Smjernice za 8.

EU direktivu Zakona o trgovakim drutvima

lanak 41

FERMA / ECIIA Smjernice za upravu i revizorske odbore

Nadziranje uinkovitosti interne kontrole, interne revizije i sustava upravljanja rizicima Smjernice za upravu i revizorske odbore

8. europska direktiva o Zakonu o trgovakim drutvima koja se odnosi na statutarnu reviziju DIREKTIVA 2006/43/EC Art. 41-2b

21. rujna 2010.

FERMA / ECIIA Smjernice za upravu i revizorske odbore 3

Peter den Dekker, Predsjednik Ferma-e Voditi posao je oduvijek znailo preuzeti rizik. Nedavna kriza je osnaila potrebu upravljanja rizikom i pojaala javna oekivanja za veom proaktivnom ulogom gospodarstvenika u kontroli rizika.
Novina 8. europske direktive o Zakonu o trgovakim drutvima je u tome da postoji jasna odgovornost upravnog odbora i njihovih revizorskih odbora. Od vieg menadmenta se oekuje ukljuivanje u proces upravljanja rizikom kao i preuzimanje samog rizika. Direktori moraju usmjeravati prema cilju ovisno o tome koliko dioniari ele riskirati.

Dobar sustav upravljanja rizikom je poput sustava upravljanja trkaeg vozila pomae im da budu bri, bolji i sigurniji.

Claude Cargou, Predsjednik ECIIA-e Dunost dodijeljena upravi i njenom revizorskom odboru u lanku 41. osme europske direktive o Zakonu o trgovakim drutvima tj. 'nadzirati uinkovitost procesa upravljanja rizikom i sustava kontrola' samo pojanjava oekivanja sudionika na tritima kapitala da primaju transparentne i pouzdane informacije o znaajnim postojeim i novim rizicima s kojima se jedna organizacija suoava kao i naina na koji se tim rizicima upravlja. Ova fiducijarna obveza upravnih i revizorskih odbora vie nije ograniena samo na rizike financijskog izvjeivanja kao to je esto do sada bio sluaj. Danas, ta tijela takoer moraju nadzirati uinkovito upravljanje stratekim, operativnim kao i rizicima usklaivanje svoje tvrtke. To je podruje u kojem se upravni i revizorski odbori mogu okrenuti internoj reviziji i zatraiti cilj i neovisnu garanciju glede uinkovitosti rizika i kontrolnih sustava unutar cijene organizacije. U tom pogledu interna revizija postaje jedan od temelja dobrog organizacijskog upravljanja, podravajui upravu i revizorske odbore u uinkovitom preuzimanju svojih fiducijarnih odgovornosti prema dionicima tvrtke kao i javnosti u cjelini.

Ova 8. europska direktiva o Zakonu o trgovakim drutvima osnauje samopouzdanje organizacija u iskoritavanju svih prednosti poslovnih mogunosti. Peter den Dekker Predsjednik FERMA-e Claude Cargou Predsjednik ECIIA-e

FERMA / ECIIA Smjernice za upravu i revizorske odbore 4

SADRAJ Cilj ovih smjernica Uloge i odgovornosti s obzirom na uinkovito upravljanje rizikom i kontrole
Uloge i odgovornosti Nadziranje rizika i funkcije osiguranja Interakcija razliitih imbenika u upravljanju rizikom i internoj kontroli

6 7
7 8 9

Plan revizorskog odbora

Uinkovitost upravljanja rizikom Uinkovitost interne kontrole Uinkovitost interne revizije Revizorski odbor

10
10 11 12 13

Prilozi
Upravljanje rizikom Interna kontrola Interna revizija Vanjska revizija FERMA i ECIIA Doprinos ovom izdanju

14
14 15 16 16 18 18

FERMA / ECIIA Smjernice za upravu i revizorske odbore 5

Design:

greenpepper.be 2010

CILJ ovih SMJERNICA

Cilj ovih FERMA/ECIIA smjernica je pomoi lanovima upravnog odbora, a posebno lanovima revizorskog odbora u primjeni lanka 41. osme europske direktive Zakona o trgovakim drutvima. U paragrafu 2b direktive stoji:

[] revizorski odbor e, izmeu ostalog: nadzirati uinkovitost interne kontrole odreene tvrtke, internu reviziju gdje je isto primjenjivo i sustave upravljanja rizikom...'
Premda se ovaj izjava ini prilino jednostavna, pitanja 'to nadzirati' i 'kako nadzirati' znaajno su sloenija. U svrhu objanjenja 'to' i 'kako' nadzirati, ova smjernica: 1. Prua pregled uloga i odgovornosti s obzirom na uinkovito upravljanje rizikom i osiguranje kontrole za: (1) Upravu/revizorski odbor ; (1) Glavnog izvrnog direktora i vii menadment ; Operativni menadment; Funkcije nadzora i osiguranja. 3. Pojanjava preporuenu interakciju izmeu interne kontrole, upravljanja rizikom i interne revizije. 4. Preporua dobre prakse za nadzor uprave i revizorskog odbora s obzirom na: Proces upravljanja rizikom; Sustav interne kontrole; Funkciju interne revizije. Napomena: Dok 8. direktiva dodjeljuje dunost nadziranja organizacijskom revizorskom odboru, ona i dalje ostaje kolegijalna odgovornost cijelog odbora te se stoga ova smjernica mora tumaiti u tom svjetlu. Prijenos 8. direktive u nacionalno zakonodavstvo moe zahtijevati daljnje aktivnosti koje nisu spomenute u ovim smjernicama.

(1)

U svrhu ovog referata: Uprava oznaava upravni odbor direktora u jednoslojnoj strukturi i nadzorni odbor u dvoslojnoj strukturi Vii menadment oznaava izvrni odbor u jednoslojnoj strukturi i upravni odbor u dvoslojnoj strukturi

FERMA / ECIIA Smjernice za upravu i revizorske odbore 6

ULOGE I ODGOVORNOSTI s obzirom na UINKOVITO UPRAVLJANJE RIZIKOM I KONTROLE Uloge i odgovornosti

Uprava Uprava nadzire i usmjerava vii menadment na sljedee naine: Odreujui (u suradnji s viim menadmentom) organizacijsku spremnost preuzimanja rizika (apetit za rizikom) (= koliinu rizika koju je jedna organizacija voljna prihvatiti u ostvarivanju vrijednosti); Primajui informacije o najznaajnijim rizicima te organizacije te je li reakcija vieg menadmenta odgovarajua (tj. u odnosu na prihvaeni organizacijski apetit za rizikom). Glavni direktor i vii menadment Glavni direktor sa svojim timom viih menadera snosi krajnju odgovornost za upravljanje rizikom te organizacije i kontrolnim okvirom. On/ona: Osigurava prisustvo pozitivne interne okoline i kulture rizika unutar organizacije (ton na vrhu); Prua vodstvo i usmjerava operativni menadment te nadzire cjelokupne organizacijske aktivnosti vezane za rizik u odnosu na organizacijski apetit za rizikom; U sluajevima gdje novo nastale okolnosti i novi rizici ukazuju na moguu neusklaenost s apetitom za rizik, glavni direktor i vii menadment poduzimaju odgovarajue mjere u svrhu ponovne usklaenosti. lanovi vieg menadmenta imaju odgovornost za upravljanje rizikom unutar svog opsega odgovornosti s obzirom na ciljeve vlastitih odjela na sljedei nain: Pretvarajui strategiju u operativne ciljeve; Identificirajui i procjenjujui rizike koji negativno utjeu na ostvarivanje tih ciljeva; Utjeui na stvaranje reakcija na rizik koji su u skladu s tolerancijom rizika. Operativni menadment Vii menadment delegira odgovornosti, ukljuujui i one za procedure upravljanja rizikom, menadere u odreenim procesima, funkcijama ili odjelima (' nositelji rizika'). S obzirom na to, ti menaderi imaju veu direktnu ulogu u izvravanju odreenih, dnevnih procedura rizika. Na primjer, oni identificiraju, procjenjuju rizik i odreuju reakcije na rizik kroz razvoj uinkovitih internih kontrola (npr. osmiljavanje protokola za razvoj novog proizvoda). Napomena: Dok su politike i procedure interne kontrole integralni dio okvira upravljanja rizikom unutar cijele organizacije (tj. uspostavljene su kako bi pomogle osigurati uinkovitu primjenu reakcija na rizik), neke organizacije posebno u financijskom sektoru uspostavile su centraliziranu funkciju interne kontrole u svrhu omoguavanja i koordinacije dosljednog i adekvatnog plana i uinkovitog rada internih kontrola koje uspostavi operativni menadment. Meutim, ova aktivnost nadziranja ne smanjuje niti jednu dunost operativnog menadmenta u podruju upravljanja rizikom u vlastitom opsegu odgovornosti.

FERMA / ECIIA Smjernice za upravu i revizorske odbore 7

Nadziranje rizika i funkcije osiguranja

Centralizirana funkcija upravljanja rizikom (nadziranje rizika) Premda je osnova dobrog upravljanja rizikom da svaki dio organizacije snosi odgovornost za upravljanje rizicima u svom podruju aktivnosti, isto se mora odvijati unutar integriranog, holistikog pristupa kako bi se osigurala usklaenost s ciljevima i strategijom cjelokupne organizacije. FERMA/ECIIA, stoga, podrava uspostavu centralizirane funkcije za upravljanje rizikom u cilju koordiniranja i provedbe upravljanja rizikom unutar cijele organizacije. I dok se u primjerima najbolje prakse nominira glavni direktor odjela za upravljanje rizikom, manje organizacije mogu dodijeliti ovu odgovornost nekom drugom viem rukovoditelju. FERMA/ECIIA je nadalje miljenja da taj pojedinac mora izvjeivati upravni odbor preko glavnog direktora. On/ona snosi odgovornost za nadziranje tijeka procesa upravljanja rizikom i za pomaganje operativnim menaderima u izvjeivanju relevantnih informacija vezanih za rizik kako prema gore tako i kroz cijelu organizaciju. Posebne odgovornosti glavnog direktora odjela za upravljanje rizikom (ili slina funkcija) ukljuuju: Uspostavu politika upravljanja rizikom, definiranje uloga i odgovornosti kao i uspostava ciljeva za implementaciju; Stvaranje okvira za proces upravljanja rizikom u specifinim procesima, funkcijama ili odjelima odreene organizacije; Promoviranje kompetencije upravljanja rizikom u cijeloj organizaciji; Uspostavu zajednikog jezika za upravljanje rizikom (npr. s obzirom na kategorije i mjere rizika s obzirom na vjerojatnost i posljedice); Omoguiti menaderu provedbu izvjeivanja o riziku kao i nadziranje procesa izvjeivanja; Izvjeivanje glavnog direktora i uprave o napretku i preporuka aktivnosti po potrebi.

Funkcija interne revizije (osiguranje od rizika) Funkcija interne revizije Prua objektivnu garanciju upravi i viem menadmentu o razumijevanju i pravilnom upravljanju rizicima, te Slui kao interni konzultant koji predlae rjeenja za unaprijeene organizacijskog upravljanja, upravljanja rizikom i kontrolnih struktura. U toj ulozi interna revizija aktivno doprinosi uinkovitom korporativnom upravljanju istovremeno garantirajui ispunjavanje odreenih uvjeta poticanje neovisnosti profesionalizma. FERMA/ECIIA stoga kao najbolju praksu predlae uspostavu i odravanje neovisne funkcije interne revizije sa adekvatnim i strunim zaposlenicima, koja e

 Djelovati u skladu s Okvirom meunarodnih profesionalnih praksi IPPF koji je uspostavio Globalni Institut Internih Revizora Izvjeivati dovoljno visoku razinu organizacije to e funkciji omoguiti izvravanje njenih dunosti i preuzimanje aktivne i uinkovite linije izvjeivanja upravnom odboru (ili revizorskom odboru)
(1)

Uspostava profesionalne funkcije interne revizije mora biti pravilo, i to ne samo za velike i srednje institucije nego i za male organizacije. Tim vie jer manje organizacije moda ne mogu promijeniti potpunu organizacijsku strukturu kako bi osigurale uinkovitost svog upravljanja i procesa upravljanja rizikom. U svakom sluaju, ako male organizacije ne uspostave internu funkciju interne revizije, iste, svake godine, moraju obavijestiti sve dionike da su razmotrile nain na koji je potrebna garancija uinkovitosti organizacijskog upravljanja, upravljanja rizikom i kontrolnih struktura dostupna (tj. preko interne revizije).

Interakcija razliitih imbenika u procesu upravljanja rizicima i interne kontrole

Kao to smo spomenuli i ranije, uprava i glavni direktor su pojedinano odgovorni za nadziranje strategija i procesa upravljanja rizikom. U svrhu uinkovitog preuzimanje svojih dunosti, trae garanciju razliitih izvora unutar organizacije Ovaj se model, ija priznatost raste u meunarodnim okvirima, moe prikazati na sljedei nain: Tri linije modela obrane

Uprava(Revizorski odbor Vii menadment 3. linija obrane

1. linija obrane

2. linija obrane
Upravljanje rizikom

External

Operativni Audit menadment Interne kontrole Usklaivanje

d i t

Ostalp
I n t e r n a l

Kao prva linija obrane Operativni menadment je nositelj i snosi odgovornost za procjenu, kontrolu i smanjenje rizika zajedno sa odravanjem uinkovitih internih kontrola. Kao druga linija obrane Funkcija upravljanja rizikom pomae i nadzire operativni menadment u primjeni uinkovitih praksi upravljanja rizikom te pomae nositeljima rizika u definiranju ciljanog izlaganja riziku i izvjeivanju svih razina organizacije o adekvatnim informacijama povezanim s rizikom. Osim centralizirane funkcije upravljanja rizikom, kao dio ove druge linije obrane neke su organizacije uspostavile posebnu funkciju zaduenu za praenje usklaenosti u cilju nadziranja rizika usklaenosti tj. rizika koji se javljaju zbog neusklaenosti s mjerodavnim zakonima i odredbama kao i internim odredbama (ukljuujui prijevaru). U tom smislu, funkcija za usklaivanje izravno izvjeuje vii menadment. Ostale posebne funkcije nadziranja mogu ukljuivati sigurnost i zdravlje, lanac nabave, okoli i kvalitetu.
FERMA / ECIIA Smjernice za upravu i revizorske odbore 9

Kao trea linija obrane Funkcija interne revizije e, putem pristupa zasnovanog na riziku, garantirati upravi i viem menadmentu organizacije uinkovitost procjene i upravljanja rizika unutar te organizacije ukljuujui i nain rada prve i druge linije obrane. Ta garancija ukljuuje sve elemente okvira upravljanja rizikom jedne organizacije tj. identifikaciju rizika, procjenu rizika i reakciju na informacije povezane s rizikom (u cijeloj organizaciji, viem menadmentu i upravnom odboru). Openita opaska
Vanjska revizija se moe smatrati etvrtom linijom obrane koja prua garanciju dioniarima organizacije, upravi i viem menadmentu s obzirom na istinit i pravian pogled u organizacijska financijska izvjea. Meutim, s obzirom na specifian opseg i ciljeve njihove misije, informacije o riziku koje prikupi vanjski revizor ograniene su na rizike financijskog izvjeivanja i ne ukljuuju nain na koji vii menadment i uprava upravljaju/nadziru (strateki/operativno/usklaenost) rizike u cijelom poduzeu, a za to funkcije upravljanja rizikom i interne revizije pojedinano osiguravaju nadziranje i jamstvo.

PLAN REVIZORSKOG ODBORA Uinkovitost procesa upravljanja rizicima

Najbolje prakse FERMA/ECIIA smatra da funkcije upravljanja rizicima, interne kontrole i revizije predstavljaju pouzdane informacijske kanale koji omoguuju upravnom odboru nadziranje uinkovitosti sustava upravljanja rizikom i interne kontrole. to se tie upravljanja rizicima, upravi i/ili revizorskom odboru mora se dostaviti, najmanje jedanput godinje, pregled glavnih rizika te organizacije. Mora se znati nain na koji glavni rizici utjeu na poslovni model te kako mogunosti osnauju, a slabosti umanjuju stvaranje vrijednosti. Ako je to potrebno, takoer je potrebno dostaviti odgovarajue informacije o specifinim rizicima s obzirom na razvoj strategije, vanjsku okolinu ili posebne rizike karakteristine za aktivnost odreene tvrtke. I dok gore navedene informacije razmatra cijela uprava, revizorskom odboru se moraju dostaviti informacije o upravljanju rizikom (upravni odbori, definicija prihvatljivog i prihvatljivih granica, usporedbe, kontrole i revizija) radi ocijene uinkovitosti sustava upravljanja rizikom. Ako je 'odbor zaduen za rizik' dio upravnih pod-odbora, tada e se neki aspekti nadziranja, kontrole ili umanjenja rizika delegirati tom odboru. I na kraju, interna revizija izvjeuje revizorski odbor o razvoju, irenju i uinkovitosti sustava upravljanja rizikom. .

FERMA / ECIIA Smjernice za upravu i revizorske odbore 10

Kljuna pitanja vezana za upravljanje rizicima Tvrtka je definirala svoju strategiju i apetit za rizikom. Glavni direktor je odredio direktora zaduenog za pitanja rizika ili osobu zaduenu za sline zadatke. Odreeni su nositelji rizika za svaki vei rizik; Nositelji rizika su odredili znaajne i mjerljive ciljeve i kontrole koji se prepoznaju u cijeloj organizaciji; odgovornost za rizik je dio delegiranja ovlasti, a mehanizam nagraivanja (sistem bonusa) mora ukljuivati ocjenu preuzimanja rizika; Centralizirana funkcija upravljanja rizikom je zaduena za implementaciju strategije rizika. Ona tvrtki osigurava formalni okvir za upravljanje rizikom kao i ciljane programe obuke za poboljanje kulture upravljanja rizika i promoviranje zajednikog jezika u cijeloj organizaciji; Viem menadmentu se periodino dostavljaju izvjea o razvoju glavnih rizika i primjeni planova za njihovo umanjenje. Takoer, najmanje jedanput godinje menadment prezentira revizorskom odboru prikaz rizika, ukljuujui kljune pokazatelje. O kritinim i novim rizicima obavjetava se odgovarajua upravljaka razina im se isti identificiraju.

Uinkovitost interne kontrole

Najbolja praksa to se tie interne kontrole, uprava i revizorski odbor mora dobiti jamstvo o postojanju adekvatnih i uinkovitih kontrola kojima se nadziru i upravljaju kljuni rizici te o postojanju procesa za adekvatno izvjeivanje o takvom nadziranju. Vii menadment zajedno s neovisnim funkcijama interne i vanjske revizije jami revizorskom odboru za uinkovitost i efikasnost interne kontrole. Kljuna pitanja vezana za internu kontrolu Glavni direktor i vii menadment zadueni su za internu kontrolu. Delegiranjem ovlasti, svi operativni menaderi 'nasljeuju' dio te odgovornosti. Za revizorski odbor je vano znati je li s ovim naelom odgovornosti jasno upoznata cijela organizacija te ima li operativni menadment ispravne alate (budet, resurse) za preuzimanje ove odgovornosti. Organizacijska kultura, kodeks ponaanja, politike ljudskih resursa i sustavi nagraivanja predstavljaju kljune dijelove sustava interne kontrole. Za revizorski odbor je bitno ocijeniti podravaju li te komponente organizacijske strateke ciljeve. Organizacijska kultura treba ohrabriti pojedince na izvjeivanje o sumnjivim krenjima zakona ili odredbi kao i o ostalom neprilinom ponaanju. Za funkcioniranje ovog sustava kljuna je zatita 'zvidaa'. Revizorski odbor mora biti upoznat s nainom rada mehanizma upozoravanja na nepravilnosti ('zvidai') kao i sa injenicom to organizacija ini sa pritubama.
FERMA / ECIIA Smjernice za upravu i revizorske odbore 11

 Bilo koji sustav interne kontrole ima smisla samo ako se ispravno nadzire. Revizorski odbor mora nadzirati postojee procese kojima se preispituje adekvatnost financijskih i ostalih kljunih kontrola ukljuujui i preispitivanja menadmenta. Revizorski odbor takoer mora imati sve informacije o ozbiljnim kontrolnim problemima. Delegiranjem ovlasti, kontrola postaje odgovornost svih unutar organizacije. Neke organizacije su uvele proces periodine samoprocjene kontrola kojima operativna tijela unutar organizacije iskazuju svoje miljenje o rizicima koji su sastavni dio njihovih procesa i o kvaliteti postojeih kontrola. Ukupan rezultat tih radionica takoer pomae revizorskom odboru u nadziranju organizacijskog sustava interne kontrole.

Uinkovitost interne revizije

Najbolja praksa U skladu s meunarodnim standardima, interni revizori dokumentiraju relevantne informacije koji podravaju zakljuke i reakciju menadmenta na njihove revizije. Revizorski odbor mora osigurati da njihov plan ukljuuje periodiko revidiranje slijedeeg: Povelje interne revizije i neovisnosti funkcije interne revizije; Planova interne revizije i dodijeljenih resursa ukljuujui kriterije za procjenu rizika revizije Profesionalnu strunost funkcije interne revizije: savjetovanje glavnog direktora glede evaluacije rezultata, promjene u iznosima nagradnih bonusa, zapoljavanje, otputanje direktora odjela za internu reviziju Preispitivanje ocijene kvalitete u skladu s Meunarodnim standardima za profesionalan rad interne revizije ukljuujui periodike vanjske procjene. U skladu sa svojim standardima, funkcija interne revizije izvjeuje revizorski odbor i glavnog direktora o uinkovitosti procesa upravljanja rizikom i sustava kontrole, pruajui savjete za stalno poboljanje menadmenta. Interna revizija e identificirati mogue sukobe interesa na razliitim razinama poslovanja na temelju globalnog uvida s obzirom na dosljednost stratekih ciljeva i poslovanja zajedno sa dijagnostikom za bilo koju neusklaenost. Kljuna pitanja vezana za internu reviziju
Neovisnost interne revizije mora se i formalno izraziti u povelji interne revizije koju potpisuje glavni direktor i predsjedavajui revizorskog odbora. Meutim, za revizorski odbor je jo i vanije provjeriti postoji li ta neovisnost i u praksi. Ima li interna revizija istinski izravan i neogranien pristup revizorskom odboru i upravi? Izvjetava li interna revizija neovisno o poslovnim pitanjima, bez upletanja vieg menadmenta? Utjee li objektivno izvjeivanje na buduu karijeru internih revizora?

Interna revizija ima ograniena sredstva. Stoga je neophodno dodijeliti ta sredstva najkritinijim podrujima. Osporava li revizorski odbor plan interne revizije i budet prilikom predstavljanja istih? Na koji nain interna revizija procjenjuje organizacijske rizike, rizik primjene procesa upravljanja i rizik sazrijevanja procesa upravljanja?
FERMA / ECIIA Smjernice za upravu i revizorske odbore 12

Postoji li veza s odreivanjem vlastitog organizacijskog rizika? Usmjerava li se interna revizija na ono to se lako revidira umjesto na ono to treba revidirati? Prilikom usvajanja plana revizije, zna li revizorski odbor to se nee revidirati? Vano je pratiti poduzima li organizacija korake s obzirom na ocjenu interne revizije. Brzina kojom menadment primjenjuje preporuke interne revizije je pokazatelj vrijednosti koju pridaje internoj reviziji. Vea kontrola nije uvijek najbolja opcija; bolja kontrola je. Kada menadment ne reagira ispravno ili pravovremeno na rezultate revizije, revizorski odbor moe pozvati menadere na sastanak radi njihova objanjenja. Organizacijski mehanizam obrane ukljuuje tri linije obrane. Stoga je kljuno da interna revizija ispravno ocijeni prvu i drugu liniju obrane kako se posao drugih linija ne bi udvostruio. U nekim organizacijama od vieg menadmenta ili uprave oekuje se objavljivanje godinjih izvjea o internoj kontroli ili izjave o jamstvu. Za revizorski odbor je bitno znati ima li interna revizija neovisni pregled ovog procesa izvjeivanja menadmenta ili je njegov sastavni dio.

Revizorski odbor
Najbolja praksa
Upravljanje rizikom i interna kontrola sastavni su dio plana revizorskog odbora.

Revizorski odbor izvjetava upravu o uinkovitosti interne kontrole i sustavima upravljanja rizikom na temelju informacija koje su prikupljene izravno ili uz pomo revizije. Dobra praksa rada revizorskog odbora ukljuuje reviziju svih linija obrane unutar organizacije ukljuujui i njihovu interakciju. Kljuna pitanja vezana za rad revizorskog odbora Nadzor procesa upravljanja rizikom, interne kontrole i interne revizije zahtjeva znaajno vrijeme revizorskog odbora. Samo odravanje sastanaka nije dovoljno za sveobuhvatno razumijevanje i pruanje jamstva. Revizorski odbor mora znati koliko truda, resursa i budeta je potrebno za postizanje oekivanih poslovnih rezultata. Kako bi ispunio svoje dunosti, revizorski odbor ulae vrijeme u procjenu informacija koje mu je dostavio vii menadment, revidira glavne rizike i kritine procese svake godine, kritiki razmatra ciljeve vieg menadmenta koji se odnose na ove teme i usporeuje praksu tvrtki. Rad revizorskog odbora ima vrijednost samo ako na dnevnom redu uprave ima dovoljno vremena za prezentiranje rezultata tog rada. Revizorski odbor mora takoer znati i da uprava poduzima odgovarajue korake na osnovi njihovog izvjea. Stoga revizorski odbori provode vlastitu procjenu rada i uinkovitosti svake godine.

FERMA / ECIIA Smjernice za upravui revizorske odbore 13

PRILOZI Upravljanje rizicima

Uvod u upravljanje rizicima poduzea
Preuzimanje rizika je sastavni dio poslovanja. Meutim, u procesu donoenja odluka esto se isto jasno ne istie. Upravljanje rizikom u poduzeu (ERM) ima za cilj upravljati rizicima na prihvatljivoj razini (koju je odredila uprava i vii menadment). To je povezano s razvojem tvrtke, stvaranjem i odravanjem vrijednosti i uspjenim ispunjavanjem zadanih ciljeva. Ukljuuje metode i procese koje organizacije koriste u cilju upravljanja rizikom i koritenja prilika povezanih s postizanjem svojih ciljeva. ERM osigurava okvir za upravljanje rizikom, a to obino ukljuuje identifikaciju odreenih dogaaja ili okolnosti vanih za organizacijske ciljeve (rizici i prilike), njihova procjena s obzirom na vjerojatnost i veliinu posljedica, odreivanje strategije reagiranja i nadzor napretka. Identifikacijom i proaktivnim bavljenjem rizicima i prilikama, poduzea tite i stvaraju vrijednost svojim dionicima ukljuujui vlasnike, zaposlenike, kupce, regulatore i drutvo u cjelini. Ukljuuje vanjske (regulatorne, reputacijske itd.), strateke (sastavni dio poslovnog modela), financijske, operativne i rizike usklaenosti. Zbog globalizacije poslovanja, meusobna ovisnost razliitih rizika postala je vaan element kojim se treba pozabaviti u procesu upravljanja rizikom. S obzirom da je kljuni dio strukture upravljanja svake organizacije, ERM pomae sauvati vrijednost i osnaiti proces donoenja odluka postavljajui prihvatljive razine apetita rizika kao i ugraujui upravljanje rizikom u poslovno planiranje i procese upravljanja nakon ega proces upravljanja rizikom postaje sastavni dio organizacijske kulture.

Globalni standardi u upravljanju rizicima Veina standarda su iroke smjernice koje se mogu primijeniti u svim vrstama organizacija, ali se moraju prilagoditi organizacijskim karakteristikama, aktivnostima i kulturi. Postojei globalni standardi ukljuuju ISO 31000, COSO ERM i FERMA standard preuzet iz Velike Britanije. Odgovornost za upravljanje rizicima i linije izvjeivanja
U veini organizacija, na korporativnoj i poslovnoj razini postoje profesionalci za upravljanje rizikom koji su odgovorni za irenje kulture rizika, ope izvjetavanje, proces i metodologiju. To se treba smatrati dobrom praksom u cilju poboljavanja procesa upravljanja rizikom. Pa ipak, upravljanje poslovnim rizikom i dalje ostaje dunost menadmenta zajedno sa njihovom odgovornou prema ispunjavanju poslovnog plana i ciljeva.

Menaderi zadueni za upravljanje rizikom izvjeuju vii menadment koristei se rutinskim procesima izvjeivanja o upravljanju rizikom. Mogu biti dio sredinje funkcije ili sastavni dio odjelnih struktura. Funkcija upravljanja rizikom izvjetava odbor za rizik ili revizorski odbor.

FERMA / ECIIA Smjernice za upravu i revizorske odbore 14

Interna kontrola
Uvod u internu kontrolu Interna kontrola postoji od davnih vremena. U helenistikom Egiptu postojala je dvojna vlast s jednom grupom birokrata kojima je zadatak bio prikupljanje poreza i drugom grupom koja ih je nadzirala. Interna kontrola se definira kao proces na koji utjee organizacijska struktura, rad i tijek ovlasti, ljudi i sustavi upravljanja informacijama kojima je cilj pomoi organizaciji u ostvarivanju specifinih ciljeva istovremeno umanjujui vjerojatnost pojave neeljenih dogaaja. Pomae u usmjeravanju, nadziranju i mjerenju organizacijskih resursa. Igra vanu ulogu u sprjeavanju i otkrivanju prevare, zatiti organizacijskih resursa i smanjenju negativnih uinaka obveza. Globalni modeli interne kontrole COSO interna kontrola-integrirani okvir je najee koriten okvir. Definira internu kontrolu kao proces na koji utjee organizacijska uprava, menadment i ostali zaposlenici, a cilj mu je osigurati prihvatljivo jamstvo s obzirom na postizanje ciljeva u sljedee tri kategorije: (a) Uinkovitost i efikasnost poslovanja; (b) Pouzdanost financijskog izvjeivanja i (c) Usklaenost sa zakonima i odredbama. Odgovornost za internu kontrolu i linije izvjeivanja I na kraju, odgovornost za internu kontrolu lei na upravi. Delegiranjem ovlasti, operativni menadment snosi odgovornost za razvoj i odravanje kontrola u svojem podruju odgovornosti. Na primjer, organizacija moe zatraiti internu reviziju da osigura cjelovito 'miljenje o kontroli' na kraju kojeg se nalazi procjena/ocjena rizika za revidirana podruja. Mnogobrojni kodeksi na temu korporativnog upravljanja zahtijevaju od vieg menadmenta ili upravnog odbora izvjetaj o sustavu interne kontrole. To izvjee treba sadravati detalje o neusklaenosti s pravilima i odredbama, materijalnim slabostima u internoj kontroli, financijskim usklaenjima i vanosti istih s obzirom na Izvjetaj o dobiti i gubitku odreene organizacije kao i ostalim rizicima i/ili izloenosti istim koji zahtijevaju promjene u internoj kontroli.

FERMA / ECIIA Smjernice za upravu i revizorske odbore 15

Interna revizija
Uvod u internu reviziju Institut internih revizora (IIR) definira internu reviziju kao 'neovisno, objektivno jamstvo i savjetodavnu aktivnost kojoj je cilj dodati vrijednost i poboljati organizacijsko poslovanje. Pomae organizaciji u ostvarivanju njenih ciljeva kroz sustavni i disciplinirani pristup u cilju evaluacije i unaprjeenja uinkovitosti procesa upravljanja rizikom, kontrole i upravljanja.' Razliiti nacionalni instituti iz podruja interne revizije diljem svijeta surauju, obvezuju se ovoj definiciji i slijede standarde koje su zajedniki razvili. Globalni standardi interne revizije Svojim Meunarodnim standardima za profesionalan rad interne revizije, IIR osigurava meunarodno i zajedniko razumijevanje interne revizije kao struke ukljuujui osnovne zahtjeve o tome kako ispuniti oekivanja i odgovornosti interne revizije i internih revizora. Standardi se temelje na naelima, obaveznim zahtjevima koji se sastoje od popisa osnovnih uvjeta za profesionalan rad interne revizije i evaluaciju uinkovitosti poslovanja. Isti se primjenjuju diljem svijeta na razini cijele organizacije ili pojedinano, a ukljuuju objanjenja kojima se pojanjavaju termini ili ideje navedeni u Standardima.

Odgovornost za internu reviziju i linije izvjeivanja

Direktor interne revizije redovito izvjetava vii menadment i upravu ili revizorski odbor o cilju, ovlasti, odgovornosti i rezultatima interne revizije s obzirom na plan. Glavna linija izvjeivanja je prema revizorskom odboru. Revizorski odbor odobrava godinji plan revizije i revidira ocjenu sustava interne kontrole i upravljanja rizikom.

Vanjska revizija
Uloga vanjske revizije Primarna uloga vanjske revizije je dati miljenje o tome ima li u financijskim izvjeima odreene organizacije materijalnih pogreaka. Za cjelovitu ocjenu financijskih izvjea, neovisnost vanjske revizije je kljuna. Stoga se u izvjeu vanjskog revizora mora navesti svaka veza izmeu vanjskih revizora i organizacije, osim one koja je vana za samu reviziju. U cilju pruanja visoke razine sigurnosti u injenicu da financijska izvjea slijede odgovarajuu osnovu raunovodstva npr. IFRS-Meunarodne standarde za financijsko izvjeivanje ili GAAP Opeprihvaena naela raunovodstva, vanjski revizori prikupljaju neophodne dokaze u cilju objavljivanja revizorskog izvjea.

FERMA / ECIIA Smjernice za upravu i revizorske odbore 16

Ocjena upravljanja rizikom i interne kontrole Razumijevanje upravljanja rizikom odreene tvrtke i sustava interne kontrole od strane vanjskog revizora predstavlja osnovu kako za planiranje revizije tako i za procjenu rizika kontrole. Rizik kontrole definira se kao rizik da interna kontrola klijenta nee sprijeiti ili otkriti materijalne greke te stoga za vanjskog revizora predstavljaju kljuni faktor u odreivanju uinkovitosti interne kontrole klijenta. Znanje vanjskog revizora treba, na primjer, ukljuivati relevantne rizike i rad kontrola za upravljanje tim rizicima, nain na koji su definirani te koristi li se njima u poslovanju ili ne. Suradnja s internom revizijom Premda vanjska i interna revizija imaju neke zajednike odnose, potrebna je koordinacija njihovih aktivnosti. Ocjena koju interna revizija daje o sustavu interne kontrole prua znaajnu informaciju za ocjenu vanjskog revizora o riziku kontrole koji utjee na financijska izvjea. Idealna situacija je ona u kojoj se vanjski i interni revizori sastaju periodino i razgovaraju o opsegu svog posla, metodologijama i reviziji.

FERMA / ECIIA Smjernice za upravu i revizorske odbore 17

FERMA: www.ferma.eu
Federacija europskih udruga za upravljanje rizicima (FERMA) okuplja 20 nacionalnih udruga za upravljanje rizicima iz 18 drava. Predstavlja iroki raspon poslovnih sektora od proizvodnih do financijskih usluga, dobrotvornih organizacija, zdravstvenih organizacija i lokalnih upravnih tijela. Ciljevi FERMA-e su pruiti podrku svojim lanovima koordinirajui, osnaujui svijest i uinkovito koritenje procesa upravljanja rizikom, osiguranja i financiranja rizika u Europi. FERMA organizira dvogodinji forum i usporedno (benchmark) istraivanje o statusu upravljanja rizikom u Europi. Rezultati tog istraivanja prezentiraju se na seminaru svim lanovima.

ECIIA: www.eciia.eu
Europska konfederacija instituta interne revizije (ECIIA) je profesionalno predstavniko tijelo sastavljeno od 33 nacionalna instituta interne revizije iz ireg europskog podruja. Cilj ECIIA-e je pruiti podrku profesionalcima interne revizije u EU i zemljama lanicama ECIIA-e kao i promovirati primjenu standarda i etikog kodeksa globalnog Instituta internih revizora u javnom i privatnom sektoru. ECIIA provodi istraivanja o temama povezanim s internom revizijom, poslovnom kontrolom, upravljanjem rizicima i korporativnim upravljanjem. Objavljuje referate, izvjea i tromjesene biltene.

Doprinosi ovom izdanju

Michel DENNERY: lan uprave FERMA-e; direktor odjela za upravljanje rizicima - GDF SUEZ

Marie Gemma DEQUAE: lan uprave FERMA-e; Direktor odjela za rizike Partena Group; Direktor platforme za istraivanje procesa upravljanja rizikom kola za menadment Vlerick Leuven Gent Jean-Pierre GARITTE: bivi predsjednik ECIIA-e; bivi predsjedavajui Uprave globalnog Instituta internih revizora Roland De MEULDER: savjetnik upravnog odbora ECIIA-e; bivi predsjedavajui Odbora za revizorske standarde Chantal PIERRE: bivi tajnik ECIIA-e; bivi tajnik uprave globalnog instituta internih revizora Michle F. RDISSER: vii predava iz podruja organizacijske kontrole i upravljanja - Univerzitet St. Gallen T. Flemming RUUD: Profesor poslovnog upravljanja, osobito interne kontrole/interne revizije Univerzitet St. Gallen Paul TAYLOR: lan uprave FERMA-e; Direktor odjela za osiguranje od rizikaMorgan Crucible

FERMA / ECIIA Smjernice za upravu i revizorske odbore 18