zad

užen

ja re

vizo

ra

u sm

islu

dop

une

deta

ljnog

pla

na re

vizi

je.

asse

ssm

ent

vred

nova

nje;

ocj

enjiv

anje

; ocj

ena

An

opin

ion

may

incl

ude

an o

vera

ll as

sess

men

t of c

ontro

ls

or a

rea

unde

r rev

iew

or m

ay b

e lim

ited

to s

peci

fic c

ontro

ls

or a

spec

ts o

f th

e en

gage

men

t. Th

e ta

rget

aud

ienc

es

for

the

annu

al r

epor

t ar

e se

nior

exe

cutiv

es a

nd b

oard

m

embe

rs.

Miš

ljenj

e re

vizo

ra m

ože

uklju

čiva

ti opć

u oc

jenu

kont

rola

ili

pod

ručj

a po

d re

vizi

jom

, ili

mož

e bi

ti og

rani

čeno

na

poje

dine

kon

trole

ili

aspe

kte

anga

žman

a. G

odiš

nja

izvj

ešća

na

mije

njen

a su

vi

soko

m

ruko

vods

tvu

i čl

anov

ima

upra

ve.

asse

ssm

ent o

f con

trol

ocje

na k

ontro

laTh

e A

uditi

ng G

uide

line

on P

lann

ing

the

IS A

udit

stat

es

that

the

audi

tor s

houl

d pe

rform

a p

relim

inar

y as

sess

men

t of

con

trol o

ver t

he fu

nctio

n be

ing

audi

ted.

Sm

jern

ice

za p

lani

ranj

e re

vizi

je in

form

acijs

kih

sust

ava

navo

de

da

revi

zor

treba

pr

oves

ti uv

odnu

oc

jenu

ko

ntro

la fu

nkci

je p

od re

vizi

jom

.

asse

ssm

ent o

f ris

koc

jena

rizi

kaTh

e in

tern

al a

udit

activ

ity s

aud

it pl

an s

houl

d be

des

igne

d ba

sed

on a

n as

sess

men

t of r

isk

and

expo

sure

s th

at m

ay

affe

ct th

e or

gani

zatio

n.

Pla

n re

vizi

je

djel

atno

sti

inte

rne

revi

zije

tre

ba

se

zasn

ivat

i na

ocj

eni

rizik

a i

izlo

ženo

sti

rizic

ima

koji

mog

u ut

jeca

ti na

org

aniz

aciju

.

asse

tsim

ovin

aV

alua

tions

of

asse

ts s

uch

as l

and

and

build

ings

, w

orks

of

art,

pre

ciou

s ge

ms,

inve

stm

ents

, and

com

plex

fina

ncia

l in

stru

men

ts.

Pro

cjen

a im

ovin

e po

put

zem

ljišt

a i

nekr

etni

na,

umje

tnič

kih

djel

a,

drag

og

kam

enja

, in

vest

icija

i

slož

enih

fina

ncijs

kih

inst

rum

enat

a.

304

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

assi

gnm

ent

zada

tak

Whe

n th

e C

AE

int

ends

to

use

and

rely

on

the

wor

k of

an

out

side

ser

vice

pro

vide

r, th

e C

AE

sho

uld

asse

ss t

he

com

pete

ncy,

inde

pend

ence

, and

obj

ectiv

ity o

f the

out

side

se

rvic

e pr

ovid

er a

s it

rela

tes

to th

e pa

rticu

lar

assi

gnm

ent

to b

e pe

rform

ed.

Pril

ikom

oda

bira

van

jski

h pr

užat

elja

usl

uge,

gla

vni

revi

zor

mor

a oc

ijeni

ti nj

ihov

u st

ručn

ost,

neza

visn

ost i

ob

jekt

ivno

st u

sve

zi s

poj

edin

im z

adat

kom

.

assu

ranc

e u

slug

e pr

užan

ja u

vjer

enja

Ass

uran

ce a

nd c

onsu

lting

are

not

mut

ually

exc

lusi

ve

and

do n

ot p

recl

ude

othe

r au

ditin

g se

rvic

es s

uch

as

inve

stig

atio

ns a

nd n

on-a

uditi

ng ro

les.

Usl

uge

pruž

anja

uv

jere

nja

i sa

vjet

ništ

va

nisu

m

eđus

obno

isk

ljuči

ve t

e ne

pre

dsta

vlja

ju p

repr

eku

obav

ljanj

u dr

ugih

us

luga

po

put

istra

žite

ljstv

a i

nere

vizi

jski

h ul

oga.

assu

ranc

e en

gage

men

tan

gažm

an p

ruža

nja

uvje

renj

a;

anga

žman

s iz

raža

vanj

em

uvje

renj

a

Con

sulti

ng

serv

ices

m

ay

enha

nce

the

audi

tor

s

unde

rsta

ndin

g of

bus

ines

s pr

oces

ses

or is

sues

rela

ted

to

an a

ssur

ance

eng

agem

ent a

nd d

o no

t nec

essa

rily

impa

ir th

e au

dito

r s

or th

e in

tern

al a

udit

activ

ity s

obj

ectiv

ity.

Sav

jetn

ička

ulo

ga r

eviz

ora

mož

e po

boljš

ati

njeg

ovo

razu

mije

vanj

e po

slov

nih

proc

esa

ili

prob

lem

a po

veza

nih

s an

gažm

anim

a pr

užan

ja u

vjer

enja

, te

ne

pred

stav

ljaju

nu

žno

prep

reku

ob

jekt

ivno

sti

inte

rne

revi

zije

.

assu

ranc

e se

rvic

esus

luge

pru

žanj

a uv

jere

nja

atte

st (f

unct

ion)

potv

rditi

; pos

vjed

očiti

; jam

čiti;

pr

užiti

uvj

eren

je

The

elem

ents

ar

e co

re

beca

use

they

su

ppor

t th

e fu

ndam

enta

l va

lue

prop

ositi

on

of

audi

t, na

mel

y,

the

prin

cipl

e th

at a

n ob

ject

ive

third

par

ty i

s at

test

ing

to (

or

prov

idin

g as

sura

nce

as to

) th

e cr

edib

ility

of m

anag

emen

t s

asse

rtion

s.

Ovo

su

kl

jučn

i el

emen

ti je

r po

drža

vaju

te

mel

jnu

pret

post

avku

zn

ačaj

nost

i ul

oge

revi

zije

, tj.

na

čelo

sv

jedo

čenj

a (il

i uv

jere

nja)

tre

će

osob

e o

vjer

odos

tojn

osti

tvrd

nji u

prav

e.

atte

stat

ion

potv

rda;

svj

edoč

enje

; jam

stvo

; uv

jere

nje

The

elem

ents

ar

e co

re

beca

use

they

su

ppor

t th

e fu

ndam

enta

l va

lue

prop

ositi

on

of

audi

t, na

mel

y,

the

prin

cipl

e th

at a

n ob

ject

ive

third

par

ty i

s at

test

ing

to (

or

prov

idin

g as

sura

nce

as to

) th

e cr

edib

ility

of m

anag

emen

t s

asse

rtion

s.

Ovo

su

kl

jučn

i el

emen

ti je

r po

drža

vaju

te

mel

jnu

pret

post

avku

zn

ačaj

nost

i ul

oge

revi

zije

, tj.

na

čelo

sv

jedo

čenj

a (il

i uv

jere

nja)

tre

će

osob

e o

vjer

odos

tojn

osti

tvrd

nji u

prav

e.

Attr

ibut

e an

d P

erfo

rman

ce

Sta

ndar

dsO

pisn

i sta

ndar

di i

Sta

ndar

di

učin

kovi

tost

i

The

inte

rnal

aud

itor i

s gu

ided

by

The

IIA s

Cod

e of

Eth

ics

and

the

Attr

ibut

e an

d P

erfo

rman

ce S

tand

ards

of

the

Inte

rnat

iona

l S

tand

ards

for

the

Pro

fess

iona

l P

ract

ice

of

Inte

rnal

Aud

iting

(Sta

ndar

ds).

Inte

rni

revi

zori

osla

njaj

u se

na

sm

jern

ice

Etič

kog

kode

ksa

IIA,

te

Opi

snih

st

anda

rda

i S

tand

arda

uč

inko

vito

sti k

oji s

u di

o M

eđun

arod

nih

stan

dard

a za

pr

ofes

iona

lnu

prak

su in

tern

e re

vizi

je (S

tand

ardi

).

305

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

audi

t act

iviti

esdj

elat

nost

revi

zije

; akt

ivno

sti

revi

zije

Rec

eive

com

mun

icat

ions

from

the

CA

E o

n th

e re

sults

of

the

inte

rnal

aud

it ac

tiviti

es o

r ot

her

mat

ters

that

the

CA

E

dete

rmin

es a

re n

eces

sary

, inc

ludi

ng p

rivat

e m

eetin

gs w

ith

the

CA

E w

ithou

t man

agem

ent p

rese

nt.

Prv

enst

vo p

riopć

enja

gla

vnog

rev

izor

a o

rezu

ltatim

a dj

elat

nost

i inte

rne

revi

zije

ili d

rugi

m te

mam

a ko

je g

lavn

i re

vizo

r sm

atra

po

trebn

ima,

uk

ljuču

jući

za

tvor

ene

sast

anke

s

glav

nim

re

vizo

rom

be

z na

zočn

osti

ruko

vods

tva.

audi

t app

roac

hre

vizi

jski

pris

tup

Info

rmat

ion

shou

ld b

e ob

tain

ed,

such

as

hist

ory

of t

he

firm

, siz

e of

the

firm

, res

ourc

es a

vaila

ble,

firm

phi

loso

phy

and

audi

t ap

proa

ch,

spec

ial e

xper

tise,

loca

l or

serv

icin

g of

fice

that

wou

ld h

andl

e th

e en

gage

men

t, re

late

d in

dust

ry

expe

rienc

e, a

nd b

iogr

aphi

es o

f ke

y te

am m

embe

rs t

hat

wou

ld b

e as

sign

ed to

the

enga

gem

ent.

Pot

rebn

o je

prib

aviti

pod

atke

, ka

o št

o su

pov

ijest

po

duze

ća,

velič

ina

podu

zeća

, do

stup

ni

resu

rsi,

filoz

ofija

pod

uzeć

a, p

ristu

p re

vizi

ji, p

oseb

no s

tručn

o zn

anje

, lo

kaln

i ili

se

rvis

ni

ured

ko

ji bi

pr

euze

o an

gažm

an, r

elev

antn

o is

kust

vo u

odr

eđen

oj d

jela

tnos

ti te

bio

graf

ije k

ljučn

ih č

lano

va a

ngaž

irano

g tim

a.

audi

t ass

ignm

ent

revi

zijs

ki z

adat

akA

ll in

tern

al a

udit

assi

gnm

ents

, w

heth

er p

erfo

rmed

by

or

for

the

inte

rnal

aud

it ac

tivity

, re

mai

n th

e re

spon

sibi

lity

of

the

CA

E.

Svi

revi

zijs

ki z

adat

ci in

tern

e re

vizi

je, b

ilo d

a se

pro

vode

od

stra

ne il

i za

koris

t dje

latn

osti

inte

rne

revi

zije

, ost

aju

u dj

elok

rugu

zad

užen

ja g

lavn

og in

tern

og re

vizo

ra.

audi

t cha

rter

revi

zijs

ka p

ovel

jaTh

e na

ture

of c

onsu

lting

ser

vice

s sh

ould

be

defin

ed in

the

audi

t cha

rter.

Prir

oda

uslu

ga s

avje

tniš

tva

treba

biti

def

inira

na u

re

vizi

jsko

j pov

elji.

audi

t com

mitt

eere

vizi

jsko

vije

će

The

boar

d (o

r au

dit

com

mitt

ee)

shou

ld e

mpo

wer

the

in

tern

al a

udit

activ

ity to

per

form

add

ition

al s

ervi

ces

whe

re

they

do

not r

epre

sent

a c

onfli

ct o

f int

eres

t or d

etra

ct fr

om

its o

blig

atio

ns to

the

com

mitt

ee.

Upr

avni

odb

or (

ili r

eviz

ijsko

vije

će)

treba

ju o

vlas

titi

djel

atno

st

inte

rne

revi

zije

za

ob

avlja

nje

doda

tnih

us

luga

, uko

liko

one

ne p

reds

tavl

jaju

suk

ob in

tere

sa il

i za

nem

ariv

anje

zad

užen

ja re

vizi

jsko

g vi

jeća

.

audi

t com

mitt

ee c

harte

rpo

velja

revi

zijs

kog

vije

ćaTh

e au

dit a

ctiv

ity c

harte

r and

the

audi

t com

mitt

ee c

harte

r m

ay a

lso

cont

ain

guid

ance

rela

ted

to re

porti

ng in

form

atio

n ou

tsid

e th

e or

gani

zatio

n.

Pov

elja

dje

latn

osti

revi

zije

i po

velja

rev

izijs

kog

vije

ća

mog

u ta

kođe

r sa

drža

vati

smje

rnic

e o

izvj

ešći

vanj

u iz

van

orga

niza

cije

.

Aud

it C

omm

ittee

s an

d C

ombi

ned

Cod

e G

uida

nce

Rev

izijs

ka v

ijeća

i sm

jern

ice

za

prov

edbu

Kom

bini

rano

g ko

deks

a

This

ris

k is

rai

sed

in t

he J

anua

ry 2

003

Sm

ith R

epor

t on

Aud

it C

omm

ittee

s an

d C

ombi

ned

Cod

e G

uida

nce,

ap

poin

ted

by t

he F

inan

cial

Rep

ortin

g C

ounc

il, a

nd i

s ad

dres

sed

in g

uida

nce

publ

ishe

d by

IC

AE

W (

Inst

itute

of

Cha

rtere

d A

ccou

ntan

ts i

n E

ngla

nd a

nd W

ales

), am

ong

othe

rs.

Ova

j riz

ik j

e, i

zmeđ

u os

talo

g, p

repo

znat

u s

iječn

ju

2003

., u

Sm

ithov

om iz

vješ

ću p

od n

aziv

om “R

eviz

ijska

vi

jeća

i sm

jern

ice

za p

rove

dbu

Kom

bini

rano

g ko

deks

a”

Vije

ća z

a fin

anci

jsko

izvj

ešći

vanj

e, t

e u

smje

rnic

ama

Inst

ituta

Ovl

ašte

nih

raču

novo

đa E

ngle

ske

i Wal

esa)

.

306

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

audi

t con

clus

ions

zakl

jučc

i rev

izije

Doc

umen

tatio

n sh

ould

incl

ude

the

audi

t con

clus

ions

.D

okum

enta

cija

mor

a sa

drža

vati

zakl

jučk

e re

vizi

je.

audi

t cov

erag

ere

vizi

jska

pok

riven

ost

The

inte

rnal

aud

it act

ivity

s ri

sk-b

ased

pla

n of

eng

agem

ents

m

ay in

corp

orat

e an

d re

ly o

n co

nsul

ting

enga

gem

ents

, to

the

exte

nt d

eem

ed a

ppro

pria

te, t

o pr

ovid

e ne

cess

ary

audi

t co

vera

ge to

the

orga

niza

tion.

Pla

n an

gažm

ana

djel

atno

sti

inte

rne

revi

zije

koj

i se

te

mel

ji na

riz

iku,

mož

e sa

drža

vati

i za

sniv

ati

se n

a an

gažm

anim

a sa

vjet

ništ

va, d

o on

og s

tupn

ja d

o ko

jeg

se s

mat

ra d

a je

to

potre

bno,

kak

o bi

se

osig

ural

a po

trebn

a re

vizi

jska

pok

riven

ost z

a or

gani

zaci

ju.

to a

udit

e-co

mm

erce

act

iviti

espr

oves

ti re

vizi

ju a

ktiv

nost

i e-

trgov

ine

The

deta

ils o

f the

aud

it pr

ogra

m u

sed

to a

udit

e-co

mm

erce

ac

tiviti

es in

spe

cific

org

aniz

atio

ns w

ill v

ary

depe

ndin

g on

in

dust

ry, c

ount

ry, a

nd le

gal a

nd b

usin

ess

mod

els.

Poj

edin

osti

prog

ram

a re

vizi

je

aktiv

nost

i e-

trgov

ine

u po

jedi

nim

org

aniz

acija

ma

razl

ikov

at ć

e se

ovi

sno

o dj

elat

nost

i, ze

mlji

te

zako

nski

m

i m

odel

ima

posl

ovan

ja.

audi

t eng

agem

ent

revi

zijs

ki a

ngaž

man

Thes

e fa

cts

shou

ld b

e cl

early

sta

ted

whe

n co

mm

unic

atin

g th

e re

sults

of

an a

udit

enga

gem

ent

rela

ting

to a

n ar

ea

whe

re a

n au

dito

r had

ope

ratin

g re

spon

sibi

litie

s.

Ove

čin

jeni

ce t

reba

ju b

iti j

asno

nav

eden

e pr

iliko

m

obja

vljiv

anja

re

zulta

ta

odre

đeno

g re

vizi

jsko

g an

gažm

ana

koji

se o

dnos

i na

podr

učje

na

koje

m je

od

ređe

ni re

vizo

r im

ao o

pera

tivna

zad

užen

ja.

audi

t eng

agem

ent r

esul

tsre

zulta

ti re

vizi

jsko

g an

gažm

ana

This

impa

irmen

t sho

uld b

e con

side

red w

hen c

omm

unic

atin

g au

dit e

ngag

emen

t res

ults

.

Pril

ikom

pr

iopć

avan

ja

rezu

ltata

re

vizi

jsko

g an

gažm

ana,

pot

rebn

o je

uze

ti u

obzi

r m

oguć

nost

sm

anje

ne o

bjek

tivno

sti r

eviz

ora.

audi

t evi

denc

ere

vizi

jski

dok

az

CA

ATs

may

pro

duce

a l

arge

pro

porti

on o

f th

e au

dit

evid

ence

dev

elop

ed o

n au

dits

and

, as

a re

sult,

the

Aud

itor

shou

ld c

aref

ully

pla

n fo

r and

exh

ibit

due

prof

essi

onal

car

e in

the

use

of C

AA

Ts.

Vel

iki

dio

doka

za

revi

zijs

kog

post

upka

st

vara

se

po

moć

u ra

čuna

lnih

re

vizi

jski

h te

hnik

a (C

AA

T),

te

stog

a re

vizo

r mor

a pr

istu

pati

plan

iranj

u i k

oriš

tenj

u tih

te

hnik

a uz

naj

veću

duž

nu p

rofe

sion

alnu

poz

orno

st.

audi

t fun

ctio

nsre

vizi

jske

funk

cije

The

maj

ority

of

envi

ronm

enta

l au

dit

func

tions

rep

ort

to

thei

r or

gani

zatio

n s

envi

ronm

enta

l com

pone

nt o

r ge

nera

l co

unse

l, no

t to

the

CA

E.

Već

ina

funk

cija

za

revi

ziju

sus

tava

zaš

tite

okol

iša

odgo

vorn

a je

odj

elu

orga

niza

cije

za

zašt

itu o

koliš

a ili

ge

nera

lnom

vije

ću, a

ne

glav

nom

inte

rnom

revi

zoru

.

audi

t man

ual

priru

čnik

za

revi

ziju

Form

al a

dmin

istra

tive

and

tech

nica

l au

dit

man

uals

may

no

t be

need

ed b

y al

l int

erna

l aud

iting

ent

ities

.S

lužb

eni a

dmin

istra

tivni

i te

hnič

ki p

riruč

nici

za

revi

ziju

m

ožda

nis

u po

trebn

i svi

m ti

jelim

a in

tern

e re

vizi

je.

audi

t obj

ectiv

esci

ljevi

revi

zije

; rev

izijs

ki c

iljev

iA

udit

obje

ctiv

es f

or a

n e-

com

mer

ce e

ngag

emen

t m

ay

incl

ude:

evi

denc

e of

e-c

omm

erce

tran

sact

ions

.R

eviz

ijski

cilj

evi z

a an

gažm

an re

vizi

je e

-trgo

vine

mog

u uk

ljuči

vati

doka

z o

trans

akci

jam

a e-

trgov

ine.

307

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

audi

t of o

utso

urce

d IS

act

iviti

esre

vizi

ja e

kste

rnal

izira

nih

aktiv

nost

i in

form

acijs

ke te

hnol

ogije

Nat

ure

of th

is P

ract

ice

Adv

isor

y: In

tern

al a

udito

rs s

houl

d co

nsid

er t

he f

ollo

win

g su

gges

tions

whe

n pe

rform

ing

an

audi

t of o

utso

urce

d IS

act

iviti

es.

Prir

oda

ovog

N

aput

ka

za

prak

su

inte

rne

revi

zije

: in

tern

i rev

izor

i tre

baju

uze

ti u

obzi

r slje

deće

prij

edlo

ge

prili

kom

oba

vlja

nja

posl

ova

revi

zije

eks

tern

aliz

irani

h ak

tivno

sti i

nfor

mac

ijske

tehn

olog

ije.

audi

t of t

he fi

nanc

ial s

tate

men

tsre

vizi

ja fi

nanc

ijski

h iz

vješ

ća

This

Pra

ctic

e A

dvis

ory

is p

artic

ular

ly w

ell s

uite

d fo

r us

e in

acq

uisi

tion

of e

xter

nal a

udit

serv

ices

for

aud

its o

f th

e fin

anci

al s

tate

men

ts, b

ut it

may

als

o be

use

ful i

n ob

tain

ing

exte

rnal

aud

it se

rvic

es fo

r oth

er ty

pes

of e

ngag

emen

ts.

Ova

j N

aput

ak z

a pr

aksu

int

erne

rev

izije

nar

očito

je

koris

tan

pri

naru

čiva

nju

uslu

ga v

anjs

ke r

eviz

ije z

a re

vizi

ju f

inan

cijs

kih

izvj

ešća

, al

i tak

ođer

mož

e bi

ti od

ko

risti

u pr

ibav

ljanj

u re

vizi

jski

h us

luga

za

drug

e tip

ove

anga

žman

a.

audi

t org

aniz

atio

nsre

vizi

jske

org

aniz

acije

The

purp

ose

of

this

P

ract

ice

Adv

isor

y is

to

pr

ovid

e gu

idan

ce

to

inte

rnal

au

dit

orga

niza

tions

on

ris

k an

d in

depe

nden

ce i

ssue

s re

late

d to

env

ironm

enta

l au

ditin

g ac

tiviti

es. I

nter

nal a

udito

rs s

houl

d be

ale

rt to

the

pote

ntia

l ris

ks t

hat

may

res

ult

from

the

org

aniz

atio

nal

plac

emen

t an

d re

porti

ng re

latio

nshi

ps o

f env

ironm

enta

l aud

itors

.

Nam

jera

ovo

g N

aput

ka z

a pr

aksu

inte

rne

revi

zije

je

pruž

anje

sm

jern

ica

orga

niza

cija

ma

inte

rne

revi

zije

za

pita

nja

rizik

a i n

ezav

isno

sti p

ovez

anih

s r

eviz

ijom

su

stav

a za

štite

ok

oliš

ta.

Inte

rni

revi

zori

mor

aju

spre

mno

uo

čava

ti m

oguć

e riz

ike

koji

potje

ču

od

orga

niza

cijs

kog

polo

žaja

i lin

ija o

dgov

orno

sti r

eviz

ora

zašt

ite o

koliš

a.

audi

t pla

npl

an re

vizi

je

The

inte

rnal

aud

it fu

nctio

n sh

ould

be

free

to a

udit

and

repo

rt on

any

act

ivity

that

als

o re

ports

to it

s ad

min

istra

tive

head

if

it de

ems

that

cov

erag

e ap

prop

riate

for

its

aud

it pl

an.

Funk

cija

in

tern

e re

vizi

je

treba

pr

ovod

iti

revi

ziju

i

izvj

ešći

vati

o sv

akoj

akt

ivno

sti

koja

se

nala

zi u

ist

oj

adm

inis

trativ

noj l

iniji

odg

ovor

nost

i, uk

olik

o sm

atra

da

ona

prip

ada

u nj

ihov

pla

n re

vizi

je.

audi

t pro

cedu

re re

vizi

jski

pos

tupa

kA

lso,

aud

it pr

oced

ures

alo

ne, e

ven

whe

n ca

rrie

d ou

t with

du

e pr

ofes

sion

al c

are,

do

not g

uara

ntee

that

frau

d w

ill b

e de

tect

ed.

Isto

tako

, sam

i pos

tupc

i rev

izije

, čak

i ka

da s

e pr

ovod

e uz

naj

veću

duž

nu p

rofe

sion

alnu

poz

orno

st, n

e ja

mče

ot

kriv

anje

prij

evar

e.

audi

t pro

cess

revi

zijs

ki p

roce

s

The

CA

E s

houl

d id

entif

y ke

y pe

rform

ance

mea

sure

men

t ca

tego

ries

such

as

st

akeh

olde

r sa

tisfa

ctio

n,

audi

t pr

oces

ses,

and

inn

ovat

ion

and

capa

bilit

ies

of i

nter

nal

audi

t.

Gla

vni

revi

zor

treba

pr

epoz

nati

klju

čne

kate

gorij

e m

jere

nja

učin

kovi

tost

i, ka

o št

o su

za

dovo

ljstv

o no

site

lja in

tere

sa,

revi

zijs

ki p

roce

si,

te in

ovat

ivno

st i

spos

obno

st in

tern

e re

vizi

je.

audi

t pro

fess

iona

lre

vizo

rB

e pe

rform

ed b

y C

ertif

ied

Inte

rnal

Aud

itors

(C

IAs)

or

othe

r co

mpe

tent

aud

it pr

ofes

sion

als,

cur

rent

ly a

ssig

ned

else

whe

re in

the

orga

niza

tion.

Pov

rem

eno

inte

rno

vred

nova

nje

prov

ode

ovla

šten

i in

tern

i rev

izor

i ili d

rugi

kom

pete

ntni

revi

zijs

ki s

tručn

jaci

, ko

ji u

tijek

u po

stup

ka im

aju

drug

a za

duže

nja

unut

ar

orga

niza

cije

.

308

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

audi

t pro

gram

revi

zijs

ki p

rogr

am

Aud

itors

sh

ould

de

sign

ad

ditio

nal

step

s in

ro

utin

e S

tand

ardi

zed

enga

gem

ent

wor

king

pa

pers

su

ch

as

ques

tionn

aire

s an

d au

dit

prog

ram

s m

ay

impr

ove

the

effic

ienc

y of

an

enga

gem

ent a

nd fa

cilit

ate

the

dele

gatio

n of

eng

agem

ent w

ork.

Sta

ndar

dizi

rani

rad

ni s

pisi

ang

ažm

ana,

kao

što

su

upitn

ici i

pro

gram

i rev

izije

, mog

u po

veća

ti uč

inko

vito

st

anga

žman

a i o

lakš

ati d

eleg

aciju

pos

lova

ang

ažm

ana.

audi

t rec

omm

enda

tions

revi

zijs

ke p

repo

ruke

Aud

it re

com

men

datio

ns s

houl

d be

dire

cted

at

the

risk

man

agem

ent o

r pol

icie

s, a

s w

ell a

s th

e de

taile

d pa

ram

eter

s th

emse

lves

.

Pre

poru

ke r

eviz

ije tr

ebaj

u se

usm

jerit

i na

upra

vlja

nje

rizik

om il

i pol

itike

, kao

i na

det

aljn

e pa

ram

etre

.

audi

t rep

ort

revi

zijs

ko iz

vješ

ćeD

iscl

osur

e in

aud

it re

ports

whe

re o

bjec

tivity

was

impa

ired

by p

artic

ipat

ion

in a

prio

r non

-aud

it (c

onsu

lting

) pro

ject

.

Pod

aci

prio

pćen

i u

revi

zijs

kim

iz

vješ

ćim

a gd

je

je

obje

ktiv

nost

nar

ušen

a ra

di s

udje

lova

nja

u pr

etho

dnom

ne

revi

zijs

kom

(sav

jetn

ičko

m) p

roje

ktu.

audi

t res

ourc

esre

vizi

jski

resu

rsi

Inte

rnal

aud

itors

sho

uld

keep

exe

cutiv

e m

anag

emen

t and

th

e au

dit c

omm

ittee

info

rmed

abo

ut h

ow a

udit

reso

urce

s ar

e be

ing

depl

oyed

.

Inte

rni r

eviz

ori t

reba

ju iz

vješ

ćiva

ti iz

vršn

o ru

kovo

dstv

o i r

eviz

ijsko

vije

će o

rasp

odje

li re

vizi

jski

h re

surs

a.

audi

t res

ults

revi

zijs

ki re

zulta

tiTh

e po

tent

ial i

mpa

irmen

t to

obje

ctiv

ity o

r ind

epen

denc

e or

th

e ap

pear

ance

of s

uch

impa

irmen

t sho

uld

be c

onsi

dere

d w

hen

repo

rting

aud

it re

sults

.

Pril

ikom

obj

ave

rezu

ltata

rev

izije

pot

rebn

o je

uze

ti u

obzi

r m

oguć

nost

ili

poja

vu p

repr

eke

obje

ktiv

nost

i ili

ne

zavi

snos

ti.

audi

t ris

kre

vizi

jski

rizi

kA

dmin

iste

r th

e ge

nera

l op

erat

ion

of

the

syst

em

for

eval

uatio

n of

aud

it ris

k an

d lo

ng-r

ange

pla

nnin

g.U

prav

ljati

opći

m d

jelo

vanj

em s

usta

va z

a pr

ocje

nu

revi

zijs

kog

rizik

a i d

ugor

očno

g pl

anira

nja.

audi

t rol

e re

vizi

jska

ulo

ga

Whe

n ac

cept

ing

and

perfo

rmin

g co

nsul

ting

wor

k, a

udito

rs

shou

ld d

ocum

ent

thei

r ra

tiona

le f

or p

rovi

ding

con

sulti

ng

serv

ices

and

dem

onst

rate

thei

r jud

gmen

t tha

t the

ser

vice

s do

not

vio

late

the

core

ele

men

ts o

f the

aud

it ro

le.

Pril

ikom

prih

vaća

nja

i oba

vlja

nja

savj

etni

čkih

pos

lova

, re

vizo

ri m

oraj

u do

kum

entir

ati

razl

oge

za p

ruža

nje

savj

etni

čkih

usl

uga

te p

otvr

diti

da t

akve

usl

uge

ne

naru

šava

ju b

itne

elem

ente

njih

ove

revi

zijs

ke u

loge

.

audi

t sam

ple

revi

zijs

ki u

zora

k

Whe

n us

ing

stat

istic

al o

r non

-sta

tistic

al s

ampl

ing

met

hods

, th

e au

dito

r sh

ould

des

ign

and

sele

ct a

n au

dit

sam

ple,

pe

rform

aud

it pr

oced

ures

and

eva

luat

e sa

mpl

e re

sults

to

obt

ain

suffi

cien

t, re

liabl

e, r

elev

ant

and

usef

ul a

udit

evid

ence

.

U

prim

jeni

st

atis

tički

h i

nest

atis

tički

h m

etod

a uz

orko

vanj

a, r

eviz

or m

ora

odab

rati

revi

zijs

ki u

zora

k,

obav

iti

revi

zijs

ke

post

upke

i

ocije

niti

rezu

ltate

uz

orko

vanj

a u

cilju

dob

ivan

ja d

osta

tnog

, pou

zdan

og,

rele

vant

nog

i kor

isno

g re

vizi

jsko

g do

kaza

.

309

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

audi

t sam

plin

gre

vizi

jsko

uzo

rkov

anje

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

proc

edur

es n

eces

sary

to

perfo

rm a

udit

sam

plin

g, b

ut

is s

impl

y a

reco

mm

ende

d co

re s

et o

f hi

gh le

vel a

udito

r re

spon

sibi

litie

s to

com

plem

ent

deta

iled

audi

t pl

anni

ng

effo

rts.

Ova

j N

aput

ak n

e sa

drži

sve

pos

tupk

e po

trebn

e za

re

vizi

jsko

uzo

rkov

anje

, ve

ć sa

mo

opće

nito

nav

odi

zadu

ženj

a re

vizo

ra u

sm

islu

dop

une

deta

ljnog

pla

na

revi

zije

.

audi

t sam

plin

g te

chni

ques

tehn

ike

ili m

etod

e re

vizi

jsko

g uz

orko

vanj

aIn

tern

al a

udito

rs s

houl

d co

nsid

er th

e fo

llow

ing

sugg

estio

ns

whe

n ut

ilizi

ng A

udit

Sam

plin

g te

chni

ques

for t

estin

g.

Inte

rni r

eviz

ori t

reba

ju u

zeti

u ob

zir s

ljede

će p

rijed

loge

pr

iliko

m k

oriš

tenj

a te

hnik

a re

vizi

jsko

g uz

orko

vanj

a za

is

pitiv

anje

.

audi

t sco

pedj

elok

rug

revi

zije

In p

lann

ing

the

audi

t, th

e au

dito

r sh

ould

iden

tify

whi

ch o

f th

e to

tal p

opul

atio

n of

per

vasi

ve IS

con

trols

hav

e an

effe

ct

on th

e sp

ecifi

c au

dit o

bjec

tives

, and

sho

uld

plan

to in

clud

e th

ese

in th

e au

dit s

cope

.

Pril

ikom

pla

nira

nja

revi

zije

, re

vizo

r tre

ba p

repo

znat

i ko

je o

d uk

upne

pop

ulac

ije s

veob

uhva

tnih

kon

trola

in

form

acijs

ke t

ehno

logi

je i

maj

u ut

jeca

j na

spe

cifič

ne

cilje

ve re

vizi

je, t

e ih

ukl

juči

ti u

djel

okru

g re

vizi

je.

audi

t ser

vice

s re

vizi

jske

usl

uge

Ass

uran

ce a

nd c

onsu

lting

are

not

mut

ually

exc

lusi

ve

and

do n

ot p

recl

ude

othe

r au

ditin

g se

rvic

es s

uch

as

inve

stig

atio

ns a

nd n

on-a

uditi

ng ro

les.

Usl

uge

pruž

anja

uv

jere

nja

i sa

vjet

ništ

va

nisu

m

eđus

obno

isk

ljuči

ve,

te n

e pr

edst

avlja

ju p

repr

eku

obav

ljanj

u dr

ugih

us

luga

po

put

istra

žite

ljstv

a i

nere

vizi

jski

h ul

oga.

audi

t sof

twar

epr

ogra

msk

a op

rem

a za

revi

ziju

CA

ATs

incl

ude

man

y ty

pes

of to

ols

and

tech

niqu

es, s

uch

as g

ener

aliz

ed a

udit

softw

are,

util

ity s

oftw

are,

tes

t da

ta,

appl

icat

ion

softw

are

traci

ng

and

map

ping

, an

d au

dit

expe

rt sy

stem

s.

Rač

unal

ne r

eviz

ijske

teh

nike

ukl

juču

ju m

nogo

broj

ne

tipov

e al

ata

i te

hnik

a, k

ao š

to s

u op

ća p

rogr

amsk

a op

rem

a za

revi

ziju

, usl

užna

pro

gram

ska

opre

ma,

test

ni

poda

ci, t

rasi

ranj

e i m

apira

nje

aplik

acijs

ke p

rogr

amsk

e op

rem

e, te

sus

tavi

za

revi

zijs

ke s

tručn

jake

.

audi

t sta

ff d

jela

tnic

i rev

izije

Con

tinui

ng P

rofe

ssio

nal D

evel

opm

ent i

s es

sent

ial t

o he

lp

ensu

re a

n au

dit s

taff

rem

ains

pro

ficie

nt.

Sta

lno

stru

čno

usav

ršav

anje

i r

azvo

j od

tem

eljn

e su

važ

nost

i za

pom

oć o

sobl

ju u

odr

žava

nju

razi

ne

stru

čnog

zna

nja.

audi

t sta

ndar

dsre

vizi

jski

sta

ndar

di

This

Pra

ctic

e A

dvis

ory

prov

ides

gui

danc

e fo

r gov

ernm

ent

audi

t or

gani

zatio

ns c

ondu

ctin

g w

ork

in c

ompl

ianc

e w

ith

IIA S

tand

ards

, bu

t w

hose

loc

al g

over

nanc

e ru

les

audi

t st

anda

rds,

pol

icie

s an

d/or

leg

isla

tion

mor

e st

rictly

lim

it no

n-as

sura

nce

(con

sulti

ng) s

ervi

ces.

Ova

j N

aput

ak

za

prak

su

inte

rne

revi

zije

pr

uža

smje

rnic

e or

gani

zaci

jam

a dr

žavn

e re

vizi

je

koje

pr

ovod

e ak

tivno

sti

sukl

adno

sa

Sta

ndar

dim

a IIA

-e,

ali č

iji lo

kaln

i sus

tav

upra

vlja

nja,

rev

izijs

ki s

tand

ardi

, po

litik

e i/i

li za

koni

stro

žije

ogr

anič

avaj

u sa

vjet

ničk

e us

luge

.

310

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

audi

t tec

hniq

ues

revi

zijs

ki p

ostu

pci

The

CA

E r

etai

ns t

he p

rero

gativ

e of

set

ting

the

audi

t te

chni

ques

and

the

right

of r

epor

ting

to s

enio

r exe

cutiv

es

and

audi

t co

mm

ittee

mem

bers

whe

n th

e na

ture

and

m

ater

ialit

y of

re

sults

po

se

sign

ifica

nt

risks

to

th

e or

gani

zatio

n.

Gla

vni r

eviz

or z

adrž

ava

prav

o od

ređi

vanj

a re

vizi

jski

h po

stup

aka,

te

pr

avo

na

izvj

ešći

vanj

e vi

soko

g ru

kovo

dstv

a i

član

ova

upra

ve,

u sl

učaj

evim

a ka

da

priro

da i

mat

erija

lnos

t rez

ulta

ta p

reds

tavl

jaju

zna

čajn

i riz

ik z

a or

gani

zaci

ju.

audi

t tes

ting

prov

jera

revi

zije

The

chie

f au

dit

exec

utiv

e sh

ould

mon

itor

the

obje

ctiv

ity

of t

he i

nter

nal

audi

t st

aff,

take

ste

ps t

o m

anag

e th

at

obje

ctiv

ity

(if

nece

ssar

y),

and

augm

ent

inte

rnal

au

dit

test

ing

to e

nsur

e th

at b

ias

or p

artia

lity

do n

ot a

ffect

the

fin

al ju

dgm

ents

of t

he s

taff.

Gla

vni r

eviz

or tr

eba

nadg

leda

ti ob

jekt

ivno

st d

jela

tnik

a in

tern

e re

vizi

je,

podu

zeti

kora

ke u

cilj

u re

gula

cije

te

obje

ktiv

nost

i (a

ko j

e po

trebn

o) t

e po

jača

ti pr

ovje

re

inte

rne

revi

zije

, ka

ko

bi

osig

urao

da

se

ko

načn

i za

klju

čci r

eviz

ije n

e za

sniv

aju

na p

ristra

nost

i.

audi

t tra

ilza

pis

o pr

oved

enim

akt

ivno

stim

a

Tool

s th

at m

anag

emen

t sh

ould

hav

e in

pla

ce:

firew

alls

(m

ultil

evel

to

parti

tion

e-co

mm

erce

and

oth

er a

ctiv

ities

), pa

ssw

ord

man

agem

ent,

inde

pend

ent

reco

ncili

atio

n, a

nd

audi

t tra

ils.

Ala

ti ko

je r

ukov

odst

vo t

reba

osi

gura

ti: z

aštit

ni z

idov

i za

rač

unal

nu o

prem

u (n

a vi

še r

azin

a, k

ako

bi s

e od

vojil

e ak

tivno

sti

e-trg

ovin

e od

ost

alih

akt

ivno

sti),

su

stav

upr

avlja

nja

lozi

nkam

a, n

ezav

isno

usk

lađi

vanj

e i z

apis

o p

rove

deni

m a

ktiv

nost

ima.

audi

t wor

k sc

hedu

les

radn

i ras

pore

d re

vizi

jeA

udit

wor

k sc

hedu

les

shou

ld b

e ba

sed

on,

amon

g ot

her

fact

ors,

an

asse

ssm

ent o

f ris

k pr

iorit

y an

d ex

posu

re.

Rad

ni r

aspo

red

revi

zije

tre

ba s

e, i

zmeđ

u os

talo

g,

zasn

ivat

i na

ocje

ni p

riorit

eta

i izl

ožen

osti

rizik

u.

audi

t wor

king

pap

ers

radn

i spi

si re

vizi

jeIt

is c

omm

on p

ract

ice

for i

nter

nal a

nd e

xter

nal a

udito

rs to

gr

ant a

cces

s to

eac

h ot

her’s

aud

it w

orki

ng p

aper

s.U

pr

aksi

in

tern

e i

vanj

ske

revi

zije

uo

biča

jeno

je

m

eđus

obno

odo

brav

anje

pris

tupa

radn

im s

pisi

ma.

audi

tee

obje

kt re

vizi

jeA

rran

gem

ents

with

the

Aud

itee

Dog

ovor

s o

bjek

tom

revi

zije

.

audi

tor

revi

zor

Con

sulti

ng

serv

ices

m

ay

enha

nce

the

audi

tor’s

un

ders

tand

ing

of b

usin

ess

proc

esse

s or

iss

ues

rela

ted

to a

n as

sura

nce

enga

gem

ent

and

do n

ot n

eces

saril

y im

pair

the

audi

tor

s o

r th

e in

tern

al a

udit

activ

ity

s ob

ject

ivity

.[Pra

ctic

e_A

dvis

orie

s_co

mpl

ete_

6_12

_200

7_E

NG

.doc

]

Sav

jetn

ička

ulo

ga r

eviz

ora

mož

e po

boljš

ati

njeg

ovo

razu

mije

vanj

e po

slov

nih

proc

esa

ili

prob

lem

a po

veza

nih

s an

gažm

anim

a pr

užan

ja

uvje

renj

a,

te

ne p

reds

tavl

ja n

užno

pre

prek

u ob

jekt

ivno

sti

inte

rne

revi

zije

.

auto

mat

ed ri

sk a

naly

sis

auto

mat

ska

anal

iza

rizik

aTh

is te

chni

que

incl

udes

aut

omat

ed r

isk

anal

ysis

, sys

tem

so

ftwar

e, a

nd c

ontro

l obj

ectiv

es s

oftw

are

pack

ages

.

Ova

te

hnik

a uk

ljuču

je

auto

mat

sku

anal

izu

rizik

a,

prog

ram

sku

opre

mu

sust

ava

te p

rogr

amsk

e pa

kete

ko

ntro

lnih

cilj

eva.

311

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

BE

AC

Odb

or z

a ce

rtifik

aciju

revi

zora

za

štite

oko

liša,

zdr

avlja

i si

gurn

osti

na ra

du (B

EA

C)

The

Boa

rd o

f E

nviro

nmen

tal,

Hea

lth,

& S

afet

y A

udito

r C

ertif

icat

ions

(B

EA

C)

as w

ell a

s Th

e IIA

pub

lish

prac

tice

stan

dard

s an

d et

hica

l cod

es.

Odb

or z

a ce

rtifik

aciju

revi

zora

zaš

tite

okol

iša,

zdr

avlja

i s

igur

nost

i na

radu

(B

EA

C)

i IIA

obj

avlju

ju s

tand

arde

za

pra

ksu

i etič

ke k

odek

se.

benc

hmar

king

benc

hmar

king

; usp

oređ

ivan

jeB

ench

mar

king

IS p

erfo

rman

ce a

gain

st o

ther

org

aniz

atio

ns

or p

ast p

erio

dsU

spor

eđiv

anje

uč

inka

in

form

acijs

ke

tehn

olog

ije

s dr

ugim

org

aniz

acija

ma

ili p

reth

odni

m ra

zdob

ljim

a.

best

pra

ctic

esna

jbol

ja p

raks

a; n

ajbo

lji (p

oslo

vni)

obič

aji

Thes

e re

view

s ca

n ha

ve c

onsi

dera

ble

valu

e to

the

CA

E

and

othe

r mem

bers

of t

he in

tern

al a

udit

activ

ity, e

spec

ially

w

hen

benc

hmar

king

and

bes

t pra

ctic

es a

re s

hare

d.

Ove

pro

vjer

e m

ogu

biti

od v

elik

og z

nača

ja z

a gl

avno

g re

vizo

ra i

dru

ge č

lano

ve d

jela

tnos

ti in

tern

e re

vizi

je,

naro

čito

u

sluč

ajev

ima

zaje

dnič

kih

stan

dard

a za

be

nchm

arki

ng i

najb

olju

pra

ksu.

Boa

rdup

rava

; Upr

avni

odb

or

But

, an

ap

prop

riate

de

scrip

tion

of

thes

e ty

pes

of

enga

gem

ents

an

d th

eir

sign

ifica

nt

reco

mm

enda

tions

sh

ould

be

com

mun

icat

ed a

nd is

ess

entia

l in

satis

fyin

g th

e in

tern

al a

udito

r s

resp

onsi

bilit

y in

com

plyi

ng w

ith S

tand

ard

2060

, Rep

ortin

g to

the

Boa

rd a

nd S

enio

r Man

agem

ent.

Međ

utim

, po

trebn

o je

obj

aviti

toč

an o

pis

ovih

tip

ova

anga

žman

a i n

jihov

ih z

nača

jnih

pre

poru

ka, k

oji j

e od

kl

jučn

e va

žnos

ti u

ostv

ariv

anju

zad

užen

ja i

nter

nih

revi

zora

za

su

klad

nost

sa

S

tand

ardo

m

2060

-

Izvj

ešći

vanj

e za

upr

avu

i vis

oko

ruko

vods

tvo.

Boa

rd a

nd S

enio

r Man

agem

ent

upra

va i

viso

ko ru

kovo

dstv

o

But

, an

ap

prop

riate

de

scrip

tion

of

thes

e ty

pes

of

enga

gem

ents

an

d th

eir

sign

ifica

nt

reco

mm

enda

tions

sh

ould

be

com

mun

icat

ed a

nd is

ess

entia

l in

satis

fyin

g th

e in

tern

al a

udito

r s

resp

onsi

bilit

y in

com

plyi

ng w

ith S

tand

ard

2060

, Rep

ortin

g to

the

Boa

rd a

nd S

enio

r Man

agem

ent.

Međ

utim

, po

trebn

o je

obj

aviti

toč

an o

pis

ovih

tip

ova

anga

žman

a i n

jihov

ih z

nača

jnih

pre

poru

ka, k

oji j

e od

kl

jučn

e va

žnos

ti u

ostv

ariv

anju

zad

užen

ja i

nter

nih

revi

zora

za

su

klad

nost

sa

S

tand

ardo

m

2060

-

Izvj

ešći

vanj

e za

upr

avu

i vis

oko

ruko

vods

tvo.

boar

d m

embe

rsčl

anov

i upr

ave

Con

sulti

ng e

ngag

emen

ts c

anno

t be

rend

ered

in a

man

ner

that

mas

ks in

form

atio

n th

at in

the

chie

f aud

it ex

ecut

ive

s

(CA

E) j

udgm

ent s

houl

d be

pre

sent

ed to

sen

ior e

xecu

tives

an

d bo

ard

mem

bers

.

Sav

jetn

ički

ang

ažm

ani n

e sm

iju o

mog

ućiti

prik

rivan

je

poda

taka

koj

i po

miš

ljenj

u gl

avno

g re

vizo

ra m

oraj

u bi

ti ob

javl

jeni

vis

okom

ruko

vods

tvu

i čla

novi

ma

upra

ve.

boar

d of

dire

ctor

sU

prav

ni o

dbor

In s

ome

situ

atio

ns t

he a

udito

r s

con

cern

s sh

ould

als

o be

com

mun

icat

ed t

o ex

ecut

ive

man

agem

ent,

the

audi

t co

mm

ittee

, and

/or t

he b

oard

of d

irect

ors.

U n

ekim

situ

acija

ma,

rev

izor

i tak

ođer

tre

baju

izra

ziti

zabr

inut

ost i

zvrš

nom

ruk

ovod

stvu

i re

vizi

jsko

m v

ijeću

i/i

li U

prav

nom

odb

oru.

312

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

Boa

rd o

f Env

ironm

enta

l Aud

itor

Cer

tific

atio

n

Odb

or z

a ce

rtifik

aciju

revi

zora

za

štite

oko

liša;

zdr

avlja

i si

gurn

osti

na ra

du (B

EA

C)

The

Boa

rd o

f E

nviro

nmen

tal,

Hea

lth,

& S

afet

y A

udito

r C

ertif

icat

ions

(B

EA

C)

as w

ell a

s Th

e IIA

pub

lish

prac

tice

stan

dard

s an

d et

hica

l cod

es.

Odb

or z

a ce

rtifik

aciju

revi

zora

zaš

tite

okol

iša,

zdr

avlja

i s

igur

nost

i na

radu

(B

EA

C)

i IIA

obj

avlju

ju s

tand

arde

za

pra

ksu

i etič

ke k

odek

se.

book

keep

ing

knjig

ovod

stvo

Tem

pora

ry

serv

ices

su

ch

as

recr

uitin

g,

book

keep

ing,

te

chno

logy

ser

vice

s.P

rivre

men

e us

luge

pop

ut z

apoš

ljava

nja,

knj

igov

odst

va

te te

hnol

oški

h us

luga

.

budg

etpr

orač

un

Act

ivity

rep

orts

sho

uld

high

light

sig

nific

ant

enga

gem

ent

obse

rvat

ions

and

rec

omm

enda

tions

and

sho

uld

info

rm

seni

or m

anag

emen

t an

d th

e bo

ard

of a

ny s

igni

fican

t de

viat

ions

fro

m a

ppro

ved

enga

gem

ent

wor

k sc

hedu

les,

st

affin

g pl

ans,

and

fina

ncia

l bud

gets

, and

the

reas

ons

for

them

.

Izvj

ešća

o a

ktiv

nost

ima

treba

ju n

agla

siti

znač

ajne

pr

imje

dbe

i pre

poru

ke a

ngaž

man

a, te

izvj

estit

i vis

oko

ruko

vods

tvo

i upr

avu

o sv

akom

zna

čajn

om o

dstu

panj

u od

odo

bren

ih r

adni

h ra

spor

eda

anga

žman

a, p

lano

va

zapo

šlja

vanj

a i f

inan

cijs

kih

pror

ačun

a, t

e ra

zlog

e za

ta

ods

tupa

nja.

busi

ness

nor

ms

posl

ovni

sta

ndar

di

An

orga

niza

tion

uses

var

ious

leg

al f

orm

s, s

truct

ures

, st

rate

gies

, an

d pr

oced

ures

to

ensu

re t

hat

it sa

tisfie

s th

e ge

nera

lly a

ccep

ted

busi

ness

nor

ms,

eth

ical

pre

cept

s, a

nd

soci

al e

xpec

tatio

ns o

f soc

iety

.

Org

aniz

acije

kor

iste

raz

ličite

pra

vne

oblik

e, s

trukt

ure,

st

rate

gije

i

proc

edur

e u

cilju

za

dovo

ljava

nja

opće

prih

vaće

nih

posl

ovni

h st

anda

rda,

etič

kih

prop

isa

i dru

štve

nih

oček

ivan

ja.

busi

ness

uni

tpo

slov

na je

dini

caIn

a la

rge

com

pany

with

sev

eral

bus

ines

s un

its, c

ompl

ianc

e re

spon

sibi

litie

s sh

ould

be

assi

gned

to h

igh-

leve

l per

sonn

el

in e

ach

unit.

U v

elik

oj o

rgan

izac

iji s

nek

olik

o po

slov

nih

jedi

nica

, za

duže

nja

za p

oštiv

anje

zak

onsk

e re

gula

tive

mor

aju

se d

odije

liti v

isok

om ru

kovo

dstv

u u

svak

oj je

dini

ci.

CA

ATs

raču

naln

e re

vizi

jske

tehn

ike

(CA

AT)

CA

ATs

incl

ude

man

y ty

pes

of to

ols

and

tech

niqu

es, s

uch

as g

ener

aliz

ed a

udit

softw

are,

util

ity s

oftw

are,

tes

t da

ta,

appl

icat

ion

softw

are

traci

ng

and

map

ping

, an

d au

dit

expe

rt sy

stem

s.

Rač

unal

ne r

eviz

ijske

teh

nike

ukl

juču

ju m

nogo

broj

ne

tipov

e al

ata

i te

hnik

a, k

ao š

to s

u op

ća p

rogr

amsk

a op

rem

a za

revi

ziju

, usl

užna

pro

gram

ska

opre

ma,

test

ni

poda

ci, t

rasi

ranj

e i m

apira

nje

aplik

acijs

ke p

rogr

amsk

e op

rem

e, te

sus

tavi

za

revi

zijs

ke s

tručn

jake

.

CA

ATs

pro

cess

Pro

ces

upor

abe

raču

naln

ih

revi

zijs

kih

tehn

ika

(CA

AT)

The

step

-by-

step

CA

ATs

pro

cess

sho

uld

be s

uffic

ient

ly

docu

men

ted

to p

rovi

de a

dequ

ate

audi

t evi

denc

e.

Det

aljn

i pro

ces

upor

abe

raču

naln

ih re

vizi

jski

h te

hnik

a tre

ba b

iti d

ovol

jno

doku

men

tiran

za

pruž

anje

dos

tatn

og

revi

zijs

kog

doka

za.

CA

Egl

avni

inte

rni r

eviz

orTh

e ch

ief a

udit

exec

utiv

e (C

AE

) sh

ould

see

k ap

prov

al o

f th

e ch

arte

r by

seni

or m

anag

emen

t as

wel

l as

acce

ptan

ce

by th

e bo

ard.

Gla

vni

revi

zor

treba

po

traži

ti od

obre

nje

viso

kog

ruko

vods

tva

i upr

ave

za u

svaj

anje

pov

elje

.

313

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

CA

Es

glav

ni in

tern

i rev

izor

iTh

e ch

ief a

udit

exec

utiv

e (C

AE

) sh

ould

see

k ap

prov

al o

f th

e ch

arte

r by

seni

or m

anag

emen

t as

wel

l as

acce

ptan

ce

by th

e bo

ard.

Gla

vni

revi

zor

treba

po

traži

ti od

obre

nje

viso

kog

ruko

vods

tva

i upr

ave

za u

svaj

anje

pov

elje

.

Can

adia

n In

stitu

te o

f Cha

rtere

d A

ccou

ntan

tsK

anad

ski i

nstit

ut o

vlaš

teni

h ko

ntro

lora

This

pap

er i

s av

aila

ble

on t

he I

IA W

eb s

ite a

nd w

as

spon

sore

d by

The

IIA

Res

earc

h Fo

unda

tion,

the

Can

adia

n In

stitu

te o

f C

harte

red

Acc

ount

ants

, an

d th

e In

stitu

te o

f C

orpo

rate

Dire

ctor

s.

Ova

j dok

umen

t mož

e se

nać

i na

web

stra

nici

IIA

-e, a

po

krov

itelji

su

mu

Zakl

ada

za is

traži

vanj

e IIA

, Kan

adsk

i in

stitu

t ov

lašt

enih

kon

trolo

ra i

Ins

titut

kor

pora

tivni

h di

rekt

ora.

cash

flow

novč

ani t

ok; o

ptic

aj s

reds

tava

; pr

otok

kap

itala

; tije

k go

tovi

ne

Bas

ed o

n hi

s or

her

kno

wle

dge,

the

finan

cial

sta

tem

ents

, an

d ot

her f

inan

cial

info

rmat

ion

incl

uded

in th

e re

port,

fairl

y pr

esen

t in

all

mat

eria

l re

spec

ts t

he f

inan

cial

con

ditio

n,

resu

lts o

f op

erat

ions

and

cas

h flo

ws

of t

he is

suer

as

of,

and

for,

the

perio

ds p

rese

nted

in th

e re

port.

Na

tem

elju

njih

ovih

saz

nanj

a, fi

nanc

ijski

h iz

vješ

ća, t

e dr

ugih

fina

ncijs

kih

poda

taka

u re

vizi

jsko

m iz

vješ

ću, n

a ko

rekt

an n

ačin

pre

dsta

viti

u sv

im z

nača

jnim

asp

ektim

a fin

anci

jsko

sta

nje,

rezu

ltate

akt

ivno

sti i

pro

tok

kapi

tala

iz

dava

telja

, u ti

jeku

i za

razd

oblje

koj

e je

pre

dsta

vlje

no

u iz

vješ

ću.

cell

sam

ple

stan

ični

uzo

rak

For s

elec

tion

on q

uant

itativ

e fie

lds,

com

mon

met

hods

are

: R

ando

m S

ampl

e (s

tatis

tical

sam

ple

on m

onet

ary

units

), Fi

xed

Inte

rval

Sam

ple

(sta

tistic

al s

ampl

e us

ing

a fix

ed

inte

rval

), C

ell

Sam

ple

(sta

tistic

al s

ampl

e us

ing

rand

om

sele

ctio

n in

an

inte

rval

).

Uob

ičaj

ene

met

ode

za o

dabi

r kv

antit

ativ

nih

polja

su:

sl

učaj

ni u

zora

k (s

tatis

tički

uzo

rak

novč

anih

jedi

nica

), uz

orak

fiks

nog

inte

rval

a (s

tatis

tički

uzo

rak

koji

koris

ti fik

sni i

nter

val),

sta

ničn

i uzo

rak

(sta

tistič

ki u

zora

k ko

ji ko

risti

sluč

ajan

oda

bir u

nuta

r nek

og in

terv

ala)

.

CE

O g

lavn

i izv

ršni

dire

ktor

Acc

ordi

ngly

, whi

le T

he II

A b

elie

ves

that

ther

e is

an

idea

l re

porti

ng s

truct

ure

with

fun

ctio

nal

repo

rting

to

the

audi

t co

mm

ittee

and

adm

inis

trativ

e re

porti

ng to

the

CE

O, o

ther

re

latio

nshi

ps c

an b

e ef

fect

ive

if th

ere

are

clea

r dis

tinct

ions

be

twee

n th

e fu

nctio

nal a

nd a

dmin

istra

tive

repo

rting

line

s an

d ap

prop

riate

act

iviti

es a

re in

eac

h lin

e to

ens

ure

that

th

e in

depe

nden

ce a

nd s

cope

of a

ctiv

ities

are

mai

ntai

ned.

Pre

ma

tom

e,

iako

IIA

sm

atra

da

po

stoj

i id

ealn

a or

gani

zaci

jska

st

rukt

ura

s fu

nkci

onal

nim

lin

ijam

a od

govo

rnos

ti re

vizi

jsko

m

vije

ću

i ad

min

istra

tivni

m

linija

ma

odgo

vorn

osti

gene

raln

om d

irekt

oru,

i dr

ugač

iji

odno

si

mog

u do

bro

funk

cion

irati,

uk

olik

o po

stoj

e ja

sne

razl

ike

izm

eđu

funk

cion

alni

h i

adm

inis

trativ

nih

linija

odg

ovor

nost

i, i a

ko z

a sv

aku

liniju

pos

toje

mje

re

koje

osi

gura

vaju

odr

žava

nje

neza

visn

osti

i dje

lokr

uga

aktiv

nost

i.

Cer

tifie

d In

tern

al A

udito

rsov

lašt

eni i

nter

ni re

vizo

ri (C

IA)

Be

perfo

rmed

by

Cer

tifie

d In

tern

al A

udito

rs (

CIA

s) o

r ot

her

com

pete

nt a

udit

prof

essi

onal

s, c

urre

ntly

ass

igne

d el

sew

here

in th

e or

gani

zatio

n.

Pov

rem

eno

inte

rno

vred

nova

nje

prov

ode

ovla

šten

i in

tern

i rev

izor

i ili d

rugi

kom

pete

ntni

revi

zijs

ki s

tručn

jaci

, ko

ji u

tijek

u po

stup

ka im

aju

drug

a za

duže

nja

unut

ar

orga

niza

cije

.

314

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

chai

n of

com

man

dlin

ija o

dgov

orno

sti

The

CA

E s

houl

d ev

alua

te t

he o

rgan

izat

iona

l pl

acem

ent

and

inde

pend

ence

of t

he e

nviro

nmen

tal a

udit

func

tion

to

ensu

re th

at s

igni

fican

t mat

ters

resu

lting

from

ser

ious

risk

s to

the

ente

rpris

e ar

e re

porte

d up

the

chai

n of

com

man

d to

th

e au

dit o

r oth

er c

omm

ittee

of t

he g

over

ning

boa

rd.

Gla

vni

revi

zor

treba

oci

jeni

ti or

gani

zaci

jski

pol

ožaj

i

neza

visn

ost

funk

cije

rev

izije

zaš

tite

okol

iša,

kak

o bi

osi

gura

o da

se

znač

ajna

pita

nja

u sv

ezi

tešk

ih

rizik

a za

pod

uzeć

e po

lini

ji od

govo

rnos

ti pr

iopć

avaj

u re

vizi

jsko

m il

i dru

gom

vije

ću U

prav

nog

odbo

ra.

char

ter

pove

lja

The

purp

ose,

aut

horit

y, a

nd r

espo

nsib

ility

of

the

inte

rnal

au

dit

activ

ity s

houl

d be

for

mal

ly d

efin

ed i

n a

char

ter,

cons

iste

nt

with

th

e S

tand

ards

, an

d ap

prov

ed

by

the

boar

d.

Svr

ha,

ovla

šten

ja

i za

duže

nja

djel

atno

sti

inte

rne

revi

zije

treb

aju

se s

lužb

eno

defin

irati

pute

m p

ovel

je, u

su

klad

nost

i sa

Sta

ndar

dim

a i u

z od

obre

nje

upra

ve.

Cha

rter O

ptio

n C

hapt

ers

ugov

orni

ogr

anci

(ute

mel

jeni

na

pove

ljam

a)

chat

room

s(In

tern

et) p

ričao

nice

Chi

ef A

udit

Exe

cutiv

egl

avni

inte

rni r

eviz

or

The

chie

f aud

it ex

ecut

ive

shou

ld d

evel

op a

nd m

aint

ain

a qu

ality

ass

uran

ce a

nd im

prov

emen

t pro

gram

that

cov

ers

all a

spec

ts o

f th

e in

tern

al a

udit

activ

ity a

nd c

ontin

uous

ly

mon

itors

its

effe

ctiv

enes

s.

Gla

vni

revi

zor

treba

ra

zviti

i

održ

avat

i pr

ogra

m

osig

uran

ja i

pob

oljš

anja

kva

litet

e ko

ji će

pok

riti

sve

aspe

kte

djel

atno

sti

inte

rne

revi

zije

, te

sta

lno

prat

iti

njeg

ovu

učin

kovi

tost

.

chie

f com

plia

nce

offic

erna

čeln

ik z

a po

štiv

anje

zak

onsk

e re

gula

tive

It is

not

eno

ugh

for

the

com

pany

to

crea

te t

he p

ositi

on

of c

hief

com

plia

nce

offic

er a

nd t

o se

lect

the

res

t of

the

co

mpl

ianc

e un

it.

Nije

do

voljn

o da

po

duze

će

otvo

ri ra

dno

mje

sto

nače

lnik

a za

poš

tivan

je z

akon

ske

regu

lativ

e i o

dabe

re

osta

lo o

sobl

je to

g od

jela

.

chie

f eth

ics

offic

erna

čeln

ik z

a et

ičko

pos

lova

nje

A g

row

ing

num

ber

of o

rgan

izat

ions

hav

e de

sign

ated

a

chie

f eth

ics

offic

er a

s co

unse

lor o

f exe

cutiv

es, m

anag

ers,

an

d ot

hers

.

Sve

već

i br

oj o

rgan

izac

ija i

ma

nače

lnik

a za

etič

ko

posl

ovan

je,

u ul

ozi

savj

etni

ka r

ukov

odst

vu i

dru

gim

dj

elat

nici

ma.

chie

f exe

cutiv

e of

ficer

gla

vni i

zvrš

ni d

irekt

orId

eally

, th

e C

AE

sho

uld

repo

rt fu

nctio

nally

to

the

boar

d an

d ad

min

istra

tivel

y to

the

chi

ef e

xecu

tive

offic

er o

f th

e or

gani

zatio

n.

U

idea

lnom

sl

učaj

u,

glav

ni

revi

zor

odgo

vora

n je

U

prav

nom

od

boru

po

fu

nkci

onal

noj

liniji

od

govo

rnos

ti, te

gen

eral

nom

dire

ktor

u or

gani

zaci

je p

o ad

min

istra

tivno

j lin

iji o

dgov

orno

sti.

chie

f fin

anci

al o

ffice

rgl

avni

fina

ncijs

ki d

irekt

orFo

r ex

ampl

e, s

ome

CA

Es

repo

rt ad

min

istra

tivel

y to

the

ch

ief

finan

cial

offi

cer,

who

is

also

res

pons

ible

for

the

or

gani

zatio

n s

acc

ount

ing

func

tions

.

Na

prim

jer,

neki

gl

avni

re

vizo

ri od

govo

rni

su

glav

nom

fin

anci

jsko

m d

irekt

oru

po a

dmin

istra

tivno

j lin

iji

odgo

vorn

osti,

ko

ji je

ta

kođe

r za

duže

n za

ra

čuno

vods

tven

e fu

nkci

je o

rgan

izac

ije.

315

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

CIA

sov

lašt

eni i

nter

ni re

vizo

ri (C

IA)

Per

iodi

c in

tern

al

asse

ssm

ents

m

ay

be

perfo

rmed

by

C

ertif

ied

Inte

rnal

A

udito

rs

(CIA

s)

or

othe

r co

mpe

tent

au

dit

prof

essi

onal

s, c

urre

ntly

ass

igne

d el

sew

here

in t

he

orga

niza

tion.

Pov

rem

eno

inte

rno

vred

nova

nje

prov

ode

ovla

šten

i in

tern

i rev

izor

i ili d

rugi

kom

pete

ntni

revi

zijs

ki s

tručn

jaci

, ko

ji u

tijek

u po

stup

ka im

aju

drug

a za

duže

nja

unut

ar

orga

niza

cije

.

CO

BIT

CO

BIT

(Kon

troln

i cilj

evi z

a up

ravl

janj

e in

form

acijs

kim

te

hnol

ogija

ma)

CO

BIT

’s

cont

rol

obje

ctiv

es

for

the

Pla

nnin

g an

d O

rgan

izat

ion

and

Mon

itorin

g do

mai

ns m

ay h

elp

the

IS

Aud

itor t

o id

entif

y re

leva

nt p

erva

sive

IS c

ontro

ls.

CO

BIT

kon

troln

i ci

ljevi

za

upra

vlja

nje

info

rmac

ijski

m

tehn

olog

ijam

a m

ogu

pom

oći r

eviz

orim

a in

form

acijs

kih

sust

ava

u pr

epoz

nava

nju

rele

vant

nih

sveo

buhv

atni

h ko

ntro

la in

form

acijs

kih

sust

ava.

CO

BIT

fram

ewor

kC

OB

IT o

kvir;

Okv

ir ko

ntro

lnih

ci

ljeva

za

upra

vlja

nje

info

rmac

ijski

m te

hnol

ogija

ma

In t

he C

OB

IT f

ram

ewor

k, d

etai

led

IS c

ontro

ls a

re t

he

cont

rols

ove

r the

acq

uisi

tion,

impl

emen

tatio

n, d

eliv

ery

and

supp

ort o

f IS

sys

tem

s an

d se

rvic

es.

U

CO

BIT

ok

viru

ko

ntro

lnih

ci

ljeva

za

up

ravl

janj

e in

form

acijs

kim

te

hnol

ogija

ma,

de

taljn

e ko

ntro

le

info

rmac

ijski

h su

stav

a uk

ljuču

ju

kont

role

na

bave

, pr

imje

ne,

prov

edbe

i po

dršk

e in

form

acijs

kih

sust

ava

i usl

uga.

CO

BIT

pro

cess

refe

renc

eoz

naka

pro

cesa

u C

OB

IT o

kviru

For

exam

ple,

effe

ctiv

e de

taile

d IS

con

trol

Acq

uire

and

M

aint

ain

App

licat

ion

Sof

twar

e (C

OB

IT p

roce

ss r

efer

ence

A

I2)

are

affe

cted

by

the

adeq

uacy

of

the

perv

asiv

e IS

co

ntro

ls o

ver p

roce

sses

.

Na

prim

jer,

učin

kovi

tost

det

aljn

e ko

ntro

le in

form

acijs

kih

sust

ava

- Nab

ava

i odr

žava

nje

aplik

acijs

ke p

rogr

amsk

e op

rem

e (o

znak

a pr

oces

a A

I2 u

CO

BIT

okv

iru) -

zav

isi

od a

dekv

atno

sti s

veob

uhva

tnih

kon

trola

info

rmac

ijski

h su

stav

a na

d pr

oces

ima.

code

of c

ondu

ctko

deks

pon

ašan

ja

Com

pani

es

mus

t es

tabl

ish

an

appr

opria

te

cont

rol

envi

ronm

ent

that

inc

lude

s: A

cod

e of

con

duct

, et

hics

po

licy,

or

fraud

pol

icy

to s

et t

he a

ppro

pria

te t

one

at t

he

top.

Pod

uzeć

a m

oraj

u ut

vrdi

ti od

gova

raju

će

kont

roln

o ok

ruže

nje

koje

ukl

juču

je:

kode

ks p

onaš

anja

, et

ičku

po

litik

u ili

pol

itiku

za

sprje

čava

nje

prije

vara

, u

cilju

od

ređi

vanj

a et

ičko

g oz

račj

a po

duze

ća o

d vr

ha p

rem

a dn

u.

Cod

e of

Eth

ics

Etič

ki k

odek

s

Thus

, in

the

perfo

rman

ce o

f all

serv

ices

the

inte

rnal

aud

itor

is g

uide

d by

The

IIA

’s C

ode

of E

thic

s an

d th

e A

ttrib

ute

and

Per

form

ance

Sta

ndar

ds o

f the

Inte

rnat

iona

l Sta

ndar

ds fo

r th

e P

rofe

ssio

nal P

ract

ice

of In

tern

al A

uditi

ng (S

tand

ards

).

Sto

ga, p

rilik

om o

bavl

janj

a sv

ih u

slug

a, in

tern

i rev

izor

i os

lanj

aju

se n

a sm

jern

ice

Etič

kog

kode

ksa

IIA-e

, te

O

pisn

ih s

tand

arda

i S

tand

arda

uči

nkov

itost

i ko

ji su

di

o M

eđun

arod

nih

stan

dard

a za

pro

fesi

onal

nu p

raks

u in

tern

e re

vizi

je (S

tand

ardi

).

316

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

com

mitt

eevi

jeće

;odb

or

The

follo

win

g lis

ts s

ugge

sted

top

ics

that

the

CA

E m

ay

cons

ider

in

supp

ortin

g th

e or

gani

zatio

n s

gove

rnan

ce

proc

ess

and

the

over

sigh

t res

pons

ibili

ties

of th

e go

vern

ing

boar

d an

d its

au

dit

com

mitt

ee

(or

othe

r de

sign

ated

co

mm

ittee

) to

ensu

re th

e re

liabi

lity

and

inte

grity

of f

inan

cial

re

ports

.

Slij

edi

popi

s pr

edlo

ženi

h te

ma

koje

gla

vni

revi

zor

mož

e uz

eti u

obz

ir pr

iliko

m p

ruža

nja

potp

ore

proc

esu

orga

niza

cijs

kog

upra

vlja

nja,

te n

adzo

rnim

zadu

ženj

ima

Upr

avno

g od

bora

i nj

egov

ih re

vizi

jski

h vi

jeća

(ili

drug

ih

imen

ovan

ih v

ijeća

), u

cilju

osi

gura

nja

pouz

dano

sti

i vj

erod

osto

jnos

ti fin

anci

jski

h iz

vješ

ća.

Com

mitt

ee o

f Spo

nsor

ing

Org

aniz

atio

nsK

omite

t za

spon

zorir

anje

or

gani

zaci

ja (C

OS

O)

The

IIA b

elie

ves

that

the

mos

t ef

fect

ive

inte

rnal

con

trol

guid

ance

ava

ilabl

e to

day

is t

he r

epor

t In

tern

al C

ontro

l In

tegr

ated

Fra

mew

ork,

pub

lishe

d in

199

2 an

d 19

94 b

y th

e C

omm

ittee

of

Spo

nsor

ing

Org

aniz

atio

ns (

CO

SO

) of

the

Tr

eadw

ay C

omm

issi

on.

IIA s

mat

ra d

a su

tren

utno

naj

pouz

dani

je s

mje

rnic

e za

in

tern

u re

vizi

ju s

adrž

ane

u iz

vješ

ću “

Inte

grira

ni o

kvir

inte

rnih

kon

trola

”, u

izda

nju

Kom

iteta

za

spon

zorir

anje

or

gani

zaci

ja (

CO

SO

) Tr

eadw

ay p

ovje

rens

tva

1992

. i

1994

.

com

mitt

ee o

f the

gov

erni

ng

boar

dvi

jeće

Upr

avno

g od

bora

Abo

ut o

ne-h

alf o

f the

env

ironm

enta

l aud

itors

sel

dom

mee

t w

ith a

com

mitt

ee o

f th

e go

vern

ing

boar

d an

d on

ly 4

0 pe

rcen

t hav

e so

me

cont

act w

ith th

e C

AE

.

Otp

rilik

e je

dna

polo

vica

re

vizo

ra

sust

ava

zašt

ite

okol

iša

rijet

ko s

e su

sreć

e s

vije

ćem

Upr

avno

g od

bora

, a

sam

o 40

% o

drža

va p

ovre

men

i ko

ntak

t s

glav

nim

re

vizo

rom

.

com

plia

nce

prid

ržav

anje

; pra

ćenj

e;

sukl

adno

st; p

oštiv

anje

Mon

itorin

g m

anag

emen

t s

com

plia

nce

with

th

e or

gani

zatio

n s

code

of c

ondu

ct a

nd e

nsur

ing

that

eth

ical

po

licie

s an

d ot

her

proc

edur

es p

rom

otin

g et

hica

l beh

avio

r ar

e be

ing

follo

wed

.

Pra

ćenj

e pr

idrž

avan

ja

kode

ksa

pona

šanj

a or

gani

zaci

je, t

e et

ički

h po

litik

a i d

rugi

h pr

oced

ura

koje

pr

omič

u et

ičko

pon

ašan

je.

com

preh

ensi

ve a

udit

sveo

buhv

atna

revi

zija

Ass

ist

the

CA

E a

nd a

udit

man

agem

ent

with

bud

getin

g an

d fin

anci

al a

dmin

istra

tion

for

the

inte

rnal

aud

it ac

tivity

. M

aint

ain

and

upda

te

the

com

preh

ensi

ve

audi

t ris

k un

iver

se,

incl

udin

g ga

ther

ing

and

inco

rpor

atin

g ne

w

info

rmat

ion

impa

ctin

g th

e un

iver

se; o

vers

eein

g th

e di

visi

on

of re

spon

sibi

litie

s am

ong

inte

rnal

aud

it, e

xter

nal a

udit,

and

ot

her e

valu

atio

n an

d in

vest

igat

ion

func

tions

.

Pru

žati

pom

oć g

lavn

om re

vizo

ru i

ruko

vods

tvu

revi

zije

u

upra

vlja

nju

pror

ačun

om i

finan

cija

ma

za d

jela

tnos

t in

tern

e re

vizi

je. O

drža

vati

i ažu

rirat

i uni

verz

um r

izik

a sv

eobu

hvat

ne r

eviz

ije,

uklju

čuju

ći p

rikup

ljanj

e no

vih

info

rmac

ija p

ovez

anih

s u

nive

rzum

om,

nadz

or n

ad

podj

elom

za

duže

nja

izm

eđu

djel

atno

sti

inte

rne

i va

njsk

e re

vizi

je

te

drug

ih

ocje

njiv

ački

h i

istra

žnih

fu

nkci

ja.

Com

pute

r Ass

iste

d A

udit

Tech

niqu

esra

čuna

lne

revi

zijs

ke te

hnik

e (C

AA

T)C

ompu

ter

Ass

iste

d A

udit

Tech

niqu

es

(CA

ATs

) ar

e im

porta

nt to

ols

for t

he a

udito

r in

perfo

rmin

g au

dits

.R

ačun

alne

rev

izijs

ke te

hnik

e (C

AA

T) v

ažno

su

oruđ

e za

revi

zore

u p

rovo

đenj

u re

vizi

je.

317

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

Com

pute

r Ass

iste

d A

udit

Tech

niqu

es (C

AA

Ts)

raču

naln

e re

vizi

jske

tehn

ike

(CA

AT)

Com

pute

r A

ssis

ted

Aud

it Te

chni

ques

(C

AA

Ts)

are

impo

rtant

to

ols

for

the

audi

tor

in

perfo

rmin

g au

dits

.[Pra

ctic

e_A

dvis

orie

s_co

mpl

ete_

6_12

_200

7_E

NG

.do

c]

Rač

unal

ne r

eviz

ijske

tehn

ike

(CA

AT)

važ

no s

u or

uđe

za re

vizo

re u

pro

vođe

nju

revi

zije

.

Com

pute

r Ass

iste

d A

udit

Tech

niqu

es.

raču

naln

e re

vizi

jske

tehn

ike

(CA

AT)

Com

pute

r A

ssis

ted

Aud

it Te

chni

ques

(C

AA

Ts)

are

impo

rtant

tool

s fo

r the

aud

itor i

n pe

rform

ing

audi

ts.

Rač

unal

ne r

eviz

ijske

tehn

ike

(CA

AT)

važ

no s

u or

uđe

za re

vizo

re u

pro

vođe

nju

revi

zije

.

com

pute

r-as

sist

ed a

udit

tech

niqu

esra

čuna

lne

revi

zijs

ke te

hnik

e (C

AA

T)

Det

aile

d tra

nsac

tion

reco

rds

may

onl

y be

ava

ilabl

e in

m

achi

ne-r

eada

ble

form

at r

equi

ring

the

audi

tor

to o

btai

n au

dit e

vide

nce

usin

g co

mpu

ter-

assi

sted

aud

it te

chni

ques

.

Det

aljn

i za

pisi

o t

rans

akci

jam

a m

ogu

biti

dost

upni

sa

mo

u st

rojn

o či

tljiv

om

form

atu,

št

o za

htije

va

koriš

tenj

e ra

čuna

lnih

rev

izijs

kih

tehn

ika

u pr

ibav

ljanj

u re

vizi

jsko

g do

kaza

.

com

pute

r-as

sist

ed a

udit

tool

sra

čuna

lno

revi

zijs

ko o

ruđe

Due

Pro

fess

iona

l Car

e In

exe

rcis

ing

due

prof

essi

onal

car

e th

e in

tern

al a

udito

r sh

ould

con

side

r th

e us

e of

com

pute

r-as

sist

ed a

udit

tool

s an

d ot

her d

ata

anal

ysis

tech

niqu

es.

U p

rimje

ni d

užne

pro

fesi

onal

ne p

ozor

nost

i, in

tern

i re

vizo

r tre

ba

uzet

i u

obzi

r ko

rište

nje

raču

naln

og

revi

zijs

kog

oruđ

a i d

rugi

h te

hnik

a an

aliz

e po

data

ka.

com

pute

rized

app

licat

ion

cont

rols

raču

naln

e ap

likac

ijske

kon

trole

In th

e ab

senc

e of

stro

ng g

ener

al IT

con

trols

, the

aud

itor

may

mak

e an

ass

essm

ent o

f the

effe

ct o

f thi

s w

eakn

ess

on th

e re

liabi

lity

of th

e co

mpu

teriz

ed a

pplic

atio

n co

ntro

ls.

U sl

učaj

u ne

dost

atka

uči

nkov

itih

kont

rola

info

rmac

ijski

h te

hnol

ogija

, re

vizo

r m

ože

proc

ijeni

ti uč

inak

to

g ne

dost

atka

na

pouz

dano

st r

ačun

alni

h ap

likac

ijski

h ko

ntro

la.

conf

lict o

f Int

eres

tsu

kob

inte

resa

cons

ultin

gsa

vjet

ništ

voA

ssur

ance

and

con

sulti

ng a

re n

ot m

utua

lly e

xclu

sive

an

d do

not

pre

clud

e ot

her

audi

ting

serv

ices

suc

h as

in

vest

igat

ions

and

non

-aud

iting

role

s.

Usl

uge

pruž

anja

uv

jere

nja

i sa

vjet

ništ

va

nisu

m

eđus

obno

isk

ljuči

ve,

te n

e pr

edst

avlja

ju p

repr

eku

obav

ljanj

u dr

ugih

us

luga

po

put

istra

žite

ljstv

a i

nere

vizi

jski

h ul

oga.

cons

ultin

g en

gage

men

t rec

ords

poda

ci s

avje

tnič

kog

anga

žman

a;

evid

enci

ja s

avje

tnič

kog

anga

žman

a

Aud

itors

are

enc

oura

ged

to a

dopt

app

ropr

iate

rec

ord

rete

ntio

n po

licie

s an

d ad

dres

s re

late

d is

sues

, su

ch a

s ow

ners

hip

of c

onsu

lting

eng

agem

ent r

ecor

ds, i

n or

der

to

prot

ect t

he o

rgan

izat

ion

adeq

uate

ly a

nd to

avo

id p

oten

tial

mis

unde

rsta

ndin

gs in

volv

ing

requ

ests

for t

hese

reco

rds.

Rev

izor

ima

se

savj

etuj

e us

vaja

nje

odgo

vara

jući

h po

litik

a po

hran

e po

data

ka i

pos

veći

vanj

e po

zorn

osti

pove

zani

m t

emam

a, k

ao š

to s

u vl

asni

štvo

pod

atak

a sa

vjet

ničk

og a

ngaž

man

a, u

cilj

u ad

ekva

tne

zašt

ite

orga

niza

cije

i i

zbje

gava

nja

mog

ućih

nes

pora

zum

a u

svez

i zah

tjeva

za

tim p

odac

ima.

318

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

cons

ultin

g en

gage

men

tssa

vjet

ničk

i ang

ažm

ani

Inte

rnal

aud

itors

are

rem

inde

d th

at t

he A

ttrib

ute

and

Per

form

ance

S

tand

ards

re

late

to

in

tern

al

audi

tors

pe

rform

ing

both

ass

uran

ce a

nd c

onsu

lting

eng

agem

ents

.

Inte

rni

revi

zori

treba

ju

se

pods

jetit

i na

to

da

se

O

pisn

i sta

ndar

di i

Sta

ndar

di u

čink

ovito

sti u

jedn

akoj

m

jeri

odno

se n

a an

gažm

ane

pruž

anja

uvj

eren

ja i

sa

vjet

ništ

va.

Con

sulti

ng Im

plem

enta

tion

Sta

ndar

dsS

tand

ardi

za

obav

ljanj

e us

luga

sa

vjet

ništ

vaTh

is

Pra

ctic

e A

dvis

ory

incl

udes

gu

idan

ce

rela

ted

to

mul

tiple

Con

sulti

ng Im

plem

enta

tion

Sta

ndar

ds.

Ova

j N

aput

ak z

a pr

aksu

int

erne

rev

izije

ukl

juču

je

smje

rnic

e u

svez

i viš

estru

kih

Sta

ndar

da z

a ob

avlja

nje

uslu

ga s

avje

tniš

tva.

cons

ultin

g se

rvic

essa

vjet

ničk

e us

luge

cont

inge

ncy

plan

plan

za

sluč

aj n

epre

dviđ

enih

ok

olno

sti

If ve

ndor

s pr

ovid

e ho

stin

g se

rvic

es, d

o th

ey h

ave

a te

sted

bu

sine

ss c

ontin

genc

y pl

an?

Uko

liko

pruž

atel

ji us

luga

pru

žaju

hos

ting

uslu

ge, i

maj

u li

pouz

dan

posl

ovni

pl

an

za

sluč

aj

nepr

edvi

đeni

h ok

olno

sti?

cont

inui

ng e

duca

tion

stal

no o

braz

ovan

je; s

taln

o st

ručn

o us

avrš

avan

jeC

ontin

uing

ed

ucat

ion

may

be

ob

tain

ed

thro

ugh

mem

bers

hip

and

parti

cipa

tion

in p

rofe

ssio

nal s

ocie

ties.

Sta

lno

stru

čno

usav

ršav

anje

mož

e se

pos

tići p

utem

čl

anst

va i

sudj

elov

anja

u s

tručn

im u

druž

enjim

a.

cont

rol

kont

rola

CO

BIT

de

fines

co

ntro

l as

th

e po

licie

s,

proc

edur

es,

prac

tices

an

d or

gani

zatio

nal

stru

ctur

es,

desi

gned

to

pr

ovid

e re

ason

able

ass

uran

ce th

at b

usin

ess

obje

ctiv

es w

ill

be a

chie

ved

and

that

und

esire

d ev

ents

will

be

prev

ente

d or

det

ecte

d an

d co

rrec

ted.

CO

BIT

def

inira

kon

trolu

kao

sus

tav

polit

ika,

pro

cedu

ra,

prak

se i o

rgan

izac

ijski

h st

rukt

ura,

koj

i slu

ži z

a pr

užan

je

razu

mno

g uv

jere

nja

o os

tvar

ivan

ju p

oslo

vnih

cilj

eva,

te

spr

ječa

vanj

u ili

otk

rivan

ju i

ispr

avlja

nju

nepo

željn

ih

doga

đaja

.

cont

rol e

nviro

nmen

tko

ntro

lno

okru

ženj

e; o

kruž

enje

su

stav

a ko

ntro

la

cont

rol p

roce

ss k

ontro

lni p

roce

s

cont

rol s

elf-a

sses

smen

t ko

ntro

lno

sam

ovre

dnov

anje

Con

trol

self-

asse

ssm

ent

(CS

A)

met

hodo

logy

ca

n be

us

ed b

y m

anag

ers

and

inte

rnal

aud

itors

for

ass

essi

ng

the

adeq

uacy

of t

he o

rgan

izat

ion

s ris

k m

anag

emen

t and

co

ntro

l pro

cess

es.

Ruk

ovod

stvo

i

inte

rni

revi

zori

mog

u ko

ristit

i m

etod

olog

iju k

ontro

lnog

sam

ovre

dnov

anja

(C

SA

) za

vr

edno

vanj

e ad

ekva

tnos

ti pr

oces

a up

ravl

janj

a riz

ikom

i k

ontro

la o

rgan

izac

ije.

cont

rol s

elf-a

sses

smen

t too

lsal

ati k

ontro

lnog

sam

ovre

dnov

anja

Con

trol

self-

asse

ssm

ent

(CS

A)

tool

s us

ed

by

man

agem

ent.

Oru

đe

kont

roln

og

sam

ovre

dnov

anja

ko

je

koris

ti ru

kovo

dstv

o.

corn

erst

one

tem

elj;

tem

eljn

i ele

men

t; no

site

lj

Sen

ior

man

agem

ent,

boar

ds

of

dire

ctor

s,

inte

rnal

au

dito

rs, a

nd e

xter

nal a

udito

rs a

re th

e co

rner

ston

es o

f the

fo

unda

tion

on w

hich

effe

ctiv

e or

gani

zatio

nal g

over

nanc

e is

bui

lt.

Vis

oko

ruko

vods

tvo,

Upr

avni

odb

or,

inte

rni

revi

zori

i va

njsk

i re

vizo

ri te

mel

jni

su

nosi

telji

uč

inko

vito

g or

gani

zaci

jsko

g up

ravl

janj

a.

319

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

corp

orat

e go

vern

ance

korp

orat

ivno

upr

avlja

nje

Rep

ortin

g sh

ould

als

o in

clud

e si

gnifi

cant

ris

k ex

posu

res

and

cont

rol

issu

es,

corp

orat

e go

vern

ance

iss

ues,

and

ot

her

mat

ters

nee

ded

or r

eque

sted

by

the

boar

d an

d se

nior

man

agem

ent.

Izvj

ešći

vanj

e ta

kođe

r tre

ba u

klju

čiva

ti pi

tanj

a zn

ačaj

ne

izlo

ženo

sti

rizik

u i

kont

rola

, pi

tanj

a ko

rpor

ativ

nog

upra

vlja

nja,

te

drug

e te

me

prem

a po

trebi

ili z

ahtje

vu

upra

ve i

viso

kog

ruko

vods

tva.

CO

SO

Kom

itet z

a sp

onzo

riran

je

orga

niza

cija

(CO

SO

)

The

IIA b

elie

ves

that

the

mos

t ef

fect

ive

inte

rnal

con

trol

guid

ance

ava

ilabl

e to

day

is t

he r

epor

t In

tern

al C

ontro

l In

tegr

ated

Fra

mew

ork,

pub

lishe

d in

199

2 an

d 19

94 b

y th

e C

omm

ittee

of

Spo

nsor

ing

Org

aniz

atio

ns (

CO

SO

) of

the

Tr

eadw

ay C

omm

issi

on.

IIA s

mat

ra d

a su

tren

utno

naj

pouz

dani

je s

mje

rnic

e za

in

tern

u re

vizi

ju s

adrž

ane

u iz

vješ

ću “

Inte

grira

ni o

kvir

inte

rnih

kon

trola

”, u

izda

nju

Kom

iteta

za

spon

zorir

anje

or

gani

zaci

ja (

CO

SO

) Tr

eadw

ay p

ovje

rens

tva

1992

. i

1994

.

CO

SO

con

trol f

ram

ewor

kC

OS

O k

ontro

lni o

kvir

The

follo

win

g ar

e so

me

cont

rol

elem

ents

of

a fra

ud

prev

entio

n pr

ogra

m p

rese

nted

with

in t

he C

OS

O c

ontro

l fra

mew

ork

as a

n ex

ampl

e.

Ovo

su

ne

ki

kont

roln

i el

emen

ti pr

ogra

ma

za

sprje

čava

nje

prije

vare

, pr

edst

avlje

ni u

okv

iru C

OS

O

kont

roln

og o

kvira

kao

prim

jer.

CO

SO

mod

elC

OS

O m

odel

Whi

le u

se o

f the

CO

SO

mod

el is

wid

ely

acce

pted

, it m

ay

be a

ppro

pria

te to

use

som

e ot

her r

ecog

nize

d an

d cr

edib

le

mod

el.

Iako

je

CO

SO

mod

el š

iroko

prih

vaće

n, m

ožda

je

potre

bno

koris

titi

neki

dru

gi p

rizna

ti i

vjer

odos

toja

n m

odel

.

CS

Ako

ntro

lno

sam

ovre

dnov

anje

(C

SA

)

Con

trol

self-

asse

ssm

ent

(CS

A)

met

hodo

logy

ca

n be

us

ed b

y m

anag

ers

and

inte

rnal

aud

itors

for

ass

essi

ng

the

adeq

uacy

of t

he o

rgan

izat

ion

s ris

k m

anag

emen

t and

co

ntro

l pro

cess

es.

Ruk

ovod

stvo

i

inte

rni

revi

zori

mog

u ko

ristit

i m

etod

olog

iju k

ontro

lnog

sam

ovre

dnov

anja

(C

SA

) za

vr

edno

vanj

e ad

ekva

tnos

ti pr

oces

a up

ravl

janj

a riz

ikom

i k

ontro

la o

rgan

izac

ije.

CS

A p

roce

sspr

oces

kon

troln

og

sam

ovre

dnov

anja

(CS

A)

The

wid

e va

riety

of a

ppro

ache

s us

ed fo

r C

SA

pro

cess

es

in

orga

niza

tions

re

flect

s th

e di

ffere

nces

in

in

dust

ry,

geog

raph

y, s

truct

ure,

org

aniz

atio

nal

cultu

re,

degr

ee o

f em

ploy

ee e

mpo

wer

men

t, do

min

ant

man

agem

ent

styl

e,

and

the

man

ner o

f for

mul

atin

g st

rate

gies

and

pol

icie

s.

Širo

k ra

spon

pr

istu

pa

koji

se

koris

te

za

proc

ese

kont

roln

og s

amov

redn

ovan

ja (C

SA

) u o

rgan

izac

ijam

a,

odra

žava

raz

like

ovis

no o

dje

latn

osti,

zem

ljopi

snom

po

loža

ju,

stru

ktur

i, or

gani

zaci

jsko

j ku

lturi,

st

upnj

u ov

lašt

enja

za

posl

enik

a,

prev

lada

vaju

ćem

st

ilu

upra

vlja

nja,

te n

ačin

u fo

rmul

iranj

a st

rate

gija

i po

litik

a.

320

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

CS

A p

rogr

ampr

ogra

m k

ontro

lnog

sa

mov

redn

ovan

ja (C

SA

)

Inte

rnal

aud

itors

can

util

ize

CS

A p

rogr

ams

for

gath

erin

g re

leva

nt in

form

atio

n ab

out r

isks

and

con

trols

, for

focu

sing

th

e au

dit

plan

on

high

ris

k, u

nusu

al a

reas

, an

d to

for

ge

grea

ter

colla

bora

tion

with

ope

ratin

g m

anag

ers

and

wor

k te

ams.

Inte

rni

revi

zori

mog

u ko

ristit

i pr

ogra

me

kont

roln

og

sam

ovre

dnov

anja

(C

SA

) za

prik

uplja

nje

rele

vant

nih

poda

taka

o ri

zici

ma

i kon

trola

ma,

u c

ilju

usm

jera

vanj

a re

vizi

jsko

g pl

ana

na

viso

koriz

ična

, ne

uobi

čaje

na

podr

učja

, te

ostv

ariv

anja

bol

je s

urad

nje

s op

erat

ivni

m

ruko

vods

tvom

i ra

dnim

sku

pina

ma.

cycl

e tim

etra

janj

e (r

adno

g) c

iklu

sa

Mon

itorin

g sh

ould

als

o in

clud

e on

goin

g m

easu

rem

ents

an

d an

alys

es o

f pe

rform

ance

met

rics

(e.g

., au

dit

plan

ac

com

plis

hmen

t, cy

cle

time,

reco

mm

enda

tions

acc

epte

d,

and

cust

omer

sat

isfa

ctio

n).

Pra

ćenj

e ta

kođe

r tre

ba u

klju

čiva

ti st

alna

mje

renj

a i

anal

ize

met

rika

učin

kovi

tost

i (np

r. os

tvar

ivan

je p

lana

re

vizi

je, t

raja

nje

radn

og c

iklu

sa, p

rihva

ćene

pre

poru

ke,

te z

adov

oljs

tvo

koris

nika

).

deta

iled

IS c

ontro

lde

taljn

e ko

ntro

le in

form

acijs

kih

sust

ava

Det

aile

d IS

con

trols

are

mad

e up

of

appl

icat

ion

cont

rols

pl

us t

hose

gen

eral

con

trols

not

incl

uded

in p

erva

sive

IS

co

ntro

ls.

Det

aljn

e ko

ntro

le i

nfor

mac

ijski

h su

stav

a sa

stoj

e se

od

apl

ikac

ijski

h ko

ntro

la t

e op

ćih

kont

rola

koj

e ni

su

uklju

čene

u

sveo

buhv

atne

ko

ntro

le

info

rmac

ijski

h su

stav

a.

DIP

obra

da d

okum

enat

a

For e

xam

ple,

aud

it ev

iden

ce p

roce

ssed

by

Ele

ctro

nic

Dat

a In

terc

hang

e (E

DI),

Doc

umen

t Im

age

Pro

cess

ing

(DIP

), an

d dy

nam

ic s

yste

ms

such

as

spre

adsh

eets

, may

not

be

retri

evab

le a

fter a

spe

cifie

d pe

riod

of ti

me

if ch

ange

s to

the

files

are

not

con

trolle

d or

the

files

are

not

bac

ked

up.

Uko

liko

ne

post

oji

adek

vatn

a ko

ntro

la

izm

jena

do

kum

enat

a ili

se

ne v

rši r

edov

ita r

ezer

vna

pohr

ana

dato

teka

, m

ože

doći

do

pote

škoć

a u

pris

tupu

do

revi

zijs

kih

doka

za k

oji s

e ob

rađu

ju

pom

oću

sust

ava

razm

jene

el

ektro

ničk

ih

poda

taka

(E

DI),

ob

rade

do

kum

enat

a (D

IP),

te

dina

mič

kih

sust

ava

popu

t pr

orač

unsk

ih ta

blic

a.

Dis

clos

ure

obja

vljiv

anje

; otk

rivan

jeIn

thes

e si

tuat

ions

, int

erna

l aud

itors

sho

uld

com

ply

with

the

disc

losu

re re

quire

men

ts o

f the

Inte

rnat

iona

l Sta

ndar

ds fo

r th

e P

rofe

ssio

nal P

ract

ice

of In

tern

al A

uditi

ng (S

tand

ards

).

U o

vakv

im s

ituac

ijam

a, in

tern

i rev

izor

i tre

baju

poš

tivat

i st

anda

rde

za o

bjav

ljiva

nje

rezu

ltata

rev

izije

pre

ma

Međ

unar

odni

m s

tand

ardi

ma

za p

rofe

sion

alnu

pra

ksu

inte

rne

revi

zije

(Sta

ndar

di).

321

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

Doc

umen

t Im

age

Pro

cess

ing

obra

da d

okum

enat

a

For e

xam

ple,

aud

it ev

iden

ce p

roce

ssed

by

Ele

ctro

nic

Dat

a In

terc

hang

e (E

DI),

Doc

umen

t Im

age

Pro

cess

ing

(DIP

), an

d dy

nam

ic s

yste

ms

such

as

spre

adsh

eets

, may

not

be

retri

evab

le a

fter a

spe

cifie

d pe

riod

of ti

me

if ch

ange

s to

the

files

are

not

con

trolle

d or

the

files

are

not

bac

ked

up.

Uko

liko

ne

post

oji

adek

vatn

a ko

ntro

la

izm

jena

do

kum

enat

a ili

se

ne v

rši r

edov

ita r

ezer

vna

pohr

ana

dato

teka

, m

ože

doći

do

pote

škoć

a u

pris

tupu

do

revi

zijs

kih

doka

za k

oji s

e ob

rađu

ju s

pom

oću

sust

ava

razm

jene

el

ektro

ničk

ih

poda

taka

(E

DI),

ob

rade

do

kum

enat

a (D

IP),

te

dina

mič

kih

sust

ava

popu

t pr

orač

unsk

ih ta

blic

a.

e-co

mm

erce

eng

agem

ent

anga

žman

revi

zije

akt

ivno

sti e

-trg

ovin

e

The

chie

f aud

it ex

ecut

ive’

s (C

AE

’s) c

once

rns

in p

erfo

rmin

g an

e-c

omm

erce

eng

agem

ent r

elat

e to

the

com

pete

ncy

and

capa

city

of t

he in

tern

al a

udit

activ

ity.[P

ract

ice_

Adv

isor

ies_

com

plet

e_6_

12_2

007_

EN

G.d

oc]

Izra

žava

nje

zabr

inut

osti

glav

nog

revi

zora

u o

bavl

janj

u an

gažm

ana

revi

zije

e-

trgov

ine

odno

si

se

na

kom

pete

nciju

i sp

osob

nost

dje

latn

osti

inte

rne

revi

zije

.

e-co

mm

erce

risk

rizik

sus

tava

e-tr

govi

neTh

e e-

com

mer

ce ri

sk a

nd c

ontro

l env

ironm

ent i

s co

mpl

ex

and

evol

ving

.O

kruž

enje

rizi

ka i

kont

rola

sus

tava

e-tr

govi

ne s

lože

no

je i

nepr

esta

no s

e ra

zvija

.

e-co

mm

erce

ser

ver

posl

užite

lj su

stav

a e-

trgov

ine

Tool

s th

at

shou

ld

be

in

plac

e in

clud

e:

intru

sion

m

anag

emen

t (m

onito

ring

softw

are,

aut

omat

ic t

ime-

out,

and

trend

ana

lysi

s),

phys

ical

sec

urity

for

e-c

omm

erce

se

rver

s, c

hang

e co

ntro

ls, a

nd re

conc

iliat

ion.

Ala

ti ko

je

orga

niza

cija

tre

ba

osig

urat

i: ko

ntro

la

upad

a (p

rogr

amsk

a op

rem

a za

nad

zor,

auto

mat

sko

vrem

ensk

o is

klju

čiva

nje

(tim

e-ou

t) i a

naliz

a tre

ndov

a),

fizič

ka

sigu

rnos

t po

služ

itelja

e-

trgov

ine,

ko

ntro

le

izm

jena

i us

klađ

ivan

je.

ED

Iel

ektro

ničk

a ra

zmje

na p

odat

aka

(ED

I)

For e

xam

ple,

aud

it ev

iden

ce p

roce

ssed

by

Ele

ctro

nic

Dat

a In

terc

hang

e (E

DI),

Doc

umen

t Im

age

Pro

cess

ing

(DIP

), an

d dy

nam

ic s

yste

ms

such

as

spre

adsh

eets

, may

not

be

retri

evab

le a

fter a

spe

cifie

d pe

riod

of ti

me

if ch

ange

s to

the

files

are

not

con

trolle

d or

the

files

are

not

bac

ked

up.

Uko

liko

ne

post

oji

adek

vatn

a ko

ntro

la

izm

jena

do

kum

enat

a ili

se

ne v

rši r

edov

ita r

ezer

vna

pohr

ana

dato

teka

, m

ože

doći

do

pote

škoć

a u

pris

tupu

do

revi

zijs

kih

doka

za k

oji s

e ob

rađu

ju s

pom

oću

sust

ava

razm

jene

el

ektro

ničk

ih

poda

taka

(E

DI),

ob

rade

do

kum

enat

a (D

IP),

te

dina

mič

kih

sust

ava

popu

t pr

orač

unsk

ih ta

blic

a.

EH

&S

sust

av z

aštit

e ok

oliš

a, z

drav

lja i

sigu

rnos

ti na

radu

(EH

&S

)

Chi

ef

audi

t ex

ecut

ive

(CA

E)

shou

ld

incl

ude

the

envi

ronm

enta

l, he

alth

, an

d sa

fety

(E

H&

S)

risks

in

any

entit

y-w

ide

risk

man

agem

ent a

sses

smen

t and

ass

ess

the

activ

ities

in a

bal

ance

d m

anne

r re

lativ

e to

oth

er ty

pes

of

risk

asso

ciat

ed w

ith a

n en

tity

s o

pera

tions

.

Gla

vni

revi

zor

treba

ukl

juči

ti riz

ike

sust

ava

zašt

ite

okol

iša,

zdr

avlja

i si

gurn

osti

na ra

du u

sva

ku p

rocj

enu

rizik

a na

ra

zini

or

gani

zaci

je,

te

prav

ilno

ocije

niti

aktiv

nost

i u o

dnos

u na

dru

ge ti

pove

rizi

ka p

ovez

anog

s

aktiv

nost

ima

orga

niza

cije

.

322

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

EH

&S

aud

itor

revi

zor s

usta

va z

aštit

e ok

oliš

a,

zdra

vlja

i si

gurn

osti

na ra

du

(EH

&S

)

With

th

at

orga

niza

tiona

l pl

acem

ent,

EH

&S

au

dito

rs

coul

d be

una

ble

to m

aint

ain

thei

r in

depe

nden

ce,

whi

ch

is c

onsi

dere

d on

e of

the

prin

cipa

l re

quire

men

ts o

f an

ef

fect

ive

audi

t fun

ctio

n.

Uz

taka

v or

gani

zaci

jski

po

loža

j, re

vizo

ri su

stav

a za

štite

oko

lišta

, zd

ravl

ja i

sig

urno

sti

na r

adu

mog

u im

ati

pote

škoć

a u

održ

avan

ju n

ezav

isno

sti,

koja

se

smat

ra je

dnim

od

glav

nih

tem

elja

uči

nkov

ite f

unkc

ije

revi

zije

.

EH

&S

risk

rizik

sus

tava

zaš

tite

okol

iša,

zd

ravl

ja i

sigu

rnos

ti na

radu

(E

H&

S)

Chi

ef

audi

t ex

ecut

ive

(CA

E)

shou

ld

incl

ude

the

envi

ronm

enta

l, he

alth

, an

d sa

fety

(E

H&

S)

risks

in

any

entit

y-w

ide

risk

man

agem

ent a

sses

smen

t and

ass

ess

the

activ

ities

in a

bal

ance

d m

anne

r re

lativ

e to

oth

er ty

pes

of

risk

asso

ciat

ed w

ith a

n en

tity

s o

pera

tions

.

Gla

vni

revi

zor

treba

ukl

juči

ti riz

ike

sust

ava

zašt

ite

okol

iša,

zdr

avlja

i si

gurn

osti

na ra

du u

sva

ku p

rocj

enu

rizik

a na

ra

zini

or

gani

zaci

je,

te

prav

ilno

ocije

niti

aktiv

nost

i u o

dnos

u na

dru

ge ti

pove

rizi

ka p

ovez

anog

s

aktiv

nost

ima

orga

niza

cije

.

Ele

ctro

nic

Dat

a In

terc

hang

eel

ektro

ničk

a ra

zmje

na p

odat

aka

(ED

I)

For e

xam

ple,

aud

it ev

iden

ce p

roce

ssed

by

Ele

ctro

nic

Dat

a In

terc

hang

e (E

DI),

Doc

umen

t Im

age

Pro

cess

ing

(DIP

), an

d dy

nam

ic s

yste

ms

such

as

spre

adsh

eets

, may

not

be

retri

evab

le a

fter a

spe

cifie

d pe

riod

of ti

me

if ch

ange

s to

the

files

are

not

con

trolle

d or

the

files

are

not

bac

ked

up.

Uko

liko

ne

post

oji

adek

vatn

a ko

ntro

la

izm

jena

do

kum

enat

a ili

se

ne v

rši r

edov

ita r

ezer

vna

pohr

ana

dato

teka

, m

ože

doći

do

pote

škoć

a u

pris

tupu

do

revi

zijs

kih

doka

za k

oji s

e ob

rađu

ju s

pom

oću

sust

ava

razm

jene

el

ektro

ničk

ih

poda

taka

(E

DI),

ob

rade

do

kum

enat

a (D

IP),

te

dina

mič

kih

sust

ava

popu

t pr

orač

unsk

ih ta

blic

a.

enga

gem

ent

anga

žman

; pre

uzim

anje

oba

veze

; pr

euze

ta o

bave

za

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

cons

ider

atio

ns t

hat

may

be

nece

ssar

y in

per

form

ing

a co

nsul

ting

enga

gem

ent a

nd in

tern

al a

udito

rs s

houl

d ta

ke

extra

pre

caut

ions

to d

eter

min

e th

at m

anag

emen

t and

the

boar

d un

ders

tand

and

agr

ee w

ith th

e co

ncep

t, op

erat

ing

guid

elin

es,

and

com

mun

icat

ions

req

uire

d fo

r pe

rform

ing

cons

ultin

g se

rvic

es.

Ova

j Nap

utak

ne

sadr

ži s

va p

otre

bna

razm

atra

nja

u sv

ezi s

avje

tnič

kih

anga

žman

a i i

nter

ni re

vizo

ri m

oraj

u po

svet

iti p

oseb

nu p

ozor

nost

tom

e da

ruk

ovod

stvo

i

upra

va r

azum

iju i

odob

rava

ju k

once

pciju

, op

erat

ivne

sm

jern

ice

i pr

iopć

enja

po

trebn

a za

ob

avlja

nje

savj

etni

čkih

usl

uga.

enga

gem

ent a

ssig

nmen

tza

data

k an

gažm

ana

The

num

ber

and

expe

rienc

e le

vel o

f the

inte

rnal

aud

iting

st

aff

requ

ired

shou

ld b

e ba

sed

on a

n ev

alua

tion

of t

he

natu

re a

nd c

ompl

exity

of

the

enga

gem

ent

assi

gnm

ent,

time

cons

train

ts, a

nd a

vaila

ble

reso

urce

s.

Pot

reba

n br

oj

i ra

zina

is

kust

va

djel

atni

ka

inte

rne

revi

zije

treb

a se

zas

niva

ti na

ocj

eni p

rirod

e i s

lože

nost

i za

datk

a an

gažm

ana,

vr

emen

skih

og

rani

čenj

a i

dost

upni

h re

surs

a.

enga

gem

ent c

lient

klije

nt a

ngaž

man

a

Inte

rnal

au

dito

rs

shou

ld

have

th

e su

ppor

t of

se

nior

m

anag

emen

t an

d th

e bo

ard

so t

hat

they

can

gai

n th

e co

oper

atio

n of

eng

agem

ent c

lient

s an

d pe

rform

thei

r wor

k fre

e fro

m in

terfe

renc

e.

Inte

rni

revi

zori

treba

ju

imat

i po

tpor

u vi

soko

g ru

kovo

dstv

a i

upra

ve

u os

tvar

ivan

ju

sura

dnje

s

klije

ntim

a an

gažm

ana,

kak

o bi

mog

li ob

avlja

ti sv

oj

posa

o be

z om

etan

ja.

323

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

enga

gem

ent c

omm

unic

atio

nob

avije

st o

rezu

ltatim

a an

gažm

ana

The

resu

lts o

f in

tern

al a

udit

wor

k sh

ould

be

revi

ewed

be

fore

th

e re

late

d en

gage

men

t co

mm

unic

atio

ns

are

rele

ased

to

prov

ide

reas

onab

le a

ssur

ance

tha

t th

e w

ork

was

per

form

ed o

bjec

tivel

y.

Rez

ulta

te

inte

rne

revi

zije

po

trebn

o je

pr

egle

dati

prije

obj

avlji

vanj

a re

leva

ntne

oba

vije

sti o

rez

ulta

tima

anga

žman

a, k

ako

bi s

e os

igur

alo

razu

mno

uvj

eren

je

da je

pos

ao o

bavl

jen

uz p

otpu

nu o

bjek

tivno

st.

enga

gem

ent c

oncl

usio

nsza

klju

čci a

ngaž

man

aE

ngag

emen

t w

orki

ng p

aper

s sh

ould

be

com

plet

e an

d in

clud

e su

ppor

t for

eng

agem

ent c

oncl

usio

ns re

ache

d.R

adni

spi

si a

ngaž

man

a tre

baju

biti

pot

puni

i uk

ljuči

vati

potk

rjepl

juju

će d

okaz

e za

zak

ljučk

e an

gažm

ana.

enga

gem

ent f

inal

co

mm

unic

atio

nsza

klju

čna

obav

ijest

o re

zulta

tima

anga

žman

a

Alth

ough

the

for

mat

and

con

tent

of

the

enga

gem

ent

final

com

mun

icat

ions

may

var

y by

org

aniz

atio

n or

typ

e of

eng

agem

ent,

they

sho

uld

cont

ain,

at

a m

inim

um,

the

purp

ose,

sco

pe, a

nd re

sults

of t

he e

ngag

emen

t.

Iako

form

at i

sadr

žaj z

aklju

čne

obav

ijest

i o re

zulta

tima

anga

žman

a m

ogu

varir

ati z

avis

no o

d or

gani

zaci

je il

i tip

a an

gažm

ana,

sve

takv

e ob

avije

sti m

oraj

u sa

drža

vati

bare

m s

vrhu

, dje

lokr

ug i

rezu

ltate

ang

ažm

ana.

enga

gem

ent i

ssue

spr

oble

mi a

ngaž

man

aA

noth

er te

chni

que

is th

e re

view

of d

raft

enga

gem

ent is

sues

, ob

serv

atio

ns,

and

reco

mm

enda

tions

by

man

agem

ent

of

the

audi

ted

activ

ity.

Još

jedn

a od

teh

nika

je

preg

led

nacr

ta p

robl

ema,

pr

imje

daba

i

prep

oruk

a an

gažm

ana

od

stra

ne

ruko

vods

tva

djel

atno

sti n

ad k

ojom

se

prov

odi r

eviz

ija.

enga

gem

ent o

bjec

tive

cilj

anga

žman

a

Inte

rnal

aud

itors

sho

uld

be s

kille

d in

ora

l an

d w

ritte

n co

mm

unic

atio

ns s

o th

at t

hey

can

clea

rly a

nd e

ffect

ivel

y co

nvey

su

ch

mat

ters

as

en

gage

men

t ob

ject

ives

, ev

alua

tions

, con

clus

ions

, and

reco

mm

enda

tions

.

Inte

rni

revi

zori

mor

aju

imat

i do

bre

kom

unik

acijs

ke

vješ

tine

govo

ra

i pi

sanj

a,

kako

bi

m

ogli

jasn

o i

učin

kovi

to o

bjaš

njav

ati t

eme

popu

t cilj

eva

anga

žman

a,

proc

jena

, zak

ljuča

ka i

prep

oruk

a.

enga

gem

ent p

lan

plan

ang

ažm

ana

Dev

elop

an

audi

t pro

gram

, bud

get a

nd e

ngag

emen

t pla

n.R

azvi

ti pl

an re

vizi

je, p

rora

čun

i pla

n an

gažm

ana.

enga

gem

ent p

roce

dure

spo

stup

ci a

ngaž

man

aE

ngag

emen

t pr

oced

ures

ar

e th

e m

eans

to

at

tain

en

gage

men

t obj

ectiv

es.

Pos

tupc

i an

gažm

ana

su s

reds

tva

post

izan

ja c

iljev

a an

gažm

ana.

enga

gem

ent p

rogr

ampr

ogra

m a

ngaž

man

aP

rovi

ding

app

ropr

iate

ins

truct

ions

dur

ing

the

plan

ning

of

th

e en

gage

men

t an

d ap

prov

ing

the

enga

gem

ent

prog

ram

.

Pru

žanj

e od

gova

raju

ćih

napu

taka

u t

ijeku

pla

nira

nja

anga

žman

a i o

dobr

enje

pro

gram

a an

gažm

ana.

324

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

enga

gem

ent r

ecor

dspo

daci

ang

ažm

ana;

evi

denc

ija

anga

žman

a

Aud

itors

are

enc

oura

ged

to a

dopt

app

ropr

iate

rec

ord

rete

ntio

n po

licie

s an

d ad

dres

s re

late

d is

sues

, su

ch a

s ow

ners

hip

of c

onsu

lting

eng

agem

ent r

ecor

ds, i

n or

der

to

prot

ect t

he o

rgan

izat

ion

adeq

uate

ly a

nd to

avo

id p

oten

tial

mis

unde

rsta

ndin

gs in

volv

ing

requ

ests

for t

hese

reco

rds.

Rev

izor

ima

se

savj

etuj

e us

vaja

nje

odgo

vara

jući

h po

litik

a po

hran

e po

data

ka i

pos

veći

vanj

e po

zorn

osti

pove

zani

m t

emam

a, k

ao š

to s

u vl

asni

štvo

pod

atak

a sa

vjet

ničk

og a

ngaž

man

a, u

cilj

u ad

ekva

tne

zašt

ite

orga

niza

cije

i i

zbje

gava

nja

mog

ućih

nes

pora

zum

a u

svez

i zah

tjeva

za

tim p

odac

ima.

enga

gem

ent r

epor

tiz

vješ

će a

ngaž

man

aE

ngag

emen

t co

nclu

sion

s, if

incl

uded

in t

he e

ngag

emen

t re

port,

sho

uld

be c

lear

ly id

entif

ied

as s

uch.

Uko

liko

su u

klju

čeni

u iz

vješ

će a

ngaž

man

a, z

aklju

čci

anga

žman

a tre

baju

se

jasn

o pr

epoz

nati

kao

takv

i.

enga

gem

ent r

esul

tsre

zulta

ti an

gažm

ana

Nee

ds o

f m

anag

emen

t of

ficia

ls,

incl

udin

g th

e na

ture

, tim

ing,

and

com

mun

icat

ion

of e

ngag

emen

t res

ults

.P

otre

be r

ukov

odst

va,

uklju

čuju

ći p

rirod

u, v

rem

ensk

o pl

anira

nje

i prio

pćav

anje

rezu

ltata

ang

ažm

ana.

enga

gem

ent s

uper

visi

onna

dzor

pro

vedb

e an

gažm

ana

The

chie

f aud

it ex

ecut

ive

(CA

E) i

s re

spon

sibl

e fo

r ass

urin

g th

at a

ppro

pria

te e

ngag

emen

t sup

ervi

sion

is p

rovi

ded.

Gla

vni r

eviz

or z

aduž

en je

za

osig

uran

je o

dgov

araj

ućeg

na

dzor

a pr

oved

be a

ngaž

man

a.

enga

gem

ent t

echn

ique

ste

hnik

e pr

oved

be a

ngaž

man

aC

ompe

tent

info

rmat

ion

is r

elia

ble

and

the

best

atta

inab

le

thro

ugh

the

use

of a

ppro

pria

te e

ngag

emen

t tec

hniq

ues.

Kom

pete

ntne

inf

omac

ije s

u po

uzda

ne i

dob

ivaj

u se

pu

tem

ko

rište

nja

odgo

vara

jući

h te

hnik

a pr

oved

be

anga

žman

a.

enga

gem

ent w

ork

prov

edba

ang

ažm

ana

Suc

h as

sign

men

ts a

re p

resu

med

to

impa

ir ob

ject

ivity

, an

d ad

ditio

nal

cons

ider

atio

n sh

ould

be

exer

cise

d w

hen

supe

rvis

ing

the

enga

gem

ent

wor

k an

d co

mm

unic

atin

g en

gage

men

t res

ults

.

Sm

atra

se

da t

akvi

zad

atci

nar

ušav

aju

obje

ktiv

nost

, te

su

potre

bna

doda

tna

razm

atra

nja

u tij

eku

nadz

ora

prov

edbe

an

gažm

ana

i pr

iopć

avan

ja

rezu

ltata

an

gažm

ana.

enga

gem

ent w

ork

prog

ram

radn

i pro

gram

ang

ažm

ana

enga

gem

ent w

ork

sche

dule

radn

i ras

pore

d an

gažm

ana

Aud

it ac

tiviti

es w

here

a s

peci

aliz

ed s

kill

and

know

ledg

e ar

e re

quire

d su

ch a

s in

form

atio

n te

chno

logy

, st

atis

tics,

ta

xes,

lang

uage

tran

slat

ions

, or

to a

chie

ve th

e ob

ject

ives

in

the

enga

gem

ent w

ork

sche

dule

.

Rev

izijs

ke

aktiv

nost

i za

ko

je

su

su

potre

bne

spec

ijalis

tičke

vj

eštin

e i

znan

ja,

kao

što

su

info

rmac

ijska

teh

nlog

ija,

stat

istik

a, p

orez

ne u

slug

e,

jezi

čni p

rijev

odi,

ili z

a po

stiz

anje

cilj

eva

prem

a ra

dnom

ra

spor

edu

anga

žman

a.

ente

rpris

e ris

k m

anag

emen

tup

ravl

janj

e riz

ikom

pod

uzeć

aTo

ass

ess

fraud

ris

k, i

nter

nal

audi

tors

sho

uld

use

the

orga

niza

tion’

s en

terp

rise

risk

man

agem

ent

mod

el if

one

is

in u

se.

Za p

rocj

enu

rizik

a od

prij

evar

e, in

tern

i rev

izor

i tre

baju

ko

ristit

i mod

el u

prav

ljanj

a riz

ikom

org

aniz

acije

, uko

liko

taka

v po

stoj

i.

325

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

envi

ronm

enta

l aud

itre

vizi

ja z

aštit

e ok

oliš

a

In th

ose

inst

ance

s w

here

the

envi

ronm

enta

l aud

it fu

nctio

n re

ports

to s

omeo

ne o

ther

than

the

CA

E, t

he C

AE

sho

uld

offe

r to

rev

iew

the

aud

it pl

an a

nd t

he p

erfo

rman

ce o

f en

gage

men

ts.

U s

luča

jevi

ma

kada

fun

kcija

rev

izije

zaš

tite

okol

iša

nije

odg

ovor

na g

lavn

om re

vizo

ru, g

lavn

i rev

izor

treb

a po

nudi

ti us

luge

pre

gled

a re

vizi

jsko

g pl

ana

i uč

inka

an

gažm

ana.

envi

ronm

enta

l aud

it ch

ief

vodi

telj

revi

zije

zaš

tite

okol

iša

The

CA

E a

nd e

nviro

nmen

tal a

udit

chie

f ar

e in

sep

arat

e fu

nctio

nal u

nits

with

littl

e co

ntac

t with

eac

h ot

her.

Gla

vni

revi

zor

i vo

dite

lj re

vizi

je

zašt

ite

okol

iša

prip

adaj

u za

sebn

im

funk

cion

alni

m

jedi

nica

ma

bez

čest

og m

eđus

obno

g ko

ntak

ta.

envi

ronm

enta

l aud

it fu

nctio

nfu

nkci

ja re

vizi

je z

aštit

e ok

oliš

a

If th

e C

AE

find

s th

at th

e m

anag

emen

t of t

he E

H&

S r

isks

la

rgel

y de

pend

s on

an

en

viro

nmen

tal

audi

t fu

nctio

n,

the

CA

E

need

s to

co

nsid

er

the

impl

icat

ions

of

th

at

orga

niza

tiona

l stru

ctur

e an

d its

effe

cts

on o

pera

tions

and

th

e re

porti

ng m

echa

nism

s.

Uko

liko

utvr

di d

a up

ravl

janj

e riz

icim

a za

štite

oko

liša,

zd

ravl

ja

i za

štite

na

ra

du

u ve

likoj

m

jeri

zavi

si

od

funk

cije

re

vizi

je

zašt

ite

okol

iša,

gl

avni

re

vizo

r tre

ba u

zeti

u ob

zir

impl

ikac

ije t

akve

org

aniz

acijs

ke

stru

ktur

e i n

jezi

nog

utje

caja

na

aktiv

nost

i i m

ehan

izm

e od

govo

rnos

ti.

envi

ronm

enta

l aud

itors

revi

zori

zašt

ite o

koliš

aIn

tern

al a

udito

rs s

houl

d be

ale

rt to

the

pot

entia

l ris

ks

that

may

res

ult

from

the

org

aniz

atio

nal

plac

emen

t an

d re

porti

ng re

latio

nshi

ps o

f env

ironm

enta

l aud

itors

.

Inte

rni

revi

zori

mor

aju

spre

mno

uo

čava

ti m

oguć

e riz

ike

koji

potje

ču o

d or

gani

zaci

jsko

g po

loža

ja i

linija

od

govo

rnos

ti re

vizo

ra z

aštit

e ok

oliš

a.

Env

ironm

enta

l Pro

tect

ion

Age

ncy

Age

ncija

za

zašt

itu o

koliš

a (E

PA

)

Am

ong

the

risk

expo

sure

s th

at s

houl

d be

eva

luat

ed a

re:

orga

niza

tiona

l re

porti

ng s

truct

ures

; lik

elih

ood

of c

ausi

ng

envi

ronm

enta

l ha

rm,

fines

, an

d pe

nalti

es;

expe

nditu

res

man

date

d by

Env

ironm

enta

l Pro

tect

ion

Age

ncy

(EP

A)

or

othe

r gov

ernm

enta

l age

ncie

s; h

isto

ry o

f inju

ries a

nd d

eath

s;

reco

rd o

f los

ses

of c

usto

mer

s, a

nd e

piso

des

of n

egat

ive

publ

icity

and

loss

of p

ublic

imag

e an

d re

puta

tion.

Međ

u iz

lože

nost

i riz

iku

koje

je p

otre

bno

proc

ijeni

ti su

: or

gani

zaci

jska

st

rukt

ura

odgo

vorn

osti,

vj

eroj

atno

st

zaga

đenj

a ok

oliš

a, g

lobe

i k

azne

; tro

škov

i A

genc

ije

za z

aštit

u ok

oliš

a (E

PA

) ili

dru

gih

vlad

inih

age

ncija

; po

vije

st

povr

jeda

na

ra

du

i sm

rtnih

sl

učaj

eva;

ev

iden

cija

gub

itka

klije

nata

, te

slu

čaje

vi n

egat

ivno

g pu

blic

iteta

i gu

bitk

a ug

leda

u ja

vnos

ti.

envi

ronm

enta

l, he

alth

, and

sa

fety

risk

rizik

sus

tava

zaš

tite

okol

iša,

zd

ravl

ja i

sigu

rnos

ti na

radu

(E

H&

S)

Chi

ef

audi

t ex

ecut

ive

(CA

E)

shou

ld

incl

ude

the

envi

ronm

enta

l, he

alth

, an

d sa

fety

(E

H&

S)

risks

in

any

entit

y-w

ide

risk

man

agem

ent

asse

ssm

ent

and

asse

ss

the

activ

ities

in a

bal

ance

d m

anne

r rel

ativ

e to

oth

er ty

pes

of r

isk

asso

ciat

ed w

ith a

n en

tity

s o

pera

tions

.[Pra

ctic

e_A

dvis

orie

s_co

mpl

ete_

6_12

_200

7_E

NG

.doc

Gla

vni

revi

zor

treba

ukl

juči

ti riz

ike

sust

ava

zašt

ite

okol

iša,

zdr

avlja

i si

gurn

osti

na ra

du u

sva

ku p

rocj

enu

rizik

a na

ra

zini

or

gani

zaci

je,

te

prav

ilno

ocije

niti

aktiv

nost

i u o

dnos

u na

dru

ge ti

pove

rizi

ka p

ovez

anog

s

aktiv

nost

ima

orga

niza

cije

.

326

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

EP

AA

genc

ija z

a za

štitu

oko

liša

(EP

A)

Am

ong

the

risk

expo

sure

s th

at s

houl

d be

eva

luat

ed a

re:

orga

niza

tiona

l re

porti

ng s

truct

ures

; lik

elih

ood

of c

ausi

ng

envi

ronm

enta

l ha

rm,

fines

, an

d pe

nalti

es;

expe

nditu

res

man

date

d by

Env

ironm

enta

l Pro

tect

ion

Age

ncy

(EP

A)

or

othe

r gov

ernm

enta

l age

ncie

s; h

isto

ry o

f inju

ries a

nd d

eath

s;

reco

rd o

f los

ses

of c

usto

mer

s, a

nd e

piso

des

of n

egat

ive

publ

icity

and

loss

of p

ublic

imag

e an

d re

puta

tion.

Međ

u iz

lože

nost

i riz

iku

koje

je p

otre

bno

proc

ijeni

ti su

: or

gani

zaci

jska

st

rukt

ura

odgo

vorn

osti,

vj

eroj

atno

st

zaga

đenj

a ok

oliš

a, g

lobe

i k

azne

; tro

škov

i A

genc

ije

za z

aštit

u ok

oliš

a (E

PA

) ili

dru

gih

vlad

inih

age

ncija

; po

vije

st p

ovre

da n

a ra

du i s

mrtn

ih s

luča

jeva

; evi

denc

ija

gubi

tka

klije

nata

te

sluč

ajev

i neg

ativ

nog

publ

icite

ta i

gubi

tka

ugle

da u

javn

osti.

ethi

cal b

ehav

ior

etič

ko p

onaš

anje

Mon

itorin

g m

anag

emen

t s co

mpl

ianc

e w

ith th

e or

gani

zatio

n

s co

de o

f con

duct

and

ens

urin

g th

at e

thic

al p

olic

ies

and

othe

r pr

oced

ures

pro

mot

ing

ethi

cal

beha

vior

are

bei

ng

follo

wed

; an

impo

rtant

fac

tor

in e

stab

lishi

ng a

n ef

fect

ive

ethi

cal

cultu

re

in

the

orga

niza

tion

is

whe

n m

embe

rs

of s

enio

r m

anag

emen

t se

t a

good

exa

mpl

e of

eth

ical

be

havi

or a

nd p

rovi

de o

pen

and

truth

ful c

omm

unic

atio

ns to

em

ploy

ees,

the

boar

d, a

nd o

utsi

de s

take

hold

ers.

Pra

ćenj

e prid

ržav

anja

kode

ksa p

onaš

anja

orga

niza

cije

, te

etič

kih

polit

ika

i dru

gih

proc

edur

a ko

je p

rom

iču

etič

ko

pona

šanj

e; v

ažan

čim

beni

k u

odre

điva

nju

učin

kovi

te

etič

ke k

ultu

re u

org

aniz

aciji

je p

rimje

ran

uzor

etič

kog

pona

šanj

a vi

soko

g ru

kovo

dstv

a, te

pru

žanj

e ot

vore

nih

i ist

initi

h sa

opće

nja

zapo

slen

icim

a, u

prav

i i v

anjs

kim

no

site

ljim

a in

tere

sa.

ethi

cset

ika;

etič

ko p

onaš

anje

Com

pani

es

mus

t es

tabl

ish

an

appr

opria

te

cont

rol

envi

ronm

ent

that

inc

lude

s: A

cod

e of

con

duct

, et

hics

po

licy,

or

fraud

pol

icy

to s

et t

he a

ppro

pria

te t

one

at t

he

top.

Eth

ics

and

whi

stle

blow

er h

otlin

e pr

ogra

ms

to r

epor

t co

ncer

ns.

Pod

uzeć

a m

oraj

u ut

vrdi

ti od

gova

raju

će

kont

roln

o ok

ruže

nje

koje

ukl

juču

je:

kode

ks p

onaš

anja

, et

ičku

po

litik

u ili

pol

itiku

za

sprje

čava

nje

prije

vara

, u

cilju

od

ređi

vanj

a et

ičko

g oz

račj

a po

duze

ća o

d vr

ha p

rem

a dn

u. P

rogr

ami e

tičko

g po

naša

nja

i tel

efon

skih

lini

ja z

a do

javu

slu

čaje

va p

rijev

ara.

ethi

cs a

dvoc

ate

zago

vorn

ik e

tičko

g po

naša

nja

Bec

ause

of

the

com

plex

ity a

nd d

ispe

rsio

n of

dec

isio

n-m

akin

g pr

oces

ses

in m

ost

ente

rpris

es,

each

ind

ivid

ual

shou

ld b

e en

cour

aged

to b

e an

eth

ics

advo

cate

, whe

ther

th

e ro

le

is

dele

gate

d of

ficia

lly

or

mer

ely

conv

eyed

in

form

ally

.

Rad

i sl

ožen

osti

i ra

sprš

enos

ti pr

oces

a do

noše

nja

odlu

ka u

već

ini

podu

zeća

, po

trebn

o je

pot

icat

i sv

e za

posl

enik

e da

bud

u za

govo

rnic

i etič

nog

pona

šanj

a,

bez

obzi

ra j

e li

im t

a ul

oga

dodi

jelje

na s

lužb

eno

ili

nesl

užbe

no.

327

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

ethi

cs c

ultu

reet

ička

kul

tura

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

proc

edur

es t

hat

may

be

nece

ssar

y fo

r a

com

preh

ensi

ve

assu

ranc

e or

co

nsul

ting

enga

gem

ent

rela

ted

to

an

orga

niza

tion’

s et

hics

cul

ture

.

Ova

j N

aput

ak n

e sa

drži

sve

pos

tupk

e po

trebn

e za

sv

eobu

hvat

ne a

ngaž

man

e s

izra

žava

njem

uvj

eren

ja

ili

anga

žman

e sa

vjet

ništ

va

u sv

ezi

etič

ke

kultu

re

orga

niza

cije

exce

ptio

n re

port

izva

nred

no iz

vješ

će

Exa

mpl

es

incl

ude

the

com

pute

rized

m

atch

ing

of

docu

men

ts,

the

chec

king

and

sig

ning

of

a co

mpu

ter

gene

rate

d ch

eck

and

the

revi

ew b

y se

nior

man

agem

ent

of e

xcep

tion

repo

rts.

Prim

jeri

uklju

čuju

usp

ored

bu d

okum

enat

a pr

imje

nom

ra

čuna

la,

preg

led

i po

tpis

ivan

je p

rovj

era

prov

eden

ih

prim

jeno

m r

ačun

ala,

te

preg

led

izva

nred

nih

izvj

ešća

za

vis

oko

ruko

vods

tvo.

exec

utiv

e m

anag

emen

tiz

vršn

o ru

kovo

dstv

oIn

som

e si

tuat

ions

the

aud

itor

s c

once

rns

shou

ld a

lso

be c

omm

unic

ated

to

exec

utiv

e m

anag

emen

t, th

e au

dit

com

mitt

ee, a

nd/o

r the

boa

rd o

f dire

ctor

s.

U n

ekim

situ

acija

ma,

rev

izor

treb

a iz

razi

ti za

brin

utos

t iz

vršn

om

ruko

vods

tvu

i re

vizi

jsko

m

vije

ću,

i/ili

Upr

avno

m o

dbor

u.

expe

cted

err

oroč

ekiv

ana

pogr

ješk

a

Whe

n de

term

inin

g th

e ex

pect

ed e

rror

in a

pop

ulat

ion,

the

audi

tor s

houl

d co

nsid

er m

atte

rs a

s er

ror l

evel

s id

entif

ied

in

prev

ious

aud

its, c

hang

es in

the

orga

niza

tion

s pr

oced

ures

an

d ev

iden

ce a

vaila

ble

from

an

inte

rnal

con

trol e

valu

atio

n an

d re

sults

from

ana

lytic

al re

view

pro

cedu

res.

Pril

ikom

odr

eđiv

anja

oče

kiva

ne p

ogre

ške

u od

ređe

noj

popu

laci

ji, re

vizo

r tre

ba u

zeti

u ob

zir r

azin

e po

grje

šaka

iz

pr

etho

dnih

re

vizi

ja,

prom

jene

u

proc

edur

ama

orga

niza

cije

, dok

aze

koji

potk

rjepl

juju

ocj

enu

inte

rnih

ko

ntro

la, t

e re

zulta

te p

ostu

paka

ana

litič

kog

preg

leda

.

expe

nditu

res

trošk

ovi;

rash

odi;

izda

ci

Org

aniz

atio

ns s

houl

d id

entif

y an

d as

sess

fra

ud-r

elat

ed

risks

, in

clud

ing

asse

ssin

g th

e po

tent

ial

for

fraud

ulen

t fin

anci

al

repo

rting

, as

set

mis

appr

opria

tions

, im

prop

er

rece

ipts

and

exp

endi

ture

s, o

r fin

anci

al m

isco

nduc

t by

m

anag

emen

t and

oth

ers.

Org

aniz

acije

tre

baju

pr

epoz

nati

i oc

ijeni

ti riz

ike

pove

zane

s

prije

vara

ma,

uk

ljuču

jući

oc

jenu

vj

eroj

atno

sti

za p

rijev

arno

fin

anci

jsko

izv

ješć

ivan

je,

pron

evje

ru i

mov

ine,

net

očno

st r

ačun

a ili

tro

škov

a,

ili n

ezak

onito

pon

ašan

je u

sve

zi f

inan

cija

od

stra

ne

ruko

vods

tva

i dru

gih.

exte

rnal

ass

essm

ent p

roce

sspr

oces

van

jsko

g vr

edno

vanj

aTh

e re

view

tea

m s

houl

d co

nsis

t of

ind

ivid

uals

who

are

co

mpe

tent

in th

e pr

ofes

sion

al p

ract

ice

of in

tern

al a

uditi

ng

and

the

exte

rnal

ass

essm

ent p

roce

ss.

Rev

izijs

ki t

im t

reba

se

sast

ojat

i od

poj

edin

aca

sa

stru

čnim

poz

nava

njem

pra

kse

inte

rne

revi

zije

, ka

o i

proc

esa

vanj

skog

vre

dnov

anja

.

328

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

exte

rnal

aud

itva

njsk

a re

vizi

ja

CA

Es

shou

ld a

lso

cons

ider

the

ir re

latio

nshi

ps w

ith o

ther

co

ntro

l an

d m

onito

ring

func

tions

(r

isk

man

agem

ent,

com

plia

nce,

se

curit

y,

lega

l, et

hics

, en

viro

nmen

tal,

exte

rnal

aud

it) a

nd fa

cilit

ate

the

repo

rting

of m

ater

ial r

isk

and

cont

rol i

ssue

s to

the

audi

t com

mitt

ee.

Gla

vni

revi

zori

tako

đer

treba

ju u

zeti

u ob

zir

odno

se

inte

rne

revi

zije

s

drug

im

kont

roln

im

i na

dzor

nim

fu

nkci

jam

a (u

prav

ljanj

e riz

ikom

, po

štiv

anje

zak

onsk

e re

gula

tive,

sig

urno

st,

prav

na s

lužb

a, e

tika,

zaš

tita

okol

iša,

van

jska

rev

izija

), te

pom

oći

u iz

vješ

ćiva

nju

revi

zijs

kog

vije

ća

o m

ater

ijaln

im

pita

njim

a riz

ika

i ko

ntro

la.

exte

rnal

aud

it se

rvic

esus

luge

van

jske

revi

zije

Nat

ure

of t

his

Pra

ctic

e A

dvis

ory:

The

fol

low

ing

guid

ance

sh

ould

be

cons

ider

ed b

y ch

ief

audi

t ex

ecut

ives

(C

AE

s)

whe

n re

ques

ted

or a

ssig

ned

resp

onsi

bilit

y fo

r ac

quis

ition

of

ext

erna

l aud

it se

rvic

es.

Prir

oda

ovog

N

aput

ka

za

prak

su

inte

rne

revi

zije

: gl

avni

revi

zori

treba

ju u

zeti

u ob

zir s

ljede

će p

rijed

loge

pr

iliko

m p

rihva

ćanj

a za

duže

nja

za n

aruč

ivan

je u

slug

a va

njsk

e re

vizi

je.

exte

rnal

aud

itor

vanj

ski r

eviz

or

The

audi

t m

ay b

e pe

rform

ed b

y a

cont

ract

ed,

third

-pa

rty e

ntity

, by

exte

rnal

aud

itors

, or

by th

e in

tern

al a

udit

func

tion.

[Pra

ctic

e_A

dvis

orie

s_co

mpl

ete_

6_12

_200

7_E

NG

.doc

]

Rev

iziju

m

ogu

obav

ljati

ugov

orne

st

rank

e,

treće

os

obe,

van

jski

revi

zori

ili in

tern

i rev

izor

i.

exte

rnal

qua

lity

asse

ssm

ent

vanj

sko

vred

nova

nje

kval

itete

This

pr

ogra

m

incl

udes

pe

riodi

c in

tern

al

and

exte

rnal

qu

ality

ass

essm

ents

and

ong

oing

inte

rnal

mon

itorin

g.O

vaj p

rogr

am u

klju

čuje

pov

rem

ena

inte

rna

i van

jska

vr

edno

vanj

a kv

alite

te te

sta

lan

inte

rni n

adzo

r.

exte

rnal

revi

ewva

njsk

a re

vizi

jaW

hile

the

re m

ay b

e ci

rcum

stan

ces

whe

n a

full

exte

rnal

re

view

is n

ot d

eem

ed a

ppro

pria

te o

r nec

essa

ry.

Iako

mog

u po

stoj

ati o

koln

osti

u ko

jima

se s

mat

ra d

a po

tpun

a va

njsk

a re

vizi

ja n

ije p

rikla

dna

ili p

otre

bna.

Ext

erna

l Ser

vice

Pro

vide

rva

njsk

i pru

žate

lj us

luge

exte

rnal

sta

keho

lder

sva

njsk

i nos

itelji

inte

resa

Typi

cally

, th

e ke

y st

akeh

olde

rs

(cus

tom

ers)

fo

r th

e in

tern

al a

udit

activ

ity a

re d

ivid

ed in

to in

tern

al a

nd e

xter

nal

stak

ehol

ders

.

Gla

vni n

osite

lji in

tere

sa (

klije

nti)

za a

ktiv

nost

inte

rne

revi

zije

obi

čno

se d

ijele

na

inte

rne

i van

jske

nos

itelje

in

tere

sa.

faci

litat

orfa

cilit

ator

This

for

mat

is d

iffer

ent

than

the

tw

o ab

ove

beca

use

the

faci

litat

or id

entif

ies

the

key

risks

and

con

trols

bef

ore

the

begi

nnin

g of

the

wor

ksho

p.

Ova

j se

form

at ra

zlik

uje

za ta

dva

slu

čaja

jer f

acili

tato

r pr

epoz

naje

gl

avne

riz

ike

i ko

ntro

le

prije

po

četk

a ra

dion

ice.

329

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

final

eng

agem

ent

com

mun

icat

ion

zakl

jučn

a ob

avije

st o

rezu

ltatim

a an

gažm

ana

The

final

eng

agem

ent

com

mun

icat

ion

form

at s

houl

d be

co

nsid

ered

, sin

ce p

rope

r pl

anni

ng a

t thi

s st

age

faci

litat

es

prep

arin

g th

e fin

al e

ngag

emen

t com

mun

icat

ion.

Pot

rebn

o je

ra

zmot

riti

form

at

zakl

jučn

e ob

avije

sti

o re

zulta

tima

anga

žman

a je

r pr

aviln

o pl

anira

nje

u ov

oj f

azi

olak

šava

prip

rem

u za

klju

čne

obav

ijest

i o

rezu

ltatim

a an

gažm

ana.

final

eng

agem

ent

com

mun

icat

ion

form

atfo

rmat

zak

ljučn

e ob

avije

sti o

re

zulta

tima

anga

žman

a

The

final

eng

agem

ent

com

mun

icat

ion

form

at s

houl

d be

co

nsid

ered

, sin

ce p

rope

r pl

anni

ng a

t thi

s st

age

faci

litat

es

prep

arin

g th

e fin

al e

ngag

emen

t com

mun

icat

ion.

Pot

rebn

o je

ra

zmot

riti

form

at

zakl

jučn

e ob

avije

sti

o re

zulta

tima

anga

žman

a je

r pr

aviln

o pl

anira

nje

u ov

oj f

azi

olak

šava

prip

rem

u za

klju

čne

obav

ijest

i o

rezu

ltatim

a an

gažm

ana.

finan

cial

man

agem

ent s

yste

ms

sust

avi u

prav

ljanj

a fin

anci

jam

a;

sust

avi f

inan

cijs

kog

upra

vlja

nja

Man

agem

ent s

houl

d ha

ve a

pro

cess

in p

lace

to a

ddre

ss th

e fo

llow

ing

pote

ntia

l con

ditio

ns: I

nade

quac

ies

in in

terfa

cing

be

twee

n e-

com

mer

ce

and

finan

cial

m

anag

emen

t sy

stem

s.

Ruk

ovod

stvo

tre

ba u

stan

oviti

pro

ces

za r

ješa

vanj

e sl

jede

ćih

situ

acija

: ne

dost

aci u

suč

elja

vanj

u su

stav

a e-

trgov

ine

i fin

anci

jsko

g up

ravl

janj

a.

finan

cial

man

ager

sfin

anci

jsko

ruko

vods

tvo

Rep

rese

ntat

ives

from

key

are

as o

f the

org

aniz

atio

n sh

ould

be

rep

rese

nted

on

the

com

mitt

ee, i

nclu

ding

key

fina

ncia

l m

anag

ers,

lega

l cou

nsel

, ris

k m

anag

emen

t, in

tern

al a

udit,

an

d an

y ar

ea p

rovi

ding

inp

ut o

r da

ta f

or t

he r

egul

ator

y fil

ings

and

dis

clos

ures

.

U

vije

ću

treba

ju

biti

zast

uplje

ni

pred

stav

nici

ru

kovo

dstv

a iz

gl

avni

h po

druč

ja

orga

niza

cije

, uk

ljuču

jući

fin

anci

je,

prav

no s

avje

tniš

tvo,

upr

avlja

nje

rizik

om, i

nter

nu re

vizi

ju, t

e sv

ako

podr

učje

koj

e pr

uža

poda

tke

za s

vrhe

pod

noše

nja

regu

lato

rnih

izvj

ešća

i pr

iopć

avan

ja.

finan

cial

offi

cer

finan

cijs

ki d

irekt

or

The

Sar

bane

s-O

xley

A

ct

enac

ted

swee

ping

re

form

re

quiri

ng

addi

tiona

l di

sclo

sure

s an

d ce

rtific

atio

ns

of

finan

cial

sta

tem

ents

by

prin

cipa

l exe

cutiv

e an

d fin

anci

al

offic

ers.

Zako

n S

arba

nes-

Oxl

ey p

rove

o je

tem

eljn

u re

form

u u

oblik

u za

htje

va z

a do

datn

im p

riopć

enjim

a i p

otvr

dam

a fin

anci

jski

h iz

vješ

ća o

d st

rane

gla

vnog

izv

ršno

g i

finan

cijs

kih

dire

ktor

a.

Fina

ncia

l Rep

ortin

g C

ounc

ilV

ijeće

za

finan

cijs

ko iz

vješ

ćiva

nje

This

ris

k is

rai

sed

in t

he J

anua

ry 2

003

Sm

ith R

epor

t on

Aud

it C

omm

ittee

s an

d C

ombi

ned

Cod

e G

uida

nce,

ap

poin

ted

by t

he F

inan

cial

Rep

ortin

g C

ounc

il, a

nd i

s ad

dres

sed

in g

uida

nce

publ

ishe

d by

IC

AE

W (

Inst

itute

of

Cha

rtere

d A

ccou

ntan

ts i

n E

ngla

nd a

nd W

ales

), am

ong

othe

rs.

Ova

j riz

ik j

e, i

zmeđ

u os

talo

g, p

repo

znat

u s

iječn

ju

2003

., u

Sm

ithov

om iz

vješ

ću p

od n

aziv

om “R

eviz

ijska

vi

jeća

i sm

jern

ice

za p

rove

dbu

Kom

bini

rano

g ko

deks

a”

Vije

ća z

a fin

anci

jsko

izvj

ešći

vanj

e, t

e u

smje

rnic

ama

Inst

ituta

Ovl

ašte

nih

raču

novo

đa E

ngle

ske

i Wal

esa)

.

330

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

finan

cial

repo

rting

pro

cess

proc

es fi

nanc

ijsko

g iz

vješ

ćiva

nja

This

P

ract

ice

Adv

isor

y fo

cuse

s on

in

tern

al

audi

tor

rela

tions

hips

with

sen

ior

man

agem

ent

and

the

exte

rnal

au

dito

r reg

ardi

ng th

e fin

anci

al re

porti

ng p

roce

ss.

Ova

j Nap

utak

za

prak

su in

tern

e re

vizi

je u

smje

ren

je

na o

dnos

e in

tern

ih r

eviz

ora

s vi

soki

m r

ukov

odst

vom

i

vanj

skim

rev

izor

ima

u sv

ezi

proc

esa

finan

cijs

kog

izvj

ešći

vanj

a.

finan

cial

sta

tem

ent

finan

cijs

ko iz

vješ

će

The

resu

lts o

f a fr

aud

inve

stig

atio

n m

ay in

dica

te th

at fr

aud

may

hav

e ha

d a

prev

ious

ly u

ndis

cove

red

adve

rse

effe

ct

on t

he o

rgan

izat

ion

finan

cial

pos

ition

and

its

oper

atio

nal

resu

lts fo

r one

or m

ore

year

s fo

r whi

ch fi

nanc

ial s

tate

men

ts

have

alre

ady

been

issu

ed.

Rez

ulta

ti is

trage

pr

ijeva

re

mog

u po

kaza

ti da

je

pr

ijeva

ra

imal

a pr

etho

dno

neot

kriv

en

nega

tivan

uč

inak

na

finan

cijs

ki p

olož

aj o

rgan

izac

ije i

rez

ulta

te

posl

ovan

ja, u

tije

ku je

dne

ili v

iše

godi

na z

a ko

je s

u ve

ć bi

la iz

dana

fina

ncijs

ka iz

vješ

ća.

fixed

inte

rval

sam

ple

uzor

ak fi

ksno

g in

terv

ala

For s

elec

tion

on q

uant

itativ

e fie

lds,

com

mon

met

hods

are

: R

ando

m S

ampl

e (s

tatis

tical

sam

ple

on m

onet

ary

units

), Fi

xed

Inte

rval

Sam

ple

(sta

tistic

al s

ampl

e us

ing

a fix

ed

inte

rval

), C

ell

Sam

ple

(sta

tistic

al s

ampl

e us

ing

rand

om

sele

ctio

n in

an

inte

rval

).

Uob

ičaj

ene

met

ode

za o

dabi

r kv

antit

ativ

nih

polja

su:

sl

učaj

ni u

zora

k (s

tatis

tički

uzo

rak

novč

anih

jedi

nica

), uz

orak

fiks

nog

inte

rval

a (s

tatis

tički

uzo

rak

koji

koris

ti fik

sni i

nter

val),

sta

ničn

i uzo

rak

(sta

tistič

ki u

zora

k ko

ji ko

risti

sluč

ajan

oda

bir u

nuta

r nek

og in

terv

ala)

.

flow

char

tsdi

jagr

ami t

oka

The

docu

men

t C

AA

Ts t

o be

use

d, i

nclu

ding

obj

ectiv

es,

high

-leve

l flo

wch

arts

, and

run.

Rač

unal

ne re

vizi

jske

tehn

ike

koje

je p

otre

bno

koris

titi,

uklju

čuju

ći c

iljev

e i v

isok

oraz

insk

e di

jagr

ame

toka

.

follo

w-u

p pr

oces

spr

oces

pra

ćenj

a i k

ontro

leD

escr

iptio

n of

the

int

erna

l au

ditin

g ac

tivity

s

repo

rting

pr

oced

ures

and

follo

w-u

p pr

oces

s.O

pis

post

upak

a iz

vješ

ćiva

nja

i pr

oces

a pr

aćen

ja i

ko

ntro

le d

jela

tnos

ti in

tern

e re

vizi

je.

fram

ewor

kok

vir

For

train

ing

sess

ions

, to

fac

ilita

te t

he o

rder

ly f

low

of

wor

ksho

p di

scus

sion

s an

d as

a c

heck

on

the

com

plet

enes

s of

the

ove

rall

proc

ess,

org

aniz

atio

ns o

ften

use

a co

ntro

l fra

mew

ork

such

as

the

CO

SO

and

CO

CO

mod

els.

Pril

ikom

pla

nira

nja

treni

nga,

u c

ilju

omog

ućav

anja

pr

aviln

og

tijek

a ra

dion

ički

h di

skus

ija,

te

prov

jere

cj

elov

itost

i či

tavo

ga

proc

esa,

or

gani

zaci

je

čest

o ko

riste

mod

ele

kont

roln

ih o

kvira

kao

što

su

CO

SO

i C

OC

O.

fraud

prije

vara

; zlo

upor

aba

Out

side

serv

ice

prov

ider

s inc

lude

, am

ong

othe

rs, a

ctua

ries,

ac

coun

tant

s,

appr

aise

rs,

envi

ronm

enta

l sp

ecia

lists

, fra

ud

inve

stig

ator

s,

law

yers

, en

gine

ers,

ge

olog

ists

, se

curit

y sp

ecia

lists

, st

atis

ticia

ns,

info

rmat

ion

tech

nolo

gy

spec

ialis

ts, t

he o

rgan

izat

ion

s e

xter

nal a

udito

rs, a

nd o

ther

au

ditin

g or

gani

zatio

ns.

Van

jski

pru

žate

lji u

slug

a, u

z os

talo

, ukl

juču

ju a

ktua

re,

raču

novo

đe, p

rocj

enite

lje, s

tručn

jake

za za

štitu

oko

liša,

is

traži

telje

prij

evar

a, o

dvje

tnik

e, i

nžen

jere

, ge

olog

e,

stru

čnja

ke z

a si

gurn

ost,

stat

istič

are,

stru

čnja

ke z

a in

form

acijs

ku t

ehno

logi

ju,

vanj

ske

revi

zore

, te

dru

ge

revi

zijs

ke tv

rtke.

331

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

fraud

aud

itre

vizi

ja p

rijev

are

Ass

ess

aspe

cts

of

the

cont

rol

envi

ronm

ent,

cond

uct

proa

ctiv

e fra

ud a

udits

and

inv

estig

atio

ns,

com

mun

icat

e re

sults

of f

raud

aud

its, a

nd p

rovi

de s

uppo

rt fo

r rem

edia

tion

effo

rts.

Oci

jeni

ti as

pekt

e ko

ntro

lnog

ok

ruže

nja,

pr

oakt

ivno

pr

oves

ti is

trage

i uvi

de u

prij

evar

e, p

riopć

iti re

zulta

te ti

h is

traga

, te

podr

žati

napo

re z

a is

prav

ljanj

em s

ituac

ije.

fraud

indi

cato

rspo

kaza

telji

prij

evar

e

Ass

ess m

onito

ring

activ

ities

and

rela

ted

com

pute

r sof

twar

e;

cond

uct i

nves

tigat

ions

; sup

port

the

deve

lopm

ent o

f fra

ud

indi

cato

rs; a

nd h

ire a

nd tr

ain

empl

oyee

s so

they

can

hav

e th

e ap

prop

riate

frau

d au

dit o

r inv

estig

ativ

e ex

perie

nce.

Oci

jeni

ti ak

tivno

sti

nadz

ora

i po

veza

nu p

rogr

amsk

u op

rem

u; p

rove

sti i

stra

ge;

podr

žati

razv

oj p

okaz

atel

ja

prije

vare

; te

pr

oves

ti za

pošl

java

nje

i iz

obra

zbu

zapo

slen

ika

u ci

lju s

tjeca

nja

odgo

vara

juće

g is

kust

va

u re

vizi

ji pr

ijeva

re i

istra

žnim

pos

tupc

ima.

fraud

inve

stig

atio

nis

traga

prij

evar

e

This

pra

ctic

e ad

viso

ry s

houl

d be

rea

d in

con

junc

tion

with

P

A12

10.A

2-2,

“Aud

iibili

ties

Rel

atin

g to

Fra

ud In

vest

igat

ion,

R

epor

ting,

R

esol

utio

n,

and

Com

mun

icat

ion.

”[Pra

ctic

e_A

dvis

orie

s_co

mpl

ete_

6_12

_200

7_E

NG

.doc

]

Ova

j N

aput

ak z

a pr

aksu

int

erne

rev

izije

pot

rebn

o je

tum

ačiti

zaj

edno

s P

A12

10.A

2-2

“Oči

tova

nja

u sv

ezi

istra

ge

prije

vare

, iz

vješ

ćiva

nja,

ra

zrje

šenj

a i

prio

pćav

anja

”.

fraud

pol

icy

polit

ika

za s

prje

čava

nje

prije

vare

Com

pani

es

mus

t es

tabl

ish

an

appr

opria

te

cont

rol

envi

ronm

ent

that

inc

lude

s: A

cod

e of

con

duct

, et

hics

po

licy,

or

fraud

pol

icy

to s

et t

he a

ppro

pria

te t

one

at t

he

top.

Pod

uzeć

a m

oraj

u ut

vrdi

ti od

gova

raju

će

kont

roln

o ok

ruže

nje

koje

ukl

juču

je:

kode

ks p

onaš

anja

, et

ičku

po

litik

u ili

pol

itiku

za

sprje

čava

nje

prije

vare

, u

cilju

od

ređi

vanj

a et

ičko

g oz

račj

a po

duze

ća o

d vr

ha p

rem

a dn

u.

fraud

pre

vent

ion

sprje

čava

nje

prije

vare

Frau

d pr

even

tion

invo

lves

th

ose

actio

ns

take

n to

di

scou

rage

th

e co

mm

issi

on

of

fraud

an

d lim

it fra

ud

expo

sure

whe

n it

occu

rs.

Spr

ječa

vanj

e pr

ijeva

re

uklju

čuje

ko

rake

po

duze

te

u ci

lju

onem

oguć

avan

ja

prije

vare

, te

og

rani

čenj

a iz

lože

nost

i u s

luča

ju p

rijev

are.

fraud

repo

rting

izvj

ešći

vanj

e o

prije

vari

Frau

d re

porti

ng c

onsi

sts

of t

he v

ario

us o

ral

or w

ritte

n,

inte

rim o

r fin

al c

omm

unic

atio

ns t

o se

nior

man

agem

ent

and/

or t

he b

oard

of

dire

ctor

s re

gard

ing

the

stat

us a

nd

resu

lts o

f fra

ud in

vest

igat

ions

.

Izvj

ešći

vanj

e o

prije

vari

sast

oji s

e od

razl

ičiti

h ve

rbal

nih

ili p

isan

ih, p

rivre

men

ih il

i zak

ljučn

ih iz

vješ

ća v

isok

om

ruko

vods

tvu

i/ili

Upr

avno

m o

dbor

u u

svez

i st

atus

a i

rezu

ltata

istra

ge p

rijev

are.

fraud

risk

rizik

prij

evar

eA

ll or

gani

zatio

ns a

re e

xpos

ed to

a d

egre

e of

frau

d ris

k in

an

y pr

oces

s w

here

hum

an in

put i

s re

quire

d.

Sve

su

orga

niza

cije

do

odre

đeno

g st

upnj

a iz

lože

ne

rizik

u pr

ijeva

re u

sva

kom

pro

cesu

gdj

e je

pot

rebn

o lju

dsko

sud

jelo

vanj

e.

332

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

fraud

risk

ass

essm

ent

ocje

na ri

zika

prij

evar

e

Eva

luat

e m

anag

emen

t’s

fraud

ris

k as

sess

men

t, in

pa

rticu

lar,

thei

r pr

oces

ses

for

iden

tifyi

ng, a

sses

sing

, and

te

stin

g po

tent

ial

fraud

an

d m

isco

nduc

t sc

hem

es

and

scen

ario

s, i

nclu

ding

tho

se t

hat

coul

d in

volv

e su

pplie

rs,

cont

ract

ors,

and

oth

er p

artie

s.

Oci

jeni

ti pr

oces

ocj

ene

rizik

a pr

ijeva

re,

a na

roči

to

proc

ese

ruko

vods

tva

za

utvr

điva

nje

i is

pitiv

anje

m

oguć

ih p

rijev

ara,

te p

lano

va i

scen

arija

zlo

upor

abe,

uk

ljuču

jući

i

one

koji

se

odno

se

na

doba

vlja

če,

ugov

orne

stra

nke

i dru

ge.

fraud

sch

eme

plan

prij

evar

eA

udito

rs

also

sh

ould

un

ders

tand

fra

ud

sche

mes

an

d sc

enar

ios,

as

wel

l as

be a

war

e of

the

sign

s th

at p

oint

to

fraud

and

how

to p

reve

nt th

em.

Rev

izor

i ta

kođe

r m

oraj

u do

bro

razu

mje

ti pl

anov

e i

scen

arije

prij

evar

e, t

e sp

rem

no u

očav

ati p

okaz

atel

je

prije

vare

i na

čine

njih

ova

sprje

čava

nja.

fraud

-rel

ated

con

trols

kont

role

za

sprje

čava

nje

prije

vare

Ass

ess

the

desi

gn a

nd o

pera

ting

effe

ctiv

enes

s of

fra

ud-

rela

ted

cont

rols

; en

sure

tha

t au

dit

plan

s an

d pr

ogra

ms

addr

ess

resi

dual

risk

and

inco

rpor

ate

fraud

aud

its; e

valu

ate

the

desi

gn o

f fa

cilit

ies

from

a f

raud

or

thef

t pe

rspe

ctiv

e;

and

revi

ew p

ropo

sed

chan

ges

to l

aws,

reg

ulat

ions

, or

sy

stem

s, a

nd th

eir i

mpa

cts

on c

ontro

ls.

Oci

jeni

ti pl

an

i ra

dnu

učin

kovi

tost

ko

ntro

la

za

sprje

čava

nje

prije

vare

; os

igur

ati d

a re

vizi

jski

pla

novi

i p

rogr

ami u

klju

čuju

rezi

dual

ni ri

zik

i ist

rage

prij

evar

e;

ocije

niti

nacr

t pr

osto

rija

sa

stan

oviš

ta

prije

vare

ili

kr

ađe;

te o

bavi

ti pr

egle

d pr

edlo

ženi

h iz

mje

ne z

akon

a,

prop

isa

ili s

usta

va te

njih

ova

učin

ka n

a ko

ntro

le.

fraud

ulen

t act

ivity

nepo

šten

a po

slov

na a

ktiv

nost

; pr

ijeva

rna

posl

ovna

akt

ivno

st

The

prob

abili

ty o

f a fr

audu

lent

act

ivity

is b

ased

, typ

ical

ly,

on h

ow e

asy

it is

to c

omm

it fra

ud, t

he m

otiv

atio

nal f

acto

rs

lead

ing

to fr

aud,

and

the

com

pany

’s fr

aud

hist

ory.

Vje

roja

tnos

t pr

ijeva

rnih

pos

lovn

ih a

ktiv

nost

i ob

ično

se

zas

niva

na

tom

e ka

ko je

lako

poč

initi

prij

evar

u, n

a m

otiv

acijs

kim

čim

beni

cim

a ko

ji do

vode

do

prije

vare

, te

na p

ovije

sti p

rijev

are

u or

gani

zaci

ji.

fraud

ulen

t fin

anci

al re

porti

ngpr

ijeva

rno

finac

ijsko

izvj

ešći

vanj

e

Org

aniz

atio

ns s

houl

d id

entif

y an

d as

sess

fra

ud-r

elat

ed

risks

, in

clud

ing

asse

ssin

g th

e po

tent

ial

for

fraud

ulen

t fin

anci

al

repo

rting

, as

set

mis

appr

opria

tions

, im

prop

er

rece

ipts

and

exp

endi

ture

s, o

r fin

anci

al m

isco

nduc

t by

m

anag

emen

t and

oth

ers.

Org

aniz

acije

tre

baju

pr

epoz

nati

i oc

ijeni

ti riz

ike

pove

zane

s

prije

vara

ma,

uk

ljuču

jući

oc

jenu

vj

eroj

atno

sti

za p

rijev

arno

fin

anci

jsko

izv

ješć

ivan

je,

pron

evje

ru i

mov

ine,

net

očno

st r

ačun

a ili

tro

škov

a,

ili n

ezak

onito

pon

ašan

je u

sve

zi f

inan

cija

od

stra

ne

ruko

vods

tva

i dru

gih.

full

disc

losu

repo

tpun

o ra

zotk

rivan

je;

obja

vljiv

anje

The

occa

sion

al p

erfo

rman

ce o

f no

n-au

dit

wor

k by

the

in

tern

al

audi

tor,

with

fu

ll di

sclo

sure

in

th

e re

porti

ng

proc

ess,

wou

ld n

ot n

eces

saril

y im

pair

inde

pend

ence

.

Pov

rem

eno

obav

ljanj

e ne

revi

zijs

kih

posl

ova

od s

trane

in

tern

ih r

eviz

ora,

uz

potp

uno

razo

tkriv

anje

pod

atak

a u

proc

esu

izvj

ešći

vanj

a, n

e m

ora

nužn

o on

emog

ućiti

nj

ihov

u ne

zavi

snos

t.

333

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

func

tiona

l rep

ortin

g lin

efu

nkci

onal

na li

nija

odg

ovor

nost

iTh

e fu

nctio

nal r

epor

ting

line

for t

he in

tern

al a

udit

func

tion

is th

e ul

timat

e so

urce

of i

ts in

depe

nden

ce a

nd a

utho

rity.

Funk

cion

alna

lini

ja o

dgov

orno

sti z

a dj

elat

nost

inte

rne

revi

zije

gl

avno

je

iz

voriš

te

njez

ine

neza

visn

osti

i ov

lašt

enja

.

func

tiona

l uni

tfu

nkci

onal

na je

dini

ca

Hig

h-le

vel

pers

onne

l of

th

e or

gani

zatio

n in

clud

es:

a di

rect

or; a

n ex

ecut

ive

offic

er; a

n in

divi

dual

in c

harg

e of

a

maj

or b

usin

ess

or fu

nctio

nal u

nit o

f the

org

aniz

atio

n, s

uch

as s

ales

, adm

inis

tratio

n or

fina

nce;

and

an

indi

vidu

al w

ith

a su

bsta

ntia

l ow

ners

hip

inte

rest

.

Vis

oko

ruko

vods

tvo

orga

niza

cije

ukl

juču

je:

dire

ktor

a;

izvr

šnog

dire

ktor

a; p

ojed

inca

zad

užen

og z

a gl

avnu

po

slov

nu il

i fun

kcio

naln

u je

dini

cu o

rgan

izac

ije, k

ao š

to

je p

roda

ja, a

dmin

istra

cija

ili f

inan

cije

; te

poje

dinc

a sa

zn

atni

m u

djel

om v

lasn

ištv

a.

gove

rnan

ce(k

orpo

rativ

no il

i org

aniz

acijs

ko)

upra

vlja

nje

Sig

nific

ant c

onsu

lting

ser

vice

s in

the

area

s of

gov

erna

nce,

ris

k m

anag

emen

t, fin

anci

al r

epor

ting,

inte

rnal

con

trol,

and

othe

r rel

ated

are

as.

Važ

ne u

slug

e sa

vjet

ništ

va n

a po

druč

jima

korp

orat

ivno

g up

ravl

janj

a,

upra

vlja

nja

rizik

om,

finan

cijs

kog

izvj

ešći

vanj

a, i

nter

nih

kont

rola

i d

rugi

m p

ovez

anim

po

druč

jima.

gove

rnan

ce p

roce

sses

proc

esi (

korp

orat

ivno

g ili

or

gani

zaci

jsko

g) u

prav

ljanj

a

It he

lps

an o

rgan

izat

ion

acco

mpl

ish

its o

bjec

tives

by

brin

ging

a s

yste

mat

ic,

disc

iplin

ed a

ppro

ach

to e

valu

ate

and

impr

ove

the

effe

ctiv

enes

s of

ris

k m

anag

emen

t, co

ntro

l, an

d go

vern

ance

pro

cess

es.

Pom

aže

orga

niza

ciji u

ost

variv

anju

cilj

eva,

usv

ajan

jem

su

stav

nog

i dis

cipl

inira

nog

pris

tupa

ocj

eni i

pobo

ljšan

ju

učin

kovi

tost

i pr

oces

a up

ravl

janj

a riz

ikom

, ko

ntro

la i

ko

rpor

ativ

nog

upra

vlja

nja.

gove

rnm

ent a

udit

orga

niza

tions

orga

niza

cije

drž

avne

revi

zije

This

Pra

ctic

e A

dvis

ory

prov

ides

gui

danc

e fo

r gov

ernm

ent

audi

t or

gani

zatio

ns c

ondu

ctin

g w

ork

in c

ompl

ianc

e w

ith

IIA S

tand

ards

, bu

t w

hose

loc

al g

over

nanc

e ru

les

audi

t st

anda

rds,

pol

icie

s an

d/or

leg

isla

tion

mor

e st

rictly

lim

it no

n-as

sura

nce

(con

sulti

ng) s

ervi

ces.

Ova

j N

aput

ak

za

prak

su

inte

rne

revi

zije

pr

uža

smje

rnic

e or

gani

zaci

jam

a dr

žavn

e re

vizi

je

koje

pr

ovod

e ak

tivno

sti u

suk

ladn

osti

sa S

tand

ardi

ma

IIA-

e, a

li či

ji lo

kaln

i sus

tav

upra

vlja

nja,

revi

zijs

ki s

tand

ardi

, po

litik

e i/i

li za

koni

stro

žije

ogr

anič

avaj

u sa

vjet

ničk

e us

luge

.

Gov

ernm

ent I

nter

nal A

udit

Sta

ndar

d 2.

4.2

Sta

ndar

d in

tern

e re

vizi

je v

lade

2.

4.2

Exa

mpl

es o

f spe

cific

rest

rictio

ns in

clud

e U

.K.’s

Gov

ernm

ent

Inte

rnal

Aud

it S

tand

ard

2.4.

2P

rimje

ri sp

ecifi

čnih

ogr

anič

enja

ukl

juču

ju S

tand

ard

inte

rne

revi

zije

vla

de 2

.4.2

. Uje

dinj

enog

Kra

ljevs

tva.

haph

azar

d sa

mpl

ena

sum

ični

uzo

rak

How

ever

, ana

lysi

s of

a h

apha

zard

sam

ple

shou

ld n

ot b

e re

lied

upon

to fo

rm a

con

clus

ion

on th

e po

pula

tion.

Međ

utim

, an

aliz

a na

sum

ično

g uz

orka

ni

je

sasv

im

pouz

dana

za

dono

šenj

e za

klju

čaka

o p

opul

aciji

.

haph

azar

d sa

mpl

ing

nasu

mič

no u

zork

ovan

jeH

apha

zard

sam

plin

g -in

whi

ch t

he a

udito

r se

lect

s th

e sa

mpl

e w

ithou

t fol

low

ing

a st

ruct

ured

tech

niqu

e, h

owev

er

avoi

ding

any

con

scio

us b

ias

or p

redi

ctab

ility

.

Nas

umič

no u

zork

ovan

je,

pri

koje

m r

eviz

or o

dabi

re

uzor

ak

bez

koriš

tenj

a st

rukt

urira

ne

tehn

ike,

al

i uz

iz

bjeg

avan

je

svak

e sv

jesn

e pr

istra

nost

i ili

pr

edvi

dljiv

osti.

334

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

high

-ris

k ar

eas

podr

učja

vis

okog

rizi

ka

The

risk

mod

el a

lso

shou

ld u

se c

onsi

sten

t ca

tego

ries

(i.e.

, the

re s

houl

d be

no

over

lap

betw

een

risk

area

s) a

nd

be d

etai

led

enou

gh fo

r a

risk

asse

ssm

ent t

o id

entif

y an

d co

ver a

ntic

ipat

ed h

igh-

risk

area

s.

Mod

el ri

zika

tako

đer t

reba

kor

istit

i dos

ljedn

e ka

tego

rije

(npr

. ne

smije

biti

pre

klap

anja

međ

u po

druč

jima

rizik

a),

te tr

eba

sadr

žava

ti do

voljn

o po

jedi

nost

i za

utvr

điva

nje

i pok

rivan

je p

odru

čja

viso

kog

rizik

a.

high

-ris

k pr

oces

ses

proc

esi v

isok

og ri

zika

A C

SA

pro

gram

sho

uld

incr

ease

the

cove

rage

of a

sses

sing

co

ntro

l pr

oces

ses

acro

ss t

he o

rgan

izat

ion,

im

prov

e th

e qu

ality

of c

orre

ctiv

e ac

tions

mad

e by

the

proc

ess

owne

rs,

and

focu

s in

tern

al a

udit

s w

ork

on r

evie

win

g hi

gh-r

isk

proc

esse

s an

d un

usua

l situ

atio

ns.

Pro

gram

sa

mov

redn

ovan

ja

(CS

A)

treba

po

veća

ti po

kriv

enos

t oc

jenj

ivan

ja k

ontro

lnih

pro

cesa

u c

ijelo

j or

gani

zaci

ji, p

obol

jšat

i kva

litet

u ko

rekt

ivni

h m

jera

, te

us

mje

riti d

jela

tnos

t int

erne

revi

zije

na

prov

jere

pro

cesa

vi

soko

g riz

ika

i neu

obič

ajen

ih s

ituac

ija.

IAA

SB

/IFA

C

Međ

unar

odni

odb

or z

a re

vizi

jske

i s

igur

nosn

e st

anda

rde

/ M

eđun

arod

na fe

dera

cija

ra

čuno

vođa

(IA

AS

B/IF

AC

)

This

pr

inci

ple

has

been

ar

ticul

ated

by

nu

mer

ous

stan

dard

-set

ting

bodi

es, i

nclu

ding

gui

danc

e pu

blis

hed

by

IAA

SB

/IFA

C i

n its

Cod

e of

Pro

fess

iona

l E

thic

s an

d th

e U

.S.

Gov

ernm

ent

Acc

ount

abili

ty O

ffice

in

its G

ener

ally

A

ccep

ted

Gov

ernm

ent A

uditi

ng S

tand

ards

.

Na

ovo

nače

lo p

oziv

aju

se m

noga

tije

la z

a ut

vrđi

vanj

e st

anda

rda,

ka

o np

r. IA

AS

B/IF

AC

u

smje

rnic

ama

Kod

eksa

pr

ofes

iona

lne

etik

e,

te

Vla

din

Ure

d za

od

govo

rnos

t (S

AD

) u

Opć

eprih

vaće

nim

sta

ndar

dim

a dr

žavn

e re

vizi

je.

ICA

EW

Inst

itut o

vlaš

teni

h ko

ntro

lora

E

ngle

ske

i Wal

esa

(ICA

EW

)

This

ris

k is

rai

sed

in t

he J

anua

ry 2

003

Sm

ith R

epor

t on

Aud

it C

omm

ittee

s an

d C

ombi

ned

Cod

e G

uida

nce,

ap

poin

ted

by t

he F

inan

cial

Rep

ortin

g C

ounc

il, a

nd i

s ad

dres

sed

in g

uida

nce

publ

ishe

d by

IC

AE

W (

Inst

itute

of

Cha

rtere

d A

ccou

ntan

ts i

n E

ngla

nd a

nd W

ales

), am

ong

othe

rs.

Ova

j riz

ik j

e, i

zmeđ

u os

talo

g, p

repo

znat

u s

iječn

ju

2003

., u

Sm

ithov

om iz

vješ

ću p

od n

aziv

om “R

eviz

ijska

vi

jeća

i sm

jern

ice

za p

rove

dbu

Kom

bini

rano

g ko

deks

a”

Vije

ća z

a fin

anci

jsko

izvj

ešći

vanj

e, t

e u

smje

rnic

ama

Inst

ituta

Ovl

ašte

nih

raču

novo

đa E

ngle

ske

i Wal

esa)

.

IIAIn

stitu

t int

erni

h re

vizo

ra (I

IA)

Inte

rnal

aud

itors

are

enc

oura

ged

to d

emon

stra

te t

heir

prof

icie

ncy

by

obta

inin

g ap

prop

riate

pr

ofes

sion

al

certi

ficat

ion,

su

ch

as

the

Cer

tifie

d In

tern

al

Aud

itor

desi

gnat

ion

and

othe

r des

igna

tions

offe

red

by T

he In

stitu

te

of In

tern

al A

udito

rs (I

IA).

Inte

rne

revi

zore

po

trebn

o je

po

ticat

i na

po

tvrd

u st

ručn

osti

stje

canj

em

odgo

vara

jući

h pr

ofes

iona

lnih

ce

rtifik

ata,

ka

o št

o je

na

ziv

ovla

šten

og

inte

rnog

re

vizo

ra, t

e dr

ugi n

aziv

i koj

e do

djel

juje

Inst

itut i

nter

nih

revi

zora

(IIA

).

IIA P

erfo

rman

ce S

tand

ards

Sta

ndar

di u

čink

ovito

sti I

IATh

e IIA

Per

form

ance

Sta

ndar

ds s

houl

d be

con

side

red

in i

dent

ifyin

g pe

rform

ance

mea

sure

men

t ca

tego

ries

in

inte

rnal

aud

it pr

oces

ses.

Pril

ikom

ut

vrđi

vanj

a ka

tego

rija

za

mje

renj

e uč

inko

vito

sti p

roce

sa in

tern

e re

vizi

je, p

otre

bno

je u

zeti

u ob

zir S

tand

arde

uči

nkov

itost

i IIA

-e.

335

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

IIA R

esea

rch

Foun

datio

nZa

klad

a za

istra

živa

nje

IIA

This

pap

er i

s av

aila

ble

on t

he I

IA W

eb s

ite a

nd w

as

spon

sore

d by

The

IIA

Res

earc

h Fo

unda

tion,

the

Can

adia

n In

stitu

te o

f C

harte

red

Acc

ount

ants

, an

d th

e In

stitu

te o

f C

orpo

rate

Dire

ctor

s.

Ova

j dok

umen

t mož

e se

nać

i na

web

stra

nici

IIA

-e, a

po

krov

itelji

su

mu

Zakl

ada

za is

traži

vanj

e IIA

, Kan

adsk

i in

stitu

t ov

lašt

enih

kon

trolo

ra i

Ins

titut

kor

pora

tivni

h di

rekt

ora.

IIA s

Cod

e of

Eth

ics

Etič

ki k

odek

s IIA

The

inte

rnal

aud

itor i

s gu

ided

by

The

IIA s

Cod

e of

Eth

ics

and

the

Attr

ibut

e an

d P

erfo

rman

ce S

tand

ards

of

the

Inte

rnat

iona

l S

tand

ards

for

the

Pro

fess

iona

l P

ract

ice

of

Inte

rnal

Aud

iting

(Sta

ndar

ds).

Inte

rni

revi

zori

osla

njaj

u se

na

sm

jern

ice

Etič

kog

kode

ksa

IIA,

te

Opi

snih

st

anda

rda

i S

tand

arda

uč

inko

vito

sti k

oji s

u di

o M

eđun

arod

nih

stan

dard

a za

pr

ofes

iona

lnu

prak

su in

tern

e re

vizi

je (S

tand

ardi

).

IIA S

tand

ards

Sta

ndar

di II

A

This

Pra

ctic

e A

dvis

ory

prov

ides

gui

danc

e fo

r gov

ernm

ent

audi

t or

gani

zatio

ns c

ondu

ctin

g w

ork

in c

ompl

ianc

e w

ith

IIA S

tand

ards

, bu

t w

hose

loc

al g

over

nanc

e ru

les

audi

t st

anda

rds,

pol

icie

s an

d/or

leg

isla

tion

mor

e st

rictly

lim

it no

n-as

sura

nce

(con

sulti

ng) s

ervi

ces.

Ova

j N

aput

ak

za

prak

su

inte

rne

revi

zije

pr

uža

smje

rnic

e or

gani

zaci

jam

a dr

žavn

e re

vizi

je

koje

pr

ovod

e ak

tivno

sti u

suk

ladn

osti

sa S

tand

ardi

ma

IIA,

ali č

iji lo

kaln

i sus

tav

upra

vlja

nja,

rev

izijs

ki s

tand

ardi

, po

litik

e i/i

li za

koni

stro

žije

ogr

anič

avaj

u sa

vjet

ničk

e us

luge

.

IIA-In

stitu

te A

gree

men

tug

ovor

Inst

ituta

IIA

IIA-In

stitu

te C

hief

Sta

ff O

ffice

rna

čeln

ik; p

reds

jedn

ik; d

irekt

or

Inst

ituta

IIA

IIA-In

stitu

te fe

esčl

anar

ina

Inst

ituta

IIA

IIA-In

stitu

te S

ecre

tary

tajn

ištv

o In

stitu

ta II

A

IIA-In

stitu

te T

op E

lect

ed O

ffice

rvi

soki

duž

nosn

ik In

stitu

ta II

A

IIA-In

stitu

tes

Inst

ituti

IIA

illeg

al a

ctne

zako

nito

dje

lo

Frau

d en

com

pass

es

a ra

nge

of

irreg

ular

ities

an

d ill

egal

ac

ts

char

acte

rized

by

in

tent

iona

l de

cept

ion

or

mis

repr

esen

tatio

n, w

hich

an

indi

vidu

al k

now

s to

be

fals

e or

doe

s no

t bel

ieve

to b

e tru

e.

Prij

evar

a ob

uhva

ća

širo

ki

rasp

on

nepr

aviln

osti

i ne

zako

nitih

dje

la s

a zn

ačaj

kam

a na

mje

rne

prije

vare

ili

kriv

og p

reds

tavl

janj

a po

data

ka, z

a ko

je p

ojed

inac

zna

da

su

neto

čni i

li ne

vje

ruje

da

su to

čni.

illeg

al a

ctiv

ityne

zako

nita

akt

ivno

stC

ompl

ianc

e pr

ogra

ms

assi

st o

rgan

izat

ions

in p

reve

ntin

g in

adve

rtent

em

ploy

ee v

iola

tions

, det

ectin

g ill

egal

act

iviti

es,

and

disc

oura

ging

inte

ntio

nal e

mpl

oyee

vio

latio

ns.

Pro

gram

i po

štiv

anja

za

kons

ke

regu

lativ

e po

maž

u or

gani

zaci

jam

a u

sprje

čava

nju

nena

mje

rnih

pre

krša

ja,

otkr

ivan

ju

neza

koni

tih

aktiv

nost

i, te

sp

rječa

vanj

u na

mje

rnih

pre

krša

ja o

d st

rane

zap

osle

nika

.

336

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

Impa

irmen

tsm

anje

nje;

nar

ušav

anje

; oš

teće

nje

Impl

emen

tatio

n st

anda

rds

Sta

ndar

di z

a ob

avlja

nje

(usl

uga

savj

etni

štva

)Th

is

Pra

ctic

e A

dvis

ory

incl

udes

gu

idan

ce

rela

ted

to

mul

tiple

Con

sulti

ng Im

plem

enta

tion

Sta

ndar

ds.

Ova

j N

aput

ak z

a pr

aksu

int

erne

rev

izije

ukl

juču

je

smje

rnic

e u

svez

i viš

estru

kih

Sta

ndar

da z

a ob

avlja

nje

uslu

ga s

avje

tniš

tva.

Inco

me

stat

emen

tiz

vješ

će o

prih

odim

a

inde

pend

ence

neza

visn

ost

inde

pend

ent e

xter

nal r

evie

wer

or

revi

ew te

amne

zavi

sni v

anjs

ki o

cjen

jivač

ili

ocje

njiv

ački

tim

The

first

app

roac

h is

a fu

ll ex

tern

al a

sses

smen

t con

duct

ed

by a

qua

lifie

d, i

ndep

ende

nt e

xter

nal

revi

ewer

or

revi

ew

team

.

Prv

i pr

istu

p uk

ljuču

je

sveo

buhv

atno

va

njsk

o vr

edno

vanj

e ko

je p

rovo

di s

tručn

i ne

zavi

sni

vanj

ski

ocje

njiv

ač il

i ocj

enjiv

ački

tim

.

inde

pend

ent o

n-si

te v

alid

atio

nne

zavi

sna

valid

acija

na

loka

ciji

klije

nta

The

IIA h

as p

rovi

ded

an a

ltern

ativ

e pr

oces

s va

lidat

ion

that

fe

atur

es a

n in

depe

nden

t on

-site

val

idat

ion

by q

ualif

ied,

in

depe

nden

t rev

iew

er.

IIA n

udi

zam

jens

ki p

roce

s va

lidac

ije,

koji

se s

asto

ji od

nez

avis

ne v

alid

acije

na

loka

ciji

klije

nta

u pr

oved

bi

stru

čnog

nez

avis

nog

ocje

njiv

ača.

inde

pend

ent p

arty

neza

visn

a st

rank

a

This

can

inc

lude

whe

ther

the

ind

epen

dent

par

ty h

as

appr

opria

te

prof

essi

onal

ce

rtific

atio

n or

lic

ense

, ha

s re

leva

nt e

xper

ienc

e an

d is

in g

ood

stan

ding

with

app

licab

le

prof

essi

onal

, and

regu

lato

ry (i

f app

licab

le) a

utho

ritie

s.

Ovo

m

ože

uklju

čiva

ti pr

ovje

ru

neza

visn

e st

rank

e,

u ob

liku

prov

jere

od

gova

raju

ćeg

prof

esio

naln

og

certi

fikat

a ili

do

zvol

e,

odgo

vara

juće

g is

kust

va,

te

odno

sa s

odg

ovar

ajuć

im p

rofe

sion

alni

m i

regu

lato

rnim

(u

kolik

o je

prim

jenj

ivo)

vla

stim

a.

inde

pend

ent r

evie

wne

zavi

sni p

regl

ed

This

alte

rnat

ive

appr

oach

brin

gs in

a q

ualif

ied,

inde

pend

ent

revi

ewer

or

revi

ew t

eam

who

is

wel

l-ver

sed

in q

ualit

y as

sess

men

t met

hodo

logy

to v

alid

ate

the

afor

emen

tione

d se

lf-as

sess

men

t of t

he in

tern

al a

udit

activ

ity.

Ova

j alte

rnat

ivni

pris

tup

uklju

čuje

sudj

elov

anje

stru

čnog

ne

zavi

snog

ocj

enjiv

ača

ili o

cjen

jivač

kog

tima,

koj

i je

dobr

o up

ozna

t s m

etod

olog

ijom

ocj

enjiv

anja

kva

litet

e i

mož

e po

tvrd

iti r

anije

spo

men

uto

sam

ovre

dnov

anje

dj

elat

nost

i int

erne

revi

zije

.

inde

pend

ent v

alid

atio

nne

zavi

sna

valid

acija

The

seco

nd a

ppro

ach

invo

lves

the

use

of

a qu

alifi

ed,

inde

pend

ent e

xter

nal r

evie

wer

or

revi

ew te

am to

con

duct

an

inde

pend

ent v

alid

atio

n of

the

inte

rnal

sel

f-ass

essm

ent

and

repo

rt co

mpl

eted

by

the

inte

rnal

aud

it ac

tivity

.

Dru

gi

pris

tup

uklju

čuje

su

djel

ovan

je

stru

čnog

ne

zavi

snog

va

njsk

og

ocje

njiv

ača

ili

ocje

njiv

ačko

g tim

a,

koji

prov

odi

neza

visn

u va

lidac

iju

inte

rnog

sa

mov

redn

ovan

ja

i iz

vješ

ća

djel

atno

sti

inte

rne

revi

zije

.

indi

cato

rs o

f fra

udpo

kaza

telji

prij

evar

e

The

inte

rnal

aud

itor

shou

ld h

ave

suffi

cien

t kn

owle

dge

to

iden

tify

the

indi

cato

rs o

f fra

ud b

ut is

not

exp

ecte

d to

hav

e th

e ex

perti

se o

f a p

erso

n w

hose

prim

ary

resp

onsi

bilit

y is

de

tect

ing

and

inve

stig

atin

g fra

ud.

Inte

rni

revi

zor

mor

a im

ati

dovo

ljno

znan

ja

za

uoča

vanj

e po

kaza

telja

prij

evar

e, a

li od

nje

ga s

e ne

oč

ekuj

e st

ručn

o zn

anje

oso

be č

ije je

gla

vno

zadu

ženj

e ot

kriv

anje

i is

traga

prij

evar

a.

337

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

indi

vidu

al a

udito

rspo

jedi

načn

i rev

izor

i

Obj

ectiv

ity i

s pr

esum

ed t

o be

im

paire

d w

hen

indi

vidu

al

audi

tors

revi

ew a

ny a

ctiv

ity in

whi

ch th

ey h

ave

prev

ious

ly

had

exec

utiv

e re

spon

sibi

lity,

or

in

w

hich

th

ey

have

pr

ovid

ed c

onsu

ltanc

y ad

vice

.

Do

sman

jene

obj

ektiv

nost

i mož

e do

ći u

slu

čaju

kad

a po

jedi

načn

i rev

izor

i pro

vode

revi

ziju

bilo

koje

dje

latn

osti

u ko

joj s

u pr

etho

dno

imal

i izv

ršnu

odg

ovor

nost

ili z

a ko

ju s

u pr

užal

i sav

jetn

ičke

usl

uge.

info

rmat

ion

asse

tsin

form

acijs

ka im

ovin

aTh

e pr

otec

tion

of s

yste

ms

and

info

rmat

ion

asse

ts th

roug

h ba

ckup

reco

ver,

cont

inge

ncy

plan

ning

.

Zašt

ita s

usta

va i i

nfor

mac

ijske

imov

ine

pute

m re

zerv

ne

pohr

ane

poda

taka

i pl

anira

nja

za s

luča

j nep

redv

iđen

ih

okol

nost

i.

info

rmat

ion

syst

emin

form

acijs

ki s

usta

v

Whe

re C

AA

Ts a

re u

sed

to e

xtra

ct i

nfor

mat

ion

for

data

an

alys

is t

he a

udito

r sh

ould

ver

ify t

he i

nteg

rity

of t

he

info

rmat

ion

syst

em a

nd I

T en

viro

nmen

t fro

m w

hich

the

da

ta a

re e

xtra

cted

.

U s

luča

jevi

ma

koriš

tenj

a ra

čuna

lnih

revi

zijs

kih

tehn

ika

(CA

AT)

za

iz

luči

vanj

e po

data

ka

pute

m

anal

ize

poda

taka

, re

vizo

r m

ora

potv

rditi

vj

erod

osto

jnos

t in

form

acijs

kog

sust

ava

i ok

ruže

nja

info

rmac

ijske

te

hnol

ogije

iz k

ojeg

ti p

odat

ci p

otje

ču.

info

rmat

ion

syst

em c

ontro

l en

viro

nmen

tok

ruže

nje

kont

rola

info

rmac

ijsko

g su

stav

a

In

thes

e ci

rcum

stan

ces,

th

e au

dito

r sh

ould

as

sess

th

is li

mita

tion

of s

cope

on

his/

her

abili

ty t

o ev

alua

te t

he

info

rmat

ion

syst

em c

ontro

l env

ironm

ent.

U o

vim

oko

lnos

tima,

rev

izor

tre

ba o

cije

niti

učin

ak

ovog

ogr

anič

enja

dje

lokr

uga

na n

jego

vu s

poso

bnos

t za

oc

jenj

ivan

je

okru

ženj

a ko

ntro

la

info

rmac

ijsko

g su

stav

a.

Info

rmat

ion

Sys

tem

s A

udit

and

Con

trol A

ssoc

iatio

n

Udr

uga

stru

čnja

ka z

a re

vizi

ju i

kont

rolu

info

rmac

ijski

h su

stav

a (IS

AC

A)

This

pro

duct

incl

udes

IS

Aud

iting

Gui

delin

es,

whi

ch a

re

used

by

perm

issi

on o

f the

Info

rmat

ion

Sys

tem

s A

udit

and

Con

trol A

ssoc

iatio

n (IS

AC

A).

Ova

j pr

oizv

od

uklju

čuje

S

mje

rnic

e za

re

vizi

ju

info

rmac

ijski

h su

stav

a, k

oje

se k

oris

te u

z do

pušt

enje

U

drug

e st

ručn

jaka

za

revi

ziju

i ko

ntro

lu in

form

acijs

kih

sust

ava

(ISA

CA

).

Info

rmat

ion

Sys

tem

s A

udit

and

Con

trol A

ssoc

iatio

n (IS

AC

A)

Gui

delin

e

Sm

jern

ice

Udr

uge

stru

čnja

ka z

a re

vizi

ju i

kont

rolu

info

rmac

ijski

h su

stav

a (IS

AC

A)

This

P

ract

ice

Adv

isor

y ha

s be

en

adop

ted

from

th

e In

form

atio

n S

yste

ms

Aud

it an

d C

ontro

l A

ssoc

iatio

n (IS

AC

A) G

uide

line.

Ova

j N

aput

ak z

a pr

aksu

int

erne

rev

izije

odr

ažav

a S

mje

rnic

e U

drug

e st

ručn

jaka

za

revi

ziju

i k

ontro

lu

info

rmac

ijski

h su

stav

a (IS

AC

A).

Info

rmat

ion

Tech

nolo

gy

Con

trols

sust

av k

ontro

la in

form

acijs

ke

tehn

olog

ije

Info

rmat

ion

Tech

nolo

gy

Gov

erna

nce

upra

vlja

nje

info

rmac

ijsko

m

tehn

olog

ijom

338

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

Inst

itute

of C

harte

red

Acc

ount

ants

in E

ngla

nd a

nd

Wal

es

Inst

itut o

vlaš

teni

h ko

ntro

lora

E

ngle

ske

i Wal

esa

(ICA

EW

)

This

ris

k is

rai

sed

in t

he J

anua

ry 2

003

Sm

ith R

epor

t on

Aud

it C

omm

ittee

s an

d C

ombi

ned

Cod

e G

uida

nce,

ap

poin

ted

by t

he F

inan

cial

Rep

ortin

g C

ounc

il, a

nd i

s ad

dres

sed

in g

uida

nce

publ

ishe

d by

IC

AE

W (

Inst

itute

of

Cha

rtere

d A

ccou

ntan

ts i

n E

ngla

nd a

nd W

ales

), am

ong

othe

rs.

Ova

j riz

ik j

e, i

zmeđ

u os

talo

g, p

repo

znat

u s

iječn

ju

2003

., u

Sm

ithov

om iz

vješ

ću p

od n

aziv

om “R

eviz

ijska

vi

jeća

i sm

jern

ice

za p

rove

dbu

Kom

bini

rano

g ko

deks

a”

Vije

ća z

a fin

anci

jsko

izvj

ešći

vanj

e, t

e u

smje

rnic

ama

Inst

ituta

Ovl

ašte

nih

raču

novo

đa E

ngle

ske

i Wal

esa)

.

Inst

itute

of C

orpo

rate

Dire

ctor

sIn

stitu

t kor

pora

tivni

h di

rekt

ora

This

pap

er i

s av

aila

ble

on t

he I

IA W

eb s

ite a

nd w

as

spon

sore

d by

The

IIA

Res

earc

h Fo

unda

tion,

the

Can

adia

n In

stitu

te o

f C

harte

red

Acc

ount

ants

, an

d th

e In

stitu

te o

f C

orpo

rate

Dire

ctor

s.

Ova

j dok

umen

t mož

e se

nać

i na

web

stra

nici

IIA

-e, a

po

krov

itelji

su

mu

Zakl

ada

za is

traži

vanj

e IIA

, Kan

adsk

i in

stitu

t ov

lašt

enih

kon

trolo

ra i

Ins

titut

kor

pora

tivni

h di

rekt

ora.

Inte

grat

ed F

ram

ewor

kin

tegr

irani

okv

irIn

tegr

ated

Fra

mew

ork,

pub

lishe

d in

199

2 an

d 19

94 b

y th

e C

omm

ittee

of

Spo

nsor

ing

Org

aniz

atio

ns (

CO

SO

) of

the

Tr

eadw

ay C

omm

issi

on.

“Inte

grira

ni o

kvir

inte

rnih

kon

trola

”, u

izda

nju

Kom

iteta

za

sp

onzo

riran

je

orga

niza

cija

(C

OS

O)

Trea

dway

po

vjer

enst

va 1

992.

i 19

94.

Inte

grat

ed F

ram

ewor

k re

port

izvj

ešće

o in

tegr

irano

m o

kviru

Inte

grat

ed

Fram

ewor

k re

port

are

rele

vant

to

th

is

disc

ussi

on.

Izvj

ešće

o i

nteg

riran

om o

kviru

odn

osi

se n

a ov

o ra

zmat

ranj

e.

inte

rim re

ports

izvj

ešća

o m

eđur

azdo

blju

; pr

ivre

men

a iz

vješ

ća

Inte

rim r

epor

ts m

ay b

e us

ed to

com

mun

icat

e in

form

atio

n th

at

requ

ires

imm

edia

te

atte

ntio

n,

to

com

mun

icat

e a

chan

ge in

eng

agem

ent s

cope

for t

he a

ctiv

ity u

nder

revi

ew,

or to

kee

p m

anag

emen

t inf

orm

ed o

f eng

agem

ent p

rogr

ess

whe

n en

gage

men

ts e

xten

d ov

er a

long

per

iod.

Priv

rem

ena

izvj

ešća

m

ogu

se

koris

titi

u sv

rhu

prio

pćav

anja

in

form

acija

ko

je

zaht

ijeva

ju

trenu

tnu

pozo

rnos

t, pr

iopć

avan

ja

prom

jena

u

djel

okru

gu

anga

žman

a dj

elat

nost

i pod

rev

izijo

m,

te in

form

iranj

a ru

kovo

dstv

a o

tijek

u an

gažm

ana

kada

se

on p

rote

že

tijek

om d

užeg

razd

oblja

.

inte

rnal

and

ext

erna

l aud

itin

tern

a i v

anjs

ka re

vizi

jaIt

is c

omm

on p

ract

ice

for i

nter

nal a

nd e

xter

nal a

udito

rs to

gr

ant a

cces

s to

eac

h ot

her’s

aud

it w

orki

ng p

aper

s.U

pr

aksi

in

tern

e i

vanj

ske

revi

zije

, uo

biča

jeno

je

m

eđus

obno

odo

brav

anje

pris

tupa

radn

im s

pisi

ma.

inte

rnal

and

ext

erna

l aud

it ac

tiviti

esak

tivno

sti i

nter

ne i

vanj

ske

revi

zije

Suc

h as

sess

men

ts s

houl

d or

dina

rily

be m

ade

in t

he

cont

ext

of t

he C

AE

s

role

of

coor

dina

ting

inte

rnal

and

ex

tern

al a

uditi

ng a

ctiv

ities

, an

d sh

ould

ext

end

to o

ther

pe

rform

ance

mat

ters

onl

y at

the

spec

ific

requ

est o

f sen

ior

man

agem

ent o

r the

boa

rd.

Takv

a vr

edno

vanj

a ob

ično

treb

aju

biti u

kont

ekst

u ul

oge

glav

nog

revi

zora

, pr

i če

mu

on o

bavl

ja k

oord

inac

iju

aktiv

nost

i int

erne

i va

njsk

e re

vizi

je, t

e tre

baju

ukl

juči

ti dr

uga

pita

nja

učin

kovi

tost

i sam

o na

pos

eban

zah

tjev

viso

kog

ruko

vods

tva

ili u

prav

e.

339

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

inte

rnal

and

ext

erna

l aud

iting

fu

nctio

nsfu

nkci

je in

tern

e i v

anjs

ke re

vizi

jeS

uch

eval

uatio

ns m

ay a

lso

incl

ude

asse

ssm

ents

of

the

over

all e

ffici

ency

and

effe

ctiv

enes

s of

inte

rnal

and

ext

erna

l au

ditin

g fu

nctio

ns, i

nclu

ding

agg

rega

te a

udit

cost

.

Takv

a vr

edno

vanj

a ta

kođe

r mog

u uk

ljuči

vati

proc

jenu

op

će

učin

kovi

tost

i i

djel

otvo

rnos

ti fu

nkci

ja

inte

rne

i va

njsk

e re

vizi

je,

uklju

čuju

ći

sveu

kupn

e tro

škov

e re

vizi

je.

inte

rnal

and

ext

erna

l aud

itors

inte

rni i

van

jski

revi

zori

The

CA

E

shou

ld

mak

e re

gula

r ev

alua

tions

of

th

e co

ordi

natio

n be

twee

n in

tern

al a

nd e

xter

nal a

udito

rs.

Gla

vni

revi

zor

treba

pr

ovod

iti

redo

vite

pr

ocje

ne

koor

dina

cije

izm

eđu

inte

rnih

i va

njsk

ih re

vizo

ra.

inte

rnal

aud

itin

tern

a re

vizi

ja

The

purp

ose,

aut

horit

y, a

nd r

espo

nsib

ility

of

the

inte

rnal

au

dit

activ

ity s

houl

d be

for

mal

ly d

efin

ed i

n a

char

ter,

cons

iste

nt

with

th

e S

tand

ards

, an

d ap

prov

ed

by

the

boar

d.

Svr

ha,

ovla

šten

ja

i za

duže

nja

djel

atno

sti

inte

rne

revi

zije

treb

aju

se s

lužb

eno

defin

irati

pute

m p

ovel

je, u

su

klad

nost

i sa

Sta

ndar

dim

a i u

z od

obre

nje

upra

ve.

inte

rnal

aud

it ac

tivity

aktiv

nost

inte

rne

revi

zije

; dj

elat

nost

inte

rne

revi

zije

The

purp

ose,

aut

horit

y, a

nd r

espo

nsib

ility

of

the

inte

rnal

au

dit

activ

ity s

houl

d be

for

mal

ly d

efin

ed i

n a

char

ter,

cons

iste

nt

with

th

e S

tand

ards

, an

d ap

prov

ed

by

the

boar

d.

Svr

ha,

ovla

šten

ja

i za

duže

nja

djel

atno

sti

inte

rne

revi

zije

treb

aju

se s

lužb

eno

defin

irati

pute

m p

ovel

je, u

su

klad

nost

i sa

Sta

ndar

dim

a i u

z od

obre

nje

upra

ve.

inte

rnal

aud

it ch

arte

rpo

velja

inte

rne

revi

zije

Inte

rnal

aud

itors

sho

uld

cons

ider

the

follo

win

g su

gges

tions

w

hen

adop

ting

an in

tern

al a

udit

char

ter.

Pril

ikom

us

vaja

nja

pove

lje

inte

rne

revi

zije

, in

tern

i re

vizo

ri tre

baju

uze

ti u

obzi

r slje

deće

prij

edlo

ge.

Inte

rnal

aud

it m

anag

emen

tru

kovo

dstv

o in

tern

e re

vizi

jeA

ssis

t in

tern

al

audi

t m

anag

emen

t in

th

e ac

quis

ition

, m

aint

enan

ce,

and

empl

oym

ent

of a

udit

tool

s an

d ot

her

use

of te

chno

logy

.

Pom

agat

i ru

kovo

dstv

u in

tern

e re

vizi

je

u na

bavi

, od

ržav

anju

i

prim

jeni

re

vizi

jski

h al

ata

i dr

uge

tehn

olog

ije.

inte

rnal

aud

it pr

oces

spr

oces

inte

rne

revi

zije

The

IIA P

erfo

rman

ce S

tand

ards

sho

uld

be c

onsi

dere

d in

ide

ntify

ing

perfo

rman

ce m

easu

rem

ent

cate

gorie

s in

in

tern

al a

udit

proc

esse

s.

Pril

ikom

ut

vrđi

vanj

a ka

tego

rija

za

mje

renj

e uč

inko

vito

sti p

roce

sa in

tern

e re

vizi

je, p

otre

bno

je u

zeti

u ob

zir S

tand

arde

uči

nkov

itost

i IIA

.

inte

rnal

aud

it pr

ofes

sion

stru

ka in

tern

e re

vizi

jeIn

clud

e be

nchm

arki

ng

of

the

inte

rnal

au

dit

activ

ity’s

pr

actic

es a

nd p

erfo

rman

ce m

etric

s ag

ains

t re

leva

nt b

est

prac

tices

of t

he in

tern

al a

udit

prof

essi

on.

Ukl

juči

ti us

pore

dbu

prak

se

i m

etrik

e uč

inko

vito

sti

djel

atno

sti

inte

rne

revi

zije

s r

elev

antn

om n

ajbo

ljom

pr

akso

m s

truke

inte

rne

revi

zije

.

inte

rnal

aud

it re

port

izvj

ešće

inte

rne

revi

zije

If po

ssib

le,

the

audi

tor

shou

ld r

evie

w r

elev

ant

inte

rnal

au

dit r

epor

ts.

Ako

je to

mog

uće,

revi

zor t

reba

pre

gled

ati r

elev

antn

a iz

vješ

ća in

tern

e re

vizi

je.

inte

rnal

aud

it ris

k as

sess

men

toc

jena

rizi

ka in

tern

e re

vizi

jeR

epor

t fu

nctio

nally

mea

ns t

hat

the

gove

rnin

g au

thor

ity

wou

ld a

ppro

ve t

he i

nter

nal

audi

t ris

k as

sess

men

t an

d re

late

d au

dit p

lan.

Izvj

ešći

vanj

e po

fu

nkci

onal

noj

liniji

od

govo

rnos

ti zn

ači d

a up

ravn

o tij

elo

odob

rava

ocj

enu

rizik

a in

tern

e re

vizi

je i

pove

zani

pla

n re

vizi

je.

340

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

inte

rnal

aud

it se

rvic

esus

luge

inte

rne

revi

zije

One

suc

h ga

p ex

ists

bet

wee

n m

anag

emen

t an

d th

e bo

ard’

s no

rmal

ly h

igh

expe

ctat

ions

abo

ut t

he v

alue

of

inte

rnal

aud

iting

ser

vice

s an

d th

e in

tern

al a

udit

mor

e m

odes

t ex

pect

atio

ns

that

de

rive

from

kn

owle

dge

of

prac

tical

lim

itatio

ns o

n au

dit

cove

rage

and

fro

m s

elf-

doub

t abo

ut g

ener

atin

g su

ffici

ent e

vide

nce

to s

uppo

rt an

in

form

ed a

nd o

bjec

tive

judg

men

t.

Taka

v ne

skla

d po

stoj

i iz

međ

u vi

soki

h oč

ekiv

anja

up

rave

i r

ukov

odst

va o

zna

čajn

osti

uslu

ga i

nter

ne

revi

zije

, te

ne

što

skro

mni

jih

oček

ivan

ja

inte

rne

revi

zije

, ko

ja

potje

ču

iz

sazn

anja

o

prak

tični

m

ogra

niče

njim

a re

vizi

jske

pok

riven

osti,

te

sum

nje

u vl

astit

e m

oguć

nost

i pr

iliko

m p

rikup

ljanj

a do

kaza

koj

i po

tkrje

plju

ju in

form

irano

i ob

jekt

ivno

miš

ljenj

e.

inte

rnal

aud

it st

aff

djel

atni

ci in

tern

e re

vizi

jeTh

e in

tern

al a

udit

staf

f sh

ould

col

lect

ivel

y po

sses

s th

e kn

owle

dge

and

sk i

lls e

ssen

tial

to t

he p

ract

ice

of t

he

prof

essi

on w

ithin

the

orga

niza

tion.

Svi

dje

latn

ici

inte

rne

revi

zije

tre

baju

im

ati

znan

je i

vj

eštin

e pr

ijeko

pot

rebn

e za

oba

vlja

nje

stru

čne

prak

se

unut

ar o

rgan

izac

ije.

inte

rnal

aud

it st

atis

tics/

met

rics

stat

istik

a/m

etrik

a in

tern

e re

vizi

jeO

vers

ee th

e sy

stem

(s)

for

inte

rnal

aud

it st

atis

tics/

met

rics

and

for p

ost-a

udit

and

othe

r sur

veys

.N

adgl

edat

i sta

tistik

u/m

etrik

u in

tern

e re

vizi

je,

te p

ost-

revi

zijs

ka i

drug

a is

traži

vanj

a.

inte

rnal

aud

iting

inte

rna

revi

zija

Inte

rnal

aud

iting

is a

n in

depe

nden

t, ob

ject

ive

assu

ranc

e an

d co

nsul

ting

activ

ity d

esig

ned

to a

dd v

alue

and

impr

ove

an o

rgan

izat

ion

s op

erat

ions

.

Inte

rna

revi

zija

je

neza

visn

a i

obje

ktiv

na d

jela

tnos

t pr

užan

ja

uslu

ga

uvje

renj

a i

savj

etni

štva

, ko

ja

doda

je v

rijed

nost

i d

oprin

osi

pobo

ljšan

ju p

oslo

vanj

e or

gani

zaci

je.

inte

rnal

aud

itor

inte

rni r

eviz

orIn

tern

al a

udito

rs s

houl

d co

nsid

er th

ese

sugg

estio

ns w

hen

plan

ning

and

con

tract

ing

for

an e

xter

nal

asse

ssm

ent

of

thei

r int

erna

l aud

it ac

tivity

.

Inte

rni r

eviz

ori t

reba

ju u

zeti

u ob

zir s

ljede

će p

rijed

loge

pr

iliko

m p

lani

ranj

a i s

asta

vlja

nja

ugov

ora

za v

anjs

ko

vred

nova

nje

djel

atno

sti i

nter

ne re

vizi

je.

inte

rnal

aud

itsin

tern

a re

vizi

jaTh

e C

AE

is r

espo

nsib

le fo

r es

tabl

ishi

ng a

n in

tern

al a

udit

activ

ity w

hose

sco

pe o

f wor

k in

clud

es a

ll ac

tiviti

es in

the

Sta

ndar

ds.

Gla

vni

revi

zor

zadu

žen

je z

a ut

vrđi

vanj

e dj

elat

nost

i in

tern

e re

vizi

je

čiji

djel

okru

g ra

da

uklju

čuje

sv

e ak

tivno

sti i

z S

tand

arda

.

inte

rnal

com

mun

icat

ions

inte

rna

kom

unik

acija

It is

als

o im

porta

nt fo

r man

agem

ent t

o de

sign

and

com

ply

with

pro

cedu

res

that

min

imiz

e in

tern

al c

omm

unic

atio

ns

abou

t an

ong

oing

inv

estig

atio

n, e

spec

ially

in

the

initi

al

phas

es.

Tako

đer j

e va

žno

da u

prav

a od

ređu

je i s

lijed

i pro

cedu

re

kojim

a se

sm

anju

je k

olič

ina

inte

rne

kom

unik

acije

o

teku

ćim

istra

gam

a, p

ogot

ovo

u po

četn

im s

tadi

jima.

341

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

inte

rnal

con

trol

inte

rna

kont

rola

Alth

ough

aud

itors

may

not

be

able

to

know

the

exa

ct

mot

ive

or

ratio

naliz

atio

n le

adin

g to

fra

ud,

they

ar

e ex

pect

ed to

und

erst

and

enou

gh a

bout

inte

rnal

con

trols

to

iden

tify

oppo

rtuni

ties

for f

raud

.

Iako

revi

zori

mož

da n

isu

upoz

nati

s to

čnim

mot

ivim

a ili

ra

zloz

ima

koji

dovo

de d

o pr

ijeva

re, o

d nj

ih s

e oč

ekuj

e ra

zum

ijeva

nje

inte

rnih

kon

trola

koj

e je

dos

tatn

o za

pr

epoz

nava

nje

prili

ka z

a pr

ijeva

ru.

inte

rnal

qua

lity

prog

ram

as

sess

men

tsin

tern

o vr

edno

vanj

e pr

ogra

ma

kval

itete

To p

rovi

de a

ccou

ntab

ility

and

tra

nspa

renc

y, t

he C

AE

sh

ould

co

mm

unic

ate

the

resu

lts

of

exte

rnal

an

d,

as

appr

opria

te,

inte

rnal

qua

lity

prog

ram

ass

essm

ents

with

th

e va

rious

sta

keho

lder

s of

the

act

ivity

(su

ch a

s se

nior

m

anag

emen

t, th

e bo

ard,

and

ext

erna

l aud

itors

).

U c

ilju

osig

uran

ja o

dgov

orno

sti

i tra

nspa

rent

nost

i, gl

avni

rev

izor

treb

a pr

iopć

iti r

ezul

tate

van

jsko

g, i

ako

je p

otre

bno,

inte

rnog

vre

dnov

anja

pro

gram

a kv

alite

te,

razl

ičiti

m n

osite

ljim

a in

tere

sa d

jela

tnos

ti (k

ao š

to s

u vi

soko

ruko

vods

tvo,

upr

ava

i van

jski

revi

zori)

.

inte

rnal

revi

ewin

tern

i pre

gled

; uvi

d; re

vizi

ja;

ocje

njiv

anje

Ong

oing

inte

rnal

ass

essm

ents

(th

e te

rm is

syn

onym

ous

with

the

term

s in

tern

al r

evie

w a

nd s

elf-a

sses

smen

t use

d el

sew

here

in

th

e P

ract

ice

Adv

isor

ies)

sh

ould

be

an

in

tegr

al p

art

of t

he d

ay-to

-day

sup

ervi

sion

, re

view

, an

d m

easu

rem

ent o

f the

inte

rnal

aud

it ac

tivity

, as

set f

orth

in

Pra

ctic

e A

dvis

ory

1311

-1, p

arag

raph

s tw

o an

d th

ree.

Sta

lno

inte

rno

vred

nova

nje

(ova

j iz

raz

isto

vjet

an j

e iz

razi

ma

“inte

rni p

regl

ed” i

“sam

ovre

dnov

anje

” koj

i se

koris

te n

a dr

ugim

mje

stim

a u

Nap

utci

ma

za p

raks

u in

tern

e re

vizi

je),

treba

biti

sas

tavn

i dio

sva

kodn

evno

g pr

oces

a na

dzor

a,

preg

leda

i

mje

renj

a dj

elat

nost

i in

tern

e re

vizi

je, k

ao š

to s

e na

vodi

u N

aput

ku z

a pr

aksu

in

tern

e re

vizi

je 1

311-

1, O

djel

jak

2 i 3

.

Inte

rnat

iona

l Sta

ndar

ds fo

r the

P

rofe

ssio

nal P

ract

ice

of In

tern

al

Aud

iting

(Sta

ndar

ds)

Međ

unar

odni

sta

ndar

di z

a pr

ofes

iona

lnu

prak

su in

tern

e re

vizi

je (S

tand

ardi

)

Thus

, in

the

perfo

rman

ce o

f all

serv

ices

the

inte

rnal

aud

itor

is g

uide

d by

The

IIA

s C

ode

of E

thic

s an

d th

e A

ttrib

ute

and

Per

form

ance

Sta

ndar

ds o

f the

Inte

rnat

iona

l Sta

ndar

ds fo

r th

e P

rofe

ssio

nal P

ract

ice

of In

tern

al A

uditi

ng (S

tand

ards

).

Dak

le, p

rilik

om o

bavl

janj

a sv

ih u

slug

a, in

tern

i rev

izor

i os

lanj

aju

se n

a sm

jern

ice

Etič

kog

kode

ksa

IIA-e

, te

O

pisn

ih s

tand

arda

i S

tand

arda

uči

nkov

itost

i ko

ji su

di

o M

eđun

arod

nih

stan

dard

a za

pro

fesi

onal

nu p

raks

u in

tern

e re

vizi

je (S

tand

ardi

).

intru

sion

man

agem

ent

kont

rola

upa

da

Tool

s th

at

shou

ld

be

in

plac

e in

clud

e:

intru

sion

m

anag

emen

t (m

onito

ring

softw

are,

aut

omat

ic t

ime-

out,

and

trend

ana

lysi

s),

phys

ical

sec

urity

for

e-c

omm

erce

se

rver

s, c

hang

e co

ntro

ls, a

nd re

conc

iliat

ion.

Ala

ti ko

je

orga

niza

cija

tre

ba

osig

urat

i: ko

ntro

la

upad

a (p

rogr

amsk

a op

rem

a za

nad

zor,

auto

mat

sko

vrem

ensk

o is

klju

čiva

nje

(tim

e-ou

t) i a

naliz

a tre

ndov

a),

fizič

ka

sigu

rnos

t po

služ

itelja

e-

trgov

ine,

ko

ntro

le

izm

jena

i us

klađ

ivan

je.

342

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

IS a

pplic

atio

n co

ntro

lsap

likac

ijske

kon

trole

in

form

acijs

kih

sust

ava

CA

ATs

may

be

used

in p

erfo

rmin

g va

rious

aud

it pro

cedu

res

incl

udin

g: C

ompl

ianc

e te

sts

of IS

app

licat

ion

cont

rols

.

Rač

unal

ne

revi

zijs

ke

tehn

ike

(CA

AT)

m

ogu

se

koris

titi

u pr

ovođ

enju

raz

ličiti

h re

vizi

jski

h po

stup

aka,

uk

ljuču

jući

: is

pitiv

anja

su

klad

nost

i ap

likac

ijski

h ko

ntro

la in

form

acijs

kih

sust

ava.

IS a

udit

revi

zija

info

rmac

ijski

h su

stav

a

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

proc

edur

es n

eces

sary

to p

erfo

rm a

n IS

aud

it, b

ut s

impl

y a

reco

mm

ende

d co

re s

et o

f hig

h le

vel a

udito

r res

pons

ibili

ties

to c

ompl

emen

t det

aile

d pl

anni

ng e

fforts

.

Ova

j N

aput

ak n

e sa

drži

sve

pos

tupk

e po

trebn

e za

pr

ovođ

enje

rev

izije

info

rmac

ijski

h su

stav

a, v

eć s

amo

opće

nito

nav

odi z

aduž

enja

rev

izor

a u

smis

lu d

opun

e de

taljn

og p

lana

revi

zije

.

IS A

uditi

ng G

uide

lines

smje

rnic

e za

revi

ziju

in

form

acijs

kih

sust

ava

This

pro

duct

incl

udes

IS

Aud

iting

Gui

delin

es,

whi

ch a

re

used

by

perm

issi

on o

f the

Info

rmat

ion

Sys

tem

s A

udit

and

Con

trol A

ssoc

iatio

n (IS

AC

A).

Ova

j pr

oizv

od

uklju

čuje

S

mje

rnic

e za

re

vizi

ju

info

rmac

ijski

h su

stav

a, k

oje

se k

oris

te u

z do

pušt

enje

U

drug

e st

ručn

jaka

za

revi

ziju

i ko

ntro

lu in

form

acijs

kih

sust

ava

(ISA

CA

).

IS c

ontro

lko

ntro

la in

form

acijs

kih

sust

ava

For

each

IS

aud

it, a

udito

rs s

houl

d di

ffere

ntia

te b

etw

een

gene

ral

cont

rols

tha

t af

fect

all

info

rmat

ion

syst

ems

and

oper

atio

ns (p

erva

sive

IS c

ontro

ls) a

nd th

ose

that

ope

rate

at

a m

ore

spec

ific

leve

l (de

taile

d IS

con

trols

) to

focu

s au

dit

effo

rt on

the

risk

area

s re

leva

nt to

the

audi

t obj

ectiv

e.

Pril

ikom

sva

ke re

vizi

je in

form

acijs

kih

sust

ava,

revi

zori

treba

ju r

azlik

ovat

i op

će k

ontro

le k

oje

utje

ču n

a sv

e in

form

acijs

ke

sust

ave

i op

erac

ije

(sve

obuh

vatn

e ko

ntro

le i

nfor

mac

ijski

h su

stav

a) i

one

koj

e dj

eluj

u na

spe

cifič

noj r

azin

i (de

taljn

e ko

ntro

le in

form

acijs

kih

sust

ava)

, u c

ilju

usm

jera

vanj

a re

vizi

jski

h ak

tivno

sti n

a po

druč

ja ri

zika

rele

vant

nih

za c

ilj re

vizi

je.

IS c

ontro

l pro

cess

espr

oces

i kon

trole

info

rmac

ijski

h su

stav

a

The

CO

BIT

fra

mew

ork

divi

des

IS c

ontro

l pro

cess

es in

to

four

do

mai

ns:

Pla

nnin

g an

d O

rgan

izat

ion

Acq

uisi

tion

and

Impl

emen

tatio

n D

eliv

ery

and

Sup

port

Mon

itorin

g Th

e ef

fect

iven

ess

of t

he c

ontro

ls i

n th

e A

cqui

sitio

n an

d Im

plem

enta

tion

(AI)

and

Del

iver

y an

d S

uppo

rt (D

S)

dom

ains

is in

fluen

ced

by th

e ef

fect

iven

ess

of th

e co

ntro

ls

oper

ated

in

the

Pla

nnin

g an

d O

rgan

izat

ion

(PO

) an

d M

onito

ring

(M) d

omai

ns.

Pre

ma

CO

BIT

okv

iru,

proc

esi k

ontro

le in

form

acijs

kih

sust

ava

dije

le s

e u

četir

i po

druč

ja:

Org

aniz

acija

i

plan

iranj

e,

Akv

izic

ija

i im

plem

enta

cija

, Is

poru

ka

i po

tpor

a, K

ontro

la i

eval

uaci

ja. U

čink

ovito

st k

ontro

la u

do

men

ama

Akv

izic

ije i i

mpl

emen

taci

je (A

I), te

Ispo

ruke

i p

otpo

re (D

S) z

asni

vaju

se

na u

čink

ovito

sti k

ontro

la u

do

men

ama

Org

aniz

acije

i pl

anira

nja

(PO

), te

Kon

trole

i e

valu

acije

(M).

ISA

CA

Udr

uga

stru

čnja

ka z

a re

vizi

ju i

kont

rolu

info

rmac

ijski

h su

stav

a (IS

AC

A)

The

use

and

adop

tion

of t

his

docu

men

t ha

s be

en d

one

with

ISA

CA

’s p

erm

issi

on a

nd a

ckno

wle

dgem

ent.

Kor

ište

nje

i usv

ajan

je o

vog

doku

men

ta o

dvija

se

uz

odob

renj

e i d

opuš

tenj

e IS

AC

A-e

.

343

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

issu

eriz

dava

telj

Req

uire

s to

cer

tify

in e

ach

quar

terly

and

ann

ual

repo

rt,

incl

udin

g tra

nsiti

on re

ports

, file

d or

sub

mitt

ed b

y th

e is

suer

un

der S

ectio

n 13

(a) o

r 15(

d).

(Pre

ma

Pra

vilim

a 13

a-14

i

15d-

14

Kom

isije

za

vr

ijedn

osni

ce i

bur

zovn

o po

slov

anje

(S

EC

), gl

avni

iz

vršn

i dire

ktor

ili d

irekt

ori,

te g

lavn

i fin

anci

jski

dire

ktor

ili

dire

ktor

i, ili

oso

be k

oje

obav

ljaju

slič

ne fu

nkci

je z

a iz

dava

telja

), u

svak

om

trom

jese

čnom

i

godi

šnje

m

izvj

ešću

, ukl

juču

jući

prij

elaz

na iz

vješ

ća, k

oje

izda

vate

lj po

dnos

i pr

ema

Odj

eljk

u 13

(a)

ili 1

5(d)

Zak

ona

o bu

rzov

nom

pos

lova

nju,

tre

baju

pos

vjed

očiti

o t

ome

da...

IT c

ontro

lsko

ntro

le in

form

acijs

ke te

hnol

ogije

In th

e ab

senc

e of

stro

ng g

ener

al IT

con

trols

, the

aud

itor

may

mak

e an

ass

essm

ent o

f the

effe

ct o

f thi

s w

eakn

ess

on

the

relia

bilit

y of

th

e co

mpu

teriz

ed

appl

icat

ion

cont

rols

.[Pra

ctic

e_A

dvis

orie

s_co

mpl

ete_

6_12

_200

7_E

NG

.doc

]

U sl

učaj

u ne

dost

atka

uči

nkov

itih

kont

rola

info

rmac

ijski

h te

hnol

ogija

, re

vizo

r m

ože

proc

ijeni

ti uč

inak

to

g ne

dost

atka

na

pouz

dano

st r

ačun

alni

h ap

likac

ijski

h ko

ntro

la.

judg

men

tal s

ampl

ehi

pote

tski

uzo

rak

It sh

ould

be

note

d th

at a

jud

gmen

tal

sam

ple

is n

ot

stat

istic

ally

bas

ed a

nd r

esul

ts s

houl

d no

t be

extra

pola

ted

over

the

pop

ulat

ion

as t

he s

ampl

e is

unl

ikel

y to

be

repr

esen

tativ

e of

the

popu

latio

n.

Treb

a pr

imje

titi d

a se

hip

otet

ski u

zora

k ne

tem

elji

na

stat

istic

i, te

da

se re

zulta

ti ne

sm

iju p

rojic

irati

na č

itavu

po

pula

ciju

, bu

dući

da

uzor

ak n

e pr

edst

avlja

toč

an

prim

jer p

opul

acije

.

judg

men

tal s

ampl

ing

hipo

tets

ko u

zork

ovan

je

Judg

men

tal s

ampl

ing

- in

whi

ch th

e au

dito

r pla

ces

a bi

as

on t

he s

ampl

e (e

.g.,

all

sam

plin

g un

its o

ver

a ce

rtain

va

lue,

all

for a

spe

cific

type

of e

xcep

tion,

all

nega

tives

, all

new

use

rs, e

tc.).

Hip

otet

sko

uzor

kova

nje

- pr

i ko

jem

re

vizo

r uv

odi

pris

trano

st

pri

odab

iru

uzor

ka

(npr

. sv

e je

dini

ce

uzor

ka

izna

d od

ređe

ne

vrije

dnos

ti;

sve

jedi

nice

sp

ecifi

čnog

tipa

izni

mak

a; s

ve n

egat

ivne

jedi

nice

; svi

no

vi k

oris

nici

, itd

.).

liabi

litie

sob

veze

; dug

ovan

jaR

evie

w o

f pot

entia

l and

pen

ding

litig

atio

n, a

nd c

ontin

gent

lia

bilit

ies.

Pre

gled

mog

ućih

i n

erje

šeni

h pa

rnic

a, t

e po

veza

nih

dugo

vanj

a.

man

agem

ent

ruko

vods

tvo

Man

agem

ent

is r

espo

nsib

le f

or d

evel

opin

g co

ntro

ls o

ver

the

inve

stig

atio

n pr

oces

s, i

nclu

ding

dev

elop

ing

polic

ies

and

proc

edur

es fo

r effe

ctiv

e in

vest

igat

ions

and

sta

ndar

ds

for

hand

ling

the

resu

lts o

f in

vest

igat

ions

, re

porti

ng,

and

com

mun

icat

ions

.

Ruk

ovod

stvo

je z

aduž

eno

za r

azvo

j kon

trola

pro

cesa

is

trage

, uk

ljuču

jući

ra

zvoj

po

litik

a i

proc

edur

a za

uč

inko

vito

st

istra

ga,

te

stan

dard

e za

up

ravl

janj

e re

zulta

tima

istra

ga, i

zvje

šćiv

anje

i pr

iopć

avan

je.

344

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

man

agem

ent p

olic

ies

polit

ike

upra

vlja

nja

They

may

be

eval

uate

d as

ade

quat

e in

the

light

of t

he ri

sk

iden

tifie

d by

man

agem

ent

and

the

man

agem

ent

polic

ies

whi

ch d

irect

how

that

leve

l of r

isk

shou

ld b

e ad

dres

sed.

Oni

m

ogu

biti

ocije

njen

i ka

o ad

ekva

tni

u sv

jetlu

riz

ika

prep

ozna

tog

od s

trane

ruk

ovod

stva

, te

pol

itika

up

ravl

janj

a ko

je o

dređ

uju

suoč

avan

je s

tom

raz

inom

riz

ika.

map

ping

map

iranj

e

CA

ATs

incl

ude

man

y ty

pes

of to

ols

and

tech

niqu

es, s

uch

as g

ener

aliz

ed a

udit

softw

are,

util

ity s

oftw

are,

tes

t da

ta,

appl

icat

ion

softw

are

traci

ng

and

map

ping

, an

d au

dit

expe

rt sy

stem

s.

Rač

unal

ne r

eviz

ijske

teh

nike

ukl

juču

ju m

nogo

broj

ne

tipov

e al

ata

i te

hnik

a, k

ao š

to s

u op

ća p

rogr

amsk

a op

rem

a za

revi

ziju

, usl

užna

pro

gram

ska

opre

ma,

test

ni

poda

ci, t

rasi

ranj

e i m

apira

nje

aplik

acijs

ke p

rogr

amsk

e op

rem

e, te

sus

tavi

za

revi

zijs

ke s

tručn

jake

.

mea

sure

men

t pro

cess

proc

es m

jere

nja

The

CA

E s

houl

d es

tabl

ish

a m

easu

rem

ent

proc

ess

that

dr

ives

beh

avio

r th

at s

uppo

rts e

stab

lishe

d au

dit

activ

ity

goal

s/ob

ject

ives

an

d th

at

prov

ides

an

ap

prop

riate

as

sess

men

t of a

chie

vem

ent o

f tho

se g

oals

/obj

ectiv

es.

Gla

vni r

eviz

or tr

eba

utvr

diti

proc

es m

jere

nja,

koj

im ć

e se

pot

icat

i po

naša

nje

koje

pro

mič

e ut

vrđe

ne c

iljev

e dj

elat

nost

i re

vizi

je i

koj

i om

oguć

ava

odgo

vara

juću

oc

jenu

pos

tizan

ja ti

h ci

ljeva

.

mem

ber (

Inst

itute

)čl

an (I

nstit

uta)

Mem

ber (

com

ittee

)čl

an (k

omis

ije; v

ijeća

; odb

ora;

ko

mite

ta)

mer

ger a

nd a

cqui

sitio

n te

amtim

za

spaj

anje

i pr

euzi

man

je

podu

zeća

parti

cipa

tion

on a

mer

ger a

nd a

cqui

sitio

n te

am o

r sys

tem

co

nver

sion

te

am.[P

ract

ice_

Adv

isor

ies_

com

plet

e_6_

12_

2007

_EN

G.d

oc]

Sud

jelo

vanj

e u

radu

tim

a za

spa

janj

e i

preu

zim

anje

po

duze

ća il

i sku

pine

za

konv

erzi

ju s

usta

va.

mon

etar

y un

itno

včan

a je

dini

caA

s th

e in

divi

dual

m

onet

ary

unit

cann

ot

ordi

naril

y be

ex

amin

ed

sepa

rate

ly,

the

item

w

hich

in

clud

es

that

m

onet

ary

unit

is s

elec

ted

for e

xam

inat

ion.

Bud

ući

da s

e po

jedi

ne n

ovča

ne j

edin

ice

obič

no n

e m

ogu

zase

bno

ispi

tati,

za

ispi

tivan

je s

e od

abire

sta

vka

koja

ukl

juču

je o

dređ

enu

novč

anu

jedi

nicu

.

Mon

etar

y U

nit S

ampl

ing

uzor

kova

nje

novč

ane

jedi

nice

Exa

mpl

es

incl

ude

Mon

etar

y U

nit

Sam

plin

g or

V

alue

W

eigh

ted

sele

ctio

n w

here

ea

ch

indi

vidu

al

mon

etar

y va

lue.

Prim

jeri

uklju

čuju

uzo

rkov

anje

nov

čane

jed

inic

e ili

od

abir

s te

žino

m

na

veću

vr

ijedn

ost,

gdje

sv

aka

poje

dina

nov

čana

vrij

edno

st...

345

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

non

stat

istic

al s

ampl

ing

met

hod

nest

atis

tička

met

oda

uzor

kova

nja

Whe

n us

ing

stat

istic

al o

r non

-sta

tistic

al s

ampl

ing

met

hods

, th

e au

dito

r sh

ould

des

ign

and

sele

ct a

n au

dit

sam

ple,

pe

rform

aud

it pr

oced

ures

and

eva

luat

e sa

mpl

e re

sults

to

obt

ain

suffi

cien

t, re

liabl

e, r

elev

ant

and

usef

ul a

udit

evid

ence

.

U

prim

jeni

st

atis

tički

h i

nest

atis

tički

h m

etod

a uz

orko

vanj

a, r

eviz

or m

ora

odab

rati

revi

zijs

ki u

zora

k,

obav

iti

revi

zijs

ke

post

upke

i

ocije

niti

rezu

ltate

uz

orko

vanj

a u

cilju

dob

ivan

ja d

osta

tnog

, pou

zdan

og,

rele

vant

nog

i kor

isno

g re

vizi

jsko

g do

kaza

.

non-

audi

t (co

nsul

ting)

uni

tsne

revi

zijs

ke (s

avje

tnič

ke;

savj

etod

avne

) jed

inic

e

Seg

rega

tion

of n

on-a

udit

(con

sulti

ng)

units

fro

m u

nits

co

nduc

ting

audi

ts (

assu

ranc

e en

gage

men

ts)

with

in t

he

sam

e au

dit f

unct

ion.

Odv

ajan

je

nere

vizi

jski

h (s

avje

tnič

kih)

je

dini

ca

od

jedi

nica

ko

je

prov

ode

revi

ziju

(u

slug

e pr

užan

ja

uvje

renj

a) u

nuta

r ist

e re

vizi

jske

funk

cije

.

non-

audi

t fun

ctio

nne

revi

zijs

ka fu

nkci

jaIf

poss

ible

, in

tern

al

audi

tors

sh

ould

av

oid

acce

ptin

g re

spon

sibi

lity

for

non-

audi

t fu

nctio

ns o

r du

ties

that

are

su

bjec

t to

perio

dic

inte

rnal

aud

iting

ass

essm

ents

.

Ako

je t

o m

oguć

e, in

tern

i rev

izor

i tre

baju

izbj

egav

ati

prih

vaća

nje

zadu

ženj

a za

ne

revi

zijs

ke

funk

cije

ili

du

žnos

ti ko

je

podl

iježu

po

vrem

enim

in

tern

im

revi

zijs

kim

vre

dnov

anjim

a.

non-

audi

t wor

kne

revi

zijs

ke a

ktiv

nost

i; ne

revi

zijs

ki p

oslo

vi

The

occa

sion

al p

erfo

rman

ce o

f no

n-au

dit

wor

k by

the

in

tern

al

audi

tor,

with

fu

ll di

sclo

sure

in

th

e re

porti

ng

proc

ess,

wou

ld n

ot n

eces

saril

y im

pair

inde

pend

ence

.

Pov

rem

eno

obav

ljanj

e ne

revi

zijs

kih

posl

ova

od s

trane

in

tern

ih r

eviz

ora,

uz

potp

uno

razo

tkriv

anje

u p

roce

su

izvj

ešći

vanj

a, n

e m

ora

nužn

o on

emog

ućiti

njih

ovu

neza

visn

ost.

nonf

inan

cial

info

rmat

ion

nefin

anci

jski

pod

aci

Stu

dy o

f re

latio

nshi

ps o

f fin

anci

al i

nfor

mat

ion

with

the

ap

prop

riate

no

nfin

anci

al

info

rmat

ion

(for

exam

ple,

re

cord

ed p

ayro

ll exp

ense

com

pare

d to

cha

nges

in a

vera

ge

num

ber o

f em

ploy

ees)

.

Pro

učav

anje

od

nosa

iz

međ

u fin

anci

jski

h po

data

ka

i od

gova

raju

ćih

nefin

anci

jski

h po

data

ka

(npr

. za

bilje

ženi

troš

kovi

pla

ća u

usp

ored

bi s

pro

mje

nam

a u

pros

ječn

om b

roju

zap

osle

nika

).

norm

sst

anda

rdi;

norm

eC

ompl

ianc

e w

ith la

ws,

reg

ulat

ions

, et

hica

l and

bus

ines

s no

rms,

and

con

tract

s.P

oštiv

anje

zak

onsk

e re

gula

tive,

etič

kih

i po

slov

nih

stan

dard

a i u

govo

ra.

obje

ctiv

ityob

jekt

ivno

st

off-b

alan

ce s

heet

act

iviti

esva

nbila

nčne

akt

ivno

sti

Spe

cial

or

sp

ecifi

cally

ta

rget

ed

revi

ews

of

high

-ris

k,

com

plex

, and

pro

blem

are

as; i

nclu

ding

mat

eria

l acc

ount

ing

estim

ates

, res

erve

val

uatio

ns, o

ff-ba

lanc

e sh

eet a

ctiv

ities

, m

ajor

sub

sidi

arie

s, j

oint

ven

ture

s, a

nd s

peci

al p

urpo

se

entit

ies.

Pos

ebne

ili

pose

bno

cilja

ne r

eviz

ije v

isok

oriz

ični

h,

slož

enih

i

prob

lem

atič

nih

podr

učja

: uk

ljuču

jući

m

ater

ijaln

e ra

čuno

vods

tven

e pr

ocje

ne,

proc

jene

re

zerv

i, va

nbila

nčne

ak

tivno

sti,

glav

ne

ogra

nke,

za

jedn

ička

ula

ganj

a i t

ijela

za

pose

bne

nam

jene

.

346

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

off-b

alan

ce s

heet

tran

sact

ions

vanb

ilanč

ne tr

ansa

kcije

offic

erdi

rekt

or; r

ukov

odite

lj; n

ačel

nik

They

can

als

o he

lp p

rove

ins

uran

ce c

laim

s, d

eter

min

e di

rect

or a

nd o

ffice

r lia

bilit

y, c

reat

e or

enh

ance

cor

pora

te

iden

tity,

an

d de

cide

th

e ap

prop

riate

ness

of

pu

nitiv

e da

mag

es.

Oni

tako

đer

mog

u po

moć

i u d

okaz

ivan

ju z

ahtje

va z

a is

plat

om o

sigu

ranj

a, o

dređ

ivan

ju z

aduž

enja

dire

ktor

a i

ruko

vods

tva,

stv

aran

ju k

orpo

rativ

nog

iden

titet

a, t

e od

luči

vanj

u o

odgo

vara

jući

m k

azne

nim

odš

teta

ma.

oper

atin

g m

anag

emen

top

erat

ivno

ruko

vods

tvo

Inte

rnal

sta

keho

lder

s m

ay in

clud

e: b

oard

/aud

it co

mm

ittee

, se

nior

and

ope

ratin

g m

anag

emen

t. In

tern

i no

site

lji i

nter

esa

mog

u bi

ti: U

prav

ni o

dbor

/

revi

zijs

ko v

ijeće

, vis

oko

i ope

rativ

no ru

kovo

dstv

o.

oper

atin

g m

anag

ers

oper

ativ

ni ru

kovo

dite

lji

Inte

rnal

aud

itors

can

util

ize

CS

A p

rogr

ams

for

gath

erin

g re

leva

nt in

form

atio

n ab

out r

isks

and

con

trols

, for

focu

sing

th

e au

dit

plan

on

high

ris

k, u

nusu

al a

reas

, an

d to

for

ge

grea

ter

colla

bora

tion

with

ope

ratin

g m

anag

ers

and

wor

k te

ams

Inte

rni

revi

zori

mog

u ko

ristit

i pr

ogra

me

sam

ovre

dnov

anja

(C

SA

) za

prik

uplja

nje

rele

vant

nih

poda

taka

o ri

zici

ma

i kon

trola

ma,

u c

ilju

usm

jera

vanj

a re

vizi

jsko

g pl

ana

na

viso

koriz

ična

, ne

uobi

čaje

na

podr

učja

, te

ostv

ariv

anja

bol

je s

urad

nje

s op

erat

ivni

m

ruko

vods

tvom

i ra

dnim

sku

pina

ma.

orga

niza

tiona

l gov

erna

nce

orga

niza

cijs

ko u

prav

ljanj

e

Dire

ct c

omm

unic

atio

n oc

curs

whe

n th

e C

AE

reg

ular

ly

atte

nds

and

parti

cipa

tes

in m

eetin

gs o

f the

boa

rd, w

hich

re

late

to it

s ov

ersi

ght r

espo

nsib

ilitie

s fo

r aud

iting

, fin

anci

al

repo

rting

, org

aniz

atio

nal g

over

nanc

e, a

nd c

ontro

l.

Izra

vna

kom

unik

acija

ost

varu

je s

e pu

tem

red

ovite

na

zočn

osti

i sud

jelo

vanj

a na

sas

tanc

ima

upra

ve,

na

kojim

a se

razm

atra

ju z

aduž

enja

za

revi

ziju

, fin

anci

jsko

iz

vješ

ćiva

nje,

org

aniz

acijs

ko u

prav

ljanj

e i k

ontro

lu.

orga

niza

tiona

l stru

ctur

eor

gani

zaci

jska

stru

ktur

a

Rev

iew

w

ith

the

audi

t co

mm

ittee

th

e fu

nctio

nal

and

adm

inis

trativ

e re

porti

ng l

ines

of

inte

rnal

aud

it to

ens

ure

that

the

orga

niza

tiona

l stru

ctur

e in

pla

ce a

llow

s ad

equa

te

inde

pend

ence

for i

nter

nal a

udito

rs.

U

sura

dnji

s re

vizi

jski

m

vije

ćem

, iz

vrši

ti pr

egle

d fu

nkci

onal

ne

i ad

min

istra

tivne

lin

ije

odgo

vorn

osti

inte

rne

revi

zije

, u

cilju

ut

vrđi

vanj

a or

gani

zaci

jske

st

rukt

ure

koja

do

zvol

java

po

trebn

u ne

zavi

snos

t in

tern

ih re

vizo

ra.

orga

niza

tiona

l uni

tsor

gani

zaci

jske

jedi

nice

Com

paris

on o

f in

form

atio

n w

ith s

imila

r in

form

atio

n fo

r ot

her o

rgan

izat

iona

l uni

ts.

Usp

oređ

ivan

je p

odat

aka

sa s

lični

m p

odac

ima

drug

ih

orga

niza

cijs

kih

jedi

nica

.

outs

ide

serv

ice

prov

ider

vanj

ski p

ruža

telj

uslu

geA

n ou

tsid

e se

rvic

e pr

ovid

er is

a p

erso

n or

firm

, ind

epen

dent

of

the

orga

niza

tion,

who

has

spe

cial

kno

wle

dge,

ski

ll, a

nd

expe

rienc

e in

a p

artic

ular

dis

cipl

ine.

Van

jski

pru

žate

lj us

luga

je o

soba

ili t

vrtk

a, n

ezav

isna

od

org

aniz

acije

, koj

a im

a po

sebn

a zn

anja

, vje

štin

e ili

is

kust

vo u

poj

edin

oj d

isci

plin

i.

347

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

outs

ourc

ing

ekst

erna

lizira

nje;

kor

ište

nje

uslu

ga v

anjs

kih

sura

dnik

aTh

e rig

hts

to a

udit

a pr

ovid

er o

f out

sour

cing

ser

vice

s ar

e of

ten

uncl

ear.

Pra

va n

a re

vizi

ju p

ruža

telja

van

jski

h us

luga

čes

to n

isu

jasn

a.

perio

dic

exte

rnal

ass

essm

ent

povr

emen

o va

njsk

o vr

edno

vanj

e;

ocje

njiv

anje

Thes

e pr

oces

ses

shou

ld in

clud

e ap

prop

riate

sup

ervi

sion

, pe

riodi

c in

tern

al a

sses

smen

ts a

nd o

ngoi

ng m

onito

ring

of

qual

ity a

ssur

ance

, and

per

iodi

c ex

tern

al a

sses

smen

ts.

Ovi

pro

cesi

tre

baju

ukl

juči

vati

odgo

vara

jući

nad

zor,

povr

emen

o in

tern

o vr

edno

vanj

e i

stal

no

prać

enje

su

stav

a os

igur

anja

kva

litet

e, t

e po

vrem

eno

vanj

sko

vred

nova

nje.

perio

dic

inte

rnal

ass

essm

ent

povr

emen

o in

tern

o vr

edno

vanj

e;

ocje

njiv

anje

Thes

e pr

oces

ses

shou

ld in

clud

e ap

prop

riate

sup

ervi

sion

, pe

riodi

c in

tern

al a

sses

smen

ts a

nd o

ngoi

ng m

onito

ring

of

qual

ity a

ssur

ance

, and

per

iodi

c ex

tern

al a

sses

smen

ts.

Ovi

pro

cesi

tre

baju

ukl

juči

vati

odgo

vara

jući

nad

zor,

povr

emen

o in

tern

o vr

edno

vanj

e i

stal

no

prać

enje

su

stav

a os

igur

anja

kva

litet

e, t

e po

vrem

eno

vanj

sko

vred

nova

nje.

perv

asiv

e IS

Con

trols

sveo

buhv

atne

kon

trole

in

form

acijs

kih

sust

ava

Exa

mpl

es o

f per

vasi

ve IS

con

trols

incl

ude

cont

rols

ove

r IS

pr

oces

ses

defin

ed in

CO

BIT

’s p

lann

ing

and

Org

aniz

atio

n do

mai

n an

d M

onito

ring

dom

ain;

e.g

.

Prim

jeri

sveo

buhv

atni

h ko

ntro

la in

form

acijs

kih

sust

ava

uklju

čuju

ko

ntro

le

proc

esa

info

rmac

ijski

h su

stav

a,

prem

a de

finic

ijam

a C

OB

IT-a

(D

omen

a pl

anira

nja

i or

gani

zaci

je, D

omen

a na

dzor

a).

phys

ical

sec

urity

fizič

ka s

igur

nost

Tool

s th

at

shou

ld

be

in

plac

e in

clud

e:

intru

sion

m

anag

emen

t (m

onito

ring

softw

are,

aut

omat

ic t

ime-

out,

and

trend

ana

lysi

s),

phys

ical

sec

urity

for

e-c

omm

erce

se

rver

s, c

hang

e co

ntro

ls, a

nd re

conc

iliat

ion.

Ala

ti ko

je

orga

niza

cija

tre

ba

osig

urat

i: ko

ntro

la

upad

a (p

rogr

amsk

a op

rem

a za

nad

zor,

auto

mat

sko

vrem

ensk

o is

klju

čiva

nje

(tim

e-ou

t) i a

naliz

a tre

ndov

a),

fizič

ka

sigu

rnos

t po

služ

itelja

e-

trgov

ine,

ko

ntro

le

izm

jena

i us

klađ

ivan

je.

polic

ies

and

proc

edur

espo

litik

e i p

roce

dure

The

audi

tor s

houl

d co

nsid

er re

view

ing

such

thin

gs a

s th

e co

ntra

ct, s

ervi

ce le

vel a

gree

men

t, po

licie

s an

d pr

oced

ures

be

twee

n th

e th

ird p

arty

and

the

orga

niza

tion.

Rev

izor

treb

a uz

eti u

obz

ir pr

egle

d ug

ovor

a, u

govo

ra

o ra

zini

usl

uge

(SLA

), te

pol

itika

i pr

oced

ura

izm

eđu

treći

h os

oba

i org

aniz

acije

.

popu

latio

npo

pula

cija

The

popu

latio

n is

the

ent

ire s

et o

f da

ta f

rom

whi

ch t

he

audi

tor

wis

hes

to s

ampl

e in

ord

er t

o re

ach

a co

nclu

sion

on

the

popu

latio

n.

Pop

ulac

ija je

uku

pna

skup

ina

poda

taka

iz k

oje

revi

zor

želi

prov

esti

uzor

kova

nje,

u c

ilju

dono

šenj

a za

klju

čaka

u

svez

i pop

ulac

ije.

post

-aud

it (a

pos

terio

ri)na

kon

revi

zije

; pos

t-rev

izijs

kiO

vers

ee th

e sy

stem

(s)

for

inte

rnal

aud

it st

atis

tics/

met

rics

and

for p

ost-a

udit

and

othe

r sur

veys

(e.g

., of

the

cust

omer

s an

d ot

her s

take

hold

ers

of th

e in

tern

al a

udit

activ

ity).

Nad

gled

ati s

tatis

tiku/

met

riku

inte

rne

revi

zije

, te

pos

t-re

vizi

jska

i dr

uga

istra

živa

nja

(npr

. isp

itiva

nje

miš

ljenj

a kl

ijena

ta i

drug

ih n

osite

lja in

tere

sa u

sve

zi d

jela

tnos

ti in

tern

e re

vizi

je).

348

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

prac

tice

advi

sorie

sN

aput

ci z

a pr

aksu

Ext

erna

l ass

essm

ents

of t

he in

tern

al a

udit

activ

ity s

houl

d be

per

form

ed i

n ac

cord

ance

with

Pra

ctic

e A

dvis

orie

s 13

12-1

and

131

2-2.

Van

jsko

vr

edno

vanj

e dj

elat

nost

i in

tern

e re

vizi

je

potre

bno

je p

rovo

diti

u su

klad

nost

i s

Nap

utci

ma

za

prak

su in

tern

e re

vizi

je 1

312-

1 an

d 13

12-2

.

prac

tice

advi

sory

Nap

utak

za

prak

suN

atur

e of

this

Pra

ctic

e A

dvis

ory:

Inte

rnal

aud

itors

sho

uld

cons

ider

the

fol

low

ing

sugg

estio

ns w

hen

adop

ting

an

inte

rnal

aud

it ch

arte

r.

Prir

oda

ovog

N

aput

ka

za

prak

su

inte

rne

revi

zije

: in

tern

i rev

izor

i tre

baju

uze

ti u

obzi

r slje

deće

prij

edlo

ge

prili

kom

usv

ajan

ja p

ovel

je in

tern

e re

vizi

je.

prel

imin

ary

asse

ssm

ent

uvod

no v

redn

ovan

je il

i oc

jenj

ivan

je; p

očet

no

vred

nova

nje

ili o

cjen

jivan

je

This

pre

limin

ary

asse

ssm

ent

shou

ld i

nclu

de i

dent

ifyin

g an

d ev

alua

ting

rele

vant

per

vasi

ve IS

con

trols

.

Ovo

uvo

dno

vred

nova

nje

treba

ukl

juči

ti pr

epoz

nava

nje

i oc

jenj

ivan

je

rele

vant

nih

sveo

buhv

atni

h ko

ntro

la

info

rmac

ijski

h su

stav

a.

prin

cipa

l exe

cutiv

e of

ficer

glav

ni d

irekt

or; g

lavn

i izv

ršni

di

rekt

or; r

ukov

odite

lj

As

adop

ted,

SE

C R

ules

13a

-14

and

15d-

14 r

equi

re a

n is

suer

s

prin

cipa

l ex

ecut

ive

offic

er o

r of

ficer

s an

d th

e pr

inci

pal f

inan

cial

offi

cer o

r offi

cers

, or p

erso

ns p

erfo

rmin

g si

mila

r fu

nctio

ns,

to c

ertif

y in

eac

h qu

arte

rly a

nd a

nnua

l re

port,

inc

ludi

ng t

rans

ition

rep

orts

, fil

ed o

r su

bmitt

ed b

y th

e is

suer

und

er S

ectio

n 13

(a)

or 1

5(d)

of t

he E

xcha

nge

Act

that

:

Pre

ma

Pra

vilim

a 13

a-14

i

15d-

14

Kom

isije

za

vr

ijedn

osni

ce i

bur

zovn

o po

slov

anje

(S

EC

), gl

avni

iz

vršn

i dire

ktor

ili d

irekt

ori,

te g

lavn

i fin

anci

jski

dire

ktor

ili

dire

ktor

i, ili

oso

be k

oje

obav

ljaju

slič

ne f

unkc

ije

za iz

dava

telja

, u

svak

om t

rom

jese

čnom

i go

dišn

jem

iz

vješ

ću, u

klju

čuju

ći p

rijel

azna

izvj

ešća

, koj

e iz

dava

telj

podn

osi

prem

a O

djel

jku

13(a

) ili

15(

d) Z

akon

a o

burz

ovno

m p

oslo

vanj

u, tr

ebaj

u po

svje

doči

ti o

tom

e.

prin

cipa

l fin

anci

al o

ffice

rgl

avni

fina

ncijs

ki d

irekt

or

As

adop

ted,

SE

C R

ules

13a

-14

and

15d-

14 r

equi

re a

n is

suer

s

prin

cipa

l ex

ecut

ive

offic

er o

r of

ficer

s an

d th

e pr

inci

pal f

inan

cial

offi

cer o

r offi

cers

, or p

erso

ns p

erfo

rmin

g si

mila

r fu

nctio

ns,

to c

ertif

y in

eac

h qu

arte

rly a

nd a

nnua

l re

port,

inc

ludi

ng t

rans

ition

rep

orts

, fil

ed o

r su

bmitt

ed b

y th

e is

suer

und

er S

ectio

n 13

(a) o

r 15(

d).

Pre

ma

Pra

vilim

a 13

a-14

i

15d-

14

Kom

isije

za

vr

ijedn

osni

ce i

bur

zovn

o po

slov

anje

(S

EC

), gl

avni

iz

vršn

i dire

ktor

ili d

irekt

ori,

te g

lavn

i fin

anci

jski

dire

ktor

ili

dire

ktor

i, ili

oso

be k

oje

obav

ljaju

slič

ne f

unkc

ije

za iz

dava

telja

, u

svak

om t

rom

jese

čnom

i go

dišn

jem

iz

vješ

ću, u

klju

čuju

ći p

rijel

azna

izvj

ešća

, koj

e iz

dava

telj

podn

osi

prem

a O

djel

jku

13(a

) ili

15(

d) Z

akon

a o

burz

ovno

m p

oslo

vanj

u, tr

ebaj

u po

svje

doči

ti o

tom

e .

349

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

priv

acy

fram

ewor

kok

vir z

a za

štitu

priv

atno

sti

Nat

ure

of th

is P

ract

ice

Adv

isor

y: In

tern

al a

udito

rs s

houl

d co

nsid

er t

he f

ollo

win

g su

gges

tions

whe

n ev

alua

ting

an

orga

niza

tion

s ac

tiviti

es re

late

d to

its

priv

acy

fram

ewor

k.

Prir

oda

ovog

N

aput

ka

za

prak

su

inte

rne

revi

zije

: in

tern

i re

vizo

ri tre

baju

uz

eti

u ob

zir

slje

de

e pr

ijedl

oge

prili

kom

ocj

enjiv

anja

akt

ivno

sti o

rgan

izac

ije

koje

se

odno

se n

a ok

vir z

a za

atitu

priv

atno

sti.

priv

acy

polic

ypo

litik

a za

štite

priv

atno

sti

The

audi

tor

may

fa

cilit

ate

the

deve

lopm

ent

and

impl

emen

tatio

n of

the

priv

acy

prog

ram

, con

duct

a p

rivac

y ris

k as

sess

men

t to

dete

rmin

e th

e ne

eds

and

risk

expo

sure

s of

the

orga

niza

tion,

or m

ay re

view

and

pro

vide

ass

uran

ce

on th

e ef

fect

iven

ess

of th

e pr

ivac

y po

licie

s, p

ract

ices

, and

co

ntro

ls a

cros

s th

e or

gani

zatio

n.

Rev

izor

m

ože

imat

i ul

ogu

faci

litat

ora

za

razv

oj

i pr

ovođ

enje

pro

gram

a za

zaš

titu

priv

atno

sti,

prov

esti

ocje

nu r

izik

a pr

ivat

nost

i u c

ilju

odre

điva

nja

potre

ba i

izlo

ženo

st ri

ziku

org

aniz

acije

, ili

izvr

šiti

preg

led

i pru

žiti

uvje

renj

e o

učin

kovi

tost

i pol

itika

, pr

akse

i ko

ntro

la u

sv

ezi z

aštit

e pr

ivat

nost

i u o

rgan

izac

iji.

priv

ilege

of c

ritic

al s

elf-a

naly

sis

povl

astic

a kr

itičk

e sa

moa

naliz

eS

ome

cour

ts h

ave

reco

gniz

ed a

priv

ilege

of

criti

cal s

elf-

anal

ysis

that

shi

elds

from

dis

cove

ry s

elf-c

ritic

al m

ater

ials

lik

e au

dit w

ork

prod

uct.

Nek

i sud

ovi p

rizna

ju p

ovla

stic

u kr

itičk

e sa

moa

naliz

e,

kojo

m s

e sp

rječa

va o

tkriv

anje

sam

okrit

ički

h m

ater

ijala

ka

o št

o je

pro

izvo

d re

vizi

jsko

g ra

da.

proc

edur

es fo

r con

duct

ing

cons

ultin

g en

gage

men

tspo

stup

ci z

a pr

oved

bu s

avje

tnič

kih

anga

žman

a

Spe

cial

con

sulti

ng e

ngag

emen

ts,

such

as

parti

cipa

tion

in

a m

erge

r or

ac

quis

ition

pr

ojec

t, or

in

em

erge

ncy

enga

gem

ents

, su

ch a

s di

sast

er r

ecov

ery

activ

ities

, m

ay

requ

ire d

epar

ture

from

nor

mal

or

esta

blis

hed

proc

edur

es

for c

ondu

ctin

g co

nsul

ting

enga

gem

ents

.

Pos

ebni

sa

vjet

ničk

i an

gažm

ani,

kao

što

su

sudj

elov

anje

u p

roje

ktim

a sp

ajan

ja i

li pr

euzi

man

ja

podu

zeća

, ili

u an

gažm

anim

a hi

tnih

inte

rven

cija

(np

r. ak

tivno

sti

opor

avka

od

kata

stro

fe),

mog

u za

htije

vati

odm

ak

od

uobi

čaje

nih

ili

utvr

đeni

h po

stup

aka

za

prov

edbu

sav

jetn

ički

h an

gažm

ana.

proc

edur

es fo

r mon

itorin

gpo

stup

ci z

a pr

aćen

je; p

ostu

pci

nadz

ora

secu

rity p

olic

ies (

PO

6), a

lloca

tion

of se

curit

y res

pons

ibili

ties

(PO

4), r

isk

asse

ssm

ent p

roce

dure

s (P

O9)

and

pro

cedu

res

for m

onito

ring

com

plia

nce

with

its

secu

rity

polic

ies

(M1)

.

Pol

itike

si

gurn

osti

(PO

6),

Dod

jela

za

duže

nja

za

sigu

rnos

t (P

O4)

, P

ostu

pci

proc

jene

riz

ika

(PO

9),

te

Pos

tupc

i za

pr

aćen

je

sukl

adno

sti

s po

litik

ama

sigu

rnos

ti (M

1).

proj

ect m

anag

erpr

ojek

t men

adže

r; vo

dite

lj pr

ojek

ta

This

app

roac

h in

volv

es a

n ou

tsid

e te

am o

f co

mpe

tent

pr

ofes

sion

als

unde

r th

e le

ader

ship

of

an e

xper

ienc

ed

and

prof

essi

onal

pro

ject

man

ager

(se

e qu

alifi

catio

ns o

f ex

tern

al re

view

ers

in P

ract

ice

Adv

isor

y 13

12-1

.)

Ova

j pr

istu

p uk

ljuču

je v

anjs

ki t

im s

tručn

ih d

jela

tnik

a po

d vo

dstv

om

isku

snog

i

prof

esio

naln

og

vodi

telja

pr

ojek

ta (

pogl

edaj

te k

valif

ikac

ije v

anjs

kih

revi

zora

u

Nap

utku

za

prak

su in

tern

e re

vizi

je 1

312-

1).

350

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

publ

ic a

ccou

ntin

gja

vno

raču

novo

dstv

o

The

self-

eval

uativ

e pr

ivile

ge

is

parti

cula

rly

rele

vant

to

fun

ctio

ns a

nd a

ctiv

ities

tha

t ha

ve e

stab

lishe

d se

lf-re

gula

tory

pr

oced

ures

. H

ospi

tals

, se

curit

y br

oker

s,

and

publ

ic a

ccou

ntin

g fir

ms

are

amon

g th

ose

that

hav

e es

tabl

ishe

d su

ch p

roce

dure

s.

Pov

last

ica

sam

ovre

dnov

anja

od

pose

bne

je v

ažno

sti

za f

unkc

ije i

dje

latn

osti

s ut

vrđe

nim

pro

cedu

ram

a sa

mo-

regu

laci

je. N

eke

od o

rgan

izac

ija k

oje

su u

svoj

ile

takv

e pr

oced

ure

su b

olni

ce,

zašt

itars

ke b

roke

rske

ag

enci

je i

javn

e ra

čuno

vods

tven

e tv

rtke.

publ

ic k

ey c

ertif

icat

esce

rtifik

ati j

avno

g kl

juča

Ade

quac

y of

sys

tem

s, p

olic

ies,

and

pro

cedu

res

to c

ontro

l pu

blic

key

cer

tific

ates

(us

ing

publ

ic k

ey c

rypt

ogra

phic

te

chni

ques

).

Ade

kvat

nost

sus

tava

, pol

itika

i pr

oced

ura

za k

ontro

lu

certi

fikat

a ja

vnog

kl

juča

(k

oriš

tenj

e kr

ipto

graf

skih

te

hnik

a).

publ

ic k

ey c

rypt

ogra

phic

te

chni

ques

krip

togr

afsk

e te

hnik

e ja

vnog

kl

juča

Ade

quac

y of

sys

tem

s, p

olic

ies,

and

pro

cedu

res

to c

ontro

l pu

blic

key

cer

tific

ates

(us

ing

publ

ic k

ey c

rypt

ogra

phic

te

chni

ques

).

Ade

kvat

nost

sus

tava

, pol

itika

i pr

oced

ura

za k

ontro

lu

certi

fikat

a ja

vnog

kl

juča

(k

oriš

tenj

e kr

ipto

graf

skih

te

hnik

a).

QA

&IP

prog

ram

za

osig

uran

je i

pobo

ljšan

je k

valit

ete

(QA

&IP

)O

verv

iew

of

a

Qua

lity

Ass

uran

ce

and

Impr

ovem

ent

Pro

gram

(QA

&IP

)P

regl

ed

Pro

gram

a za

os

igur

anje

i

pobo

ljšan

je

kval

itete

.

QA

&IP

prog

ram

za

osig

uran

je i

pobo

ljšan

je k

valit

ete

(QA

&IP

)

To e

nsur

e th

at t

his

occu

rs,

Sta

ndar

d 13

00 r

equi

res

that

th

e C

AE

dev

elop

and

mai

ntai

n a

qual

ity a

ssur

ance

and

im

prov

emen

t pro

gram

(QA

&IP

).

Kak

o bi

se

to p

ostig

lo, p

rem

a S

tand

ardu

130

0, g

lavn

i re

vizo

r tre

ba ra

zvija

ti i o

drža

vati

prog

ram

za

osig

uran

je

i pob

oljš

anje

kva

litet

e.

QA

&IP

func

tion

funk

cija

pro

gram

a za

osi

gura

nje

i po

boljš

anje

kva

litet

e (Q

A&

IP)

The

CA

E

shou

ld

esta

blis

h a

form

al

QA

&IP

fu

nctio

n in

depe

nden

t of t

he a

udit

and

cons

ultin

g se

gmen

ts o

f the

in

tern

al a

udit

activ

ity.

Gla

vni

revi

zor

treba

ut

vrdi

ti sl

užbe

nu

funk

ciju

pr

ogra

ma

za o

sigu

ranj

e i

pobo

ljšan

je k

valit

ete,

koj

a je

nez

avis

na o

d re

vizi

jski

h i

savj

etni

čkih

seg

men

ata

djel

atno

sti i

nter

ne re

vizi

je.

QA

Rre

vizi

ja il

i pre

gled

pro

gram

a os

igur

anja

kva

litet

e (Q

AR

)Th

is d

ocum

enta

tion

shou

ld b

e pr

ovid

ed to

ext

erna

l qua

lity

cont

rol r

evie

wer

s du

ring

the

QA

R e

ngag

emen

t.

Ova

do

kum

enta

cija

tre

ba

biti

dost

upna

va

njsk

im

ocje

njiv

ačim

a ko

ntro

le k

valit

ete

u tij

eku

anga

žman

a pr

egle

da p

rogr

ama

osig

uran

ja k

valit

ete

(QA

R).

qual

ity a

sses

smen

tvr

edno

vanj

e kv

alite

te; o

cjen

a kv

alite

te

If th

e pe

riodi

c in

tern

al a

sses

smen

t is

per

form

ed b

y a

qual

ified

, in

depe

nden

t ex

tern

al r

evie

wer

or

revi

ew t

eam

, th

e as

sess

men

t re

sults

sho

uld

not

com

mun

icat

e an

y as

sura

nces

on

the

outc

ome

of t

he s

ubse

quen

t ex

tern

al

qual

ity a

sses

smen

t.

Ako

se

povr

emen

o in

tern

o vr

edno

vanj

e pr

ovod

i pod

vo

dstv

om s

tručn

og n

ezav

isno

g va

njsk

og o

cjen

jivač

a ili

ocj

enjiv

ačko

g tim

a, r

ezul

tati

vred

nova

nja

ne s

miju

iz

raža

vati

uvje

renj

a o

rezu

ltatu

van

jsko

g vr

edno

vanj

a kv

alite

te.

351

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

qual

ity a

sses

smen

t pra

ctic

espo

stup

ci v

redn

ovan

ja k

valit

ete

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

proc

edur

es n

eces

sary

for c

ompr

ehen

sive

qua

lity

prog

ram

s or

the

ir as

sess

men

t, bu

t si

mpl

y a

reco

mm

ende

d se

t of

qu

ality

ass

essm

ent p

ract

ices

.

Ova

j N

aput

ak

ne

sadr

ži

sve

post

upke

po

trebn

e za

sv

eobu

hvat

ne

prog

ram

e kv

alite

te

ili

njih

ovo

vred

nova

nje,

već

sam

o na

vodi

pre

poru

ke z

a pr

aksu

oc

jene

kva

litet

e.

qual

ity a

ssur

ance

osig

uran

je k

valit

ete

CA

Es

will

nev

erth

eles

s ne

ed t

o en

sure

tha

t th

e qu

ality

as

sura

nce

syst

em i

s de

sign

ed t

o m

anag

e or

min

imiz

e th

reat

s to

aud

itor i

ndep

ende

nce

or o

bjec

tivity

.

Gla

vni r

eviz

or ip

ak tr

eba

osig

urat

i da

sust

av o

sigu

ranj

a kv

alite

te s

adrž

i mog

ućno

st z

a re

gula

ciju

ili u

blaž

avan

je

prije

tnji

neza

visn

osti

i obj

ektiv

nost

i rev

izor

a.

qual

ity a

ssur

ance

and

im

prov

emen

t pro

gram

prog

ram

osi

gura

nja

i pob

oljš

anja

kv

alite

te

The

chie

f aud

it ex

ecut

ive

shou

ld d

evel

op a

nd m

aint

ain

a qu

ality

ass

uran

ce a

nd im

prov

emen

t pro

gram

that

cov

ers

all a

spec

ts o

f th

e in

tern

al a

udit

activ

ity a

nd c

ontin

uous

ly

mon

itors

its

effe

ctiv

enes

s.

Gla

vni

revi

zor

treba

ra

zviti

i

održ

avat

i pr

ogra

m

osig

uran

ja i

pob

oljš

anja

kva

litet

e ko

ji će

pok

riti

sve

aspe

kte

djel

atno

sti

inte

rne

revi

zije

, te

sta

lno

prat

iti

njeg

ovu

učin

kovi

tost

.

Qua

lity

Ass

uran

ce R

evie

wre

vizi

ja il

i pre

gled

pro

gram

a os

igur

anja

kva

litet

e (Q

AR

)

Per

iodi

cally

, the

CA

E s

houl

d sc

hedu

le a

qua

lity

assu

ranc

e re

view

of

th

e en

viro

nmen

tal

audi

t fu

nctio

n if

it is

or

gani

zatio

nally

inde

pend

ent o

f the

inte

rnal

aud

it ac

tivity

.

Gla

vni

revi

zor

treba

po

vrem

eno

zaka

zati

revi

ziju

pr

ogra

ma

osig

uran

ja k

valit

ete

funk

cije

zaš

tite

okol

iša,

u

sluč

aju

kada

je ta

funk

cija

org

aniz

acijs

ki n

ezav

isna

od

dje

latn

osti

inte

rne

revi

zije

.

qual

ity a

ssur

ance

revi

ewer

revi

zor i

li oc

jenj

ivač

pro

gram

a os

igur

anja

kva

litet

eTh

is i

nfor

mat

ion

shou

ld b

e di

sclo

sed

to e

xter

nal

qual

ity

assu

ranc

e re

view

ers.

Ovi

pod

aci m

oraj

u bi

ti do

stup

ni v

anjs

kim

ocj

enjiv

ačim

a pr

ogra

ma

osig

uran

ja k

valit

ete.

qual

ity a

ssur

ance

sys

tem

sust

av o

sigu

ranj

a kv

alite

te

Mor

eove

r, ev

en w

here

the

aud

it fu

nctio

n is

not

sub

ject

to

go

vern

ing

rule

s th

at

rest

rict

non-

audi

t (c

onsu

lting

) se

rvic

es,

CA

Es

will

nev

erth

eles

s ne

ed t

o en

sure

tha

t th

e qu

ality

ass

uran

ce s

yste

m is

des

igne

d to

man

age

or

min

imiz

e th

reat

s to

aud

itor i

ndep

ende

nce

or o

bjec

tivity

.

Što

više

, ča

k i u

slu

čaje

vim

a ka

da r

eviz

ijska

fun

kcija

ne

pod

lijež

e pr

opis

ima

koji

ogra

niča

vaju

ner

eviz

ijske

(s

avje

tnič

ke) u

slug

e, g

lavn

i rev

izor

ipak

treb

a os

igur

ati

da

sust

av

osig

uran

ja

kval

itete

sa

drži

m

oguć

nost

za

reg

ulac

iju i

li ub

laža

vanj

e pr

ijetn

ji ne

zavi

snos

ti i

obje

ktiv

nost

i rev

izor

a.

qual

ity c

ontro

lko

ntro

la k

valit

ete

This

doc

umen

tatio

n sh

ould

be

prov

ided

to e

xter

nal q

ualit

y co

ntro

l rev

iew

ers

durin

g th

e Q

AR

eng

agem

ent.

Ova

do

kum

enta

cija

tre

ba

biti

dost

upna

va

njsk

im

ocje

njiv

ačim

a ko

ntro

le k

valit

ete

u tij

eku

anga

žman

a os

igur

anja

kva

litet

e is

traži

vačk

og ra

da.

352

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

quar

terly

fina

ncia

l rep

ortin

gtro

mje

sečn

o fin

anci

jsko

iz

vješ

ćiva

nje

Thes

e re

com

men

ded

actio

ns a

re a

lso

offe

red

as b

est

prac

tices

to

no

n-pu

blic

ly

held

co

mpa

nies

an

d ot

her

orga

niza

tions

see

king

to

adop

t si

mila

r pr

oces

ses

over

qu

arte

rly fi

nanc

ial r

epor

ting.

Ove

pre

poru

ke t

akođ

er s

luže

kao

prim

jer

najb

olje

pr

akse

za

podu

zeća

izv

an j

avno

g se

ktor

a, t

e dr

uge

orga

niza

cije

ko

je

žele

us

vojit

i sl

ične

pr

oces

e za

tro

mje

sečn

o fin

anci

jsko

izvj

ešći

vanj

e.

rand

om s

ampl

esl

učaj

ni u

zora

kFo

r sel

ectio

n on

reco

rds,

com

mon

met

hods

are

: Ran

dom

S

ampl

e (s

tatis

tical

sa

mpl

e),

Hap

haza

rd

Sam

ple

(non

st

atis

tical

).

Za o

dabi

r po

data

ka,

uobi

čaje

ne m

etod

e su

: sl

učaj

ni

uzor

ak

(sta

tistič

ki

uzor

ak),

nasu

mič

ni

uzor

ak

(nes

tatis

tički

).

rand

om s

ampl

ing

sluč

ajno

uzo

rkov

anje

Ran

dom

sa

mpl

ing

-ens

ures

th

at

all

com

bina

tions

of

sa

mpl

ing

units

in th

e po

pula

tion

have

an

equa

l cha

nce

of

sele

ctio

n.

Slu

čajn

o uz

orko

vanj

e os

igur

ava

da s

ve k

ombi

naci

je

jedi

nica

uzo

rka

u po

pula

ciji

imaj

u je

dnak

u pr

iliku

za

odab

ir.

regu

latio

nspr

opis

iP

rohi

bite

d bu

sine

ss a

ctiv

ities

, su

ch a

s th

ose

that

vio

late

go

vern

men

t sta

tute

s, ru

les,

regu

latio

ns, o

r con

tract

s.

Zabr

anje

ne

posl

ovne

ak

tivno

sti,

popu

t kr

šenj

a za

kons

kih

prav

ila, p

ropi

sa il

i ugo

vora

.

regu

lato

rsre

gula

torn

a tij

ela

Sta

keho

lder

s co

uld

incl

ude

the

audi

t com

mitt

ee, e

xecu

tive

man

agem

ent,

exte

rnal

gov

ernm

ent b

odie

s an

d re

gula

tors

, an

d th

e ex

tern

al a

udito

rs.

Nos

itelji

int

eres

a m

ogu

uklju

čiva

ti re

vizi

jsko

vije

će,

izvr

šno

ruko

vods

tvo,

van

jska

vla

dina

tije

la i r

egul

ator

na

tijel

a te

van

jske

revi

zore

.

regu

lato

ry c

ompl

ianc

e pr

ogra

mpr

ogra

m p

oštiv

anja

zak

onsk

e re

gula

tive

Inte

rnal

aud

itors

sho

uld

cons

ider

the

follo

win

g su

gges

tions

w

hen

eval

uatin

g an

org

aniz

atio

n’s

regu

lato

ry c

ompl

ianc

e pr

ogra

ms.

Inte

rni r

eviz

ori t

reba

ju u

zeti

u ob

zir s

ljede

će p

rijed

loge

pr

iliko

m o

cjen

jivan

ja p

rogr

ama

pošt

ivan

ja z

akon

ske

regu

lativ

e or

gani

zaci

je.

repo

rting

pro

cess

proc

es iz

vješ

ćiva

nja

The

occa

sion

al p

erfo

rman

ce o

f no

n-au

dit

wor

k by

the

in

tern

al

audi

tor,

with

fu

ll di

sclo

sure

in

th

e re

porti

ng

proc

ess,

wou

ld n

ot n

eces

saril

y im

pair

inde

pend

ence

.

Pov

rem

eno

obav

ljanj

e ne

revi

zijs

kih

posl

ova

od s

trane

in

tern

ih r

eviz

ora,

uz

potp

uno

razo

tkriv

anje

u p

roce

su

izvj

ešći

vanj

a, n

e m

ora

nužn

o on

emog

ućiti

njih

ovu

neza

visn

ost.

repo

rting

rela

tions

hip

linija

odg

ovor

nost

iIn

tern

al a

udito

rs s

houl

d be

ale

rt to

the

pot

entia

l ris

ks

that

may

res

ult

from

the

org

aniz

atio

nal

plac

emen

t an

d re

porti

ng re

latio

nshi

ps o

f env

ironm

enta

l aud

itors

.

Inte

rni

revi

zori

mor

aju

spre

mno

uo

čava

ti m

oguć

e riz

ike

koji

potje

ču o

d or

gani

zaci

jsko

g po

loža

ja i

linija

od

govo

rnos

ti re

vizo

ra z

aštit

e ok

oliš

a.

353

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

resi

dual

risk

rezi

dual

ni ri

zik;

pre

osta

li riz

ik

Ass

ess

the

desi

gn a

nd o

pera

ting

effe

ctiv

enes

s of

fra

ud-

rela

ted

cont

rols

; en

sure

tha

t au

dit

plan

s an

d pr

ogra

ms

addr

ess

resi

dual

risk

and

inco

rpor

ate

fraud

aud

its; e

valu

ate

the

desi

gn o

f fa

cilit

ies

from

a f

raud

or

thef

t pe

rspe

ctiv

e;

and

revi

ew p

ropo

sed

chan

ges

to l

aws,

reg

ulat

ions

, or

sy

stem

s, a

nd th

eir i

mpa

cts

on c

ontro

ls.

Oci

jeni

ti pl

an

i ra

dnu

učin

kovi

tost

ko

ntro

la

za

sprje

čava

nje

prije

vare

; os

igur

ati d

a re

vizi

jski

pla

novi

i p

rogr

ami u

klju

čuju

rezi

dual

ni ri

zik

i ist

rage

prij

evar

e;

ocije

niti

nacr

t pr

osto

rija

sa

stan

oviš

ta

prije

vare

ili

kr

ađe;

te o

bavi

ti pr

egle

d pr

edlo

ženi

h iz

mje

ne z

akon

a,

prop

isa

ili s

usta

va, t

e nj

ihov

a uč

inka

na

kont

role

.

revi

ew iz

vrši

ti pr

egle

d ili

ocj

enjiv

anje

In th

ose

inst

ance

s w

here

the

envi

ronm

enta

l aud

it fu

nctio

n re

ports

to s

omeo

ne o

ther

than

the

CA

E, t

he C

AE

sho

uld

offe

r to

rev

iew

the

aud

it pl

an a

nd t

he p

erfo

rman

ce o

f en

gage

men

ts.

U s

luča

jevi

ma

kada

fun

kcija

rev

izije

zaš

tite

okol

iša

nije

odg

ovor

na g

lavn

om re

vizo

ru, g

lavn

i rev

izor

treb

a po

nudi

ti us

luge

pre

gled

a re

vizi

jsko

g pl

ana

i uč

inka

an

gažm

ana.

revi

ew p

roce

dure

spo

stup

ci p

regl

eda

revi

zije

The

inte

rnal

aud

itor’s

obj

ectiv

ity is

not

adv

erse

ly a

ffect

ed

whe

n th

e au

dito

r re

com

men

ds

stan

dard

s of

co

ntro

l fo

r sy

stem

s or

re

view

s pr

oced

ures

be

fore

th

ey

are

impl

emen

ted.

Obj

ektiv

nost

inte

rnog

revi

zora

nije

nar

ušen

a da

vanj

em

prep

oruk

a za

sta

ndar

de k

ontro

la s

usta

va il

i pos

tupa

ka

revi

zije

prij

e nj

ihov

a pr

ovođ

enja

.

revi

ew te

amoc

jenj

ivač

ki ti

mTh

e fir

st a

ppro

ach

is a

full

exte

rnal

ass

essm

ent c

ondu

cted

by

a q

ualif

ied,

ind

epen

dent

ext

erna

l re

view

er o

r re

view

te

am.

Prv

i pr

istu

p uk

ljuču

je

sveo

buhv

atno

va

njsk

o vr

edno

vanj

e ko

je p

rovo

di s

tručn

i ne

zavi

sni

vanj

ski

ocje

njiv

ač il

i ocj

enjiv

ački

tim

.

risk

rizik

The

CA

E s

houl

d ev

alua

te t

he o

rgan

izat

iona

l pl

acem

ent

and

inde

pend

ence

of t

he e

nviro

nmen

tal a

udit

func

tion

to

ensu

re th

at s

igni

fican

t mat

ters

resu

lting

from

ser

ious

risk

s to

the

ente

rpris

e ar

e re

porte

d up

the

chai

n of

com

man

d to

th

e au

dit o

r oth

er c

omm

ittee

of t

he g

over

ning

boa

rd.

Gla

vni

revi

zor

treba

oci

jeni

ti or

gani

zaci

jski

pol

ožaj

i

neza

visn

ost

funk

cije

rev

izije

zaš

tite

okol

iša,

kak

o bi

osi

gura

o da

se

znač

ajna

pita

nja

u sv

ezi

tešk

ih

rizik

a za

pod

uzeć

e po

lini

ji od

govo

rnos

ti pr

iopć

avaj

u re

vizi

jsko

m il

i dru

gom

vije

ću U

prav

nog

odbo

ra.

risk

anal

ysis

anal

iza

rizik

aTh

is te

chni

que

incl

udes

aut

omat

ed r

isk

anal

ysis

, sys

tem

so

ftwar

e, a

nd c

ontro

l obj

ectiv

es s

oftw

are

pack

ages

.

Ova

te

hnik

a uk

ljuču

je

auto

mat

sku

anal

izu

rizik

a,

prog

ram

sku

opre

mu

sust

ava

te p

rogr

amsk

e pa

kete

ko

ntro

lnih

cilj

eva.

risk

appe

tite

apet

it za

rizi

kom

risk

asse

ssm

ent

ocje

na ri

zika

CA

E r

epor

ting

lines

are

als

o cr

itica

l to

ens

urin

g th

e ap

prop

riate

flo

w

of

info

rmat

ion

and

acce

ss

to

key

exec

utiv

es a

nd m

anag

ers

that

are

the

foun

datio

ns o

f ris

k as

sess

men

t and

repo

rting

of r

esul

ts o

f aud

it ac

tiviti

es.

Lini

je

odgo

vorn

osti

glav

nog

revi

zora

od

kl

jučn

e su

va

žnos

ti za

os

igur

anje

od

gova

raju

ćeg

prot

oka

info

rmac

ija,

te p

ristu

pa d

o kl

jučn

ih č

lano

va iz

vršn

og

i dru

gog

ruko

vods

tva

koji

su n

osite

lji p

roce

sa o

cjen

e riz

ika

i izv

ješć

ivan

ja re

zulta

ta d

jela

tnos

ti re

vizi

je.

354

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

risk

asse

ssm

ent p

roce

dure

spo

stup

ci p

rocj

ene

rizik

ase

curit

y pol

icie

s (P

O6)

, allo

catio

n of

secu

rity r

espo

nsib

ilitie

s (P

O4)

, ris

k as

sess

men

t pro

cedu

res

(PO

9) a

nd p

roce

dure

s fo

r mon

itorin

g co

mpl

ianc

e w

ith it

s se

curit

y po

licie

s (M

1).

Pol

itike

si

gurn

osti

(PO

6),

Dod

jela

za

duže

nja

za

sigu

rnos

t (P

O4)

, P

ostu

pci

proc

jene

riz

ika

(PO

9),

te

Pos

tupc

i za

pr

aćen

je

sukl

adno

sti

s po

litik

ama

sigu

rnos

ti (M

1).

risk

fact

ors

čim

beni

ci ri

zika

Mos

t ris

k m

odel

s ut

ilize

ris

k fa

ctor

s to

est

ablis

h th

e pr

iorit

y of

eng

agem

ents

suc

h as

: fin

anci

al im

pact

; as

set

liqui

dity

; m

anag

emen

t co

mpe

tenc

e;

qual

ity

of

inte

rnal

co

ntro

ls;

degr

ee o

f ch

ange

or

stab

ility

; tim

e of

last

aud

it en

gage

men

t; co

mpl

exity

; em

ploy

ee

and

gove

rnm

ent

rela

tions

; etc

.

Već

ina

mod

ela

rizik

a ko

risti

čim

beni

ke

rizik

a pr

i ut

vrđi

vanj

u pr

iorit

eta

anga

žman

a,

kao

što

su:

finan

cijs

ki

učin

ak;

likvi

dnos

t im

ovin

e;

kval

iteta

up

ravl

janj

a;

kval

iteta

in

tern

ih

kont

rola

; st

upan

j pr

omje

ne i

li st

abiln

osti;

vrij

eme

zadn

jeg

revi

zijs

kog

anga

žman

a; s

lože

nost

; od

nosi

izm

eđu

zapo

slen

ika;

od

nosi

s v

lado

m; i

td.

risk

man

agem

ent

upra

vlja

nje

rizik

om

It he

lps

an o

rgan

izat

ion

acco

mpl

ish

its o

bjec

tives

by

brin

ging

a s

yste

mat

ic,

disc

iplin

ed a

ppro

ach

to e

valu

ate

and

impr

ove

the

effe

ctiv

enes

s of

ris

k m

anag

emen

t, co

ntro

l, an

d go

vern

ance

pro

cess

es.

Pom

aže

orga

niza

ciji u

ost

variv

anju

cilj

eva,

usv

ajan

jem

su

stav

nog

i dis

cipl

inira

nog

pris

tupa

ocj

eni i

pobo

ljšan

ju

učin

kovi

tost

i pr

oces

a up

ravl

janj

a riz

ikom

, ko

ntro

la i

ko

rpor

ativ

nog

upra

vlja

nja.

risk

man

agem

ent a

ctiv

ities

aktiv

nost

i upr

avlja

nja

rizik

omIn

crea

sing

ly,

the

CA

E i

s be

ing

aske

d to

tak

e a

mor

e si

gnifi

cant

rol

e in

the

orga

niza

tion’

s go

vern

ance

and

ris

k m

anag

emen

t act

iviti

es.

Gla

vni r

eviz

or p

rima

sve

više

zaht

jeva

za p

reuz

iman

jem

zn

ačaj

nije

ulo

ge u

pro

cesi

ma

korp

orat

ivno

g up

ravl

janj

a i u

prav

ljanj

a riz

ikom

.

risk

man

agem

ent a

nd c

ontro

l pr

oces

ses

proc

esi u

prav

ljanj

a riz

ikom

i ko

ntro

le

Inte

rnal

aud

itors

sho

uld

be o

bser

vant

of t

he e

ffect

iven

ess

of r

isk

man

agem

ent a

nd c

ontro

l pro

cess

es d

urin

g fo

rmal

co

nsul

ting

enga

gem

ents

.

Inte

rni

revi

zori

treba

ju

prat

iti

učin

kovi

tost

pr

oces

a up

ravl

janj

a riz

ikom

i

kont

role

tij

ekom

sl

ožen

ih

savj

etni

čkih

ang

ažm

ana.

risk

man

agem

ent p

roce

sspr

oces

upr

avlja

nja

rizik

omTh

e au

dit

univ

erse

will

nor

mal

ly b

e in

fluen

ced

by t

he

resu

lts o

f the

risk

man

agem

ent p

roce

ss.

Rez

ulta

ti pr

oces

a up

ravl

janj

a riz

ikom

obi

čno

imaj

u zn

atan

utje

caj n

a un

iver

zum

revi

zije

.

risk

man

agem

ent s

yste

msu

stav

upr

avlja

nja

rizik

omTh

e co

mpr

ehen

sive

sco

pe o

f w

ork

of i

nter

nal

audi

ting

shou

ld

prov

ide

reas

onab

le

assu

ranc

e th

at

the

risk

man

agem

ent s

yste

m is

effe

ctiv

e.

Sve

obuh

vatn

i dj

elok

rug

rada

int

erne

rev

izije

tre

ba

pruž

iti

razu

mno

uv

jere

nje

o uč

inko

vito

sti

sust

ava

upra

vlja

nja

rizik

om.

risk-

base

d pl

ans

plan

ovi t

emel

jeni

na

rizik

uTh

e ch

ief

audi

t ex

ecut

ive

shou

ld e

stab

lish

risk-

base

d pl

ans

to d

eter

min

e th

e pr

iorit

ies

of t

he i

nter

nal

audi

t ac

tivity

, con

sist

ent w

ith th

e or

gani

zatio

n s

goa

ls.

Gla

vni

revi

zor

treba

uv

rditi

pl

anov

e te

mel

jene

na

riz

iku,

u c

ilju

utvr

điva

nja

prio

ritet

a dj

elat

nost

i int

erne

re

vizi

je u

suk

ladn

osti

s ci

ljevi

ma

orga

niza

cije

.

355

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

rule

s of

con

duct

prav

ila p

onaš

anja

Inte

rpre

tatio

n of

Sta

ndar

d 24

40 a

nd S

tand

ard

2600

from

th

e In

tern

atio

nal S

tand

ards

for

the

Pro

fess

iona

l Pra

ctic

e of

Inte

rnal

Aud

iting

and

Rul

es o

f Con

duct

in th

e C

ode

of

Eth

ics

for I

nteg

rity

and

Con

fiden

tialit

y

Tum

ačen

je S

tand

arda

244

0 i

2600

Međ

unar

odni

h st

anda

rda

za

prof

esio

naln

u pr

aksu

in

tern

e re

vizi

je i

Pra

vila

pon

ašan

ja i

z E

tičko

g ko

deks

a za

vj

erod

osto

jnos

t i p

ovje

rljiv

ost i

nfor

mac

ija.

SA

CO

sigu

ranj

e kv

alite

te i

kont

rola

su

stav

a (S

AC

)

Add

ition

al r

esou

rces

for

pra

ctiti

oner

s ar

e: I

IA’s

Sys

tem

s A

ssur

ance

an

d C

ontro

l (S

AC

) pr

oduc

t an

d ot

her

tech

nolo

gy re

ports

and

ISA

CA

s p

ublic

atio

ns.

Dod

atni

res

ursi

za

djel

atni

ke s

u: O

sigu

ranj

e kv

alite

te

i ko

ntro

la

sust

ava

(SA

C)

u iz

danj

u IIA

-e,

drug

a te

hnol

oška

izvj

ešća

te iz

danj

a IS

AC

A.

sam

ple

item

uzor

ak; j

edin

ica

uzor

kaTh

e au

dito

r sh

ould

sel

ect

sam

ple

item

s in

suc

h a

way

th

at t

he s

ampl

e is

exp

ecte

d to

be

repr

esen

tativ

e of

the

po

pula

tion

rega

rdin

g th

e ch

arac

teris

tics

bein

g te

sted

.

Rev

izor

tre

ba v

ršiti

oda

bir

uzor

aka

na t

aj n

ačin

da

svak

i uz

orak

pre

dsta

vlja

prim

jer

popu

laci

je u

sve

zi

ispi

tani

h sv

ojst

ava.

sam

ple

size

velič

ina

uzor

ka

Whe

n de

term

inin

g sa

mpl

e si

ze,

the

audi

tor

shou

ld

cons

ider

the

sam

plin

g ris

k, t

he a

mou

nt o

f th

e er

ror

that

w

ould

be

acce

ptab

le a

nd t

he e

xten

t to

whi

ch e

rror

s ar

e ex

pect

ed.

Pri

utvr

điva

nju

velič

ine

uzor

ka,

revi

zor

treba

uze

ti u

obzi

r riz

ik u

zork

ovan

ja, k

olič

inu

prih

vatlj

ive

pogr

ješk

e,

te s

tupa

nj d

o ko

jeg

se p

ogrje

ške

oček

uju.

sam

plin

guz

orko

vanj

e

This

gu

idan

ce

is

not

inte

nded

to

re

pres

ent

all

the

proc

edur

es n

eces

sary

to

perfo

rm a

udit

sam

plin

g, b

ut

is s

impl

y a

reco

mm

ende

d co

re s

et o

f hi

gh le

vel a

udito

r re

spon

sibi

litie

s to

com

plem

ent

deta

iled

audi

t pl

anni

ng

effo

rts.

Ova

j N

aput

ak n

e sa

drži

sve

pos

tupk

e po

trebn

e za

re

vizi

jsko

uzo

rkov

anje

, ve

ć sa

mo

opće

nito

nav

odi

zadu

ženj

a re

vizo

ra u

sm

islu

dop

une

deta

ljnog

pla

na

revi

zije

.

sam

plin

g m

etho

dm

etod

e uz

orko

vanj

aFo

r tho

se th

at a

re a

sses

sed

as e

rror

s, th

e er

rors

sho

uld

be

proj

ecte

d as

app

ropr

iate

to th

e po

pula

tion,

if th

e sa

mpl

ing

met

hod

used

, is

stat

istic

ally

bas

ed.

Pog

rešk

e m

oraj

u bi

ti pr

ikla

dne

za

odgo

vara

juću

po

pula

ciju

, ak

o se

met

oda

uzor

kova

nja

tem

elji

na

stat

istic

i.

sam

plin

g ris

kriz

ik u

zork

ovan

ja

Sam

plin

g ris

k ar

ises

fro

m t

he p

ossi

bilit

y th

at t

he a

udito

r

s co

nclu

sion

may

be

diffe

rent

fro

m t

he c

oncl

usio

n th

at

wou

ld b

e re

ache

d if

the

entir

e po

pula

tion

wer

e su

bjec

ted

to th

e sa

me

audi

t pro

cedu

re.

Riz

ik

uzor

kova

nja

potje

če

od

mog

ućno

sti

da

se

zakl

juča

k re

vizo

ra r

azlik

uje

od z

aklju

čka

koji

bi s

e za

sniv

ao n

a is

pitiv

anju

čita

ve p

opul

acije

.

sam

plin

g un

itje

dini

ca u

zork

aFo

r co

mpl

ianc

e te

stin

g of

con

trols

, at

tribu

te s

ampl

ing

is

typi

cally

use

d, w

here

the

sam

plin

g un

it is

an

even

t or

tra

nsac

tion.

Za k

ontro

le i

spiti

vanj

a su

klad

nost

i ob

ično

se

koris

ti at

ribut

ivno

uzo

rkov

anje

, pr

i če

mu

je j

edin

ica

uzor

ka

poje

dini

dog

ađaj

ili t

rans

akci

ja.

356

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

Sar

bane

s-O

xley

Act

Zako

n S

arba

nes-

Oxl

eyS

ectio

n 30

2 of

th

e S

arba

nes-

Oxl

ey

Act

ou

tline

s th

e co

rpor

ate

resp

onsi

bilit

y fo

r fin

anci

al re

ports

, and

the

SE

C

has

issu

ed g

uida

nce

to im

plem

ent t

he a

ct.

Odj

elja

k 30

2.

Zako

na

Sar

bane

s-O

xley

na

vodi

za

duže

nja

podu

zeća

u s

vezi

fin

anci

jski

h iz

vješ

ća,

a S

EC

je o

bjav

io s

mje

rnic

e za

pro

vođe

nje

tog

zako

na.

scop

edj

elok

rug

The

audi

tor

shou

ld c

onsi

der

the

effe

ct o

f non

-IS c

ontro

ls

on th

e sc

ope

and

audi

t pro

cedu

res.

Rev

izor

tre

ba u

zeti

u ob

zir

učin

ak k

ontro

la k

oje

nisu

u

svez

i s

info

rmac

ijski

m s

usta

vim

a na

dje

lokr

ug i

pr

oced

ure

revi

zije

.

scop

e lim

itatio

nsog

rani

čenj

a dj

elok

ruga

The

CA

E s

houl

d co

nsid

er w

heth

er i

t is

app

ropr

iate

to

info

rm t

he b

oard

reg

ardi

ng s

cope

lim

itatio

ns t

hat

wer

e pr

evio

usly

com

mun

icat

ed to

and

acc

epte

d by

the

boar

d.

Gla

vni r

eviz

or tr

eba

razm

otrit

i je

li po

trebn

o iz

vije

stiti

up

ravu

o o

gran

ičen

jima

djel

okru

ga, k

oja

su p

reth

odno

pr

iopć

ena

i prih

vaće

na o

d st

rane

upr

ave.

scre

enin

g pr

oces

s p

roce

s od

abira

Use

of

a sc

reen

ing

proc

ess

for

non-

audi

t (c

onsu

lting

) pr

ojec

ts, w

ith li

mits

on

acce

ptin

g en

gage

men

ts th

at m

ight

th

reat

en o

bjec

tivity

.

Kor

ište

nje

proc

esa

odab

ira

za

nere

vizi

jske

(s

avje

tnič

ke) p

roje

kte,

s o

gran

ičen

jem

za

prih

vaća

nje

anga

žman

a ko

ji m

ogu

biti

prije

tnja

obj

ektiv

nost

i.

SE

CK

omis

ija z

a vr

ijedn

osni

ce i

burz

ovno

pos

lova

nje

(SE

C)

Whi

le s

uch

requ

irem

ents

are

spe

cific

ally

dire

cted

to U

.S.

regi

stra

nts

of t

he S

EC

, th

ey a

re a

lso

appl

icab

le t

o ov

er

1,30

0 fo

reig

n re

gist

rant

s.

Iako

su

ta

kvi

zaht

jevi

po

sebn

o na

mije

njen

i pr

ijavl

jeni

cim

a K

omis

ije z

a vr

ijedn

osni

ce i

bur

zovn

o po

slov

anje

(SE

C) u

SA

D-u

, oni

se

tako

đer o

dnos

e na

13

00 s

trani

h pr

ijavl

jeni

ka.

SE

C R

ules

Pra

vila

Kom

isije

za

vrije

dnos

nice

i b

urzo

vno

posl

ovan

je (S

EC

)

As

adop

ted,

SE

C R

ules

13a

-14

and

15d-

14 r

equi

re a

n is

suer

s

prin

cipa

l ex

ecut

ive

offic

er o

r of

ficer

s an

d th

e pr

inci

pal f

inan

cial

offi

cer o

r offi

cers

, or p

erso

ns p

erfo

rmin

g si

mila

r fu

nctio

ns,

to c

ertif

y in

eac

h qu

arte

rly a

nd a

nnua

l re

port,

inc

ludi

ng t

rans

ition

rep

orts

, fil

ed o

r su

bmitt

ed b

y th

e is

suer

und

er S

ectio

n 13

(a)

or 1

5(d)

of t

he E

xcha

nge

Act

.

Pre

ma

Pra

vilim

a 13

a-14

i

15d-

14

Kom

isije

za

vr

ijedn

osni

ce i

bur

zovn

o po

slov

anje

(S

EC

), gl

avni

iz

vršn

i dire

ktor

ili d

irekt

ori,

te g

lavn

i fin

anci

jski

dire

ktor

ili

dire

ktor

i, ili

oso

be k

oje

obav

ljaju

slič

ne f

unkc

ije

za iz

dava

telja

, u

svak

om t

rom

jese

čnom

i go

dišn

jem

iz

vješ

ću, u

klju

čuju

ći p

rijel

azna

izvj

ešća

, koj

e iz

dava

telj

podn

osi

prem

a O

djel

jku

13(a

) ili

15(

d) Z

akon

a o

burz

ovno

m p

oslo

vanj

u.

Sec

uriti

es a

nd E

xcha

nge

Com

mis

sion

Kom

isija

za

vrije

dnos

nice

i bu

rzov

no p

oslo

vanj

e (S

EC

)

Inte

rnal

aud

itors

sho

uld

cons

ider

the

fol

low

ing

guid

ance

re

gard

ing

quar

terly

fin

anci

al

repo

rts,

disc

losu

res,

an

d m

anag

emen

t cer

tific

atio

ns r

elat

ed to

req

uire

men

ts o

f the

U

.S. S

ecur

ities

and

Exc

hang

e C

omm

issi

on (S

EC

).

Inte

rni r

eviz

ori t

reba

ju u

zeti

u ob

zir s

ljede

će s

mje

rnic

e u

svez

i tro

mje

sečn

ih fi

nanc

ijski

h iz

vješ

ća, o

bjav

ljiva

nja

rezu

ltata

rev

izije

i o

vjer

a ru

kovo

dstv

a, u

sve

zi s

a za

htje

vim

a K

omis

ije

za

vrije

dnos

nice

i

burz

ovno

po

slov

anje

(SE

C).

357

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

secu

rity

polic

ies

polit

ike

sigu

rnos

ti

An

audi

t of

the

ade

quac

y of

sec

urity

par

amet

ers

in a

sy

stem

, fo

r ex

ampl

e U

NIX

, W

indo

ws

NT,

RA

CF,

sho

uld

incl

ude

cons

ider

atio

n of

man

agem

ent’s

sec

urity

pol

icie

s (P

O6)

, al

loca

tion

of

secu

rity

resp

onsi

bilit

ies

(PO

4),

risk

asse

ssm

ent

proc

edur

es (

PO

9) a

nd p

roce

dure

s fo

r m

onito

ring

com

plia

nce

with

its

secu

rity

polic

ies

(M1)

.

Rev

izija

ade

kvat

nost

i pa

ram

etar

a si

gurn

osti

neko

g su

stav

a, n

pr. U

NIX

, Win

dow

s N

T ili

RA

CF,

treb

a uz

eti

u ob

zir

Pol

itike

sig

urno

sti (

PO

6),

Dod

jele

zad

užen

ja

za s

igur

nost

(P

O4)

, P

ostu

pke

proc

jene

riz

ika

(PO

9),

te P

ostu

pke

za p

raće

nje

sukl

adno

sti

s po

litik

ama

sigu

rnos

ti (M

1).

secu

rity

resp

onsi

bilit

ies

zadu

ženj

a za

sig

urno

st

An

audi

t of

the

ade

quac

y of

sec

urity

par

amet

ers

in a

sy

stem

, fo

r ex

ampl

e U

NIX

, W

indo

ws

NT,

RA

CF,

sho

uld

incl

ude

cons

ider

atio

n of

man

agem

ent’s

sec

urity

pol

icie

s (P

O6)

, al

loca

tion

of

secu

rity

resp

onsi

bilit

ies

(PO

4),

risk

asse

ssm

ent

proc

edur

es (

PO

9) a

nd p

roce

dure

s fo

r m

onito

ring

com

plia

nce

with

its

secu

rity

polic

ies

(M1)

.

Rev

izija

ade

kvat

nost

i pa

ram

etar

a si

gurn

osti

neko

g su

stav

a, n

pr. U

NIX

, Win

dow

s N

T ili

RA

CF,

treb

a uz

eti

u ob

zir

Pol

itike

sig

urno

sti (

PO

6),

Dod

jele

zad

užen

ja

za s

igur

nost

(P

O4)

, P

ostu

pke

proc

jene

riz

ika

(PO

9),

te P

ostu

pke

za p

raće

nje

sukl

adno

sti

s po

litik

ama

sigu

rnos

ti (M

1).

secu

rity

risk

rizik

sig

urno

sti

Sys

tem

sec

urity

ris

ks r

elat

ing

to u

naut

horiz

ed a

cces

s to

sy

stem

s an

d/or

dat

a.

Riz

ici s

igur

nost

i sus

tava

u s

vezi

neo

vlaš

teno

g pr

istu

pa

sust

avim

a i/i

li po

daci

ma.

self-

asse

ssm

ent

sam

ovre

dnov

anje

Ong

oing

inte

rnal

ass

essm

ents

(th

e te

rm is

syn

onym

ous

with

the

term

s in

tern

al r

evie

w a

nd s

elf-a

sses

smen

t use

d el

sew

here

in

th

e P

ract

ice

Adv

isor

ies)

sh

ould

be

an

in

tegr

al p

art

of t

he d

ay-to

-day

sup

ervi

sion

, re

view

, an

d m

easu

rem

ent o

f the

inte

rnal

aud

it ac

tivity

, as

set f

orth

in

Pra

ctic

e A

dvis

ory

1311

-1, p

arag

raph

s tw

o an

d th

ree.

Sta

lno

inte

rno

vred

nova

nje

(ova

j iz

raz

isto

vjet

an j

e iz

razi

ma

“inte

rni p

regl

ed” i

“sam

ovre

dnov

anje

” koj

i se

koris

te n

a dr

ugim

mje

stim

a u

Nap

utci

ma

za p

raks

u in

tern

e re

vizi

je)

treba

biti

sas

tavn

i dio

sva

kodn

evno

g pr

oces

a na

dzor

a,

preg

leda

i

mje

renj

a dj

elat

nost

i in

tern

e re

vizi

je, k

ao š

to s

e na

vodi

u N

aput

ku z

a pr

aksu

in

tern

e re

vizi

je 1

311-

1, O

djel

jak

2 i 3

.

self-

asse

ssm

ent p

roce

sspr

oces

sam

ovre

dnov

anja

Det

erm

ine

the

effe

ctiv

enes

s of

m

anag

emen

t’s

self-

asse

ssm

ent p

roce

sses

thro

ugh

obse

rvat

ions

, dire

ct te

sts

of c

ontro

l and

mon

itorin

g pr

oced

ures

, tes

ting

the

accu

racy

of

inf

orm

atio

n us

ed i

n m

onito

ring

activ

ities

, an

d ot

her

appr

opria

te te

chni

ques

.

Odr

editi

uč

inko

vito

st

proc

esa

sam

ovre

dnov

anja

ru

kovo

dstv

a pu

tem

pr

imje

daba

, iz

ravn

ih

test

ova

kont

rola

i

proc

esa

nadz

ora,

te

stira

nja

točn

osti

poda

taka

koj

i se

koris

te u

nad

zorn

im a

ktiv

nost

ima,

te

prim

jeno

m d

rugi

h od

gova

raju

ćim

tehn

ika.

358

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

seni

or e

xecu

tives

viso

ko ru

kovo

dstv

o

Con

sulti

ng e

ngag

emen

ts c

anno

t be

rend

ered

in a

man

ner

that

mas

ks in

form

atio

n th

at in

the

chie

f aud

it ex

ecut

ive

s

(CA

E) j

udgm

ent s

houl

d be

pre

sent

ed to

sen

ior e

xecu

tives

an

d bo

ard

mem

bers

.

Sav

jetn

ički

ang

ažm

ani n

e sm

iju o

mog

ućiti

prik

rivan

je

poda

taka

koj

i po

miš

ljenj

u gl

avno

g re

vizo

ra tr

ebaj

u bi

ti ob

javl

jeni

vis

okom

ruko

vods

tvu

i čla

novi

ma

upra

ve.

seni

or m

anag

emen

tvi

soko

ruko

vods

tvo

The

resu

lt of

th

is

perio

dic

asse

ssm

ent

shou

ld

be

com

mun

icat

ed to

sen

ior m

anag

emen

t and

the

boar

d.R

ezul

tati

ovog

pov

rem

enog

vre

dnov

anja

tre

baju

se

prio

pćav

ati v

isok

om ru

kovo

dstv

u i u

prav

i.

serv

ice

leve

l agr

eem

ent

ugov

or o

razi

ni u

slug

e (S

LA)

The

audi

tor s

houl

d co

nsid

er re

view

ing

such

thin

gs a

s th

e co

ntra

ct, s

ervi

ce le

vel a

gree

men

t, po

licie

s an

d pr

oced

ures

be

twee

n th

e th

ird p

arty

and

the

orga

niza

tion.

Rev

izor

treb

a uz

eti u

obz

ir pr

egle

d ug

ovor

a, u

govo

ra

o ra

zini

usl

uge

(SLA

), te

pol

itika

i pr

oced

ura

izm

eđu

treći

h os

oba

i org

aniz

acije

.

Ser

vice

Lev

el A

gree

men

tsug

ovor

i o ra

zini

usl

uge

(SLA

)Th

e au

dito

r sh

ould

con

side

r su

ch t

hing

s as

exi

sten

ce

of S

ervi

ce L

evel

Agr

eem

ents

(S

LAs)

with

per

form

ance

m

onito

ring

proc

edur

es.

U p

roce

sim

a pr

aćen

ja u

čink

ovito

sti,

revi

zor t

reba

uze

ti u

obzi

r pos

toja

nje

Ugo

vora

o ra

zini

usl

uge.

serv

ice

prov

ider

pruž

atel

j usl

uge

An

outs

ide

serv

ice

prov

ider

is a

per

son

or fi

rm, i

ndep

ende

nt

of th

e or

gani

zatio

n, w

ho h

as s

peci

al k

now

ledg

e, s

kill,

and

ex

perie

nce

in a

par

ticul

ar d

isci

plin

e.

Van

jski

pru

žate

lj us

luga

je o

soba

ili t

vrtk

a, n

ezav

isna

od

org

aniz

acije

, koj

a im

a po

sebn

a zn

anja

, vje

štin

e ili

is

kust

vo u

poj

edin

oj d

isci

plin

i.

serv

ice

user

man

agem

ent

ruko

vods

tvo

koris

nika

usl

uga

The

repo

rt sh

ould

spe

cify

any

res

trict

ions

on

dist

ribut

ion

whi

ch t

he a

udito

r or

ser

vice

use

r m

anag

emen

t ag

ree

to

impo

se.

Izvj

ešće

tre

ba n

aves

ti sv

ako

ogra

niče

nje

rasp

odje

le

koje

mog

u po

stav

iti r

eviz

or i

li ru

kovo

dstv

o ko

risni

ka

uslu

ge.

sign

ifica

nce

znač

aj; v

ažno

st

SLA

sug

ovor

i o ra

zini

usl

uge

(SLA

)Th

e au

dito

r sh

ould

con

side

r su

ch t

hing

s as

exi

sten

ce

of S

ervi

ce L

evel

Agr

eem

ents

(S

LAs)

with

per

form

ance

m

onito

ring

proc

edur

es.

U p

roce

sim

a pr

aćen

ja u

čink

ovito

sti,

revi

zor t

reba

uze

ti u

obzi

r pos

toja

nje

Ugo

vora

o ra

zini

usl

uge.

sour

ce c

ode

izvo

rni k

ôd

Whe

n us

ing

appl

icat

ion

softw

are

traci

ng a

nd m

appi

ng,

the

audi

tor

shou

ld c

onfir

m t

hat

the

sour

ce c

ode

bein

g ev

alua

ted

gene

rate

d th

e ob

ject

pro

gram

cur

rent

ly b

eing

us

ed in

pro

duct

ion.

Pril

ikom

ko

rište

nja

sust

ava

trasi

ranj

a i

map

iranj

a ap

likac

ijske

pr

ogra

msk

e op

rem

e,

revi

zor

treba

po

tvrd

iti d

a je

izv

orni

kôd

koj

i se

isp

ituje

mje

sto

nast

anka

obj

ektn

og p

rogr

ama

koji

se tr

enut

no k

oris

ti u

prod

ukci

ji.

359

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

staf

fing

plan

plan

zap

ošlja

vanj

a

The

chie

f au

dit

exec

utiv

e (C

AE

) sh

ould

sub

mit

annu

ally

to

the

boa

rd f

or a

ppro

val,

and

seni

or m

anag

emen

t as

ap

prop

riate

, a s

umm

ary

of th

e in

tern

al a

udit

activ

ity’s

wor

k sc

hedu

le, s

taffi

ng p

lan,

and

fina

ncia

l bud

get.

Gla

vni

revi

zor

treba

jed

nom

god

išnj

e po

dnije

ti na

od

obre

nje

upra

vi,

te

ako

je

potre

bno

i vi

soko

m

ruko

vods

tvu,

saž

etak

rad

nog

rasp

ored

a dj

elat

nost

i in

tern

e re

vizi

je,

plan

za

pošl

java

nja,

te

fin

anci

jski

pr

orač

un.

stak

ehol

der

nosi

telj

inte

resa

; dio

niča

r

Und

er th

e re

cent

mov

e to

a st

ricte

r leg

isla

tive

and

regu

lato

ry

clim

ate

rega

rdin

g fin

anci

al re

porti

ng a

roun

d th

e gl

obe,

the

CA

E s

repo

rting

line

s sh

ould

be

appr

opria

te to

ena

ble

the

inte

rnal

aud

it ac

tivity

to m

eet a

ny in

crea

sed

need

s of

the

audi

t com

mitt

ee o

r oth

er s

igni

fican

t sta

keho

lder

s.

Rad

i ne

davn

ih

mje

ra

u ci

lju

post

izan

ja

stro

žeg

zako

nsko

g i r

egul

ator

nog

ozra

čja

u sv

ezi f

inan

cijs

kog

izvj

ešći

vanj

a u

cije

lom

sv

ijetu

, lin

ije

odgo

vorn

osti

glav

nog

revi

zora

m

oraj

u na

od

gova

raju

ći

nači

n om

oguć

iti d

jela

tnos

ti in

tern

e re

vizi

je z

adov

olja

vanj

e sv

ih p

oveć

anih

pot

reba

rev

izijs

kog

vije

ća i

li dr

ugih

zn

ačaj

nih

nosi

telja

inte

resa

.

stan

dard

sst

anda

rdi

Per

form

ing

an a

naly

sis

of th

e co

ntro

ls fo

r crit

ical

acc

ount

ing

polic

ies

and

com

parin

g th

em w

ith p

refe

rred

pra

ctic

es (e

.g.,

trans

actio

ns in

whi

ch q

uest

ions

are

rais

ed a

bout

reve

nue

reco

gniti

on o

r of

f-bal

ance

she

et a

ccou

ntin

g tre

atm

ent

shou

ld

be

revi

ewed

fo

r co

mpl

ianc

e w

ith

appr

opria

te

gene

rally

acc

epte

d ac

coun

ting

stan

dard

s).

Pro

vođe

nje

anal

ize

kont

rola

u

smis

lu

prim

jene

kl

jučn

ih r

ačun

ovod

stve

nih

polit

ika,

te

uspo

ređi

vanj

e s

usvo

jeno

m

prak

som

(n

pr.

potre

bno

je

prov

jerit

i tra

nsak

cije

u k

ojim

a se

pos

tavl

jaju

pita

nja

o pr

izna

nju

prih

oda,

ili

tre

tman

va

nbila

nčno

g ra

čuno

vods

tva,

ra

di s

ukla

dnos

ti s

odgo

vara

jući

m o

pćep

rihva

ćeni

m

raču

novo

dstv

enim

sta

ndar

dim

a).

Sta

ndar

ds fo

r the

Pro

fess

iona

l P

ract

ice

of In

tern

al A

uditi

ng

(the

Sta

ndar

ds)

Sta

ndar

di z

a pr

ofes

iona

lnu

prak

su in

tern

e re

vizi

je (S

tand

ardi

)

stat

istic

al s

ampl

est

atis

tički

uzo

rak

For s

elec

tion

on re

cord

s, c

omm

on m

etho

ds a

re: R

ando

m

Sam

ple

(sta

tistic

al

sam

ple)

, H

apha

zard

S

ampl

e (n

on

stat

istic

al).

Za o

dabi

r po

data

ka,

uobi

čaje

ne m

etod

e su

: sl

učaj

ni

uzor

ak

(sta

tistič

ki

uzor

ak),

nasu

mič

ni

uzor

ak

(nes

tatis

tički

).

stat

istic

al s

ampl

ing

stat

istič

ko u

zork

ovan

je

For

exam

ple,

spe

cial

ists

in e

nter

pris

e ris

k m

anag

emen

t, st

atis

tical

sa

mpl

ing,

op

erat

ions

m

onito

ring

syst

ems,

or

co

ntro

l se

lf-as

sess

men

t m

ay

parti

cipa

te

in

certa

in

segm

ents

of t

he a

sses

smen

t.

Na

prim

jer,

u od

ređe

nim

seg

men

tima

vred

nova

nja

mog

u su

djel

ovat

i sp

ecija

listi

za u

prav

ljanj

e riz

ikom

, st

atis

tičko

uz

orko

vanj

e,

rad

nadz

orni

h su

stav

a ili

ko

ntro

lno

sam

ovre

dnov

anje

.

360

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

stat

istic

al s

ampl

ing

met

hods

met

ode

stat

istič

kog

uzor

kova

nja

The

audi

tor

shou

ld s

elec

t sa

mpl

e ite

ms

in s

uch

a w

ay

that

the

sam

ple

is e

xpec

ted

to b

e re

pres

enta

tive

of t

he

popu

latio

n re

gard

ing

the

char

acte

ristic

s be

ing

test

ed (i

.e.,

usin

g st

atis

tical

sam

plin

g m

etho

ds).

Rev

izor

tre

ba v

ršiti

oda

bir

uzor

aka

na t

aj n

ačin

da

svak

i uz

orak

pre

dsta

vlja

prim

jer

popu

laci

je u

sve

zi

ispi

tani

h sv

ojst

ava

(tj. k

oriš

tenj

em s

tatis

tički

h m

etod

a uz

orko

vanj

a).

stra

tific

atio

n s

tratif

ikac

ija

Stra

tific

atio

n is

the

pro

cess

of

divi

ding

a p

opul

atio

n in

to

sub

popu

latio

ns

with

si

mila

r ch

arac

teris

tics

expl

icitl

y de

fined

so

that

eac

h sa

mpl

ing

unit

can

belo

ng to

onl

y on

e st

ratu

m.

Stra

tific

iranj

e je

pro

ces p

odje

le p

opul

acije

u p

odsk

upin

e s

jasn

o de

finira

nim

zaj

edni

čkim

svo

jstv

ima,

pre

ma

čem

u sv

aka

jedi

nica

uzo

rka

prip

ada

sam

o je

dnom

sl

oju.

syst

em c

onve

rsio

n te

amtim

za

konv

erzi

ju s

usta

vapa

rtici

patio

n on

a m

erge

r and

acq

uisi

tion

team

or s

yste

m

conv

ersi

on te

am.

Sud

jelo

vanj

e u

radu

tim

a za

spa

janj

e i

preu

zim

anje

po

duze

ća il

i sku

pine

za

konv

erzi

ju s

usta

va.

syst

em fl

owch

arts

dija

gram

i tok

a su

stav

aR

epre

sent

atio

ns o

f th

ose

bein

g au

dite

d ca

n be

aud

it ev

iden

ce,

such

as

: W

ritte

n po

licie

s an

d pr

oced

ures

S

yste

m fl

owch

arts

.

Oči

tova

nja

obje

kata

revi

zije

mog

u se

ukl

juči

ti u

doka

ze

revi

zije

, npr

: pis

ane

polit

ike

i pro

cedu

re, t

e di

jagr

ame

toka

sus

tava

.

syst

emat

ic s

ampl

ing

sist

emat

sko

uzor

kova

nje

Sys

tem

atic

sam

plin

g in

volv

es s

elec

ting

sam

plin

g un

its

usin

g a

fixed

inte

rval

bet

wee

n se

lect

ions

the

first

inte

rval

ha

ving

a ra

ndom

sta

rt.

Sis

tem

atsk

o uz

orko

vanj

e uk

ljuču

je

odab

ir je

dini

ca

uzor

ka u

fik

snim

int

erva

lima,

uz

sluč

ajno

oda

bran

po

četa

k pr

vog

inte

rval

a.

Sys

tem

s A

ssur

ance

and

C

ontro

lO

sigu

ranj

e kv

alite

te i

kont

rola

su

stav

a (S

AC

)

The

rece

nt p

ublic

atio

n by

The

IIA

Res

earc

h Fo

unda

tion,

S

yste

ms

Ass

uran

ce a

nd C

ontro

l (S

AC

), an

d th

e su

cces

s of

the

Web

-bas

ed w

ww

.ITA

udit.

org

and

vario

us e

-mai

l IIA

ne

wsl

ette

rs c

onfir

ms

that

tech

nolo

gy n

ot o

nly

supp

orts

e-

com

mer

ce s

trate

gies

, but

is a

n in

tegr

al p

art.

Ned

avno

izda

nje

Zakl

ade

istra

živa

nja

IIA “O

sigu

ranj

e kv

alite

te i k

ontro

la s

usta

va (S

AC

)”, u

spje

h w

eb s

trani

ce

ww

w.IT

Aud

it.or

g i

razl

ičiti

h gl

asila

IIA

, po

tvrđ

uju

da

tehn

olog

ija n

ije s

amo

podr

ška,

već

i s

asta

vni

dio

stra

tegi

ja e

-trgo

vine

.

Sys

tem

s S

ecur

itysi

gurn

ost s

usta

vaE

nsur

e S

yste

ms

Sec

urity

(CO

BIT

pro

cess

refe

renc

e D

S5)

ar

e af

fect

ed b

y th

e ad

equa

cy o

f per

vasi

ve IS

con

trols

ove

r pr

oces

ses:

Osi

gura

ti da

sig

urno

st s

usta

va (C

OB

IT p

roce

s, o

znak

a D

S5)

, za

visi

od

adek

vatn

osti

sveo

buhv

atni

h ko

ntro

la

info

rmac

ijsko

g su

stav

a na

d pr

oces

ima.

task

forc

e ra

dna

skup

ina

Inte

rnal

au

dito

rs

have

tra

ditio

nally

pe

rform

ed

man

y ty

pes

of c

onsu

lting

ser

vice

s ra

ngin

g fro

m th

e an

alys

is o

f co

ntro

ls b

uilt

into

dev

elop

ing

syst

ems,

ana

lysi

s of

sec

urity

pr

oduc

ts, s

ervi

ng o

n ta

sk fo

rces

to a

naly

ze o

pera

tions

and

m

ake

reco

mm

enda

tions

, and

so

forth

.

Inte

rni

revi

zori

tradi

cion

alno

oba

vlja

ju m

noge

tip

ove

uslu

ga s

avje

tniš

tva,

od

anal

ize

kont

rola

ugr

ađen

ih

u su

stav

e u

razv

oju

i an

aliz

a pr

oizv

oda

sigu

rnos

ti,

do

sudj

elov

anja

u

radn

im

skup

inam

a za

an

aliz

u po

slov

anja

i do

noše

nja

prep

oruk

a, it

d.

361

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

tech

nolo

gy-b

ased

aud

it te

chni

ques

raču

naln

e re

vizi

jske

tehn

ike

test

dat

ate

stni

pod

aci

CA

ATs

incl

ude

man

y ty

pes

of to

ols

and

tech

niqu

es, s

uch

as g

ener

aliz

ed a

udit

softw

are,

util

ity s

oftw

are,

tes

t da

ta,

appl

icat

ion

softw

are

traci

ng

and

map

ping

, an

d au

dit

expe

rt sy

stem

s.

Rač

unal

ne r

eviz

ijske

teh

nike

ukl

juču

ju m

nogo

broj

ne

tipov

e or

uđa

i teh

nika

, ka

o št

o su

opć

a pr

ogra

msk

a op

rem

a za

revi

ziju

, usl

užna

pro

gram

ska

opre

ma,

test

ni

poda

ci, t

rasi

ranj

e i m

apira

nje

aplik

acijs

ke p

rogr

amsk

e op

rem

e te

sus

tavi

za

revi

zijs

ke s

tručn

jake

.

The

IIA R

esea

rch

Foun

datio

nZa

klad

a za

istra

živa

nje

IIA

This

pap

er i

s av

aila

ble

on t

he I

IA W

eb s

ite a

nd w

as

spon

sore

d by

The

IIA

Res

earc

h Fo

unda

tion,

the

Can

adia

n In

stitu

te o

f C

harte

red

Acc

ount

ants

, an

d th

e In

stitu

te o

f C

orpo

rate

Dire

ctor

s.

Ova

j dok

umen

t mož

e se

nać

i na

web

stra

nici

IIA

-e, a

po

krov

itelji

su

mu

Zakl

ada

za is

traži

vanj

e IIA

, Kan

adsk

i in

stitu

t ov

lašt

enih

kon

trolo

ra i

Ins

titut

kor

pora

tivni

h di

rekt

ora.

The

Inst

itute

of I

nter

nal A

udito

rsIn

stitu

t int

erni

h re

vizo

ra (I

IA)

Inte

rnal

aud

itors

are

enc

oura

ged

to d

emon

stra

te t

heir

prof

icie

ncy

by

obta

inin

g ap

prop

riate

pr

ofes

sion

al

certi

ficat

ion,

su

ch

as

the

Cer

tifie

d In

tern

al

Aud

itor

desi

gnat

ion

and

othe

r des

igna

tions

offe

red

by T

he In

stitu

te

of In

tern

al A

udito

rs (I

IA).

Inte

rne

revi

zore

po

trebn

o je

po

ticat

i na

po

tvrd

u st

ručn

osti

stje

canj

em

odgo

vara

jući

h pr

ofes

iona

lnih

ce

rtifik

ata,

ka

o št

o je

na

ziv

ovla

šten

og

inte

rnog

re

vizo

ra, t

e dr

ugi n

aziv

i koj

e do

djel

juje

Inst

itut i

nter

nih

revi

zora

(IIA

).

third

-par

ty p

rovi

der

pruž

atel

j usl

uga

treći

h os

oba

Whe

n w

eakn

esse

s ar

e id

entif

ied,

th

e au

dito

r sh

ould

de

term

ine

if co

mpe

nsat

ing

cont

rols

exi

st t

o co

unte

r th

e ef

fect

of t

he id

entif

ied

wea

knes

ses

(com

pens

atin

g co

ntro

ls

may

exi

st in

the

orga

niza

tion,

the

third

-par

ty p

rovi

der o

r in

both

ent

ities

).

Po

uoča

vanj

u od

ređe

nih

slab

osti,

re

vizo

r tre

ba

utvr

diti

post

ojan

je k

ompe

nzac

ijski

h ko

ntro

la u

svr

hu

prot

umje

re ti

m s

labo

stim

a (

kom

penz

acijs

ke k

ontro

le

mož

e im

ati o

rgan

izac

ija, p

ruža

telj

uslu

ga tr

ećih

oso

ba

ili o

boje

).

timel

ines

spr

avod

obno

stD

ata

risks

re

latin

g to

its

co

mpl

eten

ess,

in

tegr

ity,

conf

iden

tialit

y, p

rivac

y, a

ccur

acy

and

timel

ines

s.

Riz

ici

poda

taka

ko

ji se

od

nose

na

cj

elov

itost

, vj

erod

osto

jnos

t, po

vjer

ljivo

st,

priv

atno

st,

točn

ost

i pr

avod

obno

st.

tole

rabl

e er

ror

prih

vatlj

iva

pogr

eška

Tole

rabl

e er

ror i

s th

e m

axim

um e

rror

in th

e po

pula

tion

that

au

dito

rs a

re w

illin

g to

acc

ept

and

still

con

clud

e th

at t

he

audi

t obj

ectiv

e ha

s be

en a

chie

ved.

Prih

vatlj

iva

pogr

ješk

a je

m

aksi

mal

na

pogr

ješk

a u

popu

laci

ji ko

ju r

eviz

ori p

rihva

ćaju

uz

zakl

juča

k da

su

cilje

vi re

vizi

je o

stva

reni

.

362

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

traci

ngtra

sira

nje

Whe

n us

ing

appl

icat

ion

softw

are

traci

ng a

nd m

appi

ng,

the

audi

tor

shou

ld c

onfir

m t

hat

the

sour

ce c

ode

bein

g ev

alua

ted

gene

rate

d th

e ob

ject

pro

gram

cur

rent

ly b

eing

us

ed in

pro

duct

ion

Pril

ikom

ko

rište

nja

sust

ava

trasi

ranj

a i

map

iranj

a ap

likac

ijske

pr

ogra

msk

e op

rem

e,

revi

zor

treba

po

tvrd

iti d

a je

izv

orni

kôd

koj

i se

isp

ituje

mje

sto

nast

anka

obj

ektn

og p

rogr

ama

koji

se tr

enut

no k

oris

ti u

prod

ukci

ji.

train

ing

prog

ram

prog

ram

izob

razb

e

Con

tinui

ng

educ

atio

n m

ay

be

obta

ined

th

roug

h m

embe

rshi

p an

d pa

rtici

patio

n in

pro

fess

iona

l so

ciet

ies;

at

tend

ance

at

conf

eren

ces,

sem

inar

s, c

olle

ge c

ours

es,

and

in-h

ouse

tra

inin

g pr

ogra

ms;

an

d pa

rtici

patio

n in

re

sear

ch p

roje

cts.

Sta

lno

stru

čno

usav

ršav

anje

mož

e se

pos

tići p

utem

čl

anst

va

i su

djel

ovan

ja

u st

ručn

im

udru

ženj

ima;

po

hađa

nja

konf

eren

cija

, se

min

ara,

te

čaje

va

i pr

ogra

ma

treni

nga;

te

su

djel

ovan

ja

u pr

ojek

tima

istra

živa

čkog

rada

.

Uni

ted

Sta

tes

(U.S

.A.)

Sje

dinj

ene

Am

erič

ke D

ržav

e (S

AD

)

user

man

agem

ent

ruko

vods

tvo

koris

nika

usl

uge

The

repo

rt sh

ould

spe

cify

any

res

trict

ions

on

dist

ribut

ion

whi

ch t

he a

udito

r or

ser

vice

use

r m

anag

emen

t ag

ree

to

impo

se.

Izvj

ešće

tre

ba n

aves

ti sv

ako

ogra

niče

nje

rasp

odje

le

koju

mog

u po

stav

iti r

eviz

or i

li ru

kovo

dstv

o ko

risni

ka

uslu

ge.

utili

ty s

oftw

are

uslu

žna

prog

ram

ska

opre

ma

Whe

n us

ing

utili

ty s

oftw

are,

the

aud

itor

shou

ld c

onfir

m

that

no

unpl

anne

d in

terv

entio

ns h

ave

take

n pl

ace

durin

g pr

oces

sing

and

that

the

utili

ty s

oftw

are

has

been

obt

aine

d fro

m th

e ap

prop

riate

sys

tem

libr

ary.

Pril

ikom

ko

rište

nja

uslu

žne

prog

ram

ske

opre

me,

re

vizo

r tre

ba p

otvr

diti

da u

tije

ku o

brad

e po

data

ka

nije

bi

lo

nepl

anira

nih

inte

rven

cija

, te

da

us

lužn

a pr

ogra

msk

a op

rem

a po

tječe

iz o

dgov

araj

uće

bibl

iote

ke

sust

ava.

valu

atio

npr

ocje

naV

alua

tions

of

asse

ts s

uch

as l

and

and

build

ings

, w

orks

of

art,

pre

ciou

s ge

ms,

inve

stm

ents

, and

com

plex

fina

ncia

l in

stru

men

ts.

Pro

cjen

a im

ovin

e po

put

zem

ljišt

a i

nekr

etni

na,

umje

tnič

kih

djel

a,

drag

og

kam

enja

, in

vest

icija

i

slož

enih

fina

ncijs

kih

inst

rum

enat

a.

valu

e pr

opos

ition

prije

dlog

zna

čajn

osti

The

valu

e pr

opos

ition

of

the

inte

rnal

aud

it ac

tivity

is

real

ized

with

in e

very

org

aniz

atio

n th

at e

mpl

oys

inte

rnal

au

dito

rs in

a m

anne

r th

at s

uits

the

cultu

re a

nd r

esou

rces

of

that

org

aniz

atio

n.

Prij

edlo

g zn

ačaj

nost

i dj

elat

nost

i in

tern

e re

vizi

je

ostv

aruj

e se

unu

tar s

vake

org

aniz

acije

koj

a za

pošl

java

in

tern

e re

vizo

re

na

nači

n ko

ji od

gova

ra

kultu

ri i

resu

rsim

a te

org

aniz

acije

.

Val

ue W

eigh

ted

sele

ctio

nod

abir

s te

žino

m n

a ve

ću

vrije

dnos

t

Exa

mpl

es

incl

ude

Mon

etar

y U

nit

Sam

plin

g or

V

alue

W

eigh

ted

sele

ctio

n w

here

ea

ch

indi

vidu

al

mon

etar

y va

lue.

Prim

jeri

uklju

čuju

uzo

rkov

anje

nov

čane

jed

inic

e ili

od

abir

s te

žino

m

na

veću

vr

ijedn

ost,

gdje

sv

aka

poje

dina

nov

čana

vrij

edno

st...

363

Engl

ish

Hrv

atsk

iEn

glis

hH

rvat

ski

whi

stle

blow

er h

otlin

e pr

ogra

ms

prog

ram

i tel

efon

skih

lini

ja z

a do

javu

slu

čaje

va p

rijev

are

Eth

ics

and

whi

stle

blow

er

hotli

ne

prog

ram

s to

re

port

conc

erns

.P

rogr

ami

etič

kog

pona

šanj

a i

tele

fons

kih

linija

za

doja

vu s

luča

jeva

prij

evar

a.

whi

stle

blow

ing

doja

va s

luča

jeva

prij

evar

e

In s

tudi

es a

bout

whi

stle

blow

ing,

it h

as b

een

repo

rted

that

m

ost

whi

stle

blow

ers

disc

lose

the

sen

sitiv

e in

form

atio

n in

tern

ally

, eve

n if

outs

ide

the

norm

al c

hain

of c

omm

and,

pa

rticu

larly

if t

hey

trust

the

pol

icie

s an

d m

echa

nism

s of

th

e or

gani

zatio

n to

inve

stig

ate

an a

llega

tion

of a

n ill

egal

or

othe

r im

prop

er a

ctiv

ity a

nd to

take

app

ropr

iate

act

ion.

U

istra

živa

njim

a o

doja

vam

a sl

učaj

eva

prije

vare

, uk

azuj

e se

na

to d

a ve

ćina

oso

ba k

oje

doja

vlju

ju

sluč

ajev

e pr

ijeva

re n

ajpr

ije i

nter

no o

tkriv

a os

jetlj

ive

info

rmac

ije, č

ak i

izva

n uo

biča

jeni

h lin

ija o

dgov

orno

sti,

naro

čito

ako

se

pouz

daju

u p

oliti

ke i

meh

aniz

me

orga

niza

cije

za

is

tragu

na

vodn

ih

sluč

ajev

a ne

zako

nitih

ili n

eprih

vatlj

ivih

akt

ivno

sti i

pod

uzim

anje

od

gova

raju

ćih

kora

ka.

okvir profesionalnog djelovanja - hiir profesionalnog djelovanja.pdf · smjernice za obavljanje...

Documents