Revizijsko poročilo – kako zagotoviti vodstvu njegovo sporočilnost

1

Revizijsko poročilo – kako zagotoviti vodstvu njegovo

sporočilnost

Urška Podgoršek, Nova ljubljanska banka

2

O prispevku

• Prispevek predstavlja nov pristop pri pisanju revizijskih poročil v NLB

• Natančneje gre za notranje revizijsko poročanje na področju informacijsko komunikacijske tehnologije

• Pristop sledi metodologiji, ki so jo razvili v KBC banki• Osnova metodologiji so: Cobit procesi, področja, in

zrelostni model, (AFRB) pet-stopenjska lestvica za oceno notranjega kontrolnega sistema in interna štiri-stopenjska lestvica za razvrstitev priporočil

• Nov pristop se začne že v fazi planiranja z določitvijo revizijskih področij (audit universe)

3

O prispevku

• Cilj novega pristopa je povečati sporočilno vrednost revizijskega poročila

• Pristop je šele v fazi implementacije

• Ni še praktičnih izkušenj

4

Ključne besede

• COBIT zrelostni modeli

• Revizijska področja

• Revizijsko poročilo

• Revizijska ocena

• Vrednotenje (razvrstitev) priporočil

5

Namen prispevka NI

• Navesti vse elemente revizijskega poročila, ki povečujejo njegovo sporočilnost kot so:– Sestavni deli poročila– Oblika poročila– Tehnika pisanja– Odnos revizorja do stroke, revidirancev, pisane

besede,….,

Ne glede na njihovo pomembnost.

6

Namen prispevka JE

• Predstaviti dva elementa revizijskega poročila, ki ju v banki uvajamo z namenom povečati njegovo sporočilnost in prejemnikom poročila nuditi informacijo, ki je enostavna, hitro prepoznavna in primerljiva in sicer:– Revizijsko oceno in– Vrednotenje (razvrstitev) revizijskih priporočil.

7

Notranja revizija

• Neodvisna ocenjevalna funkcija• Postavljena znotraj organizacije• Preverja in ocenjuje uspešnost, učinkovitost in

enostavnost delovanja notranjih kontrol• Priporoča in svetuje• Pomaga posameznikom organizacije uspešno izpolniti

zaupane naloge• Pomaga organizaciji doseči poslovne cilje• Svoje poslanstvo v glavnem izpolnjuje preko

revizijskih poročil

8

Revizijsko poročilo

je v osnovi:

• zagotovilo upravljavcem, da je njihov kontrolni sistem uspešen in učinkovit

ali

• prepričljiv in z argumenti podkrepljen nasvet za njegovo nadgradnjo

9

Planiranje

• Identificiranje revizijskih področij• Ocena tveganosti vseh revizijskih področij

kot rezultat ocene vgrajenega tveganja in ocene tveganja delovanja kontrolnega sistema (kontrolnega tveganja)

• Določitev časovnega okvira revidiranja (revizijskega cikla)

• Izračun frekvence revidiranja

10

Identifikacija revizijskih področij (audit universe)

• Cilj je identificirati vsa področja organizacije • Predmet revizijskega pregleda je revizijsko

področje (element) iz dvodimenzionalne tabele z naslednjima koordinatama:– ICT procesi po Cobitu

– ICT sredstva po Cobitu

ICT – Information communication technology

COBIT – Control objectiv for information technology

11

Resources

Procceses

Technology Application Data

Planning and Organisation

Acquisition and Implementation

Delivery and Support

Monitoring

12

Ocena tveganosti revizijskega področja

• Vsak element revizijskega področja ocenimo z vidika tveganosti in sicer ocenimo:– Vgrajeno tveganje in– Kontrolno tveganje

13

Revizijski cikel in frekvenca revidiranja revizijskega področja

• Dogovori se revizijski cikel (4)

• Na osnovi vnaprej dogovorjenih kriterijev in ocenjenega vgrajenega in kontrolnega tveganja določimo frekvenco revidiranja vsakega revizijskega področja znotraj dogovorjenega cikla

14

Cobit zrelostni modeli

• Za oceno tveganosti zopet uporabimo Cobit• Cobit management guidelines• Opisuje zrelost vsakega Cobit procesa• Osnova je šeststopenjska lestvica zrelosti

– 0 neobstoječa (non-exsistent)– 1 začetna (initial)– 2 ponovljiva (repeatable)– 3 definirana (defined)– 4 vodena (managed)– 5 optimizirana (optimised)

15

Cobit zrelostni modeli Kriteriji po katerih je oblikovana ocena zrelosti

vsakega Cobit procesa in nudijo primerjavo z najboljšo prakso so:

• Razumevanje in zavedanje se problemov (1,5)• Usposabljanje za delo in posredovanje informacij (2)• Procesi (postopki) in njihovo izvajanje (3)• Uporaba tehničnih pripomočkov in avtomatiziranih

postopkov (1,5)• Nadzor nad postavljenimi postopki (1)• Strokovna usposobljenost (1)

16

Sestava revizijskega poročila

• Revizijsko poročilo je ključni izdelek vsake (notranje) revizije

• Enotna sestava in oblika sta že prvi korak pri zagotavljanju kvalitete poročila

• Grobo, sestava poročila vključuje:– Povzetek za upravljavce na najvišjem nivoju

– Podrobne ugotovitve za vodje pregledanih področij

– Tabelo najpomembnejših priporočil

17

Sestava revizijskega poročila

• Podrobneje revizijsko poročilo vsebuje:– Prednjo stran– Uvodno poglavje – Povzetek za upravo– Podrobne ugotovitve

18

Povzetek za upravo

• V prvi vrsti je namenjen upravljavcem na najvišjem nivoju ter nadzornikom, manj pa linijskim upravljavcem pregledanih področij, ki so neposredno odgovorni za izvedbo izdanih priporočil.

• Pomembno je, da upravo obvestimo o tistih ugotovitvah, ki prinašajo največja tveganja kratko, enostavno in primerljivo

19

Revizijska ocena

• Zato uvajamo v revizijsko poročilo kvantitavno oceno pregledanega revizijskega področja

• Bistvo ocene je enostavno sporočilo upravljavcem o stanju notranjega kontrolnega sistema

• Ocenjujemo znotraj pet-stopenjske lestvice (AFRB-American Federal Reserved Bank)

20

Revizijska ocena

Notranji kontrolni sistem je lahko:

• 1 – zelo dober

• 2 - zadovoljiv

• 3 – dokaj primeren

• 4 – na robu sprejemljivosti

• 5 - nezadovoljiv

21

Revizijska ocena

• Ocena kontrolnega sistema je pravzaprav ocena zrelosti procesa - elementa revizijskega področja - po Cobit-u, ki je predmet pregleda

• Zrelost se ocenjuje po prej navedenih šestih kriterijih

• Pri tem ima vsak kriterij svojo težo (navedba v oklepaju)

22

Opis ocene notranjega kontrolnega sistema

Stopenjska lestvica notranjega kontrolnega sistema

Stopenjska lestvica zrelostnega modela notranjega kontrolnega sistema

Zelo dober (strong) 1 4 ali 5

Zadovoljiv (satisfactory)

2 3

Dokaj primeren (fair) 3 2

Na robu sprejemljivosti (marginal condition)

4 1

Nezadovoljiv (unsatisfactory)

5 0

23

Revizijska ocena

• V vsakem revizijskem poročilu se navede, kateri stopenjski lestvici pripada revizijska ocena

• Prav tako se vsaka revizijska ocena tudi na enostaven način opiše

• V povzetku za upravo se inadalje zpostavi glavne ugotovitve in iz njih izhajajoča tveganja (neusklajenosti z zakonodajo, izvajanja v nasprotju s sklepi upravljavcev ter neustrezno reševanje prejšnjih priporočil)

24

Podrobne ugotovitve

• Zadnji del revizijskega poročila je namenjen upravljavcem (vodjem) revidiranega področja in revidirancem

• V njem podrobno opišemo ugotovitve (pozitivne in negativne), morebitna tveganja in priporočila

• Tveganja so lahko manjša ali večja, za boljše razumevanje pa priporočila razvrščamo po pomembnosti na osnovi naslednje štiri stopenjske lestvice:

25

•A - veliko tveganje• Priporočilo je vezano na ugotovitev, ki lahko povzroči potencialno ali dejansko škodo, izgubo dobrega imena, kaže na prevaro ali nezakonito poslovanje in predstavlja pomemben vpliv na finančni položaj oziroma računovodske izkaze organizacije;• Priporočilo se mora izvesti takoj ali najkasneje v roku 6 mesecev oziroma enega leta, če ima vključen razvoj z ICT komponento;

•B – srednje tveganje• Priporočilo je vezano na ugotovitev, ki tudi prinaša tveganje večje napake ali pomanjkljivosti, vendar je materialni vpliv na računovodske izkaze manjši kot v primeru A;• Priporočilo se mora izvesti najkasneje v enem letu ali v 18 mesecih, če ima vključen razvoj z ICT komponento;

26

•C – nizko tveganje• Priporočilo je vezano na ugotovitev, ki ne vpliva pomembno na računovodske izkaze;• Priporočilo se izvaja kot del stalnega procesa nadgradnje kontrolnega okolja, če le stroški ne presegajo razumnih mej;

•D – izboljšanje učinkovitosti delovanje kontrolnega okolja• Priporočila nimajo namena optimizirati upravljanje s tveganjem, ampak izboljšati učinkovitost delovanja notranjih kontrol;• Nobene časovne omejitve ni za izvedbo teh priporočil.

27

Revizijska priporočila

• Priporočila, ki so vrednotena z A oz. B, se navedejo v tabelo priporočil, ki je sestavni del povzetka za upravo

• Notranja revizija spremlja ta priporočila do dokončne izvedbe oz. poroča o njihovem statusu upravljavcem na najvišjem nivoju in nadzornikom

28

Tabela revizijskih priporočil

• Nosi naslednje podatke:– Ugotovitev– Tveganje– Priporočilo– Odgovorno osebo za izvedbo priporočila– Prioriteto priporočila– Datum, ko mora biti priporočilo izvedeno

29

Cilj novega pristopa pri pisanju revizijskih poročil v NLB

• Z uvedbo – Revizijskih ocen in

– Razvrstitvijo revizijskih priporočil je:

– Povečati sporočilnost revizijskega poročila in

– V razumnem časovnem okviru (revizijskem ciklu) zagotoviti upravljavcem verodostojno oceno zrelosti njenega celotnega ICT okolja