Priopćavanje nedostataka u internim kontrolama – primjena MRevS-a 265
Značajne nedostatke u internim kontrolama, koje je revizor uočio tijekom obavljanja revizije financijskih
izvještaja, potrebno je komunicirati onima koji su zaduženi za upravljanje i menadžmentu. Zahtjevi
i upute u vezi s odgovornošću revizora da komunicira nedostatke u internim kontrolama definirani
su MRevS-om 265 – Priopćavanje nedostataka u internim kontrolama, onima koji su zaduženi za
upravljanje i menadžmentu.
ESG izvještavanje i učinkovitost internih kontrola: primjena COSO integriranog okvira
ESG izvještavanje je zasigurno ključni izazov u 2023. godini gdje mnoge organizacije nisu napredovale
u izgradnji učinkovitih internih kontrola vezanih uz izvještavanje o okolišnim, društvenim i upravljačkim
pitanjima. Zasigurno primjena učinkovitih internih kontrola na pružanje korisnih informacija o održivosti
poslovanja predstavlja ključni poslovni izazov, iako su mnoge organizacije kreirale ad hoc interne
kontrole oko ključnih pokazatelja održivog poslovanja, upravljanja ESG rizicima te ESG izvještavanja.
Učinkovit sustav internih kontrola može pomoći organizacijama postaviti svoje ciljeve i strategiju te
da rastu na održivom temelju s povjerenjem u sve oblike informacija, uključujući održive poslovne
informacije. Krajem ožujka ove godine, budući da su različiti interesni dionici pokazali poveći interes
za održive poslovne informacije, COSO (provjereni temelj za ocjenjivanje sustava interne kontrole) je
objavio studiju s dodatnim smjernicama za organizacije s ciljem postizanja učinkovite interne kontrole
o izvještavanju o održivosti, koristeći globalno priznati COSO integrirani okvir (ICIF-2013): COSO je
uključio pojam ‘nefinancijski/održivi’ izravno u Okvir. Značajan aspekt Smjernica izvještavanja o
održivosti uključuje prije svega ključne teme koje treba uzeti u obzir dok organizacija nastavlja svoje
putovanje prema uspostavi i održavanju učinkovitog sustava interne kontrole nad financijskim i
nefinancijskim (održivim) poslovnim informacijama. Autor u članku navodi točke fokusa kroz 17 načela
COSO integriranog okvira (kroz kontrolne komponente: kontrolno okruženje, procjenu rizika, kontrolne
aktivnosti, informaciju i komunikaciju te nadzor), s primjenom na ESG (održivo) izvještavanje.
Prijedlog nacrta Globalnih standarda interne revizije za javnu raspravu
Nakon inicijalne najave, dana 1. ožujka 2023. godine, kao rezultat svih prethodnih faza sveobuhvatnog
i višegodišnjeg projekta evolucije standarda interne revizije, globalni Institut internih revizora, a
na prijedlog Međunarodnog odbora za standarde interne revizije (engl. The International Internal
Audit Standards Board – IIASB), objavio je prijedlog nacrta Globalnih standarda interne revizijeTM
(engl. Global Internal Audit StandardsTM) za potrebe javnog savjetovanja i rasprave. Stoga je sada
trenutak da praktičari interne revizije, kao i druge zainteresirane interesno-utjecajne skupine, na
svjetskoj razini, uključujući naravno i Republiku Hrvatsku, aktivno sudjeluju u procesu javne rasprave
i daju svoja mišljenja, komentare, sugestije i primjedbe na predloženi nacrt Globalnih standarda
interne revizije. Kako bi im se to olakšalo, autori u ovome radu sažeto i sistematizirano daju pregled
prijedloga nacrta strukture i sadržaja Globalnih standarda interne revizije, kao i uspoređuju osnovne
elemente te prikazuju ključne razlike između strukture i sadržaja postojećeg Međunarodnog okvira
profesionalnog djelovanja interne revizije (engl. The International Professional Practices Framework
– IPPF) u odnosu na prijedlog novog Međunarodnog okvira profesionalnog djelovanja.
Revizija usklađenosti – izazovi procjene revizijskog rizika i značajnosti
Revizija usklađenosti temelji se na trostranom odnosu između revizora, odgovornih strana te korisnika
za koje revizor sastavlja izvješće o obavljenoj reviziji. Temeljni cilj revizije usklađenosti je pružiti neovisnu
ocjenu je li predmet revizije (primjerice, korištenje namjenskih i bespovratnih sredstava, prikupljanje
prihoda i ostvarenje rashoda, javna nabava i slično) u skladu s mjerodavnim podlogama koji su
definirani kao kriterij. Revizija usklađenosti promiče transparentnost, etičko ponašanje odgovornih
strana te doprinosi sprječavanju prijevare i korupcije. Temeljni principi revizije usklađenosti koji su
predmet ovoga članka su revizijski rizik i značajnost (materijalnost) koje revizor mora primjenjivati
zajedno s ostalim načelima (principima), kao što su profesionalna prosudba, skepticizam, komunikacija,
dokumentacija, kontrola kvalitete, vještine i vođenje revizijskog tima te objektivnost i etičnost. Revizor
je dužan voditi računa o revizijskom riziku (inherentnom, kontrolnom i detekcijskom riziku) tijekom
čitavog revizijskog procesa te ga smanjiti na prihvatljivu razinu, kao i o riziku prijevare. Kod definiranja
revizijske značajnosti, potrebno je utvrditi kako će neusklađenost utjecati na odluke korisnika. Ključni
izazov za revizore je upravo definiranje praga (razina) značajnosti gdje se za osnovicu značajnosti kod
revizije usklađenosti više koriste kvalitativni čimbenici, nego kvantitativni.
Proces evolucije Međunarodnog okvira profesionalnog djelovanja interne revizije
Uslijed disruptivnih uvjeta poslovanja poduzeća u proteklih nekoliko godina, došlo je do nužnosti revizije
postojećeg i donošenja novog Međunarodnog okvira profesionalnog djelovanja interne revizije zbog
toga što postojeće smjernice više nisu ispunjavale potrebe i zahtjeve same profesije interne revizije
i ključnih interesno-utjecajnih skupina. Međunarodni odbor za standarde interne revizije (engl. The
International Internal Audit Standards Board – IIASB) je stoga u 2020. godini započeo sveobuhvatni,
višegodišnji projekt evolucije Međunarodnog okvira profesionalnog djelovanja interne revizije čiji
glavni cilj jest osigurati jednostavnije, jasnije i izravnije smjernice profesionalnog djelovanja interne
revizije koje su prilagođene suvremenom dobu i uvažavaju disruptivne trendove.
Autori u radu prikazuju ključna obilježja i specifičnosti okvira donošenja standarda interne revizije
u javnom interesu, nakon čega se fokusiraju na kronologiju i faze postojećeg projekta evolucije
Međunarodnog okvira profesionalnog djelovanja interne revizije. Uz to, analiziraju i prikazuju
ključne promjene postojećih Međunarodnih standarda za profesionalno obavljanje interne revizije
i postojećeg Međunarodnog okvira profesionalnog djelovanja interne revizije koje su nastale
oblikovanjem Globalnih standarda interne revizije (engl. Global Internal Audit StandardsTM) i Smjernica
(engl. Guidance). Određene faze projekta evolucije Međunarodnog okvira profesionalnog djelovanja
interne revizije su završene, pri čemu od 1. ožujka 2023. godine započinje jedna od važnijih faza
projekta, a to je savjetovanje sa zainteresiranom javnošću tijekom koje sve zainteresirane interesnoutjecajne skupine mogu dati svoje komentare na nacrt predloženih novih Standarda i novog Okvira.
Javno savjetovanje će trajati 90 dana, dakle, sve do 30. svibnja 2023. godine. Nakon toga će uslijediti
analiza i uvažavanje komentara, izmjene nacrta te finalizacija konačne verzije novih Standarda i
cjelokupnog novog Okvira, za koji se planira da će se objaviti u četvrtom kvartalu 2023. godine, a
onda formalno stupiti na snagu 12 mjeseci nakon datuma objave, dakle, okvirno u četvrtom kvartalu
2024. godine.
Kibernetička sigurnost i uloga revizijskih odbora
Unatoč sve većoj svijesti organizacija te naprednim tehnološkim, sigurnosnim i organizacijskim
obrambenim mehanizmima, kibernetički kriminal je u značajnom porastu. Kibernetička sigurnost te
pripadajući rizici kibernetičke sigurnosti postaju ključni fokusi za organizacije. Globalna pandemija je
samo naglasila važnost upravljanja kibernetičkim rizicima. Brojna istraživanja su prethodne dvije godine
kibernetički rizik plasirala u ključne poslovne rizike za organizacije (World Economic Forum, On Risk 2022
Report, ECIIA 2022 Risk in Focus Report). 82 % internih revizora u globalnom istraživanju (ECIIA 2023 Risk
in Focus Report) smatra rizik kibernetičke sigurnosti najznačajnijim poslovnim rizikom za 2023. godinu.
Kada je u pitanju upravljanje rizikom kibernetičke sigurnosti, organizacije se vode činjenicom da isto
pripada IT menadžerima (prema E&Y, 63 % organizacija smatra upravljanje rizikom kibernetičke sigurnosti
isključivom odgovornošću IT odjela). Prema Modelu tri linije, upravljanje rizikom kibernetičke sigurnosti
je organizirano u tri linije i to, kroz funkcije informacijske tehnologije (IT), informacijske sigurnosti (IS) te
interne revizije. Ključnu ulogu u sprječavanju kibernetičkih napada te održivosti kibernetičke sigurnosti
unutar organizacije imaju revizijski odbori, osobito u dijelu podrške i suradnje s funkcijom interne revizije.
Autor u članku ističe ulogu revizijskih odbora u kibernetičkoj sigurnosti te navodi set kritičnih pitanja koja
bi revizijski odbori trebali postaviti s ciljem ublažavanja kibernetičkih rizika.
Sustav interne kontrole u digitalnoj ekonomiji
Digitalna ekonomija, sa svojim osnovnim pokretačkim resursima, digitalnim tehnologijama, iz temelja
sinergijski i integrirano transformira cjelokupne poslovne modele poduzeća, kao i povezane potporne
poslovne procese i aktivnosti, uključujući i sustave interne kontrole. Trendove digitalne transformacije
i digitalizacije poslovanja, koji su zastupljeni već nekoliko godina, dodatno je aktualizirala pandemija
respiratorne bolesti COVID-19. Da bi poduzeća opstala, njihovo poslovanje bilo i ostalo konkurentno
i uspješno, neophodno je sustav interne kontrole prilagođavati i transformirati usporedno s
promjenama u načinima i konceptima poslovanja poduzeća, kako bi pridonosio ostvarivanju svoje
svrhe postojanja u poduzećima, kao i bio učinkovit i djelotvoran. Pritom je važno da sve tri ‘linije
obrane’, sukladno konceptu „Modela tri linije“ globalnog Instituta internih revizora, ispune svoje uloge,
ovlasti i odgovornosti u cjelokupnom sustavu. Navedeno je moguće ostvariti praćenjem postojećih
trendova na svjetskoj razini te implementacijom odgovarajućih preporuka za unaprjeđenje sustava
interne kontrole, stoga se u ovom radu daje kritički pregled rezultata istraživanja postojećeg stanja
transformacije sustava interne kontrole u poduzećima koje su proveli globalno Udruženje ovlaštenih
računovođa, globalni Institut internih revizora i globalni Institut upravljačkih računovođa tijekom
2022. godine na svjetskoj razini.
ESG i interna revizija: ESG rizici, revizijski pristupi i indikatori
COP27 klimatska konferencija održana u studenome ove godine istaknula je provođenje hitnih
mjera za rješavanje klimatske krize, u protivnom će imati jake implikacije na pogoršanje društvenih,
okolišnih i ekonomskih čimbenika na svjetskoj razini. Risk in Focus 2023. (ECIIA), klimatske promjene
i održivost okoliša pozicionira kao ključne poslovne rizike u 2023. godini (IIA On Risk Report 2022.
navodi održivost okoliša kao ključni poslovni rizik koji naglašava sposobnost organizacije da pouzdano
mjeri, procjenjuje i točno izvještava o pitanjima utjecaja na okoliš). Razmatranje okolišne, društvene
i upravljačke komponente (ESG) je i dalje u fokusu dionika današnjice, a pristup interne revizije bi
trebao prije svega biti fokusiran na upravljačku komponentu (prema Risk in Focus 2023., korporativno
upravljanje i izvještavanje je rangirano na drugom mjestu kada se gleda utrošeno vrijeme internih
revizora). Uloga interne revizije u ESG-u je u njenoj dualnoj ulozi kroz podršku menadžmentu kao
neovisno i objektivno jamstvo te kao savjetnik od povjerenja. Podršku ulozi interne revizije u ESG-u
i njenom utjecaju na organizaciju pruža primarno IIA kroz White paper, 2021. (kao i Model tri linije,
2020.) gdje se od organizacije očekuje da se javno očituje o održivosti te redovno pruža točne i
relevantne informacije vezane uz ESG strategije i rizike. Autori u ovom članku razmatraju ESG rizike,
ulogu interne revizije u ESG-u te navode primjere ESG rizika, revizijskih pristupa i indikatora u procesu
interne revizije okolišnih, društvenih i upravljačkih komponenti.
Aktivnosti planiranja i priprema planova interne revizije
U ovom se članku obrađuju relevantni metodološki aspekti interne revizije koje treba uzeti u obzir
prilikom planiranja interne revizije za 2023. godinu s posebnim osvrtom na aktualne Međunarodne
standarde za profesionalno obavljanje interne revizije, povezane smjernice i najbolje prakse.
Značaj tehnika analize podataka u angažmanima internih revizora
Primjena tradicionalnih analitičkih postupaka uobičajena je praksa u angažmanima interne i
eksterne revizije. S druge strane, razvoj informacijsko-komunikacijske tehnologije omogućava
primjenu sve raznovrsnijih pristupa i tehnika analize podataka važnih za utvrđivanje, analizu,
procjenu i dokumentaciju dovoljno informacija za postizanje ciljeva angažmana internih revizora. Za
razliku od tradicionalnog pristupa obavljanja revizijskih angažmana koji se u najvećoj mjeri temelje
na izabranom uzorku, razvoj tehnologije pruža mogućnost analize cjelovitih setova podataka, a
što može rezultirati jasnijim, konkretnijim i obuhvatnijim dokazima koji će pouzdanije potkrijepiti
nalaze i mišljenja internih revizora. Napredne tehnike analize podataka imaju izrazito važnu ulogu
u poboljšanju djelotvornosti i učinkovitosti internih revizora. Pored toga, implementacija naprednih
poslovnih informacijskih sustava omogućava razvoj koncepta kontinuirane revizije, a kod koje je
primjena različitih tehnika analize podataka ključan i nezamjenjiv postupak prikupljanja revizijskih
dokaza.