Povelja o internoj reviziji Primarni povezani standard · PDF file1. Osobe koje interna revizija premjesti ili koje su privremeno angažirane ne smiju se raspodijeliti na revizije

43Preporuke za rad

Preporuka za rad 1000-1

Primarni povezani standard

1000 – Svrha, ovlasti i

odgovornosti

Svrhu, ovlasti i odgovornosti interne revizije treba formalno definirati u povelji, koja mora biti u skladu s Definicijom interne revizije, Etičkim kodeksom i Standardima. Glavni revizor mora povremeno revidirati povelju o internoj reviziji te ju predložiti višem menadžmentu i odboru na odobrenje.

Tumačenje

Povelja o internoj reviziji je formalni dokument kojim se definiraju svrha, ovlasti i odgovornosti interne revizije. Povelja o internoj reviziji utvrđuje položaj interne revizije unutar organizacije; definira pristup dokumentaciji, osoblju i materijalnoj imovini koji su značajni za provođenje revizije; ona također definira opseg aktivnosti interne revizije. Konačno odobrenje povelje o internoj reviziji daje odbor.

Povelja o internoj reviziji

1. Osiguranje formalne, pisane povelje o internoj reviziji je od velike važnosti za upravljanje internom revizijom. Povelja o internoj reviziji je priznata izjava koju pregledava i odobrava rukovodstvo, a na koju odbor daje suglasnost, kako je i do-kumentirano u zapisnicima. Također omogućava povremenu ocjenu primjerenosti svrhe, ovlasti i odgovornosti interne re-vizije, čime se utvrđuje uloga interne revizije. U slučaju da se postavi to pitanje, povelja također osigurava formalan, pisan sporazum s rukovodstvom i odborom o internoj reviziji unutar organizacije.

2. Glavni revizor povremeno treba ocijeniti jesu li svrha, ovlasti i odgovornosti, temeljem definicije u povelji, i dalje adekvat-ne za omogućavanje postizanja ciljeva interne revizije. O re-zultatima ove ocjene glavni revizor treba obavijestiti viši me-nadžment i odbor.

***Izdano: u siječnju 2009.

45Preporuke za rad



1100 – Organizacijska

neovisnost

Glavni revizor treba podnositi izvještaje onoj razini unutar organizacije koja omogućava djelatnosti interne revizije da ispuni svoje odgovornosti. Glavni revizor mora najmanje jednom godišnje potvrditi odboru organizacijsku neovisnost interne revizije.

Organizacijska neovisnost

1. Interni revizori moraju imati potporu višeg menadžmenta i odbora kako bi mogli računati na suradnju klijenata i obaviti svoj posao bez uplitanja.

2. Glavni revizor, koji po funkciji odgovara odboru, a admini-strativno glavnom direktoru organizacije, osigurava organi-zacijsku neovisnost. U najmanju ruku, glavni revizor treba odgovarati osobi u organizaciji koja ima dovoljne ovlasti za promicanje neovisnosti i osiguranje širokog obuhvata revizije, odgovarajućih uvjeta za komunikaciju u okviru angažmana i primjerenog postupanja prema preporukama iz angažmana.

3. Odgovaranje odboru u funkcijskom smislu obično znači da odbor:• odobrava cjelokupnu povelju interne revizije• odobrava procjenu rizika interne revizije i povezani revizij-

ski plan• prima priopćenja od glavnog revizora o rezultatima interne

revizije ili drugim pitanjima koja glavni revizor odredi kao potrebne, uključujući i privatne sastanke s glavnim revizo-rom bez prisutnosti uprave, kao i godišnju potvrdu organiza-cijske neovisnosti interne revizije

• odobrava sve odluke vezano uz procjenu učinkovitosti, ime-novanje ili razrješenje glavnog revizora

• odobrava godišnju naknadu i prilagodbu plaće internog revi-zora

• postavlja odgovarajuće upite upravi i glavnom revizoru s ciljem utvrđivanja postoji li opseg revizije ili proračunska

Međunarodni okvir profesionalnog djelovanja46

ograničenja koja narušavaju sposobnost interne revizije u obavljanju svojih dužnosti.

4. Odgovarati u administrativnom pogledu podrazumijeva odnos unutar rukovodstvene strukture organizacije koji omogućava svakodnevni rad interne revizije. To obično podrazumijeva:• izradu proračuna i računovodstva uprave• upravljanje ljudskim potencijalima, uključujući procjene

osoblja i naknade• interna priopćenja i protok informacija• upravljanje politikom i postupcima interne revizije.



47Preporuke za rad



1111 – Izravna interakcija s

odborom

Glavni revizor mora izravno komunicirati i biti u izravnoj interakciji s odborom.

Interakcija s odborom

1. Do izravne komunikacije dolazi ukoliko glavni revizor redo-vito prisustvuje i sudjeluje u sastancima odbora vezanim uz odgovornosti odbora za nadzor nad revizijom, financijskim izvještavanjem, upravljanjem organizacijom i kontrolom. Sudjelovanje glavnog revizora na tim sastancima osigurava njegovu obaviještenost vezano uz strateške poslovne i opera-tivne novitete i postavljanje pitanja vezano uz visoku razinu rizika, sustave, postupke ili kontrolu. Prisutnost na sastancima također omogućava razmjenu informacija vezano uz planove i aktivnosti interne revizije te međusobno obavještavanje o bilo kakvim drugim pitanjima od zajedničkog interesa.

2. Takva komunikacija i interakcija su također osigurane kada se glavni revizor privatno sastane s odborom, najmanje jednom godišnje.


49Preporuke za rad



1120 – Individualna

objektivnost

Interni revizori moraju biti nepristrani i objektivni te izbjegavati sukobe interesa.

Tumačenje:

Sukob interesa je situacija kada interni revizor, koji je na povjerljivoj poziciji, ima protivan profesionalni ili osobni interes. Takvi protivni interesi mogu otežati obavljanje dužnosti na nepristran način. Sukob interesa postoji čak i ako ne dođe do nikakvog neetičnog ili nedoličnog djelovanja.

Sukob interesa može stvoriti dojam nedoličnosti koja bi mogla potkopavati povjerenje u internog revizora, internu reviziju i cjelokupnu struku. Sukob interesa može narušiti sposobnost pojedinca da objektivno obavlja svoje dužnosti i odgovornosti

Individualna objektivnost

1. Individualna objektivnost znači da interni revizori angažman provode iskreno vjerujući u produkt svojega rada i bez značaj-nijih ustupaka u kvaliteti. Interni revizori ne smiju biti dove-deni u situacije u kojima nisu u mogućnosti donijeti objektiv-no stručno mišljenje.

2. Individualna objektivnost znači da glavni revizor organizira zadaće osoblja, izbjegavajući moguće i stvarne sukobe inte-resa i pristranost. Glavni revizor povremeno treba od internih revizora pribaviti informacije o mogućim sukobima interesa i pristranosti. Zadaće internih revizora treba povremeno izmje-njivati, kad god je to izvedivo.

3. Rezultate interne revizije treba provjeriti prije nego pripadaju-ća priopćenja budu objavljena, kako bi se osiguralo objektivno obavljanje posla.

4. Objektivnost internog revizora nije narušena kad revizor pre-poruči standarde kontrole za sustave ili postupke kontrole pri-je njihove provedbe. Smatra se da je objektivnost revizora na-rušena ako revizor osmisli, instalira, izradi nacrt postupka ili upravlja takvim sustava.

5. Povremeno obavljanje drugog posla, osim revizije, od stra-ne internog revizora, koji je u potpunosti otkriven u proce-su izvještavanja, ne znači nužno narušavanje objektivnosti. Međutim, to zahtijeva pažljivo razmatranje uprave i internog revizora kako bi se izbjegao negativan utjecaj na objektivnost internog revizora.


51Preporuke za rad



1130 – Narušavanje neovisnosti

ili objektivnosti

Ako dođe do narušavanja neovisnosti ili objektivnosti u stvarnosti ili naizgled, o detaljima narušavanja treba obavijestiti odgovarajuće stranke. Priroda objave ovisi o narušavanju.

Tumačenje:

Narušavanje organizacijske neovisnosti i individualne objektivnosti može uključivati, ali ne isključivo, osobni sukob interesa, ograničenje opsega, zabrane pristupa dokumentaciji, osoblju i imovini te ograničenje resursa, poput financijskih sredstava. Određivanje odgovarajućih osoba kojima se priopćavaju podaci o narušavanju neovisnosti ili objektivnosti, ovisno o očekivanjima interne revizije i odgovornosti glavnog revizora prema višem menadžmentu i odboru, u skladu je s navedenim u povelji o internoj reviziji, kao i u skladu s prirodom narušavanja.

Narušavanje neovisnosti ili objektivnosti

1. Interni revizori moraju glavnom revizoru prijaviti svaku situ-aciju u kojoj postoji stvarno ili potencijalno narušavanje neo-visnosti ili objektivnosti ili se o njima može donijeti opravdan zaključak. Oni se također trebaju javiti ako imaju pitanja o tome predstavlja li određena situacija narušavanje objektiv-nosti ili neovisnosti. Glavni bi revizor trebao prerasporediti revizora/e ako dođe do zaključka da je došlo do narušavanja ili ako postoje sumnje za takav zaključak.

2. Ograničenje opsega je ograničenje koje se nameće internoj reviziji i koje sprječava internu reviziju pri ostvarenju svo-jih ciljeva i planova. Među ostalim, ograničenje opsega može ograničiti: • opseg koji je definiran u povelji o internoj reviziji• pristup interne revizije evidencijama, osoblju i materijalnoj

imovini koja je važna za obavljanje angažmana• odobren plan rada za angažman • obavljanje potrebnih postupka u okviru angažmana • odobren plan popunjavanja kadrovima i financijski prora-čun.

3. Ograničenje opsega s mogućim učinkom treba prijaviti upravi, po mogućnosti u pisanom obliku. Glavni revizor treba razmo-triti je li primjereno obavijestiti upravu o ograničenju opse-ga o kojem je već prethodno obavijestio upravu i koje je ista prihvatila. To može biti potrebno, pogotovo ukoliko je došlo do promjena u organizaciji, odboru ili višem menadžmentu, ili drugih promjena.


4. Interni revizori ne smiju prihvatiti naknadu, dar ili zabavu od zaposlenika, klijenta, naručitelja, dobavljača ili poslovnog su-radnika što bi moglo stvoriti dojam da je narušena objektiv-nost revizora. Dojam narušene objektivnosti može se odnositi na sadašnje ili buduće angažmane revizora. Status angažmana ne smije se smatrati opravdanjem za primanje naknada, daro-va ili zabave. Prihvaćanje promotivnih predmeta (kao što su olovke, kalendari ili uzorci) koji su dostupni zaposlenicima i široj javnosti, a koji imaju minimalnu vrijednost, ne bi treba-li ometati stručno mišljenje internih revizora. Interni revizo-ri trebaju odmah obavijestiti svoje nadređene o ponudi svake materijalne naknade ili darova.



53Preporuke za rad

Preporuka za rad 1130.A1-1


1130.A1 – Interni revizori moraju se suzdržati od ocjenjivanja posebnih poslova za koje su prethodno bili nadležni. Pretpostavlja se da je objektivnost narušena ako revizor pruža usluge provjere za djelatnost za koju je revizor bio nadležan tijekom prethodne godine.

Ocjenjivanje poslova za koje su interni

revizori prethodno bili odgovorni

1. Osobe koje interna revizija premjesti ili koje su privremeno angažirane ne smiju se raspodijeliti na revizije onih aktivnosti koje su prethodno obavljali ili kojima su upravljali sve dok ne prođe barem jedna godina. Pretpostavlja se da takvi zadaci narušavaju objektivnost, a svaki drugi element mora se uzeti u obzir prilikom nadzora angažmana ili priopćavanja rezultata angažmana.


55Preporuke za rad



1130.A2 – Angažmane provjere funkcija za koje je glavni revizor nadležan mora nadgledati stranka izvan interne revizije.

Odgovornost interne revizije za ostale

(nerevizijske) funkcije

1. Interni revizori ne smiju prihvatiti odgovornost za nerevizijske funkcije ili dužnosti koje podliježu procjenama interne revizi-je. Ako imaju tu odgovornost, znači da ne funkcioniraju kao interni revizori.

2. Ukoliko je interna revizija (ili glavni revizor ili pojedini inter-ni revizor) odgovorna ili rukovodstvo razmatra raspoređivanje na posao koji bi interna revizija mogla kontrolirati, može doći do narušavanja neovisnosti i objektivnosti internog revizora. Interni bi revizor u obzir trebao uzeti sljedeće čimbenike prili-kom ocjenjivanja utjecaja na neovisnost i objektivnost: • zahtjeve Etičkog kodeksa i Standarda• očekivanja zainteresiranih strana koja mogu biti dioničari,

upravni odbor, uprava, zakonodavna tijela, javni subjekti, regulatorna tijela i javne interesne skupine

• dopuštenja i/ili ograničenja koja su sadržana u povelji inter-ne revizije

• objave koje se zahtijevaju u Standardima• provjeru revizije onih aktivnosti ili odgovornosti koje je pri-

hvatio interni revizor• značenje operativne funkcije organizaciji (u pogledu priho-

da, troškova, ugleda i utjecaja)• trajanje angažmana i opseg odgovornosti• adekvatnost razdvajanja dužnosti • neki dokaz o već narušenoj objektivnosti.


3. Ako povelja o internoj reviziji sadrži posebna ograničenja ili ograničavajuće formulacije u pogledu rasporeda internog revi-zora na nerevizijske poslove, takva ograničenja treba objaviti i o njima raspraviti s rukovodstvom. Ako rukovodstvo ustraje na takvom zadatku, revizor o tome treba raspraviti s odborom. Ako povelja ne spominje takvo pitanje, treba uzeti u obzir niže navedene smjernice. Sve točke koje slijede podređene su po-velji o internoj reviziji.

4. U slučaju kada interna revizija prihvati operativne odgovorno-sti za operacije koje su dio plana interne revizije, glavni revi-zor treba: • minimalizirati utjecaj na objektivnost angažiranjem treće

strane ili vanjskih revizora za obavljanje revizije u onim po-dručjima za koje je odgovoran glavni revizor

• potvrditi da pojedinci koji imaju operativnu odgovornost za ona područja koja su pod nadležnosti glavnog revizora ne sudjeluju u internoj reviziji tih područja

• osigurati da interni revizori koji obavljaju provjeru nad područjima u nadležnosti glavnog revizora budu pod nadzo-rom i priopćavaju rezultate procjene višem menadžmentu i odboru

• otkriti operativne odgovornosti internog revizora za funkci-ju, važnost posla za organizaciju (u smislu prihoda, troškova ili drugih relevantnih informacija) i odnos onih koji su oba-vili reviziju funkcije.

5. Objava operativnih odgovornosti revizora treba biti navedena u pripadajućem revizijskom izvještaju o područjima pod nad-ležnosti internog revizora i uobičajenim priopćenjima koja revizor podnosi odboru. O rezultatima interne revizije može se razgovarati s upravom i/ili odgovarajućim zainteresiranim


57Preporuke za rad

stranama. Objava o narušavanju ne negira zahtjev da anga-žman provjere funkcija pod nadležnosti glavnog revizora treba nadgledati strana izvan interne revizije.



59Preporuke za rad



1200 – Stručnost i dužna

profesionalna pažnja

Angažmane treba provoditi stručno i uz dužnu profesionalnu pažnju.

Stručnost i dužna profesionalna pažnja

1. Stručnost i dužna profesionalna pažnja predstavljaju odgovor-nost glavnog revizora i svakog pojedinog internog revizora. Glavni revizor dužan je osigurati da osobe raspoređene na po-jedini zadatak kolektivno posjeduju potrebno znanje, vještine i ostale kompetencije za ispravno obavljanje angažmana.

2. Dužna profesionalna pažnja znači poštivanje Etičkog kodeksa i, prema potrebi, pravila ponašanja organizacije, kao i pravi-la ponašanja drugih stručnih titula koje interni revizori mogu posjedovati. Etički kodeks proteže se izvan definicije interne revizije i obuhvaća dva ključna elementa: • načela koja su važna za struku i provođenje interne revizije:

integritet, objektivnost, povjerljivost i stručnost • pravila postupanja koja opisuju standarde ponašanja koji se

očekuju od internih revizora. Ta pravila pomažu prenošenju načela u praktičnu primjenu, a namjena im je pružiti smjer-nice za etičko postupanje internih revizora.


61Preporuke za rad



1210 – Stručnost

Interni revizori moraju posjedovati znanje, vještine i ostale kompetencije potrebne za obavljanje individualnih odgovornosti. Interna revizija kolektivno mora posjedovati ili pribaviti znanje, vještine i ostale kompetencije potrebne za obavljanje svoje odgovornosti.

Tumačenje:

Znanje, vještine i ostale kompetencije podrazumijevaju skupni termin koji se odnosi na profesionalnu stručnost koja se traži od internih revizora radi učinkovitog obavljanja svojih profesionalnih odgovornosti. Interni revizori se potiču na dokazivanje svoje stručnosti stjecanjem odgovarajućih stručnih certifikata i kvalifikacija, poput titule ovlaštenog internog revizora i drugih titula koje dodjeljuje Institut internih revizora i druge odgovarajuće strukovne organizacije

Stručnost

1. Znanje, vještine i ostale kompetencije koje se spominju u stan-dardu uključuju: • stručnost u primjeni standarda interne revizije, postupaka i

tehnika prilikom obavljanja angažmana; stručnost znači spo-sobnost primjene znanja u vjerojatnim situacijama i rješava-nje istih, bez pribjegavanja opsežnom tehničkom istraživa-nju i pomoći

• od revizora koji mnogo rade s financijskim podacima i izvje-štajima zahtijeva se stručnost u računovodstvenim načelima i tehnikama

• znanje potrebno za prepoznavanje pokazatelja prijevare• poznavanje ključnih rizika vezanih uz informacijske tehno-

logije i kontrole te dostupnih revizijskih tehnika koje se te-melje na tehnologiji

• u svrhu prepoznavanja i procjene važnosti odstupanja od dobre poslovne prakse potrebno je razumijevanje načela upravljanja; razumijevanje znači sposobnost primjene sve-obuhvatna znanja u vjerojatnim situacijama, prepoznavanje značajnih odstupanja i sposobnost provođenja istraživanja potrebnih za pronalazak primjerenih rješenja

• potrebno je poznavanje osnovnih tema kao što su računo-vodstvo, ekonomija, trgovačko pravo, oporezivanje, financi-je, kvantitativne metode i informacijska tehnologija, uprav-ljanje rizicima i prijevara; razumijevanje znači sposobnost prepoznavanja problema ili mogućih problema, te određiva-nje daljnjeg istraživanja koje treba provesti ili pomoći koju treba angažirati


• vještine ponašanja s ljudima, dobro razumijevanje međuljud-skih odnosa i održavanje zadovoljavajuće veze s klijentima koji ih angažiraju.

• vještine u pisanoj i usmenoj komunikaciji kako bi jasno i učinkovito mogli prenijeti stvari koje se odnose na anga-žman kao što su ciljevi, procjene, zaključci i preporuke.

2. Glavni revizor treba utvrditi primjerene kriterije u pogledu obrazovanja i iskustva za popunjavanje radnih mjesta u inter-noj reviziji, uzimajući u obzir opseg posla i stupanj odgovor-nosti. Potrebno je pribaviti odgovarajuću potvrdu o kvalifika-ciji i stručnosti svakog potencijalnog revizora.

3. Interna revizija kolektivno mora posjedovati znanje i vje-štine potrebne za provođenje djelatnosti unutar organizaci-je. Potrebno je provoditi godišnju analizu znanja, vještina i drugih kompetencija u odjelu za internu reviziju kako bi se utvrdila područja koja zahtijevaju nadogradnju kroz kontinu-irani profesionalni razvoj, zapošljavanje ili model suradnje s klijentom.

4. Kontinuirani profesionalni razvoj potreban je za osiguranje stručnosti revizijskog osoblja.

5. Glavni revizor treba zatražiti pomoć od vanjskih stručnjaka izvan interne revizije u svrhu osiguranja podrške ili dopune područja u kojima djelatnost nije dovoljno stručna.



63Preporuke za rad



1210.A1 – Glavni revizor treba pribaviti odgovarajuću pomoć ili savjet ako osoblju interne revizije nedostaje znanje, vještina ili druge kompetencije potrebne za obavljanje cijelog ili dijela angažmana.

Angažiranje vanjskih pružatelja usluga za

potporu ili dopunu internoj reviziji

1. Svaki djelatnik u internoj reviziji ne mora biti kvalificiran u svim disciplinama. Interna revizija može imati zaposlenike ili koristiti vanjske pružatelje usluga koji su kvalificirani u disci-plinama poput računovodstva, revizije, ekonomije, financija, statistike, informatičke tehnologije, inženjerstva, oporeziva-nja, prava, zaštite okoliša i ostalim područjima koja su potreb-na za ispunjenje odgovornosti interne revizije.

2. Vanjski pružatelj usluga je osoba ili poduzeće, neovisna/neovi-sno o organizaciji, koja/koje posjeduje posebno znanje, vješti-nu i iskustvo u određenoj disciplini. Vanjski pružatelji usluga uključuju, među ostalima, aktuare, računovođe, procjenitelje, stručnjake za kulturu ili jezik, specijaliste za ekologiju, istra-žitelje prijevara, odvjetnike, inženjere, geologe, specijaliste za sigurnost, statističare, specijaliste za informacijsku tehnologi-ju, vanjske revizore organizacije i ostale revizorske organiza-cije. Vanjskog pružatelja usluga mogu angažirati odbor, viši menadžment ili glavni revizor.

3. Interna revizija može koristiti vanjske pružatelje usluga, među ostalim, u vezi sa sljedećim: • postizanjem ciljeva u programu rada angažmana• revizijskim aktivnostima koje zahtijevaju specijalizirane vje-

štine i znanja kao što su informacijska tehnologija, statistika, porezi ili jezični prijevodi

• procjenjivanjem imovine kao što su zemljište ili zgrade, umjetnička djela, drago kamenje, investicije i složeni finan-cijski instrumenti


• određivanjem količina ili fizičkog stanja određene imovine kao što su mineralne ili naftne rezerve

• mjerenjem dovršenih radova i radova u tijeku koji trebaju biti dovršeni temeljem ugovora

• istraživanjem prijevara i sigurnosti • određivanjem iznosa korištenjem specijaliziranih metoda

kao što je aktuarsko određivanje obveza za doprinose za za-poslenike

• tumačenjem pravnih, tehničkih i regulatornih zahtjeva • procjenom programa osiguranja kvalitete i unaprjeđenja in-

terne revizije u skladu sa Standardima• spajanjem i preuzimanjem• konzultacijama o upravljanju rizikom i drugim pitanjima.

4. Ukoliko glavni revizor namjerava koristiti i osloniti se na rad vanjskog pružatelja usluga, glavni revizor mora ocijeniti kompetentnost, neovisnost i objektivnost vanjskog pružatelja usluga s obzirom na povezanost s određenim zadatkom koji treba obaviti. Ovo je ocjenjivanje također potrebno kad vanj-skog pružatelja usluga odabere viši menadžment ili odbor, a glavni revizor namjerava koristiti ili se osloniti na rezultate posla vanjskog pružatelja usluga. Ukoliko odabir vrše drugi, a glavni revizor ocijeni da neće koristiti ili se oslanjati na posao vanjskog pružatelja usluga, rezultate ocjene treba priopćiti vi-šem menadžmentu ili odboru, prema potrebi.

5. Glavni revizor treba utvrditi posjeduje li vanjski pružatelj usluga potrebno znanje, vještine i ostale kompetencije za obavljanje angažmana. Prilikom ocjenjivanja kompetencija, glavni revizor u obzir mora uzeti:


65Preporuke za rad

• dokaz o kvalifikaciji, dozvolu ili drugu potvrdu kompetenci-je vanjskog pružatelja usluga u određenoj disciplini

• članstvo vanjskog pružatelja usluga u odgovarajućim struč-nim organizacijama i poštivanje etičkog kodeksa predmetne organizacije

• ugled vanjskog pružatelja usluga, što može uključivati kon-taktiranje s drugima koji su upoznati s radom vanjskog pru-žatelja usluga

• iskustvo vanjskog pružatelja usluga u vrsti posla koji mu se namjerava dodijeliti

• obrazovanje i osposobljavanje koje je prošao vanjski pružatelj usluga u disciplinama koje se odnose na određeni angažman

• znanje i iskustvo vanjskog pružatelja usluga u djelatnosti u kojoj organizacija posluje.

6. Glavni revizor mora ocijeniti odnos vanjskog pružatelja uslu-ga s organizacijom i internom revizijom kako bi osigurao ne-ovisnost i objektivnost tijekom cijelog angažmana. U davanju ocjene glavni revizor mora utvrditi da ne postoje financijski, organizacijski ili osobni odnosi koji bi spriječili vanjskog pru-žatelja usluga da donese nepristrane i objektivne sudove i mi-šljenja u obavljanju ili izvještavanju o angažmanu.

7. Prilikom ocjenjivanja neovisnosti i objektivnosti vanjskog pružatelja usluga, glavni revizor u obzir mora uzeti: • financijski interes koji vanjski pružatelj usluga može imati u

organizaciji • osobnu ili profesionalnu povezanost pružatelja s odborom,

višim menadžmentom ili ostalima u organizaciji • odnos koji je pružatelj možda imao s organizacijom ili aktiv-

nostima koje se kontroliraju



• opseg drugih usluga koje su u tijeku i koje pružatelj osigura-va organizaciji

• naknadu ili druge poticaje koje možda prima pružatelj.

8. Ako je vanjski pružatelj usluga ujedno vanjski revizor orga-nizacije, a priroda angažmana su proširene usluge revizije, glavni revizor mora utvrditi kako obavljeni posao ne narušava neovisnost vanjskog revizora. Proširene revizijske usluge od-nose se na one usluge izvan zahtjeva revizijskih standarda koje načelno prihvaćaju vanjski revizori. Ako se vanjski revizori organizacije ponašaju ili se čini da se ponašaju kao članovi višeg menadžmenta, uprave ili zaposlenici, tada je njihova ne-ovisnost narušena. Nadalje, vanjski revizori organizaciji mogu pružati i druge usluge, kao što su porezne ili konzultacijske usluge. Međutim, neovisnost treba procjenjivati u odnosu na puni raspon usluga koje se pružaju organizaciji.

9. Glavni revizor mora pribaviti dovoljno informacija o opsegu posla vanjskog pružatelja usluga. To je potrebno kako bi se potvrdilo da je opseg posla prikladan za potrebe interne revizi-je. Bilo bi korisno da se ta i slična pitanja zabilježe u pismu o preuzimanju obveze ili ugovoru. S tim ciljem, glavni revizor s vanjskim pružateljem usluga treba provjeriti: • ciljeve i opseg posla, uključujući očekivane rezultate i vre-

menske okvire• određena pitanja za koja se očekuje da će biti obuhvaćena

priopćenjima u sklopu angažmana • pristup potrebnim evidencijama, osoblju i materijalnoj imovini• informacije o pretpostavkama i postupcima koje treba koristiti • prema potrebi, vlasništvu i čuvanju radnih spisa o angažmanu


67Preporuke za rad

• povjerljivost i ograničenja u pogledu informacija koje su prikupljene tijekom angažmana

• prema potrebi, pridržavanje Standarda IIA-e i standarda odjela za internu reviziju koji se odnose na radnu praksu.

10. Prilikom kontrole posla vanjskog pružatelja usluga, glavni re-vizor treba ocijeniti adekvatnost obavljena posla. Takva ocje-na uključuje dostatnost prikupljenih informacija koje daju ra-zumnu osnovu za donošenje zaključaka i rješavanje značajnih iznimaka ili drugih neobičnih stvari.

11. Kada glavni revizor preda priopćenja o angažmanu, a korište-ne su usluge vanjskog pružatelja, glavni revizor može, prema potrebi, navesti takve pružene usluge. Vanjski pružatelj usluga o tome treba biti obaviješten i, prema potrebi, dati suglasnost prije nego se takav navod uvrsti u priopćenje o angažmanu



69Preporuke za rad



12202 – Dužna profesionalna

pažnja

Interni revizori moraju postupati s pozornošću i vještinom koja se očekuje od razboritog i stručnog internog revizora. Dužna stručna pažnja ne podrazumijeva nepogrešivost.

Dužna profesionalna pažnja

1. Dužna profesionalna pažnja zahtijeva pozornost i vještinu raz-boritog i stručnog internog revizora u istim ili sličnim okol-nostima. Dakle, profesionalna pažnja mora biti primjerena složenosti angažmana. Prilikom postupanja s dužnom profe-sionalnom pažnjom, interni revizori moraju obratiti pozor-nost na prijevaru, namjerno protupravno postupanje, greške i propuste, neučinkovitost, uništavanje, nedjelotvornost i suko-be interesa. Također moraju obratiti pozornost na one uvjete i radnje koje su najizglednije za pojavu nepravilnosti. Osim toga, trebaju utvrditi neodgovarajuće kontrole i preporučiti poboljšanja u svrhu unaprjeđenja poštivanja prihvatljivih po-stupaka i prakse.

2. Dužna pažnja podrazumijeva odgovarajuću brigu i stručnost, ne nepogrešivost ili izvanredan učinak. Dužna pažnja zahtije-va od revizora provođenje ispitivanja i provjere u razumnom opsegu. U skladu s tim, interni revizori ne mogu dati potpu-nu potvrdu da ne postoje neusklađenosti ili nepravilnosti. No, ipak, mogućnost značajnih nepravilnosti ili neusklađenosti tre-ba uzeti u obzir kada interni revizor provodi internu reviziju.


71Preporuke za rad



1230 – Kontinuirani

profesionalni razvoj

Interni revizori moraju unaprjeđivati svoje znanje, vještine i ostale kompetencije kroz kontinuiran profesionalni razvoj.

Kontinuirani profesionalni razvoj

1. Interni revizori odgovorni su za svoje kontinuirano obrazo-vanje kako bi zadržali stručnost. Trebaju se informirati o po-boljšanjima i razvoju u standardima, postupcima i tehnikama interne revizije, uključujući i smjernice Međunarodnog okvi-ra profesionalnog djelovanja IIA-e. Trajna izobrazba može se postići članstvom, sudjelovanjem i volontiranjem u stručnim udruženjima poput IIA-e; sudjelovanjem na konferencijama, seminarima, tečajevima na fakultetima i programima izobraz-be na radnom mjestu, kao i sudjelovanjem u istraživačkim projektima.

2. Interni revizori potiču se u dokazivanju stručnosti dobivanjem odgovarajućeg dokaza o kvalifikaciji, kao što je zvanje ovla-štenog internog revizora, te drugih zvanja koje daje Institut in-ternih revizora (IIA), kao i dodatnih zvanja vezanih uz internu reviziju.

3. Interni revizori se potiču na neprekidno stručno usavršavanje (vezano uz aktivnosti i djelatnost svoje organizacije) kako bi zadržali stručnost što se tiče korporativnog upravljanja, rizika i kontrolnih procesa svoje organizacije.

4. Interni revizori koji obavljaju specijalizirane revizijske i sa-vjetodavne poslove - poput informacijske tehnologije, poreza, aktuarskih poslova ili dizajna sustava - mogu započeti specija-liziranu kontinuiranu profesionalnu izobrazbu, kako bi mogli stručno obavljati specifični posao interne revizije.

5. Interni revizori koji imaju potvrdu o kvalifikaciji trebaju se i dalje usavršavati u dovoljnoj mjeri da zadovolje uvjete potvr-de o kvalifikaciji koju imaju.


6. Interni revizori koji trenutačno ne posjeduju odgovarajuće po-tvrde potiču se da upišu jedan od programa izobrazbe i/ili in-dividualni studij u svrhu dobivanja potvrde o stručnosti.



73Preporuke za rad



1300 – Program osiguranja

kvalitete i unaprjeđenja

Glavni revizor mora uspostaviti i održavati program osiguranja kvalitete i unaprjeđenja koji obuhvaća sve aspekte interne revizije.

Tumačenje:

Program osiguranja kvalitete i unaprjeđenja dizajniran je tako da omogućava procjenu usklađenosti aktivnosti interne revizije s Definicijom interne revizije i Standardima te procjenu primjene Etičkog kodeksa od strane internih revizora. Program također služi za procjenu učinkovitosti interne revizije i pronalaženje mogućnosti za unaprjeđenje.

Program osiguranja kvalitete i unaprjeđenja

1. Glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Standarda i Definicije interne revizije. Kako bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja.

2. Glavni revizor odgovoran je za provedbu postupaka koji tre-baju dati odgovarajuće jamstvo različitim zainteresiranim stra-nama interne revizije da ona: • postupa u skladu s poveljom, koja mora biti sukladna

Definiciji interne revizije, Etičkom kodeksu i Standardima• posluje na učinkovit i djelotvoran način• djeluje na način da je zainteresirane strane percipiraju kao

da dodaje vrijednost i unaprjeđuje poslovanje organizacije.

3. Program osiguranja kvalitete i unaprjeđenja mora biti dovolj-no obuhvatan da uključuje sve aspekte djelovanja i upravljanja internom revizijom, kao što je utvrđeno u Definiciji interne revizije, Etičkom kodeksu, Standardima i najboljoj praksi. Program osiguranja kvalitete i unaprjeđenja treba provoditi glavni revizor ili mora biti pod njegovim izravnim nadzorom. Osim u manjim aktivnostima interne revizije, glavni revizor obično prenosi većinu odgovornosti u sklopu programa osi-guranja kvalitete i unaprjeđenja na podređene zaposlenike. U velikim ili složenim okruženjima (na primjer, brojne poslovne jedinice i/ili lokacije) glavni revizor mora uspostaviti formal-nu funkciju programa osiguranja kvalitete i unaprjeđenja koja je neovisna u pogledu segmenata revizije i savjetovanja dje-latnosti interne revizije. Na čelu takve neovisne funkcije treba


biti rukovoditelj revizor. Takav rukovoditelj (i ograničen broj osoblja) upravlja i prati aktivnosti potrebne za uspješan pro-gram osiguranja kvalitete i unaprjeđenja.



75Preporuke za rad



1310 – Zahtjevi za program

osiguranja kvalitete i

unaprjeđenja

- program osiguranja kvalitete i unaprjeđenja mora uključivati i interno i eksterno vrednovanje.

Zahtjevi za program osiguranja kvalitete i

unaprjeđenja

1. Program osiguranja kvalitete i unaprjeđenja je stalno i po-vremeno vrednovanje cijelog spektra revizije i savjetovanja koje obavlja interna revizija. Ta stalna i povremena vredno-vanja uključuju stroge, sveobuhvatne postupke, stalni nadzor i testiranje interne revizije i savjetodavnog angažmana, po-vremene potvrde usklađenosti s Definicijom interne revizije, Etičkim kodeksom i Standardima. To također uključuje stalna mjerenja i analize mjerenja izvedbe (npr. postignuća vezana uz plan interne revizije, vrijeme ciklusa, prihvaćene preporuke te zadovoljstvo klijenata). Ako rezultati vrednovanja upućuju na područja koja bi interna revizija mogla unaprijediti, glavni revizor će provesti unaprjeđenje kroz program osiguranja kva-litete i unaprjeđenja.

2. U procjenjivanju treba ocijeniti i donijeti zaključak o kvaliteti interne revizije i dati preporuke za odgovarajuća poboljšanja. Ocjenjivanje programa kvalitete treba obuhvatiti procjenu:• sukladnosti s Definicijom interne revizije, Etičkim kodek-

som i Standardima, uključujući pravovremene korektivne radnje za ispravljanje bilo kakvih značajnih neusklađenosti

• adekvatnosti povelje o internoj reviziji, ciljeva, politika i po-stupaka

• doprinos korporativnom upravljanju , upravljanju rizikom i kontrolnim procesima

• sukladnost s mjerodavnim zakonima, propisima, i standardi-ma države ili djelatnosti


• učinkovitost stalnih aktivnosti na unaprjeđenju i usvajanju najbolje prakse

• mjere u kojoj interna revizija dodaje vrijednost te unaprjeđu-je poslovanje organizacije.

3. Nastojanja programa osiguranja kvalitete i unaprjeđenja treba-ju uključivati primjereno i pravovremeno prilagođavanje sred-stava, tehnologije, procesa i postupaka.

4. Kako bi se osigurala odgovornost i transparentnost, glav-ni revizor treba priopćiti rezultate vanjskog i, prema potrebi, internog vrednovanja različitim zainteresiranim stranama u djelatnosti, kao što su viši menadžment, odbor i vanjski revi-zori. Glavni revizor najmanje jedanput godišnje izvještava viši menadžment i odbor o nastojanjima i rezultatima programa kvalitete.



77Preporuke za rad



1311 – Interno vrednovanje

Interno vrednovanje mora obuhvatiti:

• stalne kontrole radnog učinka interne revizije

• povremene kontrole koje se provode putem samoprocjene ili procjene drugih osoba unutar organizacije koje su upoznate s postupcima interne revizije.

Tumačenje:

Stalna kontrola je sastavni dio svakodnevnog nadzora, pregleda i mjerenja aktivnosti interne revizije. Stalna kontrola je integrirana u rutinsku politiku i praksu upravljanja internom revizijom te koristi procese, alate i informacije koji se smatraju potrebnim za procjenu usklađenosti s Definicijom interne revizije, Etičkim kodeksom i Standardima.

Povremene kontrole su vrednovanja koja se provode sa svrhom procjene usklađenosti s Definicijom interne revizije, Etičkim kodeksom i Standardima.

Interno vrednovanje

1. Procesi i alati koji se koriste u stalnom internom vrednovanju uključuju:• nadzor angažmana • pridržavanje kontrolnih listi i postupaka (npr. u priručniku o

reviziji i postupanju) • povratne informacije korisnika revizije i ostalih zainteresira-

nih strana • selektivne ocjene radne dokumentacije od strane kolega koji

ne sudjeluju u dotičnim revizijama• proračune za projekte, sustave za kontrolu radnog vremena,

dovršetak plana revizije, povrat troškova, i/ili• analize ostalih pokazatelja učinkovitosti (uspješnosti) (kao

što su vrijeme ciklusa i prihvaćene preporuke). 2. Zaključci se trebaju sastaviti u odnosu na kvalitetu trenutač-

nog poslovnog učinka, a treba poduzeti radnje praćenja kako bi se osigurala provedba odgovarajućih poboljšanja.

3. Priručnik za ocjenu kvalitete IIA-a, ili skup usporedivih smjer-nica i alata, treba se koristiti kao osnova za povremeno interno vrednovanje.

4. Povremena vrednovanja mogu: • uključivati više temeljitih razgovora i anketiranje skupina

zainteresiranih strana• provoditi članovi interne revizije (samoprocjena) • provoditi ovlašteni interni revizori ili drugi kompetentni

stručnjaci za reviziju koji su u tom trenutku raspoređeni na drugo mjesto u organizaciji

• obuhvaćati kombinaciju samoprocjene i pripreme materijala koje kasnije kontroliraju ovlašteni interni revizori ili drugi kompetentni stručnjaci za reviziju Nastavak na idućoj stranici


• uključivati utvrđivanje najbolje prakse interne revizije i određivanje pokazatelja izvedbe u usporedbi s relevantnim najboljim praksama djelatnosti interne revizije.

5. Povremeno interno vrednovanje provedeno kratko vrijeme prije eksternog vrednovanja može olakšati i smanjiti trošak eksternog vrednovanja. Ako povremeno interno vrednovanje obavlja kvalificiran, neovisan vanjski ocjenjivač ili ocjenji-vački tim, rezultati vrednovanja ne bi trebali prenositi nikakva uvjerenja o ishodu kasnijeg eksternog vrednovanja kvalitete. U izvješću se mogu nalaziti prijedlozi i preporuke za unapr-jeđenje prakse interne revizije. Ako se eksterno vrednovanje provodi u obliku „samoprocjene s nezavisnom ocjenom“, po-vremeno interno vrednovanje može poslužiti kao samoprocje-na u sklopu tog postupka.

6. Zaključci moraju biti doneseni s obzirom na kvalitetu učinka i primjerene radnje koje su poduzete u svrhu unaprjeđenja i poštivanja Standarda, ukoliko je to potrebno.

7. Glavni revizor treba odrediti strukturu za izvještavanje o re-zultatima eksternog vrednovanja koja zadržava primjerenu vjerodostojnost i objektivnost. U načelu, osobe kojima je do-dijeljena odgovornost za stalne i povremene kontrole treba-ju podnositi izvještaj glavnom revizoru za vrijeme provođe-nja kontrole, a rezultate trebaju priopćavati izravno glavnom revizoru.

8. Glavni revizor mora priopćiti rezultate internog vrednovanja, potrebnih akcijskih planova i njihove uspješne provedbe vi-šem menadžmentu i odboru najmanje jednom godišnje.


Dostatno poznavanje prakse interne revizije zahtijeva u najmanju ruku razumijevanje svih elemenata Međunarodnog okvira profesionalnog djelovanja.

Tumačenje, nastavak


79Preporuke za rad



1312 – Eksterno vrednovanje

Eksterno vrednovanje treba provoditi barem jednom svakih pet godina kvalificirani, neovisni ocjenjivač ili ocjenjivački tim izvan organizacije. Glavni revizor i odbor moraju raspraviti:

• potrebu za učestalijim eksternim vrednovanjem

• o kvalifikacijama i neovisnosti eksternog ocjenjivača ili ocjenjivačkog tima, uključujući bilo kakav mogući sukob interesa.

Tumačenje:

Kvalificirani ocjenjivač ili ocjenjivački tim sastoji se od pojedinaca ovlaštenih za profesionalno obavljanje interne revizije i postupak eksternog vrednovanja. Procjena stručnosti ocjenjivača i ocjenjivačkog tima je prosudba kod koje se uzima u obzir profesionalno iskustvo u internoj reviziji i stručne kvalifikacije pojedinaca koji su odabrani za davanje ocjene. Kod vrednovanja kvalifikacija također se uzima

Eksterno vrednovanje

1. Eksterno vrednovanje obuhvaća cijeli raspon revizijskih i sa-vjetodavnih poslova koje obavlja interna revizija i ne bi tre-balo biti ograničeno na ocjenjivanje njezina programa za osi-guranje kvalitete i unaprjeđenje. Za postizanje maksimalne koristi eksternog vrednovanja, opseg posla trebao bi uključi-vati određivanje najbolje prakse, utvrđivanje i izvještavanje o vodećim praksama koje bi mogle pomoći internoj reviziji da postane učinkovitija i/ili djelotvornija. To se može postići ili putem potpunog eksternog vrednovanja od strane kvalificira-nog, neovisnog eksternog ocjenjivača ili ocjenjivačkog tima ili sveobuhvatne eksterne samoprocjene s nezavisnom ocje-nom od strane kvalificiranog, neovisnog eksternog ocjenjivača ili ocjenjivačkog tima. Bez obzira na to, glavni revizor treba osigurati da opseg u svakom slučaju jasno navodi očekivane rezultate eksternog vrednovanja.

2. Eksterno vrednovanje interne revizije uključuje izneseno mi-šljenje vezano uz raspon provjere i konzultacija koje su obav-ljene (ili koje su trebale biti obavljene na temelju povelje o internoj reviziji) od strane interne revizije, uključujući pošti-vanje Definicije interne revizije, Etičkog kodeksa i Standarda a, prema potrebi, uključuje i preporuke za unaprjeđenje. Osim poštivanja Definicije interne revizije, Etičkog kodeksa i Standarda, opseg vrednovanja je prilagođen odluci glavnog re-vizora, višeg menadžmenta i odbora. Takvo vrednovanje može imati značajnu vrijednost za glavnog revizora i ostale članove interne revizije, posebno kada se dijele benchmarking i najbo-lje prakse.

Nastavak na idućoj stranici


3. Po završetku kontrole, formalna priopćenja treba predati vi-šem menadžmentu i odboru.

4. Dva su pristupa eksternom vrednovanju. Prvi pristup je pot-puno eksterno vrednovanje koje provodi kvalificiran eksterni ocjenjivač ili ocjenjivački tim. Ovaj pristup uključuje eksterni tim kompetentnih stručnjaka pod vodstvom iskusnog i profesi-onalnog voditelja projekta. Drugi pristup uključuje korištenje kvalificiranog, neovisnog eksternog ocjenjivača ili ocjenjivač-kog tima koji provodi neovisne provjere interne samoprocjene i izvješća koje je izradila interna revizija. Neovisni eksterni ocjenjivači trebali bi biti vrlo iskusni u vođenju postupaka in-terne revizije.

5. Osobe koja preuzmu eksterno vrednovanje ne smiju imati ob-veze ili interese u organizaciji čija je interna revizija objekt eksternog vrednovanja ili prema osoblju u takvoj organizaciji. Pojedini aspekti koji se odnose na neovisnost, a koje glavni revizor treba uzeti u obzir prilikom konzultacija s odborom prilikom odabira kvalificiranog, neovisnog eksternog ocjenji-vača ili ocjenjivačkog tima, uključuju sljedeće: • stvarni ili prividni sukob interesa tvrtki koje pružaju usluge:

- eksterne revizije financijskih izvještaja- važne konzultacijske usluge u području korporativnog

upravljanja, upravljanja rizicima, financijskog izvještava-nja, interne kontrole i drugih povezanih područja

- pomoć aktivnosti interne revizije; važnost i opseg posla koji obavlja stručni pružatelj usluge treba se pomno raz-motriti

• stvarni ili prividni sukob interesa bivših zaposlenika organi-zacije koji bi obavljali vrednovanje; treba razmotriti koliko je dugo pojedinac neovisan o organizaciji


u obzir veličina i kompleksnost organizacija s kojima su ocjenjivači povezani, vezano uz organizaciju za koju se aktivnost interne revizije vrednuje, kao i potreba za znanjem o određenom sektoru, djelatnosti ili za tehničkim znanjem.

Neovisan ocjenjivač ili ocjenjivački tim podrazumijevaju da nema niti stvarnih niti prividnih sukoba interesa te da nisu dio ili da nisu pod kontrolom organizacije kojoj interna revizija pripada.


81Preporuke za rad

• pojedinci koji provode takva vrednovanja moraju biti neo-visni u odnosu na organizaciju čija je interna revizija objekt ocjenjivanja i ne smiju imati stvaran ili prividan sukob inte-resa; „neovisan u odnosu na organizaciju“ znači da nije dio ili pod kontrolom organizacije kojoj pripada interna revizija; prilikom odabira kvalificiranog, neovisnog eksternog ocje-njivača u obzir treba uzeti moguć stvaran ili navodni sukob interesa koji ocjenjivač može imati zbog sadašnjih ili proš-lih odnosa s organizacijom ili njezinom internom revizijom, uključujući sudjelovanje ocjenjivača u internom ocjenjivanju kvalitete

• osobe koje su u drugom odjelu predmetne organizacije ili u povezanoj organizaciji, iako ustrojstveno odvojene od in-terne revizije, ne smatraju se neovisnima za potrebe provo-đenja eksternog vrednovanja; „povezana organizacija“ može biti matično društvo, podružnica u istoj skupini subjekata, ili subjekt koji ima redovitu nadležnost za nadzor, nadgledanje ili osiguranje kvalitete u odnosu na predmetnu organizaciju

• stvarni ili prividni sukob unutar kontrole između kolega; uzajamne stručne revizije između tri ili više organizacija (npr. unutar neke djelatnosti ili druge srodne skupine, regi-onalne udruge ili druge skupine organizacija – osim defini-cije „povezane organizacije“ iz prethodne točke) mogu biti strukturirane na način koji smanjuje zabrinutost u pogledu neovisnosti, ali mora se voditi briga da ne dođe do problema neovisnosti; uzajamne stručne revizije između dvije organi-zacije ne mogu proći test neovisnosti

• kako bi se riješile brige u pogledu prividnog ili stvarnog na-rušavanja neovisnosti u slučajevima o kojima se govori u ovom stavku, jedna ili više neovisnih osoba može biti dio eksternog ocjenjivačkog tima koji bi bio angažiran kako bi neovisno potvrdio posao eksternog ocjenjivačkog tima.



6. Integritet zahtijeva od ocjenjivača da budu pošteni i iskreni unutar ograničenja povjerljivosti. Služba i javno povjerenje ne smiju biti podređeni osobnom probitku i koristi. Objektivnost je svjetonazor i kvaliteta koja daje vrijednost uslugama ocje-njivača. Načelo objektivnosti nameće obvezu nepristranosti, poštenja i izostanka sukoba interesa.

7. Obavljanje eksternog vrednovanja i priopćavanje rezultata za-htijeva stručno mišljenje. U skladu s tim, osoba koja radi kao eksterni ocjenjivač mora: • biti kompetentan, ovlašten stručnjak za reviziju koji posje-

duje aktualno i temeljito znanje o Standardima • biti dobro upoznat s najboljom praksom struke • imati barem tri godine aktualnog iskustva u struci interne re-

vizije ili sličnim konzultacijama na rukovodećoj razini.

Voditelji neovisnih skupina za eksterno ocjenjivanje i ekster-ni ocjenjivači koje neovisno ocjenjuju rezultate samoprocjene trebali bi posjedovati dodatnu razinu stručnosti i iskustva, po-put onoga koje se stječe od prethodna rada u skupini za eks-terno vrednovanje kvalitete, uspješan dovršetak tečaja IIA-e o ocjenjivanju kvalitete ili sličnog tečaja, te iskustvo glav-nog revizora ili slično iskustvo u višem menadžmentu interne revizije.

8. Ocjenjivač(i) bi trebao(li) posjedovati relevantno tehničko znanje i iskustvo u djelatnosti. Osobe koje posjeduju stručno znanje u drugim specijaliziranim područjima mogu pružati po-moć ocjenjivačkoj skupini. Na primjer, specijalisti za uprav-ljanje rizikom u poduzećima, IT reviziju, statističko uzorko-vanje, sustave za nadzor posla ili kontrolu samoprocjenjivanja mogu sudjelovati u određenim segmentima kontrole.


83Preporuke za rad

9. Glavni revizor mora uključiti viši menadžment i odbor u po-stupak utvrđivanja pristupa i odabir eksternog ocjenjivača.

10. Eksterno vrednovanje treba obuhvatiti širok raspon koji uklju-čuje sljedeće elemente interne revizije: • poštivanje Definicije interne revizije, Etičkog kodeksa i

Standarda, kao i povelje o internoj reviziji, planove, poli-tike, postupke, praksu i mjerodavne zakonske i regulatorne zahtjeve

• očekivanja odbora, kao i višeg i nižeg menadžmenta u odno-su na internu reviziju

• integriranje interne revizije u upravljački proces u organiza-ciji, uključujući odnose među ključnim skupinama koje su-djeluju u tom procesu

• alate i tehnike koje koristi interna revizija • mješavinu znanja, iskustva i discipline među osobljem, uklju-čujući usredotočenost osoblja na unaprjeđenje postupka

• odluku o tome dodaje li ili ne revizija vrijednost i unaprje-đuje li poslovanje organizacije.

11. Preliminarne rezultate pregleda treba raspraviti s glavnim re-vizorom tijekom i na kraju postupka vrednovanja. Konačni rezultati moraju se priopćiti glavnom revizoru ili drugom duž-nosniku koji je ovlastio kontrolu u ime organizacije, a kopiju treba poslati odgovarajućim članovima višeg menadžmenta i odbora.

12. Priopćenje treba sadržavati sljedeće: • Mišljenje o poštivanju Definicije interne revizije, Etičkog

kodeksa i Standarda od strane interne revizije na osnovu strukturirana postupka ocjenjivanja. Pojam „poštivanje“ zna-či da postupanje interne revizije u cjelini ispunjava zahtjeve



Definicije interne revizije, Etičkog kodeksa i Standarda. Slično tome, „nepoštivanje“ znači da su utjecaj i ozbiljnost nedostataka u postupcima interne revizije toliko značajni da narušavaju sposobnost interne revizije pri obavljanju svojih dužnosti. Stupanj „djelomičnog poštivanja“ Definicije inter-ne revizije, Etičkog kodeksa i pojedinih standarda, ukoliko je važan za cjelokupno mišljenje, treba također navesti u iz-vještaju o neovisnoj ocjeni. Formulacija mišljenja o rezul-tatima eksternog ocjenjivanja zahtijeva primjenu ispravnog poslovnog suda, integriteta i dužne profesionalne pažnje.

• Ocjenu i vrednovanje korištenja najbolje prakse, kako onih koje su uočene tijekom ocjenjivanja, tako i drugih koje su potencijalno primjenjive na djelatnost.

• Preporuke za unaprjeđenje, prema potrebi. • Odgovore glavnog revizora koji uključuju akcijski plan i ro-

kove provedbe.

13. Kako bi osigurao odgovorno postupanje i transparentnost, glavni revizor mora priopćiti rezultate eksternog vrednovanja kvalitete višem menadžmentu i eksternim revizorima, kao i detalje o planiranim korektivnim radnjama za važna pitanja i naknadne informacije o ostvarenju tih planiranih radnji s razli-čitim zainteresiranim stranama u aktivnosti revizije.



85Preporuke za rad



1312– Eksterno vrednovanje

Barem jednom u pet godina eksterno vrednovanje treba provesti kvalificiran, neovisan ocjenjivač ili ocjenjivački tim izvan organizacije. Glavni revizor i odbor trebaju raspraviti:

• potrebu za učestalijim eksternim vrednovanjem,

• kvalifikacijama i neovisnosti eksternog ocjenjivača ili ocjenjivačkog tima, uključujući mogući sukob interesa.

Tumačenje:

Kvalificirani ocjenjivač ili ocjenjivački tim sastoji se od pojedinaca ovlaštenih za stručno obavljanje interne revizije i proces interne revizije. Vrednovanje stručnosti ocjenjivača i ocjenjivačkog tima je prosudba kod koje se uzima u obzir profesionalno iskustvo interne revizije i stručne kvalifikacije pojedinaca koji su odabrani za davanje ocjene.

Kod vrednovanja kvalifikacija također se uzima u obzir veličina i kompleksnost organizacija s

Nastavak na idućoj stranici

Eksterna vrednovanja: Samoprocjena s

nezavisnom ocjenom

1. Eksterno vrednovanje od strane kvalificiranog, neovisnog ocjenjivača ili ocjenjivačkog tima može biti problematično za manje aktivnosti interne revizije ili mogu postojati okolnosti u drugim organizacijama gdje se sveobuhvatno eksterno vred-novanje od strane neovisnog tima ne smatra primjerenim ili potrebnim. Npr. aktivnost interne revizije može: (a) u industri-ji biti predmetom opsežne regulacije i/ili nadzora, (b) biti na drugi način predmetom opsežnog eksternog nadzora i propisa vezanih uz upravljanje i interne kontrole, (c) nedavno pred-metom vanjskog/ih vrednovanja i/ili savjetodavnih usluga u okviru kojih se izvršilo opsežno sustavno vrednovanje (ben-chmarking) s najboljim praksama, ili (d) su prema procjeni glavnog revizora prednosti samoprocjene za razvoj osoblja i snaga programa za interno osiguranje kvalitete i unaprjeđenje trenutačno veće od prednosti vrednovanja kvalitete od strane eksternog tima.

2. Samoprocjena s nezavisnom (eksternom) ocjenom obuhvaća sljedeće:• sveobuhvatan i u potpunosti dokumentiran proces samo-

procjene, koji bi trebao oponašati proces eksterne procjene, barem u odnosu na vrednovanje usklađenosti s Definicijom interne revizije, Etičkim kodeksom i Standardima

• nezavisnu izravnu procjenu od strane kvalificiranog nezavi-snog revizora

• uštedu vremena i resursa – na primjer, primarni fokus bio bi na usklađenosti sa standardima



kojima su ocjenjivači povezani, vezano uz organizaciju za koju se aktivnost interne revizije vrednuje, kao i potreba za znanjem o određenom sektoru, industriji ili za tehničkim znanjem.

Neovisni ocjenjivač ili ocjenjivački tim ne smije imati ni stvaran ni očit sukob interesa te ne smije biti dio ili pod kontrolom organizacije kojoj pripadaju aktivnosti interne revizije.

Ipak, informacije koje proizlaze iz tih dijelova vrednovanja su neke od prednosti eksternog vrednovanja.

3. Na samoprocjenu s nezavisnom ocjenom primjenjuju se smjer-nice i kriteriji popisani u Preporukama za rad 1312-1.

4. Tim pod vodstvom direktora revizije (CAE) provodi i u pot-punosti dokumentira proces samoprocjene. Izrađuje se na-crt izvješća sličan izvješću eksternog vrednovanja, a uklju-čuje procjenu glavnog revizora, vezano uz usklađenost sa Standardima.

5. Kvalificirani nezavisni ocjenjivač ili ocjenjivački tim provodi dostatno testiranje samoprocjene kako bi potvrdio rezultate i izrazio mišljenje o naznačenoj razini sukladnosti aktivnosti s Definicijom interne revizije, Etičkim kodeksom i Standardima. Nezavisno vrednovanje treba izvršavati u skladu s procesom opisanim u Priručniku za ocjenu kvalitete Instituta internih re-vizora ili sličnim sveobuhvatnim procesom.

6. Kao dio nezavisne procjene, nezavisni eksterni ocjenji-vač po dovršetku stroge revizije vrednovanja usklađenosti s Definicijom interne revizije, Etičkim kodeksom i Standardima, koje provodi tim za samoprocjenu, čini sljedeće:• mijenja nacrt izvješća i pokušava riješiti eventualna nerije-

šena pitanja • u svojoj procjeni usklađenosti s Definicijom interne revizi-

je, Etičkim kodeksom i Standardima nezavisni ocjenjivač može, ukoliko je potrebno, dodati tekst koji se podudara s postupkom i mišljenjem samoprocjene, u adekvatnom opse-gu, u tekstu nalaza izvješća, zaključcima i preporukama

• u slučaju nepodudarnosti s procjenom, nezavisni ocjenjivač treba dodati tekst u kojem postoji nesuglasje s izvješćem te


87Preporuke za rad

navesti nesuglasne dijelove, zajedno s važnim nalazima, za-ključcima i preporukama

• umjesto toga, nezavisni ocjenjivač može pripremiti posebno nezavisno izvješće o valjanosti, u kojem iznosi svoje slaga-nje ili neslaganje, kao dodatak izvješću o samoprocjeni.

7. Završno (završna) izvješće (izvješća) o samoprocjeni s nezavi-snom ocjenom treba biti potpisano od strane radne skupine za samoprocjenu (kvalificiranog/ih nezavisnog/ih eksternog/ih) te od strane glavnog revizora i podneseno višem menadžmentu i odboru.

8. Kako bi se osigurala odgovornost i transparentnost, glavni re-vizor treba priopćiti rezultate eksternog vrednovanja kvalite-te, uključujući detalje planiranih dopunskih pothvata za važna pitanja i sukladno tome informacije o izvršavanju spomenu-tih planiranih pothvata, različitim zainteresiranim stranama u djelatnosti, kao što su viši menadžment, odbor i eksterni revizori.



89Preporuke za rad



1321- Uporaba fraze

„Provedeno u skladu s

Međunarodnim standardima

za stručnu provedbu interne

revizije“

Glavni revizor može navesti da je aktivnost interne revizije provedena u skladu s Međunarodnim standardima za stručnu provedbu interne revizije ako rezultati programa osiguranja kvalitete i unaprjeđenja mogu potkrijepiti takvu izjavu.

Uporaba fraze „Provedeno u skladu s

Međunarodnim standardima za stručnu

provedbu interne revizije“

1. Kontinuirano nadziranje, kao i vanjsko i interno vrednovanje aktivnosti interne revizije, treba se provoditi radi ocjene i izra-žavanja mišljenja o usklađenosti aktivnosti interne revizije s Definicijom interne revizije, Etičkim kodeksom i Standardima te u odgovarajućem opsegu treba sadržavati i preporuke za unaprjeđenje.

2. Može se koristiti fraza „usklađeno sa Standardima“ ili „u skladu sa Standardima“. Uporaba fraze o usklađenosti zahti-jeva eksterno vrednovanje barem jednom tijekom petogodiš-njeg razdoblja, zajedno s kontinuiranim nadziranjem i povre-menim internim vrednovanjima kojima je zaključeno da je aktivnost interne revizije obavljena u skladu s Definicijom interne revizije, Etičkim kodeksom i Standardima. Nije pri-kladno upotrebljavati frazu o usklađenosti prije nego što se eksternim vrednovanjem pokaže usklađenost aktivnosti inter-ne revizije s Definicijom interne revizije, Etičkim kodeksom i Standardima.

3. Glavni revizor obavezan je obavijestiti viši menadžment i od-bor o primjerima neusklađenosti koji utječu na cjelokupan op-seg djelovanja interne revizije te o činjenici da se u petogodiš-njem razdoblju nije provelo eksterno vrednovanje.

4. Prije nego interna revizija upotrijebi frazu o usklađenosti, svaki primjer neusklađenosti koji je otkriven prilikom (in-ternog ili vanjskog) vrednovanja kvalitete,a koji umanjuje sposobnosti interne revizije za izvršavanje svojih dužnosti,


treba biti ispravljen na odgovarajući način. Sljedeće je prijeko potrebno:• mjere za poboljšanje potrebno je dokumentirati i prijaviti

nadležnom procjenitelju (procjeniteljima) kako bi se ustano-vilo da je primjer neusklađenosti adekvatno ispravljen

• o mjerama za poboljšanje i suglasnosti nadležnog procjenite-lja s istima potrebno je izvijestiti viši menadžment i odbor.



91Preporuke za rad



2010- Planiranje

Glavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koji su dosljedni ciljevima organizacije.

Tumačenje:

Glavni revizor je odgovoran za izradu plana na temelju procjene rizika. Glavni revizor uzima u obzir okvir organizacije za upravljanje rizicima, uključujući i razine spremnosti na rizik koje menadžment određuje za različite aktivnosti ili dijelove organizacije. Ako takav okvir ne postoji, glavni revizor koristi svoju prosudbu rizika nakon konzultiranja s višim menadžmentom i odborom.

Priručnik: GTAG 11 – Izrada IT plana revizije

Povezivanje plana revizije s rizikom i

izloženostima

1. Prilikom izrade plana revizije za aktivnosti interne revizije mnogi glavni revizori smatraju korisnim ako se najprije izra-di ili ažurira popis svih potencijalnih revizija (audit universe). Kod predmetnog popisa radi se o popisu svih mogućih revizija koje se mogu provesti. Glavni revizor može primiti podatke o popisu svi potencijalnih revizija od višeg menadžmenta i odbora.

2. Popis svih potencijalnih revizija može uključivati komponente iz strateškog plana organizacije. Inkorporiranjem komponen-ti strateškog plana organizacije, popis svih potencijalnih re-vizija će uključivati i odražavati cjelokupne poslovne ciljeve. Strateški planovi obično su dobar pokazatelj stava koji je or-ganizacija zauzela u odnosu na rizike i stupanj težine u posti-zanju planiranih ciljeva. Na popis svih potencijalnih revizija uobičajeno će utjecati i rezultati procesa upravljanja rizikom. Strateški plan organizacije vodi računa o okolini u kojoj orga-nizacija posluje. Upravo spomenuti faktori okoline vjerojatno bi utjecali na popis svih potencijalnih revizija i procjenu rela-tivnog rizika.

3. Glavni revizor izrađuje plan za aktivnosti interne revizije na temelju popisa svih potencijalnih revizija, podataka primljenih od strane višeg menadžmenta i odbora te na temelju procjene rizika i izloženosti koji utječu na organizaciju. Ključni cilje-vi revizije su pružiti višem menadžmentu i odboru jamstva i informacije koje će pomoći u postizanju ciljeva organizacije, uključujući vrednovanje učinkovitosti aktivnosti upravljanja rizikom.


4. Popis svih potencijalnih revizija i povezani plan revizije ažu-riraju se kako bi odražavali promjene u smjeru upravljanja, ci-ljevima, naglasku i fokusu. Najmanje jednom godišnje prepo-ruča se vrednovanje popisa svih potencijalnih revizija koje bi odražavalo najnovije strategije i smjer organizacije. U nekim situacijama planove revizije potrebno je ažurirati češće (npr. na kvartalnoj osnovi) kao odgovor na promjene u poslovanju, djelovanju, programu, sustavima i nadzorima organizacije.

5. Plan revizije treba se, između ostalog, temeljiti na vrednova-nju rizika i izloženosti. Određivanje prioriteta potrebno je radi donošenja odluka o primjeni resursa. Raznolikost modela rizi-ka postoji kako bi pomogli glavnom revizoru. Većina modela rizika koristi faktore rizika kao što su: utjecaj, vjerojatnost, materijalnost, likvidnost imovine, upravljačke kompetencije, kvaliteta internih kontrola i pridržavanje istih, stupanj promje-ne ili stabilnosti, vrijeme i rezultati zadnje aktivnosti revizije, složenost i odnosi između zaposlenika i uprave.



93Preporuke za rad



2020 – Priopćavanje i

odobrenje

Glavni revizor mora obavijestiti viši menadžment i odbor o planovima provedbe interne revizije i potrebama resursa, uključujući značajne privremene promjene, u svrhu kontrole i odobrenja. Glavni revizor također mora obavijestiti o utjecaju ograničenih resursa.

Priopćavanje i odobrenje

1. Glavni revizor treba jednom godišnje podnijeti sažetak plana interne revizije, rasporeda rada, plana osoblja i financijskog proračuna na pregled i odobrenje višem menadžmentu i odbo-ru. Navedeni sažetak će upoznati viši menadžment i odbor s opsegom posla interne revizije i mogućim ograničenjima ve-zanim uz opseg revizije. Glavni revizor također treba predočiti sve važne privremene promjene radi odobrenja i informiranja.

2. Odobreni raspored aktivnosti, plan osoblja i financijski prora-čun, kao i sve važne privremene promjene, trebaju sadržavati dovoljnu količinu informacija koje omogućuju upravi da usta-novi odražavaju li ciljevi i planovi aktivnosti interne revizije ciljeve i planove organizacije i uprave organizacije te jesu li isti sukladni s poveljom interne revizije.


95Preporuke za rad



2030 – Upravljanje resursima

Glavni revizor mora osigurati primjerenost resursa za internu reviziju , dostatnost te njihovo učinkovito raspoređivanje u svrhu postizanja odobrenog plana.

Tumačenje:

Termin „ primjereni“ odnosi se na znanje, vještine i ostale sposobnosti potrebne za izvođenje plana. Termin „dostatni“ odnosi se na količinu resursa potrebnih za postizanje plana. Resursi su učinkovito raspoređeni onda kada se koriste na način koji optimizira ostvarenje odobrenog plana.

Priručnik: GTAG 7 – Eksternaliziranje informacijskih tehnologija

Upravljanje resursima

1. Glavni revizor je prvenstveno odgovoran za dostatnost i uprav-ljanje resursima interne revizije na način koji osigurava ispu-njavanje obaveza interne revizije kao što je detaljno prikazano u povelji o internoj reviziji. Isto uključuje učinkovitu komuni-kaciju o potrebama resursa i izvještavanje višeg menadžmenta i odbora o statusu. Resursi interne revizije mogu obuhvaćati zaposlenike, vanjske pružatelje usluga, financijsku podršku i tehnike revizije koje se temelje na tehnici. Naposljetku, viši menadžment i uprava organizacije su odgovorni za osigurava-nje adekvatnosti resursa interne revizije, a glavni revizor im pomaže u izvršavanju navedene odgovornosti.

2. Vještine, sposobnosti i tehničko znanje osoblja interne revizije moraju biti u skladu s planiranim aktivnostima. Glavni revizor će povremeno provoditi vrednovanje vještina ili inventuru radi utvrđivanja specifičnih vještina potrebnih za provođenje ak-tivnosti interne revizije. Vrednovanje vještina temelji se na (i uzima u obzir) različitim potrebama utvrđenim u okviru pro-cjene rizika i plana revizije. Isto uključuje vrednovanja teh-ničkog znanja, poznavanje jezika, poslovnu sposobnost, otkri-vanje prijevare i kompetenciju prevencije te stručno znanje iz područja računovodstva i revizije.

3. Resursi interne revizije trebaju biti dostatni za provođenje aktivnosti revizije u obujmu, dubini i vremenskim rokovima koje predviđaju viši menadžment i odbor, kao što je navedeno u povelji o internoj reviziji. Prilikom planiranja resursa treba voditi računa o popisu svih potencijalnih revizija, relevantnim razinama rizika, planu interne revizije, očekivanjima pokrića i procjeni nepredvidljivih aktivnosti.


4. Glavni revizor ujedno osigurava učinkovito raspoređivanje resursa. Navedeno obuhvaća dodjelu revizora koji su kompe-tentni i kvalificirani za specifične zadatke. Ujedno uključuje i razvoj pristupa resursima i organizacijske strukture primjere-ne poslovnoj strukturi, profilu rizika i geografskoj raspodjeli organizacije.

5. Sa stajališta sveukupnog upravljanja resursima, glavni revizor uzima u obzir uspješnost planiranja, vrednovanje osoblja i ra-zvoj programa i ostalih disciplina vezanih uz ljudske resurse. Glavni revizor se ujedno bavi potrebama resursa za aktivno-sti interne revizije, neovisno o tome jesu li predmetne vještine prisutne ili ne u okviru same aktivnosti interne revizije. Ostali pristupi potrebama za resursima uključuju vanjske davatelje usluga, zaposlenike iz drugih odjela u okviru organizacije ili specijalizirane savjetnike.

6. Zbog osjetljive naravi resursa glavni revizor održava kontinu-iranu komunikaciju i dijalog s višim menadžmentom i odbo-rom vezano uz dostatnost resursa za aktivnost interne revizije. Glavni revizor povremeno predstavlja sažetak statusa i dostat-nosti resursa višem menadžmentu i upravi. S tim ciljem glav-ni revizor određuje primjerene metrike, ciljeve za monitoring kompletne dostatnosti resursa. Isto može uključivati uspoređi-vanje resursa s planom interne revizije, privremene nedostatke ili praznine, aktivnosti edukacije i obuke promjena specifičnih potreba za vještinama uslijed promjena u poslovanju organiza-cije, radu, programima, sustavima i kontrolama.


Sažetak osnovnih gledišta:Uloga interne revizije kod pronalaženja alternativnih resursa


97Preporuke za rad



2040 – Politike i postupci

Glavni revizor mora utvrditi politike i postupke kao smjernice za provedbu interne revizije.

Tumačenje:

Oblik i sadržaj politika i postupaka ovisi o veličini i strukturi interne revizije i složenosti njenog posla.

Politike i postupci

1. Glavni revizor mora utvrditi politike i postupke. Formalni ad-ministrativni i tehnički revizorski priručnici možda neće biti potrebni za sve aktivnosti interne revizije. Manjim aktivnosti-ma interne revizije može se upravljati na neformalan način. Upravljanje i kontrola revizorskog osoblja angažiranog na ta-kvom zadatku može se vršiti putem temeljitog dnevnog nad-zora i pisanih memoranduma kojima se propisuje pridržavanje politika i postupaka. Za velike aktivnosti interne revizije po-trebne su formalne i sveobuhvatne politike i postupci koji su bitni kao smjernice osoblju interne revizije u cilju provedbe plana interne revizije.


99Preporuke za rad



2050 – Koordinacija

Glavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim unutarnjim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja, kako bi osigurao primjerenu pokrivenost te na najmanju moguću razinu sveo ponavljanje.

Koordinacija

1. Nadzor nad radom vanjskih revizora, uključujući i koordi-naciju aktivnostima interne revizije, odgovornost je uprave. Koordinacija rada interne i vanjske revizije je odgovornost glavnog revizora. Glavni revizor prima potporu uprave kako bi postigao učinkovitu koordinaciju revizije.

2. Organizacije mogu koristiti usluge vanjskih revizora radi pro-vjere aktivnosti u okviru interne revizije. U tim slučajevima glavni revizor poduzima korake potrebne za razumijevanje usluga provedenih od strane vanjskih revizora koje uključuju sljedeće:• prirodu, obujam i termin radova planiranih od strane vanj-

skih revizora kako bi se osiguralo da planirani radovi vanj-skih revizora zajedno s planiranim radovima internih revizo-ra zadovoljavaju zahtjeve Standarda 2100

• procjene rizika i značajnosti od strane vanjskih revizora• tehnike, metode i terminologiju vanjskih revizora kako bi se

glavnom revizoru omogućilo: (1) koordiniranje aktivnosti interne i vanjske revizije; (2) procjena, za potrebe suradnje, aktivnosti vanjske revizije i (3) učinkovito komuniciranje s vanjskim revizorima

• pristup programima i radnim materijalima vanjskih revizora radi osiguravanja pouzdanosti rada vanjskih revizora u svrhe interne revizije. Interni revizori trebaju poštivati povjerlji-vost spomenutih programa i radnih materijala.

3. Vanjski revizor se može pouzdati u rad interne revizije prili-kom obavljanja njihovih aktivnosti. U tom slučaju bi glavni revizor trebao pružiti dovoljnu količinu informacija kako bi


omogućio vanjskim revizorima razumijevanje tehnika, metoda i terminologije koju koristi interna revizija i olakšao vanjskoj reviziji da se osloni na obavljene aktivnosti. Vanjskim revizo-rima se omogućuje pristup programima i radnim materijalima interne revizije kako bi vanjski revizori stekli povjerenje u rad internih revizora te isti smatrali prihvatljivim za svrhe vanjske revizije.

4. Bilo bi učinkovitije kad bi interna i vanjska revizija koristile slične tehnike, metode i terminologiju radi učinkovitije koor-dinacije njihovog rada i omogućavanja međusobnog oslanja-nja na rad.

5. O planiranim aktivnostima interne i vanjske revizije trebalo bi raspravljati kako bi se omogućila koordinacija pokriveno-sti revizije i ponavljanje svelo na najmanju moguću mjeru. Potrebno je planirati dovoljan broj sastanaka tijekom procesa revizije kako bi se osigurala koordinacija revizije i učinkovi-to i pravovremeno dovršenje aktivnosti revizije i odredilo je li prema zapažanjima i preporukama iz aktivnosti provedenih do određenog datuma potrebna korekcija planiranih aktivnosti revizije.

6. Završno izvješćivanje interne revizije, odgovor rukovodstva na ta izvješća i daljnja popratna izvješća trebaju biti dostupni vanjskim revizorima. Ova izvješća pomažu vanjskim revizo-rima u određivanju i prilagodbi opsega i vremenskog okvira posla. Nadalje, internim revizorima treba omogućiti pristup materijalima za prezentacije vanjskih revizora i dopisima upravi. Glavni revizor treba razumjeti pitanja o kojima se ra-spravlja u materijalima za prezentacije i dopisima upravi te isti trebaju pomoći internim revizorima u planiranju područja na koja treba staviti naglasak u budućem radu interne revizije.


101Preporuke za rad

Nakon uvida u dopise upravi i poduzimanja mogućih potreb-nih korektivnih mjera od strane članova višeg menadžmenta i članova uprave, glavni revizor trebao bi osigurati provođenje odgovarajućih aktivnosti praćenja i korektivnih mjera.

7. Glavni revizor odgovoran je za redovite procjene koordina-cije između internih i vanjskih revizora. Spomenute procjene mogu obuhvaćati i vrednovanja cjelokupne učinkovitosti ak-tivnosti interne i vanjske revizije, uključujući zbirne troškove revizije. Glavni revizor obavještava viši menadžment i upravu o rezultatima spomenutih procjena, što uključuje i relevantne komentare o radu vanjskih revizora.



103Preporuke za rad



2060 – Podnošenje izvještaja

odboru i višem menadžmentu

Glavni revizor povremeno treba podnijeti izvještaj odboru ili višem menadžmentu o svrsi interne revizije, ovlastima, odgovornostima i izvedbi u odnosu na plan. Podnošenje izvještaja također treba uključivati značajne izloženosti riziku i pitanja kontrole, pitanja korporativnog upravljanja, te ostala pitanja koja traži ili zahtijeva odbor ili viši menadžment.

Tumačenje:

Učestalost i sadržaj izvještaja definirani su u razgovoru s višim menadžmentom i odborom te ovise o važnosti informacija koje treba prenijeti i hitnosti s tim vezanih radnji koje treba poduzeti viši menadžment ili odbor.

Podnošenje izvještaja odboru i višem

menadžmentu

1. Glavni revizor trebao bi tijekom godine povremeno predavati izvješća o aktivnosti višem menadžmentu i odboru. Izvješća o aktivnosti bi trebala naglašavati značajna zapažanja o anga-žmanu i preporuke te izvijestiti viši menadžment i odbor o svim važnim odstupanjima od odobrenog radnog rasporeda angažma-na, plana za osoblje i fi nancijskih proračuna te uzroke spome-nutih odstupanja, kao i poduzete ili potrebne mjere.

2. Važna zapažanja o angažmanu su uvjeti koji bi, prema procje-ni glavnog revizora, mogli imati štetan utjecaj na organizaciju. Važna zapažanja o angažmanu mogu uključivati uvjete u kojima se rješavaju prijevare, nepravilnosti, nezakonita djela, greške, neefi kasnost, štete zbog nemara, neučinkovitost, sukob interesa i slabosti kontrole.

3. Viši menadžment i odbor donose odluke o primjerenom dje-lovanju koje treba poduzeti vezano uz važna zapažanja o an-gažmanu i preporuke. Viši menadžment i odbor mogu odlučiti preuzeti rizik i ne ispraviti stanje o kojem su bili obaviješteni zbog troška ili drugih razloga. Odbor bi trebao biti obaviješten o odlukama višeg menadžmenta u vezi svih važnih zapažanja o angažmanu i preporuka.

4. Glavni revizor bi trebao uzeti u obzir primjerenost obavješta-vanja odbora vezano uz prethodno priopćena značajna zapaža-nja i preporuke u slučajevima kada su viši menadžment i odbor preuzeli rizik da ne isprave stanje o kojem su primili izvještaj. Ovo može biti potrebno u situacijama značajnih promjena koje utječu na profi l rizika.


105Preporuke za rad



2120 – Upravljanje rizicima

Interna revizija mora procijeniti učinkovitost i doprinijeti unaprjeđenju procesa upravljanja rizicima.

Tumačenje:

Utvrđivanje jesu li procesi upravljanja rizicima učinkoviti je prosudba koja proizlazi iz sljedećih procjena internog revizora :

• podržavaju li i podudaraju li se ciljevi organizacija s misijom organizacije

• jesu li značajni rizici otkriveni i procijenjeni

• jesu li odabrani odgovarajući odgovori na rizik koji usklađuju rizike sa spremnošću organizacije na rizik

• jesu li relevantne informacije o riziku utvrđene i pravovremeno priopćene unutar organizacije, omogućavajući tako osoblju, menadžmentu i odboru izvršavanje svoje dužnosti.

Procesi upravljanja rizikom prate se kroz stalne aktivnosti menadžmenta, posebne procjene ili oboje.

Procjena adekvatnosti procesa upravljanja

rizicima

1. Upravljanje rizicima je ključna odgovornost višeg menadžmen-ta i odbora. Kako bi se postigli poslovni ciljevi, menadžment bi trebao osigurati postojanje i funkcioniranje pouzdanih pro-cesa upravljanja rizicima. Odbori imaju nadzornu ulogu kako bi utvrdili provedenost odgovarajućih procesa upravljanja rizi-cima te njihovu adekvatnost i učinkovitost. U toj ulozi mogu zahtijevati podršku putem aktivnosti interne revizije kod pro-vjere, vrednovanja, izvještavanja i /ili preporuka za poboljša-nja vezano uz adekvatnost i učinkovitost procesa upravljanja rizikom.

2. Viši menadžment i odbor su odgovorni za upravljanje rizicima njihove organizacije i za procese kontrole. Međutim, interni revizori koji djeluju u savjetodavnoj ulozi mogu pomoći or-ganizaciji u identificiranju, vrednovanju i implementaciji me-todologija upravljanja rizicima i kontrolama za suzbijanje tih rizika.

3. U situacijama u kojima organizacija ne raspolaže formalnim procesima za upravljanje rizicima, glavni revizor formalno ra-spravlja s menadžmentom i odborom o njihovim obavezama glede razumijevanja, upravljanja i nadgledanja rizika u okviru organizacije te o potrebi da se uvjere kako postoje procesi u okviru organizacije, iako i neformalni, koji omogućavaju pri-mjerenu razinu uvida u ključne rizike i način na koji se isti nadgledaju i njima upravlja.

4. Glavni revizor trebao bi odrediti aktivnosti interne revizije u procesu upravljanja rizicima organizacije, u skladu s očekiva-njima višeg menadžmenta i uprave. To usklađenje trebalo bi


Priručnik:

GAIT za poslovni i rizik IT-a Sažetak osnovnih gledišta:

Uloga interne revizije u upravljanju rizikom u okviru čitavog poslovanja

Priručnik: GTAG 6 Upravljanje i revizija osjetljivih točaka IT-a

Priručnik: GTAG 10 – Upravljanje kontinuitetom poslovanja

se zatim specificirati u povelji aktivnosti interne revizije i od-bora. Odgovornosti interne revizije bi trebalo koordinirati iz-među svih grupa i pojedinaca s ulogom u procesu upravljanja rizicima organizacije. Uloga aktivnosti interne revizije u pro-cesu upravljanja rizicima organizacije može se tijekom vreme-na promijeniti te obuhvaćati sljedeće:• nepostojanje uloge • reviziju procesa upravljanja rizicima kao dio internog plana

revizije• aktivnu, kontinuiranu podršku i uključenost u proces uprav-

ljanja rizicima kao što su: sudjelovanje u odborima za nad-zor, aktivnosti praćenja i izvještavanja o stanju upravljanja i koordinacija procesom upravljanja rizicima.

5. Konačno, uloga je višeg menadžmenta i odbora odrediti ulogu interne revizije u procesu upravljanja rizicima. Njihovo staja-lište u pogledu uloge interne revizije vjerojatno će biti određe-no čimbenicima kao što su kultura organizacije, sposobnosti osoblja za internu reviziju, uvjeti koji vladaju na području te običaji zemlje. Ipak, preuzimanje odgovornosti upravljanja u pogledu procesa upravljanja rizicima te potencijalna prijetnja obzirom na neovisnost aktivnosti interne revizije podliježu op-sežnoj raspravi i odobrenju odbora.

6. Tehnike koje koriste različite organizacije za svoju praksu upravljanja rizicima mogu se značajno razlikovati. Ovisno o veličini i kompleksnosti poslovnih aktivnosti organizacije, procesi upravljanja rizicima mogu biti:• formalni ili neformalni• kvantitativni ili subjektivni• uklopljeni u poslovne jedinice ili centralizirani na korpora-

tivnoj razini.


107Preporuke za rad

7. Organizacija osmišljava procese koji se temelje na njihovoj kulturi, stilu upravljanja i poslovnim ciljevima. Na primjer, korištenje derivata ili drugih sofisticiranih tržišnih proizvoda od strane organizacije zahtijevalo bi korištenje kvantitativnih alata za upravljanje rizicima. Manje, ne toliko složene orga-nizacije mogu koristiti neformalni odbor za rizike kako bi ra-spravile profil rizika organizacije i inicirale povremeno djelo-vanje. Interni revizor utvrđuje kako je odabrana metodologija dovoljno opsežna i dovoljno primjerena za prirodu aktivnosti organizacije.

8. Interni revizori bi trebali imati na raspolaganju dovoljnu koli-činu informacija, što bi im omogućilo da odrede jesu li ispu-njeni ključni ciljevi procesa upravljanja rizicima te da stvore mišljenje o adekvatnosti procesa upravljanja rizicima. Kod prikupljanja tih dokaza interni revizor bi trebao razmotriti sljedeće tipove postupaka revizije:• Istraživanje i pregled aktualnih razvoja, trendova, informa-

cija iz industrije koje se odnose na posao koji provodi or-ganizacija te drugi prikladni izvori informacija kako bi se odredili rizici i izlaganja koji mogu utjecati na organizaciju i povezane postupke kontrole koji se koriste za bavljenje, nadgledanje i ponovnu procjenu tih rizika.

• Pregledati korporativne politike i zapisnike odbora kako bi se odredile poslovne strategije organizacije, filozofija i me-todologija upravljanja rizicima, želja za rizikom te prihvaća-nje rizika.

• Pregledati prethodna izvješća vrednovanja rizika izdana od strane menadžmenta, internih revizora, vanjskih revizora i svih drugih izvora.

• Provesti intervjue s linijskim i višim menadžmentom kako bi se odredili ciljevi poslovne jedinice i povezani rizici te



aktivnosti koje menadžment provodi radi ublažavanja rizika i nadzora kontrole.

• Asimilirati informacije kako bi se neovisno procijenila učin-kovitost ublažavanja rizika, praćenja i izvještavanja o rizici-ma i srodne aktivnosti kontrole.

• Procijeniti prikladnost linija izvještavanja za aktivnosti pra-ćenja rizika.

• Pregledati adekvatnosti i pravodobnost izvještavanja o rezul-tatima upravljanja rizicima.

• Pregledati cjelovitost analize rizika menadžmenta i mjera koje su poduzete kako bi se popravila pitanja koja su pro-izašla u okviru procesa upravljanja rizicima i predložiti po-boljšanja.

• Utvrditi učinkovitost procesa samoprocjene menadžmenta putem opažanja, direktnih testiranja kontrole i postupaka praćenja, pri čemu se ispituje točnost informacija korištenih u aktivnostima praćenja i drugim odgovarajućim tehnikama.

• Pregledati pitanja povezana s rizicima koja bi mogla upu-ćivati na slabosti u praksama upravljanja rizicima i, ako je prikladno, ista raspraviti s višim menadžmentom i odborom. Ako revizor smatra da je menadžment prihvatio razinu ri-zika koja nije u skladu sa strategijom i mjerama upravlja-nja rizicima organizacije, ili koja se smatra neprihvatljivom za organizaciju, revizor bi dodatne upute trebao potražiti u Standardu 2600 i ostalim povezanim smjernicama.



109Preporuke za rad



2130 - Kontrola

Aktivnosti interne revizije trebaju pomoći organizaciji u održavanju djelotvorne kontrole kroz procjenu njihove učinkovitosti i djelotvornosti te kroz promicanje stalnog unaprjeđivanja.

Priručnici:

GTAG 1 – IT kontrole

GTAG 2 – Upravljačke kontrole za izmjene i zakrpe

GTAG 5 – Upravljanje i revizija rizika narušavanja privatnosti

GTAG 8 – Revizija aplikacijskih kontrola

GTAG 9 – Upravljanje identitetima i pristupom

Metodologija GAIT

GAIT za procjenu nedostataka opće kontrole IT-a

Procjena adekvatnosti kontrolnih procesa

1. Organizacija određuje i održava učinkovito upravljanje rizi-kom i kontrolne procese. Svrha kontrolnih procesa je pružati podršku organizaciji kod upravljanja rizicima i kod postizanja utvrđenih i objavljenih ciljeva. Očekuje se da ti procesi kon-trole osiguraju, između ostaloga, postojanje sljedećih uvjeta:• pouzdanost i cjelovitost fi nancijskih i operativnih informacija• učinkovitost i ostvarivanje utvrđenih ciljeva• očuvanje imovine• usklađenost djelovanja i odluka organizacije sa zakonima,

propisima i ugovorima.

2. Uloga višeg menadžmenta je nadzor nad uvođenjem, admini-stracijom i vrednovanjem sustava za upravljanje rizikom i kon-trolnim procesima. Jedna od odgovornosti linijskih menadžera organizacije je vrednovanje kontrolnih procesa na područjima za koja su nadležni. Interni revizori daju različite stupnjeve jamstava o učinkovitosti upravljanja rizikom i kontrolnih pro-cesa u određenim aktivnostima i funkcijama organizacije.

3. Glavni revizor formira sveukupno mišljenje o adekvatnosti i učinkovitosti kontrolnih procesa. Izražavanje mišljenja te vr-ste od strane glavnog revizora temelji se na dostatnim doka-zima iz revizije skupljenim putem obavljenih revizija i, ako je primjereno, uz oslanjanje na rad drugih davatelja jamstva. Glavni revizor priopćava svoje mišljenje višem menadžmentu i odboru.

4. Glavni revizor treba izraditi predloženi plan revizije čime osigurava prikupljanje dovoljne količine dokaza za procjenu učinkovitosti kontrolnih procesa. Plan bi trebao uključivati


angažman revizije i/ili druge procedure kojima bi se prikupili dostatni, primjereni dokazi revizije o svim većim radnim je-dinicama i poslovnim funkcijama koje se trebaju vrednovati, kao i pregled najvažnijih kontrolnih procesa koji se primjenju-ju u cijeloj organizaciji. Plan bi ujedno trebao biti fleksibilan tako da se tijekom godine mogu raditi prilagodbe kao poslje-dica promjena strategije upravljanja, vanjskih uvjeta, područja velikog rizika ili revidiranih očekivanja o postizanju ciljeva organizacije.

5. Revizijski plan bi također trebao posebno razmotriti one aktiv-nosti na koje su nedavne ili očekivane promjene najviše utjeca-le. Te promjene okolnosti mogu biti rezultat uvjeta na tržištu ili uvjeta ulaganja, akvizicija i prodaje ili restrukturiranja i novih poduhvata.

6. Kod utvrđivanja očekivanog pokrića revizije za predloženi re-vizijski plan glavni revizor uzima u obzir relevantan rad koji su obavili drugi davatelji jamstva za viši menadžment (npr. pouz-davanje glavnog revizora u rad pravnih službenika korporacije). Glavni revizor također uzima u obzir rad koji su obavili vanjski revizor i vlastito vrednovanje menadžmenta u pogledu procesa upravljanja rizikom, kontrola i procesa za poboljšanje kvalitete.

7. Glavni revizor bi trebao procijeniti opseg pokrića predloženog plana kako bi utvrdio je li njegov opseg dovoljan za izražavanje mišljenja o upravljanju rizika i kontrolnih procesa organizaci-je. Glavni revizor treba obavijestiti viši menadžment i odbor o mogućim nedostacima u pokriću revizije koji bi mogli stajati na putu kod izražavanja mišljenja, vezano uz sve aspekte tih procesa.

8. Za aktivnost interne revizije ključni izazov predstavlja procije-niti učinkovitost sustava kontrole organizacije na temelju pri-kupljanja mnoštva individualnih procjena. Ta vrednovanja se


111Preporuke za rad

većinom dobivaju angažmanom interne revizije, samoprocje-nom menadžmenta i na temelju rada ostalih davatelja jamstva. Tijekom rada interni revizori bi trebali redovno prenositi svoje nalaze odgovarajućim razinama menadžmenta kako bi se mogle poduzeti hitre akcije za ispravljanje ili ublažavanje posljedica otkrivenih odstupanja ili slabosti.

9. Prilikom procjene sveukupne učinkovitosti kontrolnih procesa organizacije glavni revizor uzima u obzir sljedeće:• Jesu li prilikom revizije pronađena značajna odstupanja ili

slabosti?• Ako jesu, jesu li napravljene ispravke ili poboljšanja nakon

otkrića?• Dovode li otkrića i njihove potencijalne posljedice do zaključ-

ka o postojanju prevladavajućeg stanja čiji je rezultat nepri-hvatljiva razina poslovnog rizika?

10. Postojanje značajnog odstupanja ili slabosti ne dovodi nužno do ocjene kako one prevladavaju i predstavljaju neprihvatljiv rizik. Interni revizor uzima u obzir prirodu i obujam izlaganja riziku, kao i razinu potencijalnih posljedica i utvrđivanje je li učinko-vitost cjelokupnog sustava kontrole ugrožena te postoje li nepri-hvatljivi rizici.

11. Izvješće glavnog revizora o stanju procesa kontrole organizaci-je predstavlja se obično jednom godišnje višem menadžmentu i odboru. Izvješće bi trebalo naglašavati važnu ulogu koju proce-si kontrole igraju u postizanju ciljeva organizacije. U izvješću se ujedno opisuju priroda i obujam posla provedeni putem ak-tivnosti interne revizije te priroda i obujam pouzdanosti u druge davatelje jamstva kod stvaranja mišljenja.



113Preporuke za rad



2130.A1 – Interna revizija mora procijeniti primjerenost i učinkovitost kontrola koje obuhvaćaju rizike u okviru upravljanja organizacijom, njezinog poslovanja i informacijskih sustava. Ona bi trebala uključivati: • pouzdanost i integritet

financijskih i operativnih informacija

• učinkovitost i djelotvornost poslovanja

• zaštitu imovine

• poštivanje zakona, propisa i ugovora.

Pouzdanost i integritet informacija

1. Interni revizori trebali bi utvrditi da viši menadžment i odbor jasno razumiju kako je pouzdanost i integritet informacija od-govornost rukovodstva. Ova odgovornost uključuje sve ključ-ne informacije organizacije, bez obzira na medij u kojim je pohranjena informacija. Pouzdanost i integritet informacija uključuje preciznost, cjelovitost i sigurnost.

2. Glavni revizor utvrđuje posjeduje li aktivnost interne revizije i ima li pristup stručnim resursima za provođenje revizije kako bi se procijenili pouzdanost i integritet informacija i povezani rizici izlaganja. Ovo uključuje i interne i eksterne rizike izla-ganja, uključujući izlaganja koja se odnose na povezanost or-ganizacije s eksternim subjektima.

3. Glavni revizor treba utvrditi hoće li viši menadžment, odbor i aktivnosti interne revizije biti bez odgađanja obaviješteni o kršenjima pouzdanosti i integriteta informacija i uvjetima koji predstavljaju potencijalnu prijetnju organizaciji.

4. Interni revizori trebaju procijeniti učinkovitost preventivnih, detektivnih i mjera za ublažavanje prošlih napada te budućih napada ili događaja za koje se smatra da će se vjerojatno do-goditi. Interni revizori trebali bi utvrditi je li odbor na primje-ren način obaviješten o prijetnjama, slučajevima, iskorištenim slabostima te korektivnim mjerama.

5. Interni revizori bi povremeno trebali procjenjivati praksu po-uzdanosti i integriteta informacija organizacije i prema potrebi preporučiti poboljšanja ili implementaciju novih kontrola i osi-guranja. Nakon procjene odboru treba predati izvješće o uvje-renju. Takve procjene se mogu provoditi kao odvojeni neovisni


angažmani ili integrirani u druge revizije ili angažmane koji se provode kao dio odobrenog plana revizije. Obzirom na prirodu angažmana utvrdit će se najprimjereniji proces izvještavanja višem menadžmentu i odboru.



115Preporuke za rad



2130.A1 – Interna revizija mora procijeniti primjerenost i učinkovitost kontrola koje obuhvaćaju rizike u okviru upravljanja organizacijom, njezinog poslovanja i informacijskih sustava. Ona bi trebala uključivati: • pouzdanost i integritet

financijskih i operativnih informacija

• učinkovitost i djelotvornost poslovanja

• zaštitu imovine

• poštivanje zakona, propisa i ugovora.

Procjena okvira privatnosti organizacije

1. Nemogućnost zaštite osobnih informacija s odgovarajućim kontrolama može imati ozbiljne posljedice za organizaciju. Na primjer, može naštetiti ugledu pojedinaca i/ili organizacije, dovesti do problema pravne odgovornosti te doprinijeti nepo-vjerenju klijenata i/ili zaposlenika.

2. Definicije privatnosti mogu prilično varirati ovisno o kulturi, političkom okruženju i pravnim okvirima zemalja u kojima or-ganizacije djeluje. Rizici povezani s privatnošću informacija odnose se na osobnu privatnost (fizičku i psihološku); privat-nost prostora (sloboda od nadzora); privatnost komunikacije (sloboda od praćenja) i privatnost informacija (skupljanje, korištenje i otkrivanje osobnih informacija od strane ostalih). Osobne informacije općenito se odnose na informacije koje se mogu povezati s određenim pojedincem, ili koje imaju karak-teristike prepoznavanja te se u kombinaciji s drugim informa-cijama mogu povezati s određenom osobom. Može uključivati bilo koju činjeničnu ili subjektivnu informaciju, zabilježenu ili ne, u bilo kojem obliku ili na bilo kojem mediju. Osobne in-formacije mogu uključivati sljedeće:• ime, adresu, identifikacijski broj, obiteljske veze• dosje zaposlenika, procjene, komentare, socijalni status i

disciplinske mjere• podatke o kreditima, dohotku, financijskom statusu • podatke o zdravstvenom stanju.

3. Učinkovita kontrola zaštite osobnih podataka predstavlja ključnu komponentu korporativnog upravljanja, upravljanja rizikom i kontrolnih procesa organizacije. U konačnici, odbor


je odgovoran za identifikaciju načelnih rizika za organizaci-ju i provedbu primjerenih kontrolnih procesa radi ublažavanja spomenutih rizika. Isto uključuje uvođenje primjerenih okvira privatnosti za organizaciju i nadzor njihove implementacije.

4. Aktivnost interne revizije može doprinijeti dobrom korpora-tivnom upravljanju i upravljanju rizicima putem vrednovanja adekvatnosti identifikacije rizika od strane organizacije, pri čemu su rizici povezani s ciljevima privatnosti, kao i putem vrednovanja adekvatnosti kontrola uvedenih radi ublažavanja spomenutih rizika do prihvatljive razine. Interni revizor u mo-gućnosti je procijeniti okvir privatnosti u svojoj organizaciji te prepoznati značajne rizike zajedno s odgovarajućim preporu-kama za njihovo ublažavanje.

5. Putem aktivnosti interne revizije prepoznaju se tipovi i pri-mjerenost informacija prikupljenih od strane organizacije koje se smatraju osobnim ili privatnim, primijenjena metodologija prikupljanja te je li korištenje tih informacija u skladu s ciljem korištenja i primjenjivim zakonima.

6. Obzirom na visoko tehnološku i pravnu prirodu teme, prilikom aktivnosti interne revizije potrebno je raspolagati primjerenim znanjem i vještinama za provođenje procjene rizika i kontrola okvira privatnosti organizacije.

7. Kod provođenja takve procjene upravljanja okvirima pri-vatnosti organizacije, interni revizor bi trebao uzeti u obzir sljedeće:• zakone, propise i politike koje se odnose na privatnost u za-

konodavstvima, u kojim organizacija posluje• suradnju s pravnim savjetnikom unutar kuće kako bi se odre-

dila točna priroda zakona, propisa, i drugih standarda i prak-


117Preporuke za rad

si koje se primjenjuju na organizaciju i na zemlju ili zemlje u kojima se posluje

• suradnju s informatičkim stručnjacima kako bi se osigurala sigurnost i zaštita podataka te redoviti pregledi i procjene prikladnosti

• razinu zrelosti prakse organizacije vezane uz privatnost. Ovisno o razini, interni revizor može imati različite uloge. Revizor može sudjelovati u razvoju i implementaciji pro-grama privatnosti, provoditi procjenu vrednovanja rizika za privatnost od strane organizacije kako bi se odredile potrebe i izloženost rizicima organizacije, ili može jamčiti za učin-kovitost mjera za privatnost, prakse i kontrole u cijeloj or-ganizaciji. Ako interni revizor preuzme dio odgovornosti za razvoj i implementaciju programa privatnosti, može se uma-njiti neovisnost internog revizora.



119Preporuke za rad



2200 – Planiranje angažmana

(provedba interne revizije)

Interni revizori trebaju izraditi i evidentirati plan za svaki angažman, uključujući opseg, ciljeve, vrijeme i raspodjelu sredstava.

Planiranje angažmana

(provedba interne revizije)

1. Interni revizor je odgovoran za planiranje i provedbu anga-žmana uz kontrolu i odobrenje. Prije početka angažmana inter-ni revizor priprema program angažmana u kojem: • navodi ciljeve angažmana• identificira tehničke uvjete, ciljeve, rizike, procese i transak-

cije koje treba pregledati• navodi prirodu i raspon potrebnog testiranja• dokumentira procedure internog revizora za prikupljanje,

analiziranje, interpretiranje i dokumentiranje informacija za vrijeme angažmana

• primjereno se modificira za vrijeme angažmana uz odobre-nje glavnog revizora ili njegovog zamjenika.

2. Glavni revizor bi trebao zahtijevati određenu razinu formalno-sti i dokumentacije (npr. za rezultate sastanaka vezanih uz pla-niranje, postupke procjene rizika, količine detalja u programu angažmana itd.) koja je primjerena za organizaciju. Čimbenici koje pritom treba uzeti u obzir su sljedeći:• Hoće li se druge osobe (npr. vanjski revizori, regulatorne in-

stance ili menadžment) oslanjati na proveden rad i/ili rezul-tate angažmana?

• Je li rad povezan s predmetima koji mogu biti povezani s potencijalnim ili aktualnim parnicama?

• Razina iskustva osoblja interne revizije i razina izravnog nadzora koja je potrebna.


• Sudjeluje li u projektu interno osoblje ili strani revizori ili pak vanjski pružatelji usluga?

• Složenost i obujam projekta.• Veličina aktivnosti interne revizije.• Vrijednost dokumentacije (npr. hoće li se ista koristiti u slje-

dećim godinama).

3. Interni revizor određuje ostale zahtjeve angažmana, kao što je obuhvaćeno razdoblje rada i procijenjeni datumi završetka. Interni revizor također uzima u obzir format konačnog priop-ćenja o radu. Planiranje u ovoj fazi olakšava komunikacijski postupak pri dovršetku angažmana.

4. Interni revizor obavještava sve članove rukovodstva koji tre-baju biti upoznati s radom, održava sastanke s rukovodstvom odgovornim za aktivnost koja se pregledava, izrađuje i proslje-đuje sažetak raspravljanih pitanja na sastanku i svih donesenih zaključaka te zadržava dokumentaciju u angažmanu. Teme za raspravu mogu uključivati:• planirane ciljeve angažmana i raspon rada• resurse i vremenski plan angažmana• ključne faktore vezane uz uvjete poslovanja i rada na po-

dručjima koja se razmatraju, uključujući nedavne promjene internoj i vanjskoj okolini

• pitanja ili zahtjeve rukovodstva.

5. Glavni revizor treba odrediti kako, kada i kome će se priopćiti rezultati angažmana. Interni revizor dokumentira tu odluku i priopćava je rukovodstvu, u mjeri koju smatra primjerenom, tijekom planiranja faze angažmana. Interni revizor rukovod-stvu priopćava naknadne promjene koje utječu na vremenski plan ili izvještavanje o rezultatima rada.


121Preporuke za rad



2210 – Ciljevi angažmana

Za svaki je angažman potrebno utvrditi ciljeve.

Ciljevi angažmana

1. Interni revizori utvrđuju ciljeve angažmana koji se odnose na rizike povezane s aktivnostima koje se revidiraju. Za planirane angažmane ciljevi proizlaze i sukladni su s ciljevima koji su inicijalno identificirani tijekom procesa procjene rizika iz ko-jih proizlazi plan interne revizije. Za neplanirane angažmane ciljevi se utvrđuju prije početka angažmana te je njihova svrha bavljenje problematikom iz koje je angažman proizašao.

2. Procjene rizika za vrijeme faze planiranja angažmana koriste se radi daljnjeg definiranja inicijalnih ciljeva i identifikacije drugih značajnih problematičnih područja.

3. Nakon identificiranja rizika, revizor određuje procedure koje se trebaju provesti i raspon (priroda, vremenski plan i obujam) tih procedura. Procedure angažmana provedene u primjerenom rasponu su sredstva kojima se dolazi do zaključaka vezano uz ciljeve angažmana.


123Preporuke za rad



2210.A1 – Interni revizori trebaju provesti preliminarnu procjenu rizika koji su relevantni za djelatnost koja se kontrolira. Ciljevi angažmana trebaju odražavati rezultate te ocjene.

Procjena rizika u planiranju angažmana

1. Interni revizori trebaju razmotriti procjenu rizika menadžmen-ta vezanu uz aktivnost koja se revidira. Interni revizor treba uzeti u obzir i sljedeće:• pouzdanost procjene rizika menadžmenta• praćenje, izvještavanje i rješavanje pitanja rizika i kontrole• izvješća menadžmenta o događajima koji su prekoračili do-

govorene granice tolerancije rizika menadžmenta i reakcije menadžmenta na ta izvješća

• rizike u povezanim aktivnostima koje su relevantne za aktiv-nost koja se revidira.

2. Interni revizori prikupljaju i ažuriraju pozadinske informacije o aktivnostima koje se trebaju revidirati kako bi se utvrdio nji-hov učinak na ciljeve i raspon angažmana.

3. Ukoliko je prikladno, interni revizori provode ispitivanje kako bi se upoznali s aktivnostima, rizicima i kontrolama, radi utvr-đivanja područja na kojima se treba više angažirati i kako bi se potaknuli komentari i prijedlozi klijenata.

4. Interni revizori pripremaju sažetak rezultata revizije procjene rizika menadžmenta, pozadinskih informacija i rezultata svih provedenih istraživanja. Sažetak bi trebao sadržavati sljedeće:• važne probleme iz angažmana i razloge zbog kojih ih treba

detaljnije istražiti• ciljeve angažmana i procedure angažmana• metodologije koje se trebaju primjenjivati kao što su revizije

utemeljene na tehnologiji i tehnike uzorkovanja


• potencijalne kritične kontrolne točke, nedostaci kontrole i/ili pretjeranost kontrole

• preliminarne procjene potrebnog vremena i sredstava• revidirane datume za faze izvješćivanja i završavanje anga-

žmana• razloge za prekid angažmana, po potrebi.• potencijalne kritične kontrolne točke, nedostatke kontrole i/

ili pretjeranost kontrole• kad je primjenjivo, razloge za prekid angažmana ili znatne

modifikacije ciljeva angažmana.



125Preporuke za rad



2230 – Raspoređivanje resursa

za angažman

Interni revizori trebaju odrediti odgovarajuće i dostatne resurse u svrhu postizanja ciljeva angažmana na temelju procjene prirode i složenosti svakog angažmana, vremenskih ograničenja i raspoloživih sredstava.

Raspoređivanje resursa za angažman

1. Interni revizori prilikom određivanja primjernosti i dostatnosti resursa uzimaju u obzir sljedeće:• broj i stupanj iskustva osoblja koje provodi internu reviziju• znanje, vještine i ostale sposobnosti osoblja koje će provodi-

ti internu reviziju • dostupnost vanjskih resursa u slučajevima kada je potrebno

dodatno znanje i vještine• potrebe edukacije internih revizora, budući da svaki zadani

angažman služi kao osnova za postizanje razvojnih potreba interne revizije.


127Preporuke za rad



2240 – Program rada

angažmana

Interni revizori moraju izraditi i dokumentirati programe rada temeljem kojih se ostvaruju ciljevi angažmana.

Program rada angažmana

1. Interni revizori razvijaju i primaju dokumentirano odobre-nje za programe rada prije početka angažmana interne revi-zije. Program rada uključuje metodologije koje se trebaju koristiti poput revizije utemeljene na tehnologiji i tehnika uzorkovanja.

2. Proces prikupljanja, analize, interpretacije i dokumentacije in-formacija treba biti pod nadzorom kako bi se osiguralo razu-mno jamstvo da će se ciljevi angažmana ispuniti i da je objek-tivnost internog revizora očuvana.


129Preporuke za rad



2330 – Evidentiranje

informacija

Interni revizori moraju evidentirati odgovarajuće informacije koje potkrjepljuju zaključke i rezultate angažmana.

Evidentiranje informacija

1. Interni revizori trebaju pripremiti radne papire. Radni papiri trebaju bilježiti sve dobivene informacije i izrađene analize te pružati podršku za zaključke i rezultate angažmana.

2. Radni papiri u sklopu angažmana u pravilu:• pomažu u planiranju, provedbi i pregledu angažmana• pružaju osnovnu podršku za rezultate angažmana• evidentiraju jesu li postignuti ciljevi angažmana• omogućavaju revizije trećih strana• pružaju podršku točnosti i cjelovitosti provedenih radova• daju osnovu za vrednovanje kvalitete aktivnosti interne revi-

zije i programa za poboljšanje• pomažu kod revizija od strane trećih osoba.

3. Organizacija, dizajn i sadržaj radnih papira angažmana ovisi o prirodi angažmana i ciljevima i potrebama organizacije. Radni papiri angažmana dokumentiraju sve aspekte procesa anga-žmana, od planiranja do priopćavanja rezultata. Aktivnost in-terne revizije određuje medij koji će se koristiti za dokumenti-ranje i pohranu radnih papira.

4. Glavni revizor treba utvrditi politiku radnih papira za razne ti-pove angažmana koji se provode. Standardizirani radni papiri angažmana poput upitnika i programa revizije mogu poboljšati učinkovitost angažmana ili olakšati delegiranje rada u okviru angažmana. Neki radni papiri angažmana mogu se kategorizi-rati kao trajni dokumenti angažmana ili kao dokumenti koji se mogu prenositi u budućnost. Takvi dokumenti u pravilu sadrže informacije čija je važnost trajna.


131Preporuke za rad



2330.A1 – Glavni revizor treba nadzirati pristup dokumentaciji obavljenih angažmana. Glavni revizor, prema potrebi, treba pribaviti odobrenje višeg menadžmenta i/ili pravnog zastupnika prije objave takvih podataka vanjskim strankama.

Kontrola dokumentacije angažmana

1. Dokumentacija o angažmanu interne revizije obuhvaća iz-vješća, popratne dokumente, bilješke o revizijama i kores-pondenciju, neovisno o mediju na kojem se pohranjuju. Dokumentacija o angažmanu ili radni papiri su vlasništvo or-ganizacije. U okviru aktivnosti interne revizije vrši se kontrola radnih papira angažmana te se pristup omogućuje isključivo ovlaštenim osobama.

2. Interni revizori mogu educirati rukovodstvo i upravu o pristu-pu dokumentaciji angažmana od strane stranih osoba. Politike vezane uz pristup dokumentaciji angažmana, postupanje sa za-htjevima o pristupu i postupcima koji se moraju slijediti kada neki angažman zahtijeva istragu, moraju biti revidirane od strane odbora.

3. Politike interne revizije objašnjavaju tko je u organizaciji od-govoran za osiguravanje kontrole i sigurnosti dokumentacije o aktivnostima, kojim internim ili vanjskim stranama se može odobriti pristup dokumentaciji o angažmanu te odnos prema zahtjevima za pristupom toj dokumentaciji. Predmetne politi-ke razlikuju se ovisno o prirodi organizacije, praksama koje se primjenjuju u industriji te privilegijima pristupa koji su odre-đeni zakonom.

4. Rukovodstvo i drugi članovi organizacije mogu zatražiti pri-stup svim ili određenim radnim papirima angažmana. Takav pristup može biti potreban radi dokazivanja ili objašnjavanja zapažanja vezano uz angažman i preporuka za druge poslovne svrhe. Glavni revizor odobrava zahtjeve te vrste.


5. Glavni revizor vanjskim revizorima odobrava pristup radnim papirima angažmana.

6. U nekim okolnostima strane izvan organizacije, osim vanjskih revizora, mogu zatražiti pristup radnim dokumentima i izvje-šćima vezano uz angažmane. Prije otkrivanja takve dokumen-tacije, glavni revizor treba odobrenje višeg menadžmenta i/ili pravnika, prema potrebi. Prije otkrivanja takve dokumentacije, glavni revizor treba primiti odobrenje višeg menadžmenta i/ili pravnika, prema potrebi.

7. Dokumentacija interne revizije koja nije zaštićena na speci-fičan način može postati dijelom pravnog postupka. Pravni zahtjevi mogu se znatno razlikovati ovisno o zakonodavstvu. Ako postoji specifičan zahtjev vezano uz dokumentaciju o an-gažmanu kod pravnih postupaka, glavni revizor će usko su-rađivati s pravnicima prilikom donošenja odluke o izdavanju dokumenata.



133Preporuke za rad



2330.A2 – Glavni revizor treba sastaviti zahtjeve za čuvanjem dokumenata o angažmanu, bez obzira na medij na kojem je zapis pohranjen. Predmetni zahtjevi za čuvanjem trebaju biti u skladu sa smjernicama organizacije i bilo kojim odgovarajućim regulatornim i drugim zahtjevima.

Čuvanje dokumenata

1. Zahtjevi za čuvanjem dokumenata o angažmanu razlikuju se ovisno o zakonodavstvu i pravnom okruženju.

2. Glavni revizor razvija politiku za očuvanje u pisanom obliku koja je u skladu s potrebama organizacije i pravnim zahtjevi-ma zakonodavstva u okviru kojeg organizacija djeluje.

3. Politika za čuvanje dokumenata moraju uključivati primjerne angažmane za čuvanje dokumentacija povezanih s angažmani-ma provedenim od strane vanjskih pružatelja usluga.


135Preporuke za rad



2340 – Nadzor angažmana

Posao treba propisno nadzirati kako bi se osiguralo postizanje ciljeva, osiguranje kvalitete i unaprjeđenje osoblja.

Tumačenje:

Opseg potrebnog nadzora ovisit će o stručnosti i iskustvu internih revizora te složenosti angažmana. Glavni revizor je odgovoran za cjelokupni nadzor posla, bez obzira obavlja li ga interna revizija ili se on obavlja za internu reviziju, a može imenovati članove interne revizije za obavljanje pregleda. Odgovarajući dokazi o nadzoru trebaju se dokumentirati i čuvati.

Nadzor angažmana

1. Glavni revizor ili zamjenik/ovlaštena osoba zadužena je za osiguravanje odgovarajućeg nadzora angažmana. Nadzor je proces koji počinje planiranjem, a nastavlja se tijekom čitavog angažmana. Nadzor uključuje sljedeće:• osiguranje da dodijeljeni revizori zajedno posjeduju odgova-

rajuće znanje, vještine i druge sposobnosti potrebne za obav-ljanje angažmana

• davanje odgovarajućih uputa tijekom planiranja angažmana i odobravanje programa angažmana

• osiguranje da odobreni program angažmana bude proveden, osim u slučaju opravdanih i odobrenih izmjena

• utvrditi da radni papiri iz angažmana odgovarajuće potkrje-pljuju primjedbe, zaključke i preporuke angažmana

• osigurati da je priopćavanje vezano uz angažman točno, objektivno, jasno, sažeto, konstruktivno i pravovremeno

• osigurati ispunjenje ciljeva angažmana• osigurati mogućnosti za razvoj znanja, vještina i drugih spo-

sobnosti internih revizora.

2. Svi angažmani interne revizije, neovisno o tome provodi li ih interna revizija ili se provode za nju, kao i sve značajne struč-ne prosudbe koje se donose za vrijeme trajanja angažmana od-govornost su glavnog revizora. Glavni revizor treba primijeniti odgovarajuća sredstva kako bi osigurao ispunjavanje te odgo-vornosti. Odgovarajuća sredstva uključuju politike i procedure koje su osmišljene tako da:• Umanjuju rizik od mogućnosti da interni revizori ili druge

osobe koje rade za internu reviziju donesu stručne prosudbe


koje nisu u skladu sa stručnom prosudbom glavnog revizora, tako da rezultiraju značajnim negativnim učinkom na anga-žman.

• Rješavaju razlike u profesionalnim prosudbama glavnog re-vizora i osoblja interne revizije u pogledu važnih pitanja ve-zanih uz angažman. Ova sredstva mogu uključivati raspravu o bitnim činjenicama, dodatne upite ili istraživanje i doku-mentaciju i rješavanje različitih stajališta u radnim papirima angažmana. U slučajevima razilaženja u stručnoj prosudbi po pitanju etičkog problema, odgovarajuća sredstva mogu uključivati i prosljeđivanje predmeta osobama nadležnim za etička pitanja u organizaciji.

3. Svi radni papiri iz angažmana trebaju biti provjereni kako bi se osiguralo da propisno potkrjepljuju priopćenje angažmana te da su obavljene sve potrebne revizijske procedure. Kao do-kaz o nadzornom pregledu, osoba koja pregledava materijale treba parafirati i datirati svaki radni papir nakon što ga pre-gleda. Ostale tehnike koje dokazuju nadzorni pregled su po-punjavanje liste zadataka za pregled radnih papira angažmana, pripremanje okružnice koja navodi prirodu, opseg i rezultate pregleda; ili vrednovanje i prihvaćanje revizija u elektronič-kom softveru za radne papire.

4. Ocjenjivači izrađuju pisanu evidenciju (npr. bilješke pregleda) o pitanjima koja proistječu iz procesa pregleda. Kod rješavanja bilješki provjere treba obratiti pažnju na pružanje odgovaraju-ćih dokaza radne dokumentacije o tome da su pitanja koja su se pojavila prilikom pregleda riješena. Prihvatljive alternative vezane uz raspolaganje bilješkama pregleda su sljedeće:• čuvati bilješke pregleda kao evidenciju pitanja koje je posta-

vila osoba zadužena za pregled te koraka koji su poduzeti u njihovu rješavanju


137Preporuke za rad

• baciti bilješke pregleda nakon što su proizašla pitanja rije-šena te nakon što je odgovarajuća radna dokumentacija iz-mijenjena i dopunjena kako bi se osigurale dodatne tražene informacije.

5. Nadzor angažmana obuhvaća i obuku i usavršavanje osoblja te vrednovanje učinkovitosti.



139Preporuke za rad



2410 – Kriteriji priopćavanja

U priopćenjima moraju biti navedeni ciljevi angažmana i opseg, te valjani zaključci, preporuke i akcijski planovi.

Kriteriji priopćavanja

1. Iako format i sadržaj konačnog priopćenja angažmana mogu varirati ovisno o organizaciji i vrsti angažmana, trebali bi u najmanju ruku sadržavati svrhu, opseg i rezultate angažmana.

2. Konačno priopćenje angažmana može uključivati pozadinske informacije i sažetke. Pozadinske informacije mogu navoditi organizacijske jedinice i revidirane aktivnosti te pružiti rele-vantna objašnjenja. Također može uključivati status opažanja, zaključaka i preporuka iz prijašnjih izvješća te indikaciju po-kriva li izvješće zakazani angažman ili je odgovor na zahtjev. Sažeci predstavljaju uravnoteženi sadržaj priopćavanja.

3. Izjave svrhe trebaju opisivati ciljeve angažmana i mogu, pre-ma potrebi, informirati čitatelja o razlozima provođenja anga-žmana i očekivanim postignućima.

4. Izjave o opsegu trebaju navesti izmijenjene aktivnosti i uklju-čivati, prema potrebi, potkrjepljujuće informacije poput revi-diranog vremenskog razdoblja. Povezane aktivnosti koje nisu revidirane trebaju biti navedene, prema potrebi, kako bi se odredile granice angažmana. Priroda i opseg obavljenog posla također mogu biti opisani.

5. Rezultati trebaju uključivati opažanja, zaključke, mišljenja, preporuke i planove djelovanja.

6. Primjedbe su odgovarajuće činjenične izjave. Primjedbe koje su potrebne kao podrška ili koje bi spriječile krivo razumijeva-nje zaključaka i preporuka internog revizora trebaju biti uklju-čene u konačno priopćenje angažmana. Interni revizor može priopćiti manje važne primjedbe ili preporuke u neformalnom obliku.


7. Primjedbe i preporuke angažmana proizlaze iz procesa uspo-redbe kriterija (ispravno stanje) sa stanjem (aktualno stanje). Na temelju toga postoji li između njih razlika, interni revizor ima osnovu na kojoj može utemeljiti izvješće. Kad stanje za-dovoljava kriterije, prikladno je priznavanje zadovoljavajuće izvedbe u priopćenjima angažmana. Opažanja i preporuke tre-baju se temeljiti na sljedećim karakteristikama:• kriterij: standardi, mjere ili očekivanja korištena u vrednova-

nju i/ili verifikaciji (ispravno stanje)• stanje: činjenični dokazi koje je interni revizor pronašao ti-

jekom ispitivanja (aktualno stanje)• uzrok: razlog razlika između očekivanog i aktualnog stanja• posljedica: rizik ili izlaganje s kojim se organizacija i/ili

drugi susreću jer stanje nije sukladno kriteriju (utjecaj ra-zlike); kod određivanja stupnja izlaganja riziku interni revi-zori trebaju uzeti u obzir posljedice koje njihove primjedbe i preporuke mogu imati na poslovanje i financijska izvješća organizacije

• primjedbe i preporuke također mogu uključivati postignuća klijenta kod angažmana, povezana pitanja i potkrjepljujuće informacije.

8. Zaključci i mišljenja su procjene internog revizora o poslje-dicama opažanja i preporuka o pregledanim aktivnostima. Oni obično stavljaju opažanja i preporuke u određeni okvir na temelju njihovih sveukupnih implikacija. Zaključci anga-žmana, ako su uključeni u izvješće angažmana, trebaju biti jasno navedeni. Zaključci mogu obuhvaćati cjelokupni opseg angažmana ili njegove određene aspekte. Oni mogu pokriva-ti, ali nisu ograničeni na činjenicu udovoljavaju li operativni i programski ciljevi i svrhe onima organizacije, udovoljava li se


141Preporuke za rad

ciljevima organizacije te funkcionira li aktivnost koja se revi-dira onako kako bi trebala. Mišljenje može uključivati sveuku-pnu procjenu kontrola ili područja koja se revidiraju ili može biti ograničeno na određene kontrole ili aspekte angažmana.

9. Interni revizor može priopćiti preporuke za potencijalna po-boljšanja, priznanja zadovoljavajuće izvedbe i korektivne akcije. Preporuke se temelje na primjedbama i zaključcima internog revizora. One pozivaju na djelovanje u ispravljanju postojećih uvjeta ili operacije usavršavanja. Preporuke mogu predlagati pristupe ispravljanju ili unaprjeđivanju izvedbe kao vodič upravi u postizanju željenih rezultata. Preporuke mogu biti općenite ili određene. Primjerice, u određenim okolno-stima interni revizor može preporučiti opći smjer djelovanja i specifične prijedloge za primjenu. U drugim okolnostima interni revizor može samo predložiti daljnje istraživanje ili ispitivanje.

10. Interni revizor može priopćiti postignuća klijenta, što se tiče napretka od prošlog angažmana ili uspostavljanja kvalitet-no kontroliranog rada. Ta informacija može biti potrebna za vjerodostojno predstavljanje postojećih uvjeta i davanje od-govarajuće perspektive i ravnoteže konačnom priopćenju angažmana.

11. Interni revizor može priopćiti stajališta klijenta vezano uz za-ključke, mišljenja ili preporuke internog revizora.

12. U sklopu razgovora internog revizora s klijentom, interni re-vizor treba pokušati dobiti suglasnost za rezultate angažmana te plan djelovanja za unaprjeđenje poslovanja, prema potre-bi. Ako se interni revizor i klijent ne slažu oko rezultata an-gažmana, priopćenje može navoditi oba stajališta te razloge neslaganja. Pismeni komentari klijenta mogu se uključiti kao



prilog izvješću o angažmanu. Osim toga, komentari klijenta u pisanom obliku mogu se uključiti u prilogu uz izvješće o an-gažmanu, glavnom dijelu izvješća ili u popratnom pismu.

13. Određene informacije možda se ne bi trebale otkrivati svim primateljima izvješća jer su povjerljive, osobne ili vezane uz nepropisna ili nezakonita djela. Međutim, takve informacije se mogu iznijeti u posebnom izvješću. Ako se stanje o kojem se izvještava odnosi na viši menadžment, izvješće bi se trebalo proslijediti odboru.

14. Privremena izvješća mogu biti u pisanom ili usmenom obliku te se mogu prenijeti formalno ili neformalno. Privremena iz-vješća se mogu koristiti za priopćavanje informacija koje za-htijevaju trenutnu pažnju, za priopćenje o promjeni u opsegu angažmana za aktivnost koja se revidira ili kako bi se menad-žment obavijestio o napredovanju angažmana ukoliko se anga-žman proteže na dugo vremensko razdoblje. Korištenje privre-menih izvješća ne umanjuje niti uklanja potrebu za konačnim izvješćem.

15. Potpisano izvješće treba se izdati nakon završetka angažmana. Za razine menadžmenta iznad klijenta možda bi bila prikladna sažeta izvješća koja ističu rezultate angažmana. Ona se mogu izdati zasebno ili zajedno s konačnim izvješćem. Izraz “potpi-san” znači da ime ovlaštenog internog revizora treba biti vla-storučno ili elektronskim putem potpisano na izvješću. Interni revizor ovlašten za potpisivanje izvješća treba biti imenovan od strane glavnog revizora. Ako se izvješća o angažmanu šalju elektroničkim putem, interna revizija treba čuvati arhiviranu potpisanu verziju izvješća.



143Preporuke za rad



2420 – Kvaliteta priopćavanja

Priopćenja trebaju biti točna, objektivna, jasna, sažeta, konstruktivna, potpuna i pravovremena.

Tumačenje:

Točna priopćenja ne sadrže greške i iskrivljene informacije te su vjerna činjenicama na kojima se temelje. Objektivna priopćenja su fer, nepristrana i bez predrasuda te su rezultat poštene i uravnotežene procjene svih relevantnih činjenica i okolnosti. Jasna priopćenja su lako razumljiva i logična, izbjegavaju nepotrebno tehnički jezik i pružaju sve važne i relevantne informacije. Sažeta priopćenja su precizna i izbjegavaju bespotrebna objašnjenja, suvišne detalje, redundantnosti i opširnosti. Konstruktivna priopćenja pomažu klijentu koji je naručio angažman i organizaciji te dovode do potrebnih promjena. Potpuna priopćenja ne izostavljanju ništa važno ciljanoj publici i uključuju sve važne i relevantne informacije i primjedbe koje podržavaju preporuke i zaključke. Pravovremena priopćenja su prikladna i brza, ovisno o važnosti problema te omogućavaju upravi poduzimanje odgovarajućih koraka.

Kvaliteta priopćavanja

1. Skupljati, vrednovati i sažeti podatke i dokaze s pažnjom i preciznošću.

2. Izvoditi i izražavati opažanja, zaključke i preporuke bez pre-drasuda, pristranosti, osobnih interesa i neprimjernog utjecaja drugih.

3. Izbjegavati nepotreban tehnički rječnik i pružiti sve važne i re-levantne informacije u kontekstu radi poboljšavanja jasnoće.

4. Razvijati priopćavanja s ciljem da svaki element bude smislen, ali sažet.

5. Usvojiti korisne, pozitivne i dobronamjerne sadržaje kako bi doprinijeli ciljevima organizacije.

6. Omogućiti priopćavanje koje je u skladu sa stilom i kulturom organizacije.

7. Tempirati predstavljanja rezultata angažmana kako bi se izbje-gla nepotrebna kašnjenja.


145Preporuke za rad



2440 – Distribucija rezultata

Glavni revizor treba dostaviti rezultate odgovarajućim stranama

Tumačenje:

Glavni revizor ili njegov imenovani zamjenik pregledava i odobrava konačno priopćenje o angažmanu prije njegova izdavanja i odlučuje kome i na koji način će se ono distribuirati.

Distribucija rezultata

1. Interni revizori trebaju raspraviti zaključke i preporuke s ruko-vodstvom odgovarajuće razine prije nego glavni revizor izda konačno priopćenje o angažmanu. To se obično obavlja za vri-jeme trajanja angažmana i/ili na sastancima nakon završetka an-gažmana (tj. na izlaznim sastancima).

2. Druga tehnika je pregledavanje nacrta problema iz angažma-na, primjedbi i preporuka od strane rukovodstva aktivnosti koja se revidira. Takve rasprave i pregledavanje pomažu sigurnosti kako nije došlo do nesporazuma ili krive interpretacije činjeni-ca tako što pružaju mogućnost da naručitelj angažmana razjasni određene predmete te izrazi svoja stajališta o primjedbama, za-ključcima i preporukama.

3. Razina sudionika u raspravi i pregledima može varirati ovisno o organizaciji i prirodi izvješća, a to će obično biti pojedinci koji posjeduju detaljno znanje o poslovima te oni koji mogu odobriti provedbu korektivnih mjera.

4. Glavni revizor treba poslati konačno priopćenje o angažmanu rukovodstvu djelatnosti koja je revidirana te onim članovima organizacije koji mogu osigurati da se rezultatima angažmana posveti odgovarajuća pažnja te poduzeti korektivne mjere ili se pobrinuti da se korektivne mjere poduzmu. Prema potrebi, glav-ni revizor može poslati sažetak priopćenja članovima organiza-cije na višim pozicijama. Glavni revizor također može poslati priopćenje drugim zainteresiranim stranama ili stranama na koje izvještaj ima utjecaja, poput vanjskih revizora i odbora, ako to zahtijeva povelja o internoj reviziji ili politika organizacije.


147Preporuke za rad



2500 – Praćenje napretka

Glavni revizor treba uspostaviti i održavati sustav za praćenje raspolaganja rezultatima koji se prenose upravi.

Praćenje napretka

1. S ciljem učinkovitog nadzora nad raspolaganjem rezultatima glavni revizor treba ustanoviti procedure koje će uključivati:• vremenski rok unutar kojega se traži odgovor uprave na pri-

mjedbe i preporuke iz angažmana• procjenu odgovora uprave• verifikaciju odgovora (prema potrebi)• praćenje angažmana (prema potrebi)• postupak priopćavanja koji eskalira nezadovoljavajuće od-

govore/radnje, uključujući preuzimanje rizika, do odgovara-jućih razina višeg menadžmenta ili odbora.

2. Ako su određene dostavljene primjedbe i preporuke toliko značajne da zahtijevaju hitno djelovanje uprave, interna revi-zija treba pratiti poduzete mjere dok se primjedba ne ispravi ili dok se ne provede preporuka.

3. Interna revizija može učinkovito pratiti napredak pomoću:• upućivanja primjedbi i preporuka angažmana odgovarajućim

razinama rukovodstva odgovornim za poduzimanje korektiv-nih radnji

• primanja i procjenjivanja odgovora uprave i predloženih pla-nova djelovanja na primjedbe i preporuke angažmana tije-kom angažmana ili unutar razumnog vremenskog razdoblja nakon priopćavanja rezultata angažmana; odgovori su ko-risniji ako uključuju dovoljno informacija na temelju kojih glavni revizor može procijeniti adekvatnost i pravovreme-nost predloženih radnji


• primanja periodičkih ažuriranih informacija uprave kako bi mogli procijeniti stanje koraka koje poduzima za ispravlja-nje primjedbi i/ili provedbu preporuka

• primanja i procjenjivanja informacija iz drugih organizacij-skih jedinica odgovornih za procedure praćenja ili korektiv-nog djelovanja

• izvještavanja višem menadžmentu i/ili odboru o statusu od-govora na primjedbe i preporuke iz angažmana.



149Preporuke za rad



2500.A1 – Glavni revizor treba uspostaviti proces praćenja kako bi osigurao učinkovito provođenje akcija uprave ili prihvaćanje rizika nepoduzimanja radnji od strane višeg menadžmenta.

Proces praćenja

1. Interni revizori trebaju utvrditi je li uprava poduzela mjere ili provela preporuke. Interni revizor utvrđuje jesu li postignu-ti željeni rezultati, odnosno preuzima li viši menadžment ili odbor rizik nepoduzimanja korektivnih radnji ili provedbe preporuke.

2. Praćenje je proces pomoću kojeg interni revizori procjenjuju prikladnost, učinkovitost i pravovremenost radnji poduzetih od strane uprave u pogledu priopćenih primjedbi i preporuka, uključujući one internih revizora i drugih. Ovaj proces također uključuje utvrđivanje jesu li viši menadžment i/ili odbor pre-uzeli rizik nepoduzimanja korektivnih radnji vezano uz priop-ćene primjedbe.

3. Odgovornost za praćenje treba se definirati u pisanoj povelji o internoj reviziji. Prirodu, vremenski raspored i opseg praćenja treba odrediti glavni revizor. Čimbenici koje treba razmotriti u utvrđivanju su:• značaj priopćene primjedbe ili preporuke• stupanj napora i trošak potreban za ispravljanje priopćenog

stanja• utjecaj koji može imati, ako korektivna mjera ne uspije• kompleksnost korektivne mjere• potrebno vremensko razdoblje.

4. Glavni revizor je odgovoran za planiranje aktivnosti praćenja kao dijela razvijanja programa rada angažmana. Planiranje praćenja treba se temeljiti na riziku i izlaganju riziku, kao i stupnju težine i značenju vremena u provedbi korektivnih mjera.


5. Kad glavni revizor na temelju odgovora uprave prosudi da su poduzete mjere dovoljne (odmjerene u odnosu na relativnu važnost primjedbe ili preporuke), praćenje se može provesti kao dio sljedećeg angažmana.

6. Interni revizori trebaju utvrditi kako mjere poduzete u vezi primjedbi i preporuka rješavaju temeljno stanje. Aktivnosti praćenja trebaju se odgovarajuće dokumentirati.



Documents

Povelja o internoj reviziji Primarni povezani standard · PDF file1. Osobe koje interna revizija premjesti ili koje su privremeno angažirane ne smiju se raspodijeliti na revizije