Portal TFL
Novosti pri pravilih notranjega revidiranja
ŠTEVILKA in LETO IZDAJE
AVTOR
Tina Toman Pfajfar, univ. dipl. ekon., preizkušena notranja revizorka, državna notranja revizorka, državna revizorka, CRMA, tina.toman-pfajfar@a-zn.si.Datum
17.11.2020
Rubrika
Članki
Pravna podlaga
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
V članku so predstavljene nekatere novosti pri pravilih notranjega revidiranja, ki spadajo v Hierarhijo pravil notranjega revidiranja.
BESEDILO
1. UVOD
V prispevku so na kratko predstavljene novosti na področju podlag za delo notranjih revizorjev v Sloveniji (od decembra 2019 do septembra 2020), ki se nanašajo na drugo in tretjo raven Hierarhije pravil notranjega revidiranja[1]. Pri Mednarodnih standardih strokovnega ravnanja pri notranjem revidiranju in Izvedbenih navodilih/Smernicah za izvajanje v tem obdobju ni bilo sprememb.
Članek odraža mnenja avtorice z dolgoletnimi izkušnjami na področju notranjega revidiranja in njegovega nadzora.
2. DODATNA NAVODILA
V drugo raven Hierarhije pravil notranjega revidiranja med drugim spadajo dodatna navodila (angl. Supplemental Guidance). Predstavljene vsebine so zgolj povzetki iz posameznih dodatnih navodil in ne uradni prevodi.
V nadaljevanju kratko predstavljam tiste dokumente, ki so bili izdani od decembra 2019 do priprave tega članka (Revidiranje kreditnega tveganja, Revidiranje tveganja ravnanja, Priprava načrta dela notranje revizije, ki je zasnovan na tveganjih).
Na področju Globalnih smernic za revizijo tehnologij (angl. Global Technology Audit Guide, GTAG) sta novosti zadnjega leta Upravljanje sprememb in Osnove informacijske tehnologije (IT) za notranje revizorje.
2.1. Revidiranje kreditnega tveganja
Revidiranje kreditnega tveganja(Auditing Credit Risk Management) je dodatno navodilo, ki je izšlo februarja 2020.
Kreditno tveganje je eno ključnih tveganj finančnih institucij. Kreditno tveganje je skladno z Zakonom o zavarovalništvu[2] tveganje izgube ali neugodne spremembe v finančnem položaju zavarovalnice zaradi nihanj v kreditnem položaju izdajateljev vrednostnih papirjev, nasprotnih strank in morebitnih dolžnikov, ki so jim izpostavljene zavarovalnice v obliki tveganja neplačila nasprotne stranke, tveganja spremembe kreditnega pribitka in tveganja koncentracije tržnega tveganja.
Dodatno navodilo je napisano zato, da pridobijo notranji revizorji osnovna znanja za izvedbo posla, ki je osnova za podajo mnenja o obvladovanju kreditnega tveganja.
Za notranje revizorje, ki se s finančno institucijo srečujejo prvič, je koristno poznavanje in razumevanje okvira tveganj in razlogov, ki lahko vodijo k realizaciji kreditnega tveganja (npr. nezmožnost nasprotne stranke, da bi izpolnila svoje obveznosti), kar vodi k dodatnim odpisom in posledično neželenim spremembam ROE oz. donosnosti kapitala.
Pomembnosti kreditnega tveganja se zavedajo tudi regulatorji; še posebej z zahtevami pravil o kapitalskih zahtevah za bančni sektor in z zahtevami standarda Mednarodnega standarda računovodskega poročanja 9.
Upravljanje kreditnega tveganja spada v okvir upravljanja tveganj vsake finančne institucije. Sestavni del okvira so strategija, politike in procesi, ki naj se pregledujejo vsaj letno. Pri tem je posamezne politike treba prilagajati regijam in/ali vrsti strank. Glede na kompleksnost organizacije je smiselno uvesti kreditni odbor, morda tudi odbor ALCO (odbor za upravljanje bilance, asset/liability committee).
Funkcija upravljanja tveganj naj spremlja, ali so pripravljenost na prevzemanje tveganj (risk appetite) in postavljeni limiti skladni s strategijo in profilom tveganja (risk profile) institucije. Dodatno navodilo opisuje tudi primer upravljanja kreditnega tveganja v petih korakih: od dodeljevanja kredita do spremljanja procesa (vključno z merjenjem tveganj).
Vloga notranje revizije pri kreditnem tveganju je neodvisna presoja primernosti in učinkovitosti politik in postopkov, ki jih je organizacija uvedla za obvladovanje te vrste tveganja, morda tudi pregled izbranega portfelja danih kreditov. Notranja revizija naj v obdobno načrtovanje vključi tudi upravljanje sprememb (change management), saj danes finančne institucije redno razvijajo nove produkte in/ali prenavljajo, dopolnjujejo, nadgrajujejo obstoječe.
2.2. Revidiranje tveganja ravnanja
Revidiranje tveganja ravnanja(Auditing Conduct Risk) je dodatno navodilo, ki je izšlo junija 2020.
Notranji revizorji svoje delo običajno začnemo s presojo kontrolnega okolja. Negativna organizacijska kultura in neučinkovito upravljanje ravnanja zaposlenih so botrovali že marsikateremu zlomu finančne institucije. Kultura in ravnanje sta sicer dve različni zadevi (bralcem svetujejo tudi vpogled v Dodatno navodilo Revidiranje organizacijske kulture (Auditing Culture), izdano novembra 2019), morda bi lahko rekli, da je ravnanje del kulture. Dokument navaja kar nekaj primerov opredelitve kulture in ravnanja v različnih okoljih, pa tudi seznam dokumentov, ki so jih glede upravljanja tveganja ravnanja izdale različne regulatorne institucije (tudi European Banking Authority (EBA), Evropski bančni organ in The European Insurance and Occupational Pensions Authority (EIOPA), Evropski organ za zavarovanja in poklicne pokojnine za EU).
Dokument se začne s predpostavko, da je ravnanje zaposlenih v instituciji lahko drugačno od ravnanja kjerkoli drugje. Na podlagi rezultatov raziskave je namreč kar tretjina zaposlenih prepričana, da njihov delodajalec ni konsistenten pri vzdrževanju odgovornosti za ugotovljene nepravilnosti.
Ker je za vzdrževanje pozitivne kulture in zagotavljanje ravnanja potrebno razumevanje ključne terminologije na različnih področjih, mora vsak zaposleni v finančni instituciji najprej poznati in razumeti okvir upravljanja tveganj. Okvir lahko vključuje tudi tveganje ravnanja, ki sestoji iz postavljenih pričakovanj, jasnega ravnanja v primeru realizacije tveganja (posledice) in spremljanja in poročanja. Pričakovanja lahko zajemajo politike in druge dokumente v zvezi z etiko, politike prejemkov, zahteve delitve dolžnosti, jasno komuniciranje prevzemanja tveganj. Poročanje pa lahko zajema izvedena izobraževanja o tej temi, vzpostavljen sistem pritožb, jasen način ravnanja ob prepoznanih prevarah, rezultate raziskav med zaposlenimi, strankami in drugo.
Sestavni del dodatnega navodila je tudi matrika tveganj in kontrol pri ravnanju.
2.3. Priprava načrta dela notranje revizije, ki je zasnovan na tveganjih
Priprava načrta dela notranje revizije, ki je zasnovan na tveganjih(Developing a Risk-based Internal Audit Plan), je dodatno navodilo, ki je izšlo maja 2020.
Dodatno navodilo opisuje sistematični pristop pri vzpostavitvi in vzdrževanju načrta, zasnovanega na tveganjih: treba je razumeti organizacijo, prepoznati, oceniti in prepoznati prednostna tveganja, usklajevati delo z drugimi dajalci zagotovil, presoditi vire, pripraviti predlog načrta in pridobiti potrebne vhodne informacije, pripraviti končno različico načrta, o njem razpravljati z deležniki, zagotoviti neprekinjeno ocenjevanje tveganj, po potrebi ažurirati načrt.
Dokument poudarja, da je prikazan le eden od načinov za vzpostavitev načrtovanja; proces mora biti prilagojen organizaciji (in je odvisen od velikosti, kompleksnosti, virov). Postopek se začne z razgovorom z vodstvom (in nadzornim svetom) o vrstah notranjerevizijskih poslov, komuniciranju, poročanju, pričakovanjih. V času izvajanja poslov mora notranja revizija čim hitreje odreagirati pri zaznanih spremembah (in spremembah pri tveganjih).
Vsi zgoraj našteti koraki pri načrtovanju so opisani v nadaljevanju dokumenta. Podroben opis razumevanja organizacije npr. vsebuje: pregled ključnih dokumentov: organigram, strategijo, politike ključnih funkcij, zabeležke ključnih sestankov, letna poročila, register tveganj, rezultate spremljanja tveganj, poročila drugih dajalcev zagotovil, opise ključnih procesov.
Pri prepoznavanju tveganj notranji revizorji upoštevamo tveganja, vezana na doseganje ciljev, priložnosti, notranja in zunanja tveganja, IT-tveganja, tveganja okolja, tretjih oseb, prevar in tveganja drugih področij.
Pri spremljanju tveganj je treba pozornost posvetiti vgrajenim in preostalim tveganjem, ocenjevanju vpliva in posledic ter prikazu rezultatov.
Pri načrtovanju je treba pozornost posvetiti tudi frekvenci posameznih poslov, še posebej v visoko reguliranih organizacijah. Izvedba posameznih poslov je odvisna tudi od virov: od znanj in veščin posameznega člana revizijske skupine ter drugih dajalcev zagotovil.
V zaključnem delu dokumenta je naštetih nekaj primerov, ki bi lahko za posledico imeli spremembo načrta: organizacijske spremembe, spremembe pri upravljanju, spremembe regulative, strateških ciljev, nastanek nepričakovanih tveganj, implementacija novih sistemov.
2.4. Upravljanje sprememb
Upravljanje sprememb (IT Change Management) je dodatno navodilo GTAG, ki je izšlo februarja 2020.
V letošnjem letu je izšla že tretja različica dokumenta o upravljanju sprememb. Notranjim revizorjem pomaga razumeti, kaj je upravljanje sprememb in zakaj je pomembno, kako učinkovito upravljanje sprememb znižuje stroške kontrol in zmanjšuje IT-tveganja, kaj so popravki in kakšna je njihova vloga v upravljanju sprememb, katere kazalnike je smiselno uporabljati pri upravljanju sprememb, kaj so nujne spremembe in seveda odgovornosti notranje revizije pri tem.
Upravljanje sprememb je stalnica vsake IT-funkcije pri upravljanju izboljšav, nadgradenj (aplikacij, operacijskih sistemov, baz podatkov), sprememb (infrastrukture, vključno z oblačnimi storitvami) in popravkov (popravljanje znanih ranljivosti strojne, programske opreme, aplikacij in baz podatkov).
Tveganja, povezana s to temo, so: nedoseganje ciljev organizacije, pomanjkljivosti v kontrolah, slab sistem kontrol, ki lahko vpliva tako na zaposlene kot tudi na stranke, izgubljene priložnosti, dodatno, nenačrtovano delo, slab pretok informacij, slaba kakovost informacij. Dodatno je treba razmišljati tudi o tveganjih, ki so aktualna šele v zadnjem času: tveganja upravljanja podatkov v oblaku, tveganja ravnanja z mobilnimi napravami, postopkov, ki so vedno pogostejši v organizacijah (kot npr. BYOD – bring your own device, uporaba lastnih naprav v organizacijskem okolju).
Posebno pozornost velja posvetiti tretjim strankam, s katerimi so sklenjene pogodbe za npr. storitve v oblaku, in zagotavljanju skladnosti z različnimi regulativami.
Pomemben del upravljanja sprememb je migracija podatkov iz enega sistema v drugega. Dodatno navodilo predstavlja korake pri tem procesu; našteva in opisuje pa tudi vrste sprememb (redne, nujne, avtomatske), vire sprememb (zunanje okolje, regulatorno okolje, spremembe zaradi novih ciljev, tveganj, procesov, nadgradnje, nove stranke, dobavitelji, nove tehnologije).
Spremembe se lahko izvajajo na strojni in programski opremi, v bazah podatkov, varnostnih kontrolah.
V prilogah dodatnega navodila je opis postopka upravljanja sprememb po posameznih korakih: od prepoznavanja potrebe po spremembi, pridobivanja odobritve, načrtovanja in koordiniranja spremembe, testiranja, implementiranja, validacije do zaključka.
Sledi primer vprašanj za presojo učinkovitosti upravljanja sprememb in pregled značilnosti učinkovitega in neučinkovitega upravljanja sprememb. Dodan je še primer programa dela za revizijo upravljanja sprememb.