Ukupna učinkovitost i djelotvornost upravljanja u javnom sektoru kroz sve prisutne brzorastuće
izazove, rizike i prilike, kao što su ESG rizici te rizici informacijske sigurnosti, zahtijeva komplementarnost te sinergiju unutarnje i državne revizije. Institut internih revizora (IIA) i Međunarodna
organizacija vrhovnih revizijskih institucija (INTOSAI) ističu da interakcija i suradnja pomaže upravljačkim tijelima da dobiju sveobuhvatan pogled na poslovanje i rizike uz eliminiranje dupliciranja
revizijskog posla. Suradnjom revizora se osigurava maksimalna pokrivenost širokog spektra rizika.
Autor u članku ističe prije svega izazove u upravljanju javnim sektorom te ulogu pružatelja neovisnog
uvjerenja i savjeta, unutarnjih i državnih revizora. Način upravljanja u javnom sektoru podržava Model
tri linije ističući suradnju dviju profesija. Prema zajedničkom stajalištu Instituta internih revizora i
Međunarodne organizacije vrhovnih revizijskih institucija (2022.) ističe se primjena Modela tri linije
u javnom sektoru, kao i to da je ključni pokretač dobrog upravljanja u neovisnom i objektivnom
jamstvu. IIA i INTOSAI (2022.) navode ključne čimbenike te zaštitne mjere koje osiguravaju/ugrožavaju
neovisnost i objektivnost revizijskih profesija, kao i prilike za jačanje unutarnje i državne revizije
u javnom sektoru koje su u članku istaknute. Nadalje, u članku se ističu prednosti i rizici suradnje
između unutarnje i državne revizije, kao i područja suradnje prema Vodiču za suradnju s unutarnjim
revizorima (INTOSAI, 2023). U konačnici, u članku se navode ključni rezultati zajedničkog istraživanja
Europske organizacije vrhovnih revizijskih institucija (EUROSAI) te Europske konfederacije instituta
internih revizora (ECIIA) iz 2023. godine.
Dr. sc. MARKO ČULAR
-
2024ČlanciEksterna revizija i kontrolaInterna revizija i kontrolaRiznicaTravanj
-
2024ČlanciEksterna revizijaOžujakRačunovodstvo i financijeRevizija
Najava novog međunarodnog standarda za angažmane izražavanja uvjerenja o održivosti
Okolišna, društvena i upravljačka pitanja (ESG), kao i jačanje svijesti o potrebi primjene koncepta
održivosti u EU su postala glavna žarišna točka za široku lepezu dionika pa tako i za (revizijske) profesije
koje pružaju angažmane izražavanja uvjerenja o održivosti. Novom Direktivom o korporativnom
izvještavanju o održivosti (CSRD), kao i novim Standardima izvještavanja o održivosti (ESRS) usmjerava
se potreba za provjerom informacija o održivosti, kroz provođenje postupaka izražavanja ograničenog
uvjerenja te postupnog prelaska na izražavanje razumnog uvjerenja. Međunarodni standard za
angažmane izražavanja uvjerenja o održivosti (ISSA) 5000 predstavlja zaseban i sveobuhvatan
standard koji se odnosi na sve angažmane izražavanja uvjerenja o održivosti, a temelji se na načelima
koji se odnose na informacije o svim temama održivosti, kao i na informacije pripremljene u skladu s
bilo kojim okvirom izvještavanja o održivosti, uključujući ESRS te je primjenjiv od strane svih praktičara
za izražavanje uvjerenja. Krajem prošle godine, zaključena je javna rasprava na navedeni Standard
5000 te će konačna verzija biti objavljena do kraja ove godine. Autori u članku navode ključne (ne
i sve) aktivnosti angažmana iz Općih zahtjeva za angažmane izražavanja uvjerenja o održivosti koji
će se primjenjivati na sve informacije o održivosti koje se očekuje da će ih društvo izvijestiti ili samo
na dio tih informacija, pripremljenih prema više okvira. Od prioritetnih područja, autori ističu razlike
u naporima u provođenju revizijskog angažmana u pružanju ograničenog i razumnog uvjerenja,
prikladnost kriterija izvještavanja baveći se konceptom dvostruke značajnosti, opseg angažmana s
izražavanjem uvjerenja te sustav interne kontrole društva i njen utjecaj na revizora da dobije dovoljno
odgovarajućih dokaza, uključujući pouzdanost održivih informacija. -
2023ČlanciInterna revizijaProsinacRačunovodstvo i financijeRevizija
Kibernetička sigurnost – Kako učinkovito upravljati i mjeriti ključni rizik u 2024. godini?
Kibernetička sigurnost predstavlja ključni poslovni rizik u 2024. godini. Prema Risk in Focus 2024.,
kibernetička sigurnost zadržava svoje dugogodišnje prvo mjesto: 84 % ispitanika šestu godinu
za redom izjasnilo se da je kibernetička sigurnost poslovni rizik broj jedan. Također, unatoč
kontinuiranom porastu prirodnih katastrofa povezanih s klimatskim promjenama, stalnim učincima
postpandemije i rastućoj nejednakosti, poslovni lideri su prema istraživanju PWC-a (2023.) rangirali
digitalne i tehnološke faktore kao najveće rizike kojima daju prioritet za ublažavanje u sljedećih 12
mjeseci. Kibernetičke prijetnje (zlonamjerni softver, internetski napadi, phishing, napadi na web
aplikacije, spamovi, uskraćivanje usluga, krađa identiteta, kršenje podataka, curenje informacija,
cyber špijunaža itd.) s kojima se susrećemo svakodnevno primarno kroz neovlašteni pristup, objavu
povjerljivih podataka, izmjenu informacija, uništavanje dokumenata te uskraćivanje usluga posljedice
su neadekvatnog upravljanja kibernetičkom sigurnošću. No ipak, prema Risk in Focus 2024., svijest
kod upravljačkih tijela i menadžmenta je visoka jer moraju osigurati da su njihove organizacije
otporne na tehnološke izazove, kao što je umjetna inteligencija te moraju biti spremni i imati talenta
za suočavanje sa širokim rasponom novih propisa o kibernetičkoj sigurnosti i sigurnosti podataka.
Prema Modelu tri linije, učinkovito upravljanje rizikom kibernetičke sigurnosti organizirano je u tri
linije, kroz funkciju IT-a, CISO-a i interne revizije, dok su upravljačka tijela odgovorna za nadziranje
rizika kibernetičke sigurnosti. Autor u članku ističe ulogu i važnost svih sudionika i linija u učinkovitom
upravljanju kibernetičkom sigurnošću, posebno ističući ulogu CISO-a i interne revizije, kao i važnost
njihove suradnje. Također, autor daje prikaz učinkovitog mjerenja rizika kibernetičke sigurnosti prema
ISO 27005:2022, kroz identifikaciju, analizu i procjenu rizika kibernetičke sigurnosti. -
2023ČlanciFinancijsko računovodstvoListopadRačunovodstvoRačunovodstvo i financije
Praktični prikaz primjene Uredbe o taksonomiji i objava o materijalnim temama u izvješću o održivosti
Održivi razvoj, kako je opisan u Brundtlandovom izvještaju Svjetske komisije za okoliš i razvoj iz 1987.
godine, predstavlja pristup koji stavlja fokus na dugoročno zadovoljenje potreba društva, istodobno
osiguravajući očuvanje okoliša i resursa za buduće generacije. Poslovanje u skladu s ciljevima održivog
razvoja ima cilj doprinijeti suzbijanju globalnih klimatskih i društvenih izazova te stvaranju bolje
budućnosti. Održivi razvoj postavlja pred sebe tri osnovne grupe ciljeva koje nastoji ostvariti: okolišne,
društvene i upravljačke ciljeve (ESG ciljevi). Klimatske promjene se smatraju jednim od najvećih
problema današnjice, zbog čega su okolišni ciljevi postali od ključne važnosti. Pariški sporazum, koji
je stupio na snagu 2016. godine, prepoznaje okolišno održiv razvoj, postizanje klimatske neutralnosti
i prelazak na kružno gospodarstvo ključnim ciljevima za osiguravanje dugoročne konkurentnosti
gospodarstva Europske unije. Organizacije se često suočavaju s pitanjima zašto je važno sastavljati
izvještaj o održivosti i koji regulatorni okvir koristiti pri tome. Postavlja se pitanje kako organizacije
utječu na ekonomiju, okoliš i društvo? Kako bi bile u skladu s održivm ciljevima EU, organizacije koje
imaju tu obvezu, trebaju biti upoznate s EU taksonomijom. EU taksonomija je niz kriterija koji pomažu
usmjeravanju financijskih investicija prema održivijim sektorima i smanjenju financiranja aktivnosti
koje štete okolišu i klimi. Sastoji se od šest ključnih ciljeva održivosti te popisa održivih aktivnosti koje
doprinose tim ciljevima, a cilj joj je pomoći investitorima i društvima u procjeni i usklađivanju svojih
aktivnosti s održivim ciljevima EU-a. Nadalje, organizacije si moraju postaviti pitanje kako uspješno
primijeniti izvještajni okvir za izradu izvješća o održivosti te poboljšati transparentnost, točnost i
usporedivost podataka. Ključnu ulogu su dosada imale GRI smjernice. Autori u tekstu pružaju uvid
u praktičnu primjenu Uredbe o taksonomiji pri sastavljanju izvješća o održivosti te kroz praktičan
primjer pokazuju na koji način se procjenjuje materijalnost te odabiru ključne teme prema GRI 3 u
izvješću o održivosti. -
2023ČlanciInterna revizijaRačunovodstvo i financijeRevizijaRujan
ESG i uloga revizijskih odbora: Kako revizijski odbori mogu učinkovito nadzirati upravljanje ESG-om?
Očekivanja dionika da organizacije u svoje poslovanje ugrade održivost, kao i svijest o ESG pitanjima,
značajno su porasla u kratkom vremenu, posebice pod utjecajem dugoročnih učinaka klimatskih
promjena. Snažan uspon ESG-a, kao i značajan interes svih dionika stvara nove zahtjeve za revizijske
odbore u procesu nadzora upravljanja ESG rizicima, kao i procesa ESG izvještavanja. Odgovornost
za nadzor održivosti organizacije, kao i ESG pitanja čvrsto se odražava na upravljačka tijela, kao
i na njihove odbore. Ako su ESG pitanja delegirana članovima revizijskih odbora, oni su zajedno s
upravljačkim tijelom odgovorni za dugoročni uspjeh organizacije. Prema stajalištu IFAC-a (2023.),
ako revizijski odbori žele biti dio suvremenog korporativnog upravljanja dužni su ugraditi održivost i
ESG pitanja u procese donošenja odluka, kao i u dugoročne razvojne strategije organizacija. Stoga,
organizacije na putu transformacije održivosti trebaju snažna upravljačka tijela i revizijske odbore,
s odgovarajućom pismenošću o održivosti. Accountancy Europe (2022.) ističe da revizijski odbori
igraju ključnu ulogu u promicanju snažnog korporativnog upravljanja, kroz njihovu uključenost u
nadzor rizika, internih kontrola, korporativnog izvještavanje i revizija. Nova EU legislativa po pitanju
izvještavanja o održivosti dodjeljuje revizijskim odborima niz zadataka vezanih uz izvještavanje o
održivosti, kao i reviziju (pružanje jamstva). Revizijski odbori moraju osigurati da su ESG podaci koje
otkrivaju organizacije točni i pouzdani. Prema PWC-u (2022.), to zahtijeva razvoj politika, procesa,
internih kontrola i upravljanja sličnim onima koje imaju za prikupljanje i objavljivanje financijskih
informacija. S obzirom na to da revizijski odbori imaju najviše iskustva u nadziranju ovakvih pitanja, u
najboljem su položaju za nadzor ESG objava, kontrola, procesa i jamstva. Stručnost revizijskih odbora
omogućuje razumijevanje i procjenu ispravnosti metodologija i politika koje menadžment koristi za
razvoj svojih metrika i ESG objava. U tekstu autor navodi preporuke i definira pitanja za revizijske
odbore u vezi s njihovim ESG odgovornostima u procjeni ESG materijalnosti te nadzora nad ESG
procesima, rizicima i internim kontrolama, ESG jamstvom i revizijom te ESG izvještavanjem, ističući
potrebne kompetencije i sastav članova revizijskih odbora za nadzor ESG-a. -
2023ČlanciInterna revizijaRačunovodstvo i financijeRevizijaSrpanj
ESG izvještavanje i učinkovitost internih kontrola: primjena COSO integriranog okvira
ESG izvještavanje je zasigurno ključni izazov u 2023. godini gdje mnoge organizacije nisu napredovale
u izgradnji učinkovitih internih kontrola vezanih uz izvještavanje o okolišnim, društvenim i upravljačkim
pitanjima. Zasigurno primjena učinkovitih internih kontrola na pružanje korisnih informacija o održivosti
poslovanja predstavlja ključni poslovni izazov, iako su mnoge organizacije kreirale ad hoc interne
kontrole oko ključnih pokazatelja održivog poslovanja, upravljanja ESG rizicima te ESG izvještavanja.
Učinkovit sustav internih kontrola može pomoći organizacijama postaviti svoje ciljeve i strategiju te
da rastu na održivom temelju s povjerenjem u sve oblike informacija, uključujući održive poslovne
informacije. Krajem ožujka ove godine, budući da su različiti interesni dionici pokazali poveći interes
za održive poslovne informacije, COSO (provjereni temelj za ocjenjivanje sustava interne kontrole) je
objavio studiju s dodatnim smjernicama za organizacije s ciljem postizanja učinkovite interne kontrole
o izvještavanju o održivosti, koristeći globalno priznati COSO integrirani okvir (ICIF-2013): COSO je
uključio pojam ‘nefinancijski/održivi’ izravno u Okvir. Značajan aspekt Smjernica izvještavanja o
održivosti uključuje prije svega ključne teme koje treba uzeti u obzir dok organizacija nastavlja svoje
putovanje prema uspostavi i održavanju učinkovitog sustava interne kontrole nad financijskim i
nefinancijskim (održivim) poslovnim informacijama. Autor u članku navodi točke fokusa kroz 17 načela
COSO integriranog okvira (kroz kontrolne komponente: kontrolno okruženje, procjenu rizika, kontrolne
aktivnosti, informaciju i komunikaciju te nadzor), s primjenom na ESG (održivo) izvještavanje. -
2023ČlanciInterna revizijaRačunovodstvo i financijeRevizijaTravanj
Revizija usklađenosti – izazovi procjene revizijskog rizika i značajnosti
Revizija usklađenosti temelji se na trostranom odnosu između revizora, odgovornih strana te korisnika
za koje revizor sastavlja izvješće o obavljenoj reviziji. Temeljni cilj revizije usklađenosti je pružiti neovisnu
ocjenu je li predmet revizije (primjerice, korištenje namjenskih i bespovratnih sredstava, prikupljanje
prihoda i ostvarenje rashoda, javna nabava i slično) u skladu s mjerodavnim podlogama koji su
definirani kao kriterij. Revizija usklađenosti promiče transparentnost, etičko ponašanje odgovornih
strana te doprinosi sprječavanju prijevare i korupcije. Temeljni principi revizije usklađenosti koji su
predmet ovoga članka su revizijski rizik i značajnost (materijalnost) koje revizor mora primjenjivati
zajedno s ostalim načelima (principima), kao što su profesionalna prosudba, skepticizam, komunikacija,
dokumentacija, kontrola kvalitete, vještine i vođenje revizijskog tima te objektivnost i etičnost. Revizor
je dužan voditi računa o revizijskom riziku (inherentnom, kontrolnom i detekcijskom riziku) tijekom
čitavog revizijskog procesa te ga smanjiti na prihvatljivu razinu, kao i o riziku prijevare. Kod definiranja
revizijske značajnosti, potrebno je utvrditi kako će neusklađenost utjecati na odluke korisnika. Ključni
izazov za revizore je upravo definiranje praga (razina) značajnosti gdje se za osnovicu značajnosti kod
revizije usklađenosti više koriste kvalitativni čimbenici, nego kvantitativni. -
2023ČlanciInterna revizijaRačunovodstvo i financijeRevizijaVeljača
Kibernetička sigurnost i uloga revizijskih odbora
Unatoč sve većoj svijesti organizacija te naprednim tehnološkim, sigurnosnim i organizacijskim
obrambenim mehanizmima, kibernetički kriminal je u značajnom porastu. Kibernetička sigurnost te
pripadajući rizici kibernetičke sigurnosti postaju ključni fokusi za organizacije. Globalna pandemija je
samo naglasila važnost upravljanja kibernetičkim rizicima. Brojna istraživanja su prethodne dvije godine
kibernetički rizik plasirala u ključne poslovne rizike za organizacije (World Economic Forum, On Risk 2022
Report, ECIIA 2022 Risk in Focus Report). 82 % internih revizora u globalnom istraživanju (ECIIA 2023 Risk
in Focus Report) smatra rizik kibernetičke sigurnosti najznačajnijim poslovnim rizikom za 2023. godinu.
Kada je u pitanju upravljanje rizikom kibernetičke sigurnosti, organizacije se vode činjenicom da isto
pripada IT menadžerima (prema E&Y, 63 % organizacija smatra upravljanje rizikom kibernetičke sigurnosti
isključivom odgovornošću IT odjela). Prema Modelu tri linije, upravljanje rizikom kibernetičke sigurnosti
je organizirano u tri linije i to, kroz funkcije informacijske tehnologije (IT), informacijske sigurnosti (IS) te
interne revizije. Ključnu ulogu u sprječavanju kibernetičkih napada te održivosti kibernetičke sigurnosti
unutar organizacije imaju revizijski odbori, osobito u dijelu podrške i suradnje s funkcijom interne revizije.
Autor u članku ističe ulogu revizijskih odbora u kibernetičkoj sigurnosti te navodi set kritičnih pitanja koja
bi revizijski odbori trebali postaviti s ciljem ublažavanja kibernetičkih rizika. -
2022ČlanciInterna revizijaProsinacRačunovodstvo i financijeRevizija
ESG i interna revizija: ESG rizici, revizijski pristupi i indikatori
COP27 klimatska konferencija održana u studenome ove godine istaknula je provođenje hitnih
mjera za rješavanje klimatske krize, u protivnom će imati jake implikacije na pogoršanje društvenih,
okolišnih i ekonomskih čimbenika na svjetskoj razini. Risk in Focus 2023. (ECIIA), klimatske promjene
i održivost okoliša pozicionira kao ključne poslovne rizike u 2023. godini (IIA On Risk Report 2022.
navodi održivost okoliša kao ključni poslovni rizik koji naglašava sposobnost organizacije da pouzdano
mjeri, procjenjuje i točno izvještava o pitanjima utjecaja na okoliš). Razmatranje okolišne, društvene
i upravljačke komponente (ESG) je i dalje u fokusu dionika današnjice, a pristup interne revizije bi
trebao prije svega biti fokusiran na upravljačku komponentu (prema Risk in Focus 2023., korporativno
upravljanje i izvještavanje je rangirano na drugom mjestu kada se gleda utrošeno vrijeme internih
revizora). Uloga interne revizije u ESG-u je u njenoj dualnoj ulozi kroz podršku menadžmentu kao
neovisno i objektivno jamstvo te kao savjetnik od povjerenja. Podršku ulozi interne revizije u ESG-u
i njenom utjecaju na organizaciju pruža primarno IIA kroz White paper, 2021. (kao i Model tri linije,
2020.) gdje se od organizacije očekuje da se javno očituje o održivosti te redovno pruža točne i
relevantne informacije vezane uz ESG strategije i rizike. Autori u ovom članku razmatraju ESG rizike,
ulogu interne revizije u ESG-u te navode primjere ESG rizika, revizijskih pristupa i indikatora u procesu
interne revizije okolišnih, društvenih i upravljačkih komponenti. -
Tehnološki razvoj stavlja naglasak na brz i dinamičan razvoj novih usluga i proizvoda, dok su
sigurnosni aspekti, u pravilu, imali vrlo mali utjecaj na široko prihvaćanje novih tehnologija. Korisnici
najčešće imaju minimalno znanje o tehnologiji koju koriste, a način primjene je takav da je vrlo teško
procijeniti sigurnosna obilježja većine komercijalnih proizvoda s obzirom na zaštitu povjerljivosti i
privatnosti podataka korisnika. Nastavno na zastupljenost informacijskih tehnologija, odstupanja
od ispravnog rada međusobno povezanih sustava više nisu samo tehničke prirode, već predstavljaju
opasnost globalnih sigurnosnih razmjera. Sve je veća izloženost pojedinaca u kibernetičkom prostoru
te je samim time povećana izloženost kibernetičkim napadima. Stoga, javlja se potreba za zaštitom
podataka u elektroničkom obliku koja se naziva kibernetička sigurnost. Kibernetička sigurnost je
prepoznata kao ključni poslovni rizik u 2022. godini, stoga su se revizori dužni upoznati s rizicima
povezanim s kibernetičkom sigurnošću te utvrditi posljedice koje se mogu odraziti na poslovanje i
financijsko izvještavanje. Autori u ovom radu analiziraju kibernetičku sigurnost kao ključni poslovni
rizik, analiziraju izazove koje je donijela globalna pandemija, razmatraju ulogu kibernetičke sigurnosti
u procesu provedbe revizije te način procjene kibernetičke sigurnosti.
- 1
- 2