Globalni institut internih revizora (IIA) je usvojio globalno prihvaćenu definiciju interne revizije kako slijedi:
Interna revizija je neovisno i objektivno pružanje angažmana s izražavanjem uvjerenja i savjetodavnih usluga, osmišljena da doprinosi stvaranju dodane vrijednosti i unapređuje poslovanje organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.
Neovisnost se utvrđuje organizacijskom i izvještajnom strukturom. Objektivnost se postiže odgovarajućim načinom razmišljanja. Interna revizija procjenjuje izloženost riziku koji se odnosi na upravljanje, poslovanje i informacijske sustave organizacije, u odnosu na:
Učinkovitost i efikasnost poslovanja.
Pouzdanost i integritet financijskih i operativnih informacija.
Čuvanje imovine.
Usklađenost sa zakonima, propisima i ugovorima.
Na temelju rezultata procjene rizika, interni revizori ocjenjuju primjerenost i učinkovitost načina na koji se rizici identificiraju i upravljaju u navedenim područjima. Oni također procjenjuju druge aspekte kao što su etika i vrijednosti unutar organizacije, upravljanje učinkom, komunikacija rizika i kontrolnih informacija unutar organizacije kako bi se olakšao proces dobrog upravljanja.
Od internih revizora se očekuje da daju preporuke za poboljšanje u onim područjima u kojima se utvrde prilike ili nedostaci. Dok je uprava odgovorna za interne kontrole, aktivnost interne revizije daje jamstvo menadžmentu i revizijskom odboru da su interne kontrole učinkovite i rade kako je predviđeno. Aktivnost interne revizije vodi glavni interni revizor (CAE). CAE opisuje opseg aktivnosti, ovlasti i neovisnost interne reviziju u pisanoj povelji koju odobrava revizijski odbor.
Učinkovita interna revizija je vrijedan resurs za menadžment i nadzorni odbor ili njegov ekvivalent, te revizijski odbor zbog razumijevanja organizacije i njezine kulture, poslovanja i profila rizika. Objektivnost, vještine i znanje kompetentnih internih revizora mogu značajno dodati vrijednost internoj kontroli, upravljanju rizicima i procesima upravljanja u organizaciji. Slično, efikasna aktivnost interne revizije može pružiti uvjerenje drugim dionicima kao što su regulatori, zaposlenici, i društvo u cjelini.
Kao kamen temeljac dobrog upravljanja, interna revizija premošćuje jaz između nadzornog odbora i uprave, procjenjuje etičku klimu te učinkovitost i efikasnost poslovanja i služi kao sigurnosna mreža organizacije za usklađenost s pravilima, propisima i ukupnim najboljim poslovnim praksama.
Menadžment je odgovoran za uspostavljanje i održavanje sustava internih kontrola unutar organizacije. Interne kontrole su one strukture, aktivnosti, procesi i sustavi koji pomažu menadžmentu da učinkovito ublaži rizike za postizanje ciljeva organizacije. Uprava je zadužena za ovu odgovornost u ime dionika organizacije, a za efikasnost uprave u provođenju datih ovlasti odgovornost snosi nadzorno tijelo (npr. upravni odbor, revizijski odbor, izabrani predstavnici).
Posvećena, neovisna i učinkovita aktivnost interne revizije pomaže upravi i nadzornom tijelu (npr. nadzornom odboru, revizijskom odboru) u ispunjavanju njihovih odgovornosti donoseći sustavan, discipliniran pristup procjeni učinkovitosti dizajna i provedbe sustava internih kontrola i procesa upravljanja rizicima. Objektivna procjena internih kontrola i procesa upravljanja rizicima od strane interne revizije pruža menadžmentu, nadzornom tijelu i eksternim dionicima neovisno uvjerenje da su rizici organizacije na odgovarajući način ublaženi. Budući da su interni revizori stručnjaci za razumijevanje organizacijskih rizika i internih kontrola dostupnih za ublažavanje tih rizika, oni pomažu menadžmentu u razumijevanju ovih tema i daju preporuke za poboljšanja.
Organizacije koje nemaju funkciju interne revizije stoga propuštaju vrijedne pogodnosti koje pružaju profesionalni interni revizori. Osim toga, oni također riskiraju oslanjanje na menadžment koji možda nije u najboljoj poziciji da pruži stručna, neovisna i objektivna mišljenja o internim kontrolama.
Neke organizacije dodjeljuju internu reviziju na nepuno radno vrijeme postojećem članu osoblja koji ima druge odgovornosti. Kada se to dogodi, osoba nema profesionalnu obuku interne revizije ili iskustvo potrebno za optimalnu učinkovitost. Takve organizacije riskiraju loše obavljene revizije i preglede, a ovoj osobi, koja može biti relativno mlađa u organizaciji, možda nedostaje organizacijski status i status za postizanje pozitivnih rezultata. U ovom okruženju, procesi visokog rizika možda neće biti identificirani, a ozbiljni nedostaci interne kontrole mogu se previdjeti.
Primarna lekcija iz financijskog neuspjeha i kolapsa brojnih organizacija je da su dobro upravljanje, upravljanje rizicima i interne kontrole bitni za uspjeh i dugovječnost poduzeća. Zbog svoje jedinstvene i objektivne perspektive, dubokog organizacijskog znanja, neovisna interna revizije, uz odgovarajuće resurse, u dobroj je poziciji da pruži vrijednu podršku i jamstvo organizaciji i njezinim nadzornim tijelima.
Iako praksa interne revizije nije posebno regulirana, globalni institut internih revizora (IIA) kao priznati autoritet profesije interne revizije i glavni edukator donosi sveobuhvatne profesionalne smjernice kroz Međunarodni okvir profesionalnog djelovanja (MPOD; eng. IPPF). IPPF obuhvaća temeljna načela, misiju i definiciju interne revizije, Međunarodne standarde za profesionalno obavljanje interne revizije (Standardi), Etički kodeks, provedbene i dodatne smjernice. Usklađenost sa Standardima i Etičkim kodeksom obvezna je za sve članove IIA-e i ovlaštene interne revizore (CIA). IIA također pruža smjernice za procjenu, održavanje i poboljšanje kvalitete aktivnosti interne revizije.
NEOVISNOST: Revizijska povelja trebala bi utvrditi neovisnost aktivnosti interne revizije dvostrukim odnosom izvješćivanja prema menadžmentu i nadzornom tijelu organizacije, najčešće nadzornom odboru. Konkretno, voditelj revizije bi trebao administrativno odgovarati upravi ili višem menadžmentu, a funkcionalno revizijskom ili nadzornom odboru. Interni revizori trebaju imati pristup svim dijelovima organizacije, dokumentaciji i osoblju prema potrebi, te biti u prilici koristiti odgovarajuće revizijske tehnike bez ograničenja.
OBJEKTIVNOST: Kako bi se održala objektivnost, interni revizori ne bi trebali imati osobnu ili profesionalnu uključenost u područje koje se revidira; revizor treba zadržati nepristran način razmišljanja u provođenju svih tipova angažmana.
Neovisnost i objektivnost dvije su ključne komponente efikasne i učinkovite interne revizije.
"Interni revizor zauzima jedinstvenu poziciju. Interni revizor je dio menadžmenta, ali se također očekuje da preispita ponašanje uprave što može stvoriti značajnu napetost budući je neovisnost internog revizora od menadžmenta neophodna kako bi revizor objektivno procijenio djelovanje uprave, ali je ovisnost internog revizora o upravi kada govorimo o zapošljavanju vrlo jasna."
Stoga bi aktivnost interne revizije trebala biti definirana poveljom interne revizije kojom se utvrđuju svrha, ovlasti i odgovornosti interne revizije kao potpora njezinoj neovisnosti i objektivnosti unutar organizacije.
Interni revizori neovisni su kada donose nepristrane prosudbe u obavljanju svog angažmana. Kako bi se osigurala ova neovisnost, najbolje prakse sugeriraju da bi glavni interni revizor trebao izvještavati izravno revizijski odbor ili njegov ekvivalent. Administrativno, glavni interni revizor bi trebao izvještavati najvišeg izvršnog direktora (tj. glavnog izvršnog direktora [CEO]) organizacije. Glavni interni revizor bi trebao imati izravnu komunikaciju s revizijskim odborom, što jača organizacijski status interne revizije, omogućuje punu podršku i neograničen pristup organizacijskim resursima i osigurava da nema narušavanja neovisnosti. To pruža dovoljno ovlasti da se osigura široka pokrivenost revizijom, adekvatno razmatranje komunikacije o angažmanu i odgovarajuće djelovanje u vezi s preporukama. Neovisnost je dodatno poboljšana ako glavni interni revizor izvještava revizijski odbor o planiranju, izvršenju i rezultatima revizijskih aktivnosti. Revizijski odbor također je odgovoran za imenovanje, smjenu i utvrđivanje naknade glavnom internom revizoru. Odbor bi trebao štititi neovisnost periodičkim odobravanjem povelje interne revizije.
Objektivnost je mentalni stav koji interni revizori trebaju zadržati tijekom obavljanja angažmana. Interni revizor trebao bi imati nepristran stav i izbjegavati situacije sukoba interesa, jer bi to ugrozilo njegovu/njezinu sposobnost objektivnog obavljanja dužnosti. Rezultate rada interne revizije treba pregledati prije nego što se objave kako bi se pružila razumna sigurnost da je posao obavljen objektivno.
Interni revizori ne bi trebali preuzimati nikakvu operativnu odgovornost. Može se pretpostaviti da je objektivnost narušena kada interni revizori provode angažman s izražavanjem uvjerenja o bilo kojoj aktivnosti za koju su imali bilo kakve ovlasti ili odgovornost u protekloj godini ili razdoblju dovoljno značajnom da utječe na njihovu prosudbu ili mišljenje. Interni revizori ne bi trebali prihvaćati darove ili usluge od drugih kao što su zaposlenici, klijenti ili poslovni suradnici.
Interni revizori trebali bi usvojiti politiku koja podržava njihovu predanost poštivanju Etičkog kodeksa, izbjegavajući sukob interesa, otkrivajući svaku aktivnost koja bi mogla rezultirati mogućim sukobom interesa.
Širok raspon vještina i stručnosti te stalni profesionalni razvoj kritični su za formiranje i održavanje učinkovite aktivnosti interne revizije. Bitni elementi uključuju dubinsko poznavanje industrije i standarda interne revizije te najbolje prakse organizacije; tehničko razumijevanje i stručnost; poznavanje vještina za implementaciju i poboljšanje procesa u financijskim i operativnim područjima; jake komunikacijske i prezentacijske vještine; i stručno certificiranje, npr. CIA.
Iako se može pojaviti potreba za dodatnim internim ili eksternim izvršiteljima kada kompetencije i specijalizirane vještine nisu dostupne, nadzor i odgovornost za aktivnosti interne revizije ne mogu se prepustiti eksternim izvršiteljima.
Današnji interni revizori moraju svojim revizijskim odborima dati eksplicitno uvjerenje o organizacijskom upravljanju, kao i zadovoljiti sve veće zahtjeve menadžmenta i drugih dionika. Moraju se istaknuti kao stručnjaci za internu kontrolu i upravljanje rizicima kako bi osigurali da su kontrole nad ključnim sustavima i poslovnim procesima robusne i učinkovite. Kako bi se ispunila ova visoka očekivanja, ključna je čvrsta strategija zapošljavanja. Odgovornost CAE-a je uspostaviti učinkovit program za odabir i razvoj tima za unutarnju reviziju.
Kombinacija vještina, znanja i veličina revizorskog tima trebaju se odrediti prema uslugama koje očekuju revizijski odbor i uprava kako bi se zadovoljile organizacijske potrebe. U idealnom slučaju, revizijska aktivnost trebala bi uključivati pojedince s različitim pozadinama, vještinama i iskustvom kako bi se pružila odgovarajuća kontrola kontrole za podršku poslovanju u širokom rasponu pitanja rizika i interne kontrole.
Aktivnosti interne revizije sve više obavljaju multidisciplinarni timovi koji uključuju inženjere, računovođe, pa čak i stručnjake za zaštitu okoliša koji odražavaju širok raspon današnjih potreba za pružanjem uvjerenja. Također, stručnjaci za reviziju informacijske tehnologije ključna su komponenta suvremenih aktivnosti interne revizije. Stoga bi CAE trebao biti ovlašten da po potrebi dobije pomoć i podršku od stručnjaka izvan organizacije.
Godišnji pregled kadrovske strategije od strane CAE-a trebao bi se temeljiti na definiranim parametrima kao što su potrebe odbora za reviziju za uvjerenjem, očekivanja menadžmenta, poslovni rast i strategije, disperzija poslovanja, postizanje ciljeva revizije, usklađenost s propisima i fluktuacija osoblja. CAE bi trebao procijeniti vještine i znanja članova tima i promicati kontinuirani profesionalni razvoj kako bi zadržao i poboljšao znanje, vještine i kompetencije u svim relevantnim područjima.
Nepostojanje adekvatnog i kompetentnog osoblja interne revizije rizik je koji organizaciju izlaže neadekvatnoj evaluaciji učinkovitosti procesa upravljanja rizicima, kontrole i upravljanja.
Konačno, IIA's Certified Internal Auditor® (CIA®) jedini je globalno prihvaćen certifikat za interne revizore i ostaje standard kojim pojedinci pokazuju svoju kompetenciju i profesionalnost u području interne revizije.
Glavni interni revizor mora posjedovati znanja i vještine o poslovnim procesima i upravljanju, vođenju i komunikaciji kako bi učinkovito ojačali predanost organizacije snažnim internim kontrolama. Moraju se usredotočiti na kvalitetu, efikasnost i učinkovitost, neovisnost, objektivnost, etiku, integritet i profesionalnost.
Kako bi stručno obavljao ulogu glavnog izvršnog direktora revizije, praktičar interne revizije mora posjedovati mnoge osobne vještine i profesionalne kompetencije vrijedne divljenja. U nastavku su neki od kritičnijih atributa i vještina potrebnih da glavni interni revizor bude učinkovit u današnjem globalnom poslovnom, tehnološkom i revizijskom okruženju.
Atributi
Neovisan, objektivan i etičan — CAE mora biti i partner menadžmentu u praćenju etičkog i operativnog okruženja organizacije i neovisan i objektivan stručnjak u procjeni rezultata rada menadžmenta u ime nadzornog odbora ili revizijskog odbora. CAE mora uravnotežiti ove dvije odgovornosti i dati nepristranu i pravičnu procjenu svih okolnosti. Beskompromisna etika, sposobnost otvorenog slušanja te snaga i integritet da bude čvrst pod pritiskom omogućit će CAE-u da se suprotstavi revizijskom odboru i višem rukovodstvu, te im ponekad kaže ono što ne žele čuti.
Intelektualno znatiželjan — CAE mora biti znatiželjan istraživač, istraživački novinar i strastveni analitičar, čija je uloga uvijek otkrivati, tumačiti i ispitivati. To omogućuje CAE-u da pruži objektivno, neovisno jamstvo i profesionalne savjete svim razinama menadžmenta, kao i da utre put prema kontinuiranom poboljšanju organizacije.
Agent za promjenu — CAE treba posjedovati predanost poboljšanju (promjeni) bilo čega unutar organizacije. Nadalje, CAE također mora utjecati i uvjeriti druge da se poboljšaju.
Usmjerenost kvaliteti — CAE bi trebao biti orijentiran na kvalitetu, s jakim fokusom na aktivnosti interne revizije kako bi se postigla najviša razina profesionalizma. To uključuje poštivanje međunarodnog okvira profesionalne prakse, uspostavu programa osiguranja i poboljšanja kvalitete te podvrgavanje internim i eksternim procjenama kvalitete.
Vještine
Poslovne, tehničke i procesne vještine — Kako bi učinkovito procijenio rizik, procijenio dostatnost kontrola, identificirao prilike za poboljšanje procesa i učinkovito komunicirao s menadžmentom, CAE mora dobro razumjeti industriju, proizvode, usluge i metode poslovanje.
Osnovno IT znanje — Zbog brzih promjena u informacijskoj tehnologiji, od CAE se ne očekuje da bude IT stručnjak. Međutim, ključno je da ima temeljno razumijevanje IT okruženja organizacije kako bi u potpunosti shvatio veličinu tehnoloških problema i kako bi učinkovito procijenio tehnološke rizike i predstavio ih menadžmentu i revizijskom odboru.
Vještine komunikacije i slušanja — CAE mora komunicirati na sažet, profesionalan način kako bi bio učinkovit u artikuliranju rizika i prilika širokom rasponu dionika, uključujući revizijski odbor, menadžment, eksterne revizore i regulatorne agencije. CAE također mora pokazati izvrsne vještine slušanja u svim interakcijama s nadzornim odborom, revizijskim odborom, izvršnim menadžmentom, operativnim menadžmentom i zaposlenicima interne revizije.
Upravljanje ljudima — Kako bi se izgradio i održao uspješan revizorski tim, CAE mora biti učinkovit vođa i pokazati vještine upravljanja. CAE bi trebao imati sposobnost da izvuče ono najbolje iz ljudi, istovremeno uravnotežujući njihove različite potrebe profesionalnog rasta, razvoja i ravnoteže između posla i privatnog života.
Kako bi se osigurala transparentnost i spriječio sukob interesa, najbolja praksa ukazuje da aktivnost interne revizije treba imati dvostruku liniju izvješćivanja. CAE bi trebao administrativno izvještavati izvršnu upravu te funkcionalno nadzorno tijelo organizacije – obično revizijski odbor.
Odgovarajući odnosi izvješćivanja apsolutno su kritični ako interna revizija želi postići neovisnost, objektivnost i organizacijski status nužan za ispunjavanje svojih obveza i mandata za efikasnu procjenu internih kontrola, upravljanja rizicima i upravljanja. Kao neovisne oči i uši revizijskog odbora ili ekvivalenta, važno je da aktivnost interne revizije bude strukturno neovisna i bez prisile uprave. Zahtjev da CAE bude istinski neovisan prihvaćen je na globalnoj razini, a organizacije trebaju uskladiti linije izvještavanja s Međunarodnim standardima za profesionalnu praksu interne revizije (Standardi) IIA-e.
Standardi zahtijevaju da CAE izvješćuje na razini unutar organizacije koja omogućuje funkciji interne revizije da ispuni svoje odgovornosti. Kako bi se postigla potrebna neovisnost, najbolje prakse sugeriraju da bi CAE trebao izvještavati izravno revizijski odbor ili njegov ekvivalent. Za svakodnevne administrativne svrhe, CAE bi trebao izvještavati najvišeg izvršnog direktora (tj. glavnog izvršnog direktora [CEO]) organizacije.
Isključivo izvještavanje menadžmenta moglo bi izgledati dobro kada su tvrtke prosperitetne i nemaju problema. Međutim, ova linija izvješćivanja brzo postaje neodrživa, kada postoje ozbiljna pitanja koja treba iznijeti na revizijski odbor ili drugo upravljačko tijelo. Ako dvojna struktura izvješćivanja nije uspostavljena, menadžment može neopravdano utjecati na plan revizije, opseg i jesu li problemi izvještavani na odgovarajući način. To predstavlja ozbiljan sukob, ograničava opseg i ugrožava efikasnost interne revizije.
Svaki odnos izvješćivanja koji ometa neovisnost i efikasno djelovanje interne revizije trebao bi se promatrati kao ozbiljno ograničenje djelokruga i zahtjeva pozornost uprave, revizijskog odbora ili slično.
Revizijski odbor ili drugi odgovarajući neovisni nadzorni podskup nadzornog odbora, ključan je za osiguravanje da organizacija ima jake i učinkovite procese koji se odnose na neovisnost, internu kontrolu, upravljanje rizikom, usklađenost, etiku, i financijske objave.
Revizijski odbor obično služi kao veza između odbora direktora, eksternih revizora, internih revizora i financijskog upravljanja. Općenito, svrha revizijskog odbora je pomoći upravi u nadzoru:
Pouzdanosti financijskih izvještaja i objava subjekta.
Učinkovitosti internih kontrola i sustava upravljanja rizicima.
Usklađenosti s kodeksom poslovnog ponašanja te zakonskim i regulatornim zahtjevima.
Neovisnosti, kvalifikacije i rada eksternih revizora i obavljanja aktivnosti interne revizije.
Kako bi potaknuo ovu vrstu nadzora, IIA preporučuje i da svako javno poduzeće ima revizijski odbor organiziran kao stalni pododbor nadzornog odbora. Ovo se također preporučuje za druge vrste organizacija, uključujući neprofitne i vladine subjekte.
Uloga revizijskog odbora globalno se širi i uključuje nadzor mehanizama za prijavu zviždača, upravljanje rizicima poduzeća, transakcije s povezanim stranama i interakciju s pravnom funkcijom subjekta.
Bez obzira na zakonske zahtjeve, smatra se dobrom praksom da članovi revizijskog odbora budu neovisni neizvršni direktori te da barem jedan član revizijskog odbora ima znanje/stručnost o financijskom upravljanju ili računovodstvu.
Kada se imenuju samo neizvršni direktori i postigne neovisnost revizijskog odbora, poboljšava se proces financijskog izvješćivanja, korporativno upravljanje i interna kontrola. Revizijski odbor obično ima ovlast za provođenje istraga u okviru svojih odgovornosti i zadržavanje pravnih, računovodstvenih i drugih savjetnika. Ovaj statusa ovlasti imaju važnu ulogu u rješavanju nesuglasica između uprave i eksternih revizora u vezi s financijskim izvješćivanjem i drugim pitanjima.
Neovisnost odbora za reviziju koristi korporativnom upravljanju i internoj kontroli. Neovisnost interne revizije je poboljšana kada se revizijski odbor složi s imenovanjem ili smjenom CAE-a. Neovisnost je dodatno ojačana kada interni revizori izravno izvješćuju revizijski odbor. Ovaj odnos izvješćivanja pomaže da se osigura da interni revizori imaju odgovarajuću zaštitu u slučajevima nedoličnog ponašanja ili prijevare koja uključuje više rukovodstvo, a također može poboljšati njihov status u organizaciji.
Posjedovanje specijaliziranih vještina u područjima financijskog izvješćivanja, korporativnog upravljanja i interne kontrole pomaže osigurati učinkovitiji nadzor upravljanja, potiče točnost i transparentnost financijskih izvještaja te stavlja odgovarajući fokus na poslovne rizike i interne kontrole.
Odgovarajuća povelja revizijskog odbora posebno definira ključne financijske preglede, odnose izvješćivanja i druga pitanja. Povelja pomaže osigurati odgovarajuću usredotočenost definiranjem opsega odgovornosti odbora i načina na koji ono provodi te odgovornosti, uključujući strukturu, procese i kriterije za članstvo.
Interni revizori daju revizijskom odboru objektivnu procjenu stanja rizika organizacije, aktivnosti kontrole, upravljanja i praćenja.
Interni revizori trebali bi redovito izvještavati revizijski odbor o značajnim izloženostima rizicima i pitanjima kontrole, pitanjima korporativnog upravljanja i drugim traženim informacijama. Dodatno, interni revizori mogu djelovati kao savjetnici i pružati kritične usluge koje su integrirane u svaku od aktivnosti i procesa revizijskog odbora. Da bi se to postiglo, nužan je snažan poslovni odnos, međusobno povjerenje i efikasan dijalog između internih revizora i revizijskog odbora.
Interni revizori trebaju revizijskom odboru redovito dostavljati sljedeće:
Neovisno, objektivno uvjerenje i savjetodavne aktivnosti povezane s procjenom učinkovitosti procesa upravljanja rizicima, kontrole i upravljanja u organizaciji. Kao dio ovih usluga, interni revizori trebali bi priopćiti odboru značajna zapažanja o angažmanu, informacije o upravljanju prijevarama i preporuke jesu li problemi riješeni na zadovoljavajući način. Kad je to prikladno, revizijski odbor trebao bi se privatno sastati s CAE-om kako bi razgovarali o osjetljivim pitanjima u vezi s tim procjenama.
Prikupljanje informacija i/ili dogovaranje razgovora sa stručnjacima za predmetnu oblast radi rješavanja pitanja revizijskog odbora i potreba za informacijama vezanim uz upravljanje rizikom, kontrolu i procese upravljanja. Dodatno, interni revizori trebali bi pregledati informacije dostavljene revizijskom odboru kako bi osigurale potpunost i točnost.
Potvrda o adekvatnosti revizijskog osoblja i proračunskim zahtjevima, kao i opsegu i rezultatu aktivnosti interne revizije. Namjera ovog pregleda je osigurati da nema proračunskih ograničenja ili ograničenja opsega koja ometaju sposobnost aktivnosti interne revizije da izvršava svoje odgovornosti.
Informacije o koordinaciji i nadzoru drugih funkcija kontrole i praćenja (npr. upravljanje rizikom, usklađenost, sigurnost, kontinuitet poslovanja, etika, okoliš). Ova bi aktivnost trebala pomoći osigurati da postoji efikasna i učinkovita koordinacija aktivnosti unutar organizacije. Interni revizori također trebaju koordinirati svoje aktivnosti s eksternim revizorima gdje je to prikladno i izvedivo.
Informacije o novonastalim trendovima i uspješnim praksama interne revizije.
Revizijski odbor i interni revizori međusobno su ovisni i trebali bi biti međusobno dostupni, pri čemu interni revizori daju objektivna mišljenja, informacije, podršku i edukaciju revizijskom odboru; a revizijski odbor osigurava validaciju i nadzor internim revizorima.
IIA prepoznaje da revizijski odbori i interni revizori imaju međusobno povezane ciljeve. Snažan poslovni odnos je neophodan je za ispunjavanje odgovornosti prema višem menadžmentu, nadzornom odboru, dioničarima i drugim dionicima. Odgovarajuće linije izvješćivanja za interne revizore ključne su ako žele postići svoju potrebnu neovisnost, objektivnost i organizacijski status potreban za učinkovitu procjenu sustava kontrole, upravljanja rizicima i procesa upravljanja organizacije. Najbolja praksa preporučuje da, radi postizanja potrebne neovisnosti, interni revizor treba izravno izvještavati revizijski odbor ili njegov ekvivalent.
Pet je ključnih komponenti efikasnog odnosa između revizijskog odbora i internih revizora:
Šaljite revizijskom odboru povremena priopćenja o rizicima s kojima se organizacija suočava.
Pomozite revizijskom odboru da osigura da su statut, aktivnosti i procesi odbora prikladni.
Osigurati da se povelja, uloga i aktivnosti interne revizije jasno razumiju i odgovaraju potrebama revizijskog odbora i nadzornog odbora.
Održavajte otvorenu i učinkovitu komunikaciju s revizijskim odborom i predsjednikom.
Osigurati obuku, prema potrebi, članovima revizijskog odbora o temama rizika i internih kontrola.
Neophodan je izravan kanal komunikacije između CAE-a i revizorskog odbora. To obično uključuje izravan dostup CAE predsjedniku odbora za reviziju i sudjelovanje na sastancima revizijskog odbora kako bi predstavio plan revizije, izvijestio o rezultatima velikih revizija i ključnim revizijskim nalazima ili drugim pitanjima, te raspravljao o zapažanjima interne revizije o rizicima i sustavu internih kontrola unutar organizacije. Odnos se može dodatno ojačati eksplicitnim dopuštanjem komunikacije izvan sjednice između CAE-a i predsjednika revizijskog odbora, osobito u slučaju kritičnih okolnosti kao što su ozbiljne prijevare i drugi materijalno rizični događaji.
CAE i revizijski odbor trebali bi se sastajati redovito bez prisutnosti uprave i eksternih revizora. Ove rasprave trebale bi se usredotočiti na osiguranje da opseg interne revizije nije ograničen, zabrinutosti koje CAE može imati u vezi s članom višeg rukovodstva, svim potrebnim administrativnim pitanjima i drugim stvarima koje svaka strana želi iznijeti na stol.
Učinkovito određivanje prioriteta uključuje usklađivanje s prioritetima rizika organizacije i pristupa planiranju interne revizije koji se temelji na riziku. Kontinuiranim praćenjem organizacijskih promjena koje bi mogle promijeniti plan, glavni interni revizor bi trebao biti sposoban pružiti informirane i jasne preporuke menadžmentu i upravi o najučinkovitijem korištenju resursa interne revizije.
S obzirom na potencijalnu veličinu revizorskog obuhvata, opseg aktivnosti i potrebu za efikasnim korištenjem ograničenih resursa interne revizije, ključno je odrediti prioritete i planirati revizijske angažmane na temelju godišnje procjene rizika promatrano iz perspektive organizacijskih ciljeva i zadataka.
Većina modela koje koriste CAE-ovi za određivanje prioriteta u svom revizijskom radu uzimaju u obzir čimbenike kao što su financijski utjecaj, likvidnost imovine, kompetencija upravljanja, kvaliteta internih kontrola, stupanj promjene ili stabilnosti, vrijeme posljednjeg revizijskog angažmana, složenost i strateški rizici. U provođenju revizijskih angažmana, metode i tehnike za testiranje i provjeru izloženosti trebaju uzeti u obzir značajnost rizika i vjerojatnost nastanka.
Tijekom cijele godine CAE bi trebao obaviti dovoljnu količinu revizijskog rada i prikupiti dovoljno informacija kako bi stvorio sud o primjerenosti i učinkovitosti organizacijskih procesa upravljanja rizicima i kontrole.
Nakon što se razvije plan revizije utemeljen na riziku, CAE bi trebao priopćiti planove aktivnosti interne revizije, zahtjeve za resursima i povezana ograničenja višem rukovodstvu i odgovarajućem upravljačkom tijelu na pregled i odobrenje.
Promjene u smjeru upravljanja, ciljevima, naglasku i fokusu trebale bi se odraziti promjenama u revizijskom obuhvatu i povezanom revizijskom planu, koji bi mogao zahtijevati često (tromjesečno) ažuriranje. Sve značajne izmjene treba dostaviti odgovarajućim tijelima upravljanja na pregled i odobrenje.
U konačnici, plan revizije trebao bi se baviti i podržavati najučinkovitije korištenje resursa interne revizije. Usklađivanje aktivnosti unutarnje revizije s operativnim i strateškim ciljevima i ciljevima organizacije kroz procjenu rizika osigurat će učinkovito korištenje resursa interne revizije, a menadžmentu pružiti vrijedne uvide u aktivnosti upravljanja rizicima.
Praksa upravljanja rizikom, koji je ključni element upravljanja, tradicionalno se odvija unutar pojedinih poslovnih jedinica i/ili dijelova poslovnih jedinica; a u manjoj mjeri u cijeloj organizaciji. ERM ima širi pristup portfelju i bavi se rizicima i prilikama koji utječu na stvaranje ili očuvanje organizacijske vrijednosti.
ERM je definiran kao proces koji provodi uprava i drugo osoblje subjekta u okviru definiranja strategije i u cijeloj organizaciji; osmišljen da identificira potencijalne događaje koji mogu utjecati na organizaciju; upravljanja rizikom tako da bude u okviru svoje sklonosti riziku kako bi se pružila razumna sigurnost u pogledu postizanja ciljeva organizacije.
Svatko u organizaciji igra ulogu u osiguravanju uspješnog upravljanja rizicima, ali menadžment snosi primarnu odgovornost za identificiranje i upravljanje rizikom te za implementaciju ERM-a u strukturiranom, dosljednom i koordiniranom pristupu. Odbor, ili njegov ekvivalent, ima sveukupnu odgovornost za praćenje rizika i za stjecanje uvjerenja da se njima upravlja na prihvatljivoj razini. Interni revizori, u svojim ulogama davanja uvjerenja i savjetovanja, doprinose upravljanju rizikom na različite načine. Oni igraju ključnu ulogu u procjeni učinkovitosti — i preporučanju poboljšanja — ERM-a.
Različite uloge internih revizora u ERM-u ovise o zrelosti ERM procesa u organizaciji. Ograničenje koje treba postojati prije nego što interni revizori izvrše svoju ulogu vezanu za ERM je osigurati da cijela organizacija u potpunosti razumije odgovornost menadžmenta za upravljanje rizicima.
Osnovna uloga internih revizora je pružiti objektivno uvjerenje upravi i višem rukovodstvu o učinkovitosti aktivnosti ERM-a kako bi se osiguralo da se ključnim poslovnim rizicima upravlja na odgovarajući način i da sustav interne kontrole djeluje učinkovito.
Uloga interne revizije povezane s ERM-om uključuje:
Pružanje uvjerenja o dizajnu i učinkovitosti procesa upravljanja rizicima.
Pružanje uvjerenja da su rizici ispravno procijenjeni.
Ocjenjivanje procesa upravljanja rizicima.
Vrednovanje izvješćivanja o statusu ključnih rizika i kontrola.
Pregled upravljanja ključnim rizicima, uključujući učinkovitost kontrola i drugih odgovora na njih.
Interni revizori podupiru napore uprave da uspostavi kulturu koja obuhvaća etiku, poštenje i integritet. Oni pomažu menadžmentu u ocjeni internih kontrola koje se koriste za otkrivanje ili ublažavanje prijevare, ocjenjuju organizacionu procjenu rizika od prijevare i uključeni su u sve istrage prijevare.
Iako je odgovornost menadžmenta za osmišljavanje internih kontrola kako bi se spriječile, otkrile i ublažile prijevare, interni revizori su odgovarajući resurs za procjenu učinkovitosti onoga što je uprava implementirala. Stoga, ovisno o direktivama uprave, nadzornog odbora, odbora za reviziju ili drugog upravljačkog tijela, interni revizori mogu imati različite konzultantske, osiguravajuće, suradničke, savjetodavne, nadzorne i istražne uloge u procesu upravljanja prijevarama u organizaciji.
Kompetentni profesionalni interni revizori vrlo su stručni u tehnikama koje se koriste za ocjenjivanje internih kontrola. Ta stručnost, zajedno s njihovim razumijevanjem pokazatelja prijevare, omogućuje im da procijene rizike prijevare u organizaciji i savjetuju menadžment o potrebnim koracima koje treba poduzeti kada su pokazatelji prisutni.
Iako interni revizori mogu imati izravnu ulogu u istraživanju incidenata prijevare, općenito se ne očekuje da imaju stručnost onih čija je primarna odgovornost otkrivanje i istraživanje prijevare.
Kada interni revizori imaju primarnu odgovornost za prijevare, moraju imati ključne kompetencije za ovaj posao — obično stečene kroz specijaliziranu obuku i povezana iskustva. Oni također mogu biti certificirani kao istražitelji prijevare ili forenzički istražitelji.
Iako su neovisni o aktivnostima koje revidiraju, interni revizori sastavni su dio organizacije i pružaju kontinuirano praćenje i ocjenu svih aktivnosti. Naprotiv, eksterni revizori su neovisni o organizaciji i daju godišnje mišljenje o financijskim izvještajima. Rad internih i eksternih revizora trebao bi biti koordiniran radi optimalne efikasnosti i učinkovitosti.
Interni i eksterni revizori imaju zajedničke interese u pogledu efikasnosti internih financijskih kontrola. Obje se profesije pridržavaju etičkih kodeksa i profesionalnih standarda koje su postavila njihova profesionalna udruženja. Međutim, postoje velike razlike u odnosu na njihov odnos s organizacijom te na njihov opseg rada i ciljeve.
Interni revizori dio su organizacije. Njihovi ciljevi određeni su profesionalnim standardima, odborom i menadžmentom. Njihovi primarni klijenti su uprava i nadzorni odbor. Eksterni revizori nisu dio organizacije, ali ih ona angažira. Njihovi ciljevi definirani su prvenstveno statutom i njihovim primarnim klijentom — nadzornim odborom.
Djelokrug rada internog revizora je sveobuhvatan. Služi organizaciji pomažući joj da ostvari svoje ciljeve i poboljšava poslovanje, upravljanje rizikom, interne kontrole i procese upravljanja. Zaokupljeni svim aspektima organizacije — i financijskim i nefinancijskim — interni revizori se usredotočuju na buduće događaje kao rezultat njihovog kontinuiranog pregleda i evaluacije kontrola i procesa. Također su posvećeni sprječavanju prijevara u bilo kojem obliku.
Primarna misija eksternih revizora je davanje neovisnog mišljenja o financijskim izvještajima organizacije, godišnje. Njihov je pristup povijesne prirode, jer procjenjuju jesu li izvještaji u skladu s općeprihvaćenim računovodstvenim načelima, prikazuju li istinito financijski položaj organizacije te jesu li rezultati poslovanja za određeno vremensko razdoblje točno prikazani.
Interni i eksterni revizori trebali bi se povremeno sastajati kako bi razgovarali o zajedničkim interesima; imati koristi od komplementarnih vještina, stručnosti i perspektiva; steći razumijevanje o djelokrugu i metodama rada; raspravljati o pokrivenosti revizijom i rasporedu radi minimiziranja preklapanja; omogućiti pristup izvješćima, programima i radnim dokumentima; i zajednički procijeniti područja rizika. U ispunjavanju svojih nadzornih odgovornosti pružanja uvjerenja, nadzorni odbor bi trebao zahtijevati koordinaciju rada interne i eksterne revizije kako bi povećao ekonomičnost, učinkovitost i efikasnost cjelokupnog procesa revizije.
