×
Napredno iskanje Iskalnik po sodni praksi
Portal TFL

TFL Vsebine / TFLGlasnik

Novosti pri pravilih notranjega revidiranja

O PUBLIKACIJI in AVTORJU
ŠTEVILKA in LETO IZDAJE
Kazalo 1 / 2025
AVTOR
Tina Toman Pfajfar
Datum
07.01.2025
Rubrika
Članki
Vir
Revija SIR*IUS št. 6/2024
Pravna podlaga
ni določena
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
V članku so predstavljene novosti pri pravilih notranjega revidiranja iz Hierarhije pravil notranjega revidiranja.
BESEDILO

1. UVOD

V članku so na kratko predstavljene novosti podlag za delo notranjih revizorjev v Sloveniji od decembra 2023 do septembra 2024, ki se nanašajo na drugo in tretjo raven Hierarhije pravil notranjega revidiranja1. V letu 2024 ni bilo sprememb v Mednarodnih standardih strokovnega ravnanja pri notranjem revidiranju (2017). Sprejeti pa so bili novi Globalni standardi notranjega revidiranja, ki bodo leta 2025 nadomestili prve omenjene. The Institute of Internal Auditors (IIA) je izdal nekaj globalnih navodil, v članku pa so na kratko predstavljeni še dokumenti dveh ustanov: The European Confederation of Institutes of Internal Auditing (ECIIA) in The Committee of Sponsoring Organizations (COSO).

Članek odraža mnenja avtorice z dolgoletnimi izkušnjami na področju notranjega revidiranja.

2. GLOBALNI STANDARDI NOTRANJEGA REVIDIRANJA

IIA, Mednarodni inštitut notranjih revizorjev, je na začetku letošnjega leta objavil nove standarde. Razdeljeni so na več področij: v prvem je predstavljen namen, v drugem načela na področju etike, v nadaljevanju pa standardi, ki določajo upravljanje ter vodenje notranje revizije in izvajanje poslov. Poleg standardov naj bi v obvezni del spadali še dodatni dokumenti. Standardi so bili objavljeni 9. januarja 2024 in veljajo od 9. januarja 2025 dalje. Uvrščeni so v Hierarhijo pravil notranjega revidiranja.

3. GLOBALNA NAVODILA

V drugo raven Hierarhije pravil notranjega revidiranja med drugim spadajo Globalna navodila (angl. Global Guidance). Predstavljena vsebina je zgolj povzetek navodil in ne uradni prevod. V nadaljevanju so predstavljeni dokumenti, objavljeni v zadnjem letu, in sicer Notranje revidiranje in prevare (angl. Internal Auditing and Fraud), Revidiranje upravljanja likvidnostnega tveganja za banke (angl. Auditing Liquidity Risk Management for Banks), Posebni vidiki notranjega revidiranja v javnem sektorju (angl. Unique Aspects of Internal Auditing in the Public Sector), Izgradnja uspešne funkcije notranje revizije v javnem sektorju (angl. Building an Effective Internal Audit Function in the Public Sector), Presojanje procesa upravljanja tveganj (angl. Assessing the Risk Management Process), Revidiranje organizacijske kulture (angl. Auditing Culture), Revidiranje upravljanja omrežja in komunikacij (angl. Auditing Network and Communications Management ter Revidiranje mobilnega računalništva (angl. Auditing Mobile Computing).

3.1. Notranje revidiranje in prevare

Notranje revidiranje in prevare (angl. Internal Auditing and Fraud)2 je globalno navodilo, izšlo aprila 2024, gre za tretjo izdajo.

Načrt notranje revizije mora med drugim upoštevati pokritost upravljanja informacijske tehnologije, tveganja prevar in uspešnost programov organizacije za zagotavljanje skladnosti in etičnega ravnanja. Ta dokument je pripravljen za boljše razumevanje tveganj prevar in za pomoč pri njihovi presoji.

Opredelitev prevare je že vključena v pojmovnik Globalnih standardov notranjega revidiranja. Prevara (fraud) je vsako namerno dejanje, za katerega so značilni zavajanje, prikrivanje, nepoštenost, poneverba sredstev ali informacij, ponarejanje ali kršitev zaupanja, ki ga zagrešijo posamezniki ali organizacije, da bi si zagotovili neupravičeno ali nezakonito osebno ali poslovno korist. Pri prevarah imajo ključno vlogo pritisk ali spodbuda (motiv), priložnost in racionalizacija.

Pri obvladovanju tveganj prevar ni enotnega modela za vse organizacije. Pristop je odvisen od panoge, lokacije, velikosti, kompleksnosti, pravne ureditve, kulture, informacijskih tehnologij in drugih dejavnikov. Različni deležniki imajo različne vloge: od poslovodstva (pa tudi revizijske komisije in organa nadzora) do posameznikov na različnih ravneh. V dokumentu so navedene vloge posameznega deležnika: osnovne in vezane na obvladovanje tveganja prevar.

Navodilo napotuje na uporabo druge izdaje Navodila za upravljanje tveganj prevar (angl. Fraud Risk Management Guide), ki je izšlo marca 2023. Pri presoji tveganj si lahko notranji revizor pomaga z vprašanji, navedenimi v gradivu in razdeljenimi po petih komponentah COSO IC (iz leta 2013). Navedena so tudi krovna vprašanja, ki so notranjemu revizorju lahko v pomoč pri poslu.

3.2. Revidiranje upravljanja likvidnostnega tveganja za banke

Revidiranje upravljanja likvidnostnega tveganja za banke (angl. Auditing Liquidity Risk Management for Banks)3 je globalno navodilo, izšlo junija 2024, gre za tretjo izdajo.

Upravljanje likvidnostnega tveganja je eno ključnih področjih v bankah.

Od notranjega revizorja se pričakuje, da s takim poslom da zagotovilo, da je upravljanje likvidnostnega tveganja skladno s strategijami in pripravljenostjo prevzeti tveganje (angl. risk appetite).

Dokument povzema Globalne standarde notranjega revidiranja in dobre prakse upravljanja likvidnostnega tveganja, vključno z opisom okvira za upravljanje. Pripravljen je na podlagi Baselskih sporazumov (mednarodni sporazumi o regulaciji bančništva).

Okvir, ki ga uporabljajo banke za prepoznavanje, merjenje in poročanje likvidnostnega tveganja, vsebuje 17 načel za upravljanje in spremljanje tega tveganja, ki jih lahko porazdelimo v ključne skupine: temeljna načela, upravljanje, merjenje, razkritja in vloga nadzornika (predstavitev načel je sestavni del dokumenta). Vsaka skupina je opisana, dodanih je tudi nekaj primerov tveganj in kontrol.

3.3. Posebni vidiki notranjega revidiranja v javnem sektorju

Posebni vidiki notranjega revidiranja v javnem sektorju (angl. Unique Aspects of Internal Auditing in the Public Sector)4 je globalno navodilo, izšlo junija 2024, gre za drugo izdajo.

Dokument je pripravljen tako, da vodjo notranje revizije vodi po vzpostavitvi notranje revizije, pri čemer je zagotovljena skladnost z Globalnimi standardi notranjega revidiranja. Na začetku je predstavljena struktura javnega sektorja, ki lahko pomembno vpliva na vzpostavitev in delovanje notranje revizije. Vodja notranje revizije se mora ves čas zavedati, da morajo biti rezultati njegovega dela usmerjeni tudi na področje porabe javnih sredstev in zagotavljanje javnega dobrega.

Za prepoznavanje tveganj je ključno dobro razumevanje strukture javnega sektorja in še posebej načina delovanja. Govorimo o tveganjih v organizaciji, tveganjih do javnosti in tveganjih notranje revizije. Razlikujejo se glede na to, ali gre za državno upravo, agencije, zavode ali druge oblike organizacij (vse so na kratko opisane).

Predstavljeno je postavljanje strategij v javnem sektorju, spremljanje in nadziranje ter vpliv etičnih načel (vključno z načeli, ki veljajo za notranje revizorje).

Vsi predstavljeni izzivi naj bodo smiselno vključeni v notranjerevizijsko temeljno listino.

3.4. Izgradnja uspešne funkcije notranje revizije v javnem sektorju

Izgradnja uspešne funkcije notranje revizije v javnem sektorju (angl. Building an Effective Internal Audit Function in the Public Sector)5 je globalno navodilo, izšlo junija 2024, druga izdaja.

Povsod po svetu se različni deležniki zanašajo na mnenja notranje revizije, da so javna sredstva porabljena uspešno in učinkovito ter da organizacije delujejo v javnem interesu. Vodje notranje revizije v javnem sektorju se srečujejo z različnimi izzivi, vključno s pritiski na neodvisnost in nepristranskost.

Dokument obravnava ključne točke v javnem sektorju in nudi pomoč vodji notranje revizije pri zagotovilih, svetovanju, spoznanjih in predvidevanjih. Pri tem je lahko v pomoč tudi dokument, ki opisuje model treh linij v javnem sektorju.

Namen navodila je pomoč pri vzpostavitvi uspešne notranje revizije, ki ima vse potrebne kompetence in dodaja vrednost organizaciji. Za vzpostavitev so potrebne vsaj priprava strategije, prepoznava potrebnih virov, vzpostavitev odnosov s poslovodstvom in organom nadzora (če obstaja), priprava načrta dela, vzpostavitev relacij poročanja, priprava programa izobraževanja in usposabljanja, vzpostavitev programa zagotavljanja in izboljševanja kakovosti.

Na začetku je predstavljenih nekaj opredelitev (javno dobro, upravljanje, politično okolje, uspešno in učinkovito vodenje ...), ki se med državami lahko razlikujejo, kljub temu pa so vpogled v značilnosti javnega sektorja (uporabno predvsem za tiste vodje notranje revizije, ki se s tem položajem srečujejo prvič). Opisane so različne ravni delovanja javne uprave.

V nadaljevanju so predstavljeni koraki pri vzpostavitvi notranje revizije, vključno z opisom različnih modelov (notranje izvajanje, angl. insourcing, zunanje izvajanje, angl. outsourcing, soizvajanje, angl. cosourcing) in centraliziranim oz. decentraliziranim modelom poročanja.

Notranje revizorje v javnem sektorju se spodbuja, da sodelujejo z drugimi dajalci zagotovil, še posebno z zunanjimi revizorji.

Za čim bolj uspešno in učinkovito notranjo revizijo je smiselno presoditi o stopnji zrelosti, določiti ciljno stopnjo in pripraviti akcijski načrt za dosego želenega stanja. Pri tem dokument napotuje na uporabo gradiva, ki govori o zmogljivosti notranje revizije (The Internal Audit Capability Model (IA-CM) for the Public Sector6). Predstavljen pa je tudi model treh linij7 z opisi, vezanimi na javni sektor.

Vodja notranje revizije lahko dobi več koristnih nasvetov za pripravo strategije, kadrovsko zapolnitev, pripravo proračuna, priročnika in programa zagotavljanja in izboljševanja kakovosti, uporabo IT orodij, opredelitev revizijskega okolja, izvedbo revizijske ocene tveganj, pripravo letnega načrta ter izvajanje poslov.

Dodano je tudi poglavje, kako presojati že vzpostavljeno notranjo revizijo.

3.5. Presojanje procesa upravljanja tveganj

Presojanje procesa upravljanja tveganj (angl. Assessing the Risk Management Process)8 je globalno navodilo, izšlo julija 2024, druga izdaja.

Upravljanje tveganj običajno poteka na podlagi politik, postopkov, vzpostavljenih kontrol, ki zagotavljajo, da se tveganja prepoznajo, ocenjujejo, obvladujejo, spremljajo in poročajo pravilno, redno in pravočasno. Organizacija se lahko odloči za kateri koli mednarodno priznan okvir (če ni v državi in/ali panogi posebej predpisan), pri čemer dokument opozarja na ustreznost vzpostavitve treh elementov: kulture tveganj (tveganja so sestavni del vsakega procesa v organizaciji, vključno s postavljanjem ciljev), upravljanja tveganj (vzpostavljena funkcija upravljanja tveganj, ki jo izvajajo kompetentni ljudje) in procesa obvladovanja tveganj (prepoznavanje, prioritiziranje, ocenjevanje, spremljanje …).

Kultura je v veliki meri odvisna od stopnje zrelosti organizacije, ta pa od velikosti, kompleksnosti, panoge in jurisdikcije. Upravljanje tveganj v zreli organizaciji lahko prinaša dodano vrednost na različnih področjih: lahko pomaga pri sprejemanju odločitev, izboljša komunikacijo, poveča učinkovitost procesov pri obravnavi podobnih tveganj na različnih področjih, izboljša doseganje ciljev organizacije in hitrejše ravnanje pri prepoznanih priložnostih.

Najpogostejše ovire pri doseganju dodane vrednosti so: upravljanje tveganj je preveč kompleksno in zato zamudno, informacije niso ustrezne in/ ali se ne uporabljajo kot podlaga za odločanje.

Kultura tveganj je povezana s stopnjo zrelosti organizacije, zato je smiselno, da notranji revizor najprej preveri stanje na tem področju. V dokument je vključen primer modela zrelosti z lestvico od 1 do 5 s primeri ocen za kulturo, upravljanje in proces. Pri najnižji oceni se s tveganji ukvarja le notranja revizija, pri najvišji so tveganja integrirana v vsakodnevne odločitve, vključena je celotna organizacija, vzpostavljeno je celovito poročanje.

Pripravljenost prevzeti tveganje (angl. risk appetite) je skladno s pojmovnikom Globalnih standardov notranjega revidiranja vrsta in količina tveganja, ki ga je organizacija pripravljena sprejeti pri uresničevanju svojih strategij in ciljev.

Veliko organizacij ima težave pri konkretnih primerih ovrednotenja pripravljenosti prevzeti tveganje, je pa to sestavni del upravljanja tveganj, zato naj notranja revizija spodbuja implementacijo. Dokument tudi za raven implementacije pripravljenosti prevzeti tveganja ponuja primer modela zrelosti.

V nadaljevanju pomaga notranjemu revizorju pri načrtovanju dajanja zagotovil glede procesa upravljanja tveganj. Vodi ga po fazi načrtovanja in izvajanja ter ponuja primere dokumentacije, ki naj se pregleda, ter predvidene metode. Dodana sta primer ocene tveganj za izbrani posel ter primer ciljev in obsega.

Navodilo pri uporabi svetuje uporabo dveh drugih dokumentov Usklajevanje in dokumentiranje: priprava karte zagotovil (Coordination and Reliance: Developing an Assueance Map) ter Načrtovanje posla: vzpostavljanje ciljev in obsega (Engagement Planning: Establishing OPbjectives and Scope). V zaključnem delu so dodani možni primeri v zvezi s tveganji (npr. organizacijska kultura ne omogoča izboljšanje zrelosti na področju upravljanja tveganj), pa tudi matrika kontrol in tveganj (npr. v povezavi z organizacijsko kulturo – slabe novice ne pridejo do oseb, ki bi lahko naredile spremembo, kontrola – poslovodstvo vzdržuje sistem, ki spodbuja pretok (tudi) slabih novic, brez povračilnih ukrepov). Sledi nabor aktivnosti, ki jih notranja revizija lahko izvaja kot del presoje procesa upravljanja tveganj (npr. pregled metodologije, presoja načina poročanja o tveganjih – preveč kompleksno ali morda preveč enostavno).

3.6. Revidiranje organizacijske kulture

Revidiranje organizacijske kulture (angl. Auditing Culture)9 je globalno navodilo, izšlo julija 2024, druga izdaja.

Kultura organizacije je osnova za izvajanje posla in doseganje strateških ciljev. Kultura v organizaciji obstaja namenoma ali nenamenoma. Če organizacija posluje v različnih državah, območjih, je vpliv različnih kultur lahko še večji, včasih pa so razlike že med organizacijskimi enotami. Neprimerna kultura je pogosto temeljni vzrok za resne težave, zato se v zadnjem času osredotočamo na prepoznavanje tveganj iz tega naslova – njihovo obvladovanje je vedno pomembnejše.

V dokumentu je zapisana opredelitev kulture in poleg tega nekaj nasvetov notranjim revizorjem pri dajanju zagotovila glede kulture. Kultura je pomemben element kontrolnega okolja, osnova za celoten sistem notranjih kontrol. Pri kulturi se vse začne s pogledom z vrha (angl. tone at the top). Več primerov neuspešnih družb kaže na to, da so bili vzroki pogosto v kulturi (npr. nerealna pričakovanja, toga organizacija, pomanjkanja strokovnega znanja in kompetenc, razumevanja in zaupanja do kontrolnih funkcij, pomanjkanje odgovornosti).

Zdrave organizacije imajo običajno ustrezen pogled z vrha (jasno opredeljene vrednote, strategije, cilje), jasno in odprto komuniciranje, vključevanje zaposlenih v doseganje ciljev.

Notranja revizija se pri izvajanju posla na tem področju lahko osredotoči na:

  • iskanje temeljnega vzroka pri šibkih in uspešnih področjih (iskanje dobrih praks);
  • presojo organizacijske strukture, vključno z vlogami in odgovornostmi;
  • presojo načinov komuniciranja vrednot, strategij, ciljev;
  • presojo izobraževanj na temo kulture, kodeksov, ravnanja pri pritožbah;
  • načine zaposlovanja, nagrajevanja, disciplinske postopke, žvižgaštva.

Dokument ponuja več možnost dajanja zagotovila na tem področju:

  • celostni pristop (angl. integrated approach) – tveganja na področju kulture vključiti v vsak posel;
  • ciljni pristop (angl. targeted approach) – izbrati ključne procese in kontrole, vezane na kulturo;
  • pristop od zgoraj navzdol (angl. top-down approach) – presoditi proces od pogleda z vrha do posameznega zaposlenega.

Tudi to navodilo vodi notranjega revizorja po fazi načrtovanja in izvajanja (za vse tri naštete pristope) ter ponuja primere dokumentacije, ki naj se pregleda, in metode, ki naj se jih uporabi. Govori o tveganjih na izbranem področju ter o določitvi ciljev in obsega. Vključena je še študija primera.

3.7. Revidiranje upravljanja omrežja in komunikacij

Revidiranje upravljanja omrežja in komunikacij (angl. Auditing Network and Communications Management)10 je vodnik za globalno prakso, izšel maja 2024, druga izdaja.

Omrežje organizaciji omogoča komuniciranje s strankami, dobavitelji in drugimi deležniki, podpira e-trgovino ter dobavo storitev. Najpomembnejša tveganja na tem področju so vezana na razpoložljivost in varnost podatkov.

Kontrolni cilji so običajno vezani na:

  • zagotovilo, da so cilji, tveganja in notranje kontrole omrežij in omrežnega komuniciranja povezani s strategijo in cilji organizacije (zahteve, pričakovanja in viri so konkretizirani v politikah, postopkih in finančnih ter tehničnih planih);
  • upravljanje domen (vzpostavljen popis obstoječega stanja);
  • vzpostavljeno upravljanje omrežnega komuniciranja (izmenjava podatkov, uporaba oblačnih storitev);
  • dostope do omrežja (zagotovljeni le za pooblaščene račune, urejen je proces spremljanja dostopov in način dostopanja do zunanjih omrežij);
  • redno spremljanje dogodkov (skupaj z odgovornimi za kibernetsko varnost se analizirajo vse neobičajne aktivnosti).

V dokumentu so osnovne opredelitve pojmov, vezanih na omrežje, in pregled strokovnih okvirov, ki jih notranji revizor lahko uporablja pri izvedbi takega posla, z navedbo posameznih kontrol.

3.8. Revidiranje mobilnega računalništva

Revidiranje mobilnega računalništva (angl. Auditing Mobile Computing)11 je vodnik za globalno prakso, ki je izšel septembra 2024, gre za drugo izdajo.

Mobilno računalništvo se je v zadnjem času pomembno spremenilo. Včasih je večina zaposlenih večji del svojega časa preživela na delovnem mestu, na opremi, ki je bila fizično povezana s službenim omrežjem. S porastom dela z oddaljenih lokacij (npr. delo od doma) se je to spremenilo.

Virtualno zasebno omrežje (t. i. VPN) omogoča zaposlenim varen dostop do službenega omrežja po internetni povezavi. Z razmahom dela od doma se je povečalo tudi število naprav, na katerih delamo. Včasih se pri tem uporabljajo tudi naprave, ki niso last organizacije, ampak zaposlenega. Srečujemo se torej z novimi tveganji (angl. bring-your-own-device risks).

Podobna tveganja prinaša t. i. internet stvari (angl. Internet of Things), komuniciranje različnih naprav med sabo s pomočjo interneta, in pa uporaba storitev v oblaku (angl. cloud), računalniške infrastrukture, ki je vzpostavljena za več odjemalcev/ uporabnikov hkrati in dosegljiva enostavno prek omrežne (spletne) povezave.

Strokovni okviri, ki pokrivajo to področje, so: COBIT 2019, NIST in CIS.

Pri revidiranju prenosnih naprav ločimo naslednje skupine kontrol:

  • oddaljene dostope;
  • centralizirano upravljanje naprav;
  • zagotavljanje varovanja naprav;
  • varovanje podatkov;
  • spremljanje kibernetske varnosti

in

  • izobraževanje.

V dokumentu so posamezne skupine podrobno opisane, pri vsaki so navedena poglavja naštetih strokovnih okvirov.

3.9. Model treh linij

Model treh linij (angl. The IIA’s Three Lines Model)12 je dokument, ki je izšel leta 2020, prenovljen pa je bil septembra 2024, in vsebuje nekaj dodatnih opredelitev, usklajenih z Globalnimi standardi notranjega revidiranja.

Celoten članek je dostopen za naročnike!

BREZPLAČNI PREIZKUS

Tax-Fin-Lex d.o.o.
pravno-poslovni portal,
založništvo in
izobraževanja

Tax-Fin-Lex d.o.o.
Železna cesta 18
1000 Ljubljana
Slovenija

T: +386 1 4324 243
E: info@tax-fin-lex.si

PONUDBA

Predstavitev portala
Zakonodaja
Sodna praksa
Strokovne publikacije
Komentarji zakonov
Zgledi knjiženj
Priročniki
Obveščanja o zakonodajnih novostih
TFL AI

CENIK

TFL IZOBRAŽEVANJA

Koledar izobraževanj

TFL SVETOVANJE

Svetovanje

TFL BREZPLAČNO

Brezplačne storitve
Preizkusite portal TFL
E-dnevnik Lex-Novice
E-tednik TFL Glasnik

MOJ TFL

Moji paketi
Moja izobraževanja
Priljubljeni dokumenti
Moji komentarji

PODPORA

Najpogostejša vprašanja
Video pomoč
Pišite nam

O TFL

O nas
Vizitka
Najuglednejši
Kontakt

Facebook Twitter LinkedIn Instagram YouTube E-mail

CERTIFIKATI IN EU PROJEKTI

 
x - Dialog title
dialog window