Professional Documents
Culture Documents
Nadziranje uinkovitosti interne kontrole, interne revizije i sustava upravljanja rizicima Smjernice za upravu i revizorske odbore
8. europska direktiva o Zakonu o trgovakim drutvima koja se odnosi na statutarnu reviziju DIREKTIVA 2006/43/EC Art. 41-2b
Peter den Dekker, Predsjednik Ferma-e Voditi posao je oduvijek znailo preuzeti rizik. Nedavna kriza je osnaila potrebu upravljanja rizikom i pojaala javna oekivanja za veom proaktivnom ulogom gospodarstvenika u kontroli rizika.
Novina 8. europske direktive o Zakonu o trgovakim drutvima je u tome da postoji jasna odgovornost upravnog odbora i njihovih revizorskih odbora. Od vieg menadmenta se oekuje ukljuivanje u proces upravljanja rizikom kao i preuzimanje samog rizika. Direktori moraju usmjeravati prema cilju ovisno o tome koliko dioniari ele riskirati.
Dobar sustav upravljanja rizikom je poput sustava upravljanja trkaeg vozila pomae im da budu bri, bolji i sigurniji.
Claude Cargou, Predsjednik ECIIA-e Dunost dodijeljena upravi i njenom revizorskom odboru u lanku 41. osme europske direktive o Zakonu o trgovakim drutvima tj. 'nadzirati uinkovitost procesa upravljanja rizikom i sustava kontrola' samo pojanjava oekivanja sudionika na tritima kapitala da primaju transparentne i pouzdane informacije o znaajnim postojeim i novim rizicima s kojima se jedna organizacija suoava kao i naina na koji se tim rizicima upravlja. Ova fiducijarna obveza upravnih i revizorskih odbora vie nije ograniena samo na rizike financijskog izvjeivanja kao to je esto do sada bio sluaj. Danas, ta tijela takoer moraju nadzirati uinkovito upravljanje stratekim, operativnim kao i rizicima usklaivanje svoje tvrtke. To je podruje u kojem se upravni i revizorski odbori mogu okrenuti internoj reviziji i zatraiti cilj i neovisnu garanciju glede uinkovitosti rizika i kontrolnih sustava unutar cijene organizacije. U tom pogledu interna revizija postaje jedan od temelja dobrog organizacijskog upravljanja, podravajui upravu i revizorske odbore u uinkovitom preuzimanju svojih fiducijarnih odgovornosti prema dionicima tvrtke kao i javnosti u cjelini.
Ova 8. europska direktiva o Zakonu o trgovakim drutvima osnauje samopouzdanje organizacija u iskoritavanju svih prednosti poslovnih mogunosti. Peter den Dekker Predsjednik FERMA-e Claude Cargou Predsjednik ECIIA-e
SADRAJ Cilj ovih smjernica Uloge i odgovornosti s obzirom na uinkovito upravljanje rizikom i kontrole
Uloge i odgovornosti Nadziranje rizika i funkcije osiguranja Interakcija razliitih imbenika u upravljanju rizikom i internoj kontroli
6 7
7 8 9
10
10 11 12 13
Prilozi
Upravljanje rizikom Interna kontrola Interna revizija Vanjska revizija FERMA i ECIIA Doprinos ovom izdanju
14
14 15 16 16 18 18
Design:
greenpepper.be 2010
[] revizorski odbor e, izmeu ostalog: nadzirati uinkovitost interne kontrole odreene tvrtke, internu reviziju gdje je isto primjenjivo i sustave upravljanja rizikom...'
Premda se ovaj izjava ini prilino jednostavna, pitanja 'to nadzirati' i 'kako nadzirati' znaajno su sloenija. U svrhu objanjenja 'to' i 'kako' nadzirati, ova smjernica: 1. Prua pregled uloga i odgovornosti s obzirom na uinkovito upravljanje rizikom i osiguranje kontrole za: (1) Upravu/revizorski odbor ; (1) Glavnog izvrnog direktora i vii menadment ; Operativni menadment; Funkcije nadzora i osiguranja. 3. Pojanjava preporuenu interakciju izmeu interne kontrole, upravljanja rizikom i interne revizije. 4. Preporua dobre prakse za nadzor uprave i revizorskog odbora s obzirom na: Proces upravljanja rizikom; Sustav interne kontrole; Funkciju interne revizije. Napomena: Dok 8. direktiva dodjeljuje dunost nadziranja organizacijskom revizorskom odboru, ona i dalje ostaje kolegijalna odgovornost cijelog odbora te se stoga ova smjernica mora tumaiti u tom svjetlu. Prijenos 8. direktive u nacionalno zakonodavstvo moe zahtijevati daljnje aktivnosti koje nisu spomenute u ovim smjernicama.
(1)
U svrhu ovog referata: Uprava oznaava upravni odbor direktora u jednoslojnoj strukturi i nadzorni odbor u dvoslojnoj strukturi Vii menadment oznaava izvrni odbor u jednoslojnoj strukturi i upravni odbor u dvoslojnoj strukturi
Funkcija interne revizije (osiguranje od rizika) Funkcija interne revizije Prua objektivnu garanciju upravi i viem menadmentu o razumijevanju i pravilnom upravljanju rizicima, te Slui kao interni konzultant koji predlae rjeenja za unaprijeene organizacijskog upravljanja, upravljanja rizikom i kontrolnih struktura. U toj ulozi interna revizija aktivno doprinosi uinkovitom korporativnom upravljanju istovremeno garantirajui ispunjavanje odreenih uvjeta poticanje neovisnosti profesionalizma. FERMA/ECIIA stoga kao najbolju praksu predlae uspostavu i odravanje neovisne funkcije interne revizije sa adekvatnim i strunim zaposlenicima, koja e
Djelovati u skladu s Okvirom meunarodnih profesionalnih praksi IPPF koji je uspostavio Globalni Institut Internih Revizora Izvjeivati dovoljno visoku razinu organizacije to e funkciji omoguiti izvravanje njenih dunosti i preuzimanje aktivne i uinkovite linije izvjeivanja upravnom odboru (ili revizorskom odboru)
(1)
Uspostava profesionalne funkcije interne revizije mora biti pravilo, i to ne samo za velike i srednje institucije nego i za male organizacije. Tim vie jer manje organizacije moda ne mogu promijeniti potpunu organizacijsku strukturu kako bi osigurale uinkovitost svog upravljanja i procesa upravljanja rizikom. U svakom sluaju, ako male organizacije ne uspostave internu funkciju interne revizije, iste, svake godine, moraju obavijestiti sve dionike da su razmotrile nain na koji je potrebna garancija uinkovitosti organizacijskog upravljanja, upravljanja rizikom i kontrolnih struktura dostupna (tj. preko interne revizije).
1. linija obrane
2. linija obrane
Upravljanje rizikom
External
d i t
Ostalp
I n t e r n a l
Kao prva linija obrane Operativni menadment je nositelj i snosi odgovornost za procjenu, kontrolu i smanjenje rizika zajedno sa odravanjem uinkovitih internih kontrola. Kao druga linija obrane Funkcija upravljanja rizikom pomae i nadzire operativni menadment u primjeni uinkovitih praksi upravljanja rizikom te pomae nositeljima rizika u definiranju ciljanog izlaganja riziku i izvjeivanju svih razina organizacije o adekvatnim informacijama povezanim s rizikom. Osim centralizirane funkcije upravljanja rizikom, kao dio ove druge linije obrane neke su organizacije uspostavile posebnu funkciju zaduenu za praenje usklaenosti u cilju nadziranja rizika usklaenosti tj. rizika koji se javljaju zbog neusklaenosti s mjerodavnim zakonima i odredbama kao i internim odredbama (ukljuujui prijevaru). U tom smislu, funkcija za usklaivanje izravno izvjeuje vii menadment. Ostale posebne funkcije nadziranja mogu ukljuivati sigurnost i zdravlje, lanac nabave, okoli i kvalitetu.
FERMA / ECIIA Smjernice za upravu i revizorske odbore 9
Kao trea linija obrane Funkcija interne revizije e, putem pristupa zasnovanog na riziku, garantirati upravi i viem menadmentu organizacije uinkovitost procjene i upravljanja rizika unutar te organizacije ukljuujui i nain rada prve i druge linije obrane. Ta garancija ukljuuje sve elemente okvira upravljanja rizikom jedne organizacije tj. identifikaciju rizika, procjenu rizika i reakciju na informacije povezane s rizikom (u cijeloj organizaciji, viem menadmentu i upravnom odboru). Openita opaska
Vanjska revizija se moe smatrati etvrtom linijom obrane koja prua garanciju dioniarima organizacije, upravi i viem menadmentu s obzirom na istinit i pravian pogled u organizacijska financijska izvjea. Meutim, s obzirom na specifian opseg i ciljeve njihove misije, informacije o riziku koje prikupi vanjski revizor ograniene su na rizike financijskog izvjeivanja i ne ukljuuju nain na koji vii menadment i uprava upravljaju/nadziru (strateki/operativno/usklaenost) rizike u cijelom poduzeu, a za to funkcije upravljanja rizikom i interne revizije pojedinano osiguravaju nadziranje i jamstvo.
Kljuna pitanja vezana za upravljanje rizicima Tvrtka je definirala svoju strategiju i apetit za rizikom. Glavni direktor je odredio direktora zaduenog za pitanja rizika ili osobu zaduenu za sline zadatke. Odreeni su nositelji rizika za svaki vei rizik; Nositelji rizika su odredili znaajne i mjerljive ciljeve i kontrole koji se prepoznaju u cijeloj organizaciji; odgovornost za rizik je dio delegiranja ovlasti, a mehanizam nagraivanja (sistem bonusa) mora ukljuivati ocjenu preuzimanja rizika; Centralizirana funkcija upravljanja rizikom je zaduena za implementaciju strategije rizika. Ona tvrtki osigurava formalni okvir za upravljanje rizikom kao i ciljane programe obuke za poboljanje kulture upravljanja rizika i promoviranje zajednikog jezika u cijeloj organizaciji; Viem menadmentu se periodino dostavljaju izvjea o razvoju glavnih rizika i primjeni planova za njihovo umanjenje. Takoer, najmanje jedanput godinje menadment prezentira revizorskom odboru prikaz rizika, ukljuujui kljune pokazatelje. O kritinim i novim rizicima obavjetava se odgovarajua upravljaka razina im se isti identificiraju.
Bilo koji sustav interne kontrole ima smisla samo ako se ispravno nadzire. Revizorski odbor mora nadzirati postojee procese kojima se preispituje adekvatnost financijskih i ostalih kljunih kontrola ukljuujui i preispitivanja menadmenta. Revizorski odbor takoer mora imati sve informacije o ozbiljnim kontrolnim problemima. Delegiranjem ovlasti, kontrola postaje odgovornost svih unutar organizacije. Neke organizacije su uvele proces periodine samoprocjene kontrola kojima operativna tijela unutar organizacije iskazuju svoje miljenje o rizicima koji su sastavni dio njihovih procesa i o kvaliteti postojeih kontrola. Ukupan rezultat tih radionica takoer pomae revizorskom odboru u nadziranju organizacijskog sustava interne kontrole.
Interna revizija ima ograniena sredstva. Stoga je neophodno dodijeliti ta sredstva najkritinijim podrujima. Osporava li revizorski odbor plan interne revizije i budet prilikom predstavljanja istih? Na koji nain interna revizija procjenjuje organizacijske rizike, rizik primjene procesa upravljanja i rizik sazrijevanja procesa upravljanja?
FERMA / ECIIA Smjernice za upravu i revizorske odbore 12
Postoji li veza s odreivanjem vlastitog organizacijskog rizika? Usmjerava li se interna revizija na ono to se lako revidira umjesto na ono to treba revidirati? Prilikom usvajanja plana revizije, zna li revizorski odbor to se nee revidirati? Vano je pratiti poduzima li organizacija korake s obzirom na ocjenu interne revizije. Brzina kojom menadment primjenjuje preporuke interne revizije je pokazatelj vrijednosti koju pridaje internoj reviziji. Vea kontrola nije uvijek najbolja opcija; bolja kontrola je. Kada menadment ne reagira ispravno ili pravovremeno na rezultate revizije, revizorski odbor moe pozvati menadere na sastanak radi njihova objanjenja. Organizacijski mehanizam obrane ukljuuje tri linije obrane. Stoga je kljuno da interna revizija ispravno ocijeni prvu i drugu liniju obrane kako se posao drugih linija ne bi udvostruio. U nekim organizacijama od vieg menadmenta ili uprave oekuje se objavljivanje godinjih izvjea o internoj kontroli ili izjave o jamstvu. Za revizorski odbor je bitno znati ima li interna revizija neovisni pregled ovog procesa izvjeivanja menadmenta ili je njegov sastavni dio.
Revizorski odbor
Najbolja praksa
Upravljanje rizikom i interna kontrola sastavni su dio plana revizorskog odbora.
Revizorski odbor izvjetava upravu o uinkovitosti interne kontrole i sustavima upravljanja rizikom na temelju informacija koje su prikupljene izravno ili uz pomo revizije. Dobra praksa rada revizorskog odbora ukljuuje reviziju svih linija obrane unutar organizacije ukljuujui i njihovu interakciju. Kljuna pitanja vezana za rad revizorskog odbora Nadzor procesa upravljanja rizikom, interne kontrole i interne revizije zahtjeva znaajno vrijeme revizorskog odbora. Samo odravanje sastanaka nije dovoljno za sveobuhvatno razumijevanje i pruanje jamstva. Revizorski odbor mora znati koliko truda, resursa i budeta je potrebno za postizanje oekivanih poslovnih rezultata. Kako bi ispunio svoje dunosti, revizorski odbor ulae vrijeme u procjenu informacija koje mu je dostavio vii menadment, revidira glavne rizike i kritine procese svake godine, kritiki razmatra ciljeve vieg menadmenta koji se odnose na ove teme i usporeuje praksu tvrtki. Rad revizorskog odbora ima vrijednost samo ako na dnevnom redu uprave ima dovoljno vremena za prezentiranje rezultata tog rada. Revizorski odbor mora takoer znati i da uprava poduzima odgovarajue korake na osnovi njihovog izvjea. Stoga revizorski odbori provode vlastitu procjenu rada i uinkovitosti svake godine.
Globalni standardi u upravljanju rizicima Veina standarda su iroke smjernice koje se mogu primijeniti u svim vrstama organizacija, ali se moraju prilagoditi organizacijskim karakteristikama, aktivnostima i kulturi. Postojei globalni standardi ukljuuju ISO 31000, COSO ERM i FERMA standard preuzet iz Velike Britanije. Odgovornost za upravljanje rizicima i linije izvjeivanja
U veini organizacija, na korporativnoj i poslovnoj razini postoje profesionalci za upravljanje rizikom koji su odgovorni za irenje kulture rizika, ope izvjetavanje, proces i metodologiju. To se treba smatrati dobrom praksom u cilju poboljavanja procesa upravljanja rizikom. Pa ipak, upravljanje poslovnim rizikom i dalje ostaje dunost menadmenta zajedno sa njihovom odgovornou prema ispunjavanju poslovnog plana i ciljeva.
Menaderi zadueni za upravljanje rizikom izvjeuju vii menadment koristei se rutinskim procesima izvjeivanja o upravljanju rizikom. Mogu biti dio sredinje funkcije ili sastavni dio odjelnih struktura. Funkcija upravljanja rizikom izvjetava odbor za rizik ili revizorski odbor.
Interna kontrola
Uvod u internu kontrolu Interna kontrola postoji od davnih vremena. U helenistikom Egiptu postojala je dvojna vlast s jednom grupom birokrata kojima je zadatak bio prikupljanje poreza i drugom grupom koja ih je nadzirala. Interna kontrola se definira kao proces na koji utjee organizacijska struktura, rad i tijek ovlasti, ljudi i sustavi upravljanja informacijama kojima je cilj pomoi organizaciji u ostvarivanju specifinih ciljeva istovremeno umanjujui vjerojatnost pojave neeljenih dogaaja. Pomae u usmjeravanju, nadziranju i mjerenju organizacijskih resursa. Igra vanu ulogu u sprjeavanju i otkrivanju prevare, zatiti organizacijskih resursa i smanjenju negativnih uinaka obveza. Globalni modeli interne kontrole COSO interna kontrola-integrirani okvir je najee koriten okvir. Definira internu kontrolu kao proces na koji utjee organizacijska uprava, menadment i ostali zaposlenici, a cilj mu je osigurati prihvatljivo jamstvo s obzirom na postizanje ciljeva u sljedee tri kategorije: (a) Uinkovitost i efikasnost poslovanja; (b) Pouzdanost financijskog izvjeivanja i (c) Usklaenost sa zakonima i odredbama. Odgovornost za internu kontrolu i linije izvjeivanja I na kraju, odgovornost za internu kontrolu lei na upravi. Delegiranjem ovlasti, operativni menadment snosi odgovornost za razvoj i odravanje kontrola u svojem podruju odgovornosti. Na primjer, organizacija moe zatraiti internu reviziju da osigura cjelovito 'miljenje o kontroli' na kraju kojeg se nalazi procjena/ocjena rizika za revidirana podruja. Mnogobrojni kodeksi na temu korporativnog upravljanja zahtijevaju od vieg menadmenta ili upravnog odbora izvjetaj o sustavu interne kontrole. To izvjee treba sadravati detalje o neusklaenosti s pravilima i odredbama, materijalnim slabostima u internoj kontroli, financijskim usklaenjima i vanosti istih s obzirom na Izvjetaj o dobiti i gubitku odreene organizacije kao i ostalim rizicima i/ili izloenosti istim koji zahtijevaju promjene u internoj kontroli.
Interna revizija
Uvod u internu reviziju Institut internih revizora (IIR) definira internu reviziju kao 'neovisno, objektivno jamstvo i savjetodavnu aktivnost kojoj je cilj dodati vrijednost i poboljati organizacijsko poslovanje. Pomae organizaciji u ostvarivanju njenih ciljeva kroz sustavni i disciplinirani pristup u cilju evaluacije i unaprjeenja uinkovitosti procesa upravljanja rizikom, kontrole i upravljanja.' Razliiti nacionalni instituti iz podruja interne revizije diljem svijeta surauju, obvezuju se ovoj definiciji i slijede standarde koje su zajedniki razvili. Globalni standardi interne revizije Svojim Meunarodnim standardima za profesionalan rad interne revizije, IIR osigurava meunarodno i zajedniko razumijevanje interne revizije kao struke ukljuujui osnovne zahtjeve o tome kako ispuniti oekivanja i odgovornosti interne revizije i internih revizora. Standardi se temelje na naelima, obaveznim zahtjevima koji se sastoje od popisa osnovnih uvjeta za profesionalan rad interne revizije i evaluaciju uinkovitosti poslovanja. Isti se primjenjuju diljem svijeta na razini cijele organizacije ili pojedinano, a ukljuuju objanjenja kojima se pojanjavaju termini ili ideje navedeni u Standardima.
Vanjska revizija
Uloga vanjske revizije Primarna uloga vanjske revizije je dati miljenje o tome ima li u financijskim izvjeima odreene organizacije materijalnih pogreaka. Za cjelovitu ocjenu financijskih izvjea, neovisnost vanjske revizije je kljuna. Stoga se u izvjeu vanjskog revizora mora navesti svaka veza izmeu vanjskih revizora i organizacije, osim one koja je vana za samu reviziju. U cilju pruanja visoke razine sigurnosti u injenicu da financijska izvjea slijede odgovarajuu osnovu raunovodstva npr. IFRS-Meunarodne standarde za financijsko izvjeivanje ili GAAP Opeprihvaena naela raunovodstva, vanjski revizori prikupljaju neophodne dokaze u cilju objavljivanja revizorskog izvjea.
Ocjena upravljanja rizikom i interne kontrole Razumijevanje upravljanja rizikom odreene tvrtke i sustava interne kontrole od strane vanjskog revizora predstavlja osnovu kako za planiranje revizije tako i za procjenu rizika kontrole. Rizik kontrole definira se kao rizik da interna kontrola klijenta nee sprijeiti ili otkriti materijalne greke te stoga za vanjskog revizora predstavljaju kljuni faktor u odreivanju uinkovitosti interne kontrole klijenta. Znanje vanjskog revizora treba, na primjer, ukljuivati relevantne rizike i rad kontrola za upravljanje tim rizicima, nain na koji su definirani te koristi li se njima u poslovanju ili ne. Suradnja s internom revizijom Premda vanjska i interna revizija imaju neke zajednike odnose, potrebna je koordinacija njihovih aktivnosti. Ocjena koju interna revizija daje o sustavu interne kontrole prua znaajnu informaciju za ocjenu vanjskog revizora o riziku kontrole koji utjee na financijska izvjea. Idealna situacija je ona u kojoj se vanjski i interni revizori sastaju periodino i razgovaraju o opsegu svog posla, metodologijama i reviziji.
FERMA: www.ferma.eu
Federacija europskih udruga za upravljanje rizicima (FERMA) okuplja 20 nacionalnih udruga za upravljanje rizicima iz 18 drava. Predstavlja iroki raspon poslovnih sektora od proizvodnih do financijskih usluga, dobrotvornih organizacija, zdravstvenih organizacija i lokalnih upravnih tijela. Ciljevi FERMA-e su pruiti podrku svojim lanovima koordinirajui, osnaujui svijest i uinkovito koritenje procesa upravljanja rizikom, osiguranja i financiranja rizika u Europi. FERMA organizira dvogodinji forum i usporedno (benchmark) istraivanje o statusu upravljanja rizikom u Europi. Rezultati tog istraivanja prezentiraju se na seminaru svim lanovima.
ECIIA: www.eciia.eu
Europska konfederacija instituta interne revizije (ECIIA) je profesionalno predstavniko tijelo sastavljeno od 33 nacionalna instituta interne revizije iz ireg europskog podruja. Cilj ECIIA-e je pruiti podrku profesionalcima interne revizije u EU i zemljama lanicama ECIIA-e kao i promovirati primjenu standarda i etikog kodeksa globalnog Instituta internih revizora u javnom i privatnom sektoru. ECIIA provodi istraivanja o temama povezanim s internom revizijom, poslovnom kontrolom, upravljanjem rizicima i korporativnim upravljanjem. Objavljuje referate, izvjea i tromjesene biltene.
Marie Gemma DEQUAE: lan uprave FERMA-e; Direktor odjela za rizike Partena Group; Direktor platforme za istraivanje procesa upravljanja rizikom kola za menadment Vlerick Leuven Gent Jean-Pierre GARITTE: bivi predsjednik ECIIA-e; bivi predsjedavajui Uprave globalnog Instituta internih revizora Roland De MEULDER: savjetnik upravnog odbora ECIIA-e; bivi predsjedavajui Odbora za revizorske standarde Chantal PIERRE: bivi tajnik ECIIA-e; bivi tajnik uprave globalnog instituta internih revizora Michle F. RDISSER: vii predava iz podruja organizacijske kontrole i upravljanja - Univerzitet St. Gallen T. Flemming RUUD: Profesor poslovnog upravljanja, osobito interne kontrole/interne revizije Univerzitet St. Gallen Paul TAYLOR: lan uprave FERMA-e; Direktor odjela za osiguranje od rizikaMorgan Crucible