hiir zbornik (prezentacije sa konferencije)
DESCRIPTION
Skup prezentacija sa 5. međunarodne konferencije HIIR-a održane u Zadru 2013. g.TRANSCRIPT
1
PREDGOVOR
Jedan od značajnih zadataka HIIR-a je organiziranje godišnjih konferencija internih revizora. Konferencije internih revizora su način i sredstvo razmjene znanja, infomacija te medij komunikacije internih revizora i stručne javnosti o svim značajnim temama za razvoj interne revizije u Republici Hrvatskoj.
U proteklih nekoliko godina od kada smo počeli provoditi anketu o zadovoljstvu sudionika, svake godine ocjene su sve bolje. To je odraz rada na pripremi i organizaciji konferencija, odabiru tema, prezentera i moderatora i njihovog velikog doprinosa razvoju interne revizije u Hrvatskoj. Sudionici su u svim aspektima ocijenili konferencije s izvrsnim ocjenama (4,5 - 4,8).
Organiziranjem godišnjih konferencija internih revizora u proteklih pet godina može se već govoriti o tradiciji i opredijeljenosti internih revizora da nam takvi skupovi trebaju.
Ove godine, kao i prethodne, glavna preokupacija hrvatskih internih revizora je značajan događaj u povijesti Hrvatske – ulazak u EU. Republika Hrvatska 1. srpnja 2013.g. postaje punopravna članica EU. U procesu prilagodbe hrvatskog zakonodavstva EU stečevinama i dobre prakse veliki doprinos dali su i interni revizor.
Ovogodišnja Konferencija ima međunarodni karakter odabirom tema i sudjelovanjem velikog broja prezentera i sudionika iz inozemstva (Austrija, BiH, Crna Gora, Njemačka, Mađarska, Makedonija, Slovenija, Srbija). Tema Konferencije Očekivanja od interne revizije ulaskom u EU, ukazuje na vrijeme i trenutak u kojem se nalazimo. Očekivanja od interne revizije su velika od strane okruženja, vlasnika (dioničara), menadžmenta i stručne javnosti.
U koncipiranju Konferencije nastojali smo istaći trenutak u kojem se nalazimo, odabranim temama naznačiti koja su područja značajna za rad interne revizije te njezinu multidisciplinarnost i komplementarnost. Odabirom sekcija i tema naglašena je potreba suradnje u procesima prilagodbe i provedbe EU stečevina u području interne revizije i srodnih komplementarnih stručnih disciplina: upravljanje rizicima, Compliance (sukladnost), korporativno upravljanje, financijsko upravljanje i izvještavanje, kontroling. Ne manje značajna je suradnja sa svim stručnim osobama koje rade na poslovima uspostavljanja i procjenjivanja djelovanja sustava internih kontrola, osoba uključenih u upravljanje projektima financiranim od strane EU-a, provođenje interne revizije u području financiranja EU projekata, javne nabave i svih drugih stručnih osoba koje žele proširiti svoja znanja u područjima od interesa za razvoj interne revizije.
Konferencija internih revizora i stručnjaka iz komplementarnih područja dobra je prilika za razmjenu iskustva, mišljenja i stavova te za ocjenu svojih dostignuća, dobivanje novih informacija o stanju i perspektivama profesije te predlaganje razvoja profesije i samog Instituta.
Na Konfereniciji će biti izloženo 57 prezentacija u plenarnom dijelu i u sekcijama. Vjerujemo da su teme prezentacija aktualne i zanimljive većini sudionika. U realizaciji programa Konferencije uključeno je više od 60 autora - prezentatora i 15 moderatora. U prezentacijama su zastupljena gotovo sva područja djelovanja interne revizije pa je stoga uključen i veliki broj poznatih stručnjaka iz područja interne revizije i srodnih disciplina. Zadovoljstvo nam je što su se našem pozivu odazvali i predsjednici nacionalnih instituta internih revizora iz naše regije te svojim učešćem dali doprinos održavanju Konferencije i razvoju interne revizije u Hrvatskoj.
Rad Konferencije organiziran je u trajanju od tri dana. Svaki dan ujutro započinjemo plenarnim dijelom, na kojem će biti teme od interesa za većinu sudionika. U plenarnom dijelu nije predviđena rasprava, ali će sudionici imati priliku postavljati pitanja i raspravljati u
2
sekcijama. Budući da je Konferencija ujedno i prilika za razmjenu iskustava i ideja, sudionici mogu uputiti pitanja ili dati prijedloge i prije održavanja Konferencije. Rasprava o njima može se provesti u odgovarajućim sekcijama.
Poslije plenarnog dijela, u četvrtak i petak, organiziran je rad po sekcijama. Konferencija ima ukupno 12 sekcija. Nazivi sekcija i prezentacije obuhvatili su sva značajnija područja od interesa za rad i razvoj profesije interne revizije, kao i područja rada i djelovanja Hrvatskog instituta internih revizora. Sekcijski rad će se održavati paralelno, u tri sekcije, u dva dnevna termina, osim u subotu kada je predviđen samo plenarni dio.
Prilikom utvrđivanja termina rada po sekcijama, nastojali smo da teme paralelnih sekcija budu različite tako da svatko može odabrati teme koje ga zanimaju. Na svakoj sekciji su tri do četiri prezentacije, što je ukupno 46 prezentacija.
Sudionici Konferencije mogu sudjelovati u radu više sekcija. Tijekom rada u sekcijama sudionici mogu birati prezentacije i mijenjati sekcije prema svom interesu. Svim prezentatorima i moderatorima je skrenuta pozornost da vode računa o trajanju prezentacija (max. 20 min). Time se želi osigurati sudionicima da sudjeluju u radu više sekcija. Prema utvrđenoj dinamici, u svim sekcijama ima dovoljno vremena za raspravu poslije iznošenja prezentacija (20-30 min.).
Očekujemo da će Konferencija dati odgovore na mnoga pitanja u kontekstu recentnih kretanja u profesiji te pružiti smjernice za djelovanje i rad internih revizora u uvjetima pristupanja Hrvatske Europskoj uniji.
Konferencija je prilika i za druženje članova HIIR-a i sudionika Konferencije, što je uobičajeno na sličnim skupovima internih revizora. Za uspješan rad Konferencije, prema dosadašnjem iskustvu i ocjenama sudionika, vrlo je važno i druženje svih sudionika, ili kako se to običava reći umrežavanje (Networking). Tako će i ove godine, kao i prošlih godina biti organizirana dva izleta, obilazak Nina i Zadra. Također, organizirana je svečana večera za sve sudionike, što je prilika i za neformalno druženje, susrete, razgovore i razmjenu iskustava, ali i prilika da se sudionici zabave.
Zahvaljujemo svim članovima HIIR-a koji su pridonijeli u definiranju, pripremanju i realizaciji Konferencije, a svi vi ste svojim dolaskom izrazili dobru volju i želju da Konferencija bude uspješna.
Očekujemo da će svi sudionici Konferencije tri dana provesti korisno i osjećati se ugodno te da će im ostati u dobrom sjećanju. I na kraju, posebnu zahvalnost dugujemo sponzorima i donatorima Konferencije i svima vama, jer bez vaše bi podrške bilo puno teže
organizirati Konferenciju. Zagreb, ožujak 2013.g.
Predsjednik HIIR-a mr. Stanko Tokić, dipl. oec.
A. PROGRAM KONFERENCIJE
10. travnja 2013. (srijeda) 15,00 Polazak autobusa iz Zagreba s Autobusnog kolodvora Zagreb 19,00-21,00 Registracija sudionika
1. DAN - 11. travnja 2013. (četvrtak) 8,00-9,00 Registracija sudionika 9,00-10,30 PLENARNI DIO
Moderator: Lajoš Žager, EFZG Otvaranje 5. međunarodne konferencije, Stanko Tokić, predsjednik HIIR-a Funkcija interne revizije i compliance u industrijama koje nadzire HANFA, Branka Bjedov Kostelac, HANFA Sustavi financijske kontrole EU fondova i uloga interne revizije, Torsten Kempe i Carsten Hucke, Deloitte, SR
Njemačka* Promjene u regulativi EU za kreditne institucije, Marko Tokić, HNB
10,30-11,00 Stanka (Coffee break)
RAD PO SEKCIJAMA:
Sudionici Konferencije biraju sekcije i teme pri prijavljivanju Dvorane za sekcije će se odrediti za vrijeme Konferencije
11,00–12,30
Sekcija A Ulazak u EU i utjecaj na PDV –
Moderator: Danimir Gulin, EFZG Ulazak u EU – utjecaj na PDV,
Gordan Rotkvić, PwC d.o.o. Zakon o PDV-u primjena od 1.7.
2013., Dragan Rudan, UHY Rudan d.o.o
Interna revizija PDV-a, Andreja Sekušak, UHY Rudan d.o.o.
Sekcija B Vrednovanje funkcije interne revizije Moderator: Boris Tušek, EFZG Kontrola kvalitete interne revizije,
Senka Presečan, Zagrebačka banka d.d.
Osiguranje kvalitete funkcije interne revizije, Saša Novosel, Alianz Zagreb d.d.
Eksterno vrednovanje funkcije interne revizije u kontekstu ulaska RH u EU, Dražen Rajaković, Deloitte savjetodavne usluge d.o.o.
Program osiguranja kvalitete i unapređenja rada interne revizije – primjer FINA, Mirjana Car, FINA
Sekcija C Upravljanje IT rizicima
Moderator: Silvana Rotim Tomić, ZIH d.o.o. Uloga procjene rizika u reviziji
informacijskih sustava, Hrvoje Očevčić, HypoAlpeAdria banka d.d.
Planiranje interne revizije informacijskiog sustava na osnovu procjene rizika, Igor Vujičić, APIS d.o.o.
Digitalno pohranjivanje i pretraživanje radne dokumentacije, Davor Namjestnik, Hrvatska pošta d.d.
12,30–13,30
Stanka za ručak
13,30–15,30 Sekcija D IT sigurnost
Moderator: Višnja Komnenić, HEP d.d. Utjecaj rizika na funkciju
informacijske sigurnosti, Lidija Baković, Ernst& Young d.o.o.
Penetracijska testiranja – Case Study, Damir Paladin, Borea d.o.o.
Upravljanje sigurnosnim rizicima, Silvana Tomić Rotim, ZIH d.o.o.
PADSS - pregled zahtjeva, Siniša Lukač, Sedam IT
Sekcija E Interna revizija EU fondova
Moderator: Ana Gospodinović, Ernst&Young d.o.o. Vanjska revizija u sustavu EU
fondova – odnos s internom revizijom, Biserka Šerbinek Milinković, ARPA
Izazovi za unutarnje revizore s razine jed. lokalne i područne (regionalne) samouprave u reviziji fondova EU, Ankica Žuvan, Grad Trogir
Korištenje EU fondova za poljoprivredu, Vesna Matijašević, Agencija za plaćanja u poljoprivredi, ribarstvu i ruralnom razvoju
Procjena rizika prilikom strateškog planiranja programa EU, Sanja Rukavina Batušić, Ministarstvo poljoprivrede
Sekcija F Korporativno upravljanje
Moderator: Sanja Sever Mališ, EFZG Korporativno upravljanje i interna
revizija, Tatjana Habjan i Andreja Rahne, IIA Slovenije
Korporativna pravila i interna revizija, Stanko Tokić, HIIR
Interna revizija i korporativno upravljanje u javnim poduzećima, Hajrudin Hadžović, IIA BiH
Uloga interne revizije u unapređenju korporativnog upravljanja i utjecaj na poslovni uspjeh inovativnih organizacija, Janos Ivanos, IIA Mađarska*
16,00 - IZLET
2. DAN – 12. travnja 2013. (petak)
9,00-10,30
PLENARNI DIO Moderator: Stanko Tokić, predsjednik HIIR-a Vrednovanje EU fondova i izazov za internu reviziju, Johan Rieser, II Austrija* Horizontalna revizija EU fondova – pripreme za ulazak u EU, Ljerka Crnković, Ministarstvo financija Zaštita osobnih podataka – nova EU regulativa, Jasna Fumagalli, Intesa Sanpaolo Card d.o.o. Novi Pravilnik o unutarnjoj reviziji korisnika proračuna , Davor Kozina, Ministarstvo financija
10,30–11,00 Stanka (Coffee break)
RAD PO SEKCIJAMA Sudionici Konferencije biraju sekcije i teme pri prijavljivanju Dvorane za sekcije će se odrediti za vrijeme Konferencije
11,00–12,30
Sekcija G Proces revizije IS
Moderator: Lidija Baković, Ernst&Young d.o.o. Praktični vodiči - GTAG , Višnja
Komnenić, HEP d.d. Pristup HNB-a u provođenju IT
supervizije, Slaven Smojver, HNB Eksternalizacija aktivnosti vezanih
uz informacijske sustave (kreditnih institucija), Damir Blažeković, HNB
Pristup reviziji Billing sustava, Guy Sadeh, BDO d.o.
Sekcija H Unutarnja revizija u javnom sektoru
Moderator: Davor Kozina, Min. financija Uloga interne revizije BiH u
procesu pridruživanja EU, Alma Delić i Ankica Kolobarić, IIA BiH
Uspostavljanje interne revizije u javnom sektoru u Makedoniji – iskustvo i praksa, Slobodan Dimitrovksi, IIA Makedonije
Revizija učinka, Ibrahim Okanović, Državni ured za reviziju BiH
Praćenje provedbe Antikorupcijskog programa putem unutarnje revizije – primjer FINA, Ksenija Stevanović, FINA
Sekcija I Profesionalna etika internih revizora
Moderator: Jasna Turković, Intesa Sanpaolo Card d.o.o. Etički kodeks internih revizora, Ivan
Kurjan, Ministarstvo financija Etika i primjena Etičkog kodeksa
internih revizora, Kajetan Knešaurek, HEP
Suradnja Revizorskog suda EU s vrhovnim revizorskim institucijama i jedinaicama interne revizije, Marija Grgurić, DUR
12,30–13,30 Stanka za ručak
13,30–15,30
Sekcija J Sustav javne nabave i interna revizija
Moderator: Milica Pavelić, HRT Primjena Zakona o javnoj nabavi i
uloga interne revizije, Ivan Žilić, Fond za zaštitu okoliša i energetsku učinkovitost
Nabava i provedba ugovora financiranih EU fondovima s aspekta interne revizije, Ivana Čabraja, SAFU
Interna revizija procesa javne nabave, Ivančica Winkler, Hrvatske ceste, d.o.o.
Odnos interne revizije i internog nadzora, Ljubo Kesić, Plovput d.o.o.
Sekcija K Banke i financijske institucije Moderator: Senka Presečan, Zagrebačka banka d.d. Koncept nadzora nad poslovanjem
društava za osiguranje u Republici Srbiji, Mira Bogičević, IIA Srbije
Spriječavanje pranja novca i financiranja terorizma, Dubravka Lukić i Damir Bolta, Croatia osiguranje d.d.
Promjena regulative, očekivanja HNB-a i opažanja iz supervizorske prakse, Antonio Valčić, HNB
Procjenjivanje kvalitete rada interne revizije - primjer NBS, Olga Antić NB Srbije
Primjena Direktive Solventnost II i pitanja uspostave adekvatnih sustava upravljanja temeljenih na rizicima, Ljiljana Orlovac, HANFA
Sekcija L Korporativno upravljanje, rizici i
compliance Moderator: Tamara Maćašović, PwC d.o.o. Pregled kontrola u cilju sniženja
troškova, povećanja prihoda i očuvanja stabilnog poslovanja, Ana Gospodinović, Ernst&Young, d.o.o.
Efikasnost upravljanja rizicima i kontrola – tri linije obrane, Jasna Turković, Intesa Sanpaolo Card d.o.o.
Društva uvrštena na zagrebačku burzu i usvajanje kodeksa korporativnog upravljanja, Iva Galić, Zagrebačka burza d.o.o.
Rezultati istraživanja zrelosti sustava korporativnog upravljanja u RH, Ivica Perica, Deloitte savjetodavne usluge d.o.o.
16,00 - 20,30 -
IZLET SVEČANA VEČERA – organizirana za sve sudionike Konferencije u restoranu Hotela Funimation
3. DAN - 13. travnja 2013. (subota) 9,00 - 11,00 11,00
PLENARNI DIO Moderator: Ana Gospodinović, Ernst&Young d.o.o. Uloga interne revizije prilikom korištenja sredstava iz EU fondova, Polona Pergar Guzej, IIA Slovenije Funkcija interne revizije u primjeni odredbi Zakona o sprječavanju pranja novca i financiranja terorizma,
Nikolina Dominković, HANFA Povezanost uloge interne revizije i compliance funkcije u jačanju korporativnog upravljanja, Slavko
Rakočević, IIA Crne Gore Istraživanje HIIR-a i PwC-a –Stanje funkcija interne revizije u 2012.g., Tamara Maćašović, PwC d.o.o.
Zaključci 5. međunarodne konferencije 8. redovna godišnja skupština HIIR-a Polazak autobusa u Zagreb u 12,00 ispred Hotel Funimation, Zadar
Napomena: - HIIR zadržava pravo promjene Programa * Prezentacija na engleskom jezik
Funkcija interne revizije icompliance kod subjekatanadzora Hrvatske agencije
za nadzor financijskihusluga
Funkcija interne revizije icompliance kod subjekatanadzora Hrvatske agencije
za nadzor financijskihusluga
Branka Bjedov KostelacHANFA
Branka Bjedov KostelacHANFA
HRVATSKI INSTITUT INTERNIH REVIZORA5. MEĐUNARODNA KONFERENCIJAPLENARNI DO - 1 dan
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.–13. travnja 2013.
Temeljni ciljevi:
promicanje i očuvanje stabilnosti financijskog sustava nadzor nad zakonitošću poslovanja subjekata nadzora
Hrvatska agencija za nadzorfinancijskih usluga
3
28 investicijskih društava 26 društava za upravljanje investicijskim fondovima 106 otvorenih i 7 zatvorenih investicijski fond 8 društava za upravljanje obveznim i dobrovoljnim
mirovinskim fondovima 4 obvezna i 23 dobrovoljna mirovinska fonda 28 društava za osiguranje i reosiguranje 24 društava za leasing 16 društava za faktoring MOD ZSE SKDD
Subjekti nadzora
4
Zakon o Hrvatskoj agenciji zanadzor financijskih usluga
Zakon o tržištu kapitala Zakon o preuzimanju dioničkih
društava Zakon o investicijskim
fondovima Zakon o obveznim osiguranjima
u prometu Zakon o osiguranju Zakon o obveznim i
dobrovoljnim mirovinskimfondovima
Zakon o mirovinskimosiguravajućim društvima iisplati mirovina na temeljuindividualne kapitaliziraneštednje
Zakon o umirovljeničkom fondu Zakon o Fondu hrvatskih
branitelja iz Domovinskog rata ičlanova njihovih obitelji
Zakon o leasingu
Zakonodavni okvir:
5
Izmjene i razvoj regulatornog okvira utječe na:
Povećani dodatni regulatorni zahtjevi
Dodatne organizacijske zahtjeve
Dodatna očekivanja od interne revizije
Aktualnosti u zakonodavnom okviru
6
Zakon o otvorenim investicijskim fondovima s javnomponudom
Zakon o alternativnim fondovima Zakon o obveznim mirovinskim fondovima Zakon o dobrovoljnim mirovinskim fondovima Zakon o tržištu kapitala Zakon o osiguranju Zakon o obveznom osiguranju u prometu Zakon o leasingu Zakon o faktoringu
Izmjene zakonodavnog okvira
Funkcija interne revizijei funkcija praćenja
usklađenosti
Investicijski imirovinski fondovi
Postojeći regulatorni okvirInvesticijski fondovi
Prema postojećem Zakonu o investicijskim fondovima(NN 150/05), društvo za upravljanje dužno je jednogčlana uprave zadužiti za osiguranje usklađenostiposlovanja s odredbama Zakona i drugim propisima
Dodatno, Pravilnik kojim se uređuje poslovanje društvaza upravljanje investicijskim fondovima propisujeunutarnji nadzor i osiguranje usklađenosti poslovanja
Odrediti jednu osobu za obavljanje unutarnjeg nadzora poslovanja i osiguranjeusklađenosti
Osoba za osiguranje usklađenosti mora biti član uprave i kontakt osoba saAgencijom
Interni akt mora sadržavati način obavljanja nadzora i usklađenosti poslovanja,ovlasti i odgovornosti
Novi regulatorni okvirInvesticijski fondovi
Zakon o otvorenim investicijskim fondovima s javnomponudom i Zakon o alternativnim investicijskimfondovima (NN 16/13, stupaju na snagu pristupomHrvatske EU) detaljnije uređuju funkciju interne revizije iusklađenosti, prema direktivama EU (2009/65/EC –UCITS fondovi, 2011/61/EU – alternativni fondovi)
Dodatno i provedbene direktive kako za UCITS tako i zaalternativne fondove (Level II) precizno i detaljno uređujupitanja interne revizije i usklađenosti s propisima
Novi regulatorni okvirInvesticijski fondovi
Interna revizija
Društvo za upravljanje dužno je, kada je to prikladno i primjereno vrsti,opsegu i složenosti poslovanja društva za upravljanje, ustrojiti internureviziju koja neovisno i objektivno procjenjuje sustav unutarnjihkontrola, daje neovisno i objektivno stručno mišljenje i savjete zaunapređenje poslovanja s ciljem poboljšanja poslovanja društva zaupravljanje, uvodeći sustavan, discipliniran pristup procjenjivanju ipoboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnogupravljanja
Novi regulatorni okvirInvesticijski fondovi
Praćenje usklađenosti s propisima
Društvo za upravljanje dužno je uspostaviti, provoditi te redovitoažurirati, procjenjivati i nadzirati primjerene politike i postupke, čijije cilj otkrivanje svakog rizika neusklađenosti s relevantnimpropisima, kao i povezanih rizika te uspostaviti primjerene mjere ipostupke u cilju smanjivanja takvih rizika, kao i uspostaviti,provoditi, ažurirati, procjenjivati i nadzirati postupke i politike kojiosiguravaju da posluje u skladu s propisima (čl. 52 ZOIFJP)
Ne postupanje po zakonskim odredbama koji reguliraju IR i C spadaju uprekršaje te je društvo za upravljanje
Postojeći regulatorni okvirMirovinski fondovi
Zakon o obveznim i dobrovoljnim mirovinskim fondovima (NN49/99, 63/00, 103/03, 177/04, 71/07, 124/10, 114/11) -postojećim zakonom i podzakonskim propisima nisu propisaneodredbe o internoj reviziji i compliance-u
Novi regulatorni okvirMirovinski fondovi
U nacrtu prijedloga Zakona o obveznim mirovinskimfondovima propisuje se obveza ustrojavanje internerevizije i praćenja usklađenosti u obliku posebneorganizacijske jedinice.Definicija IR i C je identična kao i kod investicijskih fondova Ne ustrojavanje interne revizija i praćenja usklađenosti spada uprekršaje mirovinskog društva Nacrt prijedloga Zakona daje mogućnost dodatnog propisivanjafunkcija interne revizije i usklađenosti (npr. organizacijski oblik,poslove, osobe koje obavljaju internu reviziju, planiranje teizvješćivanje o radu revizije mirovinskog društva).Nadzorni odbor ima obvezu nadzirati primjerenost postupanja i učinkovitost rada interne revizije Obrazložiti glavnoj skupštini ili skupštini MD svoje mišljenje o godišnjem izvješću
IR
Funkcija interne revizijei funkcija praćenja
usklađenosti
Investicijska društva,burza i središnje
klirinško depozitarnodruštvo
Zakon o tržištu kapitala (NN 88/08, 146/08, 74/09) Pravilnik o organizacijskim zahtjevima za pružanje
investicijskih usluga i obavljanje investicijskih aktivnosti ipomoćnih usluga – propisuje funkciju interne revizije ifunkciju praćenja usklađenosti s relevantnim propisimau investicijskom društvu
Postojeći regulatorni okvirInvesticijska društva
Interna revizija
Investicijsko društvo dužno je, kada je to primjereno i razmjernovrsti, opsegu i složenosti poslovanja društva kao i vrsti i opseguinvesticijskih usluga i aktivnosti koje društvo pruža ustrojitizasebnu funkciju interne revizije te osigurati neovisnost tefunkcije od ostalih funkcija i aktivnosti društva
Funkcija interne revizije: donošenje, provođenje i ažuriranje revizorskog plana davanje preporuka provjera usklađenosti s danim preporukama redovito izvješćivanje
Postojeći regulatorni okvirInvesticijska društva
Praćenje usklađenosti
Investicijsko društvo dužno je, uzimajući u obzir vrstu, opseg isloženost poslovanja društva kao i vrstu i opseg investicijskihusluga i aktivnosti koje društvo pruža: propisati, primjenjivati i redovito ažurirati odgovarajuće politike i
postupke u svrhu utvrđivanja rizika neusklađenosti poslovanjainvesticijskog društva s relevantnim propisima kao i drugihpovezanih rizika
provoditi odgovarajuće mjere i postupke u svrhu svođenja rizikaneusklađenosti na najmanju moguću mjeru
Postojeći regulatorni okvirInvesticijska društva
Zakonom o tržištu kapitala (NN br. 88/08, 146/08 i 74/09;ZTK) nije bila propisana obveza ustrojavanjaunutarnje/interne revizije na burzi
Postojeći regulatorni okvirBurza
Predloženim Zakonom o izmjenama i dopunama ZTK (2013.)propisana je obveza ustrojavanja funkcije unutarnje/internerevizijeInterna revizija Funkcija unutarnje revizije zadužena je za provjeru i nadzor
učinkovitosti, pouzdanosti i sigurnosti sustava i postupakaburze, uključujući sustav unutarnjih kontrola i sustavupravljanja rizicima
Dužna je minimalno jednom godišnje donijeti neovisnostručno mišljenje o učinkovitosti, pouzdanosti i sigurnostisustava i postupaka burze
Uprava burze dužna je predmetno mišljenje uzeti u obzir pridonošenju poslovnih odluka
Rok usklađenja burze s predloženim Zakonom o izmjenama idopunama ZTK je 30.09.2013. godine
Novi regulatorni okvirBurza
Zakonom o tržištu kapitala je propisano da je SKDD dužnoustrojiti odjel interne revizije, zadužen za provjeru i nadzoručinkovitosti, pouzdanosti i sigurnosti svih sustava i postupakaSKDD-a
Postojeći regulatorni okvirSKDD
Predloženim Zakonom o izmjenama i dopunamaZakona o tržištu kapitala (2013.) funkcije unutarnjerevizije za SKDD usklađena je s odredbama koje seodnose na burzu
Rok usklađenja SKDD-a s predloženim Zakonom oizmjenama i dopunama Zakona o trgovačkimdruštvima je 30.09.2013. godine
Novi regulatorni okvirSKDD
Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 04.srpnja 2012. godine o OTC izvedenicama, središnjoj drugojugovornoj strani i trgovinskom repozitoriju (Uredba EMIR)implementirat će se u hrvatsko zakonodavstvo Zakonom o provedbiuredbe
Provedbenom uredbom (153/2013) Uredbe EMIR propisana jeobveza ustrojavanja funkcije unutarnje revizije za središnju druguugovornu stranu (CCP)
SKDD d.d. će se morati uskladiti s Uredbom EMIR, ukoliko odlučiobavljati poslove središnje druge ugovorne strane, te ustrojitifunkciju unutarnje revizije na način kako propisuje Uredba EMIR
Novi regulatorni okvirSKDD
Funkcija interne revizijei funkcija praćenja
usklađenosti
Društva za osiguranje
Zakon o osiguranju (NN 151/05, 87/08, 82/09) Solvency I
Postojeći regulatorni okvirDruštva za osiguranje
Zakona o osiguranju - društvo za osiguranje mora ustrojitiunutarnju reviziju koja je neovisna i objektivna aktivnost davanjastručnog mišljenja, oblikovana na način da pridodaje vrijednost iunapređuje poslovanje društva za osiguranje
Mora zaposliti barem jednu osobu sa zvanjem unutarnjeg revizora spunim radnim vremenom (iznimno, uz suglasnost nadzornog tijeladruštva s manjim opsegom poslovanja mogu navedenu funkcijueksternalizirati)
Zadaci interne revizije: provjera obavljanja poslova osiguranja sukladno Zakonu o osiguranju i
propisima te sukladno unutarnjim pravilima kojima se uređuje poslovanjedruštva
provjera vođenja poslovnih knjiga, evidentiranja poslovnih događaja natemelju vjerodostojnih knjigovodstvenih isprava, vrednovanjaknjigovodstvenih stavaka i sastavljanje financijskih i ostalih izvještaja
provjera sustavnog upravljanja rizicima koji proizlaze iz poslovnih aktivnostidruštva
ocjena primjerenosti i učinkovitosti djelovanja sustava unutarnjih kontrola,te davanje preporuka za njihovo poboljšanje
Postojeći regulatorni okvirDruštva za osiguranje
Novi regulatorni okvir Solvency II
Solvency II - novi regulatorni okvir ukupnog poslovanja društava za osiguranjeodnosno društava za reosiguranje u EU, kojim se revidiraju dosadašnji kapitalnizahtjevi i donosi nova pravila solventnosti i upravljanja rizicima
Direktiva 2009/138/EC Europskog parlamenta i Vijeća od 25. studenog 2009.godine o osnivanju i obavljanju djelatnosti osiguranja i reosiguranja (Solvency II)
Direktiva 2012/23/EU 12. rujna 2012. - novi rokovi za primjenu Solvency II• rok za transponiranje odredbi Direktive Solvency II u nacionalno
zakonodavstvo 30. lipnja 2013.• rok za primjenu Solvency II u poslovanje društva 1. siječnja 2014.
Direktiva Omnibus II odredit će datum stupanja na snagu Solvency II, kao iopseg tehničkih standarda čije će nacrte izraditi EIOPA
Naglasci novog regulatornog okvira: Funkcija upravljanja rizicima Funkcija praćenja usklađenosti Funkcija interne revizije Aktuarska funkcija
Unutarnji nadzor mora uključivati najmanje: upravne i računovodstvene postupke okvir unutarnjeg nadzora primjerene sustave izvješćivanja na svim razinama društva funkciju praćenja usklađenosti
Novi regulatorni okvir Solvency II
Funkcija praćenja usklađenosti uključuje savjetovanje upravnog,upravljačkog ili nadzornog tijela o usklađenosti sa zakonima i drugimpropisima donesenim u skladu s Direktivom, kao i procjenu mogućegučinka bilo kojih promjena u pravnom okruženju na poslovanje društvate utvrđivanje i procjenu rizika usklađenosti
Funkcija praćenja usklađenosti usmjerena je na: izradu smjernica i procedura izgradnju svjesnosti i omogućavanje kontinuirane edukacije zaposlenika izvješćivanju o pojedinom odstupanju kako bi se ispunile obveze društva u
odnosu na treće osobe istraživanju i praćenju neusklađenosti sa zakonom i drugim propisima preporukama u svezi novih proizvoda, usluga i tržišta praćenju izmjena u zakonodavstvu, planiranje uvođenja novih odredbi, kao i
mjerenje utjecaja istog na donošenje odluka, praćenje odgovarajućihsudskih presuda
regulatorno izvješćivanje uprave, najmanje na godišnjoj osnovi
Novi regulatorni okvir Solvency II
Funkcija interne revizije uključuje vrednovanje primjerenosti i djelotvornosti sustava
unutarnjeg nadzora i drugih elemenata sustava upravljanja treba biti objektivna i neovisna o funkciji poslovanja
Interna revizija savjetodavno pomaže upravnom odboru društva u njihovojzadaći za uspostavljanje adekvatnog i učinkovitog sustava unutarnje kontrole,no ne smije predstavljati upute upravnom odboru kako se ne bi narušilanjezina neovisnost u donošenju odluka od svih drugih funkcija
Zadaci interne revizije uspostaviti, implementirati i provesti planirane aktivnosti unutarnje
revizije u odnosu na društvo u nadolazećem razdoblju, uzimajući uobzir cjeloviti sustav upravljanja društva
primijeniti pristup nadzora temeljenog na rizicima u prioritetima kaoprioritet
izvješćivati upravu o planu revizije izdavati preporuke na temelju rezultata rada ostvarenih aktivnosti i
izdavanje pisanog izvješće o nalazima i preporukama na godišnjojosnovi najmanje
odobravati usklađenost s odlukama uprave na osnovi preporuka izdanihna temelju rezultata rada
Novi regulatorni okvir Solvency II
Funkcija interne revizije ifunkcija praćenja
usklađenosti
Leasing društva
Zakon o leasingu propisuje - članovi uprave leasingdruštva između ostalog moraju osigurati: poslovanje leasing društva u skladu s odredbama ZOL-a i drugih propisa
ustrojavanje sustava unutarnjih kontrola i unutarnjerevizije
Mišljenje Agencije o primjeni odredbi članka 22. Zakona oleasingu - unutarnja revizija analizira i procjenjujeaktivnosti leasing društava te daje stručno mišljenje,preporuke i savjete o kontrolama oblikovanja
Postojeći regulatorni okvirLeasing društva
Novi regulatorni okvirLeasing društva
Izmjenama Zakona o leasingu predviđeno je: Uspostavljanje funkcije interne revizije Uspostavljanje sustava unutarnjih kontrola koji podrazumijeva
praćenje i provjeru usklađenosti sa zakonskim i podzakonskimpropisima kao i internim propisima i procedurama te sustavupravljanja rizicima
Interna revizija Leasing društvo je dužno ustrojiti internu reviziju koja neovisno i
objektivno procjenjuje sustav unutarnjih kontrola, daje neovisno iobjektivno stručno mišljenje i savjete za unapređenje poslovanja s ciljempoboljšanja poslovanja leasing društva, uvodeći sustavan, discipliniranpristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima,kontrole i korporativnog upravljanja
Internu reviziju može obavljati osoba sa zvanjem revizora ili internogrevizora zaposlena na puno radno vrijeme u društvu ili osoba koja nije uradnom odnosu s leasing društvo, pod uvjetom da ima zvanje revizora iliinternog revizora
Primjerenost postupanja i učinkovitost rada interne revizije nadzirenadzorni odbor leasing društva
Novi regulatorni okvirLeasing društva
U 2012. kroz Rješenja Agencije naloženo:
20 naloga - Uspostava, ustrojavanje i unapređenje sustavainternih kontrola
24 naloga - Provjera naloženih mjera od strane internih revizora
I nešto za kraj…
Hvala na pozornosti!
Sustav financijske kontrole nad projektima Sustav financijske kontrole nad projektima
koje financira Europska unijakoje financira Europska unija
na primjeru europskih strukturnih fondovana primjeru europskih strukturnih fondova
Sustav financijske kontrole nad projektima Sustav financijske kontrole nad projektima
koje financira Europska unijakoje financira Europska unija
na primjeru europskih strukturnih fondovana primjeru europskih strukturnih fondova
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
PLENARNI DIO PLENARNI DIO –– 1 dan1 dan
“Očekivanja od interne “Očekivanja od interne revizije ulaskom u revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Torsten Kempe
Partner
Torsten Kempe
Partner
Carsten Hucke
viši stručni suradnik
Carsten Hucke
viši stručni suradnik
Torsten Kempe
Sustav financijske kontrole - Zadar, travanj 2013.2
Ovlašteni revizor/porezni savjetnik
Torsten Kempe
partner
Tel.: +49 (0)30 25468 417
Mobilni tel.:+49 (0)163 7546888
E-mail: [email protected]
Ured: Berlin
Radno iskustvo
• Radi u Deloitteu već osamnaest godina
• Voditelj za fondove EU i reviziju
u Njemačkoj
Područje specijalizacije
• Težište - kontrola nad korištenjem sredstava europskih
strukturnih fondova, osobito revizije sustava i kontrola nad
projektima
• Specijalist za regulativu EU
• Provedba mjera osposobljavanja djelatnika subjekata iz javnog
sektora koji se bave programima poticaja koje sufinancira EU
Reference
Senatska uprava za gospodarstvo, tehnologiju i žene (Berlin)
Ministarstvo financija Savezne Pokrajine Saska-Anhalt
Ministarstvo financija Savezne Pokrajine Saska-Anhalt
Slobodna Država Tiringija
Slobodna Država Bavarska
Carsten Hucke
Sustav financijske kontrole - Zadar, travanj 2013.3
Carsten Hucke
viši stručni suradnik
Tel.: +49 (0)30 25468 5608
E-mail: [email protected]
Ured: Berlin
Radno iskustvo
• Više od 4 godine u Deloitte-u
Područje specijalizacije
• Težište - kontrola nad korištenjem sredstava europskih
strukturnih fondova, osobito revizije sustava i kontrola nad
projektima
• Specijalist za regulativu EU
Reference
Senatska uprava za gospodarstvo, tehnologiju i žene (Berlin)
Slobodna Država Bavarska
Osnovno o proračunu EU
Sustav financijske kontrole - Zadar, travanj 2013.4
Ukupna proračunska
sredstva EU (2007.-
2013.): 975,8 milijardi
eura
od toga:
strukturni fondovi:
348 milijardi eura
poljoprivredni fondovi
413 milijardi eura
Okvirni uvjeti u Njemačkoj
Programi poticaja provode se na razini 16 saveznih pokrajina i same savezne
vlade
U nekima od njih se strukturnim (ESF) i regionalnim fondovima (tzv. europskim
fondovima za regionalni razvoj) upravlja zajednički, no uglavnom se vode
odvojeno
U njemačkoj je uspostavljen velik broj meĎusobno sličnih, ali ne i istih
upravljačkih i kontrolnih sustava
Sustav financijske kontrole - Zadar, travanj 2013.5
Iskustva
Sustav financijske kontrole - Zadar, travanj 2013.6
Brandenburg
revizije sustava
Mecklenburg-
Zapadno Pomorje
(Mecklenburg-
Vorpommern)
projektne kontrole
Berlin
projektne kontrole,
revizije sustava
Bavarska
Poljoprivredni fond -
Bescheinigende
Stelle
Saska-Anhalt
opće savjetovanje,
revizije sustava,
projektne kontrole
Tiringija
(Thüringen)
prethodna procjena
Sustav financijske kontrole - Zadar, travanj 2013.7
Sudionici
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.8
Krajnji korisnik• Prijava za dodjelu
financijskih poticaja
• Provedba projekata
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.9
Krajnji korisnik
• Izdvaja proračunska
sredstva
• UtvrĎuje ciljeve
poticaja
• Obavlja reviziju
• Odgovara Europskom
parlamentu
Europska
komisija
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.10
Krajnji korisnik
• IzraĎuje program
poticaja
• UtvrĎuje kriterije za
dodjelu poticaja
• Provodi program
• Provjerava (revidira)
korištenje sredstava
• Ocjenjuje, …
• Ukupna
odgovornost na
nacionalnoj razinni
Europska
komisija
Upravljačko tijelo
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.11
Krajnji korisnik
Ispunjava zadaće
upravnog tijela
Europska
komisija
Upravljačko tijelo
Posredničko tijelo
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.12
Krajnji korisnik
Revidira način
obračunavanja
upravljačkog tijela i
Europskoj komisiji
podnosi zahtjev za
isplatom sredstava
Europska
komisija
Upravljačko tijelo
Posredničko tijelo
Tijelo za
ovjeravanje
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.13
Krajnji korisnik
• Revizija
sustava i
obračuna
• Odgovara
Komisiji
Europska
komisija
Upravljačko tijelo
Posredničko tijelo
Tijelo za
ovjeravanje
Revizorsko tijelo
Nadležna tijela - tko je za što zadužen?
Sustav financijske kontrole - Zadar, travanj 2013.14
Krajnji korisnik
• Revizija
sustava i
obračuna
• Odgovara
Europskom
parlamentu
Europska
komisija
Upravljačko tijelo
Posredničko tijelo
Tijelo za
ovjeravanje
Revizorsko tijelo
Europski
revizorski sud
Sustav financijske kontrole u strukturnim fondovima„sudionici“
Sustav financijske kontrole - Zadar, travanj 2013.15
Upravljačko tijelo
Tijelo za
ovjeravanje
Revizorsko tijelo
Posredničko tijelo
Krajnji korisnik
Europska
komisija
Europski
revizorski sud
Opis zadaća
• Krajnji korisnik
• Provodi projekt, prima poticajna sredstva/potpore
• Upravljačko tijelo (UT)
• Odgovorno za provedbu ukupnih poticajnih mjera (operativni program) = središnje
tijelo
• Postavlja i nadzire posrednička tijela
• Posrednička tijela (PT)
• Ustanova koju imenuje upravljačko tijelo (opcija) – upravljačko tijelo može i samo
obavljati sve zadaće
• U praksi se često delegiraju sljedeći poslovi: obrada zahtjeva, isplata, nadzor, ev.
povrat sredstava, obavijesti i statistika, održavanje informatičkih sustava za
praćenje
• Tijelo za ovjeravanje (TO)
• IzraĎuje zahtjeve za isplatom za EU i odgovara za njih
• Revizijsko tijelo (RT)
• Putem revizija vodi računa o ispravnosti postupka
Sustav financijske kontrole - Zadar, travanj 2013.16
Sustav financijske kontrole - Zadar, travanj 2013.17
Različite razine revizije
Sustav financijske kontrole u strukturnim fondovima„sudionici“
Sustav financijske kontrole - Zadar, travanj 2013.18
Upravljačko tijelo
Tijelo za
ovjeravanje
Revizorsko tijelo
Posredničko tijelo
Krajnji korisnik
Europska
komisija
Europski
revizorski sud
Sustav financijske kontrole u strukturnim fondovimasustav revizije
Sustav financijske kontrole - Zadar, travanj 2013.19
Upravljačko tijelo
Tijelo za
ovjeravanje
Revizorsko tijelo
Posredničko tijelo
Krajnji korisnik
Europska
komisija
Revizija
Prüft auf
Level
unter:
Izvješće o
troškovima
Izvješće o
troškovima
Europski
revizorski sud
Sustav financijske kontrole u strukturnim fondovimasustav revizije
Sustav financijske kontrole - Zadar, travanj 2013.20
Posredničko tijelo
Krajnji korisnik
Prüft auf
Level
unter:
Posredničko tijelo - korisnik
• Revizija sukladno čl. 13 st. 2.a) Uredbe br. 1828/2006
• Ocjenjivanje evidencija na temelju svih zahtjeva za isplatom uglavnom bez
važnijih utvrĎenja
• Revizija sukladno čl. 13 st. 2.b) Uredbe br. 1828/2006
• Kontrola projekata na licu mjesta
• Cijelovita revizija moguća, ali iznimno vremenski zahtjevna
• Nasumično uzorkovanje dopušteno
• Praćenje: dosada nisu utvrĎene detaljne smjernice o načinu odabira uzorka
Statističke metode nisu obvezujuće, no ipak se valja pobrinuti da postupak bude
pouzdan i dokumentiran
Što je upitno: kako odrediti sigurnost bez statističke metodologije?
Sustav financijske kontrole - Zadar, travanj 2013.21
Revizije se obavljaju prije nego što se
Europskoj komisiji podnese zahtjev za isplatom
Sustav financijske kontrole u strukturnim fondovimasustav revizije
Sustav financijske kontrole - Zadar, travanj 2013.22
Upravljačko tijelo
Posredničko tijelo
Prüft auf
Level
unter:
Upravljačko tijelo – posredničko tijelo
• Nadzor nad delegiranim zadaćama
• Osobito u pogledu količine, kvalitete i pravodobnosti revizije na
razini korisnika
Za delegiranje zadaća
potreban je sporazum u pisanom obliku
Sustav financijske kontrole - Zadar, travanj 2013.23
Upravljačko tijelo – posredničko tijelo
• Kako je moguće revidirati poslove posredničkog tijela
Zatražiti plan revizije
• Je li on dostatan?
Zatražiti opis postupaka za odabir uzoraka
• Je li postupak dostatan?
Zatražiti nalaze revizije (zaključci i korektivne mjere)
• Zaključak, tj. nalazi su u skladu s vlastitim očekivanjima?
• UvoĎenje potrebnih koraka za izbjegavanje pogrešaka u budućnosti?
• Uvodi li posredničko tijelo odgovarajuće mjere za otklanjanje utvrĎenih pogrešaka?
Posljedice za zahtjeve za dodjelom sredstava?
Ispitati da li posredničko tijelo prati vlastiti plan ispitivanja
Provedba vlastite revizije
Sustav financijske kontrole - Zadar, travanj 2013.24
Sustav financijske kontrole u strukturnim fondovimasustav revizije
Sustav financijske kontrole - Zadar, travanj 2013.25
Upravljačko tijelo
Tijelo za
ovjeravanje
Revidiraju
podređene
organe
Tijelo za ovjeravanje (TO) –upravljačko tijelo (UT)
• TO treba imati pregled na obavljenim revizijama UT-a, tj. PT-a
• TO treba zahtijevati da se provjera obavi prema zahtjevima iz
čl. 13., a UT je dužno proslijediti nalaze provjere
• Proces informiranja izmeĎu UT-a i TO-a treba se odvijati u
pisanom obliku
• Zavisno od nacionalnih propisa koji reguliraju upravljačke i
kontrolne sustave za operativne programe TO može podlijegati
obvezi provedbe vlastitih revizija, tj. provjera
• Ipak, potrebno je osigurati barem uvid u nalaze provjera, tj.
revizija koje je obavio UT/PT te revizijsko tijelo (!), kao i
kontrolu korektivnih mjera i mjera za izbjegavanje
neispravnosti, tj. pogrešaka u budućnosti
Sustav financijske kontrole - Zadar, travanj 2013.26
Pozadina sustava financijske kontrole
• Zahtjevi za isplatom koje Tijelo za ovjeravanje podnosi
Europskoj komisiji moraju biti bez pogrešaka
Isto se jamči kontrolama i provjerama, tj. revizijama
• Revizija revizorskog tijela započinje nakon što TO odobri
zahtjev za isplatom moguće je da to bude prekasno da bi se
izbjegnule pogreške u zahtjevima za isplatom
• Ipak posao kojeg obavlja revizorsko tijelo ima za cilj smanjiti
rizik pogreške
• Zadaća revizorskog tijela je zajamčiti dodatnu sigurnost
Komisiji (umjesto vlastitih provjera, tj. revizija koje obavlja
Komisija)
Sustav financijske kontrole - Zadar, travanj 2013.27
Nezavisnost u odnosima UT – TO – PT
• Nezavisnost u odnosima UT – TO – PT je ključna
• Teško postići ako se sve institucije nalaze u sklopu istog
ministarstva
Ipak, dovoljno je ako se poslovi obavljaju neovisno potrebno je uglaviti
sporazum u pisanom obliku
Sustav financijske kontrole - Zadar, travanj 2013.28
Sustav financijske kontrole u strukturnim fondovimasustav revizije
Sustav financijske kontrole - Zadar, travanj 2013.29
Europska
komisija
Revidiraju
podređene
organe
Europski
revizorski sud
Poslovi Europskog revizorskog suda
• Svake godine uzima uzorak za sve poticaje za koje su
Europskoj komisiji prethodne godine podneseni zahtjevi za
dodjelom
• Time se izvodi procjena pogreške na razini cijele EU
• Izvješćivanje Europskog parlamenta kao zastupničkog tijela
svih graĎana EU
Sustav financijske kontrole - Zadar, travanj 2013.30
Sustav financijske kontrole u strukturnim fondovimasustav revizije
Sustav financijske kontrole - Zadar, travanj 2013.31
Upravljačko tijelo
Tijelo za
ovjeravanje
Revizorsko tijelo
Posredničko tijelo
Krajnji korisnik
Europska
komisija
Revidiraju
podređene
organe
Izvješće o
troškovima
Izvješće o
troškovima
Poslovi revizijskog tijelakontrola projekata: Svrha
• Koriste li kranji korisnici sredstva doista namjenski, tj. u skladu
sa svrhom utvrĎenom u odluci?
• Poštuju li se sve specifične nacionalne odredbe i uvjeti?
• Postoje li zaključci o utvrĎenim manjkavostima u sustavu -
osobito u radu posredničkog tijela?
Sustav financijske kontrole - Zadar, travanj 2013.32
Revizije, tj. provjere se obavljaju nakon što se
Europskoj komisiji podnese zahtjev za isplatom
Poslovi revizijskog tijelakontrola projekata: Općenito o postupku
• Odabir nasumičnog uzorka iz svih odobrenih poticaja u
prethodnoj godini
• Matematičko-statistički postupci
Koriste se monetarno jedinično uzorkovanje ili procjena razlike
• Kod uzorkovanja se uzimaju u obzir procjene rizika sustava
koje je izvelo revizijsko tijelo (inherentni rizik i kontrolni rizik)
• Uzima se u obzir i razina pogreške u prethodnoj godini
• Nakon okončanja posla – matematičko-statistička procjena
pogreške
Sustav financijske kontrole - Zadar, travanj 2013.33
Poslovi revizijskog tijelakontrola projekata: Postupak kod korisnika
• Pregled odluke
Manjkavosti u radu posredničkog tijela?
• Pregled svih podloga i plaćanja krajnjeg korisnika
Povezanost s projektom?
Stvarno utrošeno?
Postojanje predmeta
• Pridržavanje specifičnih nacionalnih odredaba
Radna mjesta
Pravila o javnoj nabavi
itd.
Sustav financijske kontrole - Zadar, travanj 2013.34
Neki aspekti revizije
• Kontrole na licu mjesta:
Uzorkovanje se provodi nakon podnošenja zahtjeva za odobrenjem
sredstava, a ne nakon projekta
ranije se provodilo nakon projekta!
Provjera se ranije odvijala prilično kasno, otuda danas novi problemi
• Dodatne zadaće revizorskog tijela:
Izbjegnuti dvostruke poticaje kroz obračun sredstava putem različitih
zahtjeva za dodjelom sredstava
Provjera prvih zahtjeva za dodjelom sredstava kod ranije isplaćenih
sredstava (tj. isplate sredstava prije početka projekta)
Veliki projekti provjeravaju se jednom godišnje
Sustav financijske kontrole - Zadar, travanj 2013.35
Poslovi revizorskog tijelarevizija sustava: Svrha
• Usporedba instaliranih upravljačkih i kontrolnih sustava u
odnosu na europske i nacionalne zahtjeve
• Cilj: Osigurati urednost postupka na razini tijela zaduženih za
provedbu programa - načelno je su to revizije posredničkih
tijela, ali i revizorskog tijela
• Jesu li odluke u skladu s važećim propisima?
Sustav financijske kontrole - Zadar, travanj 2013.36
Poslovi revizorskog tijelarevizija sustava: Postupak
• Dvije faze: Revizija ustroja i testiranje funkcija
• Revizija ustroja: Upoznavanje s instaliranim sustavima na
temelju pisane dokumentacije/uputa za rad te intervjua
• Usporedba instaliranih sustava s propisanim zahtjevima i
ocjenjivanje (navodno) instaliranih sustava
• Test funkcija: Ispitivanje na stvarnim slučajevima da li je u
sklopu upoznavanja sa sustavom sustav doista implementiran
u skladu s opisom
Sustav financijske kontrole - Zadar, travanj 2013.37
Poslovi revizorskog tijelarevizija sustava: instrumenti
• Čitati, čitati, čitati i razumjeti!
• Intervjui, ali prvenstveno pisana dokumentacija
mogućnost intersubjektivne verifikacije
• Ocjenjivanje zahtijeva iskustvo revizora, ali postoji i kodeks
prakse u EU!
• Raščlamba cijelog sustava prema ključnim zahtjevima, koji se
zatim raščlanjuju na kriterije ocjenjivanja, a posljednji potvrĎuju
u odnosu na pojedinačna pitanja. Cilj mogućnost
intersubjektivne verifikacije poslova revizora
• Testovi funkcija: matematičko-statističko uzorkovanje (testovi
karakteristika)
Sustav financijske kontrole - Zadar, travanj 2013.38
Financijske kontrole EU fondova: Ključni izazovi u Hrvatskoj
Berlin, Oktober 2011 – Torsten Kempe
• Paralelni funkcioniranje sustava i struktura povezanih s IPA
programima, te financijskima perspektivama 2007-2013. i 2014-
2020,
• Prijelaz s pravila nabave definiranim IPA programima na sustav
javne nabave,
• Uspostava organizacije, efikasnih i učinkovitih procesa,
upravljačkog informacijskog sustava, edukacija osoblja i na svim
razinama odgovornosti te institucijama,
• Uspostavljanje sustava prvostupanjskih i drugostupanjskih
kontrola,
• Revizije sustava i revizije na terenu,
• Pred-akreditacije i akreditacije sustava i kontrola EU fondova,
• Revizije Tijela za ovjeravanje.
Sustav financijske kontrole - Zadar, travanj 2013.39
Sustav financijske kontrole - Zadar, travanj 2013.40
Pitanja?
Sustav financijske kontrole - Zadar, travanj 2013.41
Torsten KempePartner
Wirtschaftsprüfungsgesellschaft
Kurfürstendamm 23, 10719 Berlin,
Deutschland
E-mail: [email protected]
Ivica PericaViši Menadžer
Odjel Poslovnog Savjetovanja
Telefon: +385 (1) 2351 921
Mobitel: +385 (91) 67 78 091
E-mail: [email protected]
““Promjene u regulativi EU za Promjene u regulativi EU za
kreditne institucijekreditne institucije”
““Promjene u regulativi EU za Promjene u regulativi EU za
kreditne institucijekreditne institucije”
Marko Tokić
Hrvatska narodna banka
Marko Tokić
Hrvatska narodna banka
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA 5. MEĐUNARODNA KONFERENCIJAKONFERENCIJA
Plenarni dio Plenarni dio –– 1 dan1 dan
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj:
• Implementacija nove regulative EU u regulatorni
okvir RH
• Politika primitaka
• Uprava i nadzorni odbor KI
• Sustav unutarnjih kontrola/unutarnja revizija
• Stupanje na snagu
2
Implementacija nove regulative EU u regulatorni okvir
RH
• Republika Hrvatska obvezala se uskladiti svoje
zakonodavstvo s pravnom stečevinom EU, preuzetu
obvezu potrebno je ispuniti do trenutka punopravnog
članstva RH u EU
• nova Direktiva o kapitalnim zahtjevima (CRD IV - Capital
Requirements Directive IV)
• nova Uredba o kapitalnim zahtjevima (CRR - Capital
Requirements Regulation)
stupanje na snagu kao i način implementacije u regulatorni okvir
RH
• Direktiva se implementira kroz Zakon o kreditnim
institucijama dok se Uredba izravno primjenjuje u
regulatornom okviru RH
3
Politika primitaka (1)
• izmeĎu ostalog regulatorni okvir HNB-a se usklaĎuje i s
Direktivom 2010/76/EU Europskog parlamenta i Vijeća
• glavna posljedica usklaĎivanja s Direktivom 2010/76/EU
odnosi se na uvoĎenje obveze KI da donesu politiku
primitaka koja je u skladu s odgovarajućim i
učinkovitim upravljanjem rizicima
• naknadno će se definirati podzakonskim aktom zahtjevi
koje će KI – razmjerno svojoj veličini, unutarnjoj
organizaciji te vrsti, opsegu i složenosti poslova morati
ispuniti u vezi s primicima radnika
4
Politika primitaka (2)
• Osnovna je namjera spomenute politike primitaka povezati primitke radnika s preuzimanjem rizika i upravljanjem rizicima, poslovnom strategijom, ciljevima, vrijednostima i dugoročnim interesima kreditne institucije, odnosno onemogućiti da primici potiču preuzimanje rizika koje prelazi prihvatljivu razinu
• Politika primitaka se provodi razlikovanjem fiksnih primitaka (poput plaće) od varijabilnih primitaka (poput bonusa), dovoĎenjem tih dviju vrsta primitaka u primjereni odnos te identificiranjem radnika koji imaju materijalno značajan utjecaj na profil rizičnosti kreditne institucije Za ove radnike vrijedit će posebna pravila u vezi s varijabilnim
primicima: značajan dio varijabilnih primitaka morat će se odgoditi i značajan će se dio morati isplatiti u obliku financijskih instrumenata
5
Uprava i nadzorni odbor KI (1)
• Uvodi se obveza KI da redovito procjenjuje
primjerenost članova uprave u skladu sa svojom
politikom
• Članovima nadzornog odbora su izmijenjeni
uvjeti koje moraju ispunjavati
uvedena je i obveza pribavljanja prethodne
suglasnosti HNB-a, koja je dužna procjenjivati
ispunjavaju li članovi nadzornog odbora propisane
uvjete
6
Uprava i nadzorni odbor KI (2)
Uprava i nadzorni odbor kreditne institucije
• Kreditna institucija mora imati upravu i nadzorni odbor(novi članak 42.a ZOKI-a)
• Članovi uprave moraju zajedno imati stručna znanja, sposobnosti i iskustvo potrebne za neovisno i samostalno voĎenje poslova kreditne institucije
• Članovi nadzornog odbora moraju zajedno imati stručna znanja, sposobnosti i iskustvo potrebne za neovisno i samostalno nadziranje poslova kreditne institucije
• Uvodi se i obveza KI institucije da obavijesti HNB o prestanku mandata člana uprave i nadzornog odbora, uz navoĎenje razloga
7
Uprava i nadzorni odbor KI (3)
• Član uprave KI može biti osoba koja izmeĎu ostalog ispunjava sljedeće uvjete (članak 45. – novo):
koja ima dobar ugled,
koja ima odgovarajuća stručna znanja, sposobnost i iskustvo potrebno za voĎenje poslova kreditne institucije,
koja nije u sukobu interesa u odnosu na KI, dioničare, članove nadzornog odbora, nositelje ključnih funkcija i više rukovodstvo KI,
za koju je na osnovi dosadašnjeg ponašanja moguće opravdano zaključiti da će pošteno i savjesno obavljati poslove člana uprave KI,
koja ispunjava uvjete za člana uprave iz članka 239. stavka 2. Zakona o trgovačkim društvima i
koja može posvetiti dovoljno vremena ispunjavanju obveza iz svoje nadležnosti
• Uprava kreditne institucije dužna je donijeti primjerenu politiku za izbor i procjenu ispunjenja uvjeta za članove uprave KI, uz prethodnu suglasnost nadzornog odbora te je dužna provoditi tu politiku
• Uprava KI dužna je periodično, a najmanje jedanput godišnje, preispitati primjerenost postupaka i djelotvornost kontrolnih funkcija, svoje zaključke dokumentirati i o njima obavijestiti nadzorni odbor 8
Uprava i nadzorni odbor KI (4)
• Član nadzornog odbora KI može biti osoba koja ispunjava sljedeće uvjete (članak 52. ZOKI - novo)
koja ima dobar ugled,
koja ima odgovarajuća stručna znanja, sposobnost i iskustvo potrebno za ispunjavanje obveza iz svoje nadležnosti,
koja nije u sukobu interesa u odnosu na KI, dioničare, članove nadzornog odbora, nositelje ključnih funkcija i više rukovodstvo KI,
koja može posvetiti dovoljno vremena ispunjavanju obveza iz svoje nadležnosti i
koja može biti član nadzornog odbora prema odredbama Zakona o trgovačkim društvima.
• Nadzorni odbor KI mora imati najmanje jednoga neovisnog člana
• Radnici KI ne mogu biti članovi nadzornog odbora te KI
• Na prijedlog uprave glavna skupština KI donosi primjerenu politiku za izbor i procjenu ispunjenja uvjeta za članove nadzornog odbora te je dužna provoditi tu politiku
9
Uprava i nadzorni odbor KI (5)
• Prethodna suglasnost za obavljanje funkcije člana nadzornog odbora kreditne institucije (članak 52.a – novo) članom nadzornog odbora KI može biti imenovana samo osoba koja je
dobila prethodnu suglasnost HNB-a za obavljanje funkcije člana nadzornog odbora
zahtjev za izdavanje prethodne suglasnosti podnosi KI ili osnivači za mandat koji ne može biti duži od četiri godine
iznimno, ako člana nadzornog odbora KI imenuje nadležni sud u skladu s odredbama ZTD-a, njegov mandat ne može trajati duže od šest mjeseci
• Postupak izdavanja i oduzimanja suglasnosti za obavljanje funkcije člana nadzornog odbora suštinski je jednak postupku koji se primjenjuje za funkciju člana uprave KI
• Zahtjev za prethodnom suglasnošću proizlazi iz zahtjeva za procjenom primjerenosti tih osoba u skladu sa Smjernicama o procjeni primjerenosti članova upravljačkih tijela i nositelja ključnih funkcija, koje je izdalo Europsko nadzorno tijelo za bankarstvo
• Nadzorni odbor više ne daje suglasnost upravi na akt kojim se uspostavlja i osigurava adekvatno funkcioniranje sustava unutarnjih kontrola
10
Uprava i nadzorni odbor KI (6)
• Nositelji ključnih funkcija (članak 54.b – novo)
• KI je dužna identificirati ključne funkcije u kreditnoj instituciji
• Nositelji ključnih funkcija u KI osobe su koje obnašaju one funkcije koje im omogućavaju značajan utjecaj na upravljanje KI, ali koji nisu ni članovi uprave, ni članovi nadzornog odbora
• KI je dužna je donijeti i provoditi primjerene politike za izbor i procjenu primjerenosti nositelja ključnih funkcija u KI
• Ako KI procijeni da nositelj ključne funkcije u kreditnoj instituciji nije primjeren, dužna je poduzeti odgovarajuće mjere, kojima će osigurati da nositelj ključne funkcije bude primjeren
• HNB može pobliže propisati sadržaj politike, uvjete koje je KI dužna procjenjivati pri procjeni primjerenosti nositelja ključnih funkcija u KI i dinamiku procjene ispunjenja uvjeta za nositelje ključnih funkcija u KI 11
Sustav unutranjih kontrola/unutarnja revizija (1)
• Značajnija izmjena u sustavu unutarnjih kontrola
odnosi se na prijedlog prema kojemu nije
dopuštena potpuna eksternalizacija poslova
unutarnje revizije
funkcija unutarnje revizije je od osobite važnosti
za kreditnu instituciju
ne dopušta se njezina potpunu eksternalizaciju
kao što to već ranije nije dopušteno za funkciju
praćenja usklaĎenosti i funkciju kontrole rizika
12
Sustav unutranjih kontrola/unutarnja revizija (2)
• Sustav unutarnjih kontrola (novi članak 180.)• sustav unutarnjih kontrola jest skup procesa i postupaka
uspostavljenih za adekvatnu kontrolu rizika, praćenje učinkovitosti i djelotvornosti poslovanja kreditne institucije, pouzdanosti njezinih financijskih i ostalih informacija te usklaĎenosti s propisima, internim aktima, standardima i kodeksima radi osiguranja stabilnosti poslovanja KI
• KI je dužna uspostaviti i provoditi djelotvoran sustav unutarnjih kontrola u svim područjima poslovanja koji obuhvaća najmanje:
1) primjeren organizacijski ustroj,
2) organizacijsku kulturu,
3) uspostavu kontrolnih funkcija kreditne institucije,
4) adekvatne kontrolne aktivnosti i podjelu dužnosti,
5) prikladne unutarnje kontrole integrirane u poslovne procese i aktivnosti kreditne institucije i
6) prikladne administrativne i računovodstvene postupke
13
Sustav unutranjih kontrola/unutarnja revizija (3)
• Kontrolne funkcije (novi članak 181.)• KI dužna je uspostaviti tri kontrolne funkcije:
funkciju kontrole rizika,
funkciju praćenja usklaĎenosti i
funkciju unutarnje revizije
• KI je dužna je donijeti akt za svaku kontrolnu funkciju
• Uprava KI uz prethodnu suglasnost nadzornog odbora donosi akte za svaku kontrolnu funkciju
• HNB može pobliže propisati sadržaj akta za svaku kontrolnu funkciju, kriterije koje moraju zadovoljavati osobe koje obavljaju poslove kontrolnih funkcija, sadržaj i dinamiku izvješća kontrolnih funkcija, osobe kojima se izvješća dostavljaju te opseg i način obavljanja poslova svake funkcije te način na koji uprava KIpreispituje primjerenost i djelotvornost kontrolnih funkcija
14
Sustav unutranjih kontrola/unutarnja revizija (4)
• Organizacijski ustroj kontrolnih funkcija (novi članak 182.) KI je dužna uspostaviti stalne i djelotvorne kontrolne funkcije neovisne o
poslovnim procesima i aktivnostima u kojima rizik nastaje odnosno koje kontrolne funkcije prate i nadziru, razmjerno svojoj veličini te vrsti, opsegu i složenosti poslova u skladu sa svojim profilom rizičnosti
Pojedina kontrolna funkcija ne može biti organizirana u sklopu druge kontrolne funkcije
Iznimno KI može obavljanje poslova funkcije praćenja usklaĎenosti organizirati unutar funkcije kontrole rizika ili neke funkcije podrške ako je to primjereno njezinoj veličini te vrsti, opsegu i složenosti poslova, s time da se poslovi te funkcije ne mogu organizirati unutar funkcije unutarnje revizije
KI je dužna organizirati funkciju unutarnje revizije kao poseban organizacijski dio, funkcionalno i organizacijski neovisnu o aktivnostima koje revidira i o drugim organizacijskim dijelovima kreditne institucije
KI je dužna organizirati kontrolne funkcije na način da pokrije sve značajne rizike kojima jest ili kojima bi KI mogla biti izložena u svom poslovanju
KI je dužna uspostaviti kontrolne funkcije na način da se izbjegne sukob interesa
KI ne smije u cijelosti eksternalizirati kontrolne funkcije
KI može obavljanje dijela poslova kontrolnih funkcija povjeriti pružatelju usluga 15
Sustav unutranjih kontrola/unutarnja revizija (4)
• Osobe koje obavljaju poslove kontrolne funkcije (novi članak 183.)
KI je dužna, razmjerno svojoj veličini, vrsti, opsegu i složenosti poslova, za obavljanje poslova svake kontrolne funkcije osigurati dostatan broj osoba koje moraju imati odgovarajuće stručno znanje i iskustvo
Ako se obavljanje poslova pojedine kontrolne funkcije povjerava većem broju osoba, mora se imenovati osoba odgovorna za rad kontrolne funkcije kao cjeline
Uprava KI ne može imenovati niti zamijeniti osobu odgovornu za rad pojedine kontrolne funkcije bez suglasnosti nadzornog odbora KI
KI je dužna bez odgaĎanja obavijestiti HNB o imenovanju osoba odgovornih za rad svake kontrolne funkcije te o razlozima za zamjenu tih osoba
Osoba odgovorna za rad pojedine kontrolne funkcije izvještava izravno upravu i nadzorni odbor te revizorski odbor i/ili drugi odgovarajući odbor osnovan od strane nadzornog odbora i najmanje jednom godišnje sudjeluje na sjednicama tijela koje izvještava
16
Stupanje na snagu (1)
• KI je dužna osnovati odbor za primitke te uskladiti politike primitaka s odgovarajućim i djelotvornim upravljanjem rizicima – uskladiti se do 30. lipnja 2013.
• KI je dužna javno objavljivati opće informacije iz područja
svojega poslovanja tj. politike o primicima radnika i
provoĎenje te politike - uskladiti se do 30. lipnja 2013.
• KI je dužna uskladiti se s odredbama vezanim za eksternalizaciju kontrolnih funkcija najkasnije do 30. lipnja 2013.
• HNB će u roku od 30 dana od dana stupanja na snagu ovoga Zakona donijeti podzakonske akte o uvjetima za članove uprave i nadzornog odbora
17
Stupanje na snagu (2)
• KI je dužna za članove nadzornog odbora koji su na dužnost stupili ili će stupiti do 31. ožujka 2014. napraviti procjenu primjerenosti i za njih podnijeti zahtjev za davanje prethodne suglasnosti za obavljanje funkcije člana nadzornog odbora kreditne KI najkasnije do 31. ožujka 2014. HNB će odlučit o zahtjevima najkasnije u roku od devet mjeseci od datuma
podnošenja potpunog zahtjeva
Do donošenja odluke HNB-a iz stavka članovi nadzornog odbora nastavljaju obavljati svoje dužnosti te su odluke nadzornog odbora valjane
• Za osobe koje KI namjerava imenovati kao članove nadzornog odbora od 1. travnja 2014. dužna je podnijeti zahtjev za prethodnu suglasnost najkasnije tri mjeseca prije tog datuma
• KI je dužna je donijeti i provoditi primjerene politike za izbor i procjenu primjerenosti nositelja ključnih funkcija u kreditnoj
instituciji najkasnije do 30. lipnja 2013.,
te najkasnije do 31. prosinca 2013. za nositelje ključnih funkcija napraviti procjenu primjerenosti
18
Ulazak u EU – utjecaj na
PDV
Ulazak u EU – utjecaj na
PDV
Gordan Rotkvić
PwC
Gordan Rotkvić
PwC
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA MEĐUNARODNA KONFERENCIJAKONFERENCIJA
SEKCIJA A SEKCIJA A –– Ulazak u EU i utjecaj na PDVUlazak u EU i utjecaj na PDV
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• PDV/GST globalni trendovi i reforme
• PDV i njegov utjecaj na poslovanje
• Razvoj hrvatskog PDV sustava
• Položaj RH s obzirom na kretanje PDV-a u odnosu na EU
• Porezne stope u RH
• Utjecaj PDV promjena na poslovanje
• Očekivane promjene
2
PwC Croatia
PDV/GST globalni trendovi i reforme
Slide 3
PwC Croatia
Trendovi u Europskoj uniji
Slide 4
Izvor: Komisija Europske unije – Porezni trendovi u EU, 2010. godina
Stope PDV-a /GST nastavljaju rasti diljem zemalja Europske unije
PDV/GST globalni trendovi i reforme
PwC Croatia
Stope PDV-a od 2008 - 2012
5
* Latvija: 21% PDV-a od 1. srpnja 2012. (22% do 30. lipnja 2012. godine)
0
2
4
6
8
10
12
14
16
18
20
22
24
26
28
30
Austr
ia
Bulg
ari
a
Czech R
epublic
Cypru
s
Denm
ark
Esto
nia
Fin
land
Fra
nce
Germ
any
Gre
ece
Hungary
Irela
nd
Italy
Latv
ia
Lithuania
Luxem
burg
Malta
Neth
erl
ands
Pola
nd
Port
ugal
Rom
ania
Slo
venia
Slo
vakia
Spain
Sw
eden
UK
Icela
nd
Cro
atia
Mexic
o
New
Zeala
nd
VAT/GST rate change in 2012
VAT/GST rate change in 2011
VAT/GST rate change in 2010
VAT/GST rate change in 2009
VAT/GST rate in 2008
*
PDV/GST globalni trendovi i reforme
PwC Croatia
Globalni porast prihoda generiranih od PDV-a
Slide 6
Izvor: Komisija Europske unije – Porezni trendovi u EU, 2011. godina
Iznos PDV/GST u % BDP-a u EU za 2010. godinu
0%
2%
4%
6%
8%
10%
12%
PDV/GST globalni trendovi i reforme
PwC Croatia
Izvor: PwC istraživanje: Prebacivanje tereta s izravnih na neizravne poreze: kako se multinacionalne kompanije nose s
promjenama, Studeni 2008
7
PDV i njegov utjecaj na poslovanje
PwC Croatia
Uvod
• Zakon o porezu na dodanu vrijednost stupa na snagu 1. siječnja 1998. godine
(jedinstvena stopa od 22%)
• Stopa PDV-a raste u 2009. godini (stopa PDV-a 23%)
• Nadopune Zakona o porezu na dodanu vrijednost počinju se primjenjivati u siječnju
2010. godine (započinje proces harmonizacije s Direktivama Europske unije)
• Stopa PDV-a od 25% stupa na snagu u ožujku 2012. godine (ukinuto 0% PDV-a)
• Posljednje izmjene – 1. siječanj 2013.
• UvoĎenje novog Zakona o PDV-u – 2013.
Slide 8
22%
1998
23%
2009
25%
2012
Razvoj hrvatskog PDV sustava
PwC Croatia
Položaj RH s obzirom na kretanje PDV-a u odnosu na EU
1998 – 2010
• Nulte i smanjene stope,
• Institucionalno izuzeće
• Ograničen povrat PDV
strancima,
• Nemogućnost
registracije PDV-a za
strance,
• Djelomično
oporezivanje vlastite
potrošnje,
• Slobodne Zone
• Neoporezivanje marže
Ne EU – isporuke
Slide 9
U EU
• Ukinute nulte stope /
Smanjenje stope
• Mjesto oporezivanja
usluga,
• Građevinske zone (2015)
• Ukinuti Slobodne Zone
• PDV skladišta
• EU – isporuke,
• Nove procedure povrata
PDV-a
• Nove obveze
izvješćivanja
• Ukidanje PDV izuzeća za
određene skupine
2010 – 2012
• Nulte i smanjene stope
• Izuzeća
• Funkcionalna
• Javnog interesa
• PDV registracija i povrat za
strance ,
• Različito mjesto
oporezivanja za usluge
• Potpuno oporezivanje
vlastite potrošnje
• Slobodno Zone,
• Ne EU – isporuke
PwC Croatia
Pregled smanjenih stopa PDV-a
5%
1. Sve vrste kruha,
2. Sve vrste mlijeka osim mliječnih proizvoda,
3. Knjige (stručnog, znanstvenog, umjetničkog,
kulturnog, itd. sadržaja),
4. Lijekovi – prema odluci/listi HZZO-a
5. Proizvode koji se kirurškim putem ugraĎuju u
ljudsko tijelo,
6. Ostale medicinske proizvode i opremu
Znanstvene časopise,
7. Usluge javnog prikazivanja filmova.
8. Plovila za sport i razonodu koja se puštaju u
slobodan promet prije 31. svibnja 2013. godine
10%
1. Usluge smještaja i agencijske usluge,
2. Pripremanja hrane i usluživanja pića u
ugostiteljskim objektima (2013),
3. Novine i časopise,
4. Jestiva ulja i masti,
5. Dječju hranu i hranu za dojenčad
6. Isporuku vode,
7. Bijeli šećer.
Porezne stope u RH
PwC Croatia
• Ukidanje unutarnjih carinskih granica i carinskih postupaka unutarnje i
vanjske proizvodnje i carinskih slobodnih zona (unutar EU);
• Višestruka registracija za PDV;
• Mjesto oporezivanja isporuka;
• Isporuka dobara;
• Isporuka usluga;
• PDV izvješćivanje: Statistički izvještaji izmeĎu EU zemalja (Intrastat),
Rekapitulativne izjave (EC sales lists), novi obrasci za prijavu PDV-a;
• PDV povrat;
• Računovodstvo;
• Logistika i upravljanje lancem nabave;
• Promjene u IT sustavima;
• Obuka osoblja
Slide 11
Utjecaj PDV promjena na poslovanje:
Registracija za PDV
• Definicija poreznog obveznika
• Porezni obveznici – ne HR poduzetnici
• Bilo koji poslovni subjekt koji nema registrirano mjesto poslovanja u Hrvatskoj ali je
registriran u nekoj drugoj zemlji članici EU i zemlji ne-članici EU i po zakonu je obveznik
plaćanja PDV-a;
• Isporuke (triangulacija, oporezivanje usluga prema mjestu njihove isporuke, graĎevinske
usluge,itd.)
• Prag stjecanja dobara unutar EU veći od 77.000,00 kn
• Prag isporuke dobara fizičkim osobama veći od 270.000,00 kn
Procedure
• Prijava za registraciju;
• Prijava za PDV identifikacijski broj (iznimke za male poduzetnike, povremene isporuke,
izuzete isporuke bez prava povrata ulaznog PDV-a);
• Trenutni OIB s predznakom kratice HR (npr. HR64022092934);
• EU poduzetnik MOŽE imenovati poreznog zastupnika;
• Ne– EU poduzetnik MORA imenovati poreznog zastupnika (osim ukoliko su
meĎunarodni sporazumi slični EU Direktivama 2010/24/EU ili elektroničkoj isporuci
dobara);
• Porezni zastupnici moraju biti hrvatski poduzetniciSlide 12
Očekivane promjene - NOVO (nacrt novog zakona o PDV-u)
Isporuka dobara
• Isporuka dobara bez prijevoza
Hrvatska – ukoliko se dobro nalazi u Hrvatskoj u
trenutku isporuke
• Isporuka dobara s prijevozom
Hrvatska – ukoliko su dobra u Hrvatskoj u trenutku
otpreme ili su dostavljene hrvatskom kupcu; zemlja
članica EU – ukoliko su dobra otpremljena u zemlju
članicu EU gdje postoji obveza plaćanja ulaznog
PDV-a; u zemlji odredišta – ukoliko dobra ne
podliježu oporezivanju
• Isporuka dobara na brodovima, zrakoplovima ili
vlakovima
Unutar EU- gdje u mjestu isporuke dobara
• Isporuka dobara putem distribucijskog sustava
(sustava za prirodni plin, električnu energiju, grijanje
i hlaĎenje)
Slide 13
Oporezivanje isporuka
Očekivane promjene - NOVO (nacrt novog zakona o PDV-u)
Opće pravilo
B2B mjesto primatelja usluge
B2C mjesto pružatelja usluge
Isporuka usluga
• Usluge u vezi s nekretninama
Nema promjena
• Usluge prijevoza
• Prijevoz putnika (prema mjestu gdje se obavlja
prijevoz; iznimka (usluge meĎunarodnog prijevoza
putnika brodovima i zrakoplovima)
• Prijevoz dobara (mjesto početka prijevoza)
• Prijevoz dobara poreznim obveznicima unutar EU
(mjesto primatelja usluge)
• Usluga prijevoza dobara koja se uvoze, osloboĎena
su PDV-a ukoliko je usluga uključena u poreznu
osnovicu
• Iznajmljivanje prijevoznih sredstava
Kratkotrajno –prijevozno sredstvo stavljeno na
raspolaganje (30 dana, plovila – 90 dana)
Dugotrajno – sjedište primatelja
• Ostalo
• Usluge u kulturi i njima slične usluge, pomoćne
usluge u prijevozu i usluge s pokretnim dobrima
• Usluge pripremanja hrane i usluge opskrbe
pripremljenom hranom i pićem
Izdavanje računa
• Računi se trebaju izdati za sljedeće isporuke:
• Isporuke usluga i dobara poreznim obveznicima i ne poreznim obveznicima
• Isporuke dobara (vezano za transport);
• Isporuke dobara (izuzete isporuke unutar EU)
• Primljeni predujmovi;
• Iznosi isporuka poreznim obveznicima vrijednosti veće HRK 270.000
• Jedna faktura za različite isporuke – tijekom mjeseca;
• Samostalno fakturiranje (navedeno na računu);
• Pojednostavljena faktura (za isporuke vrijednosti manje od HRK 700 , itd)
Povrat PDV-a (novosti)
• kvartalno za isporuke vrijednosti manje od HRK 800 000,
• Do 20-tog sljedećeg mjeseca;
• Godišnja porezna prijava do kraja veljače nadolazeće godine;
• Predaja rekapitulativnih izjava (EC Sales/Purchase list) do 20.tog sljedećeg
mjeseca;
• Za isporuke s obzirom na vrstu transporta - 10 dana nakon isporuke
• Plaćanje PDV obveze prilikom podnošenja porezne prijave
Slide 14
Očekivane promjene - NOVO (nacrt novog zakona o PDV-u)
• U roku 30 dana od dana predaje prijave PDV-a
• U roku od 90 dana od dana pokretanja poreznog nadzora
Povrat PDV-a poreznim obveznicima koji nemaju sjedište na području EU
• Nema sjedište, stalnu poslovnu jedinicu, prebivalište ili uobičajeno boravište
• Reciprocitet
• Pravo na povrat PDV-a
• Svota povrata koji se traži ne smije biti manja od 3.100,00 kn (kraće od godine dana) i manja
od 400 kn (dulje od godine dana)
• Rješenje o povratu PDV-u izdaje se u roku 8 mjeseci od datuma podnošenja istog, a prijenos
novca u roku 10 dana od donošenja rješenja
Povrat PDV-a poreznim obveznicima sa sjedištem u drugoj državi članici EU
• Nema sjedište, stalnu poslovnu jedinicu,itd (predstavništvo nije uzeto u obzir),
• E-zahtjev putem elektroničkog portala države članice
• Rješenje o povratu PDV-u izdaje se u roku 4 mjeseca od datuma podnošenja istog, a prijenos
novca u roku 10 dana od donošenja rješenja
• Tri uzastopna mjeseca (do godine dana)
Slide 15
Očekivane promjene - NOVO (nacrt novog zakona o PDV-u)
Povrat PDV-a
Promjene u hrvatskom zakonodavstvu sukladno odlukama
Europske Komisije
• UvoĎenje i implementacija Zakona o fiskalizaciji u prometu gotovinom od 1. siječnja 2013.
godine;
• Odjel za e-porezni nadzor velikih poreznih obveznika (4 odjela podijeljena po regijama);
• Implementacija e-poreznog nadzora (52 licence ACL softvera);
• Nove metodologije klasičnog i elektroničkog e-poreznog nadzora (očekuju se do
kraja godine);
• Implementacija novog sustava za upravljanje poslovnim rizicima (Compliance Risk
Management, Audit Support and Data warehouse systems);
• Edukacije
Slide 16
Vijesti iz Europske komisije - budućnost PDV-a
Slide 17
Danska GrčkaCipar Irska ItalijaLitva LuksemburgLatvija
2012 2013 2014 2015 2016 - 2020
Procjena sadašnjih
struktura PDV stopaPrijedlog nove
strukture PDV stopa
Povratna izvješća o Povratna izvješća o
mjerama protiv utaja
poreza
UvoĎenje “one stop
shop” Proširenje “one stop shop”
Pregled i analiza načela odredištaPrijedlog “definitive
regime”“Članak 12.” Izvješća
Mehanizam brze
reakcije
Prijedlog za javni
sektorOstali prijedlozi za proširenje porezne osnovice
Studija o
standardizaciji
porezne prijave
Prijedlog za
standardizaciju
porezne prijave Standardizacija ostalih obveza vezano za PDV, poput registracije i fakturiranja
Dublja analiza novih metoda prikupljanja poreza i SAF-T
EU PDV forum Isplativost prekograničnog tima za nadzor i proširenje automatskog pristupa informacijama
Izdavanje Smjernica Europske komisije i objašnjenja novih zakona prije nego nova pravila stupe na snagu
Izrada EU PDV web portala
Predsjedništvo EU
Predmet Opis
1 Predsjedništvo
Vijeća
Od siječnja 2013. godine Irska je domaćin sastanaka Predsjedništva vijeća. Program Predsjedništva “za
stabilnost, poslove i rast” objavljen je javnosti na web stranici Irskog predsjedništva. Vezano za neizravne
poreze prioriteti su stavljeni na:
• lakšu i efektivniju reakciju vezano za utaju PDV-a,
• PDV tretman “vouchera”,
• pregled napretka implementacije Propisa za regulaciju PDV-a na prekogranične usluge;
• revizija Direktive poreza na energiju
2 Vouchers
(vaučeri)
Prijedlozi za promjene u Direktivama:
• Jednokratna i višekratna namjena vaučera
• Prijedlog je objavljen 10. svibnja 2012., a prvi sastanak sa zemljama članicama održan u srpnju 2012.
• Ciljan datum implementacije je 1. siječanj 2014. te stupanje na snagu od 1. siječanja 2015.
3 Travel agents
(putničke agencije)
• MaĎarsko predsjedništvo predstavilo je nove prijedloge teksta Radnoj skupini “Working party” 20. siječnja
2011. godine
• Nije uspostavljen dogovor oko uvoĎenja navedenih prijedloga te je takoĎer izbačen s dnevnog reda
ECOFINA-a
• Predsjedništvo je donijelo nove izmjene teksta 1. lipnja 2011. godine, a odnose se na: optimalni globalni
prag, optimalan globalni prag + odgovarajuća razina za sve usluge tijekom puta unutar EU s mogućnošću
one-stop za sve non-EU trgovce, nastavak rada na prijedlozima te održavanje sadašnjeg statusa.
•opća pravila koja bi se trebala primjenjivati na B2B isporuke u slučaju prodaje putnih paketa te koji se
članci Direktiva trebaju prilagoditi bez promjene sadašnjeg stanja
•Studija procjene utjecaja biti će izdana od strane Europske komisije – krajem 2013. godine
4 “Mini one stop
shop”
Kao dio PDV paketa, nova pravila vezano za mjesto oporezivanje usluga telekomunikacije, emitiranja i
elektronskih usluga, počet će se primjenjivati počevši od 1. siječnja 2015. godine
•30. svibnja 2012. godine Vijeće, zemlje članice te Komisija održali su raspravu vezano za uvoĎenje “Mini
one stop shop” (MOSS)
•13. rujna 2012. godine usvojena je Regulativa implementacije No 815/2012
•Zajedno s Regulativom o administrativnoj suradnji (Regulativa Vijeća No 904/2010) Regulativa
implementacije sadrži detalje za uvoĎenje “one stop shop”
•Regulativa implementacije omogućuje uvid u daljnje smjernice vezano za tehničke i funkcionalne
specifikacije koje će zemljama članicama omogućiti prilagodbu istih u njihove sadašnje IT sustave
Slide 18
Predmet Opis
5 Borba protiv
prijevara vezano za
PDV
• 31. srpnja 2012. godine, EU Komisija izdala je Prijedlog za Vijeće vezano za uvoĎenje mehanizama brze
reakcije u slučaju iznenadnih i masovnih utaja PDV-a
• 5. ožujka 2013. godine, Europske Vijeće je raspravljalo o navedenom Prijedlogu. Prijedlog je stopiralo 5
zemalja članica EU. I dalje ostaje cilj Irskog Predsjedništva za usvajanje prijedloga do kraja lipnja 2013.
godine
6 Prijedlog za
regulaciju
Europskog
Parlamenta i Vijeća
kojim se utvrđuje
Carinski zakon
Unije
• Nacrt prijedloga vezano za Carinski zakon Unije predstavlja preradu Suvremenog carinskog zakona
(MCC)
• MCC je usvojen 2008. godine
• Datum primjene: 24. lipnja 2013. godine;
Razlozi uspostave MCC-a (datum primjene, usklaĎivanje s Lisabonskim sporazumom, druge
izmjene:izravne promjene (EU umjesto EC) te manje promjene u zakonodavstvu (npr. pravila za
privremenu pohranu)
7 FISCUS program Prijedlog Regulacije Europskog Parlamenta i Vijeća u cilju uspostave programa vezano za carine i
oporezivanje unutar EU za razdoblje od 2014. – 2020. godine
Glavni ciljevi su:
• Podrška suradnji izmeĎu Porezne uprave i Carinske uprave i ostalih strana u cilju prikupljanja poreza i
borbe protiv utaje javnih davanja
• Olakšanje zajedničkih akcija, edukacija te EU IT sustava u cilju uspostave u potpunosti punopravne e-
administracije
• EESC je dala mišljenje na navedeni Prijedlog:
• Nacionalni administrativni odjeli za oporezivanje i carine trebaju u potpunosti biti prilagoĎene brzoj reakciji
promjena u sljedećem desetljeću
• ažuran i efikasan IT sustav mora biti dostupan
Slide 19
ZAKON O POREZU NA ZAKON O POREZU NA
DODANU VRIJEDNOSTDODANU VRIJEDNOST(Primjena od 01.07.2013.)(Primjena od 01.07.2013.)
ZAKON O POREZU NA ZAKON O POREZU NA
DODANU VRIJEDNOSTDODANU VRIJEDNOST(Primjena od 01.07.2013.)(Primjena od 01.07.2013.)
Dragan Rudan
UHY RUDAN d.o.o.
Dragan Rudan
UHY RUDAN d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA A A –– Ulazak u EU i utjecaj na PDVUlazak u EU i utjecaj na PDV
“Očekivanja od interne “Očekivanja od interne revizije ulaskom u revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
2
USKLAĐIVANJE S PRAVNOM
STEĈEVINOM
• Implementacija Direktiva EU u domaće
zakonodavstvo
• Uredbe EU se direktno primjenjuju
• Presude Europskog suda pravde
•
3
OBVEZNO USKLAĐIVANJE
• Najviše dvije snižene stope, najniža 5 %
• Porezni obveznici mogu biti i tijela državne i lokalne
vlasti ako obavljaju gospodarsku djelatnost
• Usklađivanje odredbi koje se odnose na zajedničko
tržište EU
• Uključivanje slobodnih zona u područje EU u poreznom
smislu
• Ukidanje oslobođenja za branitelje i vjerske zajednice
• Povrat poreza poduzetnicima iz EU
4
PODRUĈJE PRIMJENE
• Tuzemstvo - područje RH
• Europska unija i država članica – područje
utvrđeno ugovorom o osnivanju EU
• Treća zemlja – područje izvan EU
• Treće područje – područje članica EU izuzeto iz
EU
5
VIES
• VIES (VAT Information Exchange System)
• Informatička baza – mreža nacionalnih VIES
baza
• Razmjena informacija o isporukama dobara
• Potvrda PDV identifikacijskih brojeva
• Podaci o isporukama dobara iz jedne države
članice u drugu državu članicu
• VIES i za razmjenu informacija o obavljenim RC
uslugama
6
Naĉela ubiranja PDV-a na podruĉju EU
• DOBRA
• Načelo zemlje porijekla – za isporuke dobara za krajnju potrošnju
• Načelo zemlje odredišta – za isporuku dobara između poreznih
obveznika
• USLUGE
• Načelo zemlje primatelja usluge za B2B usluge
• Načelo zemlje davatelja usluge za B2C usluge
• Mnogobrojni izuzeci od općih načela oporezivanja dobara i usluga
7
OPOREZIVE TRANSAKCIJE
• Isporuke dobara u tuzemstvu
• Stjecanje dobara unutar EU u tuzemstvu
• Obavljanje usluga u tuzemstvu
• Uvoz dobara
PDV pri uvozu obračunska kategorija uz
odobrenje PU ako uvoznik može odbiti pretporez
u cijelosti
8
Stjecanje dobara unutar EU u tuzemstvu
• Svih dobara (za porezne obveznike)
• Novih prijevoznih sredstava (za sve)
• Trošarinskih proizvoda
• Premještanje poslovne imovine poreznog
obveznika
9
ROBA SE PRODAJE (OTPREMA)
BIH HRVATSKA Druga
država EU
PDV i
otpremnik
PDV i kupac
--------›X
Otprema u
Hrvatsku
oporezovana ili
oslobođena
Nabava u
Hrvatskoj
oporezovana ili
oslobođena
------------ -------›X
Otprema iz
Hrvatske pravo
oslobođenje
U drugoj državi
EU, oporezovana
ili oslobođena
nabava robe iz
EU
X‹--------- ----------
Otprema iz
Hrvatske
pravo
oslobođenje
U BiH
oporezovana ili
oslob. uvoz
10
ROBA SE NABAVLJA (DOPREMA)
BIH HRVATSKA Druga
država EU
PDV i
otpremnik
PDV i kupac
X‹----------
U Hrvatskoj
oporezovana ili
oslobođena
Otprema u
Hrvatsku
oporezovana ili
oslobođena
x‹---------- -------
U Hrvatskoj
oporezovana ili
oslobođena
nabava robe iz
EU
U drugoj državi
EU, oporezovana
ili oslobođena
nabava robe iz
EU
--------- ---------›x
U Hrvatskoj
oporezovan ili
oslobođen uvoz
Otprema iz BIH
pravo
oslobođenje
11
PRAG STJECANJA
• Prag stjecanja 77.000,00 kuna – Utvrđuje se za : pravne osobe koje
nisu porezni obveznici, za male porezne obveznike i za porezne
obveznike koji nemaju pravo na odbitak pretporeza
• Ako isporuke ne prelaze prag stjecanja oporezuju se u zemlji
porijekla
• Ako isporuke prelaze prag stjecanja oporezuju se u tuzemstvu
• Stjecatelji moraju imati PDV identifikacijski broj i plaćaju PDV na
stjecanje
• Prag stjecanja se ne utvrđuje za:
• - Nova prijevozna sredstva
• - Trošarinske proizvode
12
PRAG ISPORUKE
• Prag isporuke propisuje svaka članica EU u visini
između 35.000-100.000 € (RH 270.00,00 kuna)
• Kod isporuke na daljinu krajnjim kupcima putem kataloga
u drugu članicu EU mjesto isporuke je tamo gdje se
dobra nalaze na početku otpreme
• Ako isporučitelj iz neke članice EU prijeđe prag isporuka
koji je propisala članica EU iz koje su krajnji potrošači
tada je mjesto isporuke tamo gdje završava otprema ili
prijevoz dobara
• Kod trošarinske robe se ne utvrđuje prag isporuke već je
oporezivo u državi odredišta
13
MJESTO ISPORUKE DOBARA
• Domaće isporuke
• Domaće nabave
• Izvoz
• Uvoz
• Isporuka dobara iz Hrvatske u druge članice EU
• Doprema dobara iz članica EU
14
MJESTO OBAVLJANJA USLUGE
• Načelo zemlje primatelja usluge za B2B usluge
• Načelo davatelja usluge za B2C usluge
• Puno izuzetaka od općih načela oporezivanja
15
OBVEZNICI PLAĆANJA PDV-a
• Porezni obveznik registriran za potrebe PDV-a u Hrvatskoj, obavezan
je platiti PDV kada mu se obave slijedeće isporuke:
– graĊevinske usluge kojima se smatraju usluge u vezi s izgradnjom,
stavljanjem u uporabu, održavanjem, promjenom ili rušenjem graĊevinskog
objekta, ukljuĉujući usluge popravka i ĉišćenja. Isto se odnosi i na
ustupanje osoblja ako ustupano osoblje obavlja graĊevinske usluge,
– isporuke rabljenog materijala i onoga koji se u istom stanju ne može
ponovno upotrijebiti, otpada, industrijskog i neindustrijskog otpada,
reciklažnog otpada,djelomiĉno obraĊenog otpada, te odreĊenih dobara i
usluga,
– isporuka nekretnina, prema ĉlanku 40. st. 1. toĉki j) i k) Zakona, ako se
isporuĉitelj odluĉio za oporezivanje u skladu sa ĉlankom 40. st. 4. Zakona,
– isporuka nekretnina koje je prodao ovršenik u postupku ovrhe,
– prijenos dozvola za emisije stakleniĉkih plinova sukladno ĉlanku 3.
Direktive Vijeća 2003/87/EZ kojom se uspostavlja sustav trgovanja
dozvolama za emisije stakleniĉkih plinova unutar Zajednice.
16
POREZNE STOPE
• Stope PDV-a u Hrvatskoj su:
- redovna stopa 25%
- snižena stopa 10%
- snižena stopa 5%
• Preračunate stope PDV-a u Hrvatskoj su :
- redovna stopa 20%
- snižena stopa 9,09 %
- snižena stopa 4,76 %
• Za stjecanje dobara unutar EU primjenjuje se PDV stopa u
tuzemstvu za takva dobra
17
ULAZNI RAĈUN
• Formalni uvjet za odbitak pretporeza
• Nije propisan rok za izdavanja računa
• Iznimno, račun se mora izdati najkasnije 15 dana od
završetka mjeseca u kojem je nastao oporezivi događaj
kada je primatelj usluga obvezan platiti PDV
• Velika novost – račun može izdati i primatelj dobra ili
usluga
• Računi se izdaju u kunama i uz to u bilo kojoj valuti (PDV
se plaća po srednjem tečaju HNB na dan izdavanja)
18
POREZNA PRIJAVA I ROKOVI PLAĆANJA
• Porezna prijava do 20-og u mjesecu za prethodni mjesec (mjesečno
i tromjesečno)
• PDV-K do kraja veljače za prethodnu godinu
• Zbirna prijava do 20-og u mjesecu za prethodni mjesec (mjesečno)
• Prijava za isporuku / stjecanje novih prijevoznih sredstava 10 dana
od dana isporuke / stjecanja
• PDV se plaća do kraja tekućeg mjeseca za prethodni mjesec
• Povrat PDV-a najkasnije 30 dana od roka za podnošenje porezne
prijave (90 dana od dana pokretanja poreznog nadzora)
19
ZBIRNA PRIJAVA
• Zbirna prijave za isporuke dobara i obavljene usluge
• PDV identifikacijski brojevi
• Podaci o isporukama u druge države članice
stjecateljima
• Vrijednost isporuka dobara po primateljima
• Vrijednost isporuka u trostranim poslovima
• Vrijednost obavljenih usluga po primateljima
• Podnošenje mjesečno
• Usporedba s vrijednostima iz Obrasca PDV
20
REGISTRIRANJE ZA POTREBE PDV-a
• PDV identifikacijski broj – poreznim obveznicima i pravnim osobama
koje sudjeluju u isporukama dobara i usluga na EU tržištu
• PDV identifikacijski broj sastoji se od OIB-a i predznaka HR
• Mora biti naveden na računu
• Služi isporučitelju za provjeru poreznog statusa kupca (stjecatelja) iz
druge članice EU
• Služi isporučitelju za provjeru poreznog statusa primatelja usluge iz
druge članice EU
• Provjera broja putem informatičke baze VIES
• Države članice daju pristup informacijama svaki mjesec putem
Zbirne prijave
21
OPOREZIVANJE NEKRETNINA
• Od 1.1.2015. godine uvode se znaĉajne promjene:
• građevinsko zemljište oporezuje se PDV-om
• oporezuju se PDV-om isporuke građevina ili njihovih dijelova i
zemljišta na kojem se nalaze, osim isporuka prije prvog nastanjenja
odnosno korištenja I isporuka kod kojih je od dana prvog
nastanjenja odnosno korištenja do datuma slijedeće isporuke nije
proteklo više od dvije godine,
• porezni obveznik ima pravo izbora za isporuke navedene u
prethodne dvije točke pod uvjetom da kupac ima pravo na odbitak
pretporeza i pod uvjetom da se o tome izvijesti nadležna ispostava
Porezne uprave.
• Građevinom se u smislu Zakona o PDV-u smatra objekt pričvršćen
na zemlju ili učvršćen u zemlji.
22
LIKVIDNOST
• Porezni obveznici koji su uvozili dobra iz država članica
EU najviše će profitirati u smislu likvidnosti budući se
nabava dobra iz EU ne smatra uvozom i nema obveze
plaćanja PDV-a. Preporuka je dobra iz EU dopremati u
Hrvatsku nakon 30.06.2013.
• Ne očekuje se da će porezni obveznici poradi uštede na
troškovima financiranja mijenjati kalkulacije, odnosno
snižavati cijene svojih proizvoda odnosno robe.
• Porezni obveznici koji plaćaju PDV po naplaćenoj
realizaciji to više neće moći od 01.01.2014. godine, što
će sigurno izazvati probleme u likvidnosti
23
HRVATSKI GRAĐANI (kupnja u EU)
• Građani Hrvatske moći će od 01.07.2013. godine
kupovati dobra i usluge u bilo kojoj državi članici EU i
slobodno ih unositi u Hrvatsku bez plaćanja PDV-a.
• Izuzetak su nabava novih prijevoznih sredstava i dobra
koja se sastavljaju ili instaliraju u Hrvatskoj na koje se
plaća hrvatski PDV. Dakle, ako građanin Hrvatske kupi
novo prijevozno sredstvo u nekoj od država članica EU
oporezovat će se u Hrvatskoj hrvatskim PDV-om.
• Povrat PDV-a za dobra kupljena u drugoj državi članici
EU nije više moguć.
INTERNA REVIZIJA PDV-aINTERNA REVIZIJA PDV-a
Andreja Sekušak, ovl. revizor
UHY RUDAN d.o.o., Zagreb
Andreja Sekušak, ovl. revizor
UHY RUDAN d.o.o., Zagreb
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA A A –– Ulazak u EU i utjecaj na PDV Ulazak u EU i utjecaj na PDV
“Očekivanja od “Očekivanja od interne revizije ulaskom u interne revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Uvod
Obveze za porez na dodanu vrijednost i potraživanja za
pretporez usko su povezana sa pozicijama Bilance i RDG-a
kao što su potraživanja od kupaca, obveze prema
dobavljačima, zalihe, prihodi od prodaje, rashodi od
manjkova i sl. koje proizlaze iz obavljanja djelatnosti društva
Specifičnost poreznih stavaka je što podliježu poreznom
nadzoru od strane Porezne uprave, te ako su netočno
iskazane, Porezna uprava će narediti njihov ispravak,
obračun zateznih kamata zbog nepravodobnog plaćanja
poreza te plaćanje kazni
2
3
Dugovni promet kupaca u godini = obveza PDV-a + prihodi
Potražni promet dobavljača u godini = pretporez + troškovi i/ili imovina
Tko traži povrat pretporeza?
- izvoznici
- velike investicije
- prvo punjenje trgovine
Prosinac!!! – neuobičajeno ponašanje poduzetnika kao npr:
odgoĎeno fakturiranje
držanje ulaznih računa u ladici
usklaĎivanje / korigiranje rezultata
nelikvidnost
4
Definiranje područja rizika:
• Provjera funkcioniranja sustava internih računovodstvenih kontrola
pri obračunu i iskazivanju poreza
• Provjera ispravnosti funkcioniranja programa razvijenih za obračun i
iskazivanje poreza
• Provjera podjele dužnosti kod obračuna i iskazivanja poreza (four
eye principle)
- jedan od fundamentalnih kontrolnih postupaka
- podjela dužnosti smanjuje mogućnosti koje bi dopustile
zaposleniku da bude u situaciji učiniti i sakriti pogreške
5
Definiranje područja rizika (nastavak):
• Područja rizika koja u poreznom nadzoru mogu rezultirati povećanjem osnovice za
PDV, obračunom zateznih kamata i plaćanjem kazni:
– Kontinuirane usluge: na kontinuirane usluge ne obračunava se PDV mjesečno (tromjesečno)
– PDV na vlastitu potrošnju: ne obračunava se PDV, osim u iznimnim slučajevima kao npr. na
isporuke vlastitih proizvoda za potrebe reprezentacije
– Neiskazivanje oporezivih prihoda: na usluge koje su naplaćene u gotovini ili preko naplatnih
ureĎaja, isporuke dioničarima, članovima društva ili zaposlenicima
– Priznavanje pretporeza: priznavanje pretporeza po ulaznim računima koji ne služe za
obavljanje djelatnosti nego za privatne potrebe dioničara, članova društva te priznavanje
pretporeza na temelju preslika računa ili nepotpunih računa, po računu poreznog obveznika
koji nije evidentiran u sustavu PDV-a
– Podjela pretporeza: pogrešno utvrĎena pro rata za priznavanje pretporeza kod poduzetnika
koji obavljaju osloboĎene isporuke bez prava na odbitak pretporeza
– UsklaĎenost knjigovodstvenih i poreznih evidencija (PDV-K, U-RA, I-RA) – razlike u svotama
iskazanim u knjigovodstvenim i poreznim evidencijama
– PDV na primljene usluge iz inozemstva – neobračunavanje PDV-a kod usluga koje našim
poduzetnicima obave poduzetnici iz inozemstva, a koje podliježu obvezi plaćanja PDV-a
prema sjedištu primatelja
Revizijski postupci za kontrolu PDV-a
• Provjera da li društvo ima interno propisane procedure o urudžbiranju
računa, odobravanju za knjiženje i plaćanje, arhiviranju i sl.
• Ukoliko je u Porezna uprava obavila nadzor nad obračunom PDV-a o čemu
je izdala zapisnik i rješenje potrebno je provjeriti da li Društvo postupilo po
Rješenju
• Da li su porezne obveze društva usuglašene sa evidencijom Porezne
uprave
• Sadržavaju li knjige U-RA i I-RA sve propisane elemente
• Sadržavaju li izlazni računi poduzetnika sve propisane elemente
• Sadržavaju li ulazni računi poduzetnika sve propisane elemente
• Iskazuju li se obveze za PDV po izlaznim računima i pretporez po ulaznim
računima u ispravnom obračunskom razdoblju (mjesecu)
• Odgovara li svota oporezivih prihoda iz glavne knjige osnovici za obračun
PDV-a (vrijednosti isporuke) iskazanoj u PDV-K obrascu
• Jesu li ispravno iskazane neoporezive isporuke u obrascu PDV-K
6
Revizijski postupci za kontrolu PDV-a (nastavak)
• Da li su Obveze za PDV i pretporez iskazani u PDV-K obrascu
usuglašeni s obvezama za PDV i pretporezom u knjigama U-RA i
I-RA te obvezama za PDV i pretporezom iskazanim u glavnoj knjizi
• Jesu li ispravno primijenjene porezne stope oporezivih isporuka
• Jesu li ispunjeni uvjeti za priznavanje pretporeza iz obrasca PDV-K
• Je li poduzetnik ispunio uvjete za podjelu pretporeza
• Je li poduzetnik smanjivao obvezu za PDV na temelju danih popusta
kupcima tek nakon primljene potvrde kupca da je on povećao svoj
pretporez po primljenom popustu
• Jesu li ispravno primjenjivana porezna osloboĎenja pri uvozu i
izvozu
• Priznaje li se pretporez po primljenim R-2 računima u ispravnom
obračunskom razdoblju
• Provjeriti da li su porezne obveze uplaćene na propisane račune
7
Revizijski postupci za kontrolu PDV-a (nastavak)
Provjera sadržaja izlaznog računa:
Člankom 15. Zakona, izmeĎu ostalog navedeni su podaci koje izlazni račun
mora sadržavati:
• mjesto izdavanja, broj i nadnevak
• ime (naziv), adresu i osobni identifikacijski broj poduzetnika, koji je isporučio
dobra ili obavio usluge (prodavatelja)
• ime (naziv), adresu i osobni identifikacijski broj poduzetnika kome su
isporučena dobra ili obavljene usluge (kupca)
• Količinu i uobičajeni trgovački naziv isporučenih dobara te vrstu i količinu
obavljenih usluga nadnevak isporuke dobara ili obavljenih usluga
• iznos naknade (cijene) isporučenih dobara ili obavljenih usluga, razvrstane
po poreznoj stopi
• Iznos porezna poreza razvrstan po poreznoj stopi
• Zbrojni iznos naknada i poreza
8
Revizijski postupci za kontrolu PDV-a (nastavak)
Primjer radnog papira za test da li odabrani izlazni računi
sadrže sve elemente propisane Zakonom:
9
Red.
Broj
Naziv Izlazni račun broj
1 sadrži navedene
podatke
Izlazni račun broj
2 sadrži navedene
podatke
Napomena
1 mjesto izdavanja, broj i nadnevak da da -
2 ime (naziv), adresu i OIB
poduzetnika, koji je isporučio
dobra ili obavio usluge
(prodavatelja)
da da -
3 ime (naziv), adresu i OIB
Poduzetnika kome su isporučena
dobra ili obavljene usluge (kupca)
da ne Društvo ne navodi
OIB kupca na
izlaznom računu
4 Količinu i uobičajeni trgovački
naziv isporučenih dobara te vrstu i
količinu obavljenih usluga
nadnevak isporuke dobara ili
obavljenih usluga
da da -
5 iznos naknade (cijene) isporučenih
dobara ili obavljenih usluga,
razvrstane po poreznoj stopi
da da -
6 Iznos porezna poreza razvrstan
po poreznoj stopi
da da -
7 Zbrojni iznos naknada i poreza da da -
Revizijski postupci za kontrolu PDV-a (nastavak)
Primjer radnog papira za test da li podaci sa izlaznih računa
odgovaraju podacima u knjizi I-RA:
10
Red.
Broj
Vrsta I-RE –
redovna,
predujmovi
Broj
I-RE
Porezna osnovica
na fakturi
odgovara porezno
osnovici u knjizi I-
RA
Iznos PDV-
a na fakturi
odgovara
PDV-u u
knjizi I-RA
Ukupan iznos
fakture odgovara
ukupnom iznosi s
porezom u Knjizi
IRA
Za oslobođene
isporuke i
isporuke koje ne
podliježu
oporezivanju na
fakturi je
navedena
osnova za
oslobođenje
Napomena
1 REDOVNA 1 da da da N/P
2 REDOVNA 2 da osloboĎeno da da
3 PREDUJAM 5 da da da N/P
4
5
6
7
Revizijski postupci za kontrolu PDV-a (nastavak)
Primjer radnog papira za test da li podaci sa originalnih
ulaznih računa odgovaraju podacima u knjizi U-RA:
11
Red.
Broj
Vrsta URE –
Redovna,
uvoz,
predujmovi
Broj
URE
Porezna
osnovica na
fakturi odgovara
porezno osnovici
u knjizi U-RA
Iznos PDV-a na
fakturi
odgovara PDV-
u u knjizi U-RA
Ukupan iznos
fakture
odgovara
ukupnom iznosi
s porezom u
Knjizi URA
Napomena
1 REDOVNA 12 da da da
2 REDOVNA 15 da da da
3 REDOVNA 21 OsloboĎeno
poreza
OsloboĎeno
poreza
da
4 UVOZ 11 da da da
5 PREDUJAM 17 da da da
6
7
Revizijski postupci za kontrolu PDV-a (nastavak)
Radna tablica za reviziju PDV-a:
12
Vrijednost
isporuke
PDV-K Glavna
knjiga
Knjiga IRA
/URABilješke
OBRAČUN POREZA U OBRAČUN POREZA U
OBAVLJENIM ISPORUKAMA 6.247.001
I. ISPORUKE KOJE NE PODLIJEŢU OPOREZIVANJU I
KOJE SU OSLOBOĐENE - UKUPNO (1. + 2.) 1.012.000
1. KOJE NE PODLIJEŽU OPOREZIVANJU
2. OSLOBOĐENE POREZA - UKUPNO 1.000.000
2.1. IZVOZNE - s pravom na odbitak pretporeza
2.1. ISPORUKE DOBARA - za koje nije bio moguć odbitak
pretporeza
2.3. TUZEMNE - bez prava na odbitak pretporeza 10.000
2.4. OSTALO
3. ISPORUKE PO STOPI OD 0% 2.000
II. OPOREZIVE ISPORUKE-UKUPNO (1.+2.+3.+4.+5.) 5.235.001 1.308.750 1.308.750 1.308.750
1. ZA KOJE SU IZDANI RAĈUNI I NEZARAĈUNANE po stopi
od 5% i 10%
2. ZA KOJE SU IZDANI RAĈUNI I NEZARAĈUNANE po stopi
od 22% i 23%5.235.001 1.308.750
3. ZA KOJE SU IZDANI RAĈUNI I NEZARAĈUNANE po stopi
od 25%
5. NAKNADNO OSLOBOĐENJE IZVOZA U OKVIRU
OSOBNOG PUTNIĈKOG PROMETA
Revizijski postupci za kontrolu PDV-a (nastavak)
Radna tablica za reviziju PDV-a (nastavak):
13
Vrijednost
isporuke
PDV-K Glavna knjiga Knjiga IRA
/URABilješke
III. OBRAĈUNANI PRETPOREZ U PRIMLJENIM
ISPORUKAMA DOBARA I USLUGA-UKUPNO
(1.+2.+3.+4.)
3.356.389 837.485 837.485 837.485
1. PRETPOREZ U PRIMLJENIM RAĈUNIMA po
stopi od 5% i 10%
2. PRETPOREZ U PRIMLJENIM RAĈUNIMA po
stopi 22% i 23% 5.243 1.206
3. PRETPOREZ U PRIMLJENIM RAĈUNIMA po
stopi 25% 3.275.800 818.950
3. PLAĆENI PRETPOREZ PRI UVOZU
4. PLAĆENI PRETPOREZ NA USLUGE
INOZEMNIH PODUZETNIKA po stopi od 10%
5. PLAĆENI PRETPOREZ NA USLUGE
INOZEMNIH PODUZETNIKA po stopi od 22% i 23%75.346 17.330
6. ISPRAVCI PRETPOREZA PREMA
IV. POREZNA OBVEZA U OBRAČUNSKOM
RAZDOBLJU: ZA UPLATU (II. - III.) ILI ZA
POVRAT (III. - II.)
471.265
V. UPLAĆENO DO DANA PODNOŠENJA
POREZNE PRIJAVE452.895
VI. UKUPNO RAZLIKA: ZA UPLATU / ZA
POVRAT18.370
Revizijski postupci za kontrolu PDV-a (nastavak)
Nedostaci i preporuke:
Odgovor Uprave:
14
Redni
brojOpis nedostatka Preporuka
1 Društvo nema interno propisane procedure o urudžbiranju
ulaznih i izlaznih računa
Preporuka Društvu je propisati
unutar postojećih politika proceduru
o urudžbiranju ulaznih i izlaznih
računa. kao i imenovati odgovornu
osobu za izradu istih.
Preporuka je visokog prioriteta
odnosno oznake ???
2 Prilikom pregleda izlaznih računa uočili smo da Društvo
ispostavlja izlazne račune bez unosa OIB-a kupca
Prema Zakonu o porezu na dodanu
vrijednost u ćl. 15 propisani su
obvezni elementi izlaznog računa,
izmeĎu ostalog i OIB kupca.
Preporuka Društvu je da sukladno
zakonu o PDV-u mora se upisati
OIB na računu. Preporuka je
visokog prioriteta oznake???
Kontrola kvalitete rada
Senka Presečan
Zagrebačka banka d.d.
HRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA
SEKCIJA B – Vrednovanje funkcije interne revizije
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.–13. travnja 2013.
Sadržaj:
• Uvod
• Interno vrednovanje
– Standardiziranje procesa revizije
– QA upitnik
– Povratna informacija internih klijenata
– Godišnja samoprocjena
• Eksterno vrednovanje
– Proces provođenja eksternog vrednovanja
• Zaključak
2
3
“Without continual growth and progress,
such words as improvement, achievement and success have no meaning.”
Benjamin Frankilin
Uvod
4
Interno vrednovanje
5
Standardiziranje procesa revizije
• politike, pravilnici, procedure, upute
• programi revizije
• standardizirani radni materijali
• standardni format Izvještaja
• aplikativna podrška procesa revizije
Voditelji pojedinih timova kontinuirano nadziru
kvalitetu rada revizora.
Interno vrednovanje
6
QA upitnik
• Revizori tijekom provođenja revizije popunjavaju
predefinirani Upitnik (alat za procjenu kvalitete
revizije)
Interno vrednovanje
7
Povratna informacija internih klijenata
• 15 dana/krajem kvartala nakon distribucije
Izvještaja šalje se Upitnik direktorima revidiranih
organizacijskih jedinica
• Upitnik distribuira, prikuplja povratne informacije
te analizira rezultate nezavisan organizacijski dio
Banke na polugodišnjoj osnovi
• rezultati analize se prezentiraju revizorima te
nadležnim rukovoditeljima
• Izrađuje se akcijski plan u cilju unapređenja
kvalitete rada
Interno vrednovanje
8
Povratna informacija internih klijenata
1% 2%
28% 31%22%
35%50%
72% 69%78%
63%
50%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Unutarnja revizija (svi timovi)
Tim 1 Tim 2 Tim 3 Tim 4
Vrlo i izrazito zadovoljni
Zadovoljni
Nezadovoljni i vrlo nezadovoljni
Interno vrednovanje
9
Analiza povratne informacije - IIA
Interno vrednovanje
10
Godišnja samoprocjena
Jednom godišnje Unutarnja revizija provodi samoprocjenu rada
kroz standardizirani Upitnik koji se sastoji od 4 područja:
• Organizacija i pozicija Unutarnje revizije upravljanje i interni akti
odnos s ostalima
resursi i tehnologija
• Proces godišnje planiranje
operativno planiranje
obavljanje revizije
izvještavanje i praćenje
kontrola kvalitete
Interno vrednovanje
11
Godišnja samoprocjena (nastavak)
•Ljudski resursi Organizacija, planiranje i zadržavanje
Profesionalni razvoj
Nagrađivanje i razvoj karijere
•Nadzor i podrška rada Metodologija
Aplikativna podrška i administriranje
Monitoring i izvještavanje
Eksterno vrednovanje
12
Eksterno vrednovanje proveo je nezavisan tim (QA
certifikati) specijaliziran za provođenje vrednovanja kvalitete
rada unutarnjih revizija na nivou Unicredit Grupe.
Koriste metodologiju koja je prihvaćena od strane eksternog
revizora.
Proces provođenja eksternog vrednovanja
• priprema dokumentacije (upitnici, uzorak, statistika
revizija prethodne 2 godine...)
• provođenje na terenu (intervjui, pregled dokumentacije)
• područja procjene ista kao i u godišnjoj samoprocjeni
• povratna informacija – izvještaj s prijedlozima
unapređenja
• akcijski plan
Eksterno vrednovanje
13
AREA SQA QAR
Positioning and Organization TC GC
Processes GC GC
People TC TC
Overall evaluation GC GC
TC (Totally Conforms)
GC (Generally Conforms)
PC (Partially Conforms
DNC (Does Not Conform)
Zaključak
14
• Kontinuirano vrednovanje rada unutarnje revizije
utječe na unapređenje rada
• Interni klijenti daju dodanu vrijednost povratnom
informacijom o zadovoljstvu radom Unutarnje revizije
(percepcija internih klijenata o radu Unutarnje revizije
ne poklapa se uvijek sa samoprocjenom i/ili
eksternim vrednovanjem)
• Standardizirani upitnik samoprocjene – uočavanje
područja za unapređenje
• Eksterno vrednovanje – objektivna procjena rada
Unutarnje revizije
• Kontinuirana komunikacija sa svim razinama
managementa i internih klijenata – bitan element u
unapređenju rada
““Osiguranje kvalitete Osiguranje kvalitete
funkcije interne revizijefunkcije interne revizije”
Saša Novosel, CIA
Allianz Zagreb d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
SEKCIJA B SEKCIJA B –– Vrednovanje funkcije interne revizijeVrednovanje funkcije interne revizije
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj:
I. Međunarodni standardi 1300 - 1312
II. Interna procjena kvalitete
III. Eksterna procjena kvalitete
IV. Zaključak
2
3
Standard 1300
Program osiguranja kvalitete i unaprjeđenja
Standard 1310
Zahtjevi programu osiguranja kvalitete i
unaprjeđenja
Standard 1311
Interno vrednovanje
Standard 1312
Eksterno vrednovanje
I. Međunarodni standardi 1300 - 1312
4
Standard 1300
• Glavni revizor mora razraditi i održavati
program osiguranja kvalitete i unaprjeđenja
koji obuhvaća sve aspekte aktivnosti interne
revizije.
Standard 1310
• Program osiguranja kvalitete i unaprjeđenja
mora uključivati i interno i eksterno
vrednovanje.
I. Program osiguranja kvalitete i unaprjeđenja
5
Interno vrednovanje mora uključivati:
• Stalne kontrole radnog učinka (uspješnosti)
interne revizije.
• Povremene kontrole koje se provode putem
samoprocjene ili vrednovanja od strane
drugih osoba u organizaciji koje posjeduju
znanje o praksi interne revizije.
II. Interno vrednovanje: Standard 1311
6
• Stalne kontrole radnog učinka su sastavni dio
svakodnevnog nadzora i ocjene kvalitete provođenja
aktivnosti revizije za koju je zadužen glavni revizor.
• Vrednovanje je ugrađeno u rutinske procese i
procedure:
1) Korištenje standardnih procesa, obrazaca i IT alata
2) Mjerenje vremena i pokazatelja uspješnosti
3) Definirani profili radnih mjesta i procjene radnog učinka
4) Praćenje izvršenja mjera revizije
5) Izvještaji o radu i povratne informacije
II. Interno vrednovanje: Primjer Allianz
7
1) Korištenje standardnih procesa, obrazaca i IT alata
II. Interno vrednovanje: Primjer Allianz
Minimalni standardi:
- Priručnik interne revizije
- Obvezni dokumenti i obrasci
Povelja o internoj reviziji
Dodatne operativne upute, standardni
radni programi, procjene rizika
8
2) Mjerenje vremena i pokazatelja uspješnosti
• U standardnom procesu interne revizije definirani su
rokovi i pokazatelji uspješnosti koji se stalno i sustavno
prate tijekom revizije.
II. Interno vrednovanje: Primjer Allianz
Planiranje Priprema revizije Provedba revizije Zatvaranje revizije Praćenje mjera
9
3) Definirani profili radnih mjesta i procjene radnog učinka
Za profile radnih mjesta:
• Mlađi interni revizor
• Interni revizor
• Stariji interni revizor
• Direktor interne revizije
definirani su:
• Zadaci i odgovornosti
• Zahtjevi radnog mjesta (kvalifikacije, iskustvo, vještine i sposobnosti)
• Očekivani radni učinak i kompetencije
Za svaku reviziju ocjenjuju se radni učinak i kompetencije revizora.
Jednom godišnje provodi se zbirna ocjena radnika temeljem
pojedinačnih ocjena radnog učinka i kompetencija.
II. Interno vrednovanje: Primjer Allianz
10
4) Praćenje izvršenja mjera revizije
• Koristi se interaktivna stranica za komunikaciju i pregled mjera
• Definirani su jasni procesi eskalacije u slučaju odstupanja
• Izrađuju se izvještaji za Upravu, Revizorski odbor i reviziju Allianz
grupe
II. Interno vrednovanje: Primjer Allianz
11
5) Izvještaji o radu i povratne informacije
• Izvještaj za Upravu Za kvalitetu rada funkcije
• Izvještaj za Revizorski odbor interne revizije ključne su
• Izvještaj za reviziju Allianz grupe povratne informacije
Sadržaj izvještaja:
• Status izvršenja godišnjeg plana interne revizije
• Revizije u tijeku: promjene, izvanredni zahtjevi
• Sažetak rezultata revizija i ključni nalazi
• Status izvršenja mjera interne revizije
• Slučajevi vezani za nadzore, pritužbe ili prijave
• Očitovanje o usklađenosti s poveljom i procedurama
II. Interno vrednovanje: Primjer Allianz
12
• Povremene kontrole provode se jednom godišnje
putem nadzirane i strukturirane samoprocjene.
• “..vrednovanja od strane drugih osoba u organizaciji
koje posjeduju znanje o praksi interne revizije” ne
provode se – samo revizija Allianz grupe je ovlaštena.
II. Interno vrednovanje: Primjer Allianz
13
Samoprocjena
• Samoprocjena sadrži 98 pitanja vezanih za primjenu
standarda za koje se glavni revizor očituje i prilaže
odgovarajuće dokumente.
• Grupna revizija nadzire godišnji proces samoprocjene
i preispituje očitovanja na zahtjeve.
• Nekoliko zahtjeva su minimalni standardi i
neusklađenost odmah rezultira negativnom ocjenom.
• Obavezno se provodi akcijski plan za slučajeve
odstupanja od pravila odnosno standarda.
II. Interno vrednovanje: Primjer Allianz
14
III. Eksterno vrednovanje (Standard 1312)
• Barem jednom u pet godina eksterno
vrednovanje treba provesti kvalificiran, neovisan
ocjenjivač ili ocjenjivački tim izvan organizacije.
15
III. Eksterno vrednovanje: Primjer Allianz
• Eksterno vrednovanje provodi se od strane revizije
Allianz grupe pod vodstvom glavne revizorice Allianz
SE grupe ili njene zamjene.
• Sudjeluju 3-4 člana tima kroz 5-10 radnih dana.
• Svi članovi tima imaju značajno iskustvo rada u
internoj reviziji te specijalizirana znanja iz osiguranja
i upravljanja financijskom imovinom. Najmanje jedan
član tima ima CIA kvalifikaciju.
• Eksterno vrednovanje provodi se barem
jednom u pet godina. U Allianz Zagreb d.d.
provedeno je 2007. i 2012. godine.
16
III. Eksterno vrednovanje: Primjer Allianz
• Pregledava se dokumentacija provedenih revizija.
• Provode se strukturirani intervjui s glavnim revizorom,
predsjednikom Uprave, članovima Uprave, članom
Revizorskog odbora, eksternom revizijom, dijelom
menadžmenta i članovima revizorskog tima.
• Ocjenjuje se usklađenost funkcije interne revizije s
internim pravilima i standardima po cjelinama:
a) temeljni zahtjevi, b) provođenje revizija,
c) stručnost revizora i d) dodatne obveze funkcije.
• Izvještaj se dostavlja predsjedniku Uprave
Allianz Zagreb d.d., Revizorskom odboru i
predsjedniku Uprave Allianz SE.
17
IV. Zaključak
• Standardni procesi i procedure bitno olakšavaju
osiguranje kvalitete funkcije interne revizije.
• Glavni revizor mora uspostaviti pokazatelje
uspješnosti i stalno ocjenjivati svoj i rad svog tima.
• Sustavna komunikacija s internim klijentima je najbolji
način dobivanja povratne informacije o kvaliteti rada i
usklađenosti sa strategijom.
• Samoprocjena je jednostavan način vrednovanja.
• Eksterno vrednovanje je ključno za trajno
osiguranje kvalitete funkcije interne revizije i
obavezno bez obzira na ustroj organizacije.
Zahvaljujem na pažnji!
E-mail: [email protected]
Web: www.linkedin.com/in/novosels
www.allianz.hr
18
Pristup eksternom vrednovanju Pristup eksternom vrednovanju
funkcije interne revizijefunkcije interne revizije
Pristup eksternom vrednovanju Pristup eksternom vrednovanju
funkcije interne revizijefunkcije interne revizije
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA B SEKCIJA B -- Vrednovanje funkcije interne revizijeVrednovanje funkcije interne revizije
“Izazovi interne revizije ulaskom u Europsku uniju”, Umag 12.“Izazovi interne revizije ulaskom u Europsku uniju”, Umag 12.––14. travnja 14. travnja 2012.2012.
Draţen Rajaković
Menadţer
Draţen Rajaković
Menadţer
Sadrţaj:
Zašto provesti eksterno vrednovanje funkcije interne revizije ?
Tko treba provesti eksterno vrednovanje?
Kako treba provesti eksterno vrednovanje?
Ključne poruke
2 Eksterno vrednovanje funkcije interne revizije
Zašto provesti eksternovrednovanje
Zahtjevi Instituta internih revizora
Opći standard 1300 : Program osiguranja kvalitete i unapreĎenja
1310 • Vrednovanje programa osiguranja kvalitete
1320 • Izvještavanje o programu
1330 • “Provodi se u skladu”
1340 • Otkrivanje neusklaĎenosti
4 Eksterno vrednovanje funkcije interne revizije
Dizajnirani da osiguraju da se aktivnost interne revizije:
UČINKOVITO I
USPJEŠNO
PERCIPIRANA KAO
DODATNA
VRIJEDNOST
USKLAĐENA SA
STANDARDIMA I ETIČKIM
KODEKSOM
Programi osiguranja kvalitete
Provodi u skladu
s Poveljom
5 Eksterno vrednovanje funkcije interne revizije
1. Pokrivanje svih aspekta aktivnosti
2. Kontinuirano praćenje učinkovitosti interne revizije
3. Osiguranje usklaĎenosti sa Standardima i Etičkim kodeksom
4. Dodavanje i unapreĎenje vrijednosti
5. Povremene i stalne procjene
6. Eksterno vrednovanje svakih 5 godina
Izvještavanje Revizorskog odbora i visokog rukovodstva o rezultatima
6+1 Obvezni zahtjevi
6 Eksterno vrednovanje funkcije interne revizije
Zahtjevi Instituta internih revizora
Opći standard 1312
• “Barem jednom u pet godina eksterno vrednovanje treba provesti
kvalificirani, neovisni ocjenjivač ili ocjenjivački tim izvan organizacije.”
• “Eksterno vrednovanje trebaju provesti kvalificirani pojedinci koji su neovisni
o organizaciji i kod kojih ne postoji stvarni ili navodni sukob interesa.”
• “Neovisni o organizaciji znači da nisu dijelom ili pod kontrolom organizacije
kojoj pripada aktivnost interne revizije. U odabiru eksternog ocjenjivača
treba uzeti u obzir mogući stvarni ili navodni sukob interesa koji može
postojati u sadašnjim ili prošlim odnosima ocjenjivača s organizacijom ili
njegovom aktivnošću interne revizije.”
7 Eksterno vrednovanje funkcije interne revizije
MeĎunarodni kontekst za financijske institucije
1. Revizorska politika Europskog sustava središnjih banaka (ESCB) i
Europske središnje banke (ECB) se temelje na IIA standardima
2. Baselski odbor za superviziju banaka (Basel Committee on Banking
Supervision) je u lipnju 2012. godine objavio dokument pod nazivom “Funkcija
interne revizije u bankama“ koji promiče potrebu za provoĎenjem eksternog
vrednovanja interne revizije u skaldu sa IIA standardima.
3. Jačanje vaţnosti uloge interne revizije u kontekstu Basel III
4. Kontinuirano povećanje vaţnosti učinkovitog sustava korporativnog
upravljanja u kontekstu ulaska Republike Hrvatske u Europsku uniju
- Nova Komunikacija Europske unije od 12.12.2013. u vezi Akcijskog plana za
unapreĎenje sustava korporativnog upravljanja na području Europske unije.
8 Eksterno vrednovanje funkcije interne revizije
Kontekst i zahtjevi hrvatskih regulatora (HNB,
HANFA)
Banke i štedne institucije
Zakon o kreditnim institucijama, članak 185.
„Interna revizija obavlja interno revidiranje u skladu s propisima, pravilima i načelima i
standardima struke”.
Zakon o kreditnim institucijama, članak 360., stavak 1., točka 39.; stavak 2.
Ako ne organizira internu reviziju u skladu s člancima 183.-185. o kreditnim institucijama banka je
u težem prekršaju te će biti kaţnjena u iznosu od 500 tisuća do 2 milijuna kuna, stambene
štedionice u iznosu od 250 tisuća do milijun kuna.
Odgovorna osoba iz uprave banke kaznit će se novčanom kaznom u iznosu od 25 tisuća do
100 tisuća kuna. Odgovorna osoba iz uprave stambene štedionice kaznit će se novčanom
kaznom u iznosu od 10 tisuća do 50 tisuća kuna.
Osiguravajuća društva
Djelokrug rada i odgovornosti Interne revizije definirani su Zakonom o osiguranju te
MeĎunarodnim standardima i smjernicama za stručno obavljanje Interne revizije. Propisano je da
svakih 5 godina nezavisni eksperti trebaju provesti procjenu kvalitete rada interne revizije.
Člankom 283, stavak 1, točka 12. Zakona o osiguranju propisane su kazne u iznosu 750
tisuća do 1.5 milijuna kuna ukoliko Interna revizija nije ustrojena sukladno Zakonu i
MeĎunarodnim standardima. Stavkom 2 istog članka propisana je kazna u iznosu 20,000-
80,000 kuna i za odgovornog člana Uprave.
9 Eksterno vrednovanje funkcije interne revizije
Iskustva i koristi stečeni na drugim projektima
eksternog vrednovanja interne revizije
Neke od uočenih koristi od provoĎenja eksternog vrednovanja interne revizije:
• bolja usklaĎenost s profesionalnim standardima interne revizija
• bolje razumijevanje uloge interne revizije u organizaciji i promocije važnosti interne revizije
• usmjeravanje strategije i aktivnosti interne revizije na ključna područja
• povećanje učinkovitosti interne revizije
• povećanje dodane vrijednosti koju pruža interna revizija
• bolje razumijevanje potreba i očekivanja drugih dionika i ispunjavanje njihovih potreba
• veći doprinos u stvaranju organizacije koja inteligentno upravlja rizicima i
unapreĎenje sustava korporativnog upravljanja
10 Eksterno vrednovanje funkcije interne revizije
Eksterno vrednovanje
• Nerecipročna vrednovanja
• Samoprocjena uz eksternu
potvrdu
Kvalificirani neovisni
ocjenjivač
• Certificirani stručnjak za
provedbu revizije
• Dobar poznavatelj Standarda i
najboljih praksi
• Razumno iskustvo na razini
menadžmenta
Alternativne
metode
11 Eksterno vrednovanje funkcije interne revizije
Zahtjevi Instituta internih revizora
Standardi profesionalne prakse
interne revizije
Svrha, ovlasti i
odgovornosti
Neovisnost i
objektivnost
Stručnost i dužna
profesionalna pažnja
Osiguranje kvalitete
i unapreĎenje
Opći standardi
Standardi izvoĎenja
Upravljanje
aktivnostima
interne revizije
Priroda
posla
Planiranje
angažmana
Obavljanje
angažmana
Priopćavanje
rezultata
Praćenje
napretka
Izvještaj
Mišljenje je li aktivnost interne revizije:
• “Općenito usklaĎena”
• “Djelomično usklaĎena”
• “Nije usklaĎena”
12 Eksterno vrednovanje funkcije interne revizije
Odgovara li interna revizija na potrebe
zainteresiranih strana?
Predsjednik uprave / Izvršni
direktor
• Koji nepredviĎeni dogaĎaji mogu poremetiti našu strategiju i spriječiti
ostvarivanje naših ciljeva?
Direktor financija • Koji rizici mogu bitno utjecati na naše financijske rezultate?
Komisija / Revizorski odbor• Kako upravljamo poslovnim rizicima?
• Kako možemo biti sigurni da njima upravljamo na odgovarajući način?
Glavni savjetnik • Što možemo učiniti kako bismo dodatno smanjili svoje zakonske obveze?
Glavni rukovoditelji• Koliko rizika smijem preuzeti?
• Kakav je naš korporativni apetit rizika?
Menadţer za upravljanje
rizicima
• Kolika je učinkovitost upravljanja strateškim rizicima povezanim s
financiranjem?
• Odgovara li trenutna strategija upravljanja rizicima adekvatno na ključne
rizike?
Investitori/Rating
agencije/regulatori
• Koliko dobro visoko rukovodstvo razumije rizike?
• Koliko je visoka svijest rukovodstva o rizicima?
• Kakva je njihova sposobnost za upravljanje rizicima?
Optimiziranje funkcije interne revizije
• Procjena rizika
• Nematerijalna imovina
• Uravnoteţeno izvješće o izvršenju
• Identificirati i dijeliti najbolje prakse
• Razvoj zajedničkog rješenja
• Podrška i unapreĎenje upravljanja rizicima i kontrole
Optimalna
ravnoteţa
Zaštititi / Povećati
• Procjena rizika
• Materijalna imovina
• Druge pozicije bilance stanja
• Izvanredni izvještaji
• Uprava razvija rješenja
• Kontrolna usklaĎenost
• Opća IT kontrola
Dioničarska
vrijednost:
funkcija
interne
revizije
Zaštita imovine Povećanje mogućnosti budućeg rasta
Neovisno i objektivno uvjerenje uz savjet o dodatnoj
vrijednosti
14 Eksterno vrednovanje funkcije interne revizije
Zašto sada?
Pokazuju li Društva novi interes za kvalitetom
interne revizije?
• Standardi Instituta internih revizora zahtijevaju od Društva da provedu “neovisnu” eksternu reviziju svakih pet godina, na snazi od siječnja 2002. godine
• Razvoj korporativnog upravljanja i regulative koji su uzrokovali
o Povećanu odgovornost značaj revizorskih odbore
o Revizorski odbor i visoko rukovodstvo sve se više oslanjaju na internu reviziju po pitanju regulatornih zahtjeva, internih kontrola i upravljanja rizicima
o Veću formalnu odgovornost rukovodstva za dizajniranje i učinkovitost kontrola
o Povećan fokus prevenciju prijevara
o Veće oslanjanje eksternih revizora na internu reviziju
• Izvršni menadžment sve češće poziva internu reviziju da pruži dodatnu vrijednost pri odgovaranju na izazove današnjeg kompleksnog poslovnog okruženja.
• Samo dobar smisao za posao!
16 Eksterno vrednovanje funkcije interne revizije
Tko treba provesti eksterno vrednovanje
Što kaţu standardi?
• Eksterna vrednovanja od strane kvalificiranih pojedinaca neovisnih o organizaciji i
bez postojanja konflikta interesa
• Samoprocjena uz neovisnu potvrdu
• „Peer reviews‟ izmeĎu triju ili više organizacija
18 Eksterno vrednovanje funkcije interne revizije
Peer pregled u odnosu na eksterno vrednovanje
Prednosti
• Manji trošak
• Manji rizik
Nedostaci
• Percepcije o neovisnosti
• Nedostatak razumijevanja jedinstvenog pristupa
interne revizije u Društvu
• Moguć je nedostatak kompetentnosti „Peer‟
resursa za provoĎenje intervjua s revizorskim
odborom i rukovoditeljem revizije
• Nedostatak iskustva „Peer‟ resursa u udovoljavanju
standardima kvalitete revizije – sposobnosti za
pružanje savjeta o “najboljim praksama”
• Ograničene mogućnosti benchmarkiranja (samo na
GAIN istraživanje)
• Nemogućnost pristupa širokoj bazi znanja
• Moguć je nedostatak sposobnosti za pružanje
preporuka koje će pomoći internoj reviziji pri
usklaĎivanju sa strateškim ciljevima menadžmenta
Društva i sposobnosti odgovaranja na izazove s
kojima se susreće Društvo
• Ograničena sposobnost nadilaženja minimalnih
zahtjeva koje je postavio Institut internih revizora
• Ne postojanje uspostavljene metodologije ili
tehnologije koje bi proces učinile učinkovitijim
Peer pregled u odnosu na kvalificirani neovisni
ocjenjivač
Prednosti
• Neovisno ocjenjivanje
• Članovi tima koji dobro razumiju Društvo i odnose s
izvršnim menadžmentom
• Razumijevanje jedinstvenog pristupa interne revizije
u Društvu
• Stariji iskusni resursi za provoĎenje intervjua s
revizorskim odborom i rukovoditeljem revizije
• Iskustvo u udovoljavanju standardima kvalitete
revizije – sposobnost za pružanje savjeta o
“najboljim praksama”
• Pristup širokoj bazi znanja i mogućnostima
benchmarkiranja
• Iskustvo pri pružanju preporuka koje će pomoći
internoj reviziji pri usklaĎivanju sa strateškim
ciljevima menadžmenta Društva i sposobnost
odgovaranja na izazove koji stoje pred Društvom
• Sposobnost nadilaženja minimalnih zahtjeva koje je
postavio Institut internih revizora
• Uspostavljena metodologija i tehnologija koje će
proces učiniti učinkovitijim
Nedostaci
• Veći trošak
• Veći rizik?
20 Eksterno vrednovanje funkcije interne revizije
Kako treba provesti eksterno vrednovanje?
Eksterno vrednovanje - Pristup
22 Eksterno vrednovanje funkcije interne revizije
Čim
be
nic
i m
og
uć
no
sti
• Fokus na poslovne rizike
• Ispunjavanje /nadmašivanje očekivanja zainteresiranih strana
• Preporuke dodanih vrijednosti
• Učinkovitost i djelotvornost poslovanja
ProvoĎenje analize
Prikupljanje informacija
Preporuke i plan djelovanja
Fokus je na učinkovitosti poslovanja, percepciji zainteresiranih strana, usklaĎenosti sa standardima i praksom interne revizije
Usporedba s najboljom svjetskom praksom
Razgovori s visokim i linijskim rukovodstvom
Razgovori s revizorskim odborom
Pregled proizvoda interne revizije u skladu sa standardima
Upitnici za osoblje i Upravu
Pregled resursa i osoblja interne revizije
Područja ključnih fokusa
• Organizacija / Ljudstvo • Percepcija zainteresiranih
strana
• Procesi / Methodologije • Izvršenje
Proces eksternog vrednovanja – Što traţi
ocjenjivač
• Neovisnost / Objektivnost
• Proaktivnost
• Fokus na rizike
• UsklaĎenost s korporativnim ciljevima
• Razumijevanje poslovanja
• Katalizator za promjene
• Inovativnost i pružanje savjeta
• Uporaba tehnologije i najboljih praksi
• Učinkovita komunikacija i odnosi
• Percepcija o vrijednosti
• Dinamičnost i fleksibilnost
23 Eksterno vrednovanje funkcije interne revizije
Područja ključnih procesa
Veličina i struktura
organizacije
Povezanost izvještavanja
Strategija i opis posla
(Povelja interne revizije)
Vodstvo i kvalifikacije
zaposlenika
Raznolikost vještina
Financiranje i upravljanje
troškovima
Strategija ljudskih resursa
Organizacija / Kadrovi
Metodologija odreĎivanja
rizika
Proces planiranja revizije
Revizija izvršenja
metodologije
Strategija komunikacije i
izvještavanja
Koordinacija i sinergija s
eksternim revizorima
Performance
Kvaliteta usluga
Perspektivnost poslovanja
Fokusiranje na prava
područja
Nadležnost zaposlenika
Dodavanje vrijednosti
Korištenje tehnologija
Pokrivenost rizika i
kontrola okruženja
Adekvatnost izvoĎenja
Proces povratnih
informacija zainteresiranih
strana
UsklaĎenost sa zakonima,
propisima i profesionalnim
standardima
Procesi / Methodologija Percepcija
zainteresiranih stranaIzvršenje
24 Eksterno vrednovanje funkcije interne revizije
Pregled eksternog vrednovanja
25 Eksterno vrednovanje funkcije interne revizije
Kriteriji ocjenjivanja
Potrebe i
očekivanja
zainteresiranih
strana
Uspješne prakse
interne revizije
Standardi
Instituta
internih revizora
• Uloga interne revizije
• Upravljanje i nadzor
• Resursi interne revizije
• Planiranje i provedba revizije
Kvaliteta administracije, provedbe i izvještavanja revizije
Specifična područja koja treba ocijeniti
Proces
ocjenjivanja
Ocjenjivanje trenutnog stanja i
provedbe aktivnosti interne revizije
OdreĎivanje željenog stanja interne
revizije i provedba analize jaza
Pružanje opcija i preporuka kako bi se
smanjio jaz i uspostavila osnova
za mjerenje budućeg napredovanja
Izvještavanje
Provode li se
odgovarajući postupci?
Radi li se na
odgovarajući način?
Odgovor na rizike
Uspješne prakse
Učinkovitost
Djelotvornost
Snage
Preporuke
Ključni koraci MOPD,
MeĎunarodni
standardi za
stručnu
provedbu interne
revizije, Zakoni i
drugi propisi
Ciljevi poduzeća
za reviziju i rizike
Primjeri uspješnih
praksi
Profesionalna
stručnostNeovisnost Opis posla Izvedivost Menadţment
Povelja
Planiranje
Politike
Administracija zaposlenika
Sučelja
Osiguranje kvalitete
Alati
Tehnike
Izvještaji
Radni papiri
Tehnologija
Doprinos
Produktivnost
Fokus na rizike
Financije
Operativno poslovanje
UsklaĎenost
Odgovor na promjene
Vještine
Specijalisti
Dubina znanja
Treninzi
Nadzor
Objektivnost
Status
Dostupnost resursa
Struktura
Budžeti
Dokument zapažanja i analiza
Mišljenje sukladno važećim standardima Instituta interne revizije
Dostavljanje zapažanja
Intervjui,
organizacijska
struktura, Povelja
Intervjui i anketa
Pregled procesa,
izvještaja i procjena
rizika
Pregled radnih
papira i korištenja
tehnologije
Pregled izvještaja
Proces eksternog vrednovanja funkcije interne
revizije
26 Eksterno vrednovanje funkcije interne revizije
Provedba intervjua Cjelovite ankete Pregled dokumentacije Izvršenje analize
Proces
Izvještavanje / Komunikacija
Eksterno vrednovanje - plan aktivnosti
Aktivnost
Tjedan
Faze
• Inicijalni sastanak i preliminarno
planiranje
• Planiranje vrednovanja, te
odreĎivanje ciljeva i vremenskog
tijeka projekta
• Pregled politika, procedura i
referentnih materijala
• Provedba intervjua
• Pregled revizije, proizvoda rada i
revizorskih praksi
• Sažeti, iskomunicirati i izvijestiti
• Razvoj plana djelovanja
• Podrška pri implementaciji –
naknadno dogovoriti
Isporuka Isporuka Isporuka
Proces eksternog vrednovanja (nastavak)
28
• Ključne aktivnosti
– Intervjuiranje ključnih zaposlenika. Neki intervjui provode se individualno, dok se ostali,
uključujući neke od intervjua zaposlenika u reviziji, provode u malim grupama koje
olakšavaju rad. Intervjuiranje ključnih klijenata revizije, menadţmenta i osoblja interne
revizije, te ostalih odabranih zaposlenika.
– Upotreba DeloitteDex alata za web istraţivanje i benchmarkiranje kako bi se prikupili,
analizirali i benchmarkirali rezultati upitnika za osoblje interne revizije kao i klijente
revizije.
– Suradnja s internom revizijom kako bi se odredilo koga anketirati i intervjuirati, te kako
najbolje prilagoditi obrasce eksternog vrednovanja.
• Cilj ove aktivnosti je identificirati prioritete i očekivanja klijenata revizije, te dobiti presjek
njihovih pogleda na vrijednost, učinkovitost i djelotvornost interne revizije s ciljem da se
interna revizija pozicionira na način koji omogućuje najbolji odgovor na njihove izazove i
očekivanja.
Eksterno vrednovanje funkcije interne revizije
Provedba
intervjuaAnkete
Pregled
dokumentacije
Izvršenje
analize
Proces
Proces eksternog vrednovanja (nastavak)
29 Eksterno vrednovanje funkcije interne revizije
Provedba
intervjuaAnkete
Pregled
dokumentacije
Izvršenje
analize
Proces
Ključne aktivnosti
– Pregled reprezentativnih radnih papira interne revizije.
– Pregledavanje različitih ostalih dokumenata povezanih s misijom i sposobnostima internih revizora, kao što su:
• opisi programa treninga, podnesenih izvještaja, opisa radnih mjesta i ocjenjivanja učinkovitosti zaposlenika odjela, praksa ljudskih resursa, dugoročnih planova za internu reviziju i ostalih značajnih materijala.
– Razmatranje važnih faktora, uključujući:
• ulogu interne revizije u sveukupnom kontrolnom okruženju,
• postojeću pokrivenost revizije,
• ravnotežu operativne i financijske revizije, te revizije usklaĎenosti,
• integraciju informacijske tehnologije u opseg revizorskog posla,
• djelotvornost komunikacije,
• sposobnost interne revizije da doprinese značajnim nastojanjima oko razvoja sustava; i
• ostala područja važna za uspješnu organizaciju interne revizije.
Proces eksternog vrednovanja (nastavak)
30 Eksterno vrednovanje funkcije interne revizije
Provedba
intervjua
Cjelovite
ankete
Pregled
dokumentacije
Izvršenje
analize
Proces
Ključne aktivnosti
– Usporedba procesa, zaposlenika i djelovanja interne revizije u odnosu na meĎunarodne standarde Instituta internih revizora za profesionalno obavljanje djelatnosti interne revizije, te u odnosu na očekivanja zainteresiranih strana i najbolje prakse.
– Ocjenjivanje i analiza interne revizije s obzirom na sljedeće relevantne faktore:
• ulogu interne revizije u cjelokupnom kontrolnom okruženju,
• postojeću pokrivenost revizije,
• ravnotežu operativne i financijske revizije, te revizije usklaĎenosti,
• integraciju informacijske tehnologije u opseg revizorskog posla,
• djelotvornost komunikacije,
• sposobnost interne revizije da doprinese značajnim nastojanjima oko razvoja sustava; i
• ostala područja važna za uspješnu organizaciju interne revizije.
Deloitte Touche Tohmatsu
Kako ocjenjujemo internu reviziju
Područje Pokazatelji
Učinkovitost interne revizije Zadovoljavaju li se funkcijom interne revizije potrebe Revizorskog
odbora, rukovoditelja i drugih internih korisnika?
Podržavaju li Povelja, politike i procedure potrebe i ciljeve Društva?
Percipiraju li se aktivnosti interne revizije kao kritične i važne za uspjeh
Društva?
Struktura menadžmenta Jesu li postojeće organizacijske strukture, politike i procedure interne
revizije odgovarajuće za upravljanje projektima i za razvoj
zaposlenika?
Jesu li aktivnosti interne revizije postavljene na odgovarajući način
kako bi pružile neovisne i objektivne povratne informacije?
Profesionalna osposobljenost Slijede li aktivnosti interne revizije u obavljanju posla zahtjeve
industrijskih profesionalnih standarda i standarda Instituta internih
revizora, koji uključuju odgovarajuću razinu stručnosti i vještina
profesionalaca?
Metodologija funkcije interne revizije, alati,
tehnologije
Jesu li trenutne revizijske metodologije, alati i tehnologije prikladni za
procjenu rizika i procjenu interne kontrole unutar poslovnih procesa
Društva?
Najbolje prakse Što čine druge vodeće organizacije kako bi svoje aktivnosti interne
revizije učinile što učinkovitijima za svoje organizacije i kako bi iste
mogle biti primijenjene na provoĎenje interne revizije u Društvu?
31 Eksterno vrednovanje funkcije interne revizije
Proces eksternog vrednovanja – Ključni rezultati
isporuke
32 Eksterno vrednovanje funkcije interne revizije
Trenutno stanje interne
revizijeVrednovanje
Analiza jaza
RezultatiŢeljeno buduće stanje interne
revizije
Potrebe i očekivanja zainteresiranih strana
Profesionalni standardi
Najbolje prakse interne revizije
Prepoznavanje snaga
Praktične preporuke za poboljšanja
Plan djelovanja i implementacije na
visokoj razini
PlaniranjeLjudski resursiInformacijske
tehnologije
Podržavajući procesi Izvršni procesi
Vizija, vrijednosti i
strateški ciljevi
Osnivanje tima
stručnjaka
Elektronički
sustav
upravljanja
radom datoteka
Mapiranje rizika
Suradnja s
revidiranim
subjektima
Struktura i
organizacija
(procesi / metode)
ZapošljavanjeSpecifične aplikacije
i tehnologije
Poznavanje
očekivanja
klijenata interne
revizije
Komunikacija /
Izvještavanje
revidiranih
subjekata
Upravljanje
resursima
Treninzi i
osobni razvojPlan interne revizije
Aktivnosti nakon
završetka revizije
Komunikacija /
Izvještavanje
rukovodstva
Mjerenje aktivnostiInterna
komunikacija
Program rada
Komunikacija /
Izvještavanje
Revizorskog
odbora
Osobne
evaluacije Testiranja i
analize
Komunikacija s
eksternim
revizorima i
drugim tijelima
kontrole
Radna
dokumentacija
Nadgledanje
projekta
Mjerenje
zadovoljstva
klijenata interne
revizije
Nagrađivanje
Baza podataka
najboljih praksi
Informacije o
ciljevima i
očekivanjima za
svaku misiju
IzvršenjeKomuniciranje
i izvještavanje
Koordinacija s
eksternim
revizorima i
drugim tijelima
kontrole
Alokacija resursa
Sastavni dijelovi funkcije interne revizije
33 Eksterno vrednovanje funkcije interne revizije
Organizacija
aktivnosti i
menadžment
Potreba za
poboljšanjemIdealnoZadovoljavajuće Nije primjenjivo Izvan opsega
Potreba za
vrednovanjem
stručnosti i
odgovorima na gl.
pitanja
3434
Draţen RajakovićMenadžer
Odjel Poslovnog Savjetovanja
Telefon: +385 (1) 2351 940
Mobitel: +385 (91) 26 25 091
E-mail: [email protected]
Program osiguranja kvalitete
i unapređenja rada interne
revizije – primjer FINA
Program osiguranja kvalitete
i unapređenja rada interne
revizije – primjer FINA
Mirjana Car
FINA
Mirjana Car
FINA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA BSEKCIJA B –– Vrednovanje funkcije interne revizijeVrednovanje funkcije interne revizije
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• CILJ I SVRHA DONOŠENJA
• MODELI PROCJENE KVALITETE
• IZVJEŠTAVANJE O PROGRAMU OSIGURANJA
KVALITETE I UNAPRJEĐENJA
• PRAĆENJE PROVEDBE PREPORUKA
2
Cilj i svrha donošenja
Program osiguranja kvalitete i unapređenja izrađen je u cilju pružanja
odgovarajućeg jamstva da unutarnja revizija:
provodi aktivnosti uzimajući u obzir Standarde, Definiciju unutarnje revizije
i Kodeks strukovne etike te važeću zakonsku i podzakonsku regulativu,
provodi aktivnosti učinkovito i djelotvorno te ih kontinuirano unapređuje,
dodaje vrijednost, te unapređuje poslovanje Fine (Preporuka za rad, 1300-
1).
Glavni cilj Programa je podizanje svijesti i osiguranje kvalitete. Smisao
osiguranja kvalitete odnosi se na uspostavljanje sveobuhvatnog Programa na
kojemu se temelji pružanje pouzdanih usluga davanja stručnog mišljenja (i
savjetovanja) u svakodnevnom poslovanju.
Svi aspekti Programa su usmjereni na kontinuirano poboljšanje rada unutarnje
revizije kao i na metode koje se koriste u obavljanju poslova unutarnje revizije.
3
Modeli procjene kvalitete
Sukladno Standardu IIA - 1310 Program uključuje interno i eksterno
vrednovanje
Interno vrednovanje
U skladu sa Standardom IIA-1311, se provodi kao:
stalno unutarnje ocjenjivanje - redovito praćenje provedbe
unutarnje revizije,
povremeno unutarnje ocjenjivanje - samoprocjena.
Eksterno vrednovanje
Vanjska procjena kvalitete provodi se sa svrhom davanja mišljenja o
usklađenosti unutarnje revizije s Definicijom interne revizije, Etičkim
kodeksom i Standardima (Standard 1312).
4
Interno vrednovanje - stalno unutarnje ocjenjivanje
Program obuhvaća stalno unutarnje ocjenjivanje i svakodnevno djelovanje u
cilju postizanja odgovarajuće razine kvalitete u svim aktivnostima
Stalno ocjenjivanje je sastavni dio svakodnevnog nadzora, pregleda i
mjerenja aktivnosti unutarnje revizije. Stalno ocjenjivanje je integrirano u
rutinsku politiku i praksu upravljanja unutarnjom revizijom.
Stalno unutarnje ocjenjivanje uključuje:
nadzor nad obavljanjem revizije (obrazac C-700),
pridržavanje kontrolnih lista i postupaka (iz Priručnika za unutarnje
revizore ili radnih postupaka),
redovan i dokumentiran pregled radne dokumentacije.
praćenje realizacije plana revizije (kvartalno izvještavanje) .
5
Interno vrednovanje - povremeno unutarnje ocjenjivanje
Povremeno unutarnje ocjenjivanje provodi se putem samoprocjenjivanja u
cilju ocjene usklađenosti revizorskih aktivnosti s Definicijom unutarnje
revizije, Međunarodnim standardima, Kodeksom strukovne etike unutarnjih
revizora i Poveljom unutarnjih revizora u Fini.
Povremeno unutarnje ocjenjivanje uključuje:
Upitnik za samoprocjenu (Upitnik za ocjenjivanje)
anketiranje revidiranih subjekata putem upitnika (Upitnik za revidirani
subjekt),
provedbu pregleda radne dokumentacije za obavljanje pojedinačne revizije
radi provjere usklađenosti s Priručnikom za unutarnje revizore i radnim
postupcima,
provedbe temeljitih razgovora koji se obavlja između voditelja Ureda i
revizora,
izvješćivanja Uprave i Revizorskog odbora.
6
Obrasci - Upitnik za samoprocjenu
Upitnik za samoprocjenu (Upitnik za ocjenjivanje)
Za potrebe povremene unutarnje ocjene kvalitete Ured koristi „Upitnik
za ocjenjivanje“ koji ima za cilj procijeniti učinkovitost aktivnosti Ureda i
utvrditi područja u kojima su potrebna daljnja poboljšanja, te osiguranja
kvalitete rada.
Upitnik sadrži niz pitanja vezana za Međunarodne standarde kao i
zahtjeve važećih propisa i smjernica koji uređuju unutarnju reviziju i
poslovanje Fine.
Na kraju svakog dijela Upitnika za ocjenjivanje (za Međunarodne
standarde 1000, 1100, 1200, …) daje se zaključak o Uredu vezano uz
svijest, razvoj i praksu u smislu primjene Međunarodnih standarda i
zahtjeva važećih propisa.
7
Upitnik za ocjenjivanje
8
Obrasci – Upitnik za revidirani subjekt
Upitnik za revidirani subjekt
Percepcija rukovodstva organizacijskih jedinica Fine kod kojih Ured
temeljem Godišnjeg plana obavlja reviziju predstavlja važan aspekt
ocjene kvalitete o učinkovitosti Ureda.
Anketiranje revidiranog subjekta, putem Upitnika se koristi kao alat
prilikom obavljanja povremenog unutarnjeg ocjenjivanja, a pitanja iz
Upitnika koriste se za dobivanje povratnih informacija od revidiranih
subjekata u kojima je u proteklih 12 mjeseci obavljena unutarnja
revizija.
Odgovori dobiveni od revidiranih subjekata mogu naglasiti područja za
daljnji rad i unaprjeđenje aktivnosti unutarnje revizije.
9
Eksterno vrednovanje
Barem jednom u 5 godina eksterno vrednovanje treba provesti kvalificiran, neovisan
(ocjenjivač) procjenitelj ili (ocjenjivački) procjeniteljski tim izvan organizacije
Eksterno vrednovanje, po preporuci za rad 1312-1, obuhvaća:
Poštivanje Definicije interne revizije, Etičkog kodeksa i Standarda, kao i Povelje o
internoj reviziji, planove, Priručnik o obavljanju unutarnje revizije u Fini, postupke,
praksu i mjerodavne zakonske i regulatorne zahtjeve,
Očekivanja Revizorskog odbora, kao i višeg managementa u odnosu na internu
reviziju,
Integriranje interne revizije u upravljački proces u organizaciji, uključujući odnose
među ključnim skupinama koje sudjeluju u tom procesu,
Alate i tehnike koje koristi interna revizija,
Mješavinu znanja, iskustva i discipline među osobljem, uključujući usredotočenost
osoblja na unaprjeđenje postupka,
Odluku o tome dodaje li ili ne revizija vrijednost i unaprjeđuje li poslovanje
organizacije
10
Izvještavanje o programu osiguranja kvalitete i
unaprjeđenja
Voditelj Ureda Izvješće o obavljenoj unutarnjoj ocjeni kvalitete uključuje kao sastavni dio
kvartalnog izvješća i godišnjeg izvješća rada unutarnje revizije koji dostavlja
Upravi/Revizorskom odboru.
Struktura Izvješća o obavljenoj unutarnjoj ocjeni te opseg i sadržaj Izvješća o
obavljenoj unutarnjoj ocjeni obuhvaća sljedeće cjeline:
UVOD - način provedbe, cilj obavljanja unutarnje ocjene kvaliteta i alate korištene
prilikom obavljanja unutarnje ocjene kvalitete
ZAHTJEVI ZA PROCJENU KVALITETE - Međunarodni standardi, Program
osiguranja kvalitete i unaprjeđenja,
REZULTATI – što je ostvareno unutarnjom ocjenom kvalitete, koji su rezultati,
preporuke za poboljšanja s akcijskim planom i rokovima provedbe istih,
PRAĆENJE PROVEDBE PREPORUKA obavlja se kod slijedeće unutarnje procjene
11
Praćenje provedbe preporuka
Voditelj Ureda osigurava kontinuirano praćenje provedbe preporuka
danih u izvješćima o obavljenoj unutarnjoj ili vanjskoj procjeni.
Praćenje provedbe preporuka se obavlja kod svake slijedeće
unutarnje ili vanjske procjene, a voditelj Ureda može odlučiti da se
praćenje provedbe preporuka obavi i češće, ovisno o važnosti
preporuka.
12
Umjesto zaključka ili zašto vrednovanje?
Standard 1321 i Standard 1322
Uporaba fraze „Provedeno u skladu s Međunarodnim standardima
za stručnu provedbu interne revizije”
Glavni revizor može navesti da je aktivnost interne revizije provedena u
skladu s Međunarodnim standardima za stručnu provedbu interne
revizije, ako rezultati programa osiguranja kvalitete i unaprjeđenja
mogu potkrijepiti takvu izjavu! – rezultati internog i eksternog
vrednovanja
1322 – Obavijest o neusklađenosti
13
ULOGA PROCJENE RIZIKA ULOGA PROCJENE RIZIKA
U REVIZIJI U REVIZIJI
INFORMACIJSKIH SUSTAVA INFORMACIJSKIH SUSTAVA
ULOGA PROCJENE RIZIKA ULOGA PROCJENE RIZIKA
U REVIZIJI U REVIZIJI
INFORMACIJSKIH SUSTAVA INFORMACIJSKIH SUSTAVA
Hrvoje Očevčić
Hypo Alpe-Adria-Bank d.d.
Hrvoje Očevčić
Hypo Alpe-Adria-Bank d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA MEĐUNARODNA KONFERENCIJAKONFERENCIJA
SEKCIJA SEKCIJA C C –– Upravljanje IT rizicimaUpravljanje IT rizicima
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Plan revizije
• Metodologija revizije IS
• Podjela imovine
• Procjena rizika u reviziji
• Odgovornosti i uloge
• Praćenje i izvještavanje
• Case study
2
Plan revizije
Plan
revizije
Incidenti
Slabosti
Rizici IS
Operativni rizici
Vanjske revizije
Zakonske revizije
Izvanredni nalozi
Objavljene
ranjivosti
Metodologija revizije IS
• Smjernice:
o Cobit - Framework for IT Governance and Control
o ISO27001
o ITIL - Information Technology Infrastructure Library
• “Home made” metodologija
• Kontinuirani razvoj …
Metodologija revizije IS
Podjela imovine
• Okruženje i infrastruktura
• Osoblje
• Strojna oprema
• Aplikacije i njihove baze podataka
• Komunikacije
• Dokumenti i podaci
• Ostalo
Izračun ili procjena rizika? (1)
• Povjerljivost (Confidentiality)
• Cjelovitost (Integrity)
• Raspoloživost (Availability)
• Ostalo (Other)
• Imovina i konsolidirana imovina!
Izračun ili procjena rizika? (2)
• Prijetnje
• Ranjivosti
• Učinak uz postojeće mjere!
• Rizik = f(C, I, A, O, Prijetnja, Ranjivost, Zaštite)
Procjena rizika u reviziji
Procjena rizika u reviziji
Odgovornosti i uloge
• Organizacijska jedinica
• Vlasnik resursa/procesa/informacijske imovine
• Intervjuirana osoba
• Održavanje…
Upravljanje rizicima
• Proces upravljanja rizicima
• Adaptiran organizaciji
• Efektivan i efikasan
• Odlučivanje!
Praćenje i izvještavanje
• Provođenje mjera za smanjenje rizika
o Odabir sigurnosne mjere
o Prenošenje rizika na treću stranu
o Izbjegavanje rizika
o Prihvaćanje rizika
• Izvještavanje
Case studyCobit 4.1
Cobit, ISO, …
Kvalitativno
Kvantitativno
Odlučivanje …??
Prakse
Prezentacija rizika
Q/A
Zahvaljujem na pažnji!
e-mail: [email protected]
Web: www.hypo-alpe-adria.hr
20"Insanity: doing the same thing over and over again and expecting different results." - Albert Einstein
““Planiranje interne revizije Planiranje interne revizije
informacijskih sustava na informacijskih sustava na
osnovu procjene rizikaosnovu procjene rizika”
““Planiranje interne revizije Planiranje interne revizije
informacijskih sustava na informacijskih sustava na
osnovu procjene rizikaosnovu procjene rizika”
Igor Vujičić
APIS IT d.o.o.
Igor Vujičić
APIS IT d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA C SEKCIJA C –– Upravljanje IT rizicimaUpravljanje IT rizicima
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Revizija informacijskih sustava
• Provodi se za potrebe Uprave (interna revizija),
podrške financijskim izvještajima (eksterna
revizija), regulatornih zahtjeva;
• Informacijski sustavi su za potrebe revizije
podijeljeni prema područjima;
• Područja informacijskog sustava sastoje se od
poslovnih procesa odnosno kontrolnih ciljeva
(ovisno o usvojenoj metodologiji);
2
Revizija informacijskih sustava
• Međunarodni standardi, strukovni ili regulatorni
zahtjevi definiraju područja (COBIT, ITIL, HNB);
• Funkcija interne revizije odabire okvir odnosno
izrađuje metodologiju interne revizije IS-a;
• Obuhvaćaju cjelokupan informacijski sustav;
• Mogu uključivati i sustav aplikativnih kontrola u
aplikacijama informacijskih sustava ovisno o
internoj odluci društva, budući da, uobičajeno,
nisu dio standarda za upravljanje informacijskim
sustavima;3
Područja informacijskog sustava prilagođena
internoj reviziji - primjeri:
• Upravljanje informacijskim sustavom;- voditelj informacijske sigurnosti;
- odbor za upravljanje IS-om;
- upravljanje projektima u IS-u;
• Sigurnost informacijskog sustava;
• Upravljanje rizicima informacijskog sustava;
• Održavanje informacijskog sustava;
• Planiranje kontinuiteta poslovanja IS-a;
• Plan oporavka IS u slučaju katastrofe;
• Upravljanje incidentima;
• Sustav upravljanja korisničkim pristupom;
• Razvoj informacijskog sustava;
• Upravljanje promjenama;4
Planiranje revizije informacijskih sustava
• Plan revizije se izrađuje na osnovu ocjene
rizičnosti područja revizije;
• Cilj plana je obuhvat cjelokupnog informacijskog
sustava;
• Svrha procjene je izrada plana revizije na osnovu
razine rizika i izmjenama (rotacijama) po području
informacijskog sustava;
• Nakon pripreme (određivanja područja
informacijskih sustava) provodi se izrada plana
interne revizije informacijskih sustava;
5
Planiranje revizije informacijskih sustava
• Provodi se ocjena (izračun) rizičnosti svakog od
područja informacijskog sustava;
• Izračun rizičnosti se provodi na osnovu indikatora
rizika;
• Prema veličini “indikatora rizika” određuje se
interval unutarnjeg revidiranja od godine dana (za
najrizičnija područja) do preko godine dana (za
najmanje rizična područja);
6
Planiranje revizije informacijskih sustava
• Ocjena rizičnosti obavlja se na osnovi nalaza
provedene unutarnje revizije, kao i temeljem
ostalih dostupnih informacija, relevantnih za
pojedino područje;
• Na kraju svake kalendarske godine se provodi
ocjena rizika područja revidiranja (područja inf.
sustava za reviziju), te se sukladno procjeni
određuju područja za reviziju;
• Uobičajeno, na godišnjoj razini, za potrebe interne
revizije, nije provedivo obuhvatiti cjelokupni
informacijski sustav;
7
Planiranje revizije informacijskih sustava
• Potrebno je izmjenjivati područja IS-a da bi se u
periodu procjene (određenom od strane
rukovodstva ili funkcije IR) revidirala sva područja
informacijskih sustava;
• U tom periodu najrizičnija područja mogu (trebaju i
moraju) biti obuhvaćena s više pregleda (revizija);
• U slučaju tzv. obveznih područja (npr.
informacijska sigurnost), potrebno ih je revidirati
svake godine;
• Rukovodstvo ili interna revizija mogu tražiti/odrediti
obvezna područja IS-a za reviziju;8
Ocjena rizika
• Na kraju svake kalendarske godine se provodi
procjena rizika područja informacijskih sustava za
reviziju te se sukladno procjeni određuju područja
za reviziju;
• Procjena rizika provodi se po području
informacijskih sustava ili procesima (ovisno o
metodologiji);
• Rezultat procjene je ocjena visine rizika po
području IS-a;
• Na osnovu visine rizika izračunava se vrijeme
učestalosti revizije pojedinog područja IS-a;
9
Metodologija ocjene rizika: Indikatori rizika
Prilikom ocjenjivanja rizičnosti područja unutarnjeg
revidiranja koriste se sljedeći indikatori rizika:
• vjerojatnost neželjenog događaja;
• potencijalne štete – utjecaja na račun dobiti i
gubitka / bilancu društva;
10
Metodologija ocjene rizika : Vjerojatnost
neželjenih događaja
Vjerojatnost neželjenog događaja proizlazi iz
ocjene sljedećih čimbenika prema ponderima:
• Sustav internih kontrola;
• vrijeme proteklo od posljednje revizije;
• nalaz posljednje revizije;
• ocjena kadrova u području revizije;
• organizacijske promjene / fluktuacija kadrova;
11
Metodologija ocjene rizika : Vrijednost pondera
Primjer vrijednosti pondera za izračun
vjerojatnosti neželjenog događaja:
Kvaliteta sustava internih kontrola 25%
Vrijeme proteklo od posljednje revizije 20%
Nalaz posljednje revizije 30%
Ocjena kadrova u pogledu kvalitete i kvantitete 15%
Organizacijske promjene / fluktuacija kadrova 10%
Ukupno 100%
12
Metodologija ocjene rizika: potencijalna šteta /
utjecaj
Potencijalna šteta - Utjecaj na račun dobiti i
gubitka / Bilancu društva
Ocjene čimbenika koji utječu na vjerojatnost
neželjenog događaja, kao i visine potencijalne
štete kreću se / iskazuju se brojčano od 1
(najbolje / najmanji rizik) do 5 (najlošije / najveći
rizik).
13
Metodologija ocjene rizika područja revizije IS-a
• Indikator rizika = vjerojatnost neželjenog
događaja x procjena moguće štete;
• Prema veličini indikatora rizika određuje se
interval tj. učestalost unutarnjeg revidiranja od
jedne godine (za najrizičnija područja) do preko
godine dana (za manje rizična područja);
14
Ocjena
rizičnosti
1-4 5-10 11-17 18-25
Interval revizije 5 i više
godina
4-5 godina 2-3
godine
1 godina
Primjer procjene rizika
15
Područj
e IS-a
Procesi unutar područja
informacijskog sustava
Ocjena
sustava
internih
kontrola
Vrijeme
proteklo od
posljednje
revizije
Nalaz
posljednje
revizije
Ocjena
kadrova u
pogledu
kvalitete i
kvantitete
Organizacij
ske
promjene /
fluktuacija
kadrova
Vjerojatn-
ost
Utjecaj na
Bilancu /
RDG
Ukupna
razina
rizika
(Ocjena
rizičnosti )
Interval
revizije
(godine)
Godina
zadnje
revizije
A B C D E
A*0,25+B*
0,2+C*0,3+
D*0,15+E*
0,1
VJ x UT 2013 2014 2015 2016 2017 2018
x
Organization’s management board 2 1 2 1 1 1,6 3 4,65 5 x x
Chief information system security officer / manager3 1 3 1 5 2,5 5 12,5 2 x x x x
Chief information officer / manager 3 1 2 1 1 1,8 3 5,4 4 x x
Information technology steering committee 2 1 2 1 1 1,6 3 4,65 4 x x
Reporting 4 1 3 2 1 2,5 1 2,5 5 x x
Project management 4 1 3 3 3 2,9 4 11,4 2 x x x
x
Information system security policy 2 1 2 2 1 1,7 3 5,1 4 x x x
Access control management 4 1 5 3 3 3,45 4 13,8 1* x x x x x x
Cryptography 3 1 2 2 2 2,05 3 6,15 4 x x
User account management 4 1 5 3 3 3,45 4 13,8 1* x x x x x x
Physical security 3 1 3 4 3 2,75 4 11 3 x x x
Malicious code 1 1 2 1 1 1,3 3 3,9 1* x x x x x x
Operation and system records management 4 1 4 3 3 3,15 3 9,45 4 x x x
Godina u kojoj će se provesti
revizija
(Petogodišnji plan )
Information system management
Information system security
Zaključak
• Temelji se na metodologiji interne revizije kao i na
metodologiji interne revizije informacijskih sustava;
• Provodi se u redovitim godišnjim intervalima;
• Na osnovu ocjene odnosno izračuna razine rizika
određuju se intervali revizije informacijskih sustava
po područjima;
• Plan revizije IS-a se ažurira sukladno ocjeni rizika;
• Plan revizije ovisi o subjektivnim procjenama,
znanju i iskustvu internih revizora informacijskih
sustava društva;
16
DIGITALNA POHRANA I DIGITALNA POHRANA I
PRETRAŽIVANJE RADNE PRETRAŽIVANJE RADNE
DOKUMENTACIJEDOKUMENTACIJE
DIGITALNA POHRANA I DIGITALNA POHRANA I
PRETRAŽIVANJE RADNE PRETRAŽIVANJE RADNE
DOKUMENTACIJEDOKUMENTACIJE
Davor Namjestnik
Hrvatska Pošta d.d.
Davor Namjestnik
Hrvatska Pošta d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA C C –– Upravljanje IT rizicimaUpravljanje IT rizicima
“Očekivanja interne revizije ulaskom u EU”, Zadar 11.“Očekivanja interne revizije ulaskom u EU”, Zadar 11.––13., 13., travnja travnja 2013.2013.
2
UVOD U ARHIVIRANJE
Jeste li znali ?
Uredski djelatnici provode dnevno
2 sata tražeći zametnute
papirnate dokumente
Prosječno 7,5 % radnog vremena
provede se pretražujući
dokumente na osobnom računalu
8 % ukupnih dokumenata u poslovanju bez pravilnog rukovanja, zauvijek
se izgubi
*** Izvor : InfoTrend, 2006, Inteligentno s podacima, br. 145
3
UVOD U ARHIVIRANJE
Papir stoljećima je neizbježni element poslovanja
Poslovnu dokumentaciju šaljemo i primamo od klijenata, generiramo iz vlastitih IT
sustava, izrađujemo upotrebom uredskih alata (pr. Word, Excel), kopiramo itd.
Današnji trendovi (Early Capture)
Uhvatiti dokument u početku
Papir arhivirati
Rukovanje digitalnim dokumentom
*** Izvor : InfoTrend, 2006, Inteligentno s podacima, br. 145
Standard 2330.A1. - Glavni revizor treba kontrolirati pristup
dokumentaciji angažmana. Glavni revizor treba dobiti odobrenje višeg
menadžmenta i / ili pravnika prije otkrivanja takve dokumentacije
vanjskim stranama.
MEĐUNARODNI STANDARDI ZA STRUČNU
PROVEDBU INTERNE REVIZIJE
4
Standard 2330. Evidentiranje informacija – interni revizori trebaju
evidentirati relevantne informacije kako bi potkrijepili zaključke.
MEĐUNARODNI STANDARDI ZA STRUČNU
PROVEDBU INTERNE REVIZIJE
5
Standard 2330.A2. Glavni revizor treba sastaviti zahtjev za čuvanjem
dokumentacije o angažmanu bez obzira na medij na koji je zapis
pohranjen. Predmetni zahtjevi za čuvanje trebaju biti u skladu sa
smjernicama organizacije i bilo kojim odgovarajućim regulatornim i
drugim zahtjevima.
PROCES INTERNE REVIZIJE
6
Praćenje postupkaPraćenje postupka
Praćenje napretka
Sastavljanje izvješća
Sastavljanje izvješća
Priopćenje rezultata
Suradnja sa revidiranim područjem
Izrada testova i analiza
Donošenje
Suradnja sa revidiranim područjem
Izrada testova i analiza
Donošenje zaključka
Obavljanje angažmana
Formiranje timove
Utvrđivanje ciljeva
Vrijeme trajanja
Formiranje timove
Utvrđivanje ciljeva
Vrijeme trajanja
Planiranje angažmana
Odluke o početku revizije
Odluke o početku revizije
Početak revizijePočetak revizije
IZOSTANAK STRATEGIJE ARHIVIRANJA
7
Dislociranost radne dokumentacije
Smanjiti mogućnost „curenje informacija”
Nemogućnost brzog pristupa dokumentaciji
Gubitak radne dokumentacije
Nemogućnost kontrole pristupa dokumentaciji
POTREBNI PREDUVIJETI
8
Nekoliko preduvjeta potrebnih za digitalno arhiviranje:
Definiran jedinstveni način organizacije radne dokumentacije,
Izrada jedinstvenog načina označavanja dokumentacije,
Aplikacija za arhiviranje i pretraživanje radne dokumentacije,
Medij za pohranu podataka,
Skener.
ORGANIZACIJA RADNE DOKUMENTACIJE
9
A – Interna dokumentacija
B – Dokumenti iz revidiranog područja
C – Radni papiri IR
D – Završno izvješće
E – Elektronska komunikacija
10
A - Interna dokumentacija
Dokumenti tipa kada je revizija započela, tko su članovi, koliko će trajati
Skenirani spis iz pisarnice
(Naziv revizije, predmet (broj) revizije)
Ovjerena odluka o početku interne revizije
(Odgovorna osoba za izvješće, revizorski tim, terminski plan)
Dopis o poslanom (zaprimljenom) nacrtu izvješća
Odluka Uprave o prihvaćanju izvješća i predloženih preporuka
ORGANIZACIJA RADNE DOKUMENTACIJE
11
B - Dokumenti iz revidiranog područja
Arhivira se dokumentacija dobivena iz revidiranog područja
Npr.:
o planovi,
o programi,
o preslike važnih ugovora i sporazuma,
o potvrde i predstavke , itd.
ORGANIZACIJA RADNE DOKUMENTACIJE
12
C - Radni papiri IR
Mapa radni papiri sprema svu radnu dokumentaciju nastala radom
revizora
Npr.
o Kontrolni upitnici,
o Dijagrami tijeka,
o Analize i testiranja,
o Napomene i bilješke proizašle iz razgovora, itd.
ORGANIZACIJA RADNE DOKUMENTACIJE
13
D - Završno izvješće
Nacrt izvješća (Word formatu)
Finalno izvješće (Word formatu)
Finalno izvješće (skenirano sa potpisima i odlukom)
Očitovanje na izvješće
ORGANIZACIJA RADNE DOKUMENTACIJE
14
E - Elektronska komunikacija
Elektronska komunikacija
Izdvajanje komunikacije svih sudionika revizije
Pohranjivanje
ORGANIZACIJA RADNE DOKUMENTACIJE
ORGANIZACIJA RADNE DOKUMENTACIJE
primjer
15
PROCES ARHIVIRANJA
16
APLIKACIJA
17
Disc Library 2.0. - besplatna
Koristi se za arhiviranje i pretraživanje sadržaja medija
Izrada kataloga je moguća za svaki medij koji se koristi za pohranu
podataka (cd, dvd, hdd, usb stick itd.)
Omogućava pregled sadržaja medija iako nismo u posjedu tog
medija (pr. kao sadržaj knjige)
Otvaranje dokumenta moguće samo uz medij na koji je arhivirano
PROCES ARHIVIRANJA
18
Za izradu kataloga potrebno je otići na označeno polje
PROCES ARHIVIRANJA
19
Volume – omogućava odabir medija
hdd, cd-rom, USB stick
Folder – nam omogućava da označimo
putanju do arhive za koju izrađujemo
katalog
Title – naslov
OZNAČAVANJE DOKUMENTACIJE
20
Način označavanja ovisi o potrebama organizacije
Potrebno je bilo uvesti jedinstven način označavanja dokumentacije
Dobro označena dokumentacija olakšava kasniju pretragu
Označavanje u HP-u:
o Naziv medija : Interni redni broj
o Category: Redovna revizija i izvanredna revizija
o Location: Mjesto arhiviranja i voditelj revizije
o Comments: Datum obavljanje revizije, godina, sudionici revizije,
naziv revizije, službeni broj revizije (spis HP)
IR – 02 / 12
21pr. izrade komentara
OZNAČAVANJE DOKUMENTACIJE
PROCES PRETRAŽIVANJA
22
PROCES PRETRAŽIVANJA
23
(i.)
(ii.)
(iii.)
(iv.)
i. Pretragu vršimo prema nazivu dokumenta
ii. Pretraga prema nazivu koji smo dali u našem slučaju interni
broj RR 1 / 12
iii. Pretraga prema vrsta revizije (redovna ili izvanredna)
iv. Pretraga prema komentaru
ZAKLJUČAK
24
Ovakav način arhiviranja omogućava nam:
o Veća kontrola pristupa radnoj dokumentaciji
o Brže pretraživanje i pronalaženje potrebnih dokumenata
o Preglednost
o Smanjuje mogućnost „curenja informacija‟
o Manja mogućnost gubitka dokumentacije
o Sva dokumentacija smještena na jednom mjestu
UTJECAJ RIZIKA NA UTJECAJ RIZIKA NA
FUNKCIJU INFORMACIJSKE FUNKCIJU INFORMACIJSKE
SIGURNOSTISIGURNOSTI
UTJECAJ RIZIKA NA UTJECAJ RIZIKA NA
FUNKCIJU INFORMACIJSKE FUNKCIJU INFORMACIJSKE
SIGURNOSTISIGURNOSTI
Lidija Baković, CISA, CISM, CGEIT, CRISC
Ernst & Young d.o.o.
Lidija Baković, CISA, CISM, CGEIT, CRISC
Ernst & Young d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA D D –– IT sigurnostIT sigurnost
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Ključni trendovi informacijske sigurnosti
• Rizično okruženje
• Prijetnje na internetu se povećavaju
• Nedostaci ili izazovi sigurnosti
• Status informacijske sigurnosti
• Pitanja i izazovi na koje treba odgovoriti informacijska sigurnost
• Programi informacijske sigurnosti
• Ciljevi transformacije informacijske sigurnosti
• Okvir upravljanja programom informacijske sigurnosti
• Procjena programa informacijske sigurnosti
2
Ključni trendovi informacijske sigurnosti
3
2006. – 2007.
Prije 2006. g. -
komponenta ublažavanja
financijskog rizika i
udovoljavanja novim
zahtjevima (npr. SOX
404).
Nakon 2006. g. treba:
• Šire zaštititi organizacije
u globaliziranom svijetu
• Pokazati povrat
investicije uz usklađenje
rizika i performansi
Brzina promjene
Kompleksnost odgovora
Ozbiljnost utjecaja
2008. – 2009.
Uz rastuće prijetnje
Informacijska sigurnost je
prerasla područje
usklađenosti:
• Primarni pokretač - zaštita
brenda i reputacije
• Fokus - korištenje
utjecaja tehnologije na
povećanje sigurnosti
• Reorganizacija i
restrukturiranje radi
smanjenja troškova
2010. – 2011.
Smanjenje troškova i
osvještavanje kompanija:
• S globalizacijom podaci
su svugdje
• Tradicionalne granice
nestaju, a podaci se sve
više šalju putem interneta
ili se nalaze na mobilnim
uređajima
• Obrada podataka
preseljava u “Cloud”
stvara novi pristup
sigurnosti
2012.
Ubrzanje dinamike i
složenosti promjena:
• Nove tehnologije otvaraju
vrata internim i eksternim
prijetnjama
• Povećava se složenost
npr. “offshore”
poslovanjem i
povećanjem regulatornih
zahtjeva
• Organizacije nisu u
mogućnosti držati korak s
promjenama te se stvara
jaz informacijske
sigurnosti
Utjecaj na organizacije
2006-07
2008-09
2010-11
2012
Rizično okruženje
4
Rizično okruženje:2006. – 2011.Prepoznate prijetnje utječu na organizaciju
Rizično okruženje:2012. i nadaljeMnogobrojnije, veće i nove prijetnje utječu brže
Pitanja informacijske
sigurnosti:
usklađivanje; ljudi; procesi; tehnologija
Prijetnje na internetu se povećavaju
5
Neiskusni
napadači
Iskusni napadači
(hakeri)
“Advanced Persistent
Threat” (APT),
“Hackivizam”
Korporativna
špijunaža
1980-te/1990-te 20XX
►Eksperimenti
►Iskorištavanje
ranjivosti
►Zarađivanje
►Potreba za
važnim
informacijama
►Sadašnji ili
bivši
zaposlenici
zarađuju od
prodaje
važnih
informacija
►Napadnuti ste
zbog toga tko
ste i što radite
►Napadi radi
promicanja
političkih ciljeva
►Povećana
krađa osobnih
podataka
Rizik
Nedostaci ili izazovi sigurnosti
6
Okidači/
događaji
► Gubitak podataka
► “Cyber” napad: “Advanced Persistent Threat” / državno-sponzorirani
ciljani napadi
► Značajne poslovne promjene: spajanja i preuzimanja, ulazak na novo
tržište
► Usklađenost: Promjene u zakonima i propisima
► Promjene osoba odgovornih za CISO i CIO uloge
► Prijevara/korupcija: Otkrivanje prijevarnih aktivnosti unutar
organizacije
Opažanja
► Manjkave politike, standardi i procedure: Nepostojeće ili zastarjele
politike, standardi ili procedure; potreba za jačim nadzorom
► Nepotpuna procesna dokumentacija: Zastarjeli, netočni opisi
procesa ili dijagrami tijeka
► Kontrola nedostataka: Otkriven nedostatak kontrolnih procedura
► Podjela dužnosti: Uočeni sukobi interesa,
nedostatak podjele dužnosti
Status informacijske sigurnosti
7
►Informacijska sigurnost samo djelomično zadovoljava
sadašnje potrebe proistekle iz korištenja novih
tehnologijaNpr. mnogi uređaji nemaju ugrađene sigurnosne kontrole, a nadogradnje se
mogu izvršiti bez utjecaja IT odjela
►Incidenti i prijetnje su u porastu
►Odgovor na rizike “Cloud computing-a” je sporIako veliki broj kompanija planira ili već koristi usluge “cloud computing-a”
ne poduzimaju se mjere za rješavanje povezanih rizika
►Mobilna tehnologija + tableti = rizici u pokretu
►Financijski izazovi i upravljanjePostoji ograničenje budžeta kao glavna zapreku učinkovitoj informacijskoj
sigurnosti.
Manji broj organizacija usklađuje svoju strategiju informacijske sigurnosti s
rizicima, a većina nema uspostavljen formalni okvir sigurnosne arhitekture.
Pitanja i izazovi na koje treba odgovoriti
informacijska sigurnost
8
►Regulatorni rizik. Kako će regulatori reagirati na povećanu prijetnju IT
rizika?
►Geopolitički šokovi. Kolika je izloženost i osjetljivost organizacije na te
šokove?
►Reputacijski rizik. Kako bi “cyber” napad utjecao na reputaciju i brand?
►Nedostatak kontrola. Mogu li nedostaci i slabosti IT kontrola i sigurnosti
biti značajni faktor?
►IT rizik. Kako će organizacija riješiti glavna područja sigurnosnih rizika i
curenja podataka?
►Širenja na nova tržišta. Utječe li širenje organizacije na upravljanje
kontinuitetom poslovanja?
►Preoblikovanje poslovanja. Koliko bi se profil IT rizika promijenio radi
preoblikovanja poslovanja?
►Zajednički servisni centri. Povećavaju li sigurnosne rizike?
►IP i podatkovna sigurnost. Je li organizacija zaštićena od curenja i
gubitka podataka?
►Akvizicije i integracije. Koliko su uspješne investicije ako nije moguće
integrirati IT okruženje pripojenog društva?
Programi informacijske sigurnosti
9
Pitanja za današnje CISO-e:
► Kakav je moj program informacijske sigurnosti u usporedbi s drugim
kompanijama u istoj industriji?
► Je li postojeća strategija informacijske sigurnosti usklađena s poslovnim
ciljevima?
► Koliko dobro štitimo važne informacije, osobito s obzirom na današnje
povećanje mobilnosti radne snage?
► Jesmo li dobro pripremljeni za nadgledanje, otkrivanje i odgovor na prijetnje
informacijske sigurnosti?
► Imamo li prave ljude i vještine?
► Trošimo li na ispravne prioritete vezane uz informacijsku sigurnost?
► Jesmo li ili smo bili žrtva napada?
Ravnoteža troškova/rizika/vrijednosti
10
Je li funkcija informacijske
sigurnosti učinkovita?
►Odgovarajući resursi?
►Odgovarajuće inicijative,
procesi i tehnologije?
►Odgovarajuće investicije?
Hoće li program
informacijske sigurnosti:
►Održati organizacijom
konkurentnom?
►Zaštiti vrijednost brand-a?
►Zaštiti najvažniju imovinu
organizacije
►Omogućiti nove poslovne
inicijative?
Omogućava li program
informacijske sigurnosti:
►Upravljanje sigurnosnim
rizicima?
►Odgovarajuće štiti od
novih prijetnji?
►Proaktivno regira na
promjene u poslovanju i
regulatornom okruženju?
VrijednostTrošak Rizik
Ciljevi transformacije informacijske sigurnosti
11
•Definirati razine upravljanja –
učini sigurnost prioritetom
na razini Uprave
•Mjeriti indikatore uspješnosti kako bi se
otkrili problemi dok još nisu značajni
•Prihvati upravljive rizike koji
poboljšavaju performanse
Održavati korporativni program
Zaštiti najvažnije
•Razviti strategiju sigurnosti
usmjerenu na zaštitu
podataka velike važnosti
•Poboljšati procedure
upravljanja incidentima
•Uspostaviti i racionalizirati
modele kontrole pristupa
za aplikacije
i informacije
Ustanoviti stvarne rizike
•Definirati prihvatljivu razinu rizika
•Ustanoviti najvažnije aplikacije
i informacije
•Ocijeni okruženje prijetnji i
razviti modele koji prikazuju
stvarnu izloženost
•Uskladiti sve aspekte
sigurnosti s poslovanjem
(privatnost, fizički aspekt
i kontinuitet poslovanja)
•Ulaganje u ljude i procese
•Razmotriti selektivnu “eksternaliaciju”
dijelova programa sigurnosti
Optimizirati program sigurnosti
Omogućiti uspješno poslovanje
•Učiniti sigurnost
odgovornošću svih
•Provesti promjene radi
korištenja novih
tehnologija
•Proširi program
upravljanja rizikom
•Definirati ciljeve
programa i metrike
Kako provesti transformaciju?
12
Postoje 4 ključna koraka prema fundamentalnoj promjeni funkcije
informacijske sigurnosti:
1. Povezati strategiju informacijske sigurnosti s poslovnom strategijom
2. Redizajnirati arhitekturu
3. Provesti transformaciju uspješno i održivo
4. Duboko sagledati mogućnosti i rizike novih tehnologija
1. Povezivanje strategije informacijske sigurnosti
s poslovnom strategijom
13
Područja povezivanja:
►RastZaštita poslovanja organizacija koje se šire, očuvanje prihoda i oslobađanje resursa.
►InovacijaUz provjeru jesu li podaci sigurni, nove tehnologije se mogu koristiti kao bi pomogle organizacijama da budu u komunikaciji sa svojim klijentima.
►OptimizacijaOrganizacije mogu smanjiti troškove kroz cijelo poslovanje kroz dobro strukturiranu i dobro upravljanu informacijsku sigurnost.
►ZaštitaUpravljanje i transparentnost uz učinkovit okvir i strategiju su ključni za građenje povjerenja nositelja interesa.
1
2. Redizajn arhitekture
14
2► Utvrđivanje stvarnih rizika: Učinkovita strategija će uključiti
tehnologije i izazove poput “cloud-a”, društvenih medija, “big data”,
mobilnih tehnologija, globalizacije itd.
► Zaštititi ono što je najvažnije: Okvir informacijske sigurnosti bi
trebao pretpostaviti da će se problemi dogoditi te su planiranje i zaštita
još važniji od detektiranja i reagiranja.
► Uključiti u poslovanje: Svi zaposlenici, funkcije, poslovne jedinice,
projekti itd. imaju svoju ulogu i trebaju razumjeti rizike.
► Održavati program sigurnosti: Držati okvire informacijske
sigurnosti učinkovitima, ažurnima i odgovarati na stvarne rizike
kroz mjere usklađenosti, samoprocjene, praćenje incidenata,
kontinuirano učenje i mjere unaprjeđivanja
Pokazati kako informacijska sigurnost može pomoći boljim poslovnim
rezultatima redizajnom i dopuštanjem inovacija i novih tehnologija:
3. Provesti transformaciju uspješno i održivo
15
Vodstvo: Uključiti donositelje odluka u definiranje
budućeg stanja; utvrditi odgovornosti i načine
praćenja; opravdati zahtjev za promjenom
Usklađivanje: Uključiti cijelu organizaciju u
ostvarivanje budućeg stanja; brzo ostvariti rezultate;
implementirati stalna poboljšanja
Izvršenje: Omogućiti podršku izvršenju; uvesti odgovarajući dizajn
Uvođenje: Izgraditi dugoročne odnose; iskoristiti društvene medije,
prepoznati tehnike usvajanja; komunicirati uspješne provedbe; biti
transparentni u vezi izazova
Omogućiti učinkovitu promjenu načina provođenja informacijske
sigurnosti:3
Okvir upravljanja programom informacijske
sigurnosti
16
Pokretači poslovanja
Metrike i izvještavanje
Infrastruktura podataka
Događaji Upozorenja Logovi
Upra
vlja
nje
i o
rganiz
acija
Strategija
Okvir politika i standarda
Arhitektura Operacije Svjesnost
Usluge
Sigurnost softvera
Sigurnost
operativnih sustava i
baza
Sigurnost mreže
Zaštita podatakaUpravljanje
incidentima
Upravljanje
kontinuitetom
poslovanja
Zaštita tehnologije OtpornostFunkcionalna aktivnost
Upravljanje
imovinom
Upravljanje trećim
stranama
Upravljanje
identitetom i
pristupom
Nadgledanje
sigurnosti
Upravljanje
prijetnjama i
ranjivostima
Privatnost
Procjena programa informacijske sigurnosti
17
• Procjena programa informacijske sigurnosti uključuje više razina:
Brza “provjera stanja”
(obuhvaća, npr. strategiju,
upravljanje i organizaciju,
izvješćivanje)
Razina 1
Holistička procjena
programa sigurnosti
(obuhvaća sve komponente
sigurnosnog programa na
visokoj razini)
Razina 2
Sveobuhvatna procjena
(detaljan pregled izabranih
dijelova programa sigurnosti
npr. upravljanje imovinom,
zaštita podataka itd.)
Razina 3
Pristup procjeni također uključuje :
Ocjenu zrelosti: Ocijene na skali od 1 do 5 na
temelju intervjua i radionica (obično 2-3 sata) s
ključnim osobama. Razina 3 zahtijeva dodatni upitnik.
Bodovanje: Izračun koji se koristi za procjenu
zrelosti sigurnosne domene na temelju ocjena.
Procjenu rizika/utjecaja: izražava utjecaja
sigurnosnog nedostatka na organizaciju (npr. ugled,
financijski, brand).
“Benchmarking”*: Usporedba rezultata zrelosti s
prosjekom industrije.
Preporuke strateškog programa:
Sigurnosne inicijative i programi koje treba
provoditi za jačanje sigurnosnog statusa
organizacije i bolje upravljanje rizikom.
*Nije dostupno za procjenu Razine 1
Ernst & Young - Transformacija informacijske
sigurnosti
18
Rezultati
• Fokus na poslovanje i sektore
• Tehnička istraživanja kroz napredne sigurnosne centre
• Različite osobe koje rade na temelju činjenica
• Vlastiti okviri, alati i vodstvo misli
• Najveća globalna usklađenost unutar kompanije (od svih “Big Four”)
• Transformirani program sigurnosti omogućava bolje performanse
• Integrirana informacijska sigurnost i pristup IT riziku
• Identificirane i procjenjene unutarnje i vanjske prijetnje
• Optimizirane mjere za smanjivanje prijetnji
• Definiran pristup važnim podacima i aplikacijama
• Održivi, usklađeni i učinkoviti procesi pristupa
• Zaštita važnih informacija i otkrivanje curenja
• Usklađenost s regulatornim i zahtjevima industrije
Faktori
ubrzanja
Procjena Transfor-
macijaOdržavanje
Upravljanje programom sigurnosti
Upravljanje prijetnjama i ranjivostima
Upravljanje identiteom i pristupom
Zaštita informacija i privatnost
• Strategija sigurnosti• Organizacija i upravljanje• Procjena rizika
informacijske sigurnosti
• Izvještavanje i metrika• Upravljanje kontinuitetom
poslovanja• Upravljanje rizikom treće
strane
• Penetracijska testiranja• Pregledi “Cyber”
sigurnosti• Upravljanje ranjivostima
• Testiranje aplikacija i sigurni razvoj softvera
• Sigurnost kontrolnog sustava
• Strategija i upravljanje• Zahtjev i odobrenje• Provedba
• Provjera i certifikacija• Upravljanje ulogama i pravima• Usklađivanje• Izvještavanje i analitika
• Strategija zaštite podataka
• Dizajn implementacije privatnosti
• Spriječavanje gubitka podataka
• Procjena statusa privatnosti i preporuke
Ernst & Young publikacije
19
Business
continuity
management
Information
security in a
borderless
world
The evolving
IT risk
landscape
Countering
cyber attacks
Cloud
computing:
Issues and
impacts
Data loss
prevention:
Keeping your
data safe
Building
confidence in IT
programs
Mobile device
security
Protecting and
strengthening
your brand:
social media
governance and
strategy
Ready for
takeoff:
preparing for
your journey
into the
cloud
Bringing IT into
the fold:
lessons in
enhancing
industrial control
system security
Privacy trends
2013
A path to
making privacy
count
Penetracijska testiranja Penetracijska testiranja
CaseCase StudyStudy
Penetracijska testiranja Penetracijska testiranja
CaseCase StudyStudy
Damir Paladin, CISA, CISSP, CISM
Borea
Damir Paladin, CISA, CISSP, CISM
Borea
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA D D –– IT sigurnostIT sigurnost
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
1. Definicija penetracijskih testiranja
2. Zašto revizore moraju zanimati
penetracijska testiranja
3. Pregled izvedbe
4. Ugovaranje penetracijskog testiranja
5. Ograničenja
6. Pitanja i odgovori
2
Borea
• Godina osnivanja: 1998
• Jedna od prvih tvrtki u Hrvatskoj koja se bavi
isključivo informacijskom sigurnošću
• Područja rada
– Revizija informacijskih sustava
– Sigurnosno testiranje i procjena sigurnosnih rizika
– Računalna forenzika
• Partneri:
– Qualys, CaseWare IDEA
3
Penetracijska testiranja
• Proces ovlaštenog i pravno dopuštenog
pokušaja otkrivanja nedostataka zaštitnih mjera
računalnog sustava, a u cilju njegovog
ojačavanja
• Neovisnost izvoditelja
• Pojam se primjenjuje na eksterne i interne
testove
• U praksi, ne postoji standardni okvir pa čak ni
zajedničke polazne definicije
4
Značaj penetracijskih testiranja
• Korespondira s percepcijom managementa
• Preporučeno normama
• Zahtijevano regulativom
• Pruža dubinski uvid u stanje sigurnosti mreže i
računalnih sustava
• Ipak…
– … realizacija znatno ovisi o pristupu naručitelja, što
može narušiti značaj penetracijskih testova
5
Penetracijska testiranja i revizija informacijskih
sustav
• Revizori informacijskih sustava moraju biti
upoznati (i uključeni) zbog:
– Dokazni testovi u reviziji općih mjera sigurnosti
informacijskih sustava
– Revizori mogu sudjelovati u procesu ugovaranja
usluge penetracijskog testiranja
– Izvedba i rezultati penetracijskih testiranja mogu biti
predmet revizije
6
Izvedba penetracijskog testiranja
7
Prikupljanje inicijalnih informacija
Identifikacija ranjivosti
Verifikacija ranjivosti
Kompromitacija sustava i eskalacija
ovlasti
Održavanje pristupnog kanala
Izvještavanje
Treba li penetracijski test rezultirati praktičnim
dokazom kompromitacije?
• Praktični dokaz („Proof of concept”) ima
značajan edukativni i psihološki učinak
• Ipak, naručitelji izbjegavaju takve dokaze
– Strah od nekontroliranog ishoda
– Ograničenje proračuna
• No, dobra informacija se može dobiti i
kvalitetnim tumačenjem informacija koje
prethode kompromitaciji
8
Ugovaranje usluge
• Definirati ciljeve:
– Određivanje obuhvata
– Određivanje početnih informacija
– Obveza uključivanja web aplikacija
– Prihvatiti ili odbiti ishode koji podrazumijevaju
eksploataciju ranjivosti
– Prihvatiti ili odbiti pokušaje eskalacije pristupnih
ovlasti
• Definirati kriterije odabira
– Stručnost, metodologija, reference, ogledni primjer
izvješća…9
Obuhvat penetracijskih testiranja
• Vanjski i unutarnji dio mreže
– Eventualna restrikcija adresa
• Testiranje web aplikacija
• Testiranje fizičke sigurnosti
• Provjera prijetnji socijalnog inženjeringa
• Wireless mreže
10
Izvješće o penetracijskom testiranju
• Specifikacija utvrđenih nedostataka i slabosti sa,
minimalno, sljedećim elementima:
– Detaljan opis ranjivosti
– Razina rizika ranjivosti u odnosu na specifičnost
okruženja
– Resursi zahvaćeni utvrđenom ranjivosti
– Rasprostranjenost i stupanj primjenjivosti tehnika
kompromitacije koji iskorištavaju utvrđenu ranjivost
– Opis mjera za otklanjanje ranjivosti
– Opis koraka koji su provedeni u cilju utvrđivanja
ranjivosti11
Neka pitanja
• Procjena ranjivosti („vulnerability assessment”)
kao zamjenski rezultat penetracijskog testiranja
• Postoji li penetracijsko testiranje interne mreže?
• Utjecaj proračuna na penetracijsko testiranje
12
Penetracijsko testiranje ili procjena ranjivosti
• Procjena ranjivosti („vulnerability assessment”)
– Druga faza penetracijskog testiranja
– Ponekad se penetracijski test svodi samo na procjenu
ranjivosti
– Niži troškovi izvedbe (automatizirani alat)
– Moguće provoditi kao kontinuirani proces
– Nedostatak u odnosu na kompletni test
13
Penetracijsko testiranje interne mreže
• Raširen termin, ali upitnog značenja
• Na internoj mreži postoje korisnici s već
značajnom razinom ovlasti
• Potrebno je uzeti u obzir karakter i razinu
internih prijetnji
• „Proof of concept” može biti veoma važan
moment
14
Utjecaj proračuna na penetracijsko testiranje
• Kvaliteta izvođača
• Detaljnost provjera
• Izvedba praktičnih dokaza („Proof of concept”)
• Ograničenje vremena pretraživanja inicijalnih
informacija
15
Zaključak
• Penetracijski testovi ostaju nezamjenjivi dio
procesa testiranja sigurnosti
• Testiranje interne mreže dobiva na važnosti no
potrebno je slijediti različite metodologije
testiranja
• Procjena ranjivosti („vulnerability assessment”)
može nadomjestiti/nadopuniti penetracijska
testiranja u modelu kontinuiranog nadzora
16
Pitanja i odgovori
17
Zahvaljujem na pažnji!
http://www.borea.hr
18
“UPRAVLJANJE “UPRAVLJANJE
SIGURNOSNIM RIZICIMA U SIGURNOSNIM RIZICIMA U
WEB APLIKACIJAMAWEB APLIKACIJAMA”
“UPRAVLJANJE “UPRAVLJANJE
SIGURNOSNIM RIZICIMA U SIGURNOSNIM RIZICIMA U
WEB APLIKACIJAMAWEB APLIKACIJAMA”
dr. Silvana Tomić Rotim
ZIH d.o.o
dr. Silvana Tomić Rotim
ZIH d.o.o
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA D D –– IT sigurnostIT sigurnost
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Izloženost Web aplikacija sigurnosnim rizicima
• Proces upravljanje sigurnosnim rizicima
• Primjer FUPOL web aplikacije
• Najčešći sigurnosni rizici Web aplikacija
• Načini ublažavanja sigurnosnih rizika
2
Proces upravljanja sigurnosnim rizicima
Neke od metodologija upravljanja rizicima
Matrica s predefiniranim vrijednostima (imovina,
prijetnja, ranjivost)
Međunarodni standardi
• ISO/IEC 27001 – Sustavi upravljanja
informacijskom sigurnošću
• ISO/IEC 29119 – Model procesa testiranja
• ISO/IEC 9126 – Kvaliteta softverskih
proizvoda
• 829-1998 IEEE standard za dokumentaciju
testiranja softvera
• ISO/IEC 26513 Zahtjevi za provjeru
korisničke dokumentacije
Model FUPOL aplikacije s interesnim grupama i
informacijskom imovinom
Workstation
Internet
Explorer
Netscape
Opera
Other
Web
Browser
Pre
se
nta
tio
n T
ier
Citizens
Companies
NGO
FUPOL
Application Tier
Publish
Collect
Policy maker
Requesting web service
The political blogo sphere
Automatic Topic Sensing
Collaborative Stakeholder
Involvement
Scenario Building, Simulation
and Visualization
Social Networks
Workstation
Data Tier
Multilingual
Topic
Ontology
Past data
Topic Sensing
Response
DatabaseSurvey Data
Knowledge
Database
Policy Model
Repository
GIS data
User authentication
ConfidentialityMessage integrity
Audit trailSignature
Privacy protection
Web 2.0
Najčešći sigurnosni rizici Web aplikacija
• OWASP:
– Ubacivanje (Injection)
– Cross Site Scripting / XSS propusti
– Krivo izvedena autentifikacija i upravljanje sesijama
– Nesigurne reference prema direktnim objektima
– Cross Site Request Forgery / CSRF propusti
– Kriva konfiguracija
– Nesigurno korištenje kriptografskih spremišta
– Neuspjelo ograničavanje pristupa pojedinim
poveznicama
– Nedovoljna zaštita na transportnom sloju
– Neprovjerena preusmjeravanja
Procjenjivanje i ublažavanje rizika
• Rizik: Ubacivanje (injection)
nepovjerljivih podataka
Označava kod iz nepoznatog izvora
koji može biti štetan sustavu
Napadi ubacivanjem, kao što su
SQL injekcije, se dogaĎaju kada su
nepovjerljivi podaci poslani prema
prevoditelju kao dio naredbe ili upita.
Ti podaci mogu prevariti prevoditelja
tako da prevoditelj izvrši neželjenu
naredbu ili pristupi neovlaštenim
podacima
Procjenjivanje i ublažavanje rizika
• Ublažavanje:
Sprječavanje napada ubacivanje zahtijeva zadržavanje
nepovjerljivih podataka dalje od naredbi i upita.
1. Preferirana opcija je uporaba sigurnog aplikacijskog
programskog rješenja (API), koji izbjegava korištenje prevoditelja
u cijelosti ili pruža parametrizirano sučelje. TakoĎer, kod
aplikacijskog programskog rješenja treba biti oprezan, npr.
pohranjene procedure su parametrizirane ali i dalje postoji
mogućnost napada ubacivanjem
2. Ako parametrizirani API nije dostupan, potrebno je izbjeći
uporabu specijalnih znakova koristeći specifičnu sintaksu za tog
prevoditelja.
3. Pozitivna ulazna validacija s odgovarajućom kanonizacijom je
preporučljiva, ali treba biti svjestan da niti to nije potpuna obrana
od napada jer postoji mnogo aplikacija koje zahtjevaju spacijalne
znakove u svom ulazu.
Rizik: «Curenje» i «pukotine» u upravljanju autentikacijom i sesijom
Nemogućnost:
1. UtvrĎivanja da li je netko točno taj za koga se deklarirao
2. Procesa praćenja korisničkih aktivnosti prilikom njegove sesije
Aplikacijske funkcije koje se odnose na upravljanje autentikacijom i sesijom, često, nisu implementirane na pravi način, te tako dopuštaju napadačima da kompromitiraju lozinke, ključeve, sesije ili da iskorištavaju pukotine kako bi preuzeli identitete od ostalih korisnika
Procjenjivanje i ublažavanje rizika
• Ublažavanje:
Jak skup kontrola za upravljanje autentikacijom i sesijom koji treba težiti prema:
• Zadovoljavanju svih zahtjeva za upravljanje autentikacijom i sesijom
• Jednostavnom korisničkom sučelju za programere.
Jake napore za izbjegavanje XSS(Cross-site scripting) pukotina koje dovode do krađe ID-a sesije
Procjenjivanje i ublažavanje rizika
• Rizik: Nesigurna izravna veza prema
objektima
Ranjivost koja se javlja kada neki dio
referenciranja ostane izložen, odnosno
javno dostupan, te se preko njega može
pristupiti nekim internim objektima, kao
što su direktoriji, ključevi baze podataka,
dokumenti
Bez provjere kontrole pristupa ili drugih
zaštita, napadači mogu manipulirati tim
referencama kako bi pristupili
neovlaštenim podacima
Procjenjivanje i ublažavanje rizika
Primjer nesigurne izravne veze prema objektima
• Kada korisnik napravi transakciju prema URL zoni, maliciozni SW neprimjetno mijenja primateljevo ime s napadačevim imenom. Sve to može biti u konfiguracijskoj datoteci malicioznog SW.
• Banka će zahtjev vidjeti kao ispravan jer će ID sesije i tokeni biti važeći i bit će omogućeno prebacivanje odreĎene sume novca s korisnikovog računa na napadačev račun.
• Tada dolazi do presretanja paketa odgovora banke i napadačevo ime se mijena u orginalno korisnikovo ime, koje korisnik i očekuje.
• Ublažavanje:
Sprječavanje nesigurne izravne veze prema objektima zahtijeva odabir pristupa za zaštitu svakog mogućeg korisničkog pristupa objektu (npr: ime datoteke, broj):
1. Po korisniku ili po sesiji koristiti indirektnu vezu prema objektu
Ovo sprječava napadača da direktno cilja prema neovlaštenom resursu. Na primjer, umjesto korištenja ključa resursa, koristiti padajuću listu šest resursa, odobrenih za trenutnog korisnika, koji koriste brojeve od 1 do 6 kako bi ukazali koju vrijednost je korisnik odabrao. Aplikacija treba mapirati neizravnu vezu pojedinog korisnika prema stvarnom ključu u bazi podataka na serveru.
2. Provjeriti pristup
Svako korištenje izravne veze prema objektima od strane nepouzdanog izvora, mora sadržavati provjeru pristupa kako bi se osiguralo da je korisnik autoriziran pristupiti traženom objektu
Procjenjivanje i ublažavanje rizika
• Rizik: Cross-Site Scripting (XSS)
XSS pukotine se dogaĎaju svaki puta kada aplikacija prihvati nepouzdane
podatke i pošalje ih web pregledniku bez valjane validacije
XSS dopušta napadačima da izvrše skriptu u žrtvinom pregledniku, što
može dovesti do preuzimanja korisničke sesije, oskvrnjivanja web stranice
ili do preusmjeravanja korisnika prema malicioznim stranicama
Procjenjivanje i ublažavanje rizika
• Postoje razni načini na koje napadač može namamiti žrtvu na pokretanje
XSS zahtjeva. Napadač žrtvi može poslati email s poveznicom koja sadrži
maliciozni JavaScript. Ako žrtva klikne na poveznicu, HTTP zahtjev se
pokreće sa žrtvinog web preglednika i šalje prema ranjivoj web
aplikaciji. Tada se maliciozni JavaScript reflektira natrag na žrtvin
preglednik, gdje je izvršen u kontekstu žrtvine korisničke sesije
Procjenjivanje i ublažavanje rizika
• Ublažavanje: sprječavanje XSS-a zahtijeva zadržavanje
nepouzdanih podataka dalje od aktivnog sadržaja preglednika
1. Preferirana opcija je valjano izbjegavanje svih nepouzdanih podataka
baziranih na HTML kontekstu (JavaScript, URL) u kojima će podaci biti
postavljeni.
2. Pozitivna ulazna validacija je takoĎer preporučljiva jer pomaže u zaštiti
protiv XSS napada, ali ne štiti u potpunosti jer mnoge aplikacije moraju
prihvatiti specijalne znakove. Takva validacija treba dekodirati bilo koji
kodirani ulaz i onda validirati duljinu, znakove i format nad tim podacima,
prije prihvaćanja ulaza
Procjenjivanje i ublažavanje rizika
Rizik: Cross-Site Request Forgery (CSRF)
CSRF napad tjera logirani preglednik od žrtve na slanje krivotvorenih HTTP
zahtjeva, uključujući žrtvin sesijski „kolačić” (session cookie) i bilo koju
automatski uključenu informaciju, prema ranjivoj web aplikaciju. To
omogućava napadaču da natjera žrtvin preglednik na generiranje zahtjeva
za koje ranjiva aplikacija smatra da su valjani zahtjevi od strane žrtve
Procjenjivanje i ublažavanje rizika
Ublažavanje: Sprječavanje CSRF napada zahtijeva uključivanje
nasumičnog tokena kao skrivenog polja u sadržaju URL-a svakog HTTP
zahtjeva. Takvi tokeni trebaju biti jedinstveni po korisnikovoj sesiji, a takoĎer
mogu biti jedinstveni po zahtjevu
1. Preferirana opcija je uključivanje
nasumičnog tokena kao skrivenog polja. To
omogućava da vrijednost bude poslana u tijelu HTTP zahtjeva,
izbjegavajući time uključivanje u URL, koji
je predmet izlaganja.
2. Nasumični token može biti uključen u
sam URL, ali to donosi rizik da će taj URL biti izložen napadaču, što
dovodi do kompromitiranja tajnog
tokena.
Procjenjivanje i ublažavanje rizika
• Rizik: Kriva konfiguracija
Dobra sigurnost zahtjeva definiranje i isporuku konfigurirane aplikacije,
okvira, aplikacijskog servera, web servera, servera baze podataka i
platforme. Sve navedene postavke bi trebale biti definirane, implementirane
i održavane, jer ih većina ne dolazi s predefiniranim sigurnosnim
postavkama. To uključuje održavanje svih softvera ažurnim, uključujući sve
biblioteke koje koristi aplikacija
Procjenjivanje i ublažavanje rizika
• Ublažavanje:
Osnovna preporuka je uspostava sljedećeg:
Definiranog procesa koji omogućava brzu i laganu isporuku na
drugu okolinu. Razvojna, testna i
produkcijska okolina bi trebale biti jednako konfigurirane. Proces
bi trebao biti automatiziran.
Procesa za aktualiziranje i isporuku novih verzija i zakrpa programskog proizvoda u
realnom vremenu na svakoj okolini,
uz uključivanjesvih biblioteka.
Snažne programske
arhitekture koja omogućuje kvalitetno
razdvajanje i sigurnost
komponenti.
PeriodičnogprovoĎenjapretraga i
revizija zbog pomoći pri otkrivanju budućih
propusta ilipotrebnih zakrpa.
Procjenjivanje i ublažavanje rizika
• Rizik: Neuspjelo ograničavanje pristupa URL-u
Mnoge web aplikacije provjeravaju prava pristupa URL-u prije prikazivanja
zaštićenih poveznica i gumba
Aplikacije trebaju provesti slične kontrolne provjere svaki puta kada se
pristupa stranicama, inače će napadači moći falsificirati URL-ove za pristup
skrivenim stranicama
Procjenjivanje i ublažavanje rizika
• Ublažavanje: Sprječavanje neovlaštenih pristupa URL-u zahtijeva
izbor pristupa koji zahtijeva adekvatnu provjeru i adekvatno
odobrenje za svaku pojedinu stranicu. Često, jedna ili više vanjskih
komponenti aplikacijskog koda pruža ovakvu zaštitu.
1.
• Pravila provjere i odobrenja se baziraju na ulogama, kako bi se smanjio napor potreban za održavanje tih pravila.
2.
• Pravila trebaju biti vrlo podesiva, kako bi se smanjili čvrsto kodirani aspekti pravila
3.
• Mehanizmi provedbe zajedno trebaju odbijati svaki pristup, zahtijevajući izričita odobrenja od pojedinih korisnika i uloga za pristup svakoj pojedinoj stranici.
4.• Ako je stranica uključena u tijek rada, provjeriti jesu li svi
uvjeti zadovoljeni, kako bi se omogućio pristup.
Procjenjivanje i ublažavanje rizika
• Rizik: Nedovoljna zaštita
transportnog sloja
Često se dogaĎa da aplikacije nisu
u mogućnosti potvrditi, kriptirati i
zaštititi povjerljivost i integritet
osjetljivog mrežnog prometa. Kada
se to dogodi, aplikacije koriste ili
slabe algoritme ili nevažeće
algoritme ili ih ne koriste na pravi
način .
Transport Layer Security (TLS)
i Secure Sockets Layer (SSL) su
kriptografski protokoli koji
omogućavaju sigurnu komunikaciju
preko Interneta
Client Authentication SSL
Procjenjivanje i ublažavanje rizika
• Ublažavanje: Pružanje odgovarajuće zaštite transportnog sloja može
utjecati na dizajn stranice. Najlakše je zatražiti SSL za cijelu stranicu.
Zbog performasni, neke web stranice koriste SSL samo na privatnim
stranicama. Druge koriste SSL samo na kritičnim stranicama, ali to
može dovesti do otkrivanja ID-a sesije i ostalih osjetljivih podataka.
Zatražiti SSL za
sve osjetljive stranice.
Postaviti sigurnosnu
zastavicu na sve
osjetljive „kolačiće”.
Konfigurirati svog SSL pružatelja
da podržava samo jake algoritme.
Osigurati da je certifikat
valjan i da je povezan sa
svim domenama koje koristi stranica.
Pozadinske i ostale
konekcije trebaju takoĎer koristiti SSL.
Procjenjivanje i ublažavanje rizika
• Rizik: Nesigurno kriptografsko spremište
Procjenjivanje i ublažavanje rizika
• Ublažavanje: Za sve osjetljive podatke koji zahtijevaju
enkripciju potrebno je učiniti sljedeće:
1. S obzirom na prepoznate prijetnje, potrebno je zaštititi podatke od
internog ili eksternog napada, te osigurati enkripciju tih podataka
na način koji će ih adekvatno zaštititi
2. Osigurati da su sve sigurnosne kopije, koje se nalaze izvan
glavne lokacije, šifrirane sa zaštićenim ključevima
3. Osigurati da se koriste jaki standardni algoritmi i ključevi, te da je
ključ za upravljanje na svom mjestu
4. Osigurati zaštitu lozinki hashiranjem s jakim i standardiziranim
algoritmom
5. Osigurati da su svi ključevi i lozinke zaštićeni od neovlaštenog
pristupa
Procjenjivanje i ublažavanje rizika
Izloženost Web aplikacija sigurnosnim rizicima
• Procjena rizika, uzimajući u obzir sveukupnu primjenu i ciljeve same aplikacije
• Pravni, zakonski, regulatorni i ugovorni zahtjevi koje interesne grupe moraju zadovoljiti, te njihovo društveno-kulturno okruženje
• Drugi specifičan skup načela, ciljeva i poslovnog okruženja za obradu informacija putem Web aplikacije
Tri glavna izvora za identifikaciju sigurnosnih zahtjeva pri razvoju Web aplikacija:
PA DSS PA DSS –– Pregled zahtjevaPregled zahtjevaPA DSS PA DSS –– Pregled zahtjevaPregled zahtjeva
Siniša Lukač. CISSP, CISM, CRISC,
EC|CEH, ISO 27k LA
Sedam IT d.o.o.
Siniša Lukač. CISSP, CISM, CRISC,
EC|CEH, ISO 27k LA
Sedam IT d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA D D –– IT sigurnostIT sigurnost
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• PCI SSC standardi
• PA DSS povijest i mandati
• PA DSS obuhvat
• PA DSS uloge i odgovornosti
2
PCI SSC standardi
• PCI PTS (prije PCI PED) odnosi se na fizičku zaštitu
uređaja, kriptografske procese i ostale mehanizme
zaštite PINa koji se unosi na uređaj ili aplikaciju na
uređaju
• PCI PA-DSS odnosi se na aplikacije koje su sastavni dio
PCI DSS obuhvata i pomaže da se zatvori cijeli proces
od unosa kartičnih podataka do početka platne
transakcije
• PCI DSS pokriva sigurnost sustava koji služe za
prijenos, obradu ili pohranu kartičnih podataka
• PCI P2PE – definira okvir za sigurnu komunikaciju
između krajnjih uređaja i centralnog sustava3
Razvoj PA DSS
4
Mandati
• PCI SSC odgovoran je za ažurnost i održavanje
globalnog popisa platnih aplikacija koje su certificirane
prema PA DSS
• Globalni VISA mandati za korištenje PA-DSS
certificiranih aplikacija:
• Srpanj 2010 – prihvatitelji moraju osigurati da novougovoreni
trgovci koriste PA DSS certificirane aplikacije ili da su usklađeni
odnosno certificirani prema PCI DSS
• Srpanj 2012 – prihvatitelji moraju osigurati da svi trgovci
(postojeći i novi) koristeisključivo PA DSS certificirane aplikacije
• Globalni mandati ne utječu na ranije primjenjive regionalne
mandate
5
Zahtjevi
6
Zahtjevi
• 14 zahtjeva
• 3 područja:
• Aplikacijska sigurnost
• Razvojni proces
• „Implementation Guide”
7
Zahtjevi – Aplikacijska sigurnost
• Najveće područje PA DSS
• Pokrivena sva područje razvoja:
• Provjera ranjivosti (OWASP)
• Primjena forenzičkih alata u potrazi za kritičnim
podacima
• Enkripcija i upravljanje ključevima
• Sigurnosne postavke
• Pohrana logova
8
Zahtjevi – Razvojni proces
• Razvoj aplikacija uz pomoć najboljih sigurnosnih
preporuka (SDLC)
• Razvoj web aplikacija uz pomoć najboljih
sigurnosnih preporuka (OWASP)
• Procedure za upravljanje promjenama
• Odvajanje razvojnog od testnog okruženja
• Procedure za pronalaženje novih propusta
• Procedure za implementaciju sigurnosnih
ažuriranja
9
Zahtjevi – Implementation Guide
• Upute za brisanje kritičnih podataka nakon autorizacije
• Upute za pohranu kritičnih podataka
• Upute za korištenje jake autentikacije (two-factor)
• Upute za korištenje enkripcije prilikom prijenosa javnim
mrežama
10
PA DSS obuhvat
• Proizvođači softvera i ostali koji razvijaju platne aplikacije
koje služe za prijenos, obradu ili prijenos kartičnih podataka
kao dijela autorizacijskog ili settlement procesa, a koji te
aplikacije prodaju, distribuiraju ili licenciraju trećim
stranama
• Izravno pogađa:
• Isporučitelje platnih aplikacija odnosno proizvođače
softvera
• Neizravno pogađa:
• Trgovce koji kupuju odnosno iznajmljuju platne aplikacije
• Service providere koji kupuju odnosno iznajmljuju platne aplikacije
11
PA DSS obuhvat
• PA DSS se odnosi na platne aplikacije koje se obično
kupuju odnosno iznajmljuju od prizvođača, a prilikom
instalacije se značajnije ne mijenjaju
• PA DSS se odnosi i na one platne aplikacije koje se
isporučuju u modulima, koji obično uključuju temeljni
modul i ostale spacifične module koji su prilagođeni
potrebama naručitelja
• Moguća je certifikacija samo temeljnog modula ukoliko je
on zadužen za obavljanje platnog dijela aplikacije ali to
mora biti potvrđeno od strane PA QSA
• Ukoliko i ostali moduli sudjeluju u nekom od platnih
procesa tada se i oni moraju certificirati
12
PA DSS obuhvat
• PA-DSS se ne odnosi na platne aplikacije koje su razvijene
i prodane samo jednom korisniku (razvoj po narudžbi). U
ovom slučaju to će biti pokriveno unutar PCI DSS
usklađenja odnosno certifikacije
• PA-DSS se ne odnosi na platne aplikacije koje su razvijene
od strane trgovaca odnosno service prvidera za vlastite
potrebe i koriste se isključivo unutar tvrtke, te se u nikojem
obliku ne prodaju ili iznajmljuju odnosno daju na korištenje
trećim stranama. U ovom slučaju taj dio će također biti
pokriven unutar PCI DSS usklađenja odnosno certifikacije
13
PA DSS obuhvat
• Slijedeći primjeri zorno prikazuju primjere aplikacija koji nisu
podložne PA DSS certifikaciji:
• Operativni sustavi na koje su instalirane platne aplikacije (npr.
Windows, Unix, Linux....)
• Sustavi za upravljanje bazama podataka u koje se pohranjuju
kartični podaci (npr. Oracle, MS SQL...)
• Back-office sustavi koji pohranjuju kartične podatke za primjerice
kasnije analize ili izvještavanja
14
PA DSS obuhvat – HW terminali
• Kod HW terminala, PA DSS moguće je neprimjenjiv ukoliko
vrijede slijedeće tvrdnje:
• Terminal nije spojen na nikakav uređaj ili mrežu trgovca
• Terminal se direktno spaja na prihvatitelja ili procesora:
• Sigurna udaljena ažuriranja softvera
• Otklanjanje grešaka
• Softverski pristup
• Ostalo održavanje
• Osjetljivi podaci se nikada ne pohranjuju na terminalu nakon
autorizacije
15
PA DSS obuhvat – rezime
16
Vrsta platne aplikacije Primjenjivost PA DSS
Gotove platne aplikacije koje ne
zahtjevaju puno prilagodbe
DA
Aplikacije razvijene u modulima DA
Aplikacije za hardverske terminale DA, osim ukoliko ne zadovoljavaju
specifične kriterije
Softver razvijen prema narudžbi za
samo jednog korisnika
NE, aplikacija će biti pokrivena kao
dio PCI DSS usklađenja odnosno
certifikacije
Softver razvijen od strane trgovca ili
service providera za vlastite potrebe
koji se koristi samo unutar tvrtke
NE, aplikacija će biti pokrivena kao
dio PCI DSS usklađenja odnosno
certifikacije
Softveri za potporu poput operativnih
sustava, sustava za upravljanje
bazama podataka, sustavima za
izvještavanje i slično
NE, ovo nisu platne aplikacije
Proizvođači softvera
• Proizvođači softvera – tvrtke koje razvijaju platne aplikacije ,
te iste prodaju, distribuiraju i licenciraju trećim stranama
odgovorni su za:
• Izradu PA DSS certificiranih aplikacija koje će omogućiti lakši proces
usklađenja njihovim korisnicima
• Usklađenje sa zahtjevima PCI DSSa ukoliko proizvođač pohranjuje,
obrađuje ili prenosi kartične podatke
• Izradu “PA-DSS Implementation Guidea”, za svaku platnu aplikaciju
iz portfelja
• Edukaciju korisnika, prodavača i integratora na koji način pravilno
instalirati i podesiti aplikaciju
• Osigurati da platna aplikacija zadovoljava sve PA DSS zahtjeve i to
dokazati certifikacijom
17
PA QSA
• PA QSA – QSA koji je kvalificiran, educiran i odobren od
strane PCI SSC da može obavljati poslove PA DSS revizije
i certifikacije, odgovorni su za:
• Provođenje revizija platnih aplikacija prema zahtjevima PA DSSa
• Izradu izvještaja na temelju provedene revizije i informiranje
naručitelja o pronađenim propustima te uputama za popravak istih
• Izradu adekvatne dokumentacije te ROVa pomoću kojega dokazuju
usklađenost aplikacije s PA DSS
• Dostavu ROVa PCI SSCa zajedno s dokumentom “Attestation of
Validation” potpisanom od strane PA QSA i proizvođača aplikacije
• Održavanje internog procesa kvalitete
18
Prodavači / Integratori
• Prodavači/Integratori – tvrtke koje prodaju, instaliraju i
održavaju PA DSS certificirane aplikacije prema odobrenju
proizvođača odgovorne su za:• Implementaciju sigurnosnih zahtjeva prema uputama proizvođača
• Prilikom instalacije platnih aplikacija trebaju se strogo pridržavati pravila koja
se posebice odnose na:
• Udaljeni pristup mora biti uklonjen i ne smije se koristiti osim u slučajevima kada
je to potrebno
• Ukoliko je potrebno treba osigurati dodatan nadzor udaljenog pristupa kako bi se
spriječio neovlašteni pristup
• Ne smije se koristiti tvorničke postavke i koristiti ista korisnička imena i lozinke
kod različitih korisnika
• Educirati korisnika na koji sve način podesiti sigurnost sustava kako bi spriječio
neovlašten pristup
• Educirati korisnika na koji način održavati apliaciju i primjenjivati zadnje
sigurnsne zakrpe uključujući i one za operativni sustav
19
Korisnici
• Korisnici – trgovci, service provideri i ostali koji kupuju ili
koriste platnu aplikaciju razvijenu od treće strane
odgovrni su za:
• Implementaciju PA DSS certificiranih aplikacija u svoju okolinu
usklađenu s PCI DSSom
• Instalaciju i podešavanje platne aplikacije sukladno uputama i
preporukama iz “PA DSS Implementation Guidea”
• Podešavanje aplikacije na način da ne poremeti zahtjeve PCI
DSSa
• Održavanje usklađenosti s PA i PCI DSSom
20
Zaključak
• Novi standard – novi zahtjevi
• Za krajnjeg korisnika jednostavniji proces ukoliko se
odluči za nabavu certificirane aplikacije
• Proizvođače softvera čeka dosta posla
• Mandati uglavnom istekli
• Zahtjevan proces uvođenja PA DSS certificirane
aplikacije
21
Zahvaljujem na pažnji!
www.sedamit.hr
22
Vanjska revizija u sustavu
EU fondova –– odnos s
internom revizijom
Vanjska revizija u sustavu
EU fondova –– odnos s
internom revizijom
mr.sc. Biserka Šerbinek Milinković
ARPAmr.sc. Biserka Šerbinek Milinković
ARPA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA E E –– Interna revizija EU fondovaInterna revizija EU fondova
“Očekivanja od unutarnje revizije ulaskom “Očekivanja od unutarnje revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Agencija za reviziju sustava provedbe programa
EU – ARPA
• Europski fondovi
• Vrste revizije
• Revizijski standardi
• Suradnja s vanjskom revizijom
• Suradnja s internom revizijom
• Mogući oblici suradnje s internom revizijom
• Buduća suradnja s internom revizijom
• Zaključak 2
Agencija za reviziju sustava provedbe programa
EU - ARPA
• Osnovana u lipnju 2008. godine;
• Javna ustanova;
• ARPA je Tijelo za reviziju (eng. Audit Authority)funkcionalno neovisno od svih sudionika u sustavuupravljanja i kontrola EU fondovima;
• ARPA obavlja funkciju Tijela za reviziju IPA fondova(Instrument za pretpristupnu pomoć);
• Nakon ulaska u EU provodit ćemo reviziju:
Strukturnih instrumenata (Europski fond zaregionalni razvoj, Europski socijalni fond i Kohezijskifond),
Poljoprivrednih fondova i Ribarskog fonda.
3
Agencija za reviziju sustava provedbe programa
EU - ARPA• Odgovorni smo izraziti neovisno, objektivno i stručno
mišljenje o učinkovitosti sustava upravljanja i kontrola tezakonitosti i pravilnosti Izjave o izdacima.
• U sustavu IPA fondova obvezni smo izraditi sljedećedokumente:
Godišnji plan rada revizije – dostavlja se Nacionalnomdužnosniku za ovjeravanje (NDO) i Europskoj komisiji(EK);
Godišnje izvješće o reviziji – dostavlja se NDO-u,Dužnosniku nadležnom za akreditaciju (DNA) i EK;
Godišnje mišljenje o djelotvornosti rada sustavaupravljanja i kontrola – dostavlja se NDO-u, DNA i EK;
Mišljenje o svakom završnom izvješću o izdacima kodzatvaranja bilo kojeg programa ili njegovog dijela koje EKpredaje NDO.
4
EU fondovi
• ARPA je odgovorna za provođenje revizije
korištenja sredstava iz EU fondova za sljedeća
programska razdoblja:
2007.-2013. IPA fondovi + 6 mjeseci provedbe
strukturnih instrumenata (od 1. srpnja do 31.
prosinca 2013.)
2014.-2020. strukturni instrumenti (Europski
fond za regionalni razvoj, Europski socijalni
fond i Kohezijski fond), poljoprivredni fondovi i
ribarski fond.
5
EU fondovi
IPA fondovi naspram strukturnim instrumentima
Znatno veći iznos alokacija;
Znatno veći broj projekata;
Složena i zahtjevnija regulativa (EU i
nacionalna);
Vrsta fondova;
Broj i raznolikost Operativnih programa;
Sudionici Operativne strukture;
Financijske korekcije.
6
Europska komisija namijenila je za Republiku Hrvatsku u
razdoblju do 2013. godine iznos od 997,6 milijuna eura IPA
fondova
7
Europski fondovi
• U drugoj polovici 2013. godine ukupna odobrena
sredstva Europske unije za Hrvatsku iznose
687,5 milijuna eura, a sastoje se od:
449,4 milijuna eura strukturnih fondova i
kohezijskog fonda;
40 milijuna eura za tzv. schengenski instrument;
29 milijuna eura za jačanje administrativnih i
pravosudnih kapaciteta Republike Hrvatske;
8,7 milijuna eura Europskog fonda za ribarstvo;
drugo.
8
Europski fondovi
Prema Višegodišnjem financijskom okviru ukupno
planirana sredstva za Hrvatsku u sedmogodišnjem
razdoblju od 2014. do 2020. godine iznose 11,7
milijardi eura!!!!
9
Vrste revizije
Provodimo dvije osnovne vrste revizija:
– Revizija sustava,
– Revizija operacija.
Revizijske aktivnosti:
– Horizontalne revizije
provode se na razini OP-a kao i tijela i procesa unutar više
IPA komponenti, npr. NF, MIS;
– Praćenje postupanja po nalazima revizije (Follow-up)
provodi se kao zasebna revizija ili aktivnost prije izdavanja
godišnjeg revizijskog izvješća.
10
Revizijski standardi
• Revizijski standardi koji se odnose na suradnju vanjske i
interne revizije su:
IIA standard 2050 (Interna revizija)
ISA 600 i 610 (Vanjska revizija)
ne treba zaboraviti
• Suradnja s internom revizijom je u dijelu koji se odnosi
na revizije EU sredstava;
• ARPA je krajnje odgovorna za obavljenu reviziju i
izraženo revizijsko mišljenje.
11
Suradnja s vanjskom revizijom
ARPA surađuje s:
• Europskim revizorskim sudom,
• Revizijom Europske komisije,
• Državnim uredom za reviziju,
• Tijelima za reviziju (Audit Authorities) iz zemalja
članica EU: Nizozemska, Estonija, Latvija, Portugal,
Švedska, Slovenija, Bugarska, Mađarska, Italija i dr.
• Tijelima za reviziju iz zemalja sa statusom kandidata
za članstvo EU: Turska, Makedonija, Crna Gora,
Srbija.
12
Suradnja s internom revizijom
• Svaka zemlja korisnica sredstava EU fondovaodgovorna je za uspostavljanje i upravljanjeorganizacijom i djelatnicima u okviru operativnestrukture u skladu s akreditacijskim kriterijima.
• ARPA provodi reviziju sustava temeljemtestiranja dizajna kontrola i njihove operativneučinkovitosti po poslovnim procesima kako biocijenila je li sustav upravljanja i kontrolaučinkovit.
• Jedan od akreditacijskih kriterija u sustavu IPAfondova je interna revizija što znači da je ARPAobavezna ocijeniti rad interne revizije.
13
Suradnja s internom revizijom
• Smjernice za razvoj suradnje između ARPA-e iinterne revizije, SHJ, verzija 2. - rujan 2010.
• Okrugli stol/radionica/seminar o suradnji izmeđuARPA-e i internih revizija uključenih u sustavprovedbe EU fondova, u organizaciji SIGMA-e -listopad 2009., prosinac 2010.
• Sporazumi o suradnji ARPA-e i internih revizija –kraj 2010., početak 2011.
• Sporazum o suradnji na području organiziranjazajedničke izobrazbe vezane uz obavljanjerevizija u sustavu upravljanja programimaEuropske Unije – listopad 2011.
14
Suradnja s internom revizijom
Međusobna suradnja uključuje održavanjeredovnih sastanaka na kojima se raspravlja o:
• procjeni rizika;
• planiranim područjima i terminskom planurevidiranja za sljedeću godinu;
• revizijskim nalazima i preporukama;
• razmjenjuju se iskustva i
• dogovara buduća zajednička suradnja.
15
Mogući oblici suradnje s internom revizijom
1.Tijelo za reviziju obavlja i revizije sustava i revizije operacija.
2.Tijelo za reviziju obavlja samo revizije sustava, a revizije operacija obavljaju druga tijela.
3.Tijelo za reviziju obavlja revizije operacija. Revizije sustava obavljaju druga tijela.
4.Druga revizijska tijela obavljaju revizije sustava i revizije operacija.
5. I tijelo za reviziju i druga revizijska tijela obavljaju revizije sustava i revizije operacija.
16
Buduća suradnja s internom revizijom
Preduvjeti za suradnju:
- Osigurati potrebne ljudske resurse,
- Osigurati zadovoljavajući stupanj edukacije,
- Primijeniti zajedničku (barem usporedivu)
metodologiju u modelu procjene rizika kod
revizije sustava i uzorkovanje (sampling) kod
revizije operacija,
- Uspostaviti jednak (barem usporediv) pristup u
tumačenju nepravilnosti i razine važnosti nalaza.
17
Zaključak
Pred nama su veliki izazovi, na raspolaganju su iznimno
velika sredstva iz fondova EU. To je velika prilika za
Hrvatsku, ali i velika odgovornost nas revizora u provjeri
jesu li ta sredstva korištena na pravilan i zakonit način.
Mogućnosti suradnje s internom revizijom višestruke su i
neophodne. Stoga je potreban angažman i potpora:
• ARPA-e,
• SHJ-a,
• čelnika tijela Operativne strukture u sustavu IPA
fondova,
• tijela Operativnih programa u sustavu strukturnih
instrumenata, ribarskog i poljoprivrednih fondova.
18
Izazovi za unutarnje revizore
s razine jed.lokalne i
područne (regionalne)
samouprave u reviziji
fondova EU
Izazovi za unutarnje revizore
s razine jed.lokalne i
područne (regionalne)
samouprave u reviziji
fondova EU
Ankica Ţuvan
Grad Trogir
Ankica Ţuvan
Grad Trogir
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
SEKCIJA ESEKCIJA E–– Interna revizija EU fondovaInterna revizija EU fondova
“Oĉekivanja od interne revizije ulaskom u EU”, Zadar 11.“Oĉekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
2
Sadrţaj:
• Grad Trogir- općenito
• Strateško planiranje poslovanja- preduvjet
upravljanja projektima
• Upravljanje EU projektima
• Revizija projekata sufinanciranih iz fondova
Europske unije
• Izazovi za unutarnje revizore u budućem
razdoblju
2
3
Grad Trogir- općenito
• Broj stanovnika: 13.576 (izvor popis stanovništva 2011.g.)
• Proraĉun grada Trogira za 2011.g.: 50.371.805 kn
za 2012.g.: 51.758.284 kn
• Konsolidirani proraĉun za 2011.g. : 52.217.456 kn
• Organizacijska struktura:
3
Gradonačelnik
URED
GRADONAČELNIKA
UO ZA
GOSPODARENJE
PROSTOROM I
KOMUNALNO
GOSPODARSTVO
UO ZA
GOSPODARSTVO,
TURIZAM I
DRUŠTVENE
DJELATNOSTI
UO ZA
FINANCIJE
UNUTARNJA
REVIZORICA
4
Grad Trogir- povezani subjekti
GRAD TROGIR
USTANOVE U
VLASNIŠTVUKOMUNALNA PODUZEĆA
U VLASNIŠTVU
PRORAĈUNSKI
KORISNICIOSTALE USTANOVE
DJEĈJI VRTIĆ
TROGIR
MUZEJ GRADA
TROGIRA
GRADSKA KNJIŢNICA
TROGIR
JU ŠPORTSKI
OBJEKTI TROGIR
PUĈKO OTVORENO
UĈILIŠTE
TROGIR HOLDING DOBRIĆ
5
Strateško planiranje poslovanja- preduvjet
upravljanja projektima
• Financiranje projekata uvjetovano je postojanjem
strateških dokumenata
• Nuţna usklaĊenost sektorskih i teritorijalnih
strategija na razliĉitim razinama:
- Strategija regionalnog razvoja Republike
Hravatske
- Ţupanijske razvojne strategije
- Razvojne strategije gradova/ općina/ akcijskih
grupa...
5
6
Strateško planiranje poslovanja- preduvjet
upravljanja projektima
• Povezivanje financijskog i strateškog planiranja i na razini JLP(R)S
Izmjenama Zakona o proraĉunu (NN 136/12) omogućeno povezivanje financijskog i strateškog planiranja i za razine JLP(R)S.
• Strategija razvoja grada- teritorijalni obuhvat/ utjecaj grada znatno širi od njegovih administrativnih granica- u strateški okvir ukljuĉiti i gravitacijsko podruĉje grada.
• Teritorijalna povezanost jedinica lokalne samouprave- zajedniĉki projekti- suradnja
7
Strateško planiranje poslovanja- preduvjet
upravljanja projektima
• UtvrĊivanje potreba za financiranjem s lokalnih
razina uzimajući u obzir socio-ekonomske
pokazatelje.
• Potrebno je pravodobno prepoznati potencijalne
razvojne projekte s lokalnih razina.
• Nuţna koordinacija i suradnja na svim razinama
lokalna ::::regionalna:::::::drţavna
(integriran informatiĉki sustav – jedinstvena baza
projekata- podrška)
7
8
Strateško planiranje poslovanja- preduvjet
upravljanja projektima
• Planiranje na razini projekta. UtvrĊivanje
zaduţenja za projekte- od stvaranja ideje,
izrade projekta, realizacije, praćenja provedbe,
utvrĊivanja uĉinaka, mjerenje ostvarenja
zadanih ciljeva .
• U gradu Trogiru je izraĊen Plan ukupnog razvoja
grada Trogira 2007.g.i usvojen na Gradskom
vijeću . U lipnju 2012.g. izraĊena i usvojena
revizija ovog Plana.
9
Strateško planiranje poslovanja- preduvjet
upravljanja projektima
• Koordinacija i suradnja na
svim razinamaZnaĉenje pojmova:
• SDŢ- Splitsko- dalmatinska ţupanija
• RERA- Razvojna agencija SDŢ
• MRRFEU- Ministarstvo reg. razvoja i
fondova EU
• MK- Ministarstvo kulture
• MT- Ministarstvo turizma
• FZZOEU- Fond za zaštitu okoliša i
energetsku uĉinkovitost
• Ostali subjekti s drţavne i regionalne
razine
• Teritorijalni utjecaj grada:
Prije Općina Trogir
Danas Grad Trogir
Općina Seget
Općina Okrug
Općina Marina
Grad Trogir
Korisnici
Ustanove
SDŢ
Trgovaĉka
poduzeća u
vlasništvu
RERA
Drţavna
razina
MT
FZZOEU
MRRFEU
MK
Teritorijalni utjecaj grada
9
10
Revizija procesa strateškog planiranja
• Preporuke za poboljšanje procesa:
- internim uputama propisati aktivnosti procesa strateškog planiranja, ukljuĉivši povezivanje s procesom planiranja proraĉuna , usklaĊenost projekata s ciljevima iz Ţupanijske razvojne strategije, te jasno razgraniĉiti ovlasti i odgovornosti po aktivnostima procesa.
- propisati ulogu proraĉunskih korisnika i aktivnosti u procesu dugoroĉnog planiranja ulaganja u projekte i planiranja proraĉuna/ projekcije, praćenja izvršenja i izvještavanja.
10
11
Upravljanje EU projektima
• Sufinanciranje projekata iz sredstava Europske
unije
• Mogućnosti korištenja EU sredstava za gradove
• Gradovi
- pokretaĉi razvoja
- centri povezivanja, inovativnosti, kreativnosti
- osiguranje teritorijalnog razvoja
- prepoznavanje razvojnih potencijala i potreba
gradova
11
12
Upravljanje EU projektima
Mogućnosti u tekućem financijskom razdoblju(2007- 2013)
OPERATIVNI PROGRAM PODRUČJA
ULAGANJA
PROMET - Ţeljeznica
- Unutarnja plovidba
OKOLIŠ
- Gospodarenje otpadom
- Vodoopskrba i integrirani sustav upravljanja
otpadnim vodama
REGIONALNA KONKURENTNOST
- Razvoj i unaprjeĊenje regionalne infrastrukture i
jaĉanje atraktivnosti regija
- Jaĉanje konkurentnosti hrvatskoga gospodarstva
RAZVOJ LJUDSKIH POTENCIJALA
- Odrţivo zapošljavanje i prilagodljivost radne
snage
- Jaĉanje socijalnog ukljuĉivanja i integracije osoba
u nepovoljnom poloţaju
- UnaprjeĊenje ljudskog kapitala u obrazovanju,
istraţivanju i razvoju;
- Jaĉanje uloge civilnog društva za bolje
upravljanje12
13
Upravljanje EU projektima
Mogućnosti u narednom financijskom razdoblju (2014.- 2020.g.)
11 Tematskih ciljeva 1.Jačanje istraţivanja, tehnološkog razvoja i inovacija
2.Povećanje pristupa, korištenja i kvalitete informacijskih i
komunikacijskih tehnologija
3.Povećanje konkuretnosti malih i srednjih poduzeda (za ERDF),
poljoprivrednog sektora (za EAFRD) te ribarskog i akvakulturnog sektora
(za EMFF)
4.Podupiranje prijelaza na niskougljično gospodarstvo u svim sektorima
5.Promicanje prilagodbe na klimatske promjene, prevencija i upravljanje
rizikom
6.Zaštita okoliša i promicanje učinkovitosti resursa
13
14
Upravljanje EU projektima
Mogućnosti u narednom financijskom razdoblju(2014.- 2020.g.)
11 Tematskih ciljeva 7.Promicanje odrţivog transporta i otklanjanje čepova u ključnim mreţnim
infrastrukturama
8.Promicanje zapošljavanja i podupiranje mobilnosti radne snage
9.Promicanje socijalne uključenosti i borba protiv siromaštva
10.Ulaganje u obrazovanje, vještine i cjeloţivotno učenje
11. Jačanje institucionalnih kapaciteta i učinkovite javne uprave
14
15
Revizija projekata sufinanciranih iz fondova
Europske unije
• Projekti sufinancirani iz EU projekata u gradu Trogiru:
• Programi zajednice – Europa za graĊane (grants)
• Sklopljeni ugovori za svaki projekt
• Nositelj projekata grad Trogir
• Koordinator provedbe programa Ured za udruge Vlade
RH (www.uzuvrh.hr)
• Provodi se posredstvom EACEA-e ( Educational,
Audiovisual and Culture Executive Agency)
• Preduvjet: sklopljeni Sporazumi o prijateljstvu i suradnji
• ( pobratimljeni gradovi)
15
16
Revizija projekata sufinanciranih iz fondova
Europske unije
• Očekivanja od rukovodstva
Uspostava sustavnog odabira projekata
Definiranje kriterija odabira projekata
Izrada sveobuhvatnih analiza troškova za potrebe planiranja izvora financiranja
Uspostava sustava praćenja ostvarenja ciljeva
Osiguranje odrţivosti projekata
Uspostava sustava izvješćivanja koji će
osigurati pravovremenu dostupnost informacije
17
Revizija projekata sufinanciranih iz fondova
Europske unije
• Strateško i godišnje planiranje unutarnjih
revizija
• Temelj za izradu planova:
- postojanje registra procesa- popis svih
potencijalnih revizija -identifikacija od strane
revidiranih subjekata
- informacije od strane rukovodstva
- procjena rizika i izloţenosti ĉimbenicima koji
utjeĉu na poslovanje organizacije
18
Revizija projekata sufinanciranih iz fondova
Europske unije
• Temeljem procjene rizika procesa uzimajući u
obzir procjenu rizika od strane revidiranih
subjekata ( “specijalisti” za procese ĉiji su vlasnici), te
nakon konzultacija sa SHJ i ARPA-om u
Godišnjem planu unutarnje revizije planirana
revizija upravljanja EU projektima
• Uloga unutarnjeg revizora: savjet i podrška
ĉelništvu
19
Revizija projekata sufinanciranih iz fondova
Europske unije
• Temelj za obavljanje Godišnji plan unutarnje revizije
• UtvrĊivanje kontrolnih ciljeva uvaţavajući rizike
• Usuglašavanje uvodne izjave s revidiranim subjektima (poĉetni sastanak)
• Metode: pregled dokumentacije , intervjuiranje, testiranje, analitiĉke metode
• PotvrĊivanje ĉinjeniĉnog stanja s revidiranim subjektima
• Nacrt izvješća, završni sastanak
• Plan djelovanja
19
20
Revizija projekata sufinanciranih iz fondova
Europske unije
• Preporuke za poboljšanje procesa:
Internim uputama propisati aktivnosti procesa upravljanja EU projektima , te jasno razgraniĉiti ovlasti i odgovornosti po aktivnostima procesa. Osigurati dokumentiranost pojedinih aktivnosti radi stvaranja zadovoljavajućeg revizijskog traga.
Omogućiti kontinuirano osposobljavanje radi postizanja potrebne razine struĉnosti za provoĊenje EU projekata od strane djelatnika ukljuĉenih u provedbu projekata, te poznavanje procedure za odobravanje, provedbu, praćenje napretka projekta i izvještavanje.
20
21
Revizija projekata sufinanciranih iz fondova
Europske unije
• Preporuke za poboljšanje procesa:
Izraditi proraĉun projekta koji je temelj za praćenja provedbe projekta te kontinuirano pratiti provedbu projekta.
Pravovremeno planirati u proraĉunu/ projekciji proraĉuna troškove projekta prema prirodnim vrstama na zadanoj razini ekonomske klasifikacije.
21
22
Revizija projekata sufinanciranih iz fondova
Europske unije
• Preporuke za poboljšanje procesa:
Evidentirati troškove projekta u trenutku kada su nastali i u razdoblju na koje se odnose prema prirodnim vrstama troška uz postojanje dostatne prateće dokumentacije kojom se moţe nastale poslovne dogaĊaje vezati uz troškove projekta.
Pisanom procedurom propisati aktivnosti procesa postupanja po nepravilnostima , te postupak povrata nenamjenski utrošenih sredstava.
22
23
Izazovi za unutarnje revizore u budućem
razdoblju
• Uloga unutarnjih revizora – pruţanje savjeta i
podrške ĉelništvu
• Aktivna uloga unutarnjih revizora u izgradnji
sustava pruţanjem savjeta i podrške u
unapreĊenju poslovanja
• Procjena rizika svih procesa (registar procesa)
• Naglašavanje znaĉaja razvijanja koordinacije i
suradnje te strateškog planiranja na svim
razinama sustava (lokalna- regionalna- drţavna)
23
24
Izazovi za unutarnje revizore u budućem
razdoblju
• Obavljanje revizija upravljanja EU projektima u
fazi izgradnje ovog sustava kako bi se
pravovremeno ukazalo na mogućnosti- prilike i
osigurali nuţni preduvjeti ostvarenja sredstava
• MeĊusobna koordinacija i suradnja revizora u
povezanim projektima u svrhu stvaranja dodane
vrijednosti za svoju instituciju i cijeli sustav
24
““Korištenje EU fondova za
poljoprivredu i unutarnja
revizija”
““Korištenje EU fondova za
poljoprivredu i unutarnja
revizija”
Vesna Matijašević
Agencija za plaćanja u poljoprivredi,
ribarstvu i ruralnom razvoju
Vesna Matijašević
Agencija za plaćanja u poljoprivredi,
ribarstvu i ruralnom razvoju
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA E E –– Interna revizija EU fondovaInterna revizija EU fondova
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Fondovi EU za poljoprivredu
• ZPP i EU legislativa
• Agencija za plaćanja i funkcija UR
• Smjernice EK – provedba ZPP i UR Agencije
• UR – dio sustava unutarnjih kontrola
2
Fondovi EU namijenjeni poljoprivredi i
ruralnom razvoju
Politike EU iznesene su kroz sedmogodišnja
programska razdoblja
Financiranje iz sredstava EU za RH:
Programsko razdoblje 2007-2013
Programsko razdoblje 2014-2020
3
Fondovi EU namijenjeni poljoprivredi i
ruralnom razvoju
Programsko razdoblje 2007-2013 :
pred-pristupni fondovi SAPARD i IPARD
(ruralni razvoj)
2013 – EAGF za izravna plaćanja i mjere
zajedničke organizacije tržišta (ZOT)
Programsko razdoblje 2014 – 2020:
EAGF za izravna plaćanja i mjere ZOT-a
EAFRD za ruralni razvoj
4
Rezultati pristupnih pregovora u
poglavlju 11 - Poljoprivreda
Raspoloživa sredstva za RH:
IZRAVNA PLAĆANJA (EAGF fond)
visina omotnice: 373 mil. EUR
dodatna omotnica za minirano zemljište: 9,6
mil. EUR
dodatna vinska omotnica: 10,8 mil. EUR
(doprinos EU od 25% u 2013. do 100% u 2022.)
RURALNI RAZVOJ (EAFRD fond)
visina omotnice: 333 mil. EUR 5
Fondovi EU namijenjeni poljoprivredi i
ruralnom razvoju 2014 - 2020
Primjena zajedničke poljoprivredne politike (ZPP)
u skladu s novim pravilima za:
Europski fond za jamstva u poljoprivredi -financira izravna plaćanja i mjere zajedničke
organizacije tržišta (npr. privatno i javno
skladištenje, izvozne naknade)
Europski poljoprivredni fond za ruralni razvoj
Za korištenje sredstava ZPP-a država članica mora
imati akreditiranu agenciju za plaćanja
6
Provedba mjera ZPP-a
Zahtjevno područje glede ispunjavanja
različitih kriterija i EU standarda
Provedba revizija: revizori moraju dobro
poznavati:
EU legislativu
poljoprivredne prakse upravljanja
farmama i standarde (okoliš, klimatske
promjene, sigurnost hrane, javno
zdravstvo, zdravlje životinja, zdravlje bilja,
dobrobit životinja…)
7
Važeća EU legislativa za poljoprivredu
Područje poljoprivrede Broj akata
Općenito 302
Statistika 101
Osnovne odredbe 60
Poljoprivredni strukturni fondovi 172
Poljoprivredne strukture 150
Monetarne mjere 37
Usklađivanje zakona i zdravstvenih mjera 1830
Proizvodi koji podliježu organizaciji tržišta 640
Proizvodi koji ne podliježu organizaciji tržišta 20
Sporazumi sa zemljama nečlanicama 112
UKUPNO 34248
Uspostava Agencije za plaćanja i UR
Pravila definirana Uredbom Komisije (EC)
885/2006
Kriterij praćenje:
Obavezna uspostava funkcije unutarnje
revizije – neovisne jedinice za UR
Obavljanje aktivnosti revizije u skladu s
međunarodnim revizijskim standardima
9
Funkcija UR u Agenciji
Izvještavanje ravnatelju Agencije
Sva značajna područja obuhvaćena u 5 godina
Provjera procedura Agencije:
suglasje s pravilima EU
provjera točnosti, potpunosti i
pravovremenosti računa
10
Smjernice EK
EK izdaje smjernice:
upute za postupanje
pojašnjenja pojedinih odredbi regulativa
ujednačavanje praksi u pojedinim državama
članicama
11
Smjernice EK – provedba ZPP-a - UR
Smjernica br. 2 – akreditacija Agencije za
plaćanja
Smjernica br. 3 – certificirajuća revizija –
strategija revizije
Smjernica br. 4 – izjava o jamstvu
Smjernica br. 5 – model izvješća tijela za
certifikaciju
12
Smjernice EK – provedba ZPP-a - UR
Smjernica br. 2 – u vezi akreditacijskih kriterija,
odgovornosti tijela uključenih u proces
akreditacije, ocjenjivanja sustava unutarnjih
kontrola/ usklađenosti s akreditacijskim
kriterijima i zahtjevima vezanim uz izvještavanje
Tijelo za ovjeravanje (ARPA) procjenjuje funkciju
unutarnje revizije u skladu sa zahtjevom da UR
treba revizijama pokriti sva značajna područja u
razdoblju ne dužem od 5 godina: na temelju
provedenih revizija i strateškog plana
13
Smjernice EK – provedba ZPP-a - UR
Smjernica br. 3 – strategija certificirajuće
revizije
U okviru kontrolnog okružja: procjena
funkcije unutarnje revizije u kontekstu
provedbe aktivnosti praćenja (monitoring via
internal audit)
Tijelo za ovjeravanje (ARPA) se može osloniti
na rad UR uz uvjet poštivanja ISA standarda
610:
oslanjanje na rad UR
14
Smjernice EK – provedba ZPP-a - UR
Smjernica br. 5 – model izvješća tijela za
certifikaciju
Pomoć tijelu za ovjeravanje (ARPA) u
pripremi revizijskog izvješća
Dio izvješća: suglasje s akreditacijskim
kriterijima - uključuje i suglasje s odredbama
koje se odnose na UR: obavljanje posebnih
procjena putem unutarnje revizije
Navodi se i oslanjanje na rad UR (ako je
korišteno)
15
Smjernice EK – provedba ZPP-a - UR
Revizija tijela za ovjeravanje (Smjernica br. 5):
Ukupna procjena sustava unutarnjih kontrola
usmjerena prema:
procjeni usklađenosti s akreditacijskim
kriterijima i
procjeni učinkovitosti sustava unutarnjih
kontrola
Rezultati se navode u matricama razvijenim
za pojedine populacije
16
Smjernice EK – provedba ZPP-a - UR
Smjernica br. 4 – izjava o jamstvu (IOJ) koju
osigurava ravnatelj Agencije
Zadani tekst izjave:
Izjavljujem, na temelju svoje prosudbe i informacija
koje imama na raspolaganju, uključujući, između
ostalog, rezultate rada unutarnje revizije, da …….
……. sam uspostavio sustav koji pruža razumno
uvjerenje o zakonitosti i ispravnosti transakcija,
uključujući i .....,
…… su postupci za dodjeljivanje potpore kontrolirani
i dokumentirani u skladu s pravilima Zajednice ……
17
UR – dio sustava unutarnjih kontrola
IOJ se temelji na:
učinkovitom nadzoru uspostavljenog sustava
upravljanja i kontrole
Rezultatima provedenih revizija
IOJ se ne može temeljiti na rezultatima rada
ARPA-e, ali
ako su tijekom revizije ARPA-e utvrđeni
nedostaci za koje su poduzete korektivne
aktivnosti, ravnatelj ih može uzeti u obzir
18
UR – dio sustava unutarnjih kontrola
Nedostaci utvrđeni provedbom unutarnjih
revizija:
Rukovodstvo poduzelo korektivne aktivnosti
prije dolaska revizora EK = sustav unutarnjih
kontrola djelotvoran - nema financijskih
korekcija
Rukovodstvo nije poduzelo korektivne
aktivnosti prije dolaska revizora EK – državi
se određuju financijske korekcije
19
Financijske korekcije provedene u 2011.
20
mil. EUR %
Poljoprivreda
EAGF 443 24,72
Ruralni razvoj 40 2,23
483 26,95
EAGF nepravilnosti 178 9,93
Ruralni razvoj nepravilnosti i povrati 161 8,98
339 18,92
Kohezijska politika
programsko razdoblje 1994-99 32 1,79
programsko razdoblje 2000-06 432 24,11
programsko razdoblje 2007-13 160 8,93
624 34,82
Ostalo 346 19,31
UKUPNO 1792 100,00
““Procjena rizika prilikom
strateškog planiranja s
osvrtom na procjenu rizika
za programe EU”
““Procjena rizika prilikom
strateškog planiranja s
osvrtom na procjenu rizika
za programe EU”
Sanja Rukavina Batušić
Ministarstvo poljoprivrede
Sanja Rukavina Batušić
Ministarstvo poljoprivrede
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA E E –– Interna revizija EU fondovaInterna revizija EU fondova
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj
1. Važnost strateškog planiranja i procjene rizika za unutarnju reviziju
2. Važnost unutarnje revizije u procesima vezanima uz upravljanje i
korištenje programa EU
3. Proces strateškog planiranja u jedinici za unutarnju reviziju
4. Procjena rizika prilikom strateškog planiranja unutarnje revizije
4.1. Utvrđivanje glavnih rizika u najznačajnijim procesima
4.2. Utvrđivanje glavnih rizika kod funkcionalnih procesa
4.3. Utvrđivanje glavnih rizika kod procesa vezanih uz upravljanje i
korištenje programa EU
4.4. Procjena učinka i vjerojatnosti
5. Rangiranje procesa i aktivnosti prema rizičnosti,
donošenje odluke o prioritetima revidiranja
6. Raspodjela raspoloživih ljudskih resursa
7. Izrada i donošenje strateškog plana unutarnje revizije
Zaključak 2
1. Važnost strateškog planiranja i procjene rizika
za unutarnju reviziju
Važnost strateškog planiranja
• Zakon o sustavu unutarnjih financijskih kontrola u javnom sektoru
(NN 141/06), članak 16.
“Unutarnja revizija pruža podršku korisniku proračuna u ostvarivanju
ciljeva: 1. izradom strateških i godišnjih planova unutarnje
revizije temeljenih na objektivnoj procjeni rizika, te obavljanjem
pojedinačnih unutarnjih revizija u skladu s usvojenim planovima....“
Strateško planiranje je proces kojim se
• određuju ciljevi i prioriteti unutarnje revizije
• donose planovi i odluke o resursima (ljudskim, financijskim, materijalnim)
• planira smjer i budući razvoj unutarnje revizije
Strateški plan
• definira područja revidiranja kako bi se pokrili najznačajniji procesi u
instituciji
• definira potrebne resurse
• donosi se za trogodišnje razdoblje
• odobrava ga čelnik institucije
3
1. Važnost strateškog planiranja i procjene rizika
za unutarnju reviziju (2)
Važnost procjene rizika u strateškom planiranju
Međunarodni standardi unutarnjih revizora (International Standards
for the Professional Practice of Internal Auditing)
• Standard 2010 Planning – donose se planovi bazirani na rizicima
kako bi se definirali prioriteti unutarnje revizije koji su usklađeni s
ciljevima organizacije
• 2010.A1 – Plan pojedinačne revizije mora biti dokumentiran
procjenom rizika koja se provodi barem jednom godišnje.
U ovom procesu se trebaju uzeti u obzir informacije dobivene od
upravljačke strukture
• Procjena rizika nije sama sebi svrhom već služi kao važan element prilikom
strateškog planiranja, dio je procesa strateškog planiranja
• Procjena rizika mora biti usklađena sa strateškim planom institucije tj.
treba reflektirati najznačajnije ciljeve i procese institucije
• Strateški plan i procjena rizika trebaju se ažurirati svake godine 4
2. Važnost unutarnje revizije u procesima vezanima uz
upravljanje i korištenje programa EU
Dužnosti i odgovornosti unutarnje revizije su definirane
• Regulativa Vijeća EC 1605/2002 o proračunu Europske Zajednice - članci
85. i 86.
• Regulativa Komisije EC 2342/2002 o implementaciji regulative
EC 1605/2002 - članci od 109. do 114.
• Regulativa Komisije EC 718/2007 o implementaciji regulative
Vijeća EC 1085/2006 o uspostavi programa IPA:
– čl. 28 govori o funkcijama i dužnostima operativne strukture - među
ostalim se navodi „dužnost osiguravanja unutarnje revizije u svim
tijelima operativne strukture“
– u Akreditacijskim kriterijima - pod točkom 4. Aktivnosti praćenja
(monitoring): (a) “Unutarnja revizija uključujući postupanje s revizijskim
izvješćima i preporukama – omogućiti da se rukovodiocima osigura
neovisna procjena funkcioniranja sustava na nižim razinama. Ovo može
uključivati kontrolu transakcija ali bi trebalo biti fokusirano najviše na
efikasnost i djelotvornost sustava i organizacijskog dizajna”5
2. Važnost unutarnje revizije u procesima vezanima uz
upravljanje i korištenje programa EU (2)
• Zakon o potvrđivanju Okvirnog sporazuma između Vlade RH i Komisije
Europskih zajednica o pravilima za suradnju u svezi financijske pomoći
Europske zajednice Republici Hrvatskoj u provedbi pomoći u okviru
instrumenta pretpristupne pomoći (IPA) (NN MU 10/07):
- Dodatak A: Aktivnosti nadzora (nadzor intervencija) – između ostalog
uključuje unutarnju reviziju uz sastavljanje revizijskih izvješća i preporuka
• Operativni sporazumi - definiraju nadležnosti Operativne strukture, između
ostalog osiguravanje unutarnje revizije svih tijela unutar Operativne
strukture
Programi i projekti financirani sredstvima EU
• Osiguravanje postojanja i funkcioniranja organizacijskog
sustava
• Dobro poznavanje EU i RH regulative, procedura, PRAG…
• Velika financijska sredstva6
3. Proces strateškog planiranja u jedinici za
unutarnju revizijuEfikasna provedba strateškog planiranja i procjene rizika biti će lakša
ukoliko:
» postoji strateški plan institucije
» postoji povezanost posebnih ciljeva iz Strateškog plana s
programima u proračunu institucije
» postoji strategija upravljanja rizicima u instituciji
» korištenje metodologije iz Priručnika za unutarnje revizore
ver. 4.0.
Sukladno Zakonu o proračunu (NN 87/08) čl. 23: Ministarstva i druga
državna tijela na razini razdjela organizacijske klasifikacije izrađuju
strateške planove za trogodišnje razdoblje
• Proračunski korisnici koji nisu dužni izrađivati strateške planove izrađuju
druge strateške dokumente koji će biti osnova unutarnjim revizorima
prilikom strateškog planiranja
• Ukoliko je u instituciji uspostavljeno upravljanje rizicima, ovo je značajan
izvor informacija za unutarnju reviziju i svakako se treba koristiti7
Utvrđivanje misije, vizije i strateških ciljeva
Misija, vizija, strateški ciljevi (opći i posebni) institucije utvrđeni
su u Strateškom planu institucije ili u drugim odgovarajućim
strateškim dokumentima
Ciljevi iz Strateškog plana institucije moraju biti povezani s programima
u proračunu institucije
U idealnom slučaju poseban cilj iz Strateškog plana institucije
jednoznačno je povezan s programom u proračunu
Ukoliko nije jasna veza između posebnog cilja iz Strateškog plana i
programa u proračunu, potrebno je provesti intervjue/sastanke s
odgovornim osobama kako bi se sa sigurnošću doznala veza
između posebnog cilja i programa u proračunu
8
Utvrđivanje programa i značaja programa
• Budući da su resursi ograničeni, unutarnja revizija treba usmjeriti
snage na najznačajnije procese u instituciji
• Potrebno je procijeniti značaj svakog programa (posebnog cilja) za
ostvarivanje strateških ciljeva institucije
• Nakon provođenja ocjene značajnosti korištenjem metodologije iz
Priručnika za unutarnje revizore ver. 4.0. dolazi se do ukupne ocjene
značajnosti za posebni cilj
»» Niska značajnost Niska značajnost >> 19 < 3019 < 30
»» Srednja značajnost Srednja značajnost >> 31 < 4031 < 40
»» Visoka značajnost Visoka značajnost >> 41 < 5041 < 50
»» Vrlo visoka značajnost Vrlo visoka značajnost >> 5151
9
Utvrđivanje programa i značaja programa (2)
• Unutarnji revizori se prilikom bodovanja trebaju služiti svim
dostupnim informacijama i dokumentacijom (proračun institucije,
godišnja izvješća ustrojstvenih jedinica, izvješća vanjskih revizija,
informacije iz Strateškog plana, planovi rada ustrojstvenih
jedinica…)
• Treba se u radu usmjeriti na programe (posebne ciljeve) koji su od
većeg značaja za ostvarenje strateškog cilja institucije
• Ostali programi (posebni ciljevi) koji su srednje značajni ili niže
razine značajnosti mogu se razraditi ukoliko postoji dovoljno
resursa /kapaciteta, te ih se može uključiti za revidiranje
u budućem razdoblju
10
Utvrđivanje programa i značaja programa (3)
NapomenaNapomena
svi funkcionalni procesi (financije, nabava, IT, pravni poslovi…)
imaju visoku razinu značajnosti budući da služe kao potpora
ostvarenju strateških ciljeva institucije
procesi vezani uz upravljanje programima EU imaju visoku
razinu značajnosti te trebaju biti revidirani u skladu sa
regulativom EU i međunarodnim sporazumima RH i EK
• stoga se za ove procese ne provodi ocjenjivanje ukupne
razine značajnosti, već se odmah prelazi na analizu i
utvrđivanje glavnih rizika kako bi se strateškim planom
obuhvatili najrizičniji procesi
11
Utvrđivanje procesa u najznačajnijim programima
Utvrđivanje aktivnosti u funkcionalnim procesima
Poslovni procesi su skupovi aktivnosti koji koristeći resurse dovode
do ostvarenja određenog cilja
Utvrđuju se procesi i aktivnosti za tri područja
i) Posebni ciljevi (programi) iz strateškog plana
ii) Funkcionalni procesi
iii) Procesi vezani uz upravljanje i korištenje programa EU
i) Posebni ciljevi iz strateškog plana
• Posebni cilj iz strateškog plana sadrži način ostvarenja koji je vidljiv kao
stavka u proračunu
• Način ostvarenja je proces tj. skup aktivnosti za koje će se utvrđivati glavni
rizici
ii) Utvrđivanje aktivnosti u funkcionalnim procesima
• Nisu izravno vezani uz ostvarenje najznačajnijih programa i strateških
ciljeva institucije, ali služe kao potporni elementi bez kojih ostvarenje
ciljeva institucije ne bi bilo moguće (financije, IT, nabava…)
12
Utvrđivanje procesa vezanih uz upravljanje i
korištenje programa EU
iii) Utvrđivanje procesa vezanih uz upravljanje i korištenje
programa EU
• Utvrđuju se procesi i aktivnosti koje se provode u instituciji a vezani
su za upravljanje i korištenje programa EU, te se za njih utvrđuju i
procjenjuju rizici
• Utvrđivanje procesa i aktivnosti koji se odvijaju u sustavu upravljanja
programima EU zahtjeva dobro poznavanje
– upravljanja programima EU unutar institucije i sustav korištenja
sredstava iz programa i projekata EU
– strukturu upravljanja unutar cjelokupne operativne strukture
– upravljanje projektnim ciklusom
– nacionalnu regulativu
– regulativu EU 13
Utvrđivanje procesa vezanih uz upravljanje i
korištenje programa EU (2)
Neki procesi vezani uz upravljanje i korištenje programa EU
• upravljanje programom (koordinacija, organizacija i održavanje sastanaka
Odbora za praćenje, upravljanje procesom procjene rizika – risk management,
proces procjene (evaluacije) programa…)
• monitoring (praćanje) operativnog programa / projekata EU
• programiranje (procjena prioriteta, izrada projektne dokumentacije, priprema
natječajne dokumentacije...)
• provođenje projekata financiranih sredstvima EU (kontrola na licu mjesta,
realizacija aktivnosti unutar projekata s ciljem ostvarivanja rezultata projekata,
poštivanje pravila vidljivosti, administrativno upravljanje programom...)
• proces verifikacije i plaćanja u sklopu projekata financiranih sredstvima EU
• koordinacija i komunikacija između svih sudionika u upravljanju i korištenju
programa i projekata EU unutar institucije (uključuje redovite sastanke i
izvješćivanje unutar institucije te unutar cjelokupne operativne strukture)
• proces izvješćivanja (priprema monitoring izvješća, izvješćivanje za potrebe
Odbora za praćenje - SMC i IPA MC, kontrola i odobravanje izvješća
dobavljača)
14
4. Procjena rizika prilikom strateškog planiranja unutarnje
revizije
Koraci prilikom procjene rizika
Procjena učinka
i vjerojatnosti
svakog rizika
Izračun ukupne
rizičnosti za
svaki rizik
Izračun ukupne
razine rizičnosti za
proces
Rangiranje
procesa prema
rizičnosti
Donošenje odluke
o prioritetima
revidiranja
Utvrđivanje glavnih
rizika za
- Procese iz Strateškog plana
- Funkcionalne procese
- Procese vezane uz upravljanje
i korištenje programa EU
4. Procjena rizika prilikom strateškog planiranja
unutarnje revizije (2)
• Procjena rizika započinje utvrđivanjem rizika
U Zakonu o sustavu unutarnjih financijskih kontrola u javnom sektoru (NN
141/06) rizik je mogućnost nastanka događaja koji mogu nepovoljno
utjecati na ostvarenje ciljeva
U interpretaciji međunarodnog standarda 2010 Planning pojašnjen je
koncept inherentnog i rezidualnog rizika
• inherentni rizik – pretpostavka da ne postoje kontrole koje bi ublažile rizik
• rezidualni rizik – rizik koji ostaje nakon što su primijenjene kontrole s ciljem
umanjivanja vjerojatnosti i učinka rizika. Ovo je rizik kojim se upravlja s
postojećim kontrolama
16
4. Procjena rizika prilikom strateškog planiranja
unutarnje revizije (3)
Utvrđivanje i procjena rizika vrši se za tri područja
i. Procesi iz Strateškog plana
ii. Funkcionalni procesi
iii. Procesi vezani uz upravljanje i korištenje programa EU
Rizike je potrebno jasno opisati, točnije navesti uzrok rizika
(npr. nedovoljna stručnost) i potencijalne posljedice ukoliko
se rizik pojavi (npr. neće se realizirati aktivnost ili će doći do
kašnjenja)
17
4.1. Utvrđivanje glavnih rizika u najznačajnijim
procesima
• Svi poslovni procesi uključuju određeni stupanj rizika
(neobavljanje aktivnosti na vrijeme, ili su odrađene aktivnosti
loše kvalitete...)
• Prilikom definiranja rizika potrebno je:
– služiti se svim dostupnim dokumentima i informacijama
– koristiti revizorske tehnike – sastanci s odgovornim osobama,
intervjui, upitnici, promatranje, zajedničke radionice
(brainstorming)
– unutarnji revizori mogu koristiti registar rizika institucije* ukoliko
je uspostavljen
* sukladno Smjernicama za provedbu procesa upravljanja rizicima kod korisnika
proračuna (rujan 2009. g.)
18
4.1. Utvrđivanje glavnih rizika u najznačajnijim procesima
4.2. Utvrđivanje glavnih rizika kod funkcionalnih procesa
Kategorije rizika Pojašnjenje kategorije
Reputacijski sve što može nanijeti štetu reputaciji institucije i poljuljati povjerenje javnosti
Financijski sve što može dovesti do manje količine raspoloživih sredstava potrebnih za ostvarenje cilja;
gubitak ili zlouporaba sredstava putem prijevare ili nepravilnosti
Pružanje usluga Nemogućnost odgovora na izmijenjene okolnosti ili nemogućnost upravljanja okolnostima na
način koji sprječava ili umanjuje nepoželjne učinke na pružanje javnih usluga; potražnja za
uslugama viša od očekivane što zauzvrat uzrokuje neispunjenje očekivanja od strane javnosti
Politički politička nestabilnost
Ljudski resursi Neadekvatne vještine ili resursi za pružanje usluga na prihvatljiv način, kompetentnost
zaposlenika (nekompetentno osoblje, visoka razina fluktuacije, nedostatna edukacija
zaposlenika...)
Operativni Nedokumentiranost procedura rada (nepostojanje internih akata i uputa, nejasne ovlasti i
odgovornosti, neažurirane baze podataka...), neadekvatni rezervni planovi za održavanje
kontinuiteta usluge
Informatička
tehnologija
Neuvođenje inovacija što može rezultirati pružanjem usluga ispod standarda ostalih davatelja
usluga iz javnog i privatnog sektora; stupanj automatizacije poslova (ne postoji adekvatan
računalni sustav, računalni sustav nije umrežen u cijeloj instituciji, nepouzdanost IT sustava)
Upravljanje
imovinom
Propusti u smislu zaštite od neprikladnog ili nezakonitog poslovanja, rasipanja ili loše
rentabilnosti
4.3. Utvrđivanje glavnih rizika kod procesa vezanih uz
upravljanje i korištenje programa EU
Prilikom definiranja rizika vezanih uz programe EU potrebno je obratiti pažnju naPrilikom definiranja rizika vezanih uz programe EU potrebno je obratiti pažnju na
– regulativa EU i RH te provedbeni dokumenti u kojima su propisane dužnosti i
odgovornosti unutarnje revizije (IPA regulativa, Operativni sporazum, Provedbeni
sporazumi, Procedure rada - Manual of Procedures)
– izvješća vanjskih revizija
– informacije vezane uz tijek korištenja projekata i programa EU
– eventualne poteškoće u provedbi projekata i programa EU
– bilješke sa sastanaka zajedničkog nadzornog odbora i sektorskih nadzornih odbora
– registar rizika vezan uz upravljanje i provedbu programa EU*
– bilješke sa sastanaka Vijeća za upravljanje rizicima (Risk Management Panel) –na
razini pojedinog operativnog programa/komponente okuplja sve sudionike u
upravljanju rizicima
– zahtjevi za obavljanje revizija od strane Nacionalnog dužnosnika za ovjeravanje
– registar nepravilnosti vezanih uz programe/projekte EU
– Izvješća o praćenju provedbe projekata (Monitoring reports)
* U Strategiji upravljanja rizicima u sustavu upravljanja i provedbe programa EU za razdoblje
2010.-2012. navedeno je kako unutarnja revizija treba imati pristup registrima rizika temeljem
kojih će dobiti kvalitetne informacije koje može koristiti kod izrade planova rada
20
4.3. Utvrđivanje glavnih rizika kod procesa vezanih uz
upravljanje i korištenje programa EU (2)
Rizici se mogu utvrđivati na razini
• programa (upravljanja programom)
• projekata (upravljanja i korištenja projekata)
ovisno o ulozi institucije u operativnom programu (korisnik/upravljačko
tijelo...) i odluci unutarnje revizije
Kriteriji koje treba uzeti u obzir prilikom procjene rizika
• Alocirana sredstava u programu
• Financijska vrijednost projekta
• Realizirana plaćanja i kontrole na licu mjesta
• Raznovrsnost projekata/realizirani tipovi ugovora u programu (usluge,
oprema, radovi)
• Dislociranost krajnjeg korisnika projekata
• Poteškoće u provedbi programa i projekata
• Evidentirane nepravilnosti ili prijevare ili sumnje na nepravilnosti ili prijevare
• Dostatnost kvalificiranih kadrova
• Održivost rezultata projekata i ostvarivanje ciljeva programa21
4.3. Utvrđivanje glavnih rizika kod procesa vezanih uz
upravljanje i korištenje programa EU (3)
Primjeri rizika povezanih sa programima i projektima financiranim
sredstvima EU
• nejasna podjela ovlasti i odgovornosti unutar operativne strukture
(nepostojanje imenovanja, nepostojanje plana zamjene...)
• Neefikasno upravljanje programom zbog nekvalificiranog / neiskusnog
kadra dovodi do smanjenog iskorištenja alociranih sredstava
• Nedostatne i nejasne procedure rada dovode do kašnjenja u obavljanju
aktivnosti i grešaka prilikom administrativnog upravljanja programom
• Velika fluktuacija stručnog kadra zbog neadekvatnih radnih uvjeta dovodi do
nedjelotvornog upravljanja programom EU
• Nedovoljan stupanj iskorištenosti alociranih sredstava zbog neefikasne
komunikacije tijela operativne strukture i potencijalnih krajnjih
korisnika/aplikanata (nedostatne, nepravovremene i nekvalitetne
informativne kampanje i dostupnost relevantnih informacija potencijalnim
korisnicima)
• relevantnost projekta u odnosu na ostvarenje strateških ciljeva institucije je
upitna ili nedostatna (financiraju se neprioritetni projekti)
22
4.3. Utvrđivanje glavnih rizika kod procesa vezanih uz
upravljanje i korištenje programa EU (4)
Primjeri rizika povezanih sa programima i projektima financiranim
sredstvima EU (nastavak)
• Nepoštivanje rokova za pripremu natječajne dokumentacije dovodi do
malog postotka ugovorenih projekata
• neostvarivanje rezultata projekta zbog neefikasne komunikacije između svih
sudionika u projektu
• zbog nepostojanja jasnih i detaljnih procedura verifikacija zahtjeva za
plaćanjem i isplata sredstava putem projekata EU nije ispravna, točna i
pravovremena
• kontrole na licu mjesta se ne provode ili se provode nestručno zbog
nedostatka stručnog kadra za njihovo provođenje (posebno vezano uz
ugovore o izvođenju radova)
• nije osigurano adekvatno i pravovremeno praćenje (monitoring) programa /
projekata što dovodi do netočnog ili nedovoljnog izvješćivanja Odbora za
praćenje
• ne provodi se procjena (evaluacija) programa zbog čega ne postoje
relevantne informacije o stupnju realizacije ciljeva programa
• nije osigurana održivost rezultata projekta što umanjuje relevantnost
projekta u odnosu na ciljeve operativnog programa23
4.3. Utvrđivanje glavnih rizika kod procesa vezanih uz
upravljanje i korištenje programa EU (5)
Primjer: Tijelo nadležno za Operativni program
24
Proces Rizici
Koordinacija tijela
operativne strukture
Nejasna podjela ovlasti i odgovornosti unutar
operativne strukture
Nedostatne i nejasne procedure rada dovode
do kašnjenja u obavljanju aktivnosti i grešaka
prilikom administrativnog upravljanja
programom
Velika fluktuacija stručnog kadra zbog
neadekvatnih radnih uvjeta dovodi do
nedjelotvornog upravljanja programom EU
4.4. Procjena učinka i vjerojatnosti
• Procjena utvrđenih rizika radi se s ciljem rangiranja rizika kako bi se
utvrdili prioriteti i donijela odluka o rizicima na koje se treba usmjeriti
• Na taj način dolazi se do prioritetnih procesa za revidiranje
Rizici se procjenjuju putem ocjenjivanja (bodovanja) od 1 do 5
• učinka - procjena značajnosti posljedice ako se rizik ostvari.
Procjenjuje se kakve bi mogle biti posljedice ako se rizik ostvari
• vjerojatnosti – procjena vjerojatnosti nastanka (ostvarivanja) nekog
događaja
ocjena 1 učinak: procjenjujemo da će događaj imati malen učinak
vjerojatnost: nastanak događaja nije vjerojatan
ocjena 5 učinak: procjenjujemo da će događaj imati ozbiljan učinak na
instituciju
vjerojatnost: očekuje se javljanje događaja u većini
slučajeva 25
4.4. Procjena učinka i vjerojatnosti (2)
• Umnožak ocjene učinka i vjerojatnosti daje razinu konkretnog rizika
• Nakon umnoška vjerojatnosti i učinka svakog pojedinog rizika,
potrebno je zbrojiti umnoške svih rizika za pojedini proces kako bi se
dobila ukupna razina rizičnosti za pojedini proces
• Ukoliko je u procjenu učinka i vjerojatnosti
uključeno više revizora, treba se uskladiti
pristup kako bi njihova percepcija i kriteriji
bili usklađeni
• Važno je naglasiti kako se procjena rizika (učinka i vjerojatnosti)
treba raditi upotrebom sve dostupne dokumentacije i informacija
26
4.4. Procjena učinka i vjerojatnosti (3)
Primjer: Procjena rizika za procese vezane uz programe EUNa razini Tijela nadležnog za Operativni program
27
Proces Rizici Razina rizičnosti
Učinak Vjerojatnost Ukupno za
rizik
Ukupno za
proces
Administrativno
upravljanje
programom
nejasna podjela
ovlasti i
odgovornosti
unutar operativne
strukture
5 1 5
Nedostatne i
nejasne procedure
rada dovode do
kašnjenja u
obavljanju
aktivnosti
3 2 6
Velika fluktuacija
stručnog kadra
zbog neadekvatnih
radnih uvjeta
dovodi do
nedjelotvornog
upravljanja
programom EU
4 4 16
Ukupna razina rizičnosti za proces 2727
5. Rangiranje procesa i aktivnosti prema rizičnosti,
donošenje odluke o prioritetima revidiranja
Na osnovu ukupne razine rizičnosti rangiraju se procesi za tri područja
i. procesi u najznačajnijim posebnim ciljevima (programima) iz
Strateškog plana institucije
ii. funkcionalni procesi
iii. procesi vezani uz upravljanje i korištenje programa EU
• Na taj način se određuju procesi koji bi trebali biti uključeni u
Strateški plan unutarnje revizije
• Područja i procesi koji imaju najviši rizik imaju prioritet u revidiranju
točnije trebalo bi ih uključiti u Godišnji plan unutarnje revizije
• Treba uzeti u obzir i ostale relevantne pokazatelje prilikom
određivanja područja i procesa revidiranja
– Neprihvatljiv rizik za koji je potrebno djelovanje upravljačke strukture.
Ovo su područja s minimalnim ključnim kontrolama ili faktorima za
ublažavanje za koju upravljačka razina želi trenutno provođenje revizije
– Kontrolni sustavi na koje se institucija najviše oslanja
– Područja u kojima je inherentni rizik velik 28
6. Raspodjela raspoloživih ljudskih resursa
Unutarnji revizor treba pripremiti Strateški plan za sljedeće tri godine s
prijedlogom područja revidiranja u kojima će se obaviti revizija
Pri tome osim procjene najznačajnijih procesa za revidiranje treba
obratiti pažnju na dostatnost resursa za provođenje revizija
Revizorski resursi
– vremenski
– financijski
– ljudski
Resursi su ograničeni pa je neophodno utvrditi prioritete u radu kako bi
se resursi najefikasnije iskoristili
29
7. Izrada i donošenje strateškog plana unutarnje
revizije
• Temeljem rangiranja procesa po značajnosti i provođenjem procjene
rizika određeni su procesi koji bi trebali biti uključeni u Strateški plan
unutarnje revizije
No, prilikom izrade Strateškog plana unutarnje revizije tj. definiranja
procesa koji će se revidirati potrebno je obratiti pažnju na
– prioritete rukovodstva za procesima koje treba revidirati
– zahtjeve Nacionalnog dužnosnika za ovjeravanje za revizijama iz
područja upravljanja i korištenja programa EU
– nastojanje da se revizijom obuhvati cjelokupno poslovanje institucije
(uključiti procese koji još nikad nisu revidirani)
– najznačajnije promjene u poslovanju, sustavima ili kontrolama
– vrijeme koje je proteklo od prethodne revizije procesa
– potrebu da se koordinira rad revizije s drugim institucijama (koje
obavljaju vanjsku reviziju) kako bi unutarnja revizija upotpunila njihov
rad i kako se posao ne bi duplicirao
– potrebne i raspoložive resurse 30
Zaključak
• Unutarnji revizori moraju koristiti vlastitu prosudbu pri procjeni
značajnosti programa, utvrđivanju rizika i pri odlučivanju kojim područjima
dati prioritet za reviziju
• Značajnost programa se određuje za programe (posebne ciljeve) iz
Strateškog plana
• Značajnost programa se ne određuje za funkcionalne procese te procese
vezane uz programe EU. Za njih odmah započinje faza procjene rizika
• Procjena rizika nije svrha sama sebi već služi kao alat/tehnika za
donošenje odluke o prioritetima za revidiranje
• Rezultat procesa strateškog planiranja i procjene rizika trebao bi biti
dokument sa rangiranim svim programima (posebnim ciljevima), procesima
i aktivnostima institucije te s njima povezanim i rangiranim rizicima
• Ažuriranje poslovnih procesa i njihove značajnosti te procjena rizika trebalo
bi se obavljati barem jednom godišnje
• Revidiranjem odabranih procesa definirati će se preporuke.
Provođenjem danih preporuka utjecati će se na smanjenje učinka i
vjerojatnosti nastanka rizika31
Korištena literatura
• Zakon o sustavu unutarnjih financijskih kontrola u javnom sektoru (NN
141/06)
• Zakon o proračunu (NN 87/08)
• Regulativa Vijeća EC 1605/2002 o proračunu Europske Zajednice
• Regulativa Komisije EC 2342/2002 o implementaciji regulative EC
1605/2002
• Regulativa Komisije EC 718/2007 o implementaciji regulative Vijeća EC
1085/2006 o uspostavi programa IPA
• Smjernice za provedbu procesa upravljanja rizicima kod korisnika
proračuna (rujan 2009. g.)
• Strategija upravljanja rizicima u sustavu upravljanja i provedbe programa
EU za razdoblje 2010.-2012. (7. 10. 2010.; ovjerio Nacionalni dužnosnik za
ovjeravanje)
• Priručnik za unutarnje revizore ver. 4.0
33
KORPORATIVNO KORPORATIVNO
UPRAVLJANJE I UPRAVLJANJE I
INTERNA REVIZIJAINTERNA REVIZIJA
KORPORATIVNO KORPORATIVNO
UPRAVLJANJE I UPRAVLJANJE I
INTERNA REVIZIJAINTERNA REVIZIJA
Tatjana Habjan, univ.dipl.ekon.
Dodana vrednost s.p.
i
Andreja Rahne, mag.posl.ved
Sava Re, d.d.
Tatjana Habjan, univ.dipl.ekon.
Dodana vrednost s.p.
i
Andreja Rahne, mag.posl.ved
Sava Re, d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA F F –– Korporativno upravljanjeKorporativno upravljanje
“Očekivanja od interne “Očekivanja od interne revizije ulaskom u Europsku uniju”, revizije ulaskom u Europsku uniju”, Zadar, travnja 2013.Zadar, travnja 2013.
2
SADRŽAJ:
• Uvod
• Stub Nadzorni odbor / Revizorski odbor, vanjska
revizija
• Stub Interna revizija
• Stub Uprava
• Pregled odgovornost za kontrole
• Zaključak
3
Uvjeti za uspješan rad i učinkovit
profesionalni rad
• Neovisnost - dovodi do kompetentnosti
• Odgovornost - dovodi do povjerenja
• Suradnja - dovodi do bolje kvalitete
• Komunikacija - dovodi do učinkovitosti
• Znanje - više kompetentnosti, kvalitete,
učinkovitosti
• Svijest - pogled društvene odgovornosti
• Etika – povjerenje
• Ravnoteža između povjerenja i skepse
UčinkovitoUčinkovito
UpravljanjeUpravljanje
Korporativno upravljanje – 4 stuba
Korporativno upravljanje – 4 stuba
Risk management
Management board
Board
(Supervisory, BoD)
Internal Auditing
Control Governance
supervise
responsible
Assurance, consulting
Assurance, consulting
Assurance, consulting
6
Korporativno upravljanje – 4 stuba
7
Odgovornost za upravljanja na području
prevara – malo drugačija 4 stuba
8
Koncept upravljanja OECD
• Razdvajanje vlasništva i kontrole nadzora
• Mjere za zaštitu okoliša
• Sprječavanje korupcije
• Etička pitanja
9
Dobro korporativno upravljanje
• Odgovorno upravljanje/rukovanje
• Ciljni stav
• Osiguravanje transparentnosti (jasnoća,
transparentnost)
• Iskrenost / Etičnost
• Društvena odgovornost
10
Društvena odgovornost
Odgovornost prema zakonu
-poštuj zakone
Etička odgovornost
-budi etički
Ekonomska odgovornost
-rentabilnost/dobit
Filantropski
-budi dobar
11
12
SADRŽAJ:
• Uvod
• Stub Nadzorni odbor / Revizorski odbor, vanjska
revizija
• Stub Interna revizija
• Stub Uprava
• Pregled odgovornost za kontrole
• Zaključak
13
Uloga nadzornog odbora
• Provodi “glas iz vrha”
• Obuhvaća najbolje prakse upravljanja
• Prati organizacijske aktivnosti
• Nadležnost i odgovornost za
– Uspješno upravljanje rizikom
– Određuje razinu prihvatljivosti rizika
14
Odgovornost NO/RO – interna revizija
osigurati
• da godišnji program rada interne revizije uključuje ocjenu
rukovodstva u vezi s politikama i procedurama (procjena
upravljanja),
• da se opseg interne revizije proširi na različite vrste
revizija u odnosu do rizika: financijskih, operativnih,
usklađenosti, etike i prijevara, IT sustava i rizika vanjske
revizije,
• RO također treba razmotriti organizacijsku strukturu i
sustav odjela interne revizije (adekvatnost resursa:
vreme, financije, stručnost kadra)
15
Odgovornost NO/RO – vanjska revizija
• izravno povezati termine/plan vanjske revizije i
djelovanje RO
• uključiti pregled i raspravu o bitnim pitanjima
• osigurati nezavisnost (izjava)
• proučiti revizijske naknade (mjerilo: cjena?)
• Razpravljati o razlozima za odstupanja od plana revizije,
značajna otkrića riješenih i neriješenih pitanja,
neslaganja s upravom
• pregledati primijenjenih računovodstvenih politika (npr.
sukladnost s industrijom i alternative prakse
računovodstvenih načela i dosljednosti u prirodi) i bilo
kakve promjene i računovodstvenim načelima, s
utjecajem istih.
16
Područje vrednovanja rada NO/RO
• Sustav nadzornog odbora, ciljevi i dinamika
• Funkcije Komisije odbora (revizorski odbor)
• Priručnik nadzornog odbora
• Svijest, sledenje kodeksima
• Obrazovanje nadzornog odbora
• Suradnja s drugim stupova korporativnog
upravljanja
• Rukovanje promjenamaPrimjer: samoprocjena NO, samoprocjena RO, samoprocjena
uprave
17
SADRŽAJ:
• Uvod
• Stub Nadzorni odbor / Revizorski odbor, vanjska
revizija
• Stub Interna revizija
• Stub Uprava
• Pregled odgovornost za kontrole
• Zaključak
18
Odgovornost internih revizora
• Neovisnost i objektivnost
• Sposobnost promicanja menadžmenta, uprave,
nadzorni odbor
• Znanje, profesionalnost, marljivost: procjena ,
evaluacija rizika prijevare
• Kontrola sustava internih kontrola
19
2060-izvještavanje odboru i višem
menadžmentu
• Glavni revizor povremeno treba podnijeti
izvješće odboru ili višem menedžmentu o svrsi
IR, ovlastima, odgovornostima i o izvedbi u
odnosu na plan.
• Izvješće također treba da uključuje značajne
izloženosti riziku (također riziku prijevara) i
pitanja kontrole, pitanja korporativnog
upravljanja, te ostala pitanja koja traži ili
zahtjeva odbor ili viši menadžment
20
2110-korporativno upravljanje
• IR mora procijeniti i iznijeti odgovarajuće
preporuke za poboljšanje procesa korporativnog
upravljanja postizanju slijedećih ciljeva
– Promicanje odgovarajuće etike i vrijednosti
unutar organizacije
– Osiguravanja učinkovitog upravljanja
odgovornosti unutar org.
– Prenošenja informacija o riziku i kontroli
odgovarajućim dijelovima org.
– Koordiniranja aktivnosti i prenošenja informacija
unutar odbora, vanjskih i IR i menadžmenta
21
Zadatci internih revizora
• Doprinos poboljšanju upravljanja
– stalni zadatak
• Neformalno savjetovanje,
edukacija, upozorenja
• Promicati promjenu u pravom
smjeru
• Stjecanje pozicije uprave i NO
na očekivanja
• Provjeru internih kontrola i
usklađenost s etičkim normama,
vrijednostima, komunikacija
22
Zadatci internih revizora - nastavak
• Revizija upravljanja – planirati obavljanje
revizije, razgovarati s predstavnicima "stupa“
• poticati razvoj upravljanja,
• stjecanje novih potrebnih znanja
• stalna komunikacija, prisutnost, dodajući
vrijednost (komunikacija, diplomacija, ego)
• unutarnji marketing
23
SADRŽAJ:
• Uvod
• Stub Nadzorni odbor / Revizorski odbor, vanjska
revizija
• Stub Interna revizija
• Stub Uprava
• Pregled odgovornost za kontrole
• Zaključak
24
Uloga managementa/uprave:
Izgradnja
• strategije
(jedan čamac, cilj, više sudeonika/ veslača u tom čamcu)
• učinkovitog organizacijskog sustava
(komunikacija,saradnja, bez silosa – povezanost procesa)
• upravljanje rizika i prilika
(fokusiranje na ono, što doprinosi – kratkoručno i
dugoročno)
25
Odgovornost uprave
Ako nema predanost i odlučnosti povući kazne,
konsekvence protiv onih koji se ponašaju
neodgovorno, ne poštujo zakone, djeluju
rasipno, krivo, neskladno sa propisanim
(smernicami, intrenim pravilima, kodeksa) onda
nikome ne koristi ako imaš to odgovornost samo
na papiru
26
Naknade članovima uprave
• fiksne naknade
• varijabilne naknade
27
Imenovanje uprave
• NO u pravilima zapošljavanja ili bilo kojem drugim dokumentom
definira postupak za izbor članova
• odabrati nadležnu/kompetentnu upravu – članove, koji su
kvalificirani i stručni
• Povjerenje je osnova – ako toga nema, kontrola je teško izvedljiva ili
nedjelotvorna
• Transparentnost odnosa - ekonomske i osobne veze s tvrtkom -
kako bi se osiguralo da se donošenje odluka za dobrobit tvrdke
• veličina uprave ovisi o veličini i složenosti poslovanja
• komplementarnost i raznolikost vještina svakog pojedinog člana
• odgovornosti članova i način surađivanja uređuju se Poslovnikom o
radu uprave
• Uprava se procjeni – pojedinačno i u skupini
Primjer kompetenčnog modela
Kompetence Ponder Naziv kompetence
A 10 % Formalna mjerila
B 20 % Stručnost
C 20 % Strateške kompetence
D 10 % Operativno-vodstvene kompetence
E 10 % Osebnostne/ličnost kompetence
F 10 % Organizacijske kompetence
G 20 % Specifične kompetence – poznavanje
industrije, vizija razvoja
Skupaj 100 %
28
29
SADRŽAJ:
• Uvod
• Stub Nadzorni odbor / Revizorski odbor, vanjska
revizija
• Stub Interna revizija
• Stub Uprava
• Pregled odgovornost za kontrole
• Zaključak
30
Moderno uređenje sustava kontrole –
Tri linije obrane
31
SADRŽAJ:
• Uvod
• Stub Nadzorni odbor / Revizorski odbor, vanjska
revizija
• Stub Interna revizija
• Stub Uprava
• Pregled odgovornost za kontrole
• Zaključak
32
Zaključak – dobro upravljanje
• pravilno organiziran i funkcioniranje no
• odgovarajuća znanja i iskustvo od članova no
• dovoljne ovlasti i resursi no
• razumijevanje menadžmenta/uprave i no
• jasna strategija organizacije
• odgovarajući organizacijski ustroj
• politika upravljanja za ključne aktivnosti
• jasna razina nadležnosti i odgovornosti
• interakcija u radu upravnih tijela
• nadzor menadžmenta, interne kontrole
• nagrađivanje u skladu s etikom i strategiju
• praćenje postizanja ciljeva i pravovremene aktivnosti
33
Zaključak – dobro upravljanje
• Etička kultura, vrijednosti, podržavaju okoliš
• Uspješna IR, neovisnost, resursi, opseg rada
• Sustav upravljanja rizicima
• Uspješna vanjska revizija, neovisnost, resursi,
opseg
• Otkriti ključne informacije zainteresiranim
• Otkriti procese upravljanja (kodeksi)
• Kontrola transakcija s povezanim stranama
34
Zahvaljujem na pažnji!
Tatjana Habjan
E-mail: [email protected]
Andreja Rahne
E-mail: [email protected]
Web: http://www.sava-re.si
KORPORATIVNA PRAVILAKORPORATIVNA PRAVILA
I I
INTERNA REVIZIJAINTERNA REVIZIJA
KORPORATIVNA PRAVILAKORPORATIVNA PRAVILA
I I
INTERNA REVIZIJAINTERNA REVIZIJA
mr. Stanko Tokić, dipl.oec. pred. HIIR-amr. Stanko Tokić, dipl.oec. pred. HIIR-a
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA F F –– Korporativno upravljanjeKorporativno upravljanje
“Očekivanja od “Očekivanja od interne revizije ulaskom u interne revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
2
SADRŢAJ:
Uvodne napomeneUvodne napomene
1.1. Korporativno upravljanjeKorporativno upravljanje
2.2. Korporativna pravila Korporativna pravila
3.3. Razvoj korporativnih pravilaRazvoj korporativnih pravila
4.4. Korporativna pravila i interna revizijaKorporativna pravila i interna revizija
ZAKLJUĈNA RAZMATRANJAZAKLJUĈNA RAZMATRANJA
UVODNE NAPOMENE
3
KorporativnaKorporativna pravilapravila susu jednojedno odod izvorištaizvorišta zaza definiranjedefiniranje pravilapravila radarada ii
interneinterne revizijerevizije
EUEU usklaĊujeusklaĊuje korporativnakorporativna pravilapravila ii pravilapravila interneinterne revizijerevizije nana razinirazini EuropeEurope
ss anglosaksonskimanglosaksonskim pravilimapravilima
EUEU jeje uu proteklihproteklih 1010--taktak godinagodina donijeladonijela viševiše dokumenatadokumenata kojikoji definirajudefiniraju
korporativnakorporativna pravilapravila kojakoja imajuimaju utjecajutjecaj nana radrad interneinterne revizijerevizije
ECIIAECIIA jeje pokrenulapokrenula inicijativuinicijativu zaza definiranjedefiniranje standardastandarda interneinterne revizijerevizije kojikoji bibi
sese primjenjivaliprimjenjivali uu javnomjavnom sektorusektoru
DonošenjeDonošenje pravilapravila ii uvoĊenjeuvoĊenje redareda uu javnomjavnom sektorusektoru zahtjevazahtjeva velikuveliku
aktivnostaktivnost EUEU uu podruĉjupodruĉju EUEU zakonodavstvazakonodavstva
InterniInterni revizorirevizori ii ĉlanoviĉlanovi NO/uNO/upraveprave svesve viševiše susu svjesnsvjesnii potrebepotrebe utvrĊivanjautvrĊivanja
jedinstvenihjedinstvenih korporativnihkorporativnih pravilapravila
4
Korporativno upravljanje (engl. Corporate Korporativno upravljanje (engl. Corporate GGovernance) je znaĉajno za sve overnance) je znaĉajno za sve organizacije u javnom i privatnom sektoruorganizacije u javnom i privatnom sektoru
Korporativno Korporativno upravljanje je široki termin koji obuhvaća poslovnu etiku, upravljanje je široki termin koji obuhvaća poslovnu etiku, korporativnu društvenu odgovornost, korporativnu društvenu odgovornost, dobru poslovnu praksu, dobru poslovnu praksu, vodstvo, vodstvo, usmjeravanje, strateški menadţment, kontrolne aktivnosti i upravljanje usmjeravanje, strateški menadţment, kontrolne aktivnosti i upravljanje rizicimarizicima
Opisuje metode i sisteme koji se koriste pri upravljanju organizacija svih Opisuje metode i sisteme koji se koriste pri upravljanju organizacija svih tipova i veliĉina, javnih i neprofitnih kao i poduzeća iz privatnog sektora i tipova i veliĉina, javnih i neprofitnih kao i poduzeća iz privatnog sektora i partnerskih poduzećapartnerskih poduzeća
OdreĊuje pravila i procedure za donošenje odluka iz podruĉja interesa OdreĊuje pravila i procedure za donošenje odluka iz podruĉja interesa korporacije, ukljuĉujući i strukturu kroz koju se korporacijski ciljevi postavljajukorporacije, ukljuĉujući i strukturu kroz koju se korporacijski ciljevi postavljaju
Pruţa naĉine dostizanja tih ciljeva kao i nadgledanje uspješnostiPruţa naĉine dostizanja tih ciljeva kao i nadgledanje uspješnosti
Poznata su pravila Vel. Britanije koja je objavila Londonska burzaPoznata su pravila Vel. Britanije koja je objavila Londonska burza
Kodeks korporativnog upravljanja u Vel.Britaniji definiraKodeks korporativnog upravljanja u Vel.Britaniji definira::
ssve ve kompanije kompanije u Vel. Britaniji trebaju u Vel. Britaniji trebaju uspostaviti uspostaviti odgovarajući sustav odgovarajući sustav
korporativnog korporativnog upravljanja, ukoliko to ne bi uĉinile, upravljanja, ukoliko to ne bi uĉinile, moraju dati moraju dati objašnjenje objašnjenje
u svom godišnjem u svom godišnjem izvješću izvješću
ovakav ovakav naĉin uspostave naĉin uspostave korporativnih pravila i upravljanja poznat je kaokorporativnih pravila i upravljanja poznat je kao
naĉelo ili sintagma naĉelo ili sintagma ““uskladi se ili objasniuskladi se ili objasni” ”
KORPORATIVNO UPRAVLJANJE KORPORATIVNO UPRAVLJANJE
5
KorporativnoKorporativno pravilapravila susu postupcipostupci ii procesiprocesi kojekoje primjenjujuprimjenjuju upravauprava ii
menadţmentmenadţment ii sredstvosredstvo pomoćupomoću kojegkojeg osiguravajuosiguravaju ostvarivanjeostvarivanje ciljevaciljeva ii
zadatakazadataka poslovneposlovne politikepolitike
ZaZa definiranjedefiniranje mjestamjesta ii ulogeuloge tete zadatakazadataka interneinterne revizijerevizije potrebnopotrebno jeje
poznavanjepoznavanje kkorporativnihorporativnih pravilapravila ii nacionalnenacionalne regulativeregulative
ZahtjeviZahtjevi zaza provoĊenjemprovoĊenjem odgovarajućegodgovarajućeg korporativnogkorporativnog upravljanjaupravljanja sadrţanisadrţani
susu uu regulativiregulativi pojedinihpojedinih drţavnihdrţavnih -- vladinihvladinih ii nevladinihnevladinih organizacija,organizacija,
strukovnihstrukovnih udruga,udruga, agencija,agencija, burzaburza ii institucijainstitucija
UU regulativuregulativu sese ubrajajuubrajaju zakoni,zakoni, korporativnakorporativna pravila,pravila, kodeksi,kodeksi, preporuke,preporuke,
smjernice,smjernice, direktive,direktive, standardi,standardi, normenorme ii drugidrugi dokumentidokumenti
KorporativnaKorporativna pravilapravila omogućujuomogućuju boljibolji odnosodnos svihsvih zainteresiranihzainteresiranih stranastrana
KorporativnimKorporativnim pravilimapravilima sese utvrĊujeutvrĊuje obvezaobveza uspostavljanjauspostavljanja interneinterne revizije,revizije,
internihinternih kontrola,kontrola, naĉinnaĉin ii obvezaobveza izvješćivanjaizvješćivanja
KORPORATIVNA PRAVILA KORPORATIVNA PRAVILA
6
SAD funkcionira kao konfederacija drţava koja ima zajedniĉko SAD funkcionira kao konfederacija drţava koja ima zajedniĉko
zakonodavstvo u većini podruĉja pa tako i korporativnih pravilazakonodavstvo u većini podruĉja pa tako i korporativnih pravila
EU je zajednica drţava koje tek izgraĊuju zajedniĉka naĉela, institute i pravoEU je zajednica drţava koje tek izgraĊuju zajedniĉka naĉela, institute i pravo
Korporativna pravila u SAD i Velikoj Britaniji temelje se na anglosaksonskom Korporativna pravila u SAD i Velikoj Britaniji temelje se na anglosaksonskom
pravupravu
U SAD i Vel. Britaniji se primjenjuje regulativa za Australiju i Novi ZelandU SAD i Vel. Britaniji se primjenjuje regulativa za Australiju i Novi Zeland
U kontinentalnoj Europi je dominantno germansko pravoU kontinentalnoj Europi je dominantno germansko pravo
Najnovija korporativna pravila u SAD su pod utjecajem Najnovija korporativna pravila u SAD su pod utjecajem SarbanesSarbanes--Oxley ActOxley Act--aa
Na snazi je više zakona kojim se reguliraju pravila za kompanije koje se Na snazi je više zakona kojim se reguliraju pravila za kompanije koje se
listaju na burzamalistaju na burzama
SAD ima definirane standarde interne revizije koji su prihvaćeni kao SAD ima definirane standarde interne revizije koji su prihvaćeni kao
meĊunarodni standardimeĊunarodni standardi
U standardima se definira i mjesto i uloga interne revizije u korporativnom U standardima se definira i mjesto i uloga interne revizije u korporativnom
upravljanju upravljanju -- definicija definicija interne interne revizije i standardirevizije i standardi
Kompanije koje ţele kotirati na New YorkKompanije koje ţele kotirati na New York--oj burzi oj burzi moraju se moraju se uskladiti s ovim uskladiti s ovim
pravilima ili će se suoĉiti sa strogim financijskim i ostalim kaznamapravilima ili će se suoĉiti sa strogim financijskim i ostalim kaznama
Nepridrţavanje pravila moţe prouzroĉiti kaznene sankcija kao što su Nepridrţavanje pravila moţe prouzroĉiti kaznene sankcija kao što su
novĉane kazne ili kazne zatvoranovĉane kazne ili kazne zatvora
KORPORATIVNA PRAVILAKORPORATIVNA PRAVILA
EU EU vs. vs. SADSAD 1/21/2
7
KORPORATIVNA PRAVILAKORPORATIVNA PRAVILA
EU EU vs. SAD vs. SAD 2/22/2
U Vel. Britaniji polazište je Kodeks o korporativnom upravljanjuU Vel. Britaniji polazište je Kodeks o korporativnom upravljanju
U U EU EU se sve više koriste zakoni, se sve više koriste zakoni, pravila i kodeksi pravila i kodeksi SADSAD i Vel. Britanije, i Vel. Britanije,
preporuke preporuke i naĉela i naĉela OECD OECD –– Korporativna pravila upravljanjaKorporativna pravila upravljanja
„Zelena knjiga” (engl. Green „Zelena knjiga” (engl. Green PaperPaper) je prijedlog za javnu raspravu o ) je prijedlog za javnu raspravu o
revizijireviziji
EU EU je donijela 8. direktivu i smjernice je donijela 8. direktivu i smjernice te Model Tri linije obranete Model Tri linije obrane
Smjernice se doraĊuju sukladno najnovijim rješenjimaSmjernice se doraĊuju sukladno najnovijim rješenjima
MeĊunarodni MeĊunarodni okvir profesionalnog djelovanja (MOPD) samo naĉelno okvir profesionalnog djelovanja (MOPD) samo naĉelno
definira definira korporativno uptavljanje i odnos prema internoj revizijikorporativno uptavljanje i odnos prema internoj reviziji
EuropEuropaa sve više definira i standardizira korporativna pravilasve više definira i standardizira korporativna pravila
ECIIA i ECIIA i EU provode razradu standarda i smjernica i prilagoĊavaju EU provode razradu standarda i smjernica i prilagoĊavaju
zakonodavstvo zakonodavstvo
ECIIA ECIIA -- CBOK CBOK –– istraţivanje o stanju interne revizije u Europiistraţivanje o stanju interne revizije u Europi
Regulativa EU i SAD nije jednaka za javni sektorRegulativa EU i SAD nije jednaka za javni sektor
EU sve više definira svoje standarde (CGAP vs. EGAP) standarde za rad EU sve više definira svoje standarde (CGAP vs. EGAP) standarde za rad
internih revizora u javnom sektoruinternih revizora u javnom sektoru
ECIIA radi na pripremi prijedloga za CGAP ECIIA radi na pripremi prijedloga za CGAP –– certificiranje internih revizora certificiranje internih revizora
u javnom sektoruu javnom sektoru
8
RAZVOJ KORPORATIVNIH PRAVILA RAZVOJ KORPORATIVNIH PRAVILA
Naknade Naknade
direktorimadirektorima
Ne izvršni Ne izvršni
diredirektoriktori
HiggsHiggs
20032003
Smjernice Odbora Smjernice Odbora
za revizijuza reviziju
UK UK korporativnokorporativno
upravljanjeupravljanje
Smjernice Smjernice ––
interne kontroleinterne kontrole
RuttemanRutteman
19941994..
GreenburyGreenbury
19951995
CadburyCadbury
19921992
HampelHampel
19981998..
Combined Combined
Code 1998Code 1998.
TurnbullTurnbull
19991999..
Combined Combined
Code 2003Code 2003
SmithSmith
20032003
Anglosaksonsko obiĉajno pravo – Zakon o trgovaĉkim društvima u UK (2006.)
TysonTyson
20032003
SmithSmith
20082008
CombinedCombined
Code 2008Code 2008
Flint Flint izvješćeizvješće
o o TurnbullTurnbull--uu
20052005..
1990. Lenta razvoja Lenta razvoja korporativnog upravljanjakorporativnog upravljanja 2012.
SmithSmith
20102010
Winter Winter
izvješće izvješće 20022002
EU EU
korporativno korporativno
upravljanjeupravljanje
RAZVOJ KORPORATIVNIH PRAVILARAZVOJ KORPORATIVNIH PRAVILARAZVOJ KORPORATIVNIH PRAVILARAZVOJ KORPORATIVNIH PRAVILA
KorporativnaKorporativna pravilapravila (kodeksi(kodeksi ii izvješća)izvješća) nazvaninazvani susu popo osobamaosobama kojekoje susu
predlagalepredlagale iliili bilebile nana ĉeluĉelu tijelatijela kojakoja susu ihih pripremilapripremila
PravilaPravila korporativnogkorporativnog upravljanjaupravljanja definiranadefinirana susu standardima,standardima, smjernicama,smjernicama,
preporukama,preporukama, kodeksima,kodeksima, izvješćima,izvješćima, direktivamadirektivama ii pravilimapravilima::
GreenburryGreenburry CodeCode
CadburryCadburry CodeCode i izvješće i izvješće
HampelHampel izvješće izvješće
TurnbullTurnbull smjernice smjernice
CombinedCombined CodeCode
Ostala izvješća: Ostala izvješća: HiggsHiggs, , Smith, Smith, RuttemanRutteman, , WalkerWalker, , WinterWinter, , TysonTyson, itd., itd.
SarbanesSarbanes--OxleyOxley zakon zakon
Korporativnim pravilima se izravno ili neizravno definira i mjesto i uloga, Korporativnim pravilima se izravno ili neizravno definira i mjesto i uloga,
naĉin rada i odnosi interne revizije prema drugim organima i tijelima u naĉin rada i odnosi interne revizije prema drugim organima i tijelima u
organizacijiorganizaciji
Odnos interne i eksterne revizija definiran je Odnos interne i eksterne revizija definiran je MRevSMRevS dok je manje definiran dok je manje definiran
odnos s drţavnom revizijom (INTOSAI)odnos s drţavnom revizijom (INTOSAI)9
IZVJEŠĆE GREENBURYIZVJEŠĆE GREENBURY
10
UtvrĊujeUtvrĊuje obvezeobveze neizvršnihneizvršnih direktora,direktora, nagraĊivanje,nagraĊivanje, objavljivanjeobjavljivanje
informacija,informacija, potencijalnipotencijalni konflikti,konflikti, statutarnestatutarne obvezeobveze ii kontrole,kontrole, komkom.. firmefirme
PreporuĉenoPreporuĉeno jeje uspostavljanjeuspostavljanje odboraodbora zaza nagraĊivanjenagraĊivanje ii njegovanjegova obvezaobveza uu
definiranjudefiniranju politikepolitike nagraĊivanjanagraĊivanja
OdborOdbor zaza nagraĊivanjenagraĊivanje moramora imatiimati najmanjenajmanje 33 ĉlanaĉlana (neizvršni(neizvršni direktori)direktori)
ĈlanoviĈlanovi morajumoraju poznavatipoznavati poslovanjeposlovanje ii moćimoći procijenitiprocijeniti uspješnostuspješnost
IzvješćeIzvješće naglašavanaglašava znaĉajznaĉaj nepostojanjanepostojanja potencijalnihpotencijalnih konflikatakonflikata interesainteresa ––
nemogućnostnemogućnost obavljanjaobavljanja direktorskihdirektorskih funkcijafunkcija nana viševiše razinarazina
IzvješćeIzvješće jeje donijelodonijelo preporukepreporuke dada sese nene moţemoţe odbitiodbiti kontrolakontrola nadnad plaćamaplaćama
direktoradirektora ii nagraĊivanjunagraĊivanju statutarnimstatutarnim aktimaaktima
NagraĊivanjeNagraĊivanje sese moramora vezivativezivati zaza individualnuindividualnu uspješnostuspješnost poslovanjaposlovanja uzuz
utvrĊivanjeutvrĊivanje odgovornostiodgovornosti ii transparentnosttransparentnost
ObvezaObveza jeje potpunogpotpunog objavljivanjaobjavljivanja nagradanagrada izvršnogizvršnog direktoradirektora ukljuĉujućiukljuĉujući
godišnjegodišnje bonusebonuse ii drugodrugo
ZaZa komunalnekomunalne tvrtketvrtke sese morajumoraju primjenjivatiprimjenjivati istiisti kriterijikriteriji
TvrtkeTvrtke kojekoje nene usvojeusvoje preporukepreporuke morajumoraju toto objasnitiobjasniti dioniĉarimadioniĉarima ii nadnad njimanjima
sese trebatreba provestiprovesti kontrolakontrola
CADBURY CODE I IZVJEŠĆECADBURY CODE I IZVJEŠĆE
11
Cadbury Cadbury Code i izvješće su prvi dokument koji definira korporativna pravila u Code i izvješće su prvi dokument koji definira korporativna pravila u
Vel. BritanijiVel. Britaniji
Cadbury je nastao kao odgovor i preporuka na Kodeks korporativnog Cadbury je nastao kao odgovor i preporuka na Kodeks korporativnog
upravljanja u Vel. Britanijiupravljanja u Vel. Britaniji
On je bio On je bio izvorište izvorište za druga izvješća (Hampel i Ruttemanza druga izvješća (Hampel i Rutteman))
OdborOdbor je definirao i preporuĉio kodeks najbolje poslovne prakseje definirao i preporuĉio kodeks najbolje poslovne prakse
Odbor Odbor je bio zaduţen za definiranje svih aspekata financijskih kontrola i je bio zaduţen za definiranje svih aspekata financijskih kontrola i
upravljanja u kontekstu upravljanja u kontekstu korporativnog upravljanjakorporativnog upravljanja
IzvješćeIzvješće definiradefinira glavnaglavna pitanjapitanja kojimakojima sese trebajutrebaju bavitibaviti upravauprava ii menadţmentmenadţment
IzvješćeIzvješće utvrĊujeutvrĊuje nana kojikoji naĉinnaĉin bibi sese trebalotrebalo uspostavitiuspostaviti sustavsustav korporativnogkorporativnog
upravljanjaupravljanja
VaţanVaţan diodio izvješćaizvješća odnosiodnosi sese nana financijskefinancijske aspekteaspekte upravljanjaupravljanja
FinancijskoFinancijsko upravljanjeupravljanje jeje posaoposao upraveuprave ii menadţmentamenadţmenta aa podpodrazumrazumiijevajeva
definiranjedefiniranje ciljevaciljeva ii zadatakazadataka financijskefinancijske politikepolitike
OdborOdbor jeje utvrdioutvrdio KodeksKodeks zaza praktiĉnopraktiĉno djelovanjedjelovanje svihsvih zaduţenihzaduţenih zaza poslovanjeposlovanje
ii korporativnekorporativne interneinterne kontrolekontrole
KodeksKodeks jeje zasnovanzasnovan nana naĉelimanaĉelima otvorenosti,otvorenosti, integritetaintegriteta ii odgovornostiodgovornosti
NajbitnijiNajbitniji diodio KodeksaKodeksa oodnosidnosi sese nana internuinternu revizijureviziju tete zahtjevzahtjev dada “direktori“direktori
trebajutrebaju izvješćivatiizvješćivati oo primjerenostiprimjerenosti sustavasustava interneinterne kontrolekontrole
12
HAMPEL IHAMPEL IZVJEŠĆE ZVJEŠĆE
HampelHampel izvješćeizvješće slijedislijedi CadburyCadbury ii dajedaje preporukepreporuke
IzvješćeIzvješće jeje istaknuloistaknulo dada susu pravilapravila oo naknadamanaknadama kompliciranakomplicirana
IzvješćeIzvješće dajedaje preporukepreporuke zaza kvalitetnijekvalitetnije korporacijskokorporacijsko upravljanjeupravljanje
IstiĉeIstiĉe odnosodnos premaprema institucionalniminstitucionalnim investitorimainvestitorima ii nana kojikoji naĉinnaĉin sese izvješćujeizvješćuje
skupštinaskupština dioniĉaradioniĉara
HampelHampel naglašavanaglašava dada ulogauloga predpred.. upraveuprave ii CEOCEO morajumoraju bitibiti odvojeneodvojene
UU godišnjemgodišnjem izvješćuizvješću sese morajumoraju objavitiobjaviti podacipodaci oo upraviupravi ii naĉinnaĉin radarada odboraodbora zaza
imenovanjaimenovanja
ReizborReizbor direktoradirektora uu pravilnimpravilnim intervalimaintervalima (tri(tri ((33)) godine)godine)
OdborOdbor zaza revizijureviziju odod najmanjenajmanje tritri neizvršnaneizvršna direktoradirektora
IzvješćeIzvješće HampelHampel predlaţepredlaţe nekolikonekoliko glavnihglavnih podruĉjapodruĉja promjenapromjena uu odnosuodnosu nana
Cadbury,Cadbury, nprnpr.. odborodbor zaza nagraĊivanjenagraĊivanje
CadburyCadbury jeje utvrdioutvrdio dada direktoridirektori morajumoraju izvješćivatiizvješćivati oo uĉinkovitostiuĉinkovitosti sustavasustava
internihinternih kontrola,kontrola, aa HampelHampel dada susu direktoridirektori duţniduţni odrţavatiodrţavati ii zdravzdrav sustavsustav
HampelHampel jeje predloţiopredloţio dada sese izvješćaizvješća CadburyCadbury ii GreenburyGreenbury spojespoje
OBJEDINJENA PRAVILA OBJEDINJENA PRAVILA -- COMBINED CODE COMBINED CODE
13
ObjedinjenaObjedinjena pravilapravila objedinjujuobjedinjuju najboljanajbolja korporativnakorporativna pravilapravila kojakoja susu sese
donosiladonosila odod 19981998.. dodo 20082008..
UU fokusufokusu menadţmentamenadţmenta trebatreba bitibiti dobardobar sustavsustav internihinternih kontrolakontrola
InternaInterna kontrolakontrola trebatreba bitibiti ugraĊenaugraĊena uu poslovneposlovne proceseprocese
UĉinkoviteUĉinkovite financijskefinancijske kontrole,kontrole, ukljuĉujućiukljuĉujući voĊenjevoĊenje odgovarajućihodgovarajućih poslovnihposlovnih
knjigaknjiga vaţanvaţan susu elementelement interneinterne kontrolekontrole
MenadţmentMenadţment jeje zaduţenzaduţen zaza provoĊenjeprovoĊenje politikepolitike rizikarizika ii kontrolekontrole (NO/Uprave)(NO/Uprave)
RadniciRadnici morajumoraju imatiimati odreĊenuodreĊenu razinurazinu odgovornostiodgovornosti zaza djelovanjedjelovanje kontrolakontrola
MenadţmentMenadţment pripri revizijireviziji izvješćaizvješća tijekomtijekom godinegodine trebatreba razmotritirazmotriti kojikoji susu
znaĉajniznaĉajni rizici,rizici, naĉinnaĉin procjeneprocjene ii upravljanja,upravljanja, procijenitiprocijeniti uĉinkovitostuĉinkovitost sustavasustava
interneinterne kontrolekontrole uu upravljanjuupravljanju znaĉajnimznaĉajnim rizicimarizicima
MenadţmentMenadţment moramora razmotritirazmotriti poduzetepoduzete akcijeakcije ii rezultaterezultate
NO/UpravaNO/Uprava trebatreba svakesvake godinegodine razmotritirazmotriti radrad interneinterne revizijerevizije
UU svojojsvojoj izjaviizjavi NO/UpravaNO/Uprava trebatreba datidati kakokako sese primjenjujuprimjenjuju ObjedinjenaObjedinjena pravilapravila
ObjedinjenaObjedinjena pravilapravila susu diodio KodeksaKodeksa oo korporativnomkorporativnom upravljanjuupravljanju VelVel.. BritanijeBritanije
TrenutnoTrenutno susu nana razmatranjurazmatranju novenove izmjeneizmjene ii dopunedopune pravilapravila ObjedinjenihObjedinjenih pravilapravila
14
IZVJEŠĆE TURNBULL IZVJEŠĆE TURNBULL 1/21/2
ZadatakZadatak jeje biobio pripremitipripremiti smjernicesmjernice zaza primjenuprimjenu naĉelanaĉela ObjedinjenihObjedinjenih pravilapravila
kojakoja susu razraĊenarazraĊena uu HampelHampel izvješćaizvješća zaza ĉlanoveĉlanove NO/UpraveNO/Uprave
ICAEWICAEW jeje izdalaizdala ““InternaInterna kontrolakontrola:: smjernicesmjernice zaza direktoredirektore kojikoji morajumoraju
poštovatipoštovati CombinedCombined Code”Code” ((TurnballTurnball izvješće)izvješće)
IzvješćeIzvješće dajedaje smjernicesmjernice zaza KodeksKodeks korporativnogkorporativnog upravljanjaupravljanja uu VelVel.. BritanijiBritaniji
IzvješćeIzvješće imaima 44 glavnaglavna podruĉjapodruĉja:: odrţavanjeodrţavanje adekvatnogadekvatnog sustavasustava internihinternih
kontrolakontrola ((nene samosamo financijskifinancijski)),, nadzornadzor nadnad uĉinkovitošćuuĉinkovitošću internihinternih kontrola,kontrola,
izvješćaizvješća upraveuprave oo interniminternim kontrolamakontrolama ii internainterna revizijarevizija
IzvješćeIzvješće jeje dalodalo kontrolnikontrolni okvirokvir zaza korporacijskokorporacijsko upravljanjeupravljanje
NaglasakNaglasak jeje nana “znaĉajnim“znaĉajnim poslovnimposlovnim rizicimarizicima kojikoji predstavljajupredstavljaju prijetnjuprijetnju
postizanjupostizanju ciljevaciljeva tvrtke”tvrtke”
PrimjenaPrimjena TurnbullTurnbull--aa podrazumijevapodrazumijeva utvrĊivanjeutvrĊivanje znaĉajnihznaĉajnih rizikarizika
UtvrĊujeUtvrĊuje potrebupotrebu definiranjadefiniranja ulogeuloge ii odgovornostiodgovornosti vlasnikavlasnika rizikarizika
MenadţmentMenadţment moramora uu svomsvom fokusufokusu imatiimati 1010 kljuĉnihkljuĉnih rizikarizika
15
IzvješćeIzvješće utvrĊujeutvrĊuje dada jeje profitprofit nagradanagrada zaza uspješnouspješno preuzimanjepreuzimanje rizikarizika
UU IzvješćuIzvješću sese navodenavode odreĊeneodreĊene sugestijesugestije štošto ĉiniĉini dobardobar sustavsustav interneinterne kontrolekontrole
VoĊenjeVoĊenje dobrogdobrog sustavasustava interneinterne kontrolekontrole zavisizavisi odod radarada NO/upraveNO/uprave
ObvezaObveza jeje NO/upraveNO/uprave izvješćivatiizvješćivati oo propustimapropustima ii slabostimaslabostima kontrolekontrole
NO/upravaNO/uprava trebajutrebaju osiguratiosigurati praćenjepraćenje sustavasustava internihinternih kontrola,kontrola, poduzimatipoduzimati
odgovarajućeodgovarajuće mjeremjere ii pruţatipruţati garancijugaranciju dada sese drţedrţe podpod kontrolomkontrolom riziĉnariziĉna
podruĉjapodruĉja
NO/upravaNO/uprava morajumoraju vršitivršiti procjenuprocjenu sustavasustava internihinternih kontrolakontrola -- godišnjagodišnja procjenaprocjena
sustavasustava interneinterne kontrolekontrole ii aktualiziratiaktualizirati
UU godišnjemgodišnjem izvješćuizvješću ii izvješćimaizvješćima NO/upravaNO/uprava trebajutrebaju podnositipodnositi odgovarajućaodgovarajuća
izvješćaizvješća ii datidati izjavuizjavu oo djelotvornostidjelotvornosti sustavasustava internihinternih kontrolakontrola ii nana primjerenprimjeren
naĉinnaĉin gaga objavitiobjaviti
IZVJEŠĆE TURNBULL IZVJEŠĆE TURNBULL 2/22/2
IZVJEŠĆE TREADWAYIZVJEŠĆE TREADWAY
16
Nakon što je propao niz uglednih korporacija osamdesetih godina, osnovana Nakon što je propao niz uglednih korporacija osamdesetih godina, osnovana
je je TreadwayTreadway odbor (1985. g.) (Odbor sponzorskih organizacija)odbor (1985. g.) (Odbor sponzorskih organizacija)
To je To je jeje zajedniĉka inicijativa pet organizacija iz privatnog sektora koje su zajedniĉka inicijativa pet organizacija iz privatnog sektora koje su
posvećene razvoju okvira i smjernica o upravljanju rizicima, internim posvećene razvoju okvira i smjernica o upravljanju rizicima, internim
kontrolama i otklanjanju mogućnosti prijevarekontrolama i otklanjanju mogućnosti prijevare
Glavna uloga bila je identificirati glavne razloge laţnog prikazivanja Glavna uloga bila je identificirati glavne razloge laţnog prikazivanja
financijskih podataka i preporuĉiti naĉine na koje naĉin će se smanjiti financijskih podataka i preporuĉiti naĉine na koje naĉin će se smanjiti
TreadwayTreadway izvješće iz 1987. god. istiĉe potrebu za odgovarajućim kontrolnim izvješće iz 1987. god. istiĉe potrebu za odgovarajućim kontrolnim
okruţenjem, neovisnim odborima za reviziju i nepristranom funkcijom interne okruţenjem, neovisnim odborima za reviziju i nepristranom funkcijom interne
revizije revizije
Zahtjeva sluţbeno izvješćivanje o primjerenosti interne kontrole i da se razvije Zahtjeva sluţbeno izvješćivanje o primjerenosti interne kontrole i da se razvije
skup kriterija interne kontrole koji će omogućiti tvrtkama da poboljšaju skup kriterija interne kontrole koji će omogućiti tvrtkama da poboljšaju
kontrolekontrole
Rezultat rada je Rezultat rada je COSO COSO model model –– uspostavljanje i procjenjivanje djelovanja uspostavljanje i procjenjivanje djelovanja SIKSIK--aa
COSO COSO model je našao široku primjenu u svim sektorimamodel je našao široku primjenu u svim sektorima
U javnom sektoru je COSO model polazište za definiranje unutarnjih U javnom sektoru je COSO model polazište za definiranje unutarnjih
financijskih kontrolafinancijskih kontrola
Na temelju COSO modela se je razvio ERM model Na temelju COSO modela se je razvio ERM model –– upravljanje rizicima i upravljanje rizicima i
definiranje internih definiranje internih kontrolakontrola
SARBANAS SARBANAS –– OXLEY ZAKON (ACT)OXLEY ZAKON (ACT) 1/2 1/2
17
SarbanesSarbanes--Oxley Act je nastao poslije propasti velikih korporacija u SADOxley Act je nastao poslije propasti velikih korporacija u SAD--u u 9090--tih tih godina godina ((stupio je na snagu stupio je na snagu 3030. srpnja. srpnja 20022002..))
ZakonZakon susu predloţilipredloţili senatorisenatori PaulPaul SarbanasSarbanas ii MichaelMichael GG.. OxleyOxley
SarbanesSarbanes--OxleyOxley zakonzakon jeje skupskup pravilapravila kojimakojima sese ţeliţeli uvestiuvesti viševiše redareda uu
poslovanje,poslovanje, pooštritipooštriti odgovornostodgovornost korporacija,korporacija, ĉlanovaĉlanova NO/uprave,NO/uprave,
pouzdanostpouzdanost ii toĉnosttoĉnost informacija,informacija, transparentnosttransparentnost uu poslovanjeposlovanje ii slsl..
DanasDanas uu SADSAD--uu imaima 1010--taktak zakona,zakona, direktiva,direktiva, smjernicasmjernica ii preporukapreporuka kojekoje
implementirajuimplementiraju zakonzakon
VladaVlada SADSAD jeje poduzelapoduzela odreĊeneodreĊene aktivnostiaktivnosti ii mjeremjere kakokako bibi sese pooštrilepooštrile
korporativnekorporativne kontrolekontrole ii poboljšalopoboljšalo upravljanjeupravljanje
ZakonZakon imaima velikuveliku vaţnostvaţnost zaza reviziju,reviziju, raĉunovodstvo,raĉunovodstvo, revizijskerevizijske odbore,odbore,
NO/uprave,NO/uprave, izdavateljeizdavatelje vrijednosnihvrijednosnih papirapapira ii drugedruge
NjegovNjegov fokusfokus ii implementacijaimplementacija susu sese uglavnomuglavnom odnosiliodnosili nana poboljšanjepoboljšanje
kvalitetekvalitete ii transparentnostitransparentnosti financijskogfinancijskog izvještavanjaizvještavanja kaokao ii interpretacijiinterpretaciji istihistih
odod stranestrane profesionalprofesionalnihnih analitiĉaraanalitiĉara vrijednosnicavrijednosnica
ZakonZakon jeje definiraodefinirao razdvajanjerazdvajanje ii nemogućnostnemogućnost obavljanjaobavljanja uu istojistoj organizacijiorganizaciji
konzultantskihkonzultantskih ii revizorskihrevizorskih poslovaposlova
UtvrĊenaUtvrĊena susu posebnaposebna poglavljapoglavlja oo eksternojeksternoj revizijireviziji –– neovisnostneovisnost
18
UtvrĊena je obveza uspostavljanja tijela koje će nadgledati primjenu UtvrĊena je obveza uspostavljanja tijela koje će nadgledati primjenu raĉunovodstvenih pravilaraĉunovodstvenih pravila
Daje znaĉaj i definira ulogu korporacijskog kontrolora (engl. Daje znaĉaj i definira ulogu korporacijskog kontrolora (engl. ComptrollerComptroller)) Proširili su obuhvat informacija koje se trebaju objavljivatiProširili su obuhvat informacija koje se trebaju objavljivati Uvodi se korporacijska odgovornost za prijevaruUvodi se korporacijska odgovornost za prijevaru ObraĊuje podruĉje sukoba interesa i obveze menadţmenta i organa i tijela ObraĊuje podruĉje sukoba interesa i obveze menadţmenta i organa i tijela UtvrĊuje kazne za neusklaĊenost sa zakonom i regulativom UtvrĊuje kazne za neusklaĊenost sa zakonom i regulativom –– 10 10 mil. $mil. $ UtvrĊuje obvezu povrata primljenih bonusa za ĉlanove NO/uprave i UtvrĊuje obvezu povrata primljenih bonusa za ĉlanove NO/uprave i
menadţmenta te kazne zatvora u trajanju do 25 godinamenadţmenta te kazne zatvora u trajanju do 25 godina Izvršni ĉlanovi kompanija koji svjesno potvrde neispravne financijske Izvršni ĉlanovi kompanija koji svjesno potvrde neispravne financijske
informacije mogu biti zatvoreni na kaznu do 20 godinainformacije mogu biti zatvoreni na kaznu do 20 godina SeSekcijakcija 404404.. usmjerava komisiju za nadzor vrijednosnica da uspostavi pravila usmjerava komisiju za nadzor vrijednosnica da uspostavi pravila
za izvješće o internim kontrolamaza izvješće o internim kontrolama Izvješće treba ukljuĉivati izjavu o uspostavi i odrţavanju adekvatne strukture Izvješće treba ukljuĉivati izjavu o uspostavi i odrţavanju adekvatne strukture
internih kontrola i procedura financijskog izvještavanjainternih kontrola i procedura financijskog izvještavanja Menadţment je odgovoran za njihovo odrţavanje Menadţment je odgovoran za njihovo odrţavanje Izvješće treba sadrţavati procjenu menadţmenta o efikasnosti struktura Izvješće treba sadrţavati procjenu menadţmenta o efikasnosti struktura
organizacije i proceduraorganizacije i procedura Financijska izvješća se revidiraju od strane komercijalne revizijeFinancijska izvješća se revidiraju od strane komercijalne revizije Na temelju Zakona doneseno je niz dokumenata kojima se definiraju obveze Na temelju Zakona doneseno je niz dokumenata kojima se definiraju obveze
eksterne revizijeeksterne revizije Pruţanje konzultantskih usluga i s njima povezanih drugih usluga se detaljnije Pruţanje konzultantskih usluga i s njima povezanih drugih usluga se detaljnije
definiradefinira
SARBANAS SARBANAS –– OXLEY ZAKON OXLEY ZAKON 2/2 2/2
OSTALA IZVJEŠĆAOSTALA IZVJEŠĆA 1/41/4
19
Izvješće Izvješće Smith 2003Smith 2003../2008/2008../2010/2010.. Najviše se odnosi na odbor za revizijuNajviše se odnosi na odbor za reviziju Definira smisao odbora za reviziju Definira smisao odbora za reviziju Daje smjernice za utvrĊivanje broja ĉlanova, Daje smjernice za utvrĊivanje broja ĉlanova, procedureprocedure i resursi i resursi Odnos odbora za reviziju i uprave/NO Odnos odbora za reviziju i uprave/NO Ulogu i odgovornosti odbora za reviziju, uprave/NO Ulogu i odgovornosti odbora za reviziju, uprave/NO Naĉin komunikacije s imateljima Naĉin komunikacije s imateljima udjelaudjela
Izvješće Izvješće Higgs 2003Higgs 2003.. Izvješće definira ulogu neizvršnih direktora Izvješće definira ulogu neizvršnih direktora
UtvrĊuje poţeljne osobine i vrijednosti neizvršnih direktoraUtvrĊuje poţeljne osobine i vrijednosti neizvršnih direktora
Izbor neizvršnih direktora i uĉestalost odrţavanja sastanakaIzbor neizvršnih direktora i uĉestalost odrţavanja sastanaka
UtvrĊuje pravila o neovisnosti neizvršnih direktora UtvrĊuje pravila o neovisnosti neizvršnih direktora
Naĉin zapošljavanja i imenovanja Naĉin zapošljavanja i imenovanja
Definira naĉin uvoĊenja u posao i profesionalni razvojDefinira naĉin uvoĊenja u posao i profesionalni razvoj
UtvrĊuje radna mjesta i vremenski zahtjev te odgovornost UtvrĊuje radna mjesta i vremenski zahtjev te odgovornost
TakoĊer, definira odnos sa imateljima TakoĊer, definira odnos sa imateljima udjelaudjela
RuttemanRutteman izvješćeizvješće 19941994..
Interna kontrola i smjernice o financijskim izvješćima za direktore kompanija Interna kontrola i smjernice o financijskim izvješćima za direktore kompanija koje kotiraju na burzi u UKkoje kotiraju na burzi u UK
Fokus primarno na internim financijskim kontrolamaFokus primarno na internim financijskim kontrolama
20
OSTALA IZVJEŠĆAOSTALA IZVJEŠĆA 2/42/4
Izvješće Winter 2002Izvješće Winter 2002.. Izvješće Izvješće Winter Winter nije bilo naklonjenonije bilo naklonjeno zajedniĉkomzajedniĉkom eueurrooppskomskom kodeksukodeksu
korporativnog upravljanjakorporativnog upravljanja nego se traţilo rješenje kroz preporuku nego se traţilo rješenje kroz preporuku
harmonizacije nacionalnih sustavaharmonizacije nacionalnih sustava
EU Corporate Governance Framework (EU Corporate Governance Framework (Green PaperGreen Paper) 2011) 2011. .
To je kombinacija nacionalnih zakonodavstava i kodeksa (To je kombinacija nacionalnih zakonodavstava i kodeksa (DireDirektivaktiva 2006/462006/46))
Zahtijeva godišnje izvještavanje o korporativnom upravljanju i upravljanju Zahtijeva godišnje izvještavanje o korporativnom upravljanju i upravljanju
rizicima rizicima
Definira da se koncept definira Definira da se koncept definira ““uspostavlja se od vrhauspostavlja se od vrha””
Izvješće Turner 2009Izvješće Turner 2009.. Izvješće Turner je iskljuĉivo fokusirano na banke i financijske institucije Izvješće Turner je iskljuĉivo fokusirano na banke i financijske institucije
Izvješće donosi analizu uzroka svjetske financijske krizeIzvješće donosi analizu uzroka svjetske financijske krize
Izvješće daje na koncizan i jasan naĉin ocjene i procjene stanja i perspektiveIzvješće daje na koncizan i jasan naĉin ocjene i procjene stanja i perspektive
Nedostatci koje opisuje jasno ilustriraju što se dogaĊa kada se upravljanje Nedostatci koje opisuje jasno ilustriraju što se dogaĊa kada se upravljanje
rizicima ne provodi na odgovarajući naĉinrizicima ne provodi na odgovarajući naĉin
Izvješće predlaţe na koji naĉin provoditi regulaciju bankarskog sektora Izvješće predlaţe na koji naĉin provoditi regulaciju bankarskog sektora
Prijedlozi se odnose na veću intervenciju drţave i regulatornih tijela te Prijedlozi se odnose na veću intervenciju drţave i regulatornih tijela te
uvoĊenje reda primjenom sustavne regulacijeuvoĊenje reda primjenom sustavne regulacije
21
Izvješće Izvješće TysonTyson 2003.2003.
Izvješće je podnijela Izvješće je podnijela Laura Tyson'sLaura Tyson's i publicirano je od strane i publicirano je od strane London London
Business SchoolBusiness School, , 1919.6. .6. 2003. 2003. (Odjelu za trgovinu i industriju (engl. (Odjelu za trgovinu i industriju (engl.
Department of Trade & Industry (DTI)Department of Trade & Industry (DTI)))
Ono je napravljeno sukladno Ono je napravljeno sukladno Izvješću Izvješću HiggsHiggs 2003. 2003. -- o ulozi i djelotvornosti o ulozi i djelotvornosti
neizvršnih direktora neizvršnih direktora
Izvješće naglašava znaĉaj struĉnih vještina, iskustva i proširuje odgovornost Izvješće naglašava znaĉaj struĉnih vještina, iskustva i proširuje odgovornost
organa i tijela organizacije i njihovu djelotvornostorgana i tijela organizacije i njihovu djelotvornost
Izvješće daje uvid kako organizacije zapošljavaju neizvršne direktore Izvješće daje uvid kako organizacije zapošljavaju neizvršne direktore
Nastavno na Izvješće Nastavno na Izvješće HiggsHiggs daje preporuke za odabir neizvršnih direktoradaje preporuke za odabir neizvršnih direktora
Izvješće daje opis profila i znaĉajnih vještina i iskustava koja moraju imati Izvješće daje opis profila i znaĉajnih vještina i iskustava koja moraju imati
uspješni neizvršni direktori s nekomercijalnim iskustvomuspješni neizvršni direktori s nekomercijalnim iskustvom
Preporuke o edukaciji neizvršnih direktora, ĉlanova organa i tijela Preporuke o edukaciji neizvršnih direktora, ĉlanova organa i tijela
organizacijeorganizacije
Znaĉajno podruĉje je definiranje osobina neizvršnih direktora u javnom Znaĉajno podruĉje je definiranje osobina neizvršnih direktora u javnom
sektorusektoru
OSTALA IZVJEŠĆAOSTALA IZVJEŠĆA 3/43/4
22
WalkerWalker izvješće 2009.izvješće 2009.
Izvješće je nastalo na poticaj premijera Vel. BritanijeIzvješće je nastalo na poticaj premijera Vel. Britanije Kodeks korporativnog upravljanja u Vel. Britaniji 2010.g. Kodeks korporativnog upravljanja u Vel. Britaniji 2010.g. uvaţio uvaţio je Walker je Walker
izvješće izvješće WalkerWalker izvješće se odnosi na bankeizvješće se odnosi na banke Izvješće daje pregled stanja bankarske industrije i preporukeIzvješće daje pregled stanja bankarske industrije i preporuke Ukazuje na veću transparentnost u naknadama zaposlenicimaUkazuje na veću transparentnost u naknadama zaposlenicima Aktivni investitori bi trebali primjenjivati kodeks korporativnog upravljanju u Aktivni investitori bi trebali primjenjivati kodeks korporativnog upravljanju u
bankama i drugim financijskim institucijamabankama i drugim financijskim institucijama Primjena treba biti nadzirana od strane odbora za izvještavanjePrimjena treba biti nadzirana od strane odbora za izvještavanje Agencije za nadzor financijskih usluga (FSA) bi nadgledalaAgencije za nadzor financijskih usluga (FSA) bi nadgledala ponašanje ponašanje
investitorainvestitora Predsjednik bi bio podloţan godišnjem reizboruPredsjednik bi bio podloţan godišnjem reizboru Neizvršni direktori bi trebali provoditi više vremena na posluNeizvršni direktori bi trebali provoditi više vremena na poslu UvoĊenje u posao i redovita edukacija neizvršnih direktoraUvoĊenje u posao i redovita edukacija neizvršnih direktora Neizvršni direktori bi trebali prolaziti stroţi proces odobravanja od strane Neizvršni direktori bi trebali prolaziti stroţi proces odobravanja od strane
Agencije za nadzor financijskih usluga (FSA)Agencije za nadzor financijskih usluga (FSA) Banke bi morale imati razinu odbora za rizike na razini neizvršnih direktoraBanke bi morale imati razinu odbora za rizike na razini neizvršnih direktora Odbori za rizike bi trebali uvelike preispitivati i ukoliko je potrebno blokirati Odbori za rizike bi trebali uvelike preispitivati i ukoliko je potrebno blokirati
znaĉajne transakcije.znaĉajne transakcije. Osoba odgovorna za rizike mora imati izvještajnu liniju prema odboru za Osoba odgovorna za rizike mora imati izvještajnu liniju prema odboru za
rizikerizike Obveza izvještavanja o pravima visoko plaćenih djelatnika koji će dobiti Obveza izvještavanja o pravima visoko plaćenih djelatnika koji će dobiti
znaĉajne znaĉajne beneficijebeneficije
OSTALA IZVJEŠĆAOSTALA IZVJEŠĆA 4/44/4
23
SMJERNICE ZA 8. DIREKTIVU EU SMJERNICE ZA 8. DIREKTIVU EU
ZAKONA O PODUZEĆIMAZAKONA O PODUZEĆIMA
24
KORPORATIVNA PRAVILA I INTERNA REVIZIJA
EU regulativa sve više pokriva podruĉja koja se odnose na internu revizijuEU regulativa sve više pokriva podruĉja koja se odnose na internu reviziju
UvjetUvjet zaza donošenjedonošenje jedinstvenihjedinstvenih pravilapravila jeje EUEU zakonodavstvozakonodavstvo
EUEU regulativaregulativa svesve viševiše primjenjujeprimjenjuje anglosaksonskeanglosaksonske zakonezakone ii regulativuregulativu
ECIIAECIIA jeje sklopilasklopila sporazumesporazume oo suradnjisuradnji ss velikimvelikim brojembrojem strukovnihstrukovnih
organizacijaorganizacija nana razinirazini EuropeEurope
UspostavljenUspostavljen jeje posebniposebni odborodbor zaza javnijavni sektorsektor
ZaZa javnijavni sektorsektor sese uspostavljajuuspostavljaju jedinstvenajedinstvena pravilapravila
VelikiVeliki brojbroj korporativnihkorporativnih pravilapravila moţemoţe sese koristitikoristiti ii zaza neprofitnineprofitni sektorsektor
NajznaĉajnijiNajznaĉajniji diodio korporativnihkorporativnih pravilapravila (Objedinjena(Objedinjena pravila)pravila) definirajudefiniraju mjestomjesto ii
uloguulogu tete zadatkezadatke interneinterne revizijerevizije ii odgovornostodgovornost organizacijeorganizacije -- menadţmentamenadţmenta
RadiRadi sese nana definiranjudefiniranju pravilapravila zaza certificiranjecertificiranje internihinternih revizorarevizora uu javnomjavnom
sektorusektoru (CGAP(CGAP –– EUGAP)EUGAP)
ZaZa sadasada sese polaţupolaţu ispitiispiti zaza ovlaštenogovlaštenog internoginternog revizorarevizora uu javnomjavnom sektorusektoru
(CGAP)(CGAP) premaprema pravilimapravilima IIAIIA GlobalGlobal BudućiBudući dada jeje najvećinajveći interesinteres EUEU uvoĊenjeuvoĊenje
redareda uu javnomjavnom sektorusektoru najvišenajviše sese jeje uĉinilouĉinilo uu podruĉjupodruĉju javnogjavnog sektorasektora
PodruĉjePodruĉje prijevareprijevare ii korupcijekorupcije svesve viševiše ćeće bitibiti uu fokusufokusu interneinterne revizijerevizije
25
KORPORATIVNA PRAVILA I INTERNA REVIZIJAKORPORATIVNA PRAVILA I INTERNA REVIZIJA
StandardiStandardi interneinterne revizijerevizije implementirajuimplementiraju korporativnihkorporativnih pravilapravila ii najboljunajbolju
praksupraksu korporativnogkorporativnog upravljanjaupravljanja
MOPDMOPD definiradefinira korporativnokorporativno upravljanjeupravljanje,, kaokao:: ''kombinacijukombinaciju procesaprocesa ii
strukturastruktura kojekoje provodiprovodi upravauprava uu svrhusvrhu informiranjainformiranja,, usmjeravanjausmjeravanja,,
upravljanjaupravljanja ii nadzoranadzora aktivnostiaktivnosti organizacijeorganizacije uu svrhusvrhu postizanjapostizanja njenihnjenih
ciljevaciljeva
UU definicijidefiniciji interneinterne revizijerevizije jeje utvrĊenautvrĊena njezinanjezina ulogauloga ii zadatakzadatak uu
korporativnomkorporativnom upravljanjuupravljanju
InternaInterna revizijarevizija jeje integralniintegralni diodio okviraokvira korporativnogkorporativnog upravljanjaupravljanja ii moramora
sese definiratidefinirati korporativnimkorporativnim pravilimapravilima ii standardimastandardima interneinterne revizijerevizije
UlogaUloga interneinterne revizijerevizije ukljuĉujeukljuĉuje odgovornostodgovornost zaza procjenuprocjenu ii unapreunapreĊĊenjeenje
procesaprocesa korporativnogkorporativnog upravljanjaupravljanja kaokao dijeladijela funkcijefunkcije uvjerenjauvjerenja
OOkvirikviri ii zahtjevizahtjevi zaza korporativnokorporativno upravljanjeupravljanje varirajuvariraju ovisnoovisno oo tiputipu
organizacijeorganizacije ii regulatornomregulatornom zakonodavstvuzakonodavstvu
PrimjeriPrimjeri ukljuĉujuukljuĉuju dioniĉkadioniĉka društvadruštva,, neprofitneneprofitne organizacijeorganizacije,, udrugeudruge,, drţavnedrţavne
iliili kvazikvazi--drţavnedrţavne institucijeinstitucije,, akademskeakademske institucijeinstitucije,, privatneprivatne tvrtketvrtke,, odboreodbore ii
burzeburze vrijednosnihvrijednosnih papirapapira
GGlavnilavni revizorrevizor trebatreba nana adekvatanadekvatan naĉinnaĉin raditiraditi ss odboromodborom ii izvršnimizvršnim
menadţmentommenadţmentom kakokako bibi utvrdiliutvrdili kakokako definiratidefinirati korporativnokorporativno upravljanjeupravljanje
ZAKLJUĈNA RAZMATRANJAZAKLJUĈNA RAZMATRANJA
26
PoredPored MOPDMOPD--aa interniinterni revizorirevizori morajumoraju poznavatipoznavati ii korporativnakorporativna pravilapravila
KorporativnaKorporativna pravilapravila susu znaĉajniznaĉajni ii zaza radrad interneinterne revizijerevizije
EUEU zakonodavstvozakonodavstvo sese svesve viševiše usklaĊujeusklaĊuje ss anglosaksonskimanglosaksonskim
UU EUEU najduljunajdulju tradicijutradiciju uu definiranjudefiniranju pravilapravila radarada internihinternih revizorarevizora ii
korporativnihkorporativnih pravilapravila imaima VelikaVelika BritanijaBritanija
IzIz definicijedefinicije interneinterne revizijerevizije proizlazeproizlaze obvezeobveze internihinternih revizorarevizora uu primjeniprimjeni ii EUEU
regulativeregulative ii korporativnihkorporativnih pravilapravila tete uu korporativnomkorporativnom upravljanjuupravljanju
InterniInterni revizorirevizori proaktivnimproaktivnim pristupompristupom trebajutrebaju raditiraditi nana implementacijiimplementaciji EUEU
regulativregulativ –– pruţanjempruţanjem konzultantskihkonzultantskih uslugausluga
EUEU regulativaregulativa:: zakoni,zakoni, smjernice,smjernice, kodeksi,kodeksi, izvješizvješćća,a, direktive,direktive, preporuke,preporuke,
pravilapravila prupruţţajuaju struĉnistruĉni okvirokvir zaza radrad interneinterne revizijerevizije
PrimjenaPrimjena korporativnihkorporativnih pravilapravila uu podruĉjupodruĉju interneinterne revizijerevizije uskorouskoro ććee postatipostati
paneuropskopaneuropsko pitanjepitanje
EUEU imaima zadatkezadatke uu definiranjudefiniranju europskiheuropskih standardastandarda uu javnomjavnom sektorusektoru ii uu
certificiranjucertificiranju internihinternih revizorarevizora (CGAP(CGAP vsvs.. EGAP)EGAP)
InterniInterni revizorirevizori uu zemljamazemljama kandidatimakandidatima ćeće svesve viševiše koristitikoristiti pravilapravila ii
iskustvaiskustva EUEU uu svomsvom raduradu
Interna revizija i Interna revizija i
korporativno upravljanje u korporativno upravljanje u
javnim preduzećima u BiHjavnim preduzećima u BiH
Interna revizija i Interna revizija i
korporativno upravljanje u korporativno upravljanje u
javnim preduzećima u BiHjavnim preduzećima u BiH
Hajrudin Hadžović ( IIA BiH)
Direktor odjela za internu reviziju BH Telecom dd
Sarajevo (BiH)
Hajrudin Hadžović ( IIA BiH)
Direktor odjela za internu reviziju BH Telecom dd
Sarajevo (BiH)
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA F F –– Korporativno Korporativno upravljanjeupravljanje
““Očekivanja Očekivanja od interne od interne revizijerevizije ulaskom u ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 20132013..
2
SADRŽAJ:
1. Uvod
2. Javna preduzeća u BiH i korporativno
upravljanje
3. Javno preduzeće BH Telecom dd Sarajevo
4. Interna revizija i korporativno upravljanje u
BHTelecomu
5. Zaključak
Uvod
Pod korporativnim upravljanjem se podrazumjeva vještina
upravljanja i način kontrole preduzeća. Korporativno
upravljanje predstavlja i sistem putem koga se utvrđuju
ciljevi kompanije , kao načine i sredstva za postizanje tih
ciljeva i kontrolu njihovog ostvarenja. Dobro korporativno
upravljanje obuhvata skup pravila za dobro i odgovorno
rukovođenje u preduzeću. Korporativno upravljanje se
odnosi na strukture i procese upravljanja, usmjeravanja i
kontrole privrednih društava
3
Uvod
Osnovni ciljevi korporativnog upravljanja su
transparentnost poslovanja, efikasno korištenje njegovih
resursa i uspostavljanje odnosa između zainteresiranih
grupa koje će pomoći ostvarenju strateških ciljeva.
Korporativno upravljanje predstavlja razdvajanje vlasništva
nad kapitalom od rukovođenja i kontrolu nad radom
menadžera koji koriste sredstva preduzeća za postizanje
ciljeva preduzeća
4
Javno preduzeće i korporativno upravljanje u BiH
Model korporativnog upravljanja se po samoj prirodi stvari se može
implementirati u sve oblike preduzeća i organizacija bez obzira ko je
vlasnik kapitala i u kom pravnom obliku je preduzeće registrovano
Državni kapital u preovladava u javnim preduzećima koje , u smislu
zakona o Javnim preduzećima, jeste privredno društvo koje obavlja
djelatnost od javnog društvenog značaja
To je jedan od razloga što je upravljanje u javnim preduzećima značajno
za obezbjeđenje njihovog pozitivnog doprinosa cjelokupnoj
ekonomskoj efikasnosti i nacionalnom bogatstvu zemlje.
5
Javno preduzeće i korporativno upravljanje u BiH
Javno preduzeće, u smislu zakona o javnim preduzećima u FBiH,
jeste pravno lice koje je upisano u sudski registar kao privredno
društvo i koje obavlja djelatnost od javnog društvenog interesa
(energetika, komunikacije, komunalne djelatnosti, upravljanje javnim
dobrima i druge djelatnosti od javnog društvenog interesa) ili pravno
lice definisano kao javno preduzeće posebnim propisom.
Djelatnosti od javnog društvenog interesa utvrđuju općina, kanton i
Federacija Bosne i Hercegovine, svako u okviru svojih nadležnosti.
6
Javno preduzeće i korporativno upravljanje u BiH
Javno preduzeće u smislu zakona o javnim preduzećima u Republici
srpskoj je pravno lice koje je upisano u sudski registar kao privredno
društvo u formi akcionarskog društva ili društva sa ograničenom
odgovornošću, radi obavljanja djelatnosti od opšteg interesa i u čijem
osnovnom kapitalu Republika Srpska ili jedinica lokalne samouprave
direktno ili indirektno ima većinsko vlasništvo.
Odredbe ovog zakona primjenjuju se i na preduzeća koja u strukturi
vlasništva imaju najmanje 50% plus jedna akcija ili udjela u vlasništvu
Republike i koja zapošljavaju više od 50 lica.
7
Javno preduzeće i korporativno upravljanje u BiH
Sa satanovišta Interne revizije u zakonu su inkorporirani
elementi korporativnog upravljanja koji se ogledaju prije svega u
slijedećem :
-Odbor za reviziju je obavezan organ društva
-Uspostava odjela interne revizije je obaveza za Preduzeća koja
zapošljavaju više od sto zaposlenih ( U FBIH )
-Propisane su nadležnosti i odgovornosti u smislu
Identifikacije i procjene rizika, adekvatnih internih kontrola,
nezavisne vanjske revizije finansijskih izvještaja i dr
8
Javno preduzeće i korporativno upravljanje u BiH
Iskustva OECD-a pokazuju da dobro korporativno
upravljanje u državnim preduzećima značajno povećava
vrijednost preduzeća, njegov kredibilitet, povjerenje i dr.
Stoga se smatra da OECD principi i smjernice za
korporativno upravljanje pomažu državi u obavljanju
svoje vlasničke uloge. Ovo je naručiti važno za državna
preduzeća koja kotiraju na berzi.
9
Javno preduzeće i korporativno upravljanje u BiH
Problemi :
-državna preduzeća trpe nepravilan politički i individualno
praktično motivisan vlasnički uticaj
- pasivni, udaljen odnos države prema svom vlasništvu i
preduzeću.
- razvodnjavanja odgovornosti
- složen lanac zastupnika (direktor postavljen od strane
političke partije, uprava, nadzorni odbor, vlasnička tijela,
skupština, ministarstva, vlada), bez jasno i lako
prepoznatljiih vlastodavaca. 10
Osnovne informacije iz finansijskih izvještaja za
2012 dioničkog društva BH Telecom
BH Telecom u 000 KM u 000 €
*Ukupan prihod 611.606 312.709
*Ukupna rashod 464.130 237.306
*Bruto dobit (dobit prije poreza ) 147.476 75.403
*Neto dobit 131.701 67.338
*Ukupna imovina (aktiva ) 1.268.411 648.528
*Ukupan kapital 1.104.879 564.915
*Ukupne obaveze 163.532 83.612
*Prosječan broj zaposlenih (stanje krajem mjeseca ) 3.455
*Ukupan prihod po zaposlenom 177 91
* Zarada po dionici (btto apsl. ) 2,324 1,188
11
Javno preduzeće BH Telecom dd Sarajevo
Javno preduzeće „BH Telecom“ d.d. Sarajevo je privredno društvo
organizovano kao kao otvoreno dioničko društvo sa praksom
korporativnog upravljanja, koje samostalno obavlja privrednu djelatnost
radi sticanja dobiti. Preduzeće je nastalo nakon reorganizacije ranijeg
preduzeća JP PTT Saobraćaja BiH Sarajevo i podjele na JP „BH
Pošta“ d.o.o. Sarajevo i JP „BH Telecom“ d.o.o. Sarajevo.
Osnivač preduzeća je Federacija BiH, a osnivačka prava u ime
osnivača vrši Vlada Federacije BiH, putem Federalnog ministarstva
prometa i komunikacija.
12
Javno preduzeće BH Telecom dd Sarajevo
Početkom 2003. godine okončana je djelimična privatizacija preduzeća
kojom je 10 % kapitala privatizirano putem javne ponude dionica.
Društvom upravljaju dioničari u skladu sa Zakonom o privrednim
društvima, Zakonom o tržištu vrijednosnih papira, Zakonom o javnim
preduzećima u Federaciji Bosne i Hercegovine, Pravilnikom o
upravljanju dioničkim društvima, te drugim relevantnim zakonima i
statutom društva.
Skraćeni naziv je: BH Telecom d.d. Sarajevo
Osnovna djelatnost Društva je pružanje telekomunikacijskih usluga
fiksne i mobilne telefonije, internet usluga i prijenos podataka na
lokalnom, državnom i međunarodnom nivou. 13
Javno preduzeće BH Telecom dd Sarajevo
Organizacija rada utvrđena Statutom, detaljno je uređena Pravilnikom
o radu.
Društvo je organizovano kao jedinstvena samostalna organizacija i
ekonomsko-poslovna cjelina na funkcionalnom, tehnološkom,
procesnom i teritorijalnom principu, čime se stvaraju pretpostavke za
uspješno poslovanje i efikasnost u upravljanju i rukovođenju.
Sjedište Društva je u Sarajevu, ulica Obala Kulina bana broj 8.
Na dan 31.12.2012. godine, u Društvu je bilo
zaposleno 3.463 zaposlenika,
14
Javno preduzeće BH Telecom dd Sarajevo
Organi Društva su:
a) Skupština;
b) Nadzorni odbor;
c) Uprava Društva i
d) Odbor za reviziju
15
Javno preduzeće BH Telecom dd Sarajevo
Skupštinu Društva čine dioničari.
Nadzorni odbor sačinjavaju predsjednik i šest članova, koje
pojedinačno bira i razrješava Skupština Društva.
Predsjednik i članovi Nadzornog odbora imenuju se istovremeno
na period od četiri godine, s tim da po isteku perioda od dvije
godine od dana imenovanja Skupština Društva glasa o
povjerenju članovima Nadzornog odbora.
16
Javno preduzeće BH Telecom dd Sarajevo
Upravu Društva čine generalni direktor i izvršni direktori
Generalnog direktora imenuje Nadzorni odbor, na osnovu
javnog konkursa, u skladu sa zakonom, na period od četiri
godine, bez ograničenja mogućnosti ponovnog imenovanja.
Generalni direktor predsjedava Upravom, rukovodi poslovanjem,
zastupa i predstavlja Društvo i odgovara za zakonitost
poslovanja.
Generalni direktor je zakonski zastupnik Društva, bez
ograničenja.
17
Javno preduzeće BH Telecom dd Sarajevo
Odbor za reviziju čine predsjednik i dva člana, koje imenuje
Skupština Društva na prijedlog Nadzornog odbora odnosno
dioničara ili grupe dioničara s najmanje 5% dionica s pravom
glasa.
Predsjednik ili član Odbora za reviziju ne može biti član
Nadzornog odbora ili Uprave ili zaposlen u Društvu, niti smije
imati direktni ili indirektni finansijski interes u Društvu, izuzev
naknade po osnovu te funkcije.
18
Interna revizija i korporativno upravljanje u BH
Telecomu
• Statutom društva koji je usklađen sa Zakonom o javnim
preduzećima Interna revizija je uvedena kao obaveza ,
sa zakonom definisanim obavezama i odgovornostima
koji u suštini inkorporiraju principe korporativnog
upravljanja. U organizaciji društva Odjel interne revizije
je postavljen kao samostalni organizacijski dio podređen
Odboru za reviziju a preko odbora za reviziju i sa
Nadzornim Odborom i Skupštinom društva. Odjel ima
direktnu komunikaciju sa Upravom društva i svim
organizacionim dijelovima19
Interna revizija i korporativno upravljanje u BH
Telecomu
20
Interna revizija i korporativno upravljanje u BH
Telecomu
Uloga
Odjel provodi aktivnosti interne revizije, neovisno i
objektivno utvrđuje efikasnost i ostvarivanje svih
poslovnih procesa preduzeća u skladu sa trogodišnjim
planom poslovanja, i drugim aktima koje su donijeli
Uprava i Nadzorni odbor društva. Odjel upozorava na
nepravilnosti i na neusklađenost sa zakonskim i drugim
propisima kojima se uređuje poslovanje društva, te daje
preporuke za otklanjanje nepravilnosti i unapređenje
poslovanja društva radi smanjenje rizika u poslovanju. 21
Interna revizija i korporativno upravljanje u BH
Telecomu
Misija
Misija interne revizije je da pomogne preduzeću u
ostvarenju ciljeva osiguravajući sistematičan,
discipliniran pristup ocjeni i poboljšanju efikasnosti
upravljanja rizikom, kontrolama i procesima upravljanja,
te da svojom aktivnošću unaprijedi poslovanje i doda
nove vrijednosti nezavisnim i objektivnim uvjeravanjem i
uslugom savjetovanja.
22
Interna revizija i korporativno upravljanje u BH
Telecomu
Strateški ciljevi interne revizije :
1. Davanje stručnog mišljenja i savjeta s ciljem dodavanja
vrijednosti i poboljšanja poslovanja organizacije, u skladu sa
definicijom interne revizije, etičkim kodeksom i Međunarodnim
stanadardima profesionalne prakse interne revizije
2. Pružanje pomoći organizaciji u ostvarivanju ciljeva primjenom
sistematičnog i discipliniranog pristupa vrednovanju i
poboljšanju efektivnosti procesa upravljanja rizicima i
kontrolama.
23
Interna revizija i korporativno upravljanje u BH
Telecomu
. Nezavisno i objektivno procjenjivanje prikladnosti i efektivnosti
sistema finansijskog upravljanja i kontrola u odnosu na:
• utvrđivanje, procjenu i upravljanje rizicima;
• usaglašenost sa zakonima i drugim propisima;
• pouzdanost i sveobuhvatnost finansijskih i drugih informacija;
• efikasnost, efektivnost i ekonomičnost poslovanja;
• zaštitu imovine i informacija,
• obavljanje zadataka i ostvarivanje ciljeva;24
Interna revizija i korporativno upravljanje u BH
Telecomu
Aktivnosti Odjela interne revizije
Aktivnosti interne revizije se definišu u planovima Interne revizije
(strateškim trogodišnjim i Operativnim godišnjim ). Planovi
Odjela se baziraju na :
-Procjeni rizika ( strategija rizika ) , usaglašenoj sa Upravom i
odobrenom od Odbora za reviziju
-Strateškim i drugim planovima Društva, smjernicama, politikama
i dr.
-Rezultatima i nalazima prethodno obavljenim internim
revizijama
-Rezultatima i nalazima eksternih revizora i kontrolnih organa
-Zahtjevima Uprave, Odbora za reviziju i Nadzornog odbora25
Interna revizija i korporativno upravljanje u BH
Telecomu
Izvještaji i preporuke
O obavljenim revizijama sačinjavaju se Izvještaji koji se
usaglašavajui sa revidiranim jedinicama i Upravom
društva. Izvještaji sadrže sve bitne informacije o
obavljenoj reviziji, nalaze , zapažanja. zaključke i
preporuke
Odbor za reviziju je razmatra i usvaja dostavljene izvještaje
sa predloženim preporukama. Odbor za reviziju ima
ključnu ulogu u razumjevanju izvještaja i datih preporuka 26
Interna revizija i korporativno upravljanje u BH
Telecomu
Osnovni zadatak Odbora za reviziju jeste da nakon
usvajanja preko svog izvještaja o aktivnostima ,
obavljenim revizijam i datim preporukama upozna
Nadzorni odbor koji ima obavezu da od Uprave zahtijeva
provođenje i realizaciju po datim preporukama.
Nalazi i preporuke IR trebaju da doprinesu minimiziranju
rizika i boljem funkcionisanju sistema internih kontrola
što u konačnici doprinosi ispunjavanju postavljenih
ciljeva društva27
Interna revizija i korporativno upravljanje u BH
Telecomu
28
Zaključak
Korporativno upravljanje nije fraza, ono je prije praksa koju
treba prihvatiti, ono je odgovornost, kontrola,
transparentnost i napredak.
Primarne funkcije odbora za reviziju najčešće se povezuju
s područjem internih kontrola i upravljanja rizicima,
financijskog izvještavanja, primjene zakonskih propisa i
regulative te s relevantnim područjima i pitanjima u vezi
procesa eksterne i interne revizije.
29
Zaključak
Da bi interni revizori bili uspješni i opravdali svoje
postojanje i djelovanje u skladu sa definicijom ,razvijeni
su novi pristupi revidiranju (revizija uspješnosti ) i nove
revizijski proizvodi i usluge. Dakle interna revizija se
mora aktivno uključivati i pridonositi ostvarivanju ciljeva
preduzeća. Prilagođavanje interne revizije svim
promjenama i izazovima je obaveza , jer jedino na taj
način je moguće postići ključni cilj : „dodavanje novih
vrijednosti i pomoć organizaciji u ispunjenju ciljeva“
30
32
Internal Audit Role in Improving Internal Audit Role in Improving
Governance Capability Governance Capability to leverege to leverege bbusiness succes usiness succes
of innovative of innovative oorganizationsrganizations
Internal Audit Role in Improving Internal Audit Role in Improving
Governance Capability Governance Capability to leverege to leverege bbusiness succes usiness succes
of innovative of innovative oorganizationsrganizations
János IvanyosIIA Hungary
Board-member and Secretary of the Corporate Governance
Section at the Hungarian Economic Association
János IvanyosIIA Hungary
Board-member and Secretary of the Corporate Governance
Section at the Hungarian Economic Association
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA –– Korporativno upravljanjeKorporativno upravljanje
“Izazovi interne revizije ulaskom u Europsku uniju”, Umag 12.“Izazovi interne revizije ulaskom u Europsku uniju”, Umag 12.––14. travnja 2012.14. travnja 2012.
2
Content:
• Key roles and drivers in Enterprise Governance
• Strengthening Business Trust and Sustainability
• Compliance vs. Uncertainties
• Necessary Skills for Assessing Governance
• Trusted Business Coaching Program of
Governance Capability Assessment
• Enterprise Goals driven Integrated Assurance
Management Scenarios
• Internal Audit and External Quality Review of
Governance Capability Improvement
3
4
5
Strengthening Business Trust and Sustainability
6
7
8
9
10
11
12
13
14
15
16
Zahvaljujem na pažnji!
E-mail: [email protected]
Thank you for your attention!
In case of further interest, please visit the
www.training.ia-manager.org
for receiving more information about the implementation practices
of the ”Governance Model for Trusted Businesses” and related
training programs.
Rieser Johann Ministry of Finance, Vienna
Rieser Johann Ministry of Finance, Vienna
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
Plenarni dio Plenarni dio -- 2 dan2 dan
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Background
• Sound financial management of EU Funds is
essential to ensure that all European funding
resources are spent properly and efficiently.
• Audits of EU Funds have to follow international
auditing standards, a duty which is described in
Article 62 of the EU Regulation EC 1083/2006.
Background
• Around 80% of the budget is subject to shared
management of expenditure between the Commission
and the Member States.
• There is a high level of complexity in the rules applied
in the implementation of so many different
expenditure programmes in the 27 Member States.
Background
• EU and the member states have political
responsibility for the functioning of the European
Union, and public accountability must contribute to the
objectives of democratic control and transparency for
the benefit of EU citizens.
• Member state accountability and control are important
aspects of this responsibility.
Background
• The European Commission has set out detailed
arrangements on the management and control systems to
be operated by Member States.
• Member States are now given more responsibility in
monitoring their Operational Programs and are required to
carry out their own audits.
• Auditors working in the field of European Funds need to
face these new challenges in their audit strategies and
meet the new audit requirements. Accurate knowledge of
the current regulations and guidelines are essential
(knowing the business).
Background
• European Agricultural Guarantee Fund (EAGF)
• European Agricultural Fund for Rural Development (EAFRD)
• European Fisheries Fund (EFF)
• European Regional Development Fund (ERDF)
• European Social Fund (ESF)
• European Integration Fund (EIF)
• European External Borders Fund (EBF)
• European Return Fund (RF)
• European Refugee Fund (ERF)
Authorities designated (min.)
For each programme:
– Managing Authority/Paying Agency (MA/PA)
– Audit Authority (AA)
– Certifying Body (CB)
Challenges?
Not “internationally accepted auditing
Standards” are challenging
but
“Knowing the business” - There is a high level of
complexity in the rules applied and in the
organizational structure among the 27 Member
States.
Challenges?
significant methodological and logistical challenge
because of the
large number of systems and subsystems and
transactions to be covered;
Different organizations involved (public, state
owned, private)
Complex legal basics (EU-regulations, nat. laws)
Many Guidelines (obligatory?)
10
Certifying EAGF
• The management of agricultural expenditure is, in the main,
shared between the Member States and the Commission;
• The final recognition of expenditure by the Commission is
determined through a procedure called the clearance of
accounts
title/author/place/date
Certifying EAGF
• COMMISSION REGULATION (EC) No 885/2006
• Article 5 - Certification
• 2. The certification body shall conduct its examination
of the paying agency concerned according to
internationally accepted auditing standards taking into
account any guidelines on the application of these
standards established by the Commission.
Certifying EAGF
• COMMISSION REGULATION (EC) No 885/2006
• Article 7 - Certification
• The certification body shall be a public or private legal
entity designated by the Member State with a view to
certifying the truthfulness, completeness and
accuracy of the accounts of the accredited paying
agency, taking account of the management and
control systems set up.
Certification Post 2013
• The Presidency compromise proposal for Article 56(5) of
the Financial Regulation
• “the opinion of an independent audit body, drawn up in
accordance with internationally accepted audit standards,
– on the completeness, accuracy and veracity of
the accounts,
– on the proper functioning of the control
systems put in place as well as
– on the legality and regularity of the underlying
transactions.”
Certification Post 2013
• Article 9(1) of the compromise proposal of the Horizontal
Regulation:
• The certification body shall provide an opinion on:
- the completeness, accuracy and veracity of the annual
accounts of the paying agency,
- the proper functioning of its internal control system,
- the legality and regularity of the underlying transactions;
Certification Post 2013
• New Guideline
• Guidelines are intended to assist the Certifying
Bodies (CBs)
– in the establishment of their audit strategy
– reinforcing the assurance as to the legality and
regularity of the payments at the level of final
beneficiaries.
Certification Post 2013
Should the audit work carried out not provide the
Commission with sufficient assurance to clear the
accounts, the Commission can request additional
work from that certification body and keep the
accounts disjoined until the necessary work has
been done and the assurance obtained.
Certification Post 2013
Audit assurance
– The total level of assurance required from audit testing has been set at 95%. This overall degree of audit assurance is obtained from
– 1) assessing the control environment including compliance testing and
– 2) substantive testing of files.
Certification Post 2013
• Assessment of control environment
• This includes:
• - “Walk through” tests to confirm its understanding of the
schemes and control procedures;
• - A review of the “translation” process, whereby the
requirements set out in EU Regulations are incorporated in
the PA’s manual and computer procedures and written
instructions.
Certification Post 2013
• Assessment of control environment
work to establish whether:
– written guidance on the receipt, processing
and authorisation of claims is comprehensive
and up-to-date and available to all staff;
– authorisation, payment and accounting duties
are appropriately segregated and subject to
supervisory control;
Certification Post 2013
• Assessment of control environment
The CB should review:
– instructions and manuals;
– human resources;
– training and competence of controllers;
– methodology and equipment;
– agreement with delegated bodies;
– the monitoring and supervision systems in place by
the Paying Agency.
Certification Post 2013
• Assessment indicated in the matrix by using
the following grades:
– 1 - clear non-respect of the accreditation
criterion or serious deficiencies
– 2 - poor
– 3 - adequate
– 4 - good
– 5 - best practice
Certification Post 2013
MATRIX I - Assessment of the accreditation criteria of the EAGF
Assessment
component
Procedure
Internal environment
Control
activities
Information and
communicationMonitoring
Organisa
-tional
structure
Human
resource
s
Delegate
tasks
Commun
i-cation
IT Secur-
ity
Ongoing
monitoring
Internal
Audit
Authorization
Administrative
controls 3 3 4 3 3 (3) 3 (3)
On-the-spot
controls 3 3 3 3 3 (3) 5 3
Execution of payments 3 (3) N/A 3 4 3 4 (3)
Accounting 4 3 3 3 4 4 3 3
Certification Post 2013
Monetary Unit Sampling (MUS)
The chief characteristic of MUS is that, although each monetary unit within the population has an equal chance of being selected, higher value items have a higher probability of being selected, as they contain more monetary units.
- it is a way of producing unbiased, or almost unbiased, samples and of objectively evaluating the errors identified.
Certification Post 2013
Part 1 - Calculation of sample sizes
Example 1 Example 2 Example 3 Example 4
Materiality 2% 2% 2% 2%
Estimated error 10% 10% 15% 15%
Confidence level 95% 85% 95% 85%
Population 2.000.000 2.000.000 2.000.000 2.000.000
Materiality 40.000 40.000 40.000 40.000
Estimated error 4000 4000 6000 6000
Calculation of sample interval and sample size (using the software ACL) for a given confidence level
Sampling interval 11000 17937 9833 16379
Sample size 181 111 203 122
Certification Post 2013
Defition: Population
– A population is a set of transactions for
which the control system can be said to be
homogenous.
– Any populations which have a different
control system should be treated separately,
and a separate sample should be taken.
Certification Post 2013
Systematic errors are those which normally
occur in closely defined circumstances, and
which affect normally a small proportion of
transactions.
For example, it might be possible to establish that a
certain type of error only occurred during a certain
time period.
= known errors
Certification Post 2013
Random errors are those that could have
occurred in any of those transactions which
were not sampled for testing.
It is necessary to assume that the same type of error
could, in principle, have affected any of the non-
sampled transactions. The CB must, therefore,
extrapolate all random errors over the entire
population, in order to estimate their total effect.
= Unknown errors
Certification Post 2013
• Reporting
• Guideline N°5 - Model of report for the Certification Bodies
• The structure/layout of this Guideline addresses the points
to be reported by the CBs. The CBs may modify the
structure/layout in order to reduce possible repetition,
providing that all the points are covered in the report and
the text clearly distinguishes the issues relating to different
Funds and relevant populations.
Certification Post 2013
TABLE OF CONTENTS
SECTION A - EAGF ........................................................................................ 12
1. EXECUTIVE SUMMARY ............................................................................ 13
2. AUDIT STRATEGY .................................................................................. 26
3. RECONCILIATION OF MONTHLY AND ANNUAL DECLARATIONS ................ 28
4. RELATIONSHIP BETWEEN KEY BODIES AND THE ORGANISATION OF THE PAYING AGENCY ............................................................................. 35
5. COMPLIANCE WITH ACCREDITATION CRITERIA ...................................... 36
6. OPERATIONAL TRANSACTIONS .............................................................. 48
7. NON-OPERATIONAL TRANSACTIONS ...................................................... 50
8. OTHER MATTERS ................................................................................... 53
9. FOLLOW-UP OF PREVIOUS YEARS' RECOMMENDATIONS ......................... 63
Followed by SECTION B – ELER………………………………………………………………….106
Certification Post 2013
CB`s audit strategy document:
– the audit scope and objectives;
– key audit activities arising from the risk assessment;
– audit assurance and materiality;
– systems and controls;
– the audit approach;
– the nature and extent of the CB's reliance on the work of others (Internal Audit, other audit bodies);
– the CB's audit report, certificate, and opinion on the Statement of Assurance
– an audit timetable, a description of audit resources and a contact (liaison) point.
Certification Post 2013
• "single audit approach„
• Underlying the concept of single audit and reliance on the
work of other auditors is the objective of making better and
more efficient use of audit resources and reducing the
burden on the auditee by avoiding uncoordinated and
overlapping audit activity.
• The requirements for achieving this are: good coordination
between the audit authorities and other audit bodies in the
planning phase, as well as during the execution of the
audit plans;
Certification Post 2013
• "single audit approach„
• audit work carried out on the basis of common standards
and methodology by the audit authorities;
• immediate exchange and use of audit findings between the
audit authorities. Preparation and execution of audits at all
levels involves the use of audit results of other parts of the
cascade;
• meetings on a regular basis between the different audit
authorities.
Certification Post 2013
• "single audit approach„
• The audit authority is responsible for ensuring that the
work carried out by such bodies is in line with
internationally accepted audit standards
• is in line with the audit strategy
• is in line with the Community regulatory framework, and
• can be relied on for purposes of the annual control report
Certification Post 2013
• "single audit approach„ - standards
• Guideline No 25 of the European Implementing Guidelines
for the INTOSAI Auditing Standards covers the concept of
using the work of other auditors and experts by the
European Supreme Audit Institutions.
• International Standard on Auditing (ISA) No 600 concerns
the use of the work of another auditor. Study No 4 of the
Public Sector Committee gives a public sector perspective
in applying this standard and states that ISA 600 is also
applicable in public sector auditing.
Certification Post 2013
• "single audit approach„ -structure
• Application
• Managing authority
Processing
Payment
accounting
ICS
• Audit Authority
• Certifying Body
Certification Post 2013
• "single audit approach„ -structure
• DG Agri
Control department – Clearance of Accounts
• Court of Auditors
• European Parliament
Certification Post 2013
• Assurance is based on:
• First level verifications (Managing Authority)
• Audit work by the Audit Authority
• Certification of expenditure + information
irregularities (by the Certifying Body)
• Audit work by the Commission
Certification Post 2013
• Member State responsible for:
• Set up of a management and control system which
complies with requirements of regulations
• Ensuring that systems function effectively - i.e.
certification reliable
• Preventing, detecting, correcting irregularities
• Set up of Audit Authority
• Set up of Certifying Body
Certification Post 2013
• Managing Authority
• Responsibility for:
– Desk and on-spot verifications of operations
– Compliance with information and publicity
requirements
– Ensuring the audit trail (levels: MA/intermediate
body and beneficiary)
– On-spot verifications, possibly on a sample basis
– Written standards and proper recording of checks
– To inform beneficiaries of all conditions for funding,
including the time limit for execution
Certification Post 2013
• Audit Authority
• The AA plays a key role in providing assurance to
the Commission on the functioning of the
management and control systems through
-> system audits and audits of operations
Certification Post 2013
• Certifying Body
Certification must be based on reliable
accounting system and verifiable supporting
documents;
Be in compliance with EU and national rules;
Examination of information received from MA on
verifications carried out to expenditure;
CB’s own checks, including audit trail at level
MA/intermediate body and possible sample
checks of project files;
Assessment of audit reports.
Certification Post 2013• Commission
to obtain assurance that the systems of the
member states are in compliance with EU-
Regulations the Commission services will carry
out audits to verify the functioning of the
systems.
Primarily focus on verifying the reliability of the
audit work of the AA and CB´s in line with the
concept of the single audit approach
But also own systems audits + testing of
operations
Certification Post 2013
Certification Post 2013
• “Reasonable assurance”
• Reasonable assurance is obtained when the auditor has
reduced audit risk to an acceptably low level through the
judicious design and careful implementation of appropriate
audit procedures.
• In this context, reasonable assurance is a concept relating
to the accumulation of audit evidence necessary to draw
adequate audit conclusions.
Certification Post 2013
• “Assurance for Legality & Regularity ”
• Re-performance - the files sampled by the CB to be
checked for L&R have to be verified for compliance with
the regulatory and procedural arrangements; these should
cover three main control functions:
• (i) receipt of claim and its administrative processing in
terms of eligibility; and
• (ii) on-the-spot controls to be carried out; and
• (iii) authorisation of expenditure.
Certification Post 2013
• All guidelines can be found on CIRCABC
• http://circabc.europa.eu
CIRCABC offers:
•Distribution and management of documents and files
in any format, any language and with version control
•Easy management of documents and users through
interactive forms
•Advanced access control
•CIRCABC software is also offered free of charge
under EUPL 1.1 (European Union Public Licence)
Future for auditors
• Around 80 Certifying Bodies (public/private)
• Hundreds of Audit Authorities (public/private)
• Public Internal Control (PIC – the former PIFC)
strengthens the Internal Audit function
• Managerial accountability structures and internal control
set-up are today's key governance factors that determine
the quality and effectiveness of the public sector in
managing the national budgets;
• Need for professionals (CIA, CGAP,…..)
““Horizontalne revizije EU Horizontalne revizije EU
fondova fondova -- pripremapriprema RH za RH za
ulazak u EUulazak u EU ”
““Horizontalne revizije EU Horizontalne revizije EU
fondova fondova -- pripremapriprema RH za RH za
ulazak u EUulazak u EU ”
mr.sc. Ljerka Crnković
Ministarstvo financija
Središnja harmonizacijska jedinica
mr.sc. Ljerka Crnković
Ministarstvo financija
Središnja harmonizacijska jedinica
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
Plenarni dio Plenarni dio -- 2 dan2 dan
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj:
1. Uvod
2. Obveza revidiranja sredstava iz EU fondova
3. Horizontalne revizije EU fondova• Horizontalne revizije u razdoblju od 2008. do 2012.
• Horizontalne revizije u 2013.
4. Priprema unutarnje revizije za ulazak u EU• Povećanje broja unutarnjih revizora
• Jačanje stručnost unutarnjih revizora
• Osiguranje kvalitete rada unutarnje revizije
5. Zaključak
2
1. Uvod
• Jedna od pretpostavki uspješnog i učinkovitog korištenja fondova Europske unije (EU fondova)
– učinkovit sustav upravljanja i kontrole unutar nacionalnih struktura zaduženih za njegovu provedbu
• Unutarnja revizija revidira sustav upravljanja i kontrola u skladu s nacionalnom i EU regulativom
• Unutarnja revizija daje stručno mišljenje je li uspostavljen djelotvoran i učinkovit sustav upravljanja i kontrola, te procjenjuje usklađenost i uspješnost poslovanja u smislu funkcionalnosti i učinkovitosti
2. Obveza revidiranja sredstava iz EU fondova
• Nacionalna regulativa
Zakon o sustavu unutarnjih financijskih kontrola u javnom sektoru (141/06)
Unutarnja revizija je neovisna aktivnost koja
- procjenjuje sustave unutarnjih kontrola,
- daje neovisno i objektivno stručno mišljenje i savjete za
unapređenje poslovanja;
- pomaže korisniku proračuna u ostvarenju ciljeva primjenom
sustavnog i disciplinarnog pristupa vrednovanju i
poboljšanju djelotvornosti procesa upravljanja rizicima,
kontrola i gospodarenja
Unutarnja revizija kod korisnika proračuna koji koriste sredstva EU
svojim stručnim mišljenjem pridonosi zaštiti financijskih interesa EU
2. Obveza revidiranja sredstava iz EU fondova
• Regulativa EU
IPA Provedbena regulativa (718/2007, 80/2010)
• obveza uspostave i rada unutarnje revizije
• obveza uspostave sustava upravljanja i kontrola -
Akreditacijski kriteriji
2. Obveza revidiranja sredstava iz EU fondova
• Akreditacijski kriterij - Aktivnosti praćenja
– unutarnja revizija treba osigurati da se čelnicima (čelnicima operativne strukture) dostavljaju neovisne ocjene rada njihovih sustava na podreĎenim razinama
– mogu uključivati neke naknadne provjere transakcija, ali više trebaju biti usredotočene na učinkovitost i djelotvornost sustava i načina organizacije
2. Obveza revidiranja sredstava iz EU fondova
• Obveza uključivanja u Godišnji plan unutarnje revizije
najmanje jedne revizije iz područja EU fondova (na
temelju procjene rizika)
• Sporazumi o izvješćivanju osobe nadležne za upravljanje i
provedbu određene komponente programa IPA o nalazima
unutarnje revizije tijela Operativne strukture
• Priručnici o postupanju tijela Operativne strukture
• Metodologija za izradu Izjave o jamstvu
• Vodič za odricanje od prethodnih kontrola Delegacije EU
• Revizije na temelju dopisa Nacionalnog dužnosnika za
ovjeravanje - Horizontalne revizije
3. Horizontalne revizije EU fondova
• Nacionalni dužnosnik za ovjeravanje procjenjuje rizike na temelju
• izvješća Zajedničkog odbora za praćenje
• raznih izvješća o provedbi projekata i programa
• Informacije o nalazima i preporukama unutarnje i vanjske revizije
• Cilj horizontalnih revizija
• dobivanje općeg pregleda uspostavljenih kontrola u istovrsnim poslovnim procesima koji se odvijaju u više ili u svim institucijama
3. Horizontalne revizije EU fondova
Pregled subjekata i aktivnosti prilikom obavljanja horizontalnih revizija
Nacionalni dužnosnik za
ovjeravanje
Središnja
harmonizacijska
jedinica
Jedinice za unutarnju
reviziju
Čelnici Operativnih
struktura
Na osnovi procjene rizika
utvrđuje područja za koja postoji
potreba obavljanja revizije
Dopisima izvješćuje sve
uključene institucije i unutarnje
revizore o potrebi uključivanja
unutarnjih revizija u godišnje
planove rada
Zadužuje Središnju
harmonizacijsku jedinicu za
koordinaciju aktivnosti:
obavljanja unutarnje revizije
sastavljanja objedinjenih
izvješća
Koordinira aktivnosti
obavljanja unutarnje revizije
(Akcijski plan, Radna
skupina, izrada smjernica za
rad, predloška Uvodne
izjave, upitnika…)
Koordinira aktivnosti izrade
Objedinjenih izvješća
U godišnji plan unutarnje
revizije uključuju reviziju
područja za kojim postoji
potreba za obavljanje revizije
Obavljaju unutarnju reviziju
Konačna revizorska izvješća
dostavljaju čelnicima institucija
i voditeljima programa
Sažetke nalaza i akcijskih
planova dostavljaju čelnicima
operativnih struktura
Na razini operativnih
struktura izrađuju Objedinjena
izvješća koja dostavljaju
čelnicima institucija, čelnicima
operativnih struktura i
Nacionalnom dužnosniku za
ovjeravanje
Izvješćuju Nacionalnog
dužnosnika za ovjeravanje
o nalazima i preporukama
unutarnje revizije
(sustav izvješćivanja
prelazi granice jedne
institucije)
Objedinjeno izvješće dostavlja
Europskoj komisiji
Prezentira Objedinjeno
izvješće i provedbu
preporuka na Zajedničkom
odboru za praćenje
3. Horizontalne revizije u razdoblju 2008. – 2012.
• Revizija poslovanja jedinica za provedbu projekata za programe CARDS, PHARE i IPA I (2008.)
• Revizija procesa realizacije ugovora za projekte iz programa CARDS, PHARE (2009.), praćenje provedbe preporuka (2010.)
• Revizija pripremljenosti sustava za funkcioniranje bez prethodnih kontrola Delegacije EU (2010.) (IPA I, III i IV), praćenje provedbe preporuka IPA I (2010., 2011.), IPA III i IV (2011.)
• Revizija održivosti završenih projekata iz programa PHARE i IPA I (2011.)
• Revizija provedbe projekata u tijeku iz programa IPA I, II, III i IV – Revizija procesa plaćanja i kontrola na licu mjesta (2011.)
• Revizija provedbe projekata u tijeku iz programa IPA I, II, III i IV – Revizija procesa plaćanja (2012.)
• Revizija procesa identificiranja i postupanja po nepravilnostima (IPA I,II,III i IV) (2012.)
3. Horizontalne revizije u 2013.
• Revizije funkcija koje pružaju podršku provedbi projekata financiranih iz programa IPA I, II, III i IV
(u dijelu u kojem su povezane s provedbom projekata EU u određenoj instituciji)
1. Revizija horizontalnih funkcija računovodstva i upravljanja ljudskim potencijalima (travanj – svibanj 2013.)
2. Revizija horizontalnih funkcija tehničkih službi i javne nabave (rujan – listopad 2013.)
• U reviziju horizontalnih funkcija uključene su 33 institucije na državnoj razini (17 ministarstava, državni zavodi, agencije, trgovačka društva)
Revizija horizontalnih funkcija računovodstva i upravljanja
ljudskim potencijalima - opseg
Područje računovodstva Područje upravljanja ljudskim
potencijalima
planiranje EU i nacionalnih
sredstava
odobrenja za isplatu sredstava
izvješćivanje o izvršenim
plaćanjima
zapošljavanje
izobrazba
prijenos znanja u slučaju
odljeva kadra
3. Horizontalne revizije u 2013.
Revizija horizontalnih funkcija tehničkih službi i javne nabave -
opseg
Područje tehničkih službi Područje javne nabave
poslovanje IT službi te ostalih
tehničkih službi koje su bile uključene u
izradu natječajne dokumentacije za
jedinice za provedbu projekata,
odnosno projektne timove te pružanje
podrške provedbi projekata
priprema natječaja (izrada natječajne
dokumentacije i dobivanje suglasnosti
od nadležnih tijela za provedbu
natječaja)
provedbena tijela revizijom će
obuhvatiti postupak natječaja
(pokretanje postupka natječaja,
imenovanje i rad povjerenstva za
odabir te ugovaranje predmeta nabave)
3. Horizontalne revizije u 2013.
4. Priprema unutarnje revizije za ulazak u EU
• Unutarnja revizija će nastaviti obavljati horizontalne revizije EU fondova s obzirom na važnost kvalitetne provedbe ugovorenih projekata
• Akcijski plan razvoja sustava unutarnjih financijskih kontrola u javnom sektoru za 2012.-2013.
– Revizorske kapacitete treba koristiti učinkovito za poboljšanje financijskog upravljanja i kontrola kroz obavljanje horizontalnih i vertikalnih revizija
– Broj i stručnost unutarnjih revizora treba i dalje jačati za obavljanje kako nacionalnih tako i revizija sredstava EU
– Potrebno je osigurati vanjsku provjeru kvalitete rada unutarnje revizije kod jedinica za unutarnju reviziju korisnika proračuna
4. Povećanje broja unutarnjih revizora
• Trenutno stanje
– Objedinjeno godišnje izvješće o sustavu unutarnjih financijskih
kontrola u javnom sektoru RH za 2011.
• do 31. prosinca 2011. unutarnja revizija ustrojena u 152
korisnika proračuna (79 na državnoj razini)
– unutarnja revizija ustrojena u 30 institucija na državnoj
razini koje upravljaju EU fondovima
– na poslovima unutarnje revizije zaposleno je 240
djelatnika
– reviziju EU fondova obavlja oko 50 unutarnjih revizora
4. Povećanje broja unutarnjih revizora
• Odluka Vlade Republike Hrvatske o aktivnostima koje ministarstva i ostale institucije uključene u provedbu IPA programa, trebaju poduzeti u 2012. godini, kako bi dobile dozvolu za rad sustava za upravljanje pretpristupnim programima Europske unije, bez prethodne (ex-ante) kontrole od strane Delegacije Europske unije, te dozvolu za rad sustava za provedbu fondova Europske unije u Republici Hrvatskoj
– Institucije trebaju
• angažirati dodatne zaposlenike preraspodjelom i/ili dodatnim zapošljavanjem
• osigurati dodatne edukacije
• jačati sustave unutarnjih kontrola i unutarnje revizije
– u 2012. zaposleno 10 novih unutarnjih revizora
4. Jačanje stručnosti unutarnjih revizora
• Izobrazba u organizaciji Središnje harmonizacijske jedinice– Izborni modul: Unutarnja revizija programa i projekata koje financira EU
– Radionice:
• Revizija provedbe projekata i nadzora nad provedbom projekata u okviru EU fondova
• Revizija nabave i ugovaranja u okviru EU fondova
– Konferencija o PIFC-u “PIFC kao dio sveobuhvatnih reformi u javnom sektoru”
(u suradnji s TAIEX-om - lipanj 2013.)
• Izobrazba u organizaciji Središnje agencije za financiranje i ugovaranje– Financijsko upravljanje i kontrola fondova EU – 13 modula
• Izobrazba u organizaciji Ministarstva regionalnoga razvoja i fondova EU– Financijsko upravljanje i kontrole fondova EU - novo
• Korištenje sredstava iz pretpristupnih sredstava EU– Projekt Središnje harmonizacijske jedinice
– Projekt Agencije za reviziju sustava provedbe programa EU (ARPA)
4. Jačanje stručnosti unutarnjih revizora
• Projekt Središnje harmonizacijske jedinice iz programa IPA 2010
„Jačanje stručnosti unutarnjih revizora u javnom sektoru Republike Hrvatske u obavljanju revizija u području Kohezijskog i Strukturnih fondova u skladu s najboljim praksama EU“
• projektni prijedlog odobrila Delegacija Europske unije u Republici Hrvatskoj
• predviđen početak projekta u zadnjem kvartalu 2013.
4. Jačanje stručnosti unutarnjih revizora
• Cilj projekta
• pripremiti unutarnje revizore za reviziju
Kohezijskog i Strukturnih fondova
• Unutarnji revizori trebaju pružiti podršku čelnicima
institucija u ostvarivanju ciljeva, posebice u
osiguranju pravilnog, učinkovitog i djelotvornog
korištenju sredstava EU
• za ostvarenje projektnog cilja bitna je suradnja
unutarnjih revizora na različitim razinama
upravljačke strukture
4. Jačanje stručnosti unutarnjih revizora
• Korisnici projekta će osim Središnje harmonizacijske jedinice biti i institucije uključene u upravljanje Operativnim programom “Regionalna konkurentnost” (pilot institucije)
• Pilot institucije
– Ministarstvo regionalnoga razvoja i fondova Europske unije (Upravljačko tijelo)
– Ministarstvo poduzetništva i obrta (Posredničko tijelo 1. razine)
– Ministarstvo znanosti, obrazovanja i sporta (Posredničko tijelo 1. razine)
– Ministarstvo gospodarstva (Posredničko tijelo 1. razine)
– Središnja agencija za financiranje i ugovaranje (Posredničko tijelo 2. razine)
– Korisnici projekta na lokalnoj razini ( Županije: Virovitička – podravska, Osječko – baranjska i Sisačko – moslavačka te Grad Sisak)
4. Jačanje stručnosti unutarnjih revizora
• PredviĎeni rezultati
– razvoj metodologije za unutarnju reviziju - unapređenje postojećeg Priručnika za unutarnje revizore, ver.4.0 i izrada radne metodologije za reviziju Kohezijskog i Strukturnih fondova
– jačanje administrativnih kapaciteta i stručnosti unutarnjih revizora (uključujući i zaposlenike Središnje harmonizacijske jedinice)
• analiza funkcije i stručnosti unutarnjih revizora u pilot institucijama
• poboljšanje suradnje između unutarnjih revizora u tijelima operativne strukture
• izobrazba unutarnjih revizora za reviziju Kohezijskog i Strukturnih fondova
• izobrazba trenera
4. Jačanje stručnosti unutarnjih revizora
• Projekt ARPA-e iz programa IPA 2009
“Jačanje administrativnih kapaciteta ARPA-e za
reviziju sustava programa Europske unije za
reviziju kohezijskih, poljoprivrednih i ribarskih
instrumenta
• projekt odobren u prosincu 2012.
• izobrazba započela u ožujku 2013.
• izobrazbu će pohađati i unutarnji revizori iz institucija
korisnica pojedinih operativnih programa
4. Osiguranje kvalitete rada unutarnje revizije
• Središnja harmonizacijska jedinica
– obavlja provjeru kvalitete rada jedinica za unutarnju reviziju u
svrhu prikupljanja informacija za poboljšanje metodologije i
standarda rada u skladu s odredbama
Zakona o sustavu unutarnjih financijskih kontrola u javnom
sektoru
Pravilnika o unutarnjoj reviziji korisnika proračuna
Središnja harmonizacijska jedinica provjeru kvalitete provodi
- redovitom godišnjom i
- povremenom provjerom
Redovita godišnja provjera kvalitete provodi se na temelju godišnjih izvješća korisnika proračuna o obavljenim unutarnjim revizijama i aktivnostima unutarnje revizije za proteklu godinu
Povremenu provjeru kvalitete provodi zajedno sa stručno ovlaštenim unutarnjim revizorima iz drugih korisnika proračuna, koje je predložila Središnja harmonizacijska jedinica
4. Osiguranje kvalitete rada unutarnje revizije
Središnja harmonizacijska jedinica priprema:
4. Osiguranje kvalitete rada unutarnje revizije
Metodološke smjernice za
povremenu provjeru
kvalitete rada unutarnje
revizije
kod korisnika proračuna
formalna uspostava unutarnje revizije
zaposlenici
metodologija rada unutarnje revizije
izvješćivanje o radu unutarnje revizije
radna dokumentacija/revizorski predmeti
Izvješće o
obavljenoj provjeri
5. Zaključak
• Unutarnja revizija
– kontinuirano procjenjuje sustav upravljanja i kontrola EU
fondova
– dodaje vrijednost upravljanju EU fondovima
– osigurava kvalitetu rada unutarnje revizije
– aktivno se priprema za ulazak RH povećanjem broja i
stručnosti unutarnjih revizora
– štiti financijske interese EU i nacionalne interese
“ZAŠTITA OSOBNIH PODATAKA “ZAŠTITA OSOBNIH PODATAKA –– NOVA EU REGULATIVANOVA EU REGULATIVA”“ZAŠTITA OSOBNIH PODATAKA “ZAŠTITA OSOBNIH PODATAKA –– NOVA EU REGULATIVANOVA EU REGULATIVA”
Jasna Fumagalli
Intesa Sanpaolo Card d.o.o.
Jasna Fumagalli
Intesa Sanpaolo Card d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA 5. MEĐUNARODNA KONFERENCIJAKONFERENCIJA
PLENARNI DIO PLENARNI DIO –– 2. 2. dandan
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj:
• UVOD
• OSNOVNE DEFINICIJE
• GLAVNE IZMJENE
• OČEKIVANE PREDNOSTI I OBVEZE
• UTJECAJ NA POSLOVANJE TVRTKI
• OTVORENA PITANJA
2
Uvod
– Zašto reforma?
• Zakoni zemalja članica EU trenutno se temelje na 18 g. staroj Direktivi
95/46/EC o zaštiti osobnih podataka (implementirana u svim zemljama i u RH)
• U 2012.g. Europska komisija je predložila temeljitu reformu tih pravila s ciljem
zaštite prava privatnosti (naročito na internetu)
• Tehnološki napredak i proces globalizacije su u potpunosti promijenili način na
koji se naši podaci prikupljaju, kako im se pristupa i kako se koriste
• 27 zemalja članica EU (i RH) su na različit način implementirali temeljna
pravila iz 1995., a što je rezultiralo i različitom primjenom tih pravila
– Jedinstvenom Uredbom (“General Data Protection Regulation”) planira se:
• Ukloniti postojeću fragmentaciju i visoke administrativne troškove, s uštedom
za poslovne subjekte procijenjenom na 2.3 milijardi EUR godišnje
• Inicijativa treba dati zamah europskom digitalnom tržištu i ekonomiji tj. poslužiti
kao injekcija ekonomskog rasta, novih zaposlenja i inovacija u Europi
• pomoći u povećanju potrošačkog povjerenja glede usluga na interneta
– Uredba je u fazi konačnog prijedloga!
• Stupanje na snagu? – najranije krajem ove godine, 2 godine prilagodbe…
3
4
ispitanik (data subject) obradaosobni podatak
Definicije
znači identificiranu fizičkuosobu ili fizičku osobu koja semože identificirati, izravno ilineizravno, na osnovi koju ćenajvjerojatnije koristiti voditeljzbirke (“controller”) ili bilo kojadruga fizička ili pravna osoba,a naročito na osnoviidentifikacijskog broja,podataka o lokaciji,identifikacijske oznake nainternetu (“online identifier”) ilina osnovi jednog ili višeobilježja specifičnih za njezinfizički, psihološki, genetski,mentalni, gospodarski, kulturniili socijalni identitet te osobe
znači bilo kakva
informacija koja
se odnosi na
određenu osobu
svaka radnja ili skup radnjiizvršenih na osobnom podatku iliskupu osobnih podataka, biloautomatskim sredstvima ili ne,kao što je prikupljanje, snimanje,organiziranje, strukturiranje,spremanje, prilagodba ili izmjena,povlačenje, uvid, korištenje,otkrivanje putem prijenosa,objavljivanje ili na drugi načinučinjenih dostupnim, svrstavanjeili kombiniranje, blokiranje,brisanje ili uništavanje.
Napomena: u ovoj prezentaciji koristi se neslužbeni prijevod svih izraza iz prijedloga Uredbe i to na
temelju engleske verzije prijedloga Uredbe. Službeni prijevod na hrvatski jezik nije bio dostupan u
trenutku izrade.
5
Glavne izmjene
Pravo biti zaboravljen
“Right to be forgotten”: bolja kontrola nad vlastitim osobnim podacima
(naročito na internetu) i pravo zahtijevati brisanje istih ako ne postoje
razlozi za daljnju obradu. Npr. EU će od društvenih mreža tražiti
mogućnost trajnog brisanja podataka.
Izričit pritisak
Pravo na prijenos podataka
prijava incidenata
Koristi se izraz “izričit” pristanak na obradu, a ne više ”nedvosmislen”.
Sadašnja Direktiva: “data subject has unambiguously given consent”.
“Right of data portability”: Osoba može zahtijevati od voditelja zbirke
(“data controller”) kopiju svih podataka u elektroničkom, strukturiranom
formatu koji se uobičajeno koristi, a radi daljnje uporabe.
Privatne tvrtke i organizacije imat će obvezu prijaviti sve incidente
glede osobnih podataka bez odgode, unutar 24 sata.
one-stop-shop
Jedinstvena pravila
Jedna agencija je odgovorna za trgovačko društvo koje posluje u
više država EU (npr. u državi gdje ima glavno sjedište). I sami
građani mogu slati pritužbe agenciji samo u svojoj državi, čak i kad
se radi o slučaju da se podaci procesiraju izvan EU.
Jedinstvena pravila koja bi vrijedila za cijelu EU. Nepotrebne
administrativne obveze trebale bi biti smanjene.
Jednostavniji izvoz izvan EU
Pojednostavljenje izvoza osobnih podataka izvan EU, uz
poštivanje pravila.
Očekivane prednosti i obveze
– Lakša kontrola nad vlastitim podacima:
• Web stranica EC: “Kad je potreban pristanak na obradu, taj pristanak mora biti
izričit: pasivnost ne znači pristanak. U isto vrijeme, izričit pristanak neće nužno
trebati dati pisanim putem: osoba može dati pristanak klikom miša na ikoni ili
stavljanjem kvačice unutar okvira. Ni to neće značiti konstantno pojavljivanje
prozorčića na ekranu (“pop-ups”) jer će se pristanak moći dati istodobno za više
postupaka.”
– Više transparentnosti o tome kako se postupa s osobnim podacima:
• obavijesti o obradi moraju biti pisane razumljivim izrazima, naročito za djecu
– Izvršitelji obrade (tvrtke i ostale organizacije) morat će bez odgaĎanja informirati:
• i građane i ovlaštene agencije o incidentima (kršenjima) u vezi s obradom osobnih
podataka
– Povećan stupanj odgovornosti za sudionike u obradi osobnih podataka:
• Obvezne “procjene utjecaja” glede rizika obrade u određenim situacijama
– Poštivanje načela “privacy by design” i “privacy by default”:
• sigurnosne postavke za zaštitu osobnih podataka trebaju biti ugrađene od
najranijeg stupnja razvoja pojedinog proizvoda ili usluge
6
GraĎani:
Očekivane prednosti i obveze
– Područje primjene Uredbe:
• Jasna pravila o tome kada se EU zakoni odnose i na voditelje zbirki koji imaju
sjedište izvan EU. Naime, kada poslovanje tvrtki uključuje i pružanje roba i usluge
pojedincima iz EU, ili ako vrši praćenje njihovog ponašanja (npr. Internet),
primjenjuju se zakoni EU.
– MeĎunarodni prijenosi (“international transfers”):
• Pojednostavljeni uvjeti za opravdane prijenose podataka, te manje birokratskih
zahtjeva
• Odluke koje su zemlje sigurne za izvoz osobnih podataka na razini EU, a koje odluke
će vrijediti u svim zemljama EU
• Lakše korištenje mehanizama poput „binding corporate rules’ (tzv. interni propisi
tvrtki koji su odobreni od strane agencije), moći će imati i izvršitelji obrade
(“processors”), a ne samo voditelji zbirki
– Detaljna dokumentacija o obradi:
• umjesto raznih notifikacija agencijama, veći fokus da tvrtke propišu (inter alia):
– Popis kategorija osoba koje se procesiraju
– Popis kategorija osobnih podataka
– Opis svih radnji u obradi7
Tvrtke:
– Stroža pravila glede “svakodnevnog” upravljanja takvim podacima:
• postojanje dokumentacije (članak 28. prijedloga Uredbe);
• implementacija sigurnosnih obveza za podatke (članak 30);
• obvezne studije “procjene utjecaja” glede rizika obrade (članak 33);
• poštivanje obveze prethodnog odobrenja ili prethodnog konzultiranja s
nadzornim tijelima (članak 34.)
– Europska komisija će donijeti i detaljnije propise vezane uz:
• prevenciju neovlaštenog pristupa osobnim podacima
• prevenciju neovlaštenog razotkrivanja, čitanja, kopiranja, izmjene, brisanja ili
uklanjanja osobnih podataka
• provjeru (“verification”) zakonitosti takvog obrađivanja podataka
– Uloga interne ili eksterne revizije glede osiguranja verifikacije o efektivnosti
uspostavljenog mehanizama za zaštitu:
• članak 22.st.3. prijedloga Uredbe “provjeru će izvršiti neovisni interni ili eksterni
revizori”
• EC može pobliže urediti uvjete za vršenje provjere i same mehanizme revizije
8
Utjecaj na poslovanje tvrtki
– Imenovanje službenika za zaštitu osobnih podataka (ako je obrada podataka jedna
od temeljnih djelatnosti tvrtke, te ako zapošljava više od 250 radnika)
– Zapošljavanje samo onih osoba koje su se obvezale na čuvanje povjerljivosti
osobnih podataka
– Europska komisija čak planira potaknuti donošenje Kodeksa ponašanja po tržišnim
sektorima, kao i uvođenje mehanizama certifikacije, pečata i zaštitnih znakova
– Izvršitelji obrade: mogućnost korištenja drugih izvršitelja obrade samo uz prethodno
odobrenje voditelja zbirke
– Uspostava sigurnosnih zaštita je obvezna i za izvršitelja obrade, bez obzira je li
potpisan ugovor s voditeljem zbirke ili ne
– U slučajevima kada izvršitelj obrade obrađuje podatke izvan okvira naloga
dobivenog od strane voditelja zbirki i sam će se smatrati “solidarnim voditeljem
zbirke” tzv. “joint controller” (veća odgovornost)
– Mogućnost pokretanja sudskog postupka protiv voditelja zbirki i izvršitelja obrade i
pravo na naknadu štete od istih
9
Utjecaj na poslovanje tvrtki
“Controller Vs Processor”:
– UsklaĎenje s provedbenim propisima
• Očekuju se detaljniji propisi s kriterijima i tehničkim i organizacijskim uvjetima
• Već smo svjesni osnovnih zahtjeva po trenutnim HR propisima:
– fizička sigurnost (ograničenje fizičkog pristupa, izvor neprekidnog napajanja (UPS),
hlađenje, i sl.)
– logička sigurnost (bilježenje pristupa, politika zaporki, enkripcija, izrada sigurnosnih
kopija, antivirusne politike i sl.)
– organizacija (vlasnici procesa, ovlaštenja, treninzi i sl.).
– Obvezna “procjene utjecaja” zbog uvećanog rizika obrade
• Uključuje procesiranje velikih razmjera (“large scale”): obrada biometrijskih
podataka, podataka o djeci, praćenje ekonomskog ili zdravstvenog stanja
osoba, navika, lokacija osoba u velikim razmjerima
• Prethodna odobrenja/konzultacije s agencijama
• Nedostaje jasna odredba na koje će se točno sektore odnositi?
– Prijava incidenata - zabrinutost zbog mogućih posljedica:
• Otkrivanje povjerljivih podataka i poslovnih tajni
• Reputacijski rizik
10
Otvorena pitanja
“Novi Pravilnik o unutarnjoj “Novi Pravilnik o unutarnjoj
reviziji korisnika proračunareviziji korisnika proračuna”
“Novi Pravilnik o unutarnjoj “Novi Pravilnik o unutarnjoj
reviziji korisnika proračunareviziji korisnika proračuna”
Davor Kozina
Ministarstvo financija
Davor Kozina
Ministarstvo financija
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA 5. MEĐUNARODNA KONFERENCIJAKONFERENCIJA
PLENARNI DO PLENARNI DO –– 2. dan2. dan
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj:
• Razlozi donošenja novog Pravilnika
• Pristup izradi novog Pravilnika
• Novosti koje donosi novi Pravilnik
• Najčešća pitanja u vezi novog Pravilnika
• Zaključak
2
Razlozi donošenja novog Pravilnika
• kriteriji za ustrojavanje unutarnje revizije u Pravilniku iz2008., na ustrojavanje unutarnje revizije obvezali su imanje korisnike proračuna (sve koji imaju više od 50zaposlenih i rashode i izdatke veće od 30.000.000,00 kn).
• to su različite agencije, ustanove u socijali, kulturi,zdravstvu i sl. koje često nemaju dostatne kapacitete zaustrojavanje vlastitih jedinica za UR ili zapošljavajujednog unutarnjeg revizora (poteškoće u poštivanjurevizijskih standarda i metodologije rada)
• neracionalnost i nemogućnost provedbe u praksi
Razlozi donošenja novog Pravilnika
• manji korisnici proračuna u razdjelu su resornihministarstava odnosno u sastavu JLP(R)S(predstavljaju 2./3. razinu korisnika proračuna)
• u funkciji su realizacije postavljenih ciljeva na razinicijelih resora te troše značajna proračunska sredstva izkonsolidiranih proračuna na razini razdjela, odnosnoproračuna JLP(R)S.
• kriteriji za uspostavu unutarnje revizije nisu uzimali uobzir činjenicu povezanosti ministarstava i njihovihagencija, te JLP(R)S i njihovih proračunskih korisnika.
Razlozi donošenja novog Pravilnika
• ministarstva, odnosno JLP(R)S funkcijom svoje unutarnje
revizije ne obuhvaćaju i proračunske korisnike u sastavu
• jedinice za unutarnju reviziju ustrojene kod korisnika
proračuna 2./3. razine, nedovoljno ili uopće ne surađuju s
jedinicama za UR resornih ministarstava/JLP(R)S.
• značajan dio proračunskih sredstava, ali i rizična područja
poslovanja u javnom sektoru nisu zahvaćeni revizijskom
aktivnošću
Razlozi donošenja novog Pravilnika
• potreba redefiniranja postojećih kriterija za uspostavu
unutarnje revizije u cilju racionalnije i učinkovitije
uspostave unutarnje revizije u javnom sektoru
• Izvješće EK za poglavlje 32 - Financijski nadzor (6/2012.)
• jedna od temeljnih mjera iz Akcijskoga plana razvoja
sustava unutarnjih financijskih kontrola u javnom sektoru
Republike Hrvatske za razdoblje 2012.-2013.
6
Pristup pri izradi novog Pravilnika
revizijskim resursima pokriti što je moguće više
proračunskih sredstava
izbjeći usitnjavanje revizijskih resursa (jedan revizor u
instituciji), što dovodi do poteškoća u poštivanju
revizijske metodologije i načina rada
uvažiti činjenicu da su institucije u javnom sektoru
povezane kroz vlasništvo i/ili način financiranja i u okviru
te povezanosti tražiti logična rješenja za organizacijsko
ustrojstvo unutarnje revizije, a uvažavajući prethodno
navedeno.
Novosti koje donosi novi Pravilnik o unutarnjoj reviziji
korisnika proračuna
71 korisnik proračuna u obvezi je ustrojiti vlastitujedinicu za unutarnju reviziju izravno odgovornučelniku korisnika proračuna.
• 20 ministarstava
• 2 državna tijela razine razdjela (zapošljavaju više od 50zaposlenih i imaju godišnje rashode i izdatke veće od80.000.000,00 kn)
• 7 izvanproračunskih korisnika državnog proračuna
• 20 županija i Grad Zagreb
• 16 gradova sjedišta županija koji imaju više od 50zaposlenih
• 5 velikih gradova iznad 35 000 stanovnika
Novosti koje donosi novi Pravilnik o unutarnjoj reviziji
korisnika proračuna
• Jedinica za unutarnju reviziju uspostavljena u
ministarstvu/županiji/gradu u obvezi je obavljati
unutarnju reviziju i u proračunskim odnosno
izvanproračunskim korisnicima iz svoje nadležnosti
koji sukladno odredbama novog Pravilnika ne
ispunjavaju uvjete za ustrojavanje vlastitih jedinica
za unutarnju reviziju ili zajedničkih jedinica za
unutarnju reviziju.
Novosti koje donosi novi Pravilnik o unutarnjoj reviziji
korisnika proračuna
• Korisnicima proračuna (2./3. razina), čije je područje
poslovanja visokorizično, dana je mogućnost da iako nisu
u obvezi uspostaviti jedinicu za unutarnju reviziju, istu
mogu ustrojiti, ali uz prethodnu suglasnost ministra
financija i nadležnog ministra/župana/gradonačelnika.
• Pravilnikom je definirano i na koji se način određuje
visokorizično poslovanje
Novosti za sveučilišta i ustanove u zdravstvu
Sva sveučilišta te korisnici proračuna u sustavu zdravstva (višeod 50 zaposlenih te godišnji rashodi i izdaci veći od 80.000.000,00kuna)
obvezni su uspostaviti unutarnju reviziju:
– ustrojavanjem vlastite jedinice za UR ili
– ustrojavanjem zajedničke jedinice za UR na prijedlog više korisnika
• Prijedlog se podnosi nadležnom ministru/županu/gradonačelniku kojidonosi odluku o načinu uspostavljanja, uz prethodnu suglasnostministra financija
• Jedinica za UR ustrojena na sveučilištu obvezuje se obavljatiunutarnju reviziju i za sastavnice sveučilišta
• Sastavnice sveučilišta mogu ustrojiti vlastitu jedinicu za UR –
uvjet: visokorizično poslovanje i prethodna suglasnost ministra
Suradnja unutarnje revizije u javnom sektoru
• Jedinica za unutarnju reviziju kod korisnika proračunarazine glave organizacijske klasifikacije, odnosno kodproračunskog i izvanproračunskog korisnika JLP(R)S uobvezi je surađivati s jedinicom za UR nadležnogministarstva odnosno županije/grada.
• Suradnja uključuje:
koordinaciju izrade strateških i godišnjih planovaobavljanja unutarnje revizije
sudjelovanje u obavljanju unutarnje revizije izstrateškog i godišnjeg plana unutarnje revizijenadležnog ministarstva/JLP(R)S
obavljanje horizontalnih i vertikalnih revizija
Jedinica za unutarnju reviziju
• Jedinica za unutarnju reviziju/zajednička jedinica
mora imati najmanje 3 unutarnja revizora (uključujući
voditelja jedinice za UR)
• Potreban broj unutarnjih revizora iznad propisanog
minimuma utvrđuje svaki korisnik proračuna aktom o
unutarnjem redu, vodeći računa o djelokrugu rada, broju
korisnika u nadležnosti, poslovnim procesima i
postavljenim ciljevima, o sredstvima kojima raspolaže te
o broju zaposlenih.
Ostali načini uspostavljanja unutarnje revizije
• Zbog izbjegavanja usitnjavanja revizorskih resursa
(jedan revizor u instituciji), novi Pravilnik daje tek
manjem broju korisnika proračuna mogućnost
uspostavljanja UR imenovanjem unutarnjeg revizora
izravno odgovornog čelniku korisnika proračuna
• Uspostavljanje unutarnje revizije sporazumom o
obavljanju poslova unutarnje revizije samo:
– državna tijela razine razdjela organizacijske
klasifikacije (koji nisu obveznici uspostave) te
– gradovi i općine koji nisu obveznici uspostave UR
Horizontalne i vertikalne revizije
• Praksa provođenja horizontalnih i vertikalnih revizija uvedena2009. Strategijom razvoja PIFC-a za razdoblje 2009. - 2011.
• Horizontalne revizije - procjena sustava unutarnjih kontrola uistovrsnim procesima koji se provode kod dva ili višekorisnika proračuna, ili u zajedničkim programima,projektima, aktivnostima.
• Rezultat - opći pregled kontrolnih mehanizamauspostavljenih u istovrsnim procesima, razmjena informacijao sustavima kontrola te multipliciranje učinaka revizorskihpreporuka njihovom realizacijom u više institucija.
• Primjer horizontalne revizije - revizija procesa subvencija ukoje su uključeni unutarnji revizori iz tri ministarstva
Horizontalne i vertikalne revizije
• Vertikalne revizije - procjena sustava un. kontrola u procesima ilizajedničkim programima/projektima/aktivnostima koji se provodeizmeđu više korisnika povezanih kroz vlasništvo i/ili način financiranja.
• U provođenje uključeni unutarnji revizori iz korisnika proračunameđusobno povezanih kroz vlasništvo i/ili način financiranja, uključujućii unutarnje revizore iz trgovačkih društava u nadležnosti korisnikaproračuna s kojima je ostvarena povezanost kroz isplaćene donacije,pomoći, subvencije i druge transfere.
• Primjer vertikalne revizije - revizija procesa centralne nabave u sustavuzdravstva (UR iz Min. zdravlja, HZZO, KBC i kliničkih bolnica)
• Horizontalne i vertikalne revizije mogu se provoditi na prijedlog ministrafinancija ili resornog ministra nadležnog za određeni proces iliprogram/projekt/aktivnost
Prijelazno razdoblje za prilagodbu na nove kriterije!
• do konca 2014. godine korisnici koji nisu obvezni
uspostaviti jedinicu za UR ili imenovati unutarnjeg
revizora, a na dan stupanja na snagu imaju ustrojenu
jedinicu ili imenovanog unutarnjeg revizora, u obvezi su
uskladiti način uspostavljanja unutarnje revizije s
kriterijima propisanim novim Pravilnikom.
• do konca 2015. godine jedinice za unutarnju reviziju u
obvezi su osigurati minimalno 3 unutarnja revizora,
uključujući voditelja jedinice za unutarnju reviziju. Isto
se odnosi i na zajedničke jedinice za unutarnju reviziju.
Najčešća pitanja u vezi novog Pravilnika
• Hoće li novi kriteriji uspostave unutarnje revizije povećati
broj revizora odnosno troškove financiranja?
• Novi Pravilnik ne povećava troškove niti zahtijeva više
unutarnjih revizora u sustavu u odnosu na Pravilnik iz
2008., a zahvaća daleko više proračunskih sredstava!
• Ustrojavanje jedinice za UR na razini konsolidiranog
proračuna (ministarstva/županije/grada) te mogućnost
ustrojavanja zajedničkih jedinica između sveučilišta,
zdravstvenih ustanova odnosno manjih gradova
pokazuje smjer racionalne uspostave unutarnje revizije
Najčešća pitanja u vezi novog Pravilnika
• Zašto se Pravilnikom obvezuju na suradnju jedinice za unutarnjureviziju?
• suradnja jedinica za UR ustrojenih unutar konsolidiranog proračunaproizlazi zbog povezanosti institucija kroz način financiranja, strateškoplaniranje, provođenje zajedničkih funkcija i sl.
• koordinacija aktivnosti unutarnje revizije osigurava raspoloživostinformacija o sustavima kontrola na sveobuhvatan način na raziniprocesa u cjelini te daje informacije kako se upravlja određenimprocesima i rizicima bez dupliciranja napora i potencijalnih propusta
• IIA 2050 - Koordinacija - temeljem kojeg glavni revizor (voditelj revizije)mora, između ostalog i koordinirati aktivnosti s ostalim unutarnjim (uovom slučaju unutarnja revizija) i vanjskim pružateljima relevantnihusluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenostte na najmanju moguću razinu sveo ponavljanja.
Najčešća pitanja u vezi novog Pravilnika
• Nema zakonske osnove za horizontalne i vertikalne
revizije!
• Temeljem Zakona, ministar financija ima pravo i
obvezu propisati kriterije za uspostavljanje unutarnje
revizije kod korisnika proračuna (članak 17., stavak
2) i druga pitanja vezana uz unutarnju reviziju
(članak 37. točka d.).
Najčešća pitanja u vezi novog Pravilnika
• Kako će korisnici proračuna s 2./3. razine doživjeti
unutarnju reviziju nadležnih proračuna?
• Unutarnja revizija nije kontrola niti inspekcija.
• Nema ulogu istraživati pojedine transakcije i tražiti krivce.
Unutarnja revizija savjetodavna je aktivnost u funkciji
procjene sustava kontrola i davanja preporuka za
unapređenja i poboljšanja.
• Novi kriteriji uspostavljanja UR pripremljeni su na načelu
da je ova savjetodavna funkcija dostupna što većem
broju korisnika proračuna, a da se istovremeno optimalno
organiziraju njeni resursi uvažavajući poštivanje standarda
i metodologije rada.
Zaključak
• Razvoj financijskog upravljanja i kontrola u smjeru
većeg povezivanja prve i 2./3. razine korisnika
proračuna, stvorio je preduvjete za veće i bolje
mogućnosti organizacijskog ustrojstva unutarnje
revizije u javnom sektoru.
• Novi Pravilnik korak je daljnjem unapređenju sustava
unutarnjih financijskih kontrola kao jednom od
preduvjeta za bolje upravljanje javnim sredstvima, bez
obzira iz kojih izvora potječu!
Zaključak
• Pravilnik je uzeo u obzir potrebu da se revizijskom
aktivnošću obuhvati što je moguće više proračunskih
sredstava, a maksimalno iskoriste postojeći kapaciteti
unutarnje revizije.
• Okrupnjavanje revizijskih resursa na razini konsolidiranog
proračuna daje mogućnost sagledavanja cjelokupnog
područja poslovanja unutar konsolidiranog proračuna, a
odabir revizija radi se temeljem procjene rizika.
Praktični vodiči - GTAGPraktični vodiči - GTAG
Višnja Komnenić, univ.spec.inf., dipl.ing.el.
CRM, ISO 27001 Auditor
HEP d.d.
Višnja Komnenić, univ.spec.inf., dipl.ing.el.
CRM, ISO 27001 Auditor
HEP d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJASEKCIJA SEKCIJA G G –– Proces revizije ISProces revizije IS
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Standard 1210.A3
• Preporučene smjernice IPPF-a
• Što je to GTAG?
• Zašto GTAG?
• Pregled postojećih GTAG-a (1-17)
• Zaključak
2
IIA u vezi IT tehnologije
3
• Standard 1210.A3
Interni revizori trebaju posjedovati znanja o IT
rizicima i kontrolama, kao i dostupnim revizijskim
tehnikama baziranim na IT tehnologiji, kako bi
izvršili i ispunili dodijeljene im zadatke. Međutim, ne
očekuje se od svih internih revizora posjedovanje
stručnog znanja kao što ga posjeduju oni interni
revizori, čija je primarna odgovornost IT revizija.
Mjerodavne smjernice za struku interne revizije
4
STRONGLY RECOMMENDED GUIDANCE
MANDATORY GUIDANCE
Zašto služe
5
GTAG
6
Global Technology Audit Guide
• Omogućavaju CAE, revizijskom odboru i
izvršnom menadţmentu razumijevanje IT
tehnologije, kao i provedbu IT revizije na jedan
jednostavan način
• Omogućavaju brzo adresiranje novih IT pitanja
• Daju tehničke revizijske vodiče na globalnom
nivou.
IIA GTAG
7
Global Technology Audit Guides (GTAG) Valid from:
GTAG 1 Information Technology Risk and Controls, 2nd Edition March 2012
GTAG 2Change and Patch Management Controls: Critical for
Organizational Success, 2nd Edition
March 2012
GTAG 3Continuous Auditing: Implications for Assurance, Monitoring, and
Risk Assessment
Update coming
soon
GTAG 4 Management of IT Auditing, 2nd Edition January 2013
GTAG 5Managing and Auditing Privacy Risks (replaced by Auditing
Privacy Risks, 2nd Edition
Replaced
July 2012
GTAG 6 Managing and Auditing IT Vulnerabilities => DELETED January 2013
GTAG 7 Information Technology Outsourcing, 2nd Edition Jun 2012
GTAG 8 Auditing Application Controls January 2009
GTAG 9 Identity and Access Management January 2009
IIA GTAG
8
Global Technology Audit Guides (GTAG) Valid from:
GTAG 10 Business Continuity Management January 2009
GTAG 11 Developing the IT Audit Plan, 2nd Edition January 2009
GTAG 12 Auditing IT Projects March 2009
GTAG 13 Fraud Detection and Prevention in Automated World December 2009
GTAG 14 Auditing User-Developed Applications June 2010
GTAG 15 Information Security Governance June 2010
GTAG 16 Dana Analysis Techologies August 2011
GTAG 17 Auditing IT Governance July 2012
Pokriva slijedeća područja:• Razumijevanje IT kontrola
• Vaţnost IT kontrola
• Organizacijske role i odgovornosti
za osiguranje IT kontrola
• Analiza rizika
• Nadzor i tehnike nadzora
• Procjena IT kontrola
9
GTAG 1
Pokriva slijedeća područja:• Zašto su kontrole upravljanja
promjenama i zakrpama temelj za
zdravu IT okolinu
• Kako IT upravljanje promjenama i
zakrpama pomaţe upravljanju IT
rizicima i troškovima
• Što ima smisla u praksi, a što
nema
• Opisuje izvore promjena i
vjerojatnost utjecaja na poslovne
ciljeve
10
GTAG 2
Pokriva slijedeća područja:• Ulogu kontinuirane revizije u
današnjem okruţenju interne
revizije
• Odnos između kontinuirane
revizije, kontinuiranog nadzora i
kontinuiranog osiguranja
• Primjenu i implementaciju
kontinuirane revizije
• „Benefite” od takvog
kontinuiranog, integriranog
pristupa
11
GTAG 3
Pokriva slijedeća područja:• Definiranje IT-a
• Daje pregled IT povezanih rizika
• Definira IT Audit Universe
• Provedbu IT revizije
• Upravljanje IT revizijom
• Ostala pitanja
12
GTAG 4
13
GTAG 5
Pokriva slijedeća područja:• Što je privatnost?
• Načela i okvir privatnosti
• Utjecaji na privatnost i modeli
rizika
• Kontrole privatnosti
• „Privacy maturity model” (model
zrelosti) u organizaciji
• Uloga interne revizije u privatnosti
• Kako provesti reviziju privatnosti
• 10 najvaţnijih pitanja u vezi
privatnosti za CAE
VAŽNO:
• GTAG 6 je izbrisan iz
IPPF-a
• Neki dijelovi GTAG 6
postali su dio 2. izdanja
GTAG 4
14
GTAG 6
15
GTAG 7
Pokriva slijedeća područja:• Vrste IT „outsourcing-a” (ITO)
• Ţivotni ciklus eksternalizacije IT-a
• Koji su glavni rizici
eksternalizacije i kako ih smanjiti
• Koje su ključne kontrole u vezi
eksternalizacije i to s aspekta
obje strane: klijenta i davatelja
usluge
• Koji je najučinkovitiji okvir za
uspostavu kontrola
eksternalizacije
16
GTAG 8
Pokriva slijedeća područja:• Što su to aplikativne kontrole?
• Koji je odnos između aplikativnih i
općih kontrola?
• Zašto se osloniti na aplikativne
kontrole?
• Kako na osnovu procjene rizika
odrediti opseg aplikativnih
kontrola?
• Lista ključnih aplikativnih kontrola
• Primjerak revizijskog programa
17
GTAG 9
Upravljanje identitetima i pristupom
(IAM)• Proces upravljanja s pravima nad
informacijama (tko i nad kojim informacijama)
• Ne samo u IT-u, nego u cijeloj organizaciji
• Uloga internog revizora
Pokriva slijedeća područja:• Osnovne koncepte IAM-a
• Rizici povezani sa IA procesom
• Detaljan vodič o tome kako
revidirati IAM proces
• Primjer „check” liste za revizore
18
GTAG 10
Pokriva slijedeća područja:• Kako Plan poslovnog kontinuiteta
(BCP) moţe smanjiti utjecaj na
prekid poslovanja?
• Komponente učinkovitog BCP
• Kako nam BIA moţe pomoći da
odredimo koje operacije trebaju
biti prve obnovljene u slučaju
prekida poslovanja?
• Kako interna revizija BCM-a
moţe povećati vrijednost
organizacije?
19
GTAG 11
Pokriva slijedeća područja:
• Daje vezu između IT i poslovanja
• Definira IT „audit universe”
• Provedbu procjene IT rizika
• Prikazuje sve korake izrade plana
IT revizije na osnovu IT audit
universe-a
• Daje primjer izrade godišnjeg
plana IT revizije
Pokriva slijedeća područja:• Daje globalni pregled i pregled tehnika
potrebnih internim revizorima i CAE kako
bi mogli efikasno procijeniti rizike
povezane s IT projektima
• Daje primjer najčešćih rizika IT projekata
• Daje 5 ključnih komponenata revizije IT
projekata:
– Usklađivanje IT-a i poslovanja
– Upravljanje projektima
– IT rješenja
– Upravljanje promjenama organizacijom
i njenim procesima
– Post implementacija
20
GTAG 12
21
GTAG 13
Pokriva slijedeća područja:• Procjena rizika u IT reviziji prijevare (IT
fraud risk assessment)
• Daje primjere potencijalnih načina IT
prijevare (IT kao sredstvo počinjenja
prijevara)
• IT tehnologija sluţi za preventivno i
detektivno djelovanje = proaktivna uloga
revizora
• Objašnjava vaţnost analize podataka
putem IT tehnologija i analitičkih tehnika
• Daje tipične primjere testova za prijevare
Pokriva slijedeća područja:• Definicija UDA (User developed
Applications)
• Prednosti UDA
• Rizici povezani s UDA
• UDA vs. IT izrađene i podrţane aplikacije
• Uloga IR u upravljanju i smanjivanju rizika
povezanih sa UDA
• Opseg interne revizije UDA
• Revizijski program i radna dokumentacija
za provedbu interne revizije UDA.
22
GTAG 14
23
GTAG 15
Pokriva slijedeća područja:• Definicija ISG (Information Security
Governance)
• Pomaţe internim revizorima za
razumijevanje ISG-a
• Daje potrebnu dokumentaciju za provedbu
interne revizije ISG-a
• Opisuje koja je uloga i aktivnosti interne
revizije u ISG-u
• ISG triangle
24
GTAG 16
Pokriva slijedeća područja:• Definira što je to analiza podataka pomoću
IT-a
• Benefiti od uporabe IT tehnologija u analizi
podataka
• Poboljšava kvalitetu IR (Improve a quality
of IA work)
• Nemoguće je provesti efikasnu IR bez
uporabe IT tehnologija i IT tehnika
• Omogućava „drill down „podataka pomoću
CAAT’s alata
• Mogućnosti, trendovi i prednosti korištenja
Data Analysis Technologies
25
GTAG 17
Pokriva slijedeća područja:• Sve one aspekte upravljanja koji moraju
postojati, kako bi se osiguralo da IT
podrţava strategije i ciljeve organizacije.
• Daje opis elemenata učinkovitog
upravljanja i okvire za njegovu izvedbu
poput: BSC, „maturity model” (model
starosti sustava) i sustav kvalitete.
• Daje način kako odrediti opseg
angaţmana u reviziji upravljanja IT-jem,
kako definirati ciljeve revizije i procijeniti
povezane rizike i kontrole.
“IT governance consists of the leadership, organizational structures, and
processes that ensure that the enterprise’s [IT] supports the organization’s
strategies and objectives.”- IPPF
HRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA
SEKCIJA G - Proces revizije IS
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.–13. travnja 2013.
Što je bankovna supervizija?
• Zadaci Hrvatske narodne banke su
– :...“obavljanje poslova supervizije i nadzora u skladu sa zakonima kojima se uređuje
poslovanje kreditnih institucija, kreditnih unija, institucija za platni promet i sustava za
namiru platnih transakcija,”...
• Supervizija je provjera posluje li kreditna institucija u skladu s pravilima o
upravljanju rizicima, drugim odredbama Zakona o kreditnim institucijama i
propisima donesenim na temelju toga Zakona te drugim zakonima kojima se
uređuje obavljanje financijskih djelatnosti koje obavlja kreditna institucija i propisima
donesenim na temelju tih zakona, kao i vlastitim pravilima, standardima i pravilima
struke.
• Hrvatska narodna banka provodi superviziju kreditnih institucija:
– obavljajući nadzor prikupljanjem i analizom izvješća i informacija te kontinuiranim
praćenjem poslovanja kreditnih institucija,
– obavljajući izravni nadzor nad poslovanjem kreditnih institucija i
– nalažući supervizorske mjere.
2
Zašto regulirati i nadzirati upravljanje
informacijskim sustavima u bankama?
• Prikupljanje, obrada, pohranjivanje, prijenos i korištenje informacija
upotrebom informacijske tehnologije su nezamjenjivi u poslovanju kreditnih
institucija.
• Informacijska tehnologija omogućila je: – Unaprjeđivanje i povećanje efikasnosti postojećih poslovnih procesa;
– Temeljne promjene poslovnih procesa povezanih s platnim prometom;
– Implementaciju kompleksnih matematičkih modela;
– Otvaranje novih i unaprjeđenje postojećih distribucijskih kanala:
• Internetsko bankarstvo;
• Temeljne promjene u procesima s platnim karticama:
– POS uređaji;
– bankomati;
– plaćanja karticama putem Interneta;
• ... 3
Tko provodi superviziju informacijskih sustava u
RH?
4
• Inicijativa za provođenjem supervizije IS-a 2001. godina.
• Formalno ustrojavanje OINISB-a 2004. godina.
• Voditelj + 6 djelatnika – (5 FER + 1 PMF + 1 EFZG).
• Svi s prethodnim radnim iskustvom : – odgovornosti za sigurnost informacijskih sustava,
– razvoj softvera,
– administracija operacijskih sustava i mrežne opreme
– ...
Odnos supervizora, kreditnih institucija i vanjskih
revizora
5
Što rade supervizori informacijskih sustava?
Core
activities
On-site examinations of IS in credit institutions in Croatia
Development and maintenance of methodology for on-site supervision of credit institutions (IS
specific issues)
Additional
activities
Addressing IT-related issues in legal and sub-legal acts credit institutions.
Off-site supervision of IS in credit institutions in Croatia:
o Development and maintenance of methodology for off-site supervision of credit institutions
o Assessment of IS in credit institutions through:
o direct data (regular meetings, conversations, etc).
o secondary data (external auditors’ reports, reports from internal control entities, etc.)
o Communication with credit institutions concerning IT-related issues (e.g. significant changes in
technology, infrastructure, organization, personnel, security and IT audit issues etc.)
o Assessment of systemic IS related issues (i.e. questionnaires, circular letters, etc)
o Follow up on IS-related MoUs and other acts
o Work with external auditors on consistent improvement of quality of external auditors’ reports
Issues related to outsourcing of IS
Assistance in licensing of new market entrants (IS specific issues).
Extra
activities
Assistance in supervision of payment institutions and payment systems in Croatia
Inter-institutional cooperation
Issues related to outsourcing in general 6
Proces provođenja nadzora informacijskih
sustava banaka
• Proces (analogno PDCA): 1. Prikupljanje informacija o IS banaka iz
različitih izvora;
2. Analiza informacija (OINISB);
3. Zaključci na temelju analize;
4. Zaključci se usuglašavaju s
menadžmentom;
5. Sastavljanje plana supervizija (on-site i off-
site);
6. Provođenje supervizija;
7. Prikupljanje rezultata provođenja
supervizija;
8. Analiza rezultata te povratak na početak
ciklusa.
1 2
3
4 5
6
7
8
7
Različiti načini provođenja supervizije
Izvješća od i
sastanci s KI
Izvješća
vanjskih
revizora
Informacije iz
drugih izravnih
nadzora
Analiza
financijskih
izvješća KI
Plan
supervizije
Izvješća KI
Sastanci s KI
Izravni nadzori
Usmjeravanje
vanjskih
revizora
Prethodni
izravni nadzori
8
Informacije koje se razmatraju prilikom planiranja
supervizije (između ostaloga)
Plan
supervizije
Izvješća vanjskih revizora i IS-u KI
Financijska izvješća vanjskih revizora KI
Analiza financijskih izvješća KI
Analiza izvješća KI vezanih uz IS
. . .
Informacije iz drugih izravnih nadzora
Planirane poslovne aktivnosti (pripajanja,…)
Planirane IS aktivnosti (migracije,…)
Izvješća KI o incidentima
Vijesti
9
Operativno provođenje izravnih nadzora i granice
procesa
• OINISB u okviru izranih nadzora promatra: – procese vezane uz informacijske sustave KI (usporedivo s: COBIT),
– upravljačke, logičke i fizičke kontrole primijenjene na:
• operacijskim sustavima,
• mrežnoj opremi,
• poslužiteljima, radnim stanicama, prijenosnim uređajima,…
– baze podataka:
• upravljanje bazama podataka,
• zaštita podataka.
• točnost i potpunost financijskih podataka,
– aplikacije:
• proces razvoja,
• generalne aplikacijske kontrole,
• poslovno-usmjerene aplikacijske kontrole.
10
Regulatorni okvir u RH
- Informacijski sustavi kreditnih institucija -
Dokument Objavljen
Zakon o kreditnim institucijama (NN 117/2008, 74/2009 i
153/2009)
listopad 2008.
...
Smjernice za upravljanje informacijskim sustavom u cilju
smanjenja operativnog rizika ožujak 2006.
Odluka o primjerenom upravljanju informacijskim sustavom
(NN 37/2010)
(kolovoz 2007.)
ožujak 2010.
Odluka o eksternalizaciji (NN 1/2009, 75/2009 i 2/2010) siječanj 2009.
...
Očekivanja Hrvatske narodne banke vezana uz obavljanje
revizije informacijskih sustava od vanjskih revizora srpanj 2010.
11
Odluka o primjerenom upravljanju informacijskim sustavom
- Proces donošenja -
12
2001 - 2004
July 2005. March 2006. August 2007. March 2010.
Questionnaires on state
of information systems
in credit institutions
Decision on
Adequate
Information
System
Management
- New Version -
2005 - 2007
Experience gathered
during on-site IT
examinations
Questionnaire on IT
systems sent to all
banks that
(individually)
constitute less than
1% of total market
share (assets)
Analysis of IT audit reports f iled by external auditors
Experience gathered during on-site IT examinations
2008 - 2010
Credit Institutions
Act and related
sub-legal acts
Draft of
Guidelines on
Information
Systems
Management
Guidelines on
Information
Systems
Management
Decision on
Adequate
Information
System
Management
Questionnaires
and other forms
of feedback from
credit institutions
TIMELINE
Odluka o primjerenom upravljanju informacijskim
sustavom
• Odlukom se uređuju zahtjevi Hrvatske narodne banke koji se odnose
na upravljanje informacijskim sustavima kreditnih institucija.
• Neki od ciljeva Odluke:
– Siguran i stabilan bankovni sustav;
– Unaprijediti sigurnosti i raspoloživosti informacijskih sustava KI;
– Definirati što (ne kako) je potrebno ostvariti da bi:
• sve KI na primjeren način upravljale informacijskim sustavom;
• sve KI na primjeren način upravljale rizikom informacijskog sustava;
– Bolja usporedivost:
• rezultata izravnih nadzora informacijskih sustava od strane HNB-a;
• revizorskih izvješća ovlaštenih revizora o provedenim revizijama
informacijskih sustava.
13
Neke karakteristike regulatornog okvira
• Percepcija kreditnih institucija:
– Pre-regulirane?
• npr. 2-faktorska autentifikacija korisnika elektroničkog bankarstva.
– Pre-revidirane?
• Vanjska revizija, unutarnja revizija, supervizija HNB-a, grupna revizija...
• Smjernice i Odluka su:
– u najvećoj mogućoj mjeri neovisne o specifičnim tehnologijama,
• nije potrebno stalno prilagođavanje,
• ne ograničavaju se (neuobičajena) kvalitetna i inovativna rješenja,
• otežana provjera usklađenosti s propisima.
– u najvećoj mjeri sukladne dobrim praksama u upravljanju informacijskih
sustavima (CobiT, ISO 2700x, ...).
14
Sigurnost krajnjih korisnika
• Krajnji korisnici odnosno njihovi resursi (osobna računala i mobilni uređaji) kao
kanal za vektore napada na informacijski sustav kreditne institucije.
• Kreditne institucije bi u svakom slučaju trebale sudjelovati u izobrazbi krajnjih
korisnika o rizicima vezanima uz korištenje njihovih usluga te o načinima zaštite
– Implementacija preventivnih kontrola.
• Uloga HNB-a:
– Cilj: Stabilno i sigurno poslovanje kreditnih institucija
– Direkcija za zaštitu potrošača i tržišnog natjecanja.
– Izobrazba krajnjih korisnika (Smjernice):
• Banka bi trebala osigurati primjerenu izobrazbu svih korisnika
informacijskog sustava...
15
Očekivanja od vanjskih revizora IS-a
Expectations of the CNB regarding the information system audit by external auditors
Control/test procedures
Test of controls
Substantive testing
External auditor's report
Management response
Additional information:
Follow-up
Target date
Grade
Statistics Basic information:
Findings
Recommendations
Risks
Audit scope
Competencies
16
Osnovni podaci o informacijskim sustavima KI u
RH
17
Broj poslovnica i podružnica 1.286
Broj vlastitih bankomata 3.947
Broj vlastitih POS uređaja 77.582
Ukupan broj djelatnika banke 22.069
Ukupan broj djelatnika organizacijske
jedinice informacijske tehnologije1.486 7%
Unutarnji revizori IS 59
Unutarnji revizori IS (zaposlenici KI) 32 54%
Unutarnji revizori IS (vanjski suradnici) 27 46%
Osobe koje obavljaju poslove vezane
uz sigurnost IS, a nisu djelatnici o.j. IT65
(zaposlenici KI) 50 77%
(vanjski suradnici) 15 23%
Osobna računala (fizičke ili
virtualizirane), bez prijenosnih21.678
Virtualizirane radne stanice 133
Prijenosna računala (laptopi) 2.972
Ukupan broj računalnih centara s
produkcijskim sustavima59
Ukupan broj računalnih centara s
(dominantno) pričuvnim sustavima 38
Ukupan broj logičkih poslužitelja (fizički
ili virtualizirani) 3.631
Virtualizirani poslužitelji 1.986 55%
Prosječna udaljenost (u kilometrima)
između primarnog i pričuvnog
računalnog centra
80
Struktura radnih mjesta u o.j. IT
18
4%
27%
13%
7%9%
4%
3%
4%
5%
8%
0%
2%6%
8%
Sistem analitičari (ili slična radna mjesta)
Djelatnici koji provode programski razvoj (projektanti, programeri i sl.)
Djelatnici koji provode održavanje programske podrške
Djelatnici koji provode testiranje programske podrške
Djelatnici koji provode administraciju operacijskih sustava
Djelatnici koji provode administraciju mrežne opreme
Djelatnici koji provode administraciju baza podataka
Djelatnici koji održavaju hardver
Operateri (djelatnici koji pokreću programske obrade i slično)
Rukovodstvo o.j. informacijske tehnologije (direktori sektora, direkcija i sl.)
Savjetnička radna mjesta
Administrativna radna mjesta (tajnice i slično)
IT Helpdesk
Ostalo 18
Neke karakteristike provođenja unutarnje revizije
IS u KI
19
16
10
12
17
13
10
20
21
27
25
20
24
27
17
0 10 20 30 40
Koristite li automatizirane alate za analizu postavka i ranjivosti sljedećih grupa resursa informacijskog sustava?
Koristite li automatizirane alate za analizu postavka i ranjivosti sljedećih grupa resursa informacijskog sustava?
Koristite li automatizirane alate za analizu postavka i ranjivosti sljedećih grupa resursa informacijskog sustava?
Koristite li revizorske softverske alate prilikom obrade i analize podataka pohranjenih u bazama podataka
(primjerice, ACL, IDEA)?
Provodite li provjere integriteta podataka u bazama podataka?
Jeste li ikada analizirali isplativost nekih ulaganja u informacijski sustav?
Navodite li u izvješćima ocjenu stanja IS-a (primjerice, CMM ili neke druge ocjene zrelosti pojedinih područja).
DA NE
19
Informacijski sustavi u kreditnim institucijama u
RH
• Neke karakteristike informacijskih sustava u KI u RH:
– Razmjerno sofisticirani:
• Manje ograničenja legacy sustava nego u zapadnoj Europi i SAD-u.
• Velik broj distribucijskih kanala za ponudu proizvoda i usluga.
– U znatnoj mjeri sigurni i primjereno upravljani.
– Izloženi sličnim prijetnjama kao i sustavi u ostatku svijeta:
• 12/2008 – Banker ciljao neke banke u RH.
• Pitanje sigurnosti 2-faktorske autentifikacije i sigurnosti mobilnih uređaja
(Zeus i SpyEye)
– Out-of-band autorizacija transakcija.
– U nekim segmentima (npr. internet) kreditne institucije u RH djeluju kao
early adopters tehnoloških rješenja
• Potencijalno lukrativno, ali i opasno.
20
Supervizorska pozornost
• Pozadinski sustavi (bankovne aplikacije) su sve otvoreniji za izravan pristup
klijenata:
– novi distribucijski kanali x nove usluge,
– veća pozornost na tehnološka pitanja i potencijalne ranjivosti 2-faktorske
autentifikacije na mobilnim uređajima,
– sve veći broj sudionika u procesu distribucije usluga do krajnjih klijenata
(platni portali, kartične kuće, ISP-ovi, vanjski suradnici...).
• HNB se u svojim supervizorskim aktivnostima sve više okreće izravnom i
neizravnom nadzoru specifičnosti elektroničkog bankarstva:
– tehnologija,
– upravljanje informacijskim sustavom,
– (neovisna) testiranja sigurnosti.
21
22
Zahvaljujem na pažnji!
Slaven Smojver
Odjel za izravni nadzor informacijskih sustava banaka
Direkcija za specijalistički izravni nadzor banaka
HRVATSKA NARODNA BANKA
Trg hrvatskih velikana 3, 10002 Zagreb
tel: +385 1 4565 076
e-mail: [email protected]
EKSTERNALIZACIJA AKTIVNOSTI VEZANIH
UZ INFORMACIJSKE SUSTAVE KREDITNIH
INSTITUCIJA
mr.sc. Damir Blažeković, CISA Voditelj Odjela za izravni nadzor informacijskih sustava banaka
Hrvatska narodna banka
HRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA
SEKCIJA G – PROCES REVIZIJE IS
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.–13. travnja 2013.
Sadržaj
• Bankovno poslovanje
• Eksternalizacija
• Eksternalizacija IT usluga
• Rizici povezani s eksternalizacijom
• Životni ciklus eksternalizacije
• Zakonski okvir i smjernice vezane uz eksternalizaciju (međunarodni
standardi i smjernice te regulativa i smjernice u RH);
2
Bankovno poslovanje
• Bankovni sustav ima posebnu ulogu u osiguranju makroekonomske
stabilnosti i razvoja tržišne ekonomije svake zemlje.
• Moderno bankarstvo se sve više oslanja na primjenu novih tehnologija.
• Primjena novih tehnologija omogućuje razvijanje novih proizvoda i usluga,
te razvoj novih distribucijskih kanala koji omogućuju brže i jeftinije pružanje
usluga klijentima.
• Različiti modeli eksternalizacije prisutni su ne samo u bankarskom sektoru
nego u svim ostalim poslovnim sektorima.
• Smanjenje troškova poslovanja, pristup novim tehnologijama, bolja
usmjerenost banaka na obavljanje djelatnosti, oslobađanje resursa za druge
projekte, nedostatak potrebnih znanja i resursa, bolja kvaliteta usluge te
mogućnost pristupa novim tehnologijama nameću potrebu da banke
eksternaliziraju IT usluge i/ili poslovne procese te koriste usluge pružatelja
usluga, a sve radi postizanja strateških ciljeva.
3
Eksternalizacija
• Eksternalizacija = outsourcing
• U hrvatskoj literaturi se pored pojma eksternalizacija koriste riječi:
izdvajanje (primjerice, izdvajanje dijela poslovanja, izdvajanje poslovnih procesa,
izdvajanje pojedinih ili grupa poslova).
ustupanje (primjerice, ustupanje poslova).
prepuštanje (primjerice, prepuštanje poslovanja).
• Ne postoji jedna općeprihvaćena definicija eksternalizacije
• Različiti autori i izvori definiraju eksternalizaciju na različite načine.
• Ono što je zajedničko većini definicija eksternalizacije je to da se radi o
povjeravanju obavljanja pojedinih poslova (aktivnosti) određenog subjekta
pružateljima usluga, koje bi inače taj subjekt sam obavljao.
4
Eksternalizacija
• Teoretska osnova za razmatranje eksternalizacije može se pronaći u Teoriji
poduzeća (engl. Theory of the firm) odnosno teorijama koja su se razvile
iz teorije poduzeća:
Teorija transakcijskih troškova (engl. Transaction Cost Theory)
Teorija agenture (engl. Agency Theory)
Resursna teorija konkurentske prednosti (engl. Resource Based View)
Koncept ključnih kompetencija (engl. Core competence).
• Za bolje razumijevanje eksternalizacije potrebno je razlikovati "sourcing" i
"shoring" strategije:
"insourcing"
"outsourcing”
"onshoring"
"offshoring“
5
Eksternalizacija
6
Eksternalizacija
• Postoji široka lepeza terminologije koja se u stručnoj literaturi koristi u
kontekstu eksternalizacije:
backsourcing,
co-sourcing,
multi-sourcing,
business process outsourcing,
total outsourcing,
selective outsourcing,
complex sourcing,
multi vendor outsourcing,
transitional outsourcing,
tactical outsourcing,
strategic alliance/partnership,
joint venture,
....
7
Eksternalizacija IT usluga
• Kada se općenito govori o eksternalizaciji u stručnoj literaturi najčešće se
koriste pojmovi:
– ITO (engl. Information Technology/Information Systems Outsourcing) pri čemu je
ITO sinonim za eksternalizaciju informatičkih usluga odnosno IT/IS usluga.
– BPO (engl. Bussines Processs Outsourcing) pri čemu je BPO sinonim za
eksternalizaciju poslovnih procesa.
• U pravilu IT usluge možemo podijeliti na usluge razvoja i/ili održavanja
informacijskog sustava odnosno IT infrastrukture i/ili aplikacija.
• IT usluge najčešće su eksternalizirane vrste usluge u financijskoj industriji.
• Eksternalizacija IT usluga posebno je porasla i zbog napretka u (globalnoj)
telekomunikacijskoj povezanosti.
8
Primjeri IT usluga
• Održavanje hardverske (IT) opreme
• Procesiranje (obrada) podataka
• Razvoj i održavanje poslovnih aplikacija
• Održavanje aplikacijskih i web poslužitelja
• Održavanje operacijskih sustava
• Održavanje mrežne infrastrukture
• Održavanje baza podataka
• Upravljanje i održavanje sigurnosne infrastrukture
• Upravljanje internetskim stranicama i održavanje tih stranica
• Usluge kolokacije IT opreme
• Usluge podatkovnih centara (engl. data center outsourcing services)
• Usluge računarstva u oblaku (engl. cloud computing )
9
Primjeri IT usluga
• Sukladno dokumentu pod nazivom Global Technology Audit Guide (GTAG) 7:
Information Technology Outsourcing izdanog od strane Institute of Internal
Auditors (IIA) najčešće eksternalizirane IT usluge su:
– Application management
– Infrastructure management
– Help desk services
– Independent testing and validation services
– Data center management
– Systems integration
– Research and development (R&D) services
– Managed security services
10
Eksternalizacija IT usluga
11
0,00% 20,00% 40,00% 60,00% 80,00% 100,00%
Usluge održavanja hardvera
Usluge obrade podataka
Usluge razvoja poslovnih aplikacija
Usluge održavanja poslovnih aplikacija
Usluge upravljanja operativnim sustavima i usluge održavanja tih sustava
Usluge upravljanja telekomunikacijskim mrežama i održavanja tih mreža
Usluge upravljanja bazama podataka i održavanja tih baza
Usluge upravljanja sigurnosnom infrastrukturom i održavanja te infrastrukture
Usluge upravljanja internetskim stranicama i održavanja tih stranica
Usluge e-bankarstva
Usluge upravljanja i održavanja pozivnim centarima
Usluge upravljanja centarima za pomoć korisnicima (help-desk)
Usluge upravljanja podacima (skladištenje i "rudarenje" podataka)
1 - Nije predmet eksternalizacije 2 - Neke komponente su predmet eksternalizacije
3 - Većina komponenti je predmet eksternalizacije 4 - Sve je predmet eksternalizacije
Izvor: HNB
Eksternalizacija aktivnosti vezanih uz informacijske sustave kreditnih institucija (2012.)
Eksternalizacija IT usluga
Pružatelji IT usluga:
– mogu biti u RH, u nekoj zemlji EU ili u nekoj zemlji izvan EU;
– mogu biti vlasnički povezani s kreditnom institucijom ili ne moraju;
– mogu biti neke druge banke unutar bankovne grupacije (u RH i izvan nje);
– mogu biti specijalizirani pružatelji usluga;
12
Razlozi za eksternalizacijom
13
Razlozi za eksternalizacijom
14
Razlozi za eksternalizacijom aktivnosti vezanih uz informacijske sustave KI (2012.)
Izvor: HNB
Rizici povezani s eksternalizacijom
Niti jedan oblik eksternalizacije nije nerizičan.
Neki od ključnih rizika povezanih s eksternalizacijom i kojima je
potrebno učinkovito upravljati su:
– strateški rizik,
– reputacijski rizik,
– rizik usklađenosti,
– operativni rizik,
– rizik izlazne strategije,
– rizik druge ugovorne strane,
– rizik zemlje,
– ugovorni rizik,
– koncentracijski rizik.
15
Rizici povezani s eksternalizacijom
gubitak kontrole nad pružateljem
usluge
ovisnost o pružatelju usluge
nedostatak kvalifikacija
zaposlenika pružatelja usluge
nepridržavanje ugovornih odredbi
gubitak ključnih znanja i vještina
gubitak (strateške) fleksibilnosti
gubitak kompetencija
slaba kvaliteta i pouzdanost
povećani troškovi
“skriveni” troškovi u ugovorima
nejasni odnosi troškova i koristi
pad kvalitete usluge
pad konkurentske prednosti
razotkrivanje povjerljivih podataka
kulturološke razlike
sigurnost informacijskog sustava
ireverzibilnost odluke o
eksternalizaciji
otpor zaposlenika
pad morala zaposlenika
nemogućnost prilagodbe
pružatelja usluge novim
tehnologijama
pogrešni razlozi za
eksternalizacijom
16
U stručnoj literaturi i istraživanjima pojavljuju se i drugi rizici usko
povezani s eksternalizacijom a to su:
Rizici povezani s eksternalizacijom/mehanizmi za
njihovo smanjenje
17
Dimenzije eksternalizacije
• Kako bi se rizici povezani s eksternalizacijom mogli bolje razumjeti odnosno kako bi
se napravila kvalitetnija analiza rizika povezanih s eksternalizacijom potrebno je
procijeniti dimenzije eksternalizacije (engl. dimensions of outsourcing):
– vlasništvo (engl. ownership)
– stupanj eksternalizacije (engl. degree)
– modalitet (engl. mode)
– vrijeme (engl. timeframe)
– lokacija (engl. location)
• U pravilu dimenzije eksternalizacije su nezavisne varijable ili parametri koje je
potrebno razmotriti i procijeniti kako bi se:
– na sveobuhvatan način objasnio i opisao eksternalizacijski odnos (engl.
outsourcing relationship);
– napravila što kvalitetnija analiza i procjena rizika povezanih s eksternalizacijom;
– na što bolji način upravljalo rizicima povezanim s eksternalizacijom ovisno o tipu
eksternalizacije.
18
Dimenzije eksternalizacije
• Stupnjevi rizika koji su povezani s eksternalizacijom ovise o različitim dimenzijama
koje opisuju različite tipove eksternalizacije
19
Životni ciklus eksternalizacije
20
• Smjernice Europskog tijela za bankarstvo (EBA) vezane uz eksternalizaciju zahtijevaju da
banke usvoje opću politiku koja bi trebala obuhvatiti sve aspekte eksternalizacije i uzeti u obzir
glavne faze životnog ciklusa eksternalizacije a to su:
• provođenje, praćenje i
upravljanje eksternalizacijom (praćenje promjena u vlasništvu,strategijama, profitabilnosti poslovanja)
• rješavanje pitanja očekivanih ili neočekivanih raskida ugovora i drugih prekida u pružanju usluge
• planiranje za slučaj nepredviđenih okolnosti
• definiranje izlazne strategije
• izrada prijedloga ugovora s pružateljem usluge
• donošenje odluke o eksternalizaciji ili promjeni postojećeg ugovornog odnosa,
• dubinska analiza pružatelja usluge
Decision making phase
Pre- contractual
drafting phase
Contractual phase
Post-contractual
phase
Životni ciklus eksternalizacije
21
• Prema IT Governance Institute-u životni ciklus eksternalizacije sastoji se od 6 faza s tim da se
iste mnogu grupirati u 3 osnovne kategorije: strateške aktivnosti te aktivnosti prije i poslije
potpisivanja ugovora:
Međunarodni standardi i smjernice
(BCBS,CEBS/EBA, IOSCO)
• BCBS (Basel Committe on Banking Supervision) - Bazelski odbor za superviziju banaka
• CEBS (Committee of European Banking Supervisors) - Odbor europskih bankovnih supervizora
• EBA (European Banking Authority) - Europsko tijelo za bankarstvo
• IOSCO (International Organization for Securities Commissons) - Međunarodno udruženje
nadzornih tijela tržišta vrijednosnih papira
22
2004.
• Outsourcing in financial services – consultative document (BCBS)
• High level principles on outsourcing – consultation paper (CEBS)
2005.
• Outsourcing in financial services (BCBS)
• Principles on uutsourcing of financial services for market
intermediaries (IOSCO)
2006.
• Standards on Outsourcing (CEBS/EBA)
• Guidelines on Outsourcing (CEBS/EBA)
2009. • Principles on Outsourcing by Markets (IOSCO)
Regulativa i smjernice u RH
23
2005.
•Smjernice za adekvatno upravljanje rizikom eksternalizacije
2006.
•Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika
2007.
•“stara” Odluka o primjerenom upravljanju informacijskim sustavom (“Narodne novine”, br.
80/07.)
2008.
•Zakon o kreditnim institucijama (“Narodne novine”, br. broj 117/08., 74/09., 153/09. i 108/12.)
2009.
•Odluka o eksternalizaciji ("Narodne novine", br. 1/09., 75/09. i 2/10.)
•Odluka o upravljanju rizicima ("Narodne novine", br. 1/09., 41/09., 75/09. i 2/10.)
•Zakon o platnom prometu,("Narodne novine", br.133/09.)
2010.
•"nova" Odluka o primjerenom upravljanju informacijskim sustavom (“Narodne novine”, br.
37/10.)
Neke karakteristike provođenje unutarnje revizije
IS-a u KI
24
17
16
18
20
21
19
0 5 10 15 20 25 30 35 40
2011
2010
2009
Jeste li proveli reviziju ugovornih odnosa s pružateljima usluga čije su usluge vezane uz
informacijski sustav banke?
NE DA
Izvor: HNB
Neke karakteristike provođenje unutarnje revizije
IS-a u KI
25
9
15
1
29
16
34
35
16
20
0 10 20 30 40 50 60 70 80
2011
2010
2009
Broj nalaza revizije ugovornih odnosa s pružateljima usluga prema stupnju rizika
Visok Srednji Nizak
Izvor: HNB
Izvori
• Kewal V., Outsourcing as a strategic tool, Fifth Annual Pan Pacific Microelectronics Symposium, Island of Maui,
Hawaii, 2000.
• Brown, D. i Scot, W., The black book of outsourcing - How to Manage the Changes, Challenges, and
Opportunities, John Wiley & Sons, Sjedinjene američke države, 2005.
• Overby S., Outsourcing Definition and Solutions, CIO magazine, srpanj 2009.
• Harald,C., Knight, L., Lamming, R., Walker, H., Outsourcing: assessing the risks and benefits for organisations,
sectors and nations, International Journal of Operations & Production Management, Emerald Group Publishing
Limited, 2005.
• Heywood, B., The Outsourcing Dilema - The Search for Competitiveness, Pearson education, 2001.
• The Outsourcing Institute (OI) - http://www.outsourcing.com/
• Gonzalez R., Gasco J., and Lopis J., Information Systems Outsourcing Reasons and Risks: An Empirical
Study, International Journal of Human and Social Sciences 4:3 2009, 2009.
• European Central Bank, Report on EU banking structure , 2004.
• Legorreta L. i Goyal R., Managing Risks of IT Outsourcing,Idea Group Publishing, 2007.
• Mayurakshi, Ray. i Ramaswamy P., Global Technology Audit Guide (GTAG) 7: Information Technology
Outsourcing , Institute of Internal Auditors (IIA), 2007.
• Chakrabarty, S., Making Sense of the Sourcing and Shoring Maze: Various Outsourcing and Offshoring
Alternatives, Idea Group Publishing, 2006.
• Committee of European Banking Supervisors, Guidelines on Outsourcing,2006.
• Benoit, A. i Weber R., Transaction cost theory, the resource-based view and information technology sourcing
decisions, Cahier du GreSI, 2001.
• Williamson, O.E., Markets and Hierarchies, Analysys and Antitrust Implications, The Free Press, New York 1975.
• Williamson, O.E., The Economic Institutions of Capitalism, The Free Press, New York, 1985.
• Jensen, M. C., & Meckling, W. H., Theory of the firm: Managerial behavior, agency costs and ownership
structure, Journal of Financial Economics, 1976.
• Parhalad, C.K., i Hamle, G., The Core Competence of The Corporation, Harvard Business Review, 1990.
• Quinn J.B., i Hilmer, F.G., Strategic outsourcing, Sloan Management Review, 1994. godine
26
27
Zahvaljujem na pažnji!
mr. sc. Damir Blažeković
voditelj Odjela za izravni nadzor informacijskih sustava banaka
CISA
Direkcija za specijalistički izravni nadzor banaka
HRVATSKA NARODNA BANKA
Trg hrvatskih velikana 3, 10002 Zagreb
tel: +385 1 4564 582
mob: +385 98 294 877
fax: +385 1 4565 052
e-mail: [email protected]
Revizija Billing sustavaRevizija Billing sustavaRevizija Billing sustavaRevizija Billing sustava
Guy Sadeh CISA CIA CRISC CPABDO Croatia d.o.o
Guy Sadeh CISA CIA CRISC CPABDO Croatia d.o.o
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. MEĐUNARODNA KONFERENCIJA. MEĐUNARODNA KONFERENCIJA
SEKCIJA G SEKCIJA G –– Proces revizije ISProces revizije IS--aa
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Sadržaj:
• Što je billing sustav i proces billinga
• Koje vrste poslovanja koriste billing sustav
• Uloge revizora
• Primjer funkcionalnosti billing sustava
• Primjer A. Implementacija sustava za billing
• Primjer A. Koji su glavni rizici za poduzeće?
• Faktori koji se trebaju uzeti u obzir pri izradi revizijskog plana
• Revizijske tehnike
• Primjer B Jednostavna shema sustava telekomunikacijskog billing sustava
• Primjer B. Koji su glavni rizici za organizaciju?
• Međunarodni standardi za područje billinga i njegovu reviziju
• Standardi za područje billinga i revizije telekom operatera
• The Global Revenue Assurance Professional Association (GRAPA)
• Koji su slijedeći izazovi za nas ?
2
Što je billing sustav i proces billinga
Billing je općeniti pojam te se obično odnosi na proces kada poduzeće šalje račune kupcima
Billing softver je softver koji pomaže poduzećima u generiranju izlaznih računa i naplati od njihovih
kupaca (na primjer, kroz online narudžbe i fakture ili obradu i generiranje periodičnih obračuna i
faktura). Također pomaže integrirati “payment gateways” i terminale za procesuiranje online
plaćanja i kreditnih kartica.
• Billing može biti odvojen modul ERP-a
• Odvojeni sustav za sučelje prema drugim sustavima
• Eksternaliziran/U “oblaku” (Cloud)
• Elektronički billing
• Drugo
Što je proces billinga:
3
Koje vrste poslovanja koriste billing sustav
Većina nas asocira billing sa telekomunikacijama, ali billing se mnogo više koristi i svatko od nas je
imao interakciju sa billing sustavom kao klijent htjeli mi to ili ne
Tko od slijedećih koristi billing sustav?
• Komunalna poduzeća
• Elektra
• Plinara
• Leasing
• Osiguranja
• Zaštitarska društva
• Medicinske ustanove
• Internet poduzeća
• Softverska poduzeća
• Obrazovne ustanove
Neki billing sustavi su jednostavni i izdaju fakture sa mjesečnim fiksnim iznosom, dok su neki billing
sustavi kompleksniji i izdaju fakture sa raznim stavkama iz raznih sustava (varijabilni iznosi).
.
4
Uloge revizora
• Interna revizija
• Interna IT revizija
• Eksterna revizija (financijskih izvještaja ili forenzična revizija)
• Konzalting – pomoć u implementaciji softvera
• Konzalting – post-implementacijski pregled
• Konzalting ili revizija – osiguranje prihoda, analiza gubitka prihoda
• Nadzorno tijelo
• Drugo
5
Primjer funkcionalnosti billing sustava
• praćenje ugovora sa svakim pojedinim kupcem
• definiranje cjenika usluga/artikala po grupama, partnerima, regijama, nositeljima troškova…
• generiranje obračuna po geografskoj pripadnosti, grupama korisnika, vrsti usluge/artikla te ostalim
proizvoljno definiranim kriterijima
• mogućnost generiranja obavijesti vezanih uz pojedine korisnike, naselja, općine...
• masovni ispis uplatnica
• mogućnost ispisivanja korisnički definiranih podataka (broj neplaćenih računa, ukupno
dugovanje...) na uplatnicama/računima
• obrade iznimaka te lako regeneriranje obračuna po izmijenjenim uvjetima neograničen broj puta
• pregledan grupni ili detaljni prikaz generiranih/ispisanih dokumenata
• masovni izračun i ispis kamata i opomena za neplaćanje s automatskim zaduženjima glavne
knjige
• automatski prijenos podataka u glavnu knjigu, saldakonti i poreznu evidenciju
• (po grupama/nad grupama partnera i usluga/artikala, po regijama, općinama, automatski uvoz
plaćanja preko e-bankarstva i automatsko povezivanje sa zaduženjima
• detaljni i rekapitulativni izvještaji o prodaji i dugovanjima/potraživanjima naseljima, ulicama;
praćenje utuženih i nenaplativih partnera)
6
Primjer A. Implementacija sustava za billing
ZADATAK
• Poduzeće ima oko 70000 korisnika svojih usluga. Sa svakim korisnikom definirani su ugovorni uvjeti, a cjenici
usluga definiraju se po teritorijalnom principu. Potrebno je automatizirati izradu mjesečnih računa, povezivanje
plaćanja, omogućiti sve potrebne izvještaje i laku manipulaciju iznimkama.
RJEŠENJE
• Koristeći mogućnosti fleksibilne definicije dokumenata, ugovori s kupcima evidentiraju se kroz posebnu vrstu
dokumenta, definiranu prema točnim specifikacijama korisnika. U dokument se zapisuju informacije o trajanju
ugovora, kupcu, objektu za koji se ugovara usluga, vrsta i količina ugovorene usluge itd. Cjenici usluga definirani
su standardnim cjenicima , prema pripadnosti objekta općinama. Automatski generator priprema uplatnice za sve
važeće ugovore u odabranom razdoblju, smješta sva potrebna knjiženja u glavnu knjigu, saldakonti i PDV
evidenciju. Generator je moguće pokretati proizvoljan broj puta, a sustav kontrolira sve eventualne izmjene u
ugovorima i uvjetima generiranja. Za ispise uplatnica osiguran je pregledan izbornik kriterija ispisa (prema bilo
kojoj kombinaciji filtera za kućne brojeve, ulice, naselja, općine), s informacijama o već ispisanim dokumentima.
Na uplatnicama se ispisuje i trenutni saldo kupca, a generira se i poseban poziv na broj preko kojeg se automatski
vežu uplate sa zaduženjima. Uplate se uvoze automatski u sustav iz datoteka izvoda poslovnih banaka. Za sve
kupce moguće je obračunati i na isti način ispisati i poslati opomene o neplaćanju i obračune kamata.
• U sustav su ugrađene i posebne funkcionalnosti kojima se olakšava manipulacija pojedinačnim ugovorima,
kupcima i objektima.
• Za upravu osiguran je skup pivot izvještaja s prikazom uspješnosti poslovanja po općinama, kupcima,
komercijalistima...
7
Primjer A. Koji su glavni rizici za poduzeće?
• Veze i promjene između odnosa kupac – ugovor – predmet (status kupaca) mogu
rezultirati time da klijent dobije uslugu ali mu nije naplaćena ili plaća manje od
predviđenog
• Krivo obračunavanje korištenja (ne prema ugovorenom cjeniku, vrsti i količini)
• Obrada transakcije (opravdanost, kompletnost, zapisivanje, prekid)
• Izvješća iz sustava nisu u potpunosti točna
• Ljudski faktor, moguća prevara, ljudska greška
• Autorizacija i segregacija dužnosti
• i drugi…
Prema istraživanju gubitak prihoda (“Leakage of income”) se obično procjenjuje na
vrijednost između 5% i 15% ukupnih prihoda poduzeća
Prema reviziji koja se temelji na pristupu riziku revizor mora kvantificirati rizike
8
Faktori koji se trebaju uzeti u obzir pri izradi
revizijskog plana
• Statistika reklamacije kupaca kroz vrijeme i vrste (ako ima puno reklamacija, nešto nije u redu,
isto tako ako nema reklamacija isto nije u redu).
• Statističke informacije o korisnicima i KPI (Key Performance Indicators, ključni indikatori
performansi)
• Prijavljeni incidenti
• Promjene u funkcionalnosti sistema i tehnologiji (visoka/niska)
• Udio odjela IT-a, softverskih dobavljača ili drugih u operativnom procesu, na primjer mjesečna
obrada izvješća i slično (administratorski pristup sustavu)
• Sučelje sa drugim sustavima
• Broj korisnika softvera, lokacije, baza podataka
• Revizijski trag u sustavu
• Proces osiguranja prihoda
(Revenue assurance)
9
Revizijske tehnike
• Testiranje sustava unutarnjih kontrola – integriranih u billing sustav (4 eyes principle) i stalnih
kontrola potvrde ispravnosti unesenih podataka, te popratnih procedura koje prate unos i ispis
podataka
• Testiranje podataka – revizor će ući u billing sustav i testirati podatke. Nedostatak ove tehnike je
što je ograničena na unesene podatke.
• Pregled koda – pregled algoritma; u ovom slučaju revizor bi trebao imati izvrsno znanje u
programiranju kako bi mogao testirati softver.
• Paralelna simulacija – provesti kalkulacije u drugim sustavima; nedostatak se očituje u tome što je
fokus na inputu/outputu a ne na sustav.
• Upotreba CAAT alata za analiziranje baze podataka i provođenje simulacija ili statističkih analiza.
• Test integriranosti postrojenja (ITF) kreira fiktivni entitet unutar baze podataka kako bi se
simultano testirale transakcije sa živim ulazom. Provode se scenariji za testiranje ulaznih kontrola
i obrade. Koriste se isti programi za usporedbu procesa koristeći nezavisno izračunate podatke.
To uključuje postavljanje lažnih entiteta na sustavu aplikacije i provođenje testiranja ili usporedbu
produkcijskih podataka sa entitetom radi verificiranja točnosti procesa.
Prema našem iskustvu, kako bi se provela efikasna IT revizija potrebno je kombinirati
sve ove tehnike 10
Primjer B Jednostavna shema sustava
telekomunikacijskog billing sustava
11
TELECOM SWITCH
CDR
Billing inv
Billing Cash
Payroll
External Banks
ERP
Desk & Bank Payments
Customers & Products
Kos Giro Payments
Extracts from Banks
Direct Debit
Source number Destination Duration
Primjer B. Koji su glavni rizici za organizaciju?
• Skupljanje podataka iz CDR-a i drugih sustava – sučelje sa drugim sustavima nije
točno, kompletno…
• Prepaid bonove unose dobavljači
• Krivo obračunavanje korištenja (ne prema ugovorenom cjeniku, vrsti i količini)
• Obrada transakcije (opravdanost, kompletnost, zapisivanje, prekid)
• Izvješća iz sustava nisu u potpunosti točna
• Povezanost prihoda
• Ljudski faktor, moguća prevara
12
Međunarodni standardi za područje billinga i njegovu
reviziju
• ISO 14452:2012, Network services billing – služi kao okvir za komunalne usluge kako
bi se osiguralo da njihovi korisnici dobiju jasne, točne, pravovremene i kompletne
račune.
• Kako bi se odgovorilo na izazov, novi ISO 14452 standard omogućava da billing
postane jasniji, više usmjeren korisniku usluge i općenito poboljšan. Standard:
– Definira minimalne uvjete za billing i sustav naplate;
– Sprječava ili smanjuje žalbe po rješavanju ključnih pitanja;
– Osigurava da pružatelji usluge pomažu korisnicima usluge pomoću prikladnog i
konzistentnog billinga;
– Stvara i održava pravedniji i dugoročniji odnos između pružatelja i korisnika usluge;
– Pruža mjerilo za očekivanja korisnika usluge;
– Omogućava implementaciju tehnologije pametnog mjerenja i pribavljanja naprednih
korisničkih informacija.
• ISO/IEC 27011:2008 Informacijske tehnologije – sigurnosne tehnike – Smjernica za
upravljanje sigurnošću informacija za telekomunikacijske organizacije, temeljen na
ISO/IEC 27002. Uključuje 11 sigurnosnih domena, 39 operativnih ciljeva i 133
kontrole.
• Interna ISMS revizija
13
Standardi za područje billinga i revizije telekom operatera
14
GBA Map - Global Billing Association i Tm
forum za e-TOM
E-TOM okvir za poslovne proces u
informatičkoj, komunikacijskoj i zabavnoj
industriji.
Vertikalno grupiranje: Fokus na end-to-
end aktivnosti (npr. osiguranje). Svaka
grupa spaja kupca, prateće usluge,
resurse i dobavljače/partnere. Ove
vertikalne grupe predstavljaju pogled na
životni ciklus s lijeva na desno kroz okvir.
Horizontalno grupiranje: Fokus na
funkcionalno povezana područja (npr.
upravljanje odnosima s kupcima). Ovo
grupiranje predstavlja slojeviti pogled na
procese poduzeća, krećući se od vrha
prema dnu, sa podrškom kupcima i
dobavljačima osnovnim uslugama,
resursima i interakcijom sa dobavljačima i
partnerima.
Gdje se križaju grupe vertikalnih i
horizontalnih procesa na mapi, moguće je
primijeniti detaljizaciju procesa u
vertikalnom i horizontalnom kontekstu,
ovisno o korisničkoj potrebi.
The Global Revenue Assurance Professional Association
(GRAPA)
Certifikacijski program:
Practitioners of Internal Audit for Telecom Revenues Certification (CB-IATR)
Cilj: Okvir za unutarnje revizore i stručnjake za osiguranje prihoda kako bi
razumjeli kako mogu raditi kao tim kako bi ponudili telekomunikacijskim
operaterima optimalno sprječavanje gubitka i rizika
15
Koji su slijedeći izazovi za nas ?
• Cloud billing
• E-računi (digitalni potpis)
16
Zahvaljujem na pažnji!
E-mail:
Web:
17
Uloga interne revizije u BiH
u procesu pridruživanja EU
Uloga interne revizije u BiH
u procesu pridruživanja EU
Alma Delić, dipl.oec.
Mr.sc. Ankica Kolobarić
Institut internih revizora u Bosni i
Hercegovini
Alma Delić, dipl.oec.
Mr.sc. Ankica Kolobarić
Institut internih revizora u Bosni i
Hercegovini
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA H SEKCIJA H –– Unutaranja revizija u javnom sektoruUnutaranja revizija u javnom sektoru
“.“.
2
UVOD:
• Interna revizija u BiH sve više postaje potreba kako u
profitnim tako i u budžetskim institucijama i
neprofitnim organizacijama. Interna revizija
predstavlja unutrašnju reviziju i u pravilu ima vedi
obim djelovanja kao i značenje za vlasnike i
menadžment preduzeda, od bilo kakvog oblika
vanjske revizije.
• Interna revizija predstavlja nezavisnu poslovnu funkciju
koja ima za cilj istraživanje i ocjenu aktivnosti čitave
organizacije. Ona također pomaže vlasnicima i
menadžmentu, dajudi im analize, procjene, preporuke,
savjete i informacije vezane za revidirane aktivnosti, te
je upravo zbog toga dodatni oslonac i kontrola
rukovodstvu organizacije kao i njenim vlasnicima, da
njihovo poslovanje ide u željenom smjeru.
FINANSIJSKI SEKTOR
FINANSIJSKI SEKTOR
Interna revizija u bankama i ostalim finansijskim institucijama regulisana je zakonskim i podzakonskim propisima. Podzakonske propise, najčešde odluke i uredbe uglavnom donose Agencije za bankarstvo kao regulatori.
BANKE
• Pomenutim zakonima regulisana je oblast interne
revizije u smislu obligatornog formiranja Odbora za
reviziju kao organu koji ima za zadatak nadgledanje
rada interne revizije. Odbor za reviziju broji pet članova
i imenuje ga Nadzorni odbor, kojem i direktno odgovara
za svoj rad.
• Funkcija interne revizije u bankama je uspostavljena nanačin da je imenovani interni revizor - uposlenikodgovoran za identifikaciju, pradenje i ocjenu rizika uposlovanju banke i provjeru da li je u banci uspostavljensistem interne kontrole koji osigurava da se rizicimaupravlja na način kojim se rizici umanjuju naprihvatljivu mjeru.
BANKE
• U provođenju svojih nadležnosti interni revizor mora
imati ovlaštenja za neograničen i neometan rad i dužan
je da sarađuje sa odborom za reviziju banke.
• Interni revizor direktno izvještava odbor za reviziju
banke. Međutim, u slučajevima značajnih neslaganja
interni revizor obavještava nadzorni odbor, a nadzorni
odbor mora razriješiti slučaj.
• Internog revizora imenuje nadzorni odbor.
OSIGURAVAJUĆA DRUŠTVA
U Bosni i Hercegovini trenutno posluju 24 osiguravajuda
društva (u FBiH 13, a u RS 11) i jedno društvo za
reosiguranje – Bosna reosiguranje.
Agencija za nadzor osiguranja FBiH i Agencija za
osiguranje u RS su regulatorne institucije na tržištu
osiguranja. Na državnom nivou djeluje Agencija za
osiguranje u BiH, a njena funkcija je koordinacija rada i
zakonodavne regulative.
OSIGURAVAJUĆA DRUŠTVA
• Pravilnikom o internoj reviziji u društvu za osiguranje
(Službene novine FBiH br. 13/09 ), društvo za
osiguranje je dužno da obezbjedi internu reviziju, koja
je samostalna i nezavisna u obavljanju svojih poslova, a
koja za svoj rad odgovara odboru za reviziju (član 2
Pravilnika).
• Ovim Pravilnikom uređuju se ciljevi, zadaci,
organizacija, plan i program rada i način izvještavanja
interne revizije u društvu za osiguranje.
LEAISING DRUŠTVA
ZAKONI
ZAKON O LEASINGU (Službene novine FBiH broj 85/08, 39/09),
ZAKON O LEASINGU (Sl. glasnik RS br. 70/07, 116/11")
• Ovim Zakonom uređuju se: uvjeti za osnivanje, poslovanje i prestanak
rada leasing društva, ugovor o leasingu, prava i obaveze subjekata u
poslovima leasinga, prestanak ugovora o leasingu, registracija
vlasničkih i drugih prava nad predmetom leasinga, upravljanje rizicima,
finansijsko izvještavanje i nadzor nad poslovanjem leasing društva.
• Interna revizija nije direktno obuhavdena Zakonom, ali odredbe o
upravljanju rizicima, finansijskom izvještavanju i nadzoru nad
poslovanjem sadrže bitne karakteristike interne revizije.
MIKROKREDITNE ORGANIZACIJE
ZAKONI
ZAKON O MIKROKREDITNIM ORGANIZACIJAMA
(Sl. novine FBiH br. 59/06),
ZAKON O MIKROKREDITNIM ORGANIZACIJAMA
(Službeni glasnik Republike Srpske br. 64/06 i
116/11)
Zakonom o mikrokreditnim organizacijama uređuje se
osnivanje, registrovanje, djelatnost, oblik organizovanja,
poslovanje, način upravljanja, prestanak rada i nadzor
poslovanja mikrokreditnih organizacija.
MIKROKREDITNE ORGANIZACIJE
Funkciju interne revizije možemo povezati sa
odredbama o izvještavanju i reviziji, te nadzoru
poslovanja
• Mikrokreditna organizacija je obavezna voditi i čuvati
knjigovodstvene evidencije dokumente, te sastavljati i
objavljivati finansijske izvještaje u skladu sa propisima
kojima se uređuje oblast računovodstva i revizije.
• Finansijske izvještaje, mikrokreditna organizacija dužna
je podnositi nadležnim tijelima na način i u rokovima
utvrđenim zakonom i drugim propisima kojima se
uređuje oblast računovodstva i revizije.
MIKROKREDITNE ORGANIZACIJE
Agencija za bankarstvo u FBiH, odnosno RS-u, vrši nadzor
nad poslovanjem:
• mikrokreditnih organizacija sa sjedištem u Federaciji kao
i njihovih organizacijskih dijelova u RS-u i Brčko Distriktu;
• mikrokreditnih organizacija sa sjedištem u RS i njihovih
oragnizacijskih dijelova u FBiH i Brčko Distriktu
• mikrokreditnih organizacija sa sjedištem u Brčko
Distriktu i njihovih oragnizacijskih dijelova u FBiH i RS-u.
Agencija za bankarstvo nalaže mjere za otklanjanje
nepravilnosti utvrđenih u vršenju nadzora.
JAVNI SEKTOR
JAVNI SEKTOR
Uvodne napomene
Javni sektor čini država i svi njeni entiteti koji
raspolažu javnim sredstvima i državnom imovinom.
To su: državni organi, državna uprava, sudstvo, jedinice
lokalne samouprave, nezavisna regulatorna tijela, kao i
pravna lica u kojima država ili opdine imaju vedinski udio.
Odnosno, javni sektor je sinonim za državni sektor, gdje
država ima nadležnosti nad jednim dijelom privrede.
Svrha postojanja javnog sektora jeste zadovoljavanje
javnih potreba i vršenje javnih funkcija.
JAVNI SEKTOR
Uvodne napomene
Prilikom definisanja javnog sektora preplidu se pitanja da li javni sektor čini država, njene organizacije i agencije, ili ga čine i sva javna preduzeda (koja ostvaruju profit iz poslovanja) čiji je država vedinski vlasnik. Konačnom definisanju javnog sektora pomogla je međunarodna regulativa koja determiniše praksu računovodstva i revizije. To su Međunarodni računovodstveni standardi za javni sektor i prema njima "javni sektor se odnosi na nacionalne vlasti, regionalne uprave, lokalne samouprave (gradske i opdinske) i slične državne entitete (agencije, odbore, komisije ...)"
JAVNI SEKTOR
Interna revizija u javnom sektoru Bosne i Hercegovine je uspostavljena
na entitetskom i državnom nivou na način da je pravni okvir definisan
na oba nivoa.
Zakonodavna regulativa interne revizije u javnom sektoru pruža
cjelovit okvir koji podrazumijeva:
- definisanje interne revizije
- planiranje i vrste
- proces interne revizije
- nadzor
- dokumentovanje
- nepravilnosti i prevare
- te propisane obrasce kao vodilja za rad internog revizora.
JAVNI SEKTOR
ZAKONI
ZAKON O INTERNOJ REVIZIJI INSTITUCIJA BOSNE I
HERCEGOVINE (Sl glasnik. BiH br. 27/08, 32/12)
ZAKON O INTERNOJ REVIZIJI U JAVNOM SEKTORU U FEDERACIJI
BOSNE I HERCEGOVINE (''Sl. novine FBiH'', broj 47/08)
ZAKON O INTERNOJ REVIZIJI U JAVNOM SEKTORU REPUBLIKE
SRPSKE (Sl. glasnik Republike Srpske br.17/08)
Ovim Zakonima regulisana je uspostava interne revizije u
entitetskim i državnim institucijama s ciljem
uspostavljanja efikasnog sistema internih kontrola u
javnom sektoru.
JAVNI SEKTOR
Centralna harmonizacijska jedinica (CHJ)
CHJ je ovlaštena za razvoj, rukovođenje i koordinaciju
interne revizije i razvoj finansijskog upravljanja i kontrole u
institucijama Bosne i Hercegovine u skladu sa Zakonom o
internoj reviziji u institucijama Bosne, uz koordinaciju s
entitetskim centralnim harmonizacijskim jedinicama i
saradnju putem Koordinacionog odbora centralnih
harmonizacijskih jedinica s tijelima Evropske komisije.
• Unutrašnja organizacija CHJ utvrđuje se Pravilnikom o unutrašnjoj
organizaciji koji odobrava Vijede ministara na prijedlog ministra
finansija i trezora.
• Unutrašnju organizaciju čine organizacione jedinice od kojih je
obavezno jedna organizaciona jedinica zadužena za uspostavljanje i
razvoj sistema interne revizije, a druga za uspostavljanje i razvoj
finansijskog upravljanja i kontrole u institucijama Bosne i
Hercegovine.
Radom Centralne harmonizacijske jedinice (CHJ) rukovodi direktor.
JAVNI SEKTOR
JAVNI SEKTOR
• Podzakonski akti na nivou BiH
Pravilnik o zapošljavanju internih revizora u institucijama BiH (Sl.
glasnik BiH br. 81/12)
Odluka o utvrđivanju okvirnog teksta Sporazuma o vršenju funkcije
interne revizije (Sl. glasnik BiH br. 73/12)
Odluka o kriterijima za uspostavljanje jedinica interne revizije u
institucijama BiH („Službeni glasnik BiH“, broj 49/12)
Povelja interne revizije
ETIČKI KODEKS / KODEKS PROFESIONALNE ETIKE ZA INTERNE
REVIZORE U INSTITUCIJAMA BiH
Priručnik za internu reviziju sa standardima interne revizije sa
prilozima
Upravljanje rizikom u organizaciji ( Enterprise Risk Management - ERM)
o prilog 1 - STANDARDI interne revizije sa pojašnjenjima
o prilog 2 - Struktura strateškog plana interne revizije
o prilog 3 - Struktura godišnjeg plana interne revizije
o prilog 4 - Obrazac OB-1 - NALOG ZA POKRETANjE INTERNE REVIZIJE
o prilog 5 - Obrazac OB-2 - IZJAVA O NEZAVISNOSTI
o prilog 6 - Obrazac OB-3 - PLAN POJEDINAČNE REVIZIJE
o prilog 7 - Obrazac OB-3A - PROGRAM POJEDINAČNE REVIZIJE
o prilog 8 - Obrazac OB-3B - UVODNA IZJAVA
o prilog 9 - Primjer vertikalnog grafikona – dijagram toka
o prilog 10 - Primjer horizontalnog grafikona
Upravljanje rizikom u organizaciji ( Enterprise Risk Management - ERM)
o prilog 11 - Simboli za izradu dijagrama toka
o prilog 12 - Obrazac OB-4 - PREGLED KONTROLA
o prilog 13 - Obrazac OB-5 - TESTIRANJE KONTROLA
o prilog 14 - Obrazac OB-6 - REVIZORSKI NALAZI I PREPORUKE
o prilog 15 - Spisak pitanja za provjeru kvaliteta revizorskog izvještaja
o prilog 16 - Obrazac OB-7 - PLAN AKTIVNOSTI/PREGLED PREPORUKA
o prilog 17 - Obrazac OB-8 - PREGLED REVIZIJE
o prilog 18 - STRUKTURA I SADRŽAJ TEKUĆEG REVIZORSKOG DOSJEA - TRD
o prilog 19 - STRUKTURA I SADRŽAJ STALNOG REVIZORSKOG DOSJEA - SRD
o prilog 20 - SPISAK OBRAZACA
Strategija za provođenje javne interne finansijske kontrole u institucijama Bosne i Hercegovine (PIFC) (usvojena na 110. sjednici Vijeda ministara Bosne i Hercegovine održanoj 30.12.2009. godine
JAVNI SEKTOR
Podzakonski akti na nivou FBiH
Metodologija rada interne revizije u javnom sektoru FBiH (Sl.
novine FBiH br.13/12)
Povelja interne revizije
Etički kodeks interne revizije
Podzakonski akti na nivou Republike Srpske
Priručnik za internu reviziju (Sl. glasnik RS br. 10/12)
Upustvo za izradu strateškog plana u skladu sa Priručnikom za
internu reviziju
Kodeks profesionalne etike za interne revizore u javnom sektoru
RS
Okvirna povelja interne revizije
SEKTOR PRIVREDE
SEKTOR PRIVREDE
1. SEKTOR PRIVREDE
Nastojedi osigurati što uspješnije poslovanje
preduzeda i njegov kontinuirani rast i razvoj, kao i
zaštitu interesa vlasnika kapitala u savremenim
uslovima, menadžment preduzeda, neposredno je
zainteresovan za odgovarajudi sistem internih
kontrola kao svojevrsni nadzor nad poslovanjem
preduzeda.
SEKTOR PRIVREDE
• Kao osnovni razlozi organizovanja i razvoja tog sistema uobičajeno
se ističu efikasno korištenje resursa preduzeda, te pružanje
podrške i pomodi preduzedu u ostvarivanju unaprijed postavljenih
ciljeva.
• Interna revizija ima za cilj da provjeri funkcionisanje sistema
internih i operativnih kontrola u organizaciji privrednog društva.
Interna revizija ima tri glavne funkcije:
• 1. Reviziju zakonitosti i regularnosti finansijskih transakcija.
• 2. Operativnu reviziju.
• 3. Upravljačku reviziju
SEKTOR PRIVREDE
Interna revizija u preduzedima regulisana je sljededim zakonskim
aktima:
ZAKON O JAVNIM PREDUZEĆIMA FBiH (“Službene novine Federacije
BiH”, br. 8/05, 81/08, 22/09)
ZAKON O JAVNIM PREDUZEĆIMA RS („Sl. glasnik RS", br. 75 /04,
78/11)
ZAKON O JAVNIM PREDUZEĆIMA BRČKO DISTRIKTA BiH („Službeni
glasnik Brčko Distrikta BiH“ broj 15/06)
Zakonima o javnim preduzećima se uređuju poslovanje i upravljanje
javnih preduzeća, organi preduzeća, sukobi interesa sa preduzećem,
etički kodeksi, interni postupci, nedopuštene i ograničene aktivnosti
i druga pitanja od značaja za rad ovih preduzeća.
SEKTOR PRIVREDE
Po Zakonu,„Javno preduzede jeste pravno lice koje je upisano u sudski
registar kao privredno društvo i koje obavlja djelatnost od javnog
društvenog interesa (energetika, komunikacije, komunalne
djelatnosti, upravljanje javnim dobrima i druge djelatnosti od javnog
društvenog interesa) ili pravno lice definisano kao javno preduzede
posebnim propisom."
Zakonima o javnim preduzedima se uređuju poslovanje i upravljanje
javnih preduzeda, organi preduzeda, sukobi interesa sa preduzedem,
etički kodeksi, interni postupci, nedopuštene i ograničene aktivnosti i
druga pitanja od značaja za rad ovih preduzeda.
SEKTOR PRIVREDE
Interna revizija se uspostavlja kao Odjeljenje interne revizije u
sjedištu javnog preduzeda u skladu sa Odlukom o uspostavljenju
Odjeljenja za internu reviziju. Odjeljenjem rukovodi direktor
Odjeljenja interne revizije koji je odgovoran za organizaciju rada
Odjeljenja i za odabir i rukovođenje licima zaposlenim u odjeljenju.
Postupak i uslovi izbora direktora Odjeljena za internu reviziju
regulisani su prije svega Zakonima o javnim preduzedima, zatim
Statutom preduzeda i Odlukama Odbora za reviziju.
SEKTOR PRIVREDE
U skladu s navedenim zakonima direktor odjela za internu
reviziju dužan je i odgovoran da uspostavi odjel za internu
reviziju odgovarajudeg obima potrebnog da se adekvatno
obavljaju utvrđene dužnosti, te ima isključivu odgovornost
za izbor i rukovođenje licima zaposlenim u navedenom
odjelu.
SEKTOR PRIVREDE
Odjeljenje za internu reviziju ima dužnost i odgovornost da:
podnosi odboru za reviziju godišnju studiju rizika i plan revizije u
kojima je sadržan detaljan prikaz rizičnih područja i revizija koje de biti
izvršene;
podnosi odboru za reviziju izvještaj o obavljenim revizijama i
preporuke putem direktora odjeljenja za internu reviziju;
obavlja svoje dužnosti u skladu sa međunarodnim standardima
revizije.
Odjel za internu reviziju ovu dužnost ne može prenositi na drugi organ.
Cjelokupno osoblje odjela za internu reviziju su zaposlenici javnog
preduzeda. Direktor odjela za internu reviziju ne može biti zaposlenik
javnog preduzeda, ali de za usluge koje pruža javnom preduzedu biti
shodno tome nagrađen od tog preduzeda i u skladu sa odgovarajudim
tarifama u slučaju da se one mogu dobiti iz Ureda glavnog revizora ili
ministarstva u čijoj nadležnosti se javno preduzede nalazi
SEKTOR PRIVREDE
Uprava preduzeda je dužna i odgovorna da
obezbijedi adekvatan prostor s ciljem da se omogudi operativnost
odjeljenja za internu reviziju i da mu se omogudi da neometano
obavlja svoj posao;
obezbijedi da, bez izuzetka, odjeljenje za internu reviziju ima
potpuni i cjelovit uvid u svu evidenciju preduzeda.
Obezbijedi dovoljno materijelno-tehničkih sredstava za
funkcionisanje Odjeljenja
Obezbijedi ostale uslove da Odjeljenje neometano obavlja svoj
posao
SEKTOR PRIVREDE
ZAKON O PRIVREDNIM DRUŠTVIMA RS ("Sl. glasnik RS", br.
36/2011 i 99/2011)
ZAKON O PRIVREDNIM DRUŠTVIMA FBIH (»SLUŽBENE NOVINE FBIH« BR.
23/99, 45/00, 2/02, 6/02, 29/03, 68/05, 91/07, 84/08,7/09,63/10)
• Ovim zakonima prvenstveno se uređuje osnivanje, poslovanje, upravljanje i
prestanak privrednih društava. Društvo je pravno lice koje samostalno obavlja
djelatnost proizvodnje i prodaje proizvoda i vršenja usluga na tržištu radi
sticanja dobiti.
• S obzirom da su javna preduzeda organizovana i kao društva ograničene
odgovornosti i dionička društva, te da je dijelom njihovo poslovanje regulisano
zakonom o privrednim društvima, isti indirektno utiče na uspostavu i funkciju
interne revizije u preduzedu.
• Pored zakonskih propisa, u primjeni su i podzakonski akti koji u velikoj mjeri
doprinose funkcionisanju interne revizije u preduzedu, odnosno privrednom
društvu.
REFORMA USPOSTAVE
Javne interne financijske
kontrole (PIFC)
• Usljed finansijske krize, sredinom 2009, BiH je potpisala trogodišnji stand-by-Ugovor s MMF-om, kako bi se finansirao budžet i pokrio trenutni deficit.
• Specifični ciljevi Ugovora su: smanjenje strukturnog fiskalnog salda na granicu finansijskih potreba Vlade i dovesti javne finanSije na održiv put; ponovo uspostaviti restrikciju budžetskih plada, podržati adekvatnu likvidnost i kapitalizaciju banaka, osigurati dovoljna eksterna finansiranja i poboljšati samopouzdanje.
• U BiH, s obzirom na projekat Javne interne finansijske kontrole (PIFC), element stvarnog napretka predstavlja imenovanje šefova Centralne harmonizacijske jedinice (CHJ) na državnom i entitetskom nivou.
• Svaka CHJ ima dvije podjedinice:- jednu za internu reviziju (IA) i - jednu za finansijsko upravljanje i kontrolu (FMC).
• U novembru 2011. godine osnovan je Koordinacijski odbor tri Centralne harmonizacijske jedinice (BiH, FBiH i RS). Koordinacijski odbor, čiji su članovi čelnici CHJ, usvojio je program aktivnosti koji se bazira na internu reviziju.
• Rad na razvoju finansijskog upravljanja i kontrole (FMC) počeo je unutar države BiH.
• Projekat Javne interne finansijske kontrole (PIFC) je još uvijek u ranoj fazi razvoja. Ipak, nakon donošenja usklađenih zakona o internoj revizije od strane državne i entitetskih vlada u 2008., usklađene su politike PIFC –a.
• Finansijsko upravljanje i kontrola (FMC) trenutno se oslanja na postojede budžetske zakone. Koordinacioni odbor CHJ se namjerava baviti FMC-jem tek kada okonča rad na uspostavi interne revizije. Međutim, državna CHJ je u pregovorima u vezi rješavanja primarnog zakonodavstva u čijim podzakonskim aktima treba uvrstiti i projekat FMC, s obzirom da je postojanje zakonske regulative uslov za uspostavu interne kontrole.
• Interna revizija ne može biti učinkovita bez jakog finansijskog upravljanja i kontrole, niti može igrati savjetodavnu ulogu u upravljanju. Finansijsko upravljanje i kontrola također zahtijeva stabilan budžetski proces u kombinaciji s dugoročnim finansijskim planiranjem, kao i procesom upravljanja.
• Ovi procesi moraju biti popradeni određenim aranžmanima.Finansijsko upravljanje prožima cijeli proces izvršenja budžeta. U takvim okolnostima, fokus treba biti na tehničkom razvoju, a bududi da se interna revizija može definirati mnogo jasnije nego FMC, za početak uspostava interne revizije je neophodna da bi se krenulo dalje.
• Međutim, činjenica je da interna revizija nikada nede stupiti na snagu bez odgovarajude strukture financijskog upravljanja i kontrole.Interna revizija u cijeloj BiH je još uvijek u ranoj fazi razvoja.
• Zakoni interne revizije su uglavnom u skladu s međunarodnim zahtjevima, ali je njihova provedba spora.
• Bitno je istadi na osnovane CHJ na državnom i entiteskom nivou sada preuzimaju odgovornost za daljnji razvoj interne revizije, što predstavlja dobru platformu za ubrzani razvoj.
Preporuke
U području razvoja interne revizije i FMC-a, potrebno se se usredotočiti na tehničke reforme koje podrazumijevaju:
1) Područje upravljanja javnim izdacima: Trezor bi trebao poboljšati svoje sisteme uvođenjem učinkovitijih kontrola obaveza države BiH i entiteteta
U području budžetskog razvoja, fokus reforme je u sva tri ministarstva finansija -neovisno o trenutnoj finansijskoj krizi - poboljšanje analitičkih kapaciteta, jačanje statusa ministarstva finansija u cilju omogudavanja lakšeg odupiranja pritisku za povedanje socijalnih izdataka.
rad na razvoju strateškog finansijskog planiranja treba proširiti da pokrije sva sredstva kako bi se osiguralo da se troškovi investicijskih projekata u potpunosti se priznaju
2) Interna finansijska kontrola
• Osnovani Koordinacioni odbor CHJ preuzima odgovornost za PIFC reforme, a u orijentaciju ovoga projekta tehničke pomodi treba uzeti u obzir fokus na poptoru Odbora, a ne pojedinačnih CHJ.
• Razvoj FMC zakonodavstva , kao sljededi prioritet
• U upravljačkim strukturama treba povedati razumijevanje za razvoj FMC-a,
• CHJ treba težiti da se poveda razumijevanje i FMC i interne revizije između razina upravnih tijela, kao što su ministri, direktori agencija, šefovi odjela i jedinica u svim javnim organizacijama.
Rezime / Zaključak
Ubrzan razvoj modernog društva sve više naglašava
značaj i potrebu za internom revizijom. Zakoni,
podzakonski akti i drugi propisi koji regulišu poslovanje i
djelatnost organizacija svojim odredbama direktno
obavezuju ili indirektno upućuju na uvođenje funkcije
interne revizije, a sve s ciljem sprečavanja zloupotreba i
prevara, usklađenosti finansijskih izvještaja, uspostave
efikasnog sistema kontrola , upravljanja rizikom i
unapređenja poslovanja u cjelini. Iz pomenutog može se
zaključiti da interna revizija ako negdje nije zakonom
obavezna u svakom slučaju jeste preporučena.
Rezime / zaključak
Iako zbog složene strukture države uglavnom imamo
zakone na entiteskim nivoima ohrabrujuće je to što su
odredbe koje se tiču interne revizije uglavnom
usaglašene. Nadalje svim zakonima i drugim propisima je
interna revizija je upućena na međunarodne standarde,
kodeks i definiciju interne revizije što potvrđuje obavezu
poštovanja međunarodnog okvira za profesionalnu
praksu interne revizije te stoga isti predstavlja sastavni
dio pravnog okvira za internu reviziju.
Hvala na pažnji
““Uspostavljanje interne revizije
u javnom sektoru u Makedoniji
– iskustvo i praksa ”
““Uspostavljanje interne revizije
u javnom sektoru u Makedoniji
– iskustvo i praksa ”
Slobodan Dimitrovski, CIA, CGAP
IIA Makedonija
Slobodan Dimitrovski, CIA, CGAP
IIA Makedonija
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA 5. MEĐUNARODNA KONFERENCIJAKONFERENCIJA
SEKCIJA H SEKCIJA H –– Unutarnja revizija u javnom sektoruUnutarnja revizija u javnom sektoru
“Očekivanja od interne revizije ulaskom u EU”, Zadar “Očekivanja od interne revizije ulaskom u EU”, Zadar 1111..––1313. travnja . travnja 20132013..
2
Sadržaj
Okruzenje
Nezavisnost
Zastita
Motivacija
Certifikacija
Harmonizacija
3
Revizija u javnom sektoru u Makedoniji
2000 Izdat prvi prirucnik o internoj reviziji
2004 Usvojen zakon za internu reviziju u javnom
sektoru
2004 Izdat novi prirucnik o internoj reviziji
2005 Izdat novi prirucnik o internoj reviziji
2005 Prve pilot revizije uz pomoc Holandskih
eksperata
2007 – 2013 Tvining PIFC projekt izmedju
Holandije i Makedonije, intenzivne obuke o
internoj reviziji
4
Revizija u javnom sektoru u Makedoniji
2009 Ukinut zakon za Internu reviziju u javnom
sektoru.
2009 Usvojen PIFC zakon, koji tretira I internu
reviziju.
2009 IIA Makedonija uspeva da ukljuci
medjunarodne certifikate o internoj reviziji u PIFC
zakon.
2012 Zapocet proces certifikacije internih revizora
u javnom sektoru – konkurencija IIA Vs. CIPFA
Najavljeni I lokalni certifikati za internu reviziju u
javnom sektoru od Ministarstva Financija
5
Stanje 2006 - 2013
24 – 74 jedinice na centralnom nivou
0 – 64 jedinice na lokalnom nivou
79 – 194 internih revizora u javnom sektoru
0 – 2 certificiranih internih revizora u javnom
sektoru
0 – 0 provedene eksterne provere kvaliteta
6
Harmonizacija interne revizije u javnom sektoru
PIFC sektor u sklopu Ministarstva financija
Unificirana povelja unutarnje revizije, prirucnik,
metodologija, formulari.
Vazeci PIFC zakon citira prevod standarda od
2009 godine.
Odnosi sa IIA Makedonija
7
Kvantitet I kvalitet
Broj provedene eksterne procjene kvaliteteinterne revizije?
Broj provedene supervizije interne revizije sa strane PIFC sektora?
Broj sastanaka IIA Makedonije i PIFC sektora?
Obrt internih revizora?
Certifikacija?
Cilj?
8
Preporuke
Politika zadrzavanja kadra
Azuriranje standarda
Azuriranje prirucnika
Obavezna nadvoresna provjera kvalitete
Obavezna supervizija interne revizije od PIFC sektora u Ministarstvu financija
Obuke
Suradnja
9
Preporuke
Obuka menagmenta o internoj reviziji
Marketing interne revizije
Kreiranje revizorskih odbora
Nadleznost za naznacivanje internih revizora kod
revizorskih odbora
Nadleznost za odredjivanje place internih
revizora kod revizorskih odbora
Eticka komisija
10
Preporuke
Godisnji skup/konferencija internih revizora u
javnom sektoru
Transfer znanja
CIA I CGAP certificiranje zaposlenih u PIFC
sektoru.
11
PITANJA?
REVIZIJA UČINKA
“nove perspektive”
REVIZIJA UČINKA
“nove perspektive”
Dr.sc.Ibrahim Okanović
Ured za reviziju institucija u FBiH
Dr.sc.Ibrahim Okanović
Ured za reviziju institucija u FBiH
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA H H –– Unutarnja revizija u javnom sektoruUnutarnja revizija u javnom sektoru
SADRŽAJ:
• Uvod
• Zašto RU?
• Cilj i svrha RU;
• Sličnosti i razlike RU i FR;
• Značaj RU u javnom sektoru;
• Zaključak
• Data nam je važna uloga!
• Imamo širok mandat,ali….
• Mnogobrojna su pitanja kojima se: ne možemo,ne želimo
ili ne bi trebali baviti!
• Možemo se upustiti samo u ono što vidimo ili o čemu
možemo imati viĎenje!
• Rukovodimo se trendovima i političkim prioritetima .
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
I. PAR RIJEČI O TOME KO SMO MI I ŠTA
RADIMO
NEKOLIKO JAVNIH ZADATAKA MOGU
MEĐUSOBNO KONKURIRATI
• Učiniti reviziju poznatom (javnosti)
• Bavljenje teškim pitanjima
• “Prozivanje” loše prakse
• Davanje poticaja za promjene
• Promoviranje odgovornosti
• Pomaganje u prevenciji prevara i korupcije
• Služenje demokratiji i otvorenom društvu (dobra uprava ili rukovoĎenje)
Vrši svoje funkcije bez obzira na sistem finansijskog menadžmenta
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
ZAŠTO REVIZIJA UČINKA-USPJEHA ?• Revizija učinka je sveobuhvatna i selektivna (ISSAI).
• Izvještaji revizije - opisuju stanje, uvjete, daju neovisnu
informaciju, savjet ili uvjeravanje, te specifične zaključke
(u pogledu 3 “E”), (3100).
• Preporuke – smjernice za rad, sugeriraju poboljšanja, a
navode dobre prakse u rješenju problema (ISSAI).
II. ZAŠTO REVIZIJA UČINKA?
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
Sličnost interne revizije i RU
• Postizanje ciljeva organizacije(dodana vrijednost)
• Ekonomične, efikasne i djelotvorne upotrebe resursa,
• Čuvanje sredstava organizacije od gubitaka,
• Identifikacija rizika, ocjena rizika i upravljanje rizikom,
• Interno i eksterno izvještavanje.
SLIČNOST INTERNE REVIZIJE I RU
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA OBUHVATA:
• Reviziju ekonomičnosti smanjenih troškova,
• Reviziju efikasnosti korištenja ljudskih, financijskih i
drugih resursa,rezultata i načina praćenja poslovanja, te
postupke za otklanjanje utvrĎenih slabosti,
• Reviziju efektivnosti ostvarenja ciljeva organizacije u
poreĎenju sa planiranim učincima ili u poreĎenju najbolje
prakse.
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
KOJI PROBLEMI MOGU BITI PREDMETOM
REVIZIJE?
Problemi ekonomičnosti, efikasnosti i efektivnosti
programa vlade ili javnih usluga,
Problemi koji imaju negativan učinak na društvo,
Problemi koji su nastali kao posljedica aktivnosti vlade,
Siromaštvo je društveni problem. Revizija ispituje aktivnosti vlade,
poput programa koji za cilj imaju smanjenje siromaštva. Oni mogu
biti više ili manje ekonomični, efikasni i efektivni.
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
Nepostojanje veze Indikacije
problema
Očekivanja
Realnost
ŠTA REVIZIJA UČINKA PREPOZNAJE KAO PROBLEM?
Posljedice na učinak
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
KOMPETENCIJE REVIZIJSKOG OSOBLJAIstraživačka sposobnost
Etičnost
Dobro ophođenje
Sposobnost
procjene
Angažiranost
Nadarenost/
inteligencija
Istrajnost
KOMPETENCIJE REVIZIJSKOG OSOBLJA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
MODERNOM DRUŠTVU POTREBNO JE VIŠE OD TRADICIONALNIH
OBLIKA KONTROLE I REVIZIJE
Složene strukturei višeslojnereforme
Složene strukturei višeslojnereforme
Slabi inherentni Slabi inherentni poticaji za promjenu
Kontinuirano poboljšanje i
učenje
Javne finansije Javne finansije naspram potreba
stanovnika
Uvjeti i potrebe koje se rapidno Uvjeti i potrebe koje se rapidno
mijenjaju
IV. MODERNOM DRUŠTVU POTREBNO JE VIŠE OD
TRADICIONALNIH OBLIKA KONTROLE I REVIZIJE
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
Utjecaj politika i programa vlade
Efikasnost programa
i menadžmenta
Implementacija
Efektivnost agencijskih
programa
Finansijski menadžment
Transakcije
Računi
Interna kontrola
UsklaĎenost
Finansijska revizija (FR) Revizija učinka (RU)
Ekonomičnost
Izvještavanje o ishodu
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
AD - HOC REVIZIJA• Revizija učinka nije redovna revizija, nego se izvršava na
ad-hoc osnovi i ne izražava mišljenje na način kaofinansijska revizija.
• Fokusira se prije na učinak nego na troškove iračunovodstvo.
AD - HOC REVIZIJA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA U MODERNOM DRUŠTVU
Procjenjuje učinak na zajednicu
Procjenjuje vrednovanje učinka za korisnike
Procjenjuje i izvještava o rezultatima
REVIZIJA UČINKA U MODERNOM DRUŠTVU
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
OSNOVNA POLAZIŠTA REVIZIJE UČINKA
Da li je javni menadžment postavio jasne ciljeve?
Da li je javni menadžment odabrao odgovarajuće prioritete?
Da li je javni menadžment odabrao odgovarajući način korištenja javnih sredstava?
OSNOVNA POLAZIŠTA REVIZIJE UČINKA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA U JAVNOM SEKTORU
(NAJBOLJA VRIJEDNOST ZA NOVAC) Tržišni mehanizam i profit poduzeća (privatni sektor)
Zamjena za tržišni mehanizam.(javni sektor) RU
RU-služi za stvaranje boljeg od onog što ima na
raspolaganju.
RU-istraživački, gotovo naučni pristup u metodologiji
izvoĎenja procesa (opsežna istraživanja).
V. REVIZIJA UČINKA U JAVNOM SEKTORU
(NAJBOLJA VRIJEDNOST ZA NOVAC)
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA PROCJENJUJE • Funkcionalnost i kvalitet javnog sektora.
• Vrši pregled procesa kojima se utvrđuje da li nadležnatijela, organizacije i organi rade svoj posao adekvatno,da li ispunjavaju ciljeve i na koji način ih realiziraju.
• Koji efekat je postignut za uloženu vrijednost?
• Revizija učinka ne kritizira, nego utvrđuje činjenice idaje prijedloge za poboljšanje poslovanja.
REVIZIJA UČINKA PROCJENJUJE
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
KLJUČNI FOKUS REVIZIJE UČINKA
Da li postoji jasna raspodjela odgovornosti između različitih razina
vlasti?
Da li uopde postoji generalna svijest o troškovima?
Da li je kvalitet usluga javnog sektora odgovarajudi?
Da li su potrebe građana zadovoljene?
KLJUČNI FOKUS REVIZIJE UČINKA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
ČEMU DOPRINOSI REVIZIJA UČINKA• Javnoj odgovornosti.
• Poticanju promjena u javnom sektoru.
• Poticanju svijesti uposlenih u javnoj administraciji u
pogledu odgovornijeg rada i ponašanja spram graĎana u
čije ime obnašaju svoje dužnosti.
• Poboljšanju efikasnosti i efektivnosti javne administracije.
ČEMU DOPRINOSI REVIZIJA UČINKA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA-PROMJENA POLITIKA
VLADE• Rano upozorenje na greške.
• Inicira donošenje promjena.
• Budude odluke o planiranju budžeta.
• Napredak o učinku javnog sektora.
• Napredak u pružanju javnih usluga
• Uvođenje promjena za postizanje boljih rezultata vlade.
REVIZIJA UČINKA-PROMJENA POLITIKA
VLADE
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
INPUT-OUTPUT MODEL
Cilj AktivnostInput Output Output Efekti
EfektivnostEfektivnostEkonomičnostEkonomičnost EfikasnostEfikasnost
Što niži Što niži
troškovi
Najbolja iskorištenost
raspoloživih sredstava
Najbolja iskorištenost
raspoloživih sredstava
Ostvarivanje zadatih
pretpostavljenih
Ostvarivanje zadatih
pretpostavljenih ciljeva
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
PERSPEKTIVE ISTRAŽIVANJA U REVIZIJI
UČINKA
Fokusira se na klijente (vrijeme čekanja, kvalitet usluga) i njihova očekivanja, koja su od općeg javnog interesa.
Fokusira se na uvjete, namjere i očekivanja zakonodavne i
izvršne vlasti.
OD
DN
A P
RE
MA
VR
HU O
D V
RH
A P
RE
MA
DN
U
PERSPEKTIVE ISTRAŽIVANJA U REVIZIJI
UČINKA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA-ODGOVOR NA PITANJA?
Da li su stvari (projekti) urađeni na pravi način?
Da li su urađene prave stvari (projekti)?
REVIZIJA UČINKA-ODGOVOR NA PITANJA?
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
ULOGA INDIKATORAIndikatoriCilj
Korist
Prikupljanje podataka o uspješnosti
Preispitivanje rezultata
rezultatima drugih sličnih (najbolja
Usporedba sa rezultatima drugih sličnih (najbolja
praksa)ugledu na praksu
Podsticati aktivnosti na
poboljšanju po ugledu na praksu
najuspješnijih
ULOGA INDIKATORA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
MODELI MJERENJA UČINKA
Svrha
definirana
Resursi
angažirani
Aktivnost
poduzeta
Usluge
isporučene
Ciljevi
ispunjeni
MODELI MJERENJA UČINKA
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
POMOĆU MJERENJA UČINKA MOGUĆE JE
UTVRDITI
Šta i kako radi institucija.
Izvršiti poređenje sa prvobitnim ciljevima.
Unaprijediti poslovanje.
POMOĆU MJERENJA UČINKA MOGUĆE JE
UTVRDITI
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
REVIZIJA UČINKA KAO PARTNER U ZAJEDNIČKOM
CILJU POBOLJŠANJA RADA JAVNOG SEKTORA
Zakonodavna vlast
Izvršna vlast
Klijenti
Građanstvo
Mediji
Ostali subjekti
• Utvrđivanje mogućnosti za poboljšanja u pogledu 3 “E”.
• Poboljšanje funkcioniranja vlade i vladinih tijela.
• Razumijevanje procedura RU i ključnih zahtjeva RU.
• Razumijevanje da se RUprovodi za i u ime općeginteresa građana.
• Most u komunikaciji sa građanima i njihov pogled na kvalitet rada javnog sektora.
• Eksperti, akademska zajednica, elaboracija izvještaja, konsultantskapitanja.
REVIZORI MOGU NAPRAVITI RAZLIKU
Ko drugi ima prava, informacije i sposobnosti da se
suprotstavi birokratičnosti, neefikasnosti i
disfunkcionalnim propisima?
“Revizori & Revizori & Revizori”
VI. Zaključak:
REVIZORI MOGU NAPRAVITI RAZLIKU
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
Hvala na pžnji,
pitanja ?
Zahvaljujem na pažnji!
E-mail: [email protected]
Web: http://www.vrifbih.ba
"Očekivanja od interne revizije ulaskom u EU", Zadar,11-13.aprila 2013
““PRAĆENJE PROVEDBE
ANTIKORUPCIJSKOG
PROGRAMA PUTEM
UNUTARNJE REVIZIJE –
PRIMJER FINA”
““PRAĆENJE PROVEDBE
ANTIKORUPCIJSKOG
PROGRAMA PUTEM
UNUTARNJE REVIZIJE –
PRIMJER FINA”
Ksenija Stevanović
Financijska agencija (FINA)
Ksenija Stevanović
Financijska agencija (FINA)
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA HH –– Unutarnja revizija u javnom sektoruUnutarnja revizija u javnom sektoru
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar EU”, Zadar 1111..––1313. . travnja travnja 20132013..
Sadržaj:
1. Uvod
Regulatorni okvir / interni akti Fine
Ciljevi i mjere AKP
2. Praćenje provedbe AKP putem unutarnje revizije
Tim za provedbu unutarnje revizije
Cilj i opseg unutarnje revizije
Ograničenja u provedbi
Plan i program rada
3. Nalazi revizije
4. Zaključak i preporuke2
1. Uvod
Regulatorni okvir
Zaključak Vlade RH kojim je donesen AKP za trgovačka
društva u većinskom državnom vlasništvu za razdoblje
2010.-2012. godine od 26.11. 2009. godine,
Dodaci Antikorupcijskom programu:
Akcijski plan za provođenje AKP-a
Izvješće o provedbi akcijskog plana za provođenje AKP-a
Praćenje rezultata provedbe AKP-a (upitnik)
3
1. Uvod
Interni akti Fine
Odluka Uprave Fine o donošenju Akcijskog plana za
provođenje AKP-a od 31.12.2009. godine,
Akcijski plan Fine za provođenje AKP-a za trgovačka
društva u većinskom državnom vlasništvu za razdoblje
2010. – 2012.,
Odluka Uprave Fine o imenovanju službenika za
informiranje, povjerenika za etiku i osobe za nepravilnosti,
Odluka Uprave o imenovanju koordinatora provedbe
Akcijskog plana Fine,
4
Interni akti Fine
Odluka o pravu na pristup informacijama Fine,
Odluka NO o imenovanju Revizorskog odbora Fine,
Poslovnik o radu Revizorskog odbora Fine,
Odluka Uprave Fine o potpisivanju Izjave o povjerljivosti i
nepristranosti,
Pravilnik o pripremi i provođenju postupka javne nabave….,
Etički kodeks Financijske agencije,
Procedura zapošljavanja u Fini….i dr.
5
Praćenje provedbe AKP prema
resornom ministarstvu
6
Praćenje provedbe AKP za trgovačka društva
Sustav za izradu objedinjenog izvještaja:
• koordinatori na razini resornih ministarstva
• koordinatori na razini svakog trgovačkog društva
• uvođenje učinkovitog praćenja antikorupcijskih
mjera putem detaljnog Upitnika (Question Pro)
te mogućnost provjere ispunjenja:
Cilj
Mjera
189 pitanja o provedbi
Provedeno – DA/NE (133 upita)
Kvantitativno/informativni podaci (56 upita)
Referenca na web stranicu, dokument i sl.
Sektor za suzbijanje
korupcije Ministarstva
pravosuđa
Vlada RH
Ministarstvo
financija
Financijska
agencija
7
Ciljevi i mjere AKP
poboljšanje usluga javnog sektora s naglaskom na jačanje odgovornosti za uspješno ostvarenje zadaća i promicanje izgradnje integriteta i transparentnosti,
obavljanje poslovanja na pravilan, etičan, ekonomičan, učinkovit i djelotvoran način,
usklađivanje poslovanja sa zakonima, propisima, politikama, planovima i postupcima,
zaštita imovine i drugih resursa od gubitka uzrokovanih lošim upravljanjem, neopravdanim trošenjem i korištenjem, te od nepravilnosti i prijevara,
pravodobno fin. izvješćivanje i praćenje rezultata poslovanja. 8
Ciljevi i mjere AKP
objavljivanje informacija o poslovanju, o javnoj nabavi i
zaposlenjima na internetskoj stranici Fine, te uvođenje
klauzula o integritetu u natječajnu dokumentaciju,
ostvarivanje prava na pristup informacijama Fine,
sukladno Zakonu o pravu na pristup informacijama,
imenovanje službenika za informiranje i povjerenika za
etiku, te osobe za nepravilnosti,
uspostavljanje i/ili jačanje sustava financijskog
upravljanja i kontrole, unutarnje revizije, revizorskog
odbora,
uspostava sustava za prijavljivanje nepravilnosti,
specijalizirane edukacije zaposlenika. 9
Prevencija u obrani protiv korupcije
- unutar i izvan trgovačkog društva
10
2. Praćenje provedbe AKP putem unutarnje revizije
Tim za provedbu unutarnje revizije
Fina je usvojila preporuku da prilikom praćenja
provedbe AKP-a prvenstveno koristi unutarnju reviziju
Nalogom za pokretanje unutarnje revizije određen je
revizorski tim u sastavu ovlaštenih zaposlenika Ureda
za unutarnji nadzor i reviziju
11
2. Praćenje provedbe AKP putem unutarnje revizije
Cilj i opseg unutarnje revizije
provjera provedbe aktivnosti iz Akcijskog plana Fine za
provođenje AKP-a za trgovačka društva u većinskom
državnom vlasništvu,
procjena statusa kroz usklađenost provedbe s ciljevima
i mjerama iz AKP-a,
pregled provedenih aktivnosti iz Akcijskog plana Fine
za revidirano razdoblje od 01.01. do 15.10.2012. g.,
obuhvaćeni ciljevi i mjere iz AKP-a.
12
2. Praćenje provedbe AKP putem unutarnje revizije
Ograničenja u provedbi unutarnje revizije
Fina u svom sastavu ima ovisno društvo (tvrtku kćer), te
predmetnom revizijom nije obuhvaćena provjera
provedbe aktivnosti iz Akcijskog plana Fina Gotovinski
servisi d.o.o. (Fina GS) za provođenje AKP-a,
Pregled financijskih pokazatelja obuhvaćen prethodnim
provjerama – provedena samoprocjena sustava
financijskog upravljanja i kontrola.
13
Plan i program rada
Revizija provođenja AKP-a planirana Godišnjim planom
rada unutarnje revizije za 2012. godinu,
Revizijski postupak uključio je revidiranje Upitnika o
praćenju provedbe AKP-a do 15. listopada 2012.
godine, odnosno provjeru izvršenja mjera iz AKP-a,
Tijekom revizije korištene su metode:
intervjuiranja, testiranje odnosno metode provjere na
temelju odabranog uzorka, analize upitnika, usporedbe,
procjenjivanja, uvid u postojeću dokumentaciju,
pregled web stranice Fine (AKP).
2. Praćenje provedbe AKP putem unutarnje revizije
14
2. Praćenje provedbe AKP putem unutarnje revizije
Program rada obuhvatio je:
pregled sadržaja mrežne stranice Fine u svezi AKP-a,
pregled dokumentacije u svezi provedbe mjera iz AKP-a
(interni akti i ostala referentna dokumentacija),
provjera točnosti podataka navedenih u Upitniku,
provođenje intervjua s koordinatorom aktivnosti
provedbe Akcijskog plana Fine za provođenje AKP-a,
kao i s osobama imenovanim za funkcije u vezi s
provođenjem mjera iz AKP.
15
Portal Fine – Antikorupcijski program
16
3. Nalazi revizije
Nalazi su prezentirani putem tabličnih prikaza
raspoređenih prema glavnim ciljevima/mjerama AKP:
Cilj 1. – Jačanje integriteta, odgovornosti i
transparentnosti u radu,
Cilj 2. – Stvaranje preduvjeta za sprječavanje korupcije
na svim razinama,
Cilj 3. – Afirmacija pristupa „nulte tolerancije” na
korupciju, te
osamnaest mjera sustavnog otklanjanja uzroka
korupcije.17
3. Nalazi revizije
Nalazi revizije
prate status provedbe aktivnosti iz Akcijskog plana za
provođenje AKP-a uz istovremeno davanje preporuka
koje se odnose na pojedine mjere suzbijanja korupcije.
Provjera funkcioniranja uspostavljenog sustava – primjer
Fina
Nepravilnosti i prijevare – primjer upita
Transparentnost postupaka javne nabave–portal Fine
18
Provjera funkcioniranja uspostavljenog sustava - primjer
U P I T
Koliki je broj zaposlenih u Fini na dan popunjavanja upitnika?
Koliko je natječaja za zapošljavanje provedeno i javno objavljeno?
Koliko je sklopljeno ugovora o javnoj nabavi /nabavi tijekom 2012. godine do
datuma popunjavanja upitnika?
Koliko je zahtjeva za ostvarivanja prava na pristup informacijama zaprimljeno i
riješeno do datuma popunjavanja upitnika?
Koliko je pritužbi o kršenju etike zaprimljeno i riješeno do datuma popunjavanja
upitnika?
Koliko je slučajeva nepravilnosti i prijevara zaprimljeno i riješeno od 1.1.2012. do
datuma popunjavanja upitnika?
Koliko je trenutno zaposlenih unutarnjih revizora?
Koliko je unutarnjih revizija planirano Godišnjim planom unutarnje revizije za 2012.
godinu?
Koliko je sastanaka Revizorskog odbora Fine održano tijekom 2012. godine?
Na koliko sjednica NO je raspravljano o provedbi mjera iz AKP-a? 19
Nepravilnosti i prijevare – primjer upita
Koliko je slučajeva nepravilnosti i prijevara zaprimljeno ?
Koliko je slučajeva nepravilnosti i prijevara ukupno riješeno ?
Koliko je od riješenih slučaja odbačeno?
Za koliko je od riješenih slučaja izrečena disciplinska mjera?
Za koliko je od riješenih slučaja proveden postupak otkaza ugovora o radu?
Koliko je od riješenih slučaja proslijeđeno na daljnje postupanje?
Je li uspostavljen Registar nepravilnosti?
Je li podneseno izvješće o nepravilnostima ?
20
Portal Fine – postupci javne nabave
Transparentnost
postupaka javne
nabave uz
zakonske
odredbe Zakona
o javnoj nabavi,
osigurana je i
internim aktima
Fine, te javnom
objavom na
portalu Fine.
21
3. Nalazi revizije
neke od mjera se ne provode iz razloga što Fina
nije obveznik primjene određene zakonske
regulative na kojoj se temelje pojedina pitanja iz
Upitnika (npr. Zakon o sustavu unutarnjih financijskih
kontrola u javnom sektoru (NN 141/06), Zakon o državnim
službenicima (pročišćeni tekst – NN 49/12)).
22
4. Zaključak i preporuke
Nalazi su potvrdili da je postotak izvršenja mjera
veći od 80%, što potvrđuje činjenicu da se
aktivnosti u svezi mjera AKP-a u Fini uspješno
provode.
Iako su postignuti rezultati uglavnom
zadovoljavajući, utvrdili smo da postoje prostori za
poboljšanje, koje smo iskazali putem preporuka.
Sve preporuke su prihvaćene i usuglašene, a
revizorski tim prati status provedbe istih.23
Zaključno
Fina se pozicionirala na 15. mjestu rang liste od
ukupno 86 trgovačkih društava u većinskom
državnom vlasništvu u provedbi mjera iz AKP-a
(4. objedinjeni izvještaj o provedbi AKP, Samostalni sektor za
suzbijanje korupcije, Ministarstvo pravosuđa – svibanj 2012.)
24
Zaključno
Objedinjeni izvještaj
o provedbi AKP-a,
kao i izvještaji svakog
pojedinog društva
javno su
objavljeni na
web stranici
www.antikorupcija.hr
25
KODEKS STRUKOVNE ETIKE
UNUTARNJIH REVIZORA U
JAVNOM SEKTORU
REPUBLIKE HRVATSKE
KODEKS STRUKOVNE ETIKE
UNUTARNJIH REVIZORA U
JAVNOM SEKTORU
REPUBLIKE HRVATSKE
IVAN KURJAN
MINISTARSTVO FINANCIJA
IVAN KURJAN
MINISTARSTVO FINANCIJA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
SEKCIJA I SEKCIJA I –– Profesionalna etika internih revozoraProfesionalna etika internih revozora
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Temelji Kodeksa etike
• Kodeks etike utemeljen je na;
• načelima i pravilima Kodeksa etike Instituta
unutarnjih revizora (The Institute of Internal
Auditors – IIA) te
• načelima Etičkog kodeksa državnih službenika u
Republici Hrvatskoj
Sadržaj Kodeksa etike
• Kodeks sadrži načela i pravila
• Načela Kodeksa polazna su osnova za;
– utvrđivanje pravila etičnog i
– stručnog obavljanja poslova unutarnjih revizora
• Pravila Kodeksa
– predstavljaju razradu načela kojima se određuje
profesionalno i etično ponašanje unutarnjih revizora
Prihvaćanje i primjena Kodeksa etike
• Prihvaćanje i primjena Kodeksa pridonosi povjerenju u unutarnje revizore i njihov rad
• Načela i pravila Kodeksa dužni su se pridržavati;
– ovlašteni unutarnji revizori
– kandidati za polaganje ispita za ovlaštenoga unutarnjeg revizora i
– druge osobe koje su na bilo koji način uključene u poslove unutarnje revizije
• Svaki unutarnji revizor u svom djelovanju nastupa kao neovisna osoba
Načela Kodeksa etike
Osnovna načela Kodeksa etike jesu:
1. integritet/poštenje
2. neovisnost
3. stručnost
4. objektivnost
5. povjerljivost – čuvanje tajnosti podataka
6. nepristranost – izbjegavanje sukoba interesa
7. ponašanje i odnos s drugima
Načelo: Integritet/Poštenje
• integritet unutarnjih revizora zasniva se na njihovu:– poštenju i čestitosti u obavljanju poslova
• temelj je za uspostavu povjerenja u poslove unutarnje revizije
• u svrhu očuvanja javnog povjerenja, ponašanje unutarnjeg revizora mora biti;– časno, izvan svake sumnje i bez prijevara
Načelo: Integritet/Poštenje
-PRAVILA
Unutarnji revizori moraju:
• obavljati svoje dužnosti pošteno, marljivo i odgovorno
• obavljati poslove unutarnje revizije u skladu s međunarodnim revizijskim standardima za unutarnju reviziju, zakonima i propisima Republike Hrvatske, primjenjujući načela i pravila Kodeksa strukovne etike unutarnjih revizora
• izbjegavati sudjelovanje u ilegalnim radnjama ili aktivnostima te u aktivnostima koje diskreditiraju zvanje unutarnjeg revizora ili korisnika proračuna
• uvažavati i podupirati ciljeve korisnika proračuna
• donositi mišljenja i prosudbe imajući na umu javni interes
Načelo: Neovisnost
• U obavljanju poslova unutarnje revizije
neovisnost unutarnjeg revizora ne smije biti
ugrožena:
– osobnim ili
– vanjskim interesima
• Visok stupanj neovisnosti omogućuje unutarnjem
revizoru:
– nepristrano djelovanje i
– objektivno prosuđivanje činjeničnog stanja
Načelo: Neovisnost
-PRAVILA
Unutarnji revizori moraju:
• biti objektivni i neovisni u izlaganju tema
• zaštititi neovisnost od političkih utjecaja
• suzdržavati se od osobnih interesa ili vanjskog pritiska
• koristiti informacije i mišljenja sudionika, ali zaključak moraju dati na temelju dokaza, a ne na temelju tuđega mišljenja ili procjene,izbjegavati aktivnosti ili odnose koji bi mogli utjecati na izvješće ili stručnu procjenu (mišljenje)
Načelo: Stručnost
• Od unutarnjih revizora zahtijeva se da;
– poslove obavljaju stručno, te
– da posjeduju znanja, vještine i iskustvo potrebno
za obavljanje poslova unutarnje revizije
Načelo: Stručnost
-PRAVILA
Unutarnji revizori moraju:
• primjenjivati znanja, vještine i iskustvo potrebno za obavljanje revizije
• obavljati unutarnju reviziju u skladu s međunarodnim revizijskim standardima za unutarnju reviziju te propisima i smjernicama koje uređuju unutarnju reviziju u Republici Hrvatskoj
• neprestano se usavršavati te dokazivati svoju stručnost i kvalitetu svojih usluga
Načelo: Objektivnost
• Od unutarnjih revizora očekuje se da posjeduju najveći stupanj profesionalne objektivnosti
• Objektivnost, a isto tako i nepristranost, nužna je pri sastavljanju revizorskog izvješća
• Pri donošenju prosudbi te davanju stručnog mišljenja i preporuka unutarnji revizori ne smiju biti ni pod kakvim utjecajem
• Unutarnji revizori predočuju na najobjektivniji mogući način nalaze i mišljenja
Načelo: Objektivnost
-PRAVILA
Unutarnji revizori moraju:
• pokazati najvišu razinu profesionalne objektivnosti u
prikupljanju podataka i informacija, ocjenjivanju i
izvještavanju
• razmotriti sve važne činjenice za ocjenjivanje
postojećeg sustava
• biti objektivni u sastavljanju revizorskog izvješća
Načelo: Povjerljivost – čuvanje tajnosti podataka
• U obavljanju unutarnje revizije potrebno je uvažavati
povjerljivost i tajnost svih podataka
• Povjerljive podatke o revidiranom subjektu unutarnji
revizor može davati isključivo uz odobrenje uključenih
osoba i ako postoji zakonsko pravo ili obveza objave
tih podataka
Načelo: Povjerljivost – čuvanje tajnosti podataka
-PRAVILA
Unutarnji revizori moraju:
• poštovati povjerljivost podataka i informacija prikupljenih u svom radu, ne smiju ih koristiti u privatne svrhe ili na način koji nije u skladu s propisima o tajnosti podataka i pravu na pristup informacijama ili s međunarodnim revizijskim standardima za unutarnju reviziju
• biti oprezni u korištenju i zaštiti podataka koji su im stavljani na raspolaganje pri obavljanju revizije
• obavještavati osobu za nepravilnosti o svim uočenim nepravilnostima koje bi, ako na njih ne upozore, mogle imati za posljedicu prikrivanje nezakonitog djelovanja
Načelo: Nepristranost – izbjegavanje sukoba interesa
• Nepristranost mora neprekidno biti prisutna u radu unutarnjih revizora
• Ako unutarnji revizor daje stručno mišljenje ili pruža usluge izvan predmeta revizije ili revidiranog subjekta, mora paziti da te usluge nisu u sukobu interesa
• U slučaju da postoji sukob interesa pri obavljanju revizije, unutarnji revizor dužan je o tome obavijestiti voditelja unutarnje revizije ili neposrednog rukovoditelja
Načelo: Nepristranost – izbjegavanje sukoba interesa
-PRAVILA
Unutarnji revizori moraju:
• osigurati da pružene usluge i savjeti ne budu upravljačkog karaktera
• sačuvati neovisnost i izbjegavati moguće konflikte ili sukobe interesa, i to tako da ne primaju darove, zahvale niti druge koristi koje bi mogle utjecati na izvješće ili stručnu procjenu
• izbjegavati sve odnose s upravljačkim tijelima ili osobljem koji bi mogli štetno utjecati na neovisno djelovanje
• izbjegavati korištenje službenog položaja za osobnu korist i nikada se ne koristiti svojim položajem u privatne svrhe, te izbjegavati odnose koji uključuju rizik korupcije ili koji mogu izazvati sumnju u neovisnost, objektivnost i nepristranost unutarnjih revizora
• Unutarnji revizor obavlja isključivo poslove unutarnje revizije, a u obavljanju tih poslova izravno je odgovoran čelniku korisnika proračuna i voditelju jedinice za unutarnju reviziju.
• Unutarnji revizor ne može biti imenovan osobom za nepravilnosti i vršiti istrage
Načelo: Ponašanje i odnosi unutarnjih revizora s drugima
• Međusobni odnosi unutarnjih revizora i korisnika proračuna temelje se na uzajamnom poštenju, povjerenju, suradnji, pristojnosti i strpljenju
• Unutarnji revizori svojim bi ponašanjem trebali poticati suradnju i dobre odnose između revizora, ali isto tako i dobre odnose sa svim drugim zaposlenicima
Načelo: Ponašanje i odnosi unutarnjih revizora s drugima
-PRAVILA
Unutarnji revizori moraju:
• dati podršku i kvalitetno surađivati s drugim
unutarnjim revizorima
• uspostaviti pošten, uravnotežen i kolegijalan
odnos s drugim zaposlenicima
Ponašanje unutarnjeg revizora i rješavanje etičkih pitanja
• častan unutarnji revizor odnosit će se prema drugim
unutarnjim revizorima onako kako bi on želio da se
oni odnose prema njemu
• unutarnji revizor ne smije se baviti prijavama kojih je
cilj nekoga povrijediti ili poniziti
• kada unutarnji revizor uoči da njegov kolega krši
etička načela profesionalnog ponašanja, dužan ga je
na to upozoriti i neformalno mu pokušati pomoći u
razrješenju problema
Odnos prema Središnjoj harmonizacijskoj jedinici
Unutarnji revizor
• smatrat će Središnju harmonizacijsku jedinicu svojom strukovnom maticom, čuvajući joj i promičući ugled i u struci, ali i u široj javnosti
• dužan je poštovati opće akte i sve druge upute Središnje harmonizacijske jedinice te pravodobno ispunjavati sve postavljene obveze
• dužan je odbiti svaku stručnu radnju koja je u suprotnosti s ovim Kodeksom
ETIKA I PRIMJENA ETIČKOG ETIKA I PRIMJENA ETIČKOG
KODEKSA INTERNIH KODEKSA INTERNIH
REVIZORAREVIZORA
ETIKA I PRIMJENA ETIČKOG ETIKA I PRIMJENA ETIČKOG
KODEKSA INTERNIH KODEKSA INTERNIH
REVIZORAREVIZORA
Kajetan Knešaurek
HEP Proizvodnja d.o.o.-Zagreb
Kajetan Knešaurek
HEP Proizvodnja d.o.o.-Zagreb
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA I I –– Profesionalna etika internih revozoraProfesionalna etika internih revozora
“Očekivanja od “Očekivanja od interne revizije ulaskom u Europsku uniju”, interne revizije ulaskom u Europsku uniju”, Zadar 11.Zadar 11.––13. 13. travnja travnja 2013.2013.
2
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• SADRŽAJ
• Uvod
• Etički kodeks IIA-a
• Suradnja s drugim funkcijama
• Izazovi
• Zaključna razmatranja
3
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Uvod
• Zašto je došlo do rasprava u vezi
etike, globalizacije i gospodarstva ?
• Tri problema potiču raspravu i to:
4
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
1. Socjalna kriza-razina solidarnosti
dosegla je najnižu točku
2. Kriza sustava rada-novim tehničkim
izumima obezvređuje se ljudski rad
3. Ekološka kriza – neodgovorni
konzumizam je čovjećanstvo stavio
pred sveopću katastrofu
5
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• "Bez primjene etike (poslovne,
stručne, itd.) nema ni dugoročnog
uspjeha (poslovnog, stručnog itd.), ali
ni osobnog, obiteljskog, opće
društvenog itd.”
• Etično ponašanje je ne činiti sebi,
drugome i okolišu loše.
6
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Određenje dobrog gospodarenja kao
ispravna praksa, danas, često s
izravnim ukazom na Aristotela,
doživljava renesansu, napose u
menedžerskoj literaturi, ali i u politici.
(Aristotel, “Politika”, 1259a,5-17
R.C. Solomon”Ethics and Excellence. Cooperation and
Integrity in Business, NY-Oxford, 1993., 95-196
7
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Ako je etika normativna znanost o
ispravnom djelovanju, onda ona
obuhvaća sva podrućja života –
dakle i Internu reviziju,
gospodarstvo itd.
8
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
Etički kodeks IIA
The Institut of Internal Auditors (IIA)- Institut Internih
Revizora
Etički kodeks IIA – usvojen srpanj 1998.
• Svrha
Važno obilježje profesije je prihvaćanje odgovornosti
članova IIA za interese onih kojima služe.
• Primjenjivost
Etički kodeks primjenjiv je na sve članove IIA i ovlaštene
interne revizore.
9
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• S obzirom na dinamiku promjena u struci interne revizije
u svijetu, 2006. godine Upravni odbor (Odbor) IIA-a
osnovao je međunarodni upravljački odbor i radnu
skupinu za pregled Okvira profesionalnog djelovanja
(OPD) te strukturu uputa IIA-e zajedno s povezanim
procesima.
• Rezultat: - lipanj 2007.g.
Međunarodni okvir profesionalnog djelovanja (MOPD)
(International Professional Practices Framework - IPPF)
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
10
11
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
MOPD-a je sužen tako da uključuje samo obvezujuće
smjernice koje sadrže dvije kategorije:
• Obvezne
1. Definicija interne revizije,
2. Etički kodeks i
3. Međunarodni standardi za stručnu provedbu interne
revizije (Standardi).
• Preporučene
4.Sažeci osnovnih gledišta,
5.Preporuke za rad i
6.Praktični vodič.
12
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Etički kodeks Instituta internih revizora (IIA)
obuhvaća Načela koja su relevantna za
djelatnost i provođenje interne revizije i Pravila
ponašanja koja opisuju kakvo se ponašanje
očekuje od internih revizora.
• Etički kodeks odnosi se na stranke i subjekte koji
pružaju usluge interne revizije.
• Svrha je Etičkog kodeksa promicanje etičke
kulture u globalnoj djelatnosti interne revizije.
13
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Etički kodeks IIA uključuje dva ključna elementa:
• 1. Načela
koja su važna za struku i provođenje interne revizije;
• 2. Pravila ponašanja
koja opisuju očekivane standarde ponašanja internih
revizora. Ta pravila služe kao pomoć u tumačenju načela
u svrhu praktične primjene te kao smjernice za etičko
postupanje internih revizora.
14
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
1. Integritet
Poštenje internih revizora osigurava temelj povjerenja u njihovu
prosudbu.
2. Objektivnost
Interni revizori moraju pokazivati najveći stupanj profesionalne
objektivnosti.
3. Povjerljivost
Interni revizori poštuju vrijednost i vlasništvo nad informacijama koje
dobivaju i te informacije ne otkrivaju bez odgovarajućih ovlasti, osim
ako ne postoji zakonska ili profesionalna obveza da to učine.
4. Stručnost
Interni revizori primjenjuju znanje, vještine i iskustvo koje je
potrebno za pružanje usluga interne revizije.
15
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• 1. Integritet
• Dužnosti internih revizora:
1.1. Obavljati svoj posao pošteno, marljivo i odgovorno.
1.2. Poštivati zakon i objavljivati informacije ukoliko to
propisuje zakon ili struka.
1.3. Ne smiju svjesno sudjelovati u bilo kakvim
nezakonitim aktivnostima ili radnjama koje narušavaju
ugled struke internih revizora ili organizacije.
1.4. Poštivati i doprinositi legitimnim i etički ciljevim
organizacije.
16
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• 2. Objektivnost
2.1. Ne smiju sudjelovati u bilo kakvoj radnji ili odnosu
koji može narušiti ili za koji se može pretpostaviti da će
narušiti nepristranu procjenu. Ovo sudjelovanje uključuje
one radnje ili odnose koji mogu biti u suprotnosti s
interesima organizacije.
2.2. Ne smiju prihvaćati ništa što bi moglo narušiti ili za
što bi se moglo pretpostaviti da će narušiti njihovo
profesionalno rasuđivanje.
2.3. Dužni su otkriti sve materijalne činjenice s kojima su
upoznati, a koje bi, ako ih ne otkriju, mogle iskriviti
izvještavanje ili radnje koje se ispituju.
17
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• 3. Povjerljivost
3.1. Dužni su postupati razborito prilikom korištenja i zaštite
informacija prikupljenih tijekom obavljanja svojih dužnosti.
3.2. Ne smiju koristiti informacije za osobni probitak ili na način koji
bi bio suprotan zakonu ili koji bi štetio legitimnim i etičkim ciljevima
organizacije.
• 4. Stručnost
4.1. Smiju pružati samo one usluge za koje posjeduju potrebno
znanje, vještine i iskustvo.
4.2. Dužni su provoditi revizijske usluge u skladu s Međunarodnim
standardima za stručnu provedbu interne revizije.
4.3. Dužni su stalno nadograđivati svoje stručno znanje, učinkovitost
i kvalitetu svojih usluga.
18
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• SURADNJA S DRUGIM FUNKCIJAMA
Suradnja Sektora za IRPR s:
1. Etičkim povjerenstvom HEP grupe
2. Osobom za nepravilnosti
3. Pravnom službom
4. Ostalim funkcijama (Uprava,manageri)
19
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Ciljevi međusobne suradnje:
1. Educiranje svih zaposlenih, a posebno
managera o poslovnom etičkom ponašanju,
2. Stvaranje pozitivne poslovne etičke klime,
3. Smanjenje predmeta koje obrađuju SIRPR,
EP i ostali
4. Porast pozitivnog imagea HEP grupe
20
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Suradnja se realizira kroz:
1. Međusobnim sastancima
2. Izmjenom izvješća, očitovanja i drugih
dokumenata
3. Ostalim oblicima suradnje
21
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Etičko povjerenstvo HEP grupe
Osnivanje Etičkog povjerenstva HEP grupe
• Odluka Uprave HEP d.d.-a od 17.12.2010.
• Uprave Društava HEP d.d., Proizvodnja, OPS, ODS,
Toplinartsvo, Plin imenovale etičke povjerenike-6
članova
• Sindikati –imenovali svog predstavnika-1.član
• EP počelo postojati, raditi itd. -7 članova
• EP je praktički II stupanjsko tijelo u postupku rješavanja
22
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Akti
na kojima se temelji rad EP-a-zakonski okvir
• Etički kodeks,HEP Bilten br.216, čl.1.,
• Ustav RH, zakoni,
• Strategija suzbijanja korupcije,
• Akcijski plan(AKP) Vlade RH za trgovačka društva u
većinskom državnom, vlasništvu i
• drugi akti društava HEP grupe
23
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Trgovačka društva uglavnom imaju u pisanom
obliku formalne eticke kodekse koji pomažu
menadžerima i drugim zaposlenicima da svoje
ponašanje usklade sa nacelima poslovne etike.
• HEP Bilten br. 216 Etički kodeks HEP grupe
• Načela poslovnog ponašanja radnika HEP-a su,
čl.2.: Profesionalnost, stručnost, savjesnost,
objektivnost, razvidnost, neovisnost,
nepristranost i odgovornost
24
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• IZAZOVI
• Interni Revizori (IR) imaju pristup svim
informacijama.
Možda samo za određenu reviziju?
• Raniji rad IR-a u drugoj tvrtki koja poslovno
surađuje sa sadašnjom.
(Ne)svejsni prijenos informacija bivšoj tvrtki?
25
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• Potencijalna zlouporaba informacija IR-a.
“Osveta” bivšim suradnicima,
rukovodiocima?
• (Ne)svejsno davanje važnosti manje bitnim
aktivnostima u izvješćima.
Zanemarivanje ključnih nalaza i njihova
objektivna interpretacija!
26
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• ZAKLJUČNA RAZMATRANJA
• Posljedice
neke od posljedica neetičnog poslovnog ponašanja su:
loša radna atmosfera, strah,
nezainteresiranost zaposlenih,
izbjegavanje radnih obveza,
nestimulacija (6:1)-malo ideja,
stagnacija tvrtke u svakom pogledu,
opće društvena šteta
27
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• ZAKLJUČNA RAZMATRANJA
• Poželjne aktivnosti
• Potrebno je na svim razinama, a posebno rukovodećim,
promovirati etično ponašanje u poslovnim procesima.
• Manageri bi trebali biti promotori etičnog poslovnog
ponašanja - edukacija
28
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• ZAKLJUČNA RAZMATRANJA
• Strani primjeri
• “Od vas se kao zaposlenika MTA-e (Metropolitan
Transportation Authority) očekuje da budete etički uzor.
• Menadžeri i rukovoditelji moraju njegovati ozračje koje
zaposlenike potiče na traženje pomoći u slučaju etičke
dileme.
• Svaki zaposlenik MTA-e mora biti svjestan potencijalnih
etičkih pitanja i mora biti spreman na njih odgovarajuće
odgovoriti.”
29
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
• ZAKLJUČNA RAZMATRANJA
• "Bez primjene etike(poslovne, stručne, itd.)
nema ni dugoročnog uspjeha (poslovnog,
stručnog itd.), ali ni osobnog, obiteljskog, opće
društvenog.”
• Etično ponašanje je ne činiti sebi, drugome i
okolišu loše –etika kao životna mudrost.
30
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
PITANJA
31
ETIKA I PRIMJENA ETIČKOG KODEKSA ETIKA I PRIMJENA ETIČKOG KODEKSA
INTERNIH REVIZORAINTERNIH REVIZORA
Zahvaljujem na pažnji!
E-mail: [email protected]
Web: http://www.hepproizvodnja
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA I I –– Profesionalna etika internih revizoraProfesionalna etika internih revizora
SURADNJA EUROPSKOG
REVIZORSKOG SUDA S
Vrhovnim revizijskim
institucijama i JEDINICAMA
INTERNE REVIZIJE
Marija Grgurić
Državni ured za reviziju
Republika Hrvatska
SURADNJA EUROPSKOG
REVIZORSKOG SUDA S
Vrhovnim revizijskim
institucijama i JEDINICAMA
INTERNE REVIZIJE
Marija GrgurićDržavni ured za reviziju
Republika Hrvatska
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA I I –– Profesionalna etika internih revizoraProfesionalna etika internih revizora
Uloga Uloga i nadležnosti i nadležnosti Europskog revizorskog Europskog revizorskog
suda suda
Europski revizorski sud
• Europski revizorski sud je osnovan 1975.
• Djeluje kao neovisna institucija EU.
• Glavna uloga ERS je provjeravati troše li se sredstva EU
pravilno, namjenski i učinkovito.
• ERS provodi financijske revizije, revizije pravilnosti i revizije
učinkovitosti.
• ERS objavljuje tri vrste izvješća:
- godišnja izvješća
- specifična godišnja izvješća
- posebna izvješća
Struktura Europskog revizorskog suda
• Europski revizorski sud sastoji se od jednog člana iz
svake države članice Europske unije.
• Članove suda potvrĎuje Vijeće Europske unije
nakon savjetovanja s Europskim parlamentom
na temelju imenovanja svake pojedinačne
države članice. Članovi imaju obnovljivi mandat
od šest godina. Od njih se traži da svoju funkciju
vrše u potpunoj samostalnosti i u općem interesu Europske unije.
Struktura Europskog revizorskog suda
• Europskim revizorskim sudom upravlja
predsjednik kojeg izmeĎu sebe biraju sami
članovi Suda. Predsjednički mandat traje tri
godine i obnovljiv je. Njegova je uloga primus
inter pares – prvi meĎu jednakima. On
predsjeda sjednicama Suda, te jamči provedbu
odluka Suda i ispravno upravljanje institucijom i njenim aktivnostima.
Ustrojstvo Europskog revizorskog suda
• Rad Suda organiziran je u pet grupa (odjela) kojima
su dodijeljeni članovi.
• Četiri odjela odgovorna su za specijalizirana
područja rashoda i za prihode (vertikalni odjeli), a
jedan horizontalni odjel pod nazivom CEAD
(Koordinacija, Evaluacija, Uvjerenja i Razvoj)
odgovoran je za koordinaciju, procjenu, jamstvo i
razvoj. Članovi unutar svakog odjela izabiru svog
dekana, na obnovljivi mandat od dvije godine.
Ustrojstvo Europskog revizorskog suda
• Svaki odjel ima dvojaku odgovornost: kao prvo,
usvajanje posebnih izvješća, specifičnih godišnja
izvješća i mišljenja; kao drugo, priprema
preliminarnih zaključaka za godišnje izvješće o
općem proračunu Europske unije i Europskih
razvojnih fondova, te preliminarnih mišljenja o
usvajanju za koje je kasnije zadužen Sud u cijelosti.
Ustrojstvo Europskog revizorskog suda
GRUPA I GRUPA II GRUPA III GRUPA IV
Očuvanje i
upravljanje
prirodnim
resursima
Strukturne
politike, promet i
energija
Vanjsko
djelovanje
Prihodi,
istraživanje i
unutarnji poslovi,
te institucije i tijela
Europske unije
6 ČLANOVA 7 ČLANOVA 5 ČLANOVA 5 ČLANOVA
CEAD Grupa (Koordinacija, Evaluacija, Uvjerenja i Razvoj)
3 ČLANA + JEDAN ČLAN KOJI PREDSTAVLJA SVAKI VERTIKALNI ODJEL
Suradnja Europskog revizorskog suda s drugim
revizijskim institucijama i tijelima
• Suradnja s drugim vrhovnim revizijskim institucijama
(VRI).
• Suradnja sa Službom za internu reviziju Europske
komisije.
• Suradnja s jedinicama interne revizije Europske
komisije.
• Suradnja s jedinicama interne revizije institucija
zemalja članica EU.
Suradnja Europskog revizorskog suda s
vrhovnim revizijskim institucijama
• Europski revizorski sud nastoji uspostaviti kontakte
i radne odnose sa srodnim organizacijama diljem
svijeta. Tu se posebnu pažnju pridaje vrhovnim
revizorskim institucijama (VRI) u Europi:
- suradnja s VRI institucijama u državama
članicama,
- suradnja s VRI u državama kandidatkinjama i
potencijalnim kandidatkinjama.
Suradnja Europskog revizorskog suda s
vrhovnim revizijskim institucijama
• Suradnja izmeĎu Suda i VRI odvija se u sklopu
sastanaka Kontaktnog odbora, koji se sastoji
od čelnika vrhovnih revizorskih institucija u
zemljama članicama i predsjednika Europskog
revizorskog suda.
• Svrha te suradnje usko je povezana s
odgovornošću suda za reviziju EU fondova.
Suradnja Europskog revizorskog suda i Službe
za internu reviziju Europske komisije
• Služba za internu reviziju Europske komisije obavlja
revizije agencija EU, DG-eva Europske komisije, i
drugih tijela koja se financiraju iz proračuna EU.
• Služba za internu reviziju sastavlja trogodišnji plan
rada koji se nadograĎuje svake godine te potom
dostavlja Europskom revizorskom sudu.
• Služba za internu reviziju suraĎuje s odjelima internih
revizija unutar pojedinih tijela.
• Služba svoja izvješća dostavlja Odboru za napredak u
reviziji.
Suradnja Europskog revizorskog suda i jedinica
internih revizija
• ISA 610 Korištenje rada internih revizora.
• ISSAI 1610 Korištenje rada internih revizora.
• Priručnik za obavljanje financijske revizije i revizije
pravilnosti Europskog revizorskog suda.
• Priručnik za obavljanje revizije učinkovitosti
Europskog revizorskog suda.
Suradnja Europskog revizorskog suda i jedinica
internih revizija
• Europski revizorski sud razlikuje suradnju s dvije vrste
jedinica internih revizija:
1. Jedinice interne revizije koje su na temelju EU
legislativnog okvira obvezne provoditi revizije
2. Jedinice interne revizije koje EU legislativni okvir ne
obvezuje provoditi revizije.
Suradnja Europskog revizorskog suda i jedinica
internih revizija
1. Suradnja s jedinicama interne revizije koje su na temelju EU legislativnog okvira obvezne provoditi revizije:
- Tijela za certifikaciju u zemljama članicama EU.
- Jedinice za internu reviziju u agencijama za plaćanja u zemljama članicama.
- Agencije za reviziju EU fondova u zemljama članicama.
- Jedinice za ex-post kontrolu unutar agencija.
- Jedinice za ex-post kontrolu u zemljama koje nisu članice Europske unije (ili eksterni revizori koji obavljaju tu funkciju).
Suradnja Europskog revizorskog suda i jedinica
internih revizija
2. Suradnja s jedinicama interne revizije koje EU
legislativni okvir ne obvezuje provoditi revizije:
- Jedinice internih revizija tijela u zemljama članicama koje
koriste (troše) sredstva EU.
- Jedinice internih revizija Ministarstava financija zemalja
članica EU.
Suradnja Europskog revizorskog suda i jedinica
internih revizija
• ERS koristi rad jedinica internih revizija u procesu
planiranja svojih revizija, procesu provoĎenja
revizijskih postupaka te kod donošenja zaključaka o
provedenim postupcima.
• ERS koristi mišljenja i zaključke jedinica internih
revizija vezano uz dizajn, implementaciju i rad
unutarnjih kontrola te o pravilnosti (legalnosti i
regularnosti) provedenih transakcija.
Suradnja Europskog revizorskog suda i jedinica Suradnja Europskog revizorskog suda i jedinica
internih revizijainternih revizija
• Prilikom korištenja rada internih revizora ERS uzima u obzir metodu rada internih revizora, korištenu dokumentaciju i relevantnost rezultata imajući pritom na umu:
- Neovisnost i objektivnost internih revizora.
- Profesionalnu kompetenciju internih revizora za specifične revizije.
- Opseg revizije internih revizora.
• ERS prije korištenja rezultata rada internih revizora (nalaza i mišljenja) vodi razgovore s internim revizorima te odlučuje o dodatnim testovima.
Pitanja
&
odgovori
SURADNJA EUROPSKOG REVIZORSKOG SUDA S SURADNJA EUROPSKOG REVIZORSKOG SUDA S
VRHOVNIM REVIZIJSKIM INSTITUCIJAMA I VRHOVNIM REVIZIJSKIM INSTITUCIJAMA I
JEDINICAMA INTERNE REVIZIJEJEDINICAMA INTERNE REVIZIJE
21
Hvala na pozornosti!
SURADNJA EUROPSKOG REVIZORSKOG SUDA S SURADNJA EUROPSKOG REVIZORSKOG SUDA S
VRHOVNIM REVIZIJSKIM INSTITUCIJAMA I VRHOVNIM REVIZIJSKIM INSTITUCIJAMA I
JEDINICAMA INTERNE REVIZIJEJEDINICAMA INTERNE REVIZIJE
Izvori:
Državni ured za reviziju www.revizija.hr
Europski revizorski sud www.eca.europa.eu
Europska komisija, Služba za internu reviziju www.ec.europa.eu
MeĎunarodni revizijski standardi vrhovnih revizijskih institucija ISSAI
MeĎunarodni revizijski standardi ISA
Priručnik za obavljanje financijske revizije i revizije pravilnosti Europskog
revizorskog suda
Priručnik za obavljanje revizije učinkovitosti Europskog revizorskog suda
SURADNJA EUROPSKOG REVIZORSKOG SUDA S SURADNJA EUROPSKOG REVIZORSKOG SUDA S
VRHOVNIM REVIZIJSKIM INSTITUCIJAMA I VRHOVNIM REVIZIJSKIM INSTITUCIJAMA I
JEDINICAMA INTERNE REVIZIJEJEDINICAMA INTERNE REVIZIJE
Usmjerenost unutarnje
revizije na nepravilnosti u
procesu javne nabave
s osvrtom na fiskalnu
odgovornost
Usmjerenost unutarnje
revizije na nepravilnosti u
procesu javne nabave
s osvrtom na fiskalnu
odgovornost
Ivan Žilić
FZOEU
Ivan Žilić
FZOEU
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA J – Sustav javne nabave i interna revizija
“ZADAR 2013.“ZADAR 2013.
PROCES JAVNE NABAVE
• Javne objave
• Plan nabave
• Odluka o nabavi i početak postupka
• Odabir postupka nabave
• Dokumentacija za nadmetanje i ponude
• Analiza i ocjena ponuda
• UsklaĎenost ugovora s ponudom
• Provedba odredbi ugovora
• Izmjene ugovora
• Evidencije
2
MJERE ZA POVEĆANJE TRANSPARENTNOSTI I
ODGOVORNOSTI
• Izrada redovitih internih izvješća o svim fazama pripreme
i provedbe nadmetanja
• UtvrĎivanje pravila za izvješćivanje o nepravilnostima
• Razdvajanje funkcija u sklopu provedbe postupka javne
• Objava svih relevantnih dokumenata i na internetskim
stranicama naručitelja
3
JAVNE OBJAVE NA INTERNETSKIM
STRANICAMA NARUĈITELJA
• Objava profila naručitelja
• Objava - sprječavanje sukoba interesa
• FO- pitanje 33. Na internetskim stranicama (ili u
službenim glasilu ili na oglasnoj ploči ili na drugi način) je
dostupan popis gospodarskih subjekata s kojima je
obveznik odnosno predstavnik naručitelja ili s njime
povezane osobe u sukobu interesa u smislu propisa o
javnoj nabavi
• Objava godišnjeg plana nabave i rebalansa 4
REGISTAR UGOVORA
• Objava registra ugovora
• FO- pitanje 38. Naručitelj vodi registar ugovora o javnoj
nabavi i okvirnih sporazuma koji sadrži podatke u skladu
s propisima o javnoj nabavi
5
GODIŠNJA IZVJEŠĆA
• FO- pitanje 41. Do 31. ožujka tijelu nadležnom za
sustav javne nabave dostavljeno je izvješće o javnoj
nabavi za prethodnu godinu koje sadrži podatke
sukladno Zakonu o javnoj nabavi
6
PLAN NABAVE
• Plan nabave nije uvjet za provoĎenje postupaka niti se
njime aktiviraju postupci javne nabave, ali postoji obveza
njegova donošenja i objave na internetu
• Plan nabave nije donesen ili nije cjelovit
• Nepotrebna investicija
• Precijenjene potrebne količine
• Odluka o prihvaćanju plana/rebalansa plana nabave7
PLAN NABAVE
• Objavljeni plan nabave i sve njegove izmjene i dopune
moraju biti dostupne na internetskim stranicama
najmanje do 30.lipnja sljedeće godine
• FO- pitanje 34. Donesen je plan nabave u skladu s
propisima o javnoj nabavi
8
POĈETAK POSTUPKA
• Zakon više ne propisuje planirana sredstva i postojanje
plana nabave (neizravno) kao uvjet za početak postupka
javne nabave
• Naručitelj smije započeti postupak javne nabave iako
nema osiguranih sredstava u tom trenutku pa čak i ako
taj predmet nije naveden u planu nabave s obzirom na
rokove za njegovo donošenje
• Ovlašteni predstavnici ne moraju biti zaposlenici
naručitelja
9
POSTUPAK NABAVE
• Postupci nabave nisu provedeni u skladu s odredbama
Zakona o javnoj nabavi (nezakonita primjena
pregovaračkog postupka)
• FO- pitanje 31. Za sve predmete javne nabave čija je
procijenjena vrijednost veća od 70.000,00 kn provedeni
su postupci javne nabave sukladno odredbama Zakona
o javnoj nabavi
• FO- pitanje 32. Za provedene postupke javne nabave u
Elektroničkom oglasniku javne nabave objavljene su
odgovarajuće objave sukladno Zakonu o javnoj nabavi10
SUDJELOVANJA OSOBA U POSTUPKU
• FO- pitanje 35. U pripremi i provedbi postupaka javne
nabave najmanje jedan ovlašteni predstavnik imao je
važeći certifikat u području javne nabave u skladu s
propisima o javnoj nabavi.
• FO- pitanje 36. U pripremi tehničke specifikacije
sudjelovale su osobe različite od ovlaštenih
predstavnika naručitelja koje ocjenjuju ponude
• FO- pitanje 37. Ovlašteni predstavnici naručitelja koji
daju prijedlog za odluku o odabiru bile su različite od
osoba koje prate provedbu ugovora11
OKVIRNI SPORAZUM
• Okvirni sporazum može se sklopiti s jednim
gospodarskim subjektom na razdoblje do dvije godine ili
više gospodarskih subjekata na razdoblje do četiri
godine
• Okvirni sporazum može i ne mora imati odreĎene sve
uvjete
• Za sklapanje ugovora na temelju o.s. ovisno o tim
okolnostima, primjenjuju se drugačija pravila za
sklapanje ugovora na temelju okvirnog sporazuma koja
moraju biti navedena već u dokumentaciji za nadmetanje12
SKLAPANJE UGOVORA TEMELJEM OKVIRNOG
SPORAZUMA
• Bilo koji slučaj da je u pitanju, naručitelji više ne donose
nove odluke o odabiru niti ponovno primjenjuju rok
mirovanja !!!
• Prije sklapanja bilo kojeg pojedinačnog ugovora na
temelju okvirnog sporazuma nakon postupka koji su
odredili i proveli, naručitelji odmah sklapaju ugovor
13
.
• Tek nakon sklapanja ugovora na temelju okvirnog
sporazuma s više gospodarskih subjekata naručitelj je
obvezan obavijestiti gospodarske subjekte da je ugovor
sklopljen u roku sedam dana od sklapanja svakog
pojedinog ugovora
• Naručitelj će obvezno svim gospodarskim subjektima iz
okvirnog sporazuma dostaviti odluku o sklapanju
ugovora o javnoj nabavi na temelju okvirnog
sporazuma
14
POSTUPAK SKLAPANJA UGOVORA O JAVNIM
USLUGAMA IZ DODATKA II. B ZAKONA
• Naručitelj može provesti jedan od postupaka ili uputiti
zahtjev za prikupljanje ponuda odreĎenom broju
gospodarskih subjekata po vlastitom izboru (ne manje od
tri osim iznimno ako nema tri na tržištu)
• Rok za dostavu ponuda ne smije biti kraći od 15 dana
od dana upućivanja odnosno objavljivanja zahtjeva za
prikupljanje ponuda
• FO- pitanje 40. Ugovori o nabavi javnih usluga iz
Dodatka II. B sklopljeni su na temelju odredaba Zakona
o javnoj nabavi 15
SKLAPANJE UGOVORA
• Ugovoreni uvjeti nabave nisu u skladu s uvjetima
navedenim u odabranoj ponudi i uvjetima odreĎenima u
dokumentaciji za nadmetanje
• FO- pitanje 30. Ugovori o javnoj nabavi zaključeni su u
skladu s uvjetima odreĎenim u dokumentaciji za
nadmetanje i odabranom ponudom
• FO- pitanje 29. U zaključenim ugovorima o nabavama
velike vrijednosti ugovoreni su instrumenti za osiguranje
urednog ispunjenja ugovornih obveza ili odredbe o
ugovornoj kazni. 16
IZVRŠENJE UGOVORA
• Nerealno niska ponuda u nadi kako će, nakon što dobije
ugovor, Naručitelj dopustiti izmjene ugovora radi
povećanja troškova
• Po dodjeli ugovora predmet nabave će zamijeniti sa
slabijim proizvodima ili kadrom
• Ugovor koji se bitno razlikuje od prvobitnih uvjeta iz
dokumentacije za nadmetanje, i to u smislu izvoĎenja
fiktivnih radova, napuhavanja stvarne količine radova,
pomicanja rokova, mijenjanja naloga i/ili izvršavanja
ugovornih obveza na nepropisan način
17
PODIZVODITELJI
• Podaci o svim predloženim podizvoditeljima (tvrtka,
skraćena tvrtka, sjedište, OIB i broj računa)
• Navedeni podaci biti će obvezni sastojci ugovora
• Naručitelj obvezno neposredno plaća Podizvoditelju
• Odabrani ponuditelj smije tijekom izvršenja ugovora
mijenjati podizvoditelje ali samo uz pristanak naručitelja
18
IZVRŠENJE UGOVORA
• Nabava prije zaključenja ugovora
• Neizvršavanje odredbi ugovora, posebno u pogledu
njegove kvalitete, cijene i roka
• Izmjene bitnih uvjeta ugovora (predmet nabave, cijena,
tehnički sadržaj, datum završetka itd.)
• Zaključivanje ugovora o dodatnim radovima ili uslugama
bez ostvarivanja propisanih uvjeta
• Zaključivanje ugovora, zatim poništavanje dijela ugovora
i zaključivanje ugovora (bez objave) s ponuditeljem za
poništeni dio
19
IZMJENE UGOVORA O JAVNOJ NABAVI
• Članak 105. Izvršenje ugovora o javnoj nabavi
• Bitne izmjene ugovora o javnoj nabavi u odnosu na
sadržaj ugovora za vrijeme njegova trajanja smatraju se
novim ugovorom za koji je naručitelj obvezan provesti
novi postupak javne nabave
20
ĈUVANJE DOKUMENTACIJE
• FO- pitanje 39. Sva dokumentacija o svakom postupku
javne nabave čuva se najmanje četiri godine od
završetka postupka javne nabave
Zastara
Članak 183.
Prekršajni postupak za prekršaje propisane ovim
Zakonom ne može se pokrenuti nakon proteka tri godine
od dana počinjenja prekršaja
21
22
.
Zahvaljujem na pažnji!
E-mail: ivan.zilic @fzoeu.hr
Nabava Nabava i provedba ugovora i provedba ugovora
financiranih iz EU programa financiranih iz EU programa
iz aspekta iz aspekta interne revizijeinterne revizije
Nabava Nabava i provedba ugovora i provedba ugovora
financiranih iz EU programa financiranih iz EU programa
iz aspekta iz aspekta interne revizijeinterne revizije
Ivana Čabraja
Središnja agencija za financiranje i
ugovaranje programa i projekata EU
Ivana Čabraja
Središnja agencija za financiranje i
ugovaranje programa i projekata EU
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA J J –– Sustav javne nabave i interna revizija
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Nadležnosti i djelatnosti SAFU
• Uloga SAFU nakon ulaska Republike
Hrvatske u Europsku uniju
• Interna revizija SAFU
2
Aktivnosti interne revizije
Provedba internih revizija
Najznačajniji nalazi i preporuke
• Zaključak
Nadležnosti i djelatnosti SAFU (1)
• Osnovana 2007. godine
• Kao Provedbena agencija nadležna za:
3
cjelokupno upravljanje sredstvima,
natječajne procedure i odabir ponuda,
ugovaranje i provedbu projekata,
plaćanja,
računovodstvo te
izvještavanje o financiranju cjelokupne nabave
u decentraliziranom sustavu provedbe programa
iz EU fondova u Hrvatskoj.
Nadležnosti i djelatnosti SAFU (2)
• Ostale djelatnosti SAFU:
4
suradnja s tijelima koja čine sustav
provedbe programa EU u RH i Europskom
komisijom
organiziranje izobrazbi
savjetovanje provedbenih tijela
aktivnosti provedbenog ureda za
savjetodavne usluge država članica EU
Nadležnosti i djelatnosti SAFU (3)
5
• Pretpristupno razdoblje:
U nadležnosti SAFU:
- CARDS
- PHARE
- ISPA
- IPA (komponenta I; prioriteti 1., 2. i 3.
komponente III)
Dodijeljeno 1,30 milijardi EUR
Programsko razdoblje 2007. – 2013. – IPA
DIS
Uloga SAFU nakon ulaska RH u EU (1)
6
• Strukturni fondovi
Na raspolaganju zemljama članicama
Priprema za navedene fondove – IPA I
U službi kohezijske politike EU
U tijeku izrada prijedloga dokumenata za
korištenje instrumenata kohezijske
politike u financijskom razdoblju 2014. –
2020.
Europa 2020. – Strategija za pametni,
održiv i uključiv rast
Uloga SAFU nakon ulaska RH u EU (2)
Uredba o tijelima u sustavu upravljanja i
kontrole korištenja strukturnih instrumenata
Europske unije u Republici Hrvatskoj (NN
97/12)
Zakon o uspostavi institucionalnog okvira za
korištenje strukturnih instrumenata Europske
unije u Republici Hrvatskoj (NN 78/12)
7
• Regulativa
Uloga SAFU nakon ulaska RH u EU (3)
• Nacionalni strateški referentni okvir (NSRO)
8
prioriteti korištenja sredstava
• Uspostavljena tijela: Koordinacijsko tijelo, Tijelo
za reviziju, Tijelo za ovjeravanje, upravljačka
tijela, posrednička tijela razine 1 i 2
mjere ključne za ostvarivanje prioriteta
u izradi
• Operativni programi
Uloga SAFU nakon ulaska RH u EU (4)
• SAFU – posredničko tijelo razine 2, nadležno za
provedbu:
9
prioritetnih osi 2 i 3 Operativnog programa
„Promet”
prioritetne osi 3 Operativnog programa
„Okoliš”
prioritetnih osi 1, 2 i 3 Operativnog programa
„Regionalna konkurentnost”
• Posredničko tijelo razine 2 - nadzor kako se
provode projekti i kako se troši EU novac
Uloga SAFU nakon ulaska RH u EU (5)
10
• Zadaci SAFU kao posredničkog tijela razine 2:
Provjera jesu li financirani proizvodi/usluge
isporučeni, jesu li prikazani izdaci korisnika za projekt
zaista nastali te jesu li u skladu s nacionalnim i
pravilima EU – tijekom cijelog razdoblja trajanja
projekta
Savjetodavne mjere
Provedba mjera informiranja i vidljivosti
Suradnja s Posredničkim tijelom razine 1
Zaključivanje ugovora o dodjeli bespovratnih
sredstava
Nadzor napretka projekta
Ispitivanje sumnji na nepravilnosti
Interna revizija SAFU (1)
• Aktivnosti interne revizije
11
procjenjivanje sustava upravljanja i kontrola EU
fondova kroz provedbu revizija pripreme i
provedbe projekata financiranih iz fondova EU
(dodana vrijednost upravljanju EU fondovima)
provedba revizija horizontalnih aktivnosti
praćenje provedbe preporuka iz ranijih
revizijskih izvješća
osiguravanje kvalitete rada
suradnja sa SHJ-tom te internim i vanjskim
revizorima
Interna revizija SAFU (2)
12
• Svrha revizije projekata EU – dati mišljenja,
savjete i preporuke o:
sustavu internih kontrola i poboljšanju poslovanja
djelotvornosti rada sustava i pouzdanosti računovodstvenih informacija koje se dostavljaju EK
zaštiti financijskih interesa EU i RH
• Sredstva poreznih obveznika EU moraju biti utrošena pravilno, etično, ekonomično, djelotvorno i učinkovito.
Interna revizija SAFU (3)
• Provedba internih revizija
13
Revizije EU programa - revizije
usklađenosti
Revidirana područja: natječajne procedure,
odabir ponuda, ugovaranje, provedba
ugovora, izvršenje plaćanja, računovodstvo,
izvještavanje
Dodatna područja obuhvaćena revizijama
(povrati uplaćenih sredstava, sustav
izvješćivanja i postupanja po
nepravilnostima)
Najznačajniji nalazi (1)
• Postupanja djelatnika neusklađena s pisanom
procedurom u pogledu dokumentiranja
provedenih koraka procesa, pripreme potrebne
dokumentacije, korištenja ispravnih obrazaca i
kontrole dokumentacije
• Neujednačena postupanja djelatnika
• Nepoštivanje rokova prilikom dostave potrebne
dokumentacije od strane sudionika procesa
14
Najznačajniji nalazi (2)
• Manjak dužne pažnje u postupanju s
dokumentacijom
• Nejasna kronologija pojedinih aktivnosti
• Nedostaci pisanih procedura:
15
neusklađenost pisanih procedura s
praksom
nepotpune, nejasne i komplicirane pisane
procedure
Zaključak
• Pred internom revizijom SAFU jest zadaća
davanja maksimalne podrške ulozi SAFU nakon
ulaska RH u EU, s ciljem osiguranja
kontinuiranog održavanja visokih stopa
ugovaranja i učinkovitog upravljanja sredstvima
u nadležnosti SAFU te zaštite financijskih
interesa EU, kao i nacionalnih interesa
16
Pitanja
17
INTERNA REVIZIJA PROCESA INTERNA REVIZIJA PROCESA JAVNE NABAVEJAVNE NABAVE
INTERNA REVIZIJA PROCESA INTERNA REVIZIJA PROCESA JAVNE NABAVEJAVNE NABAVE
Ivančica WinklerHrvatske ceste d.o.o.
Ivančica WinklerHrvatske ceste d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA J J –– Sustav javne nabave i interna revizija
“Očekivanja od interne “Očekivanja od interne revizije ulaskom u revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
2
SADRŽAJ:
1. Hrvatske ceste d.o.o.
2. Nabava
3. Interna revizija javne nabave
4. Zaključak
3
Hrvatske ceste je društvo s ograničenom odgovornošdu,
za upravljanje, građenje, rekonstrukciju i održavanje DC
Društvo je u 100% - tnom vlasništvu Republike Hrvatske.
POVIJESNI OSVRT (od 1957. do 2013.):
4
1957.-1961. DIREKCIJE ZA CESTE
1962.-1967. PODUZEDA ZA CESTE (Zajednica za ceste)
1968.-1975. REGIONALNI FONDOVI ZA CESTE (Republički fond za ceste)
1975. SIZ ZA CESTE HRVATSKE i 105 lokalnih zajednica za ceste
1985. REPUBLIČKI SIZ ZA CESTE HRVATSKE
1991. JAVNO PODUZEDE HRVATSKE CESTE
1995. HRVATSKA UPRAVA ZA CESTE (HUC)
2001. Hrvatske autoceste d.o.o.Hrvatske autoceste d.o.o.Hrvatske ceste d.o.o.Hrvatske ceste d.o.o.
5
državne ceste 6.584,6 km
HRVATSKE CESTE d.o.o.
• MISIJA: određena je Zakonom o cestama i Izjavom o osnivanju. Osnovna zadada je upravljanje, građenje i održavanje državnih cesta
• VIZIJA : kvalitetno međusobno prometno povezati hrvatske regije, uz povezivanje na europske prometne pravce
• OPĆI CILJ: ulaganje u razvoj cestovne infrastrukture, gradnju i održavanje, uz racionalno korištenje raspoloživih sredstava
6
HRVATSKE CESTE d.o.o.
Ostvarenje ciljeva → kroz Godišnji plan građenja i održavanja državnih cesta, prioriteti:
• realizacija nezavršenih programa prethodnog razdoblja s težištem ulaganja u gradnju i rekonstrukciju brzih cesta
• rješavanje najkritičnijih dionica i objekata s posebnim naglaskom na rješavanje cestovne infrastrukture u prigradskim i gradskim područjima (obilaznice gradova)
• ulaganje u rekonstrukciju i uređenje cesta na otocima
7
NABAVA
Realizacija Godišnjeg plana – kroz nabavu
Osnovni kriteriji nabave, 3 E:
• Ekonomičnost (nabava uz najniže cijene, a da se pritom ne smanjuje njihova kvaliteta i količina)
• Efikasnost (pravovremena nabava – omoguduje provođenje aktivnosti u skladu s planom)
• Efektivnost (nabava roba/usluga/radova koji zadovoljavaju ciljeve zbog kojih se nabavljaju)
8
NABAVA
Praksa provođenja javne nabave treba jamčiti:
• Ravnopravnost (sudjelovanje svih u postupku javne nabave bez ikakve diskriminacije)
• Transparentnost (javno/transparentno vođenjeprocesa, od objave o početku postupka javne nabavepa sve do dodjeljivanja ugovora)
9
INTERNA REVIZIJA JAVNE NABAVE
Revizijski zadatak: revizija uspostavljenog procesa javne nabave roba/usluga/radova u Društvu
Revidirani subjekt: Sektor za nabavu
10
INTERNA REVIZIJA JAVNE NABAVE
Ciljevi revizije:
• pregledati i ocijeniti adekvatnost, primjenu i djelotvornost sustava unutarnjih kontrola u procesu javne nabave Društva
• dati stručno mišljenje o funkcioniranju sustava unutarnjih kontrola koje su uspostavljene u revidiranom procesu
• po potrebi dati preporuke za poboljšanje unutarnjih kontrola gdje je to prikladno
11
INTERNA REVIZIJA JAVNE NABAVE
Opseg revizije:Revizijskim pregledom obuhvaden je uspostavljeni proces javne nabave Društva i njegovo provođenje u promatranom razdoblju
Naglasak na sljededim fazama procesa:
• utvrđivanje potreba za nabavom u skladu s ciljevima Društva te planiranim i odobrenim sredstvima
• utvrđivanje usklađenosti provođenja postupaka javne nabave sa zakonskom regulativom i donesenim Planom nabave
• utvrđivanje načina evidencije ugovora
• utvrđivanje načina čuvanja i arhiviranja dokumentacije
12
INTERNA REVIZIJA JAVNE NABAVE
Metodologija revizije
S ciljem postizanje opdeg razumijevanja postupaka javne nabave analizirali smo:
• regulatorni okvir
• trenutačnu praksu Društva
• vlastite dokumentirane politike i postupke revidiranog subjekta koji su doneseni s ciljem upravljanja postupkom javne nabave
13
INTERNA REVIZIJA JAVNE NABAVE
Metode revizije:
• intervjui
• pregled dokumentacije
• testiranje postupaka javne nabave na odabranim uzorcima
14
INTERNA REVIZIJA JAVNE NABAVE
Karakteristični problemi u primjeni Zakona o JN:
• Plan nabave neusklađen sa Zakonom, različit pristup u izradi Plana nabave
• Neosnovano odabrani postupci nadmetanja, direktno ugovaranje, pregovarački postupci bez prethodne objave
• Prijedlog ugovora nije u skladu s uvjetima iz dokumentacije za nadmetanje, ostavlja mogudnost smanjenja ili povedanja nabave iskazane u ponudi - u dokumentaciji za nadmetanje zahtijeva se iskazivanje kalkulativnih elemenata za slučaj nepredviđenih i naknadnih radova
15
INTERNA REVIZIJA JAVNE NABAVE
• …
• u dokumentaciji za nadmetanje dozvoljava se povedanje cijena sukladno ZOO. Način i uvjeti izmjene cijena nisu definirani (valutna klauzula, klizna skala, indeksna klauzula i sl.)
• u dokumentaciji za nadmetanje ograničava se sudjelovanje podizvođača (u %)
• uvjet pokazatelja financijske sposobnosti ponuditelja dvostruko ili trostruko nadmašuje procijenjenu vrijednost nabave
16
INTERNA REVIZIJA JAVNE NABAVE
Nacrt revizorskog izvješda:
• Upravljački sažetak s pregledom cilja i opsega revizije, sa stručnim revizorskim mišljenjem vezano uz sustav unutarnjih kontrola, ključni nalazi, glavne preporuke
• Uvodni dio: cilj revizije, kontrolni ciljevi i glavni rizici, metodologija rada revizije, revidirani subjekt, zakonski i regulatorni okvir, revizorski tim
• Detaljni pregled nalaza, stručnog mišljenja o unutarnjim kontrolama te uočenim slabostima i danim preporukama
17
INTERNA REVIZIJA JAVNE NABAVE
Završni sastanak
Glavni cilj sastanka bio je usuglašavanje oko nalaza, mišljenja i preporuka, i to:
• postizanje suglasnosti o nalazima i danim preporukama te razini njihove važnosti
• postizanje suglasnosti o razini revizorovog stručnog mišljenja o unutarnjim kontrolama u revidiranom procesu
• postizanje dogovora o roku u kojem de rukovodstvo dostaviti revizoru plan provedbe preporuka
18
ZAKLJUČAK
Konačno revizorsko izvješde
• izrada Konačnog revizorskog izvješda s odobrenim Planom provedbe preporuka
• predaja Konačnog izvješde Upravi i rukovodstvu revidiranog subjekta
19
ODNOS INTERNE REVIZIJE I
INTERNOG NADZORA
ODNOS INTERNE REVIZIJE I
INTERNOG NADZORA
Ljubo Kesić
PLOVPUT d.o.o Split
Ljubo Kesić
PLOVPUT d.o.o Split
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA ABC... SEKCIJA ABC... –– NAZIV SEKCIJENAZIV SEKCIJE
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Cilj prezentacije
Informirati interne revizore o jednom pristupu
organizaciji internog nadzora i interne revizije u
funkciji realizacije cilja poslovanja poduzeća u
globalnoj ekonomiji.
2
Sadržaj
Uvod
Cilj poduzeća
Odnos internog nadzora i interne revizije
Uloga internog nadzora i interne revizije u
postupku realizacije planiranog cilja
Zaključak
3
Uvod
Danas na planetarnoj razini djeluje procesglobalizacije.
globalizacija se odvija stihijski,
posljedica :
ogromna neizvjesnost i rizici
za poslovanje i opstanak svakogpoduzeća.
4
Uvod
Poduzeće uspostavlja interni nadzor :
sa svrhom da :
smanji neizvjesnost poslovanja,
neutralizira rizike,
osigura održiv razvoj u globalnim uvjetima
poslovanja.
5
CILJ PODUZEĆA
Uvjet opstanka, razvoja i realizacije svrhe poduzeća
je postizanje planiranog cilja poslovanja.
nužan uvjet za postizanje planiranog cilja poslovanja
se osigurava :
operativnim oblikovanjem i
djelovanjem internog nadzora.
6
Odnos internog nadzora i interne revizije
Polazi se od pretpostavke da je poduzeće sistem
koji se sastoji od tri podsistema :
upravljački,
nadzorni,
izvedbeni.
7
Odnos internog nadzora i interne revizije
Interni nadzor povezuje podsisteme upravljanja i
izvođenja poslovnog procesa u poduzeću :
nosivi stupovi sistema internog nadzora su:
interna revizija na strategijskoj razini
(uprave);
kontroling na taktičkoj razini (sektora);
interna kontrola na operativnoj razini
(radnog mjesta i pojedinog poslovnog
koraka) .
8
Odnos internog nadzora i interne revizije
Interna revizija :
integrira nadzorni postupak tako da :
uspostavlja simbolički model poduzeća
(skup svih procesa u interakciji).
9
Uloga internog nadzora i interne revizije
u postupku realizacije planiranog cilja
Nadzorni sistem u postupku realizacije planiranog
cilja poslovanja poduzeća :
uspoređuje stvarno odvijanje poslovanja sa
planiranim,
uspostavlja program neutralizacije odstupanja,
korigira odstupanje od planiranog.
10
Uloga internog nadzora i interne revizije u postupku
realizacije planiranog cilja
Nadzorni sistem osigurava realizaciju planiranog
cilja poslovanja poduzeća :
putem interaktivnog djelovanja svojih
sastavnica,
11
Uloga internog nadzora i interne revizije u postupku
realizacije planiranog cilja
U sistemu internog nadzora interna revizija :
uspostavlja simbolički model poduzeća
(skup svih procesa u interakciji),
simulira efekt djelovanja rizika na planirani cilj,
uspostavlja program neutralizacije odstupanja od
planiranog cilja.
12
Zaključak
Nadzorni sistem osigurava realizaciju planiranog cilja
poslovanja poduzeća :
putem interaktivnog djelovanja svojih sastavnica,
uspostavom simboličkog modela koji je odraz skupa
svih procesa u poduzeću,
korekcijom odstupanja od planiranog.
13
Koncept nadzora nad Koncept nadzora nad
poslovanjem društava za poslovanjem društava za
osiguranje u Republici Srbijiosiguranje u Republici Srbiji
Koncept nadzora nad Koncept nadzora nad
poslovanjem društava za poslovanjem društava za
osiguranje u Republici Srbijiosiguranje u Republici Srbiji
Mirjana Bogićević, CIA, CRMAMirjana Bogićević, CIA, CRMA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA K - Banke i financijske institucije
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
2
SADRŽAJ:
A. Eksterni nadzor Regulator: Narodna banka Srbije
• nadležnosti
• predmet nadzora
• način vršenja nadzora
B. Interni nadzor • Aktuarska funkcija
• Interna revizija
• Funkcije “druge linije odbrane”
• Interne kontrole
3
NBS regulator delatnosti osiguranja /1
2004. Početak stabilizacije i vraćanja poverenja javnosti
2005. Donošenje ključnih (15) podzakonskih akata (uklj. i aktuarske)
2006. Započet program unapredjenja aktuarske profesije
2007. Odluka o sistemu internih kontrola i upravljanju rizicima........
2012. Predlog novog zakona o osiguranju• Okvir za adekvatnost kapitala
• Sistem upravljanja koji podrazumeva upravljanje rizikom, uskladjenost
poslovanja, internu reviziju, aktuarsku funkciju
Cilj: utvrdjivanje finansijskog položaja društva uvažavanjem svih stvarnih rizika,
povećanje transparentnosti i poverenja u osiguranje.
Tri stuba: kvantitativni zahtevi, kvalitativni zahtevi i supervizija i obezbedjenje tržišne
discipline
4
Narodna Banka Srbije kao regulator /2
Nadležnosti:
• Predlaže Zakon (posebni zakon i mogućnost neuskladjnosti sa
Zakonom o privrednim društvima ili Zakonom o tržištu kapitala)
• Donosi podzakonska akta predvidjena Zakonom – propise za
izvršenje Zakona o osiguranju
• Nadzire uskladjenost poslovanja društava za osiguranje (u cilju
zaštite interesa osiguranika, korisnika i drugih zainteresovanih)
• Izdaje dozvole za obavljanje poslova osiguranja, reosiguranja.....
• Odlučuje o izdavanju, promenama, oduzimanju dozvola
• Izriče mere
5
NBS regulator delatnosti osiguranja /3
Nadležnosti:
• Daje saglasnost na akte i radnje propisane Zakonom
• Obradjuje statističke podatke
• Vodi registre (osnivači, kvalifikovani imaoci, članovi uprave,
ovlašćeni aktuari)
• Razmatra prigovore osiguranika...štiti njihova prava
• Posreduje u rešavanju odštetnih zahteva osiguranika i oštećenika u
cilju sprečavanja nastanka sporova iz osnova osiguranja
• Podnosi Skupštini RS izveštaj o stanju sa tržišta osiguranja i
pitanjima od značaja za ocenu stanja na tržištu osiguranja
6
NBS regulator delatnosti osiguranja /4
Predmet nadzora :
• Obavljanje delatnosti u skladu sa izdatom dozvolom
• Uskladjanost opštih i akata poslovne politike sa Zakonom i drugim
pozitivnim propisima
• Zakonitost rada društva
• Uspostavljanje i funkcionisanje sistema interne kontrole i
upravljanje rizicima
• Likvidnost i solventnost pri obavljanju delatnosti
• Način utvrdjivanja tehničkih rezervi
• Izvršavanje preuzetih obaveza po osnovu ugovora o osiguranju
• Uskladjenost deponovanja i ulaganja sredstava osiguranja
7
NBS regulator delatnosti osiguranja /5
Predmet nadzora :
• Vodjenje poslovnih knjiga, stanje knjigovodstvene i druge
dokumentacije, sastavljanje finansijskih izveštaja
• Sprovodjenje naloženih mera
• Način obavljanja interne revizije
• Ispunjenost uslova propisanih za kvalifikovane imaoce i članove
uprave
• Kadrovska i tehnička osposobljenost društava
• Troškovi sprovodjenja osiguranja, posebno visina provizija za
posredovanje/zastupanje i troškovi uprave
• Troškovi uprave i komisije za reviziju
• Naplata potraživanja za premiju
• Sprovodjenje politike saosiguranja/reosiguranja
8
NBS regulator delatnosti osiguranja /6
Intenzitet nadzora treba da bude primeren prirodi, obimu i
kompleksnosti rizika koji su svojstveni poslovanju društava za
osiguranje – princip srazmernosti
Način vršenja nadzora :
• Posredno
Smanjenje obima neposredne kontrole i razvijanje detaljnog sistema
redovnog elektronskog izveštavanja – slanja podataka
• Neposredno
Društva su dužna da omoguće kontrolu, dok inspektori traba da nastoje
da u što je moguće manjoj meri remete proces redovnog rada društva
9
NBS regulator delatnosti osiguranja /7
Obaveza društava na redovno izveštavanje regulatora
• Finansijski izveštaji, izveštaji o reviziji , izveštaji ovlašćenog aktuara
• Poslovni plan
• Sprovodjenje politike saosiguranja i reosiguranja
• Statut i druga opšta akta
• Promene strukture kapitala
• Promena ovlašćenog aktuara
• Izmene podataka koji se upisuju u registar
• Obaveštenje o sazivanju Skupštine, zapisnik sa Skupštine
• Obaveštenje o tehničkim osnovicama koje su korišćene pri izradi
tarifa premija i utvrdjivanju tehničkih rezervi – uskladjenost sa
aktuarskim načelima
10
NBS regulator delatnosti osiguranja /8
Obaveza društava na redovno izveštavanje regulatora
• Tromesečno izveštavanje o strukturi kapitala i promeni akcionara
• Saosiguranje i reosiguranje viškova rizika iznad maksimalnog
samopridržaja
• Visina i struktura ostvarenih premija po vrstama osiguranja
• Broj i visina prijavljenih, rešenih, rezervisanih šteta
• Tehničke i garantne rezerve i oblici aktive u koje se deponuju
• Margina solventnosti
• Odnos troškova sprovodjenja osiguranja prema ostvarenom
režijskom pravu
• Adekvatnost minimalnog potrebnog kapitala
• Nalazi interne revizije
• Redovno dostvaljanje ststističkih podataka
11
NBS regulator delatnosti osiguranja /9
Mere nadzora NBS
• Nalaganje mera za otklanjanje nezakonitosti i nepravilnosti
• Nalaganje mera zbog nepostupanja u skladu sa pravilima o
upravljanju rizikom
• Javno objavljivanje informacija o neizvršavanju ili zastoju u
izvršavanju obaveza društva
• Nalaganje prenosa portfelja na drugo društvo za osiguranje
• Preuzimanje kontrole nad poslovanjem društva
• Oduzimanje dozvole za poslovanje društva u nekim ili svim
poslovima
• Nalaganje privremenih mera
• Predlaganje mera prema članovima uprave, licima sa posebnim
ovlaćenjima i licima koja imaju kvalifikovano učešće u društvu
12
Interni nadzor – aktuarska funkcija /1
• Veoma jak i cenjeni izvor uveravanja za regulatora
• 20 ovlašćenih aktuara pre 2004. – a do VI-2012. 43
• Uslove za sticanje zvanja ovlašćenog aktuara propisuje, ovlašćenje
za obavljanje atuarskih poslova daje i nadzor nad radom ovlašćenih
aktuara vrši NBS
• Ovlašćenog aktuara imenuje direktor društva za osiguranje
• Aktuarska funkcija - nezavisna i samostalna u vršenju poslova
• Dužna da deluje u skladu sa zakonom i pravilima aktuarske struke,
dobrim poslovnim običajima i etikom, u suprotnom, NBS može izreći
mere upozorenja ili oduzimanja ovlašćenja
13
Interni nadzor – aktuarska funkcija /2
Delovanje ovlašćenog aktuara strogo formalizovano kroz Mišljenja, čiju
sadržinu detaljno propisuje NBS
Mišljenja ovlašćenog aktuara:
• Na tarife premija
• Na utvrdjivanje tehničkih rezervi
• Na akta poslovne politike u postupku donošenja i izmene, kao i
njihove primene
• Na sprovodjenje politike saosiguranja i reosiguranja društva
• Na finansijski izveštaj i izveštaj o poslovanju društva
• Adekvatnost obračunate matematičke rezerve, margina
solventnosti....deponovanje i ulaganje TR i GR...prenos portfelja...
14
Interni nadzor – aktuarska funkcija /3
• Mišljenje ovlašćenog aktuara dostavlja se internoj reviziji i Odboru
direktora (Komisiji za reviziju) društva
• Kada organ uprave društva ne prihvati Mišljenje ovlašćenog
aktuara, društvo u ostavljenom roku mora da o tome obavesti NBS
• Preispitivanje mišljenja ovlašćenog aktuara u vezi sa nalazom
zakonskog revizora
• Preispitivanje mišljenja zakonskog revizora na osnovu osporavanja
nalaza od strane ovlašćenog aktuara
• Provera mišljenja ovlašćenog aktuara
• Odgovornost društva za posledice izbora ovlašćenog aktuara
15
Interni nadzor – interna revizija /1
Detaljno regulisano Zakonom o osiguranju kao izraz i posledica
nedostatka propisa kojima se reguliše interna revizija
• Društvo mora imati zaposleno najmanje jedno lice za obavljanje
poslova interne revizije
• Zakonom o osiguranju obezbedjena objektivnost pojedinaca i
nezavisnost funkcije
• Isključeno obavljanje operativnih poslova, kao i poslova u okviru
“compliance” i funkcije internih kontrola
• Dvojna linija izveštavanja -administrativno i funkcionalno
• Regulator protiv prakse drugih uloga interne revizije osim
uveravanja: ocena efektivnosti i efikasnosti ICS, upravljanja rizikom i
korporativnog upravljanja
16
Interni nadzor – interna revizija /2
• Kako u vreme donošenja Zakona o osiguranju nisu bili prevedeni
Medjunarodni Standardi interne revizije, značajne odredbe ove
profesionalne regulative uneti su u Zakon, propisan sadržaj programa
rada, godišnjeg plana rada, kao i sadržaj i struktura izveštavanja
interne revizije
• Kvartalni, polugodišnji i godišnji izveštaji, kao i mišljenja nadležnog
organa uprave na nalaze interne revizije dostavljaju se NBS
• Godišnji izveštaj o internoj reviziji, organ uprave razmatra
istovremeno sa finansijskim izveštajem društva
• Skupštini društva organ uprave dostavlja, uz godišnji izveštaj
interne revizije, izveštaj o merama koje su preduzete za otklanjanje
nepravilnosti uošenih i predstavljenih u izveštajima interne revizije
•
Upravljanje rizikom i ostale funkcije
“druge linije odbrane”
Trenutno stanje u praksi društava za osiguranje:
• Upravljanje rizikom – obavezna funkcija čija struktura i način
sprovodjenja nije propisan
• “Compliance” – nije predvidjen kao ovbavezna funkcija, tamo gde
nije uspostavljena, poslove najčešće obavlja pravna funkcija
• Upravljanje kvalitetom – veoma malo društava sertifikovano, nije u
fokusu regulatora niti društava, često (zlo)upotrebljavan kao razlog
za eliminisanje konkurencije u postupku sprovodjenja tendera za
javne nabavke usluga osiguranja.
17
Interna kontrola
• Podzakonski akt donet 2007. značajno podstakao aktvnosti društava
na unapredjenju i formalizaciji procesa upravljanja rizikom i sistema
interne kontrole
• Nekonzistentnost i nepovezanost kontrola kao izvor smanjene
ukupne efikasnosti. Razvoj internih kontrola, njihovo integrisanje u
sistem i dostizanje više faze zrelosti, u kojoj bi se izbeglo da skupi
angažovani resursi na jednoj kontroli budu anulirani propustima i
nekonzistentnostima u radu druge
• Neophodna veća koordinacija aktivnosti sve brojnijih skupih funkcija
nadzora koje ima društvo za osiguranje u jačanju procesa
upravljanja rizikom i obezbedjenju delotvornog nadzora
18
“Sprječavanje pranja novca i “Sprječavanje pranja novca i
financiranja terorizma i financiranja terorizma i
interna revizija”interna revizija”
“Sprječavanje pranja novca i “Sprječavanje pranja novca i
financiranja terorizma i financiranja terorizma i
interna revizija”interna revizija”
Dubravka LukićDubravka Lukić
Damir BoltaDamir Bolta
Croatia osiguranje d.d.Croatia osiguranje d.d.
Dubravka LukićDubravka Lukić
Damir BoltaDamir Bolta
Croatia osiguranje d.d.Croatia osiguranje d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
Banke i financijske institucije
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• SPRJEČAVANJE PRANJA NOVCA I FINANCIRANJA
TERORIZMA (SPNFT)
• OBVEZA INTERNE REVIZIJE PROCESA SPNFT
2
3
ZOSPNFT
Pranje novca podrazumijeva izvršavanje radnji kojima se prikriva pravi
izvor novca ili druge imovine za koju postoji sumnja da je pribavljena
na nezakonit način u zemlji ili inozemstvu, uključujući:
– zamjenu ili bilo kakav drugi prijenos novca ili druge takve imovine,
– prikrivanje prave prirode, izvora, lokacije, raspolaganja, kretanja,
vlasništva ili prava u vezi s novcem ili drugom takvom imovinom,
– stjecanje, posjedovanje ili uporaba novca ili druge takve imovine;
4
ZOSPNFT
Financiranje terorizma podrazumijeva osiguravanje ili prikupljanje
sredstava, odnosno pokušaj osiguravanja ili prikupljanja sredstava,
zakonitih ili nezakonitih, na bilo koji način, izravno ili neizravno, s
namjerom da se upotrijebe ili sa znanjem da će biti upotrijebljena, u
cijelosti ili dijelom,
• za počinjenje terorističkoga kaznenog djela,
• od strane terorista ili
• terorističke organizacije
5
MEĐUNARODNI STANDARDI PREVENCIJE?
Sustav sprječavanja pranja novca i financiranja terorizma
podrazumijeva neke osnovne elemente:
1. kriminalizacija kaznenog djela pranja novca/financiranja terorizma
2. zaštita financijskog sektora kroz identifikaciju klijenta i vlasnika
sredstava te praćenje poslovanja klijenta
3. uspostavljanje sustava prijavljivanja sumnjivih transakcija
4. nacionalna i meĎunarodna suradnja
6
MEĐUNARODNE KONVENCIJE
• (1988.) Konvencija UN-a protiv nezakonitog prometa opojnih droga i
psihotropnih tvari, tzv. Bečka konvencija
• (1990.) Konvencija Vijeća Europe o pranju, traganju, privremenom
oduzimanju i oduzimanju prihoda stečenoga
kaznenim djelom, tzv. Strasbourška konvencija
• (1999.) Konvencija UN-a o sprječavanju financiranja terorizma
• (2000.) Konvencija UN-a protiv transnacionalnoga organiziranog
kriminaliteta, tzv. Palermo konvencija
• (2003.) Konvencija UN-a protiv korupcije
• (2005.) Konvencija Vijeća Europe o pranju, traganju, privremenom
oduzimanju i oduzimanju prihoda stečenoga
kaznenim djelom i financiranju terorizma,
tzv. Varšavska konvencija
7
PREPORUKE FATF-a
• Financial Action Task Force - uspostavljen je kao skupina država za
financijsku akciju na samitu u Parizu 1989. g. od tadašnje grupe razvijenih
zemalja G-7 i Europske komisije uključivši i druge zemlje, a kao reakcija na
prepoznati meĎunarodni problem pranja novca
• obuhvaća 34 države članice svijeta kao i mnoge meĎunarodne organizacije
• Regionalni FATF (FSRB)
• Preporuke FATF-a predstavljaju sveobuhvatan plan mjera koje se moraju
poduzeti u borbi protiv pranja novca i financiranja terorizma
• evaluacija mjera
• u RH evaluacije provodi Odbor Vijeća Europe MONEYVAL koji je član
FATF-a
8
9
A – AML/CFT POLICIES AND COORDINATION
B – MONEY LAUNDERING AND CONFISCATION
C – TERRORIST FINANCING AND FINANCING OF
PROLIFERATION
D – PREVENTIVE MEASURES
E – TRANSPARENCY AND BENEFICIAL OWNERSHIP
OF LEGAL PERSONS AND ARRANGEMENTS
F – POWERS AND RESPONSIBILITIES OF COMPETENT
AUTHORITIES AND OTHER INSTITUTIONAL
MEASURES
G – INTERNATIONAL COOPERATION
10
11
12
13
14
15
16
3. DIREKTIVA ZA SPRJEČAVANJE PN/FT
• Direktiva broj 2005/60/EC Europskog Parlamenta i Vijeća od
26.10.2005. o sprječavanju korištenja financijskog sustava za
pranje novca i financiranje terorizma
• UZIMA U OBZIR PREPORUKE FATF-A
• Primjenjuje se na kreditne institucije, financijske institucije i izrijekom
na životna osiguranja:
17
SADRŽAJ 3. DIREKTIVE
• Pojmovi
• Obveznici
• Primjena strožijeg režima
• Zabrana anonimnih računa
• CDD – kad se poduzima, sadržaj
• Pojednostavljena CDD
• Pojačana CDD
• UvoĎenje treće strane
• Praćenje i prijavljivanje sumnjivih transakcija
• Elementi zaštite podataka
• Čuvanje podataka
• Interne procedure, trening
• Primjena u podružnicama i vezanim ino društvima
• Sankcije
18
19
RH KAO OBVEZNIK
• KONVENCIJE:
– članica UN-a i Vijeća Europe
• FATF:
– članica Vijeća Europe - Odbora stručnjaka za procjenu
mjera protiv pranja novca i financiranja terorizma
(MONEYVAL)
• 3. DIREKTIVA:
– pravna stečevina EU
• MEĐUNARODNO POSLOVANJE
– obveza ino financijskih institucija da provjere da institucije
u RH primjenjuju standarde
20
Zakonske mjere sprječavanja pranja novca
U cilju sprječavanja i otkrivanja pranja novca i financiranja terorizma obveznici
su prilikom obavljanja svojih djelatnosti dužni ispunjavati obveze koje
obuhvaćaju:
• procjenu rizika,
• provoĎenje mjera dubinske analize stranke,
• provoĎenje u poslovnim jedinicama i društvima obveznika u trećoj državi,
• imenovanje ovlaštene osobe,
• redovito stručno osposobljavanje i izobrazba djelatnika,
• osiguravanje redovite interne revizije,
• izradu i redovito dopunjavanje liste indikatora,
• obavještavanje i dostavljanje Uredu ZSPN propisanih podataka,
• čuvanje i zaštita podataka,
• vodenje evidencija,
• uspostavu informacijskog sustava,
• provoĎenje drugih zadaća i obveza
21
Procjena rizika
• Članak 7.
• Rizik pranja novca ili financiranja terorizma - rizik da će stranka zlouporabiti
financijski sustav (poslovni odnos, transakcija ili proizvod) za pranje novca
ili financiranje terorizma
• Obveznik je dužan izraditi analizu rizika
• ocjenu rizika pojedine skupine ili vrste stranke, poslovnog odnosa,
proizvoda ili transakcije u odnosu na moguće zlouporabe vezane za pranje
novca ili financiranje terorizma.
• dužan usklaĎivati sa smjernicama koje će donositi nadležna nadzorna tijela.
• obvezno voditi računa o specifičnosti obveznika i njegova poslovanja,
primjerice o veličini i sastavu obveznika, opsegu i vrsti poslova, o vrsti
stranaka s kojima posluje i proizvoda koje nudi.
• stranke koje predstavljaju neznatan rizik za pranje novca ili financiranje
terorizma obveznik može svrstati samo one stranke koje ispunjavaju uvjete
što ih pravilnikom odredi ministar financija.
22
Dubinska analiza stranke
• (CDD – Customer Due Dilligence, KYC – Know Your Customer)
1. utvrĎivanje i provjera identiteta stranke
2. utvrĎivanje i provjera identiteta stvarnog vlasnika stranke
3. prikupljanje podataka o namjeni i predviĎenoj prirodi
poslovnog odnosa ili transakcije
4. stalno praćenje poslovnog odnosa
23
Primjena CDD
• Članak 9.
• Obveznik je dužan obaviti dubinsku analizu stranke u sljedećim
slučajevima:
1. prilikom uspostavljanja poslovnog odnosa sa strankom,
2. pri svakoj transakciji u vrijednosti od 105.000,00 kuna i više,
jednokratnoj ili više meĎusobno očigledno povezanih,
3. ako postoji sumnja u vjerodostojnost i istinitost podataka o
stranci ili stvarnom vlasniku stranke,
4. uvijek kada postoje razlozi za sumnju na pranje novca ili
financiranje terorizma, bez obzira na vrijednost transakcije.
• Ukoliko se ne mogu provesti mjere dubinske analize, ne smije
uspostaviti poslovni odnos ili izvršiti transakciju, odnosno mora se
prekinuti već uspostavljeni poslovni odnos te obavijestiti UZSPN 24
ZAKONSKE ZABRANE
• Zabrana korištenja anonimnih proizvoda - ne smije se strankama otvoriti,
izdavati ili za njih voditi anonimne račune, štedne knjižice na šifru ili na
donositelja, odnosno druge anonimne proizvode
• Zabrana poslovanja s fiktivnim bankama - ne smije se uspostaviti ili
nastaviti korespondentne odnose s fiktivnom bankom ili s drugom kreditnom
institucijom koja posluje s fiktivnim bankama
• Ograničenja u poslovanju s gotovinom - ne smiju se obavljati naplate u
gotovini u iznosu koji prelazi 105.000,00 kuna prilikom: prodaje robe i
pružanja usluga, prodaje nekretnina, primanja zajmova, prodaje prenosivih
vrijednosnih papira ili udjela. Ograničenje gotovinske naplate odnosi se na
sve pravne i fizičke osobe koje, obavljajući registriranu djelatnost, u
navedenim transakcijama primaju gotov novac.
25
Obveza redovite interne revizije
• Članak 50.
• najmanje jednom godišnje treba osigurati redovitu internu reviziju
obavljanja zadaća sprječavanja pranja novca i financiranja terorizma
• svrha interne revizije jest uočavanje i sprječavanje nepravilnosti u
provedbi Zakona i poboljšanje unutarnjeg sustava u otkrivanju
sumnjivih transakcija.
26
Prekršajne odredbe vezanu uz internu reviziju
Novčanom kaznom u iznosu od 25.000,00 do 400.000,00 kuna
kaznit će se za prekršaj pravna osoba:
• ako ne osigura redovitu internu reviziju izvršavanja poslova nad
obavljanjem zadaća otkrivanja pranja novca i financiranja terorizma
prema ovom Zakonu (članak 50.)
27
ProvoĎenje interne revizije procesa SPNFT u
osiguranju
• CILJ REVIZIJE: procijeniti i dati mišljenje o unutarnjim kontrolama u
procesu sprječavanja pranja novca i financiranja terorizma te dati preporuke
za unaprjeĎenje procesa
• OPSEG REVIZIJE:
– usklaĎenost internog akta s regulativnom SPNFT
– aktivnosti i postupci u procesu SPNFT
• procjena i analiza rizika
• provoĎenje mjera dubinske analize stranaka
• izrada i redovito dopunjavanje liste indikatora,
• imenovanje ovlaštene osobe,
• stručno osposobljavanje zaposlenika
• ograničenja u poslovanju s gotovinom
• čuvanje i zaštita podataka te voĎenje propisanih evidencija
• obavještavanje i dostavljanje Uredu ZSPN propisanih podataka,
• uspostava informacijskog sustava,
• provoĎenje mjera u društvima koja imaju sjedište u trećim državama.
28
ProvoĎenje interne revizije procesa SPNFT u
osiguranju – Nalog za pokretanje interne revizije
29
ProvoĎenje interne revizije procesa SPNFT u
osiguranju - Program interne revizije
30
ProvoĎenje interne revizije procesa SPNFT u
osiguranju - Program interne revizije
31
ProvoĎenje interne revizije procesa SPNFT u
osiguranju - Program i rezultati testiranja
32
ProvoĎenje interne revizije procesa SPNFT u osiguranju –Izvješće unutarnje revizije s Tablicom nedostataka i preporuka
33
ProvoĎenje interne revizije procesa SPNFT u osiguranju –Izvješće unutarnje revizije s Tablicom nedostataka i preporuka
34
ProvoĎenje interne revizije procesa SPNFT u osiguranju –Praćenje provedbe preporuka (web aplikacija)
35
ProvoĎenje interne revizije procesa SPNFT u osiguranju –Praćenje provedbe preporuka (web aplikacija)
36
ProvoĎenje interne revizije procesa SPNFT u osiguranju –Periodično izvješćivanje uprave, revizorskog i nadzornog odbora
– UPRAVA DRUŠTVA: svako pojedinačno izvješće unutarnje
revizije, kvartalna, polugodišnja sažeta izvješća i godišnje
izvješće
– REVIZORSKI ODBOR: polugodišnje i godišnje izvješće
– NADZORNI ODBOR: polugodišnje i godišnje izvješće
Ovisno o potrebi izraĎuju se parcijalna izvješća (po odreĎenim
segmentima poslovanja, po klasifikaciji nedostataka i preporuka
npr. samo za klas.3. i sl.)
37
ProvoĎenje interne revizije procesa SPNFT
• Napomene koje treba imati na umu prilikom provoĎenja
unutarnje revizije procesa SPNFT: – poziciju osiguravajućeg društva u ugovornom odnosu s klijentom (paziti
na pretjeranu reguliranost i zahtijevanje mnoštva podataka i obrazaca
od klijenata)
– povijesne podatke o slučajevima pojave PN i FT u djelatnosti osiguranja
(manja izloženost)
– otvorene mogućnosti prilagodbe internih propisa i procedura postupanja
sukladno važećoj regulativi koja ureĎuje SPNFT
38
ProvoĎenje interne revizije procesa SPNFT
• Završne napomene:
– unutarnja revizija procesa SPNFT je prioritetno značajna radi
• jačanja sustava unutarnjih kontrola društva
• poštivanja važeće regulative i izbjegavanja plaćanja propisanih
kazni
• koordinacije rada s vanjskim tijelima nadzora (vanjskim revizorima
koji revidiraju financijske izvještaje, HANFA-om i dr.) kako bi se
udvostručavanje napora svelo na najmanju mjeru
39
Unutarnja revizija i sustav
unutarnjih kontrola – promjena
regulative, oĉekivanja HNB-a i
opažanja iz supervizorske prakse
Unutarnja revizija i sustav
unutarnjih kontrola – promjena
regulative, oĉekivanja HNB-a i
opažanja iz supervizorske prakse
Antonio Valĉić
Hrvatska narodna banka
Antonio Valĉić
Hrvatska narodna banka
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA SEKCIJA K K –– Banke i financijske institucijeBanke i financijske institucije
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
2
SADRŽAJ:
• UR u kontekstu specijalizacije bankarskog
poslovanja
• Relevantni izvori
• Najnovije promjene regulative
• UR nakon nedavne promjene regulatornog
okvira - ZOKI
• Poslovi kontrolnih funkcija, planiranje i
organizacija rada
• Opažanja iz supervizorske prakse
3
Unutarnja revizija u kontekstu specijalizacije u
bankarskom poslovanju
• Sve veće profiliranje specijalističkih funkcija i
poslova u poslovanju kreditnih institucija
– Upravljanje rizicima
– Funkcija kontrole rizika
– Praćenje usklaĊenosti
– Operativni rizik
– Napredni pristupi/modeli za izraĉun kapitalnog
zahtjeva
– Interna validacija
– Informacijski sustavi
4
Relevantni izvori kao podloga za regulaciju
• Dokumenti Bazelskog odbora za superviziju banaka (BCBS). Najznačajniji su: Internal audit in banks and thesupervisor's relationship with auditors i Core Principlesfor Effective Banking Supervision
• Neka od najvažnijih načela:– odgovornost uprave za uspostavu adekvatnog i uĉinkovitog
sustava unutarnjih kontrola, sustava mjerenja i upravljanja rizicima, sustava za upravljanje razinom kapitala u odnosu na rizik, metoda za praćenje usklaĊenosti s propisima i internim politikama
– Primjerene i uĉinkovite unutarnje kontrole ukljuĉuju jasno delegiranje ovlasti i odgovornosti; razdvajanje funkcija koje ukljuĉuju obvezivanje banke, isplatu sredstava te raĉunovodstveno evidentiranje imovine i obveza; usklaĊivanje ovih procesa; ĉuvanje banĉine imovine; kao i primjerene neovisne funkcije unutarnje revizije i usklaĊenosti kako bi se testiralo pridržava li se banka tih kontrola kao i primjenjivih zakona i propisa.
Relevantni izvori kao podloga za regulaciju
• Osnovne principe kasnije preuzimaju– Basel II
– CRD
– nacionalni regulatori (ZOKI)
• EBA Guidelines on Internal Governance – GL 44, September 2011
22.02.2012. 5
6
Unutarnja revizija u u ZOKI
• Unutarnja revizija temeljena na procjeni rizika (Risk based)
• Specijalizacija poslovanja– Funkciji praćenja usklađenosti - FPU
– Funkcija kontrole rizika - FKR
• Prilagodba prema tri stupa Bazela II
• Traženje ocjene unutar pojedinih područja
• Jasniji naglasak na sustav unutarnjih kontrola
• Ne provjerava se usklađenost nego se
provjerava i ocjenjuje djelotvornost i
primjerenost FPU i FKR
7
Unutarnja revizija u ZOKI
• Proširuje se opseg provjere izvještavanja i na
MIS (pored propisanih izvješća)
• ICAAP, Javna objava, IS
8
Regulacija prema ZOKI - Sustav upravljanja
• Sustav upravljanja (ZOKI Ĉlanak 113. - izmjena)
• Razmjerno vrsti, opsegu i složenosti poslova koje obavlja, uspostaviti i provoditi djelotvoran i pouzdan sustav upravljanja koji obuhvaća:
– jasan organizacijski ustroj s dobro definiranim, preglednim i dosljednim linijama ovlasti i odgovornosti unutar kreditne institucije
– djelotvorno upravljanje svim rizicima
– primjerene sustave unutarnjih kontrola koji uključuju i primjerene administrativne i računovodstvene postupke
– politike primitaka koje su u skladu s odgovarajućim i djelotvornim upravljanjem rizicima i koje promiču odgovarajuće i djelotvorno upravljanje rizicima
Glavne promjene u u ZOKI/OSUK
• Iz odluke o SUK-u sele se općenite odredbe o
SUK-u u ZOKI
– stalnost, djelotvornost, neovisnost
– značajni rizici
– sukob interesa
• Iz ZOKI se detaljne odredbe o UR sele u OSUK
• Zabrana eksternalizacije kontrolnih funkcija u
cijelosti
• Do sada obavještavanje HNB-a o imenovanju
osoba odgovornih za rad svake KF, a sada i o
razlozima za zamjenu tih osoba9
Glavne promjene u u ZOKI/OSUK – usklaĊenje s
EBA Smjernice za korporativno upravljanje
• Imenovanje i zamjena osoba odgovornih za rad
kontrolne funkcije samo uz suglasnost NO
• FPU može u FKR ili drugdje, ali ne u UR
• UR ocjenjuje djelotvornosti i pouzdanosti FPU i
FKR
• Informiranje odgovorne osobe o planiranim org.
promjenama, projektima, novim proizvodima
10
11
Regulacija prema ZOKI - Sustav unutarnjih
kontrola
• Sustav unutarnjih kontrola (ZOKI novi ĉlanak 180.)
• Definicija - SUK jest skup procesa i postupaka uspostavljenih za– adekvatnu kontrolu rizika,
– praćenje uĉinkovitosti i djelotvornosti poslovanja kreditne institucije,
– pouzdanost njezinih financijskih i ostalih informacija
– usklaĊenost s propisima, internim aktima, standardima i kodeksima radi osiguranja stabilnost poslovanja
• Sustav unutarnjih kontrola obuhvaća najmanje:– primjeren organizacijski ustroj
– organizacijsku kulturu
– adekvatne kontrolne aktivnosti i podjelu dužnosti
– prikladne unutarnje kontrole integrirane u poslovne procese i aktivnosti kreditne institucije
– prikladne administrativne i raĉunovodstvene postupke
– poslove u djelokrugu kontrolnih funkcija kreditne institucije
Preispitivanje rada kontrolnih funkcija
• Uprava mora najmanje jedanput godišnje,
preispitati primjerenost postupaka te
djelotvornost kontrolnih funkcija, dokumentirati
zaključke i o istima obavijestiti nadzorni odbor
• Pri tome uzima u obzir metodologiju rada,
izvršenje plana rada, broj djelatnika, strukturu i
sadržaj izvješća, nalaze, profil rizičnosti kreditne
institucije, strategiju poslovanja i upravljanja
rizicima te druge kriterije i dokumentaciju
12
13
Unutarnja revizija u u ZOKI
• Akt o unutarnjoj reviziji– donosi ga Uprava uz suglasnost nadzornog ili revizorskog
odbora
• Izvješće o svakoj obavljenoj reviziji– dostavlja se odgovornom ĉlanu uprave, revizorskom
odboru, relevantnom rukovodstvu poslovne linije
• Promjena fokusa Izvješća o radu unutarnje revizije– izvršenje godišnjeg plana rada
– sažetak najznaĉajnijih utvrĊenih ĉinjenica
– izvršenje prijedloga i preporuka za otklanjanje nezakonitosti i nepravilnosti te nedostataka i slabosti
– dostavlja se tromjeseĉno upravi i revizorskom odboru, polugodišnje nadzornom odboru kreditne institucije te godišnje Hrvatskoj narodnoj banci
22.02.2012. 14
Poslovi kontrolnih funkcija - detaljnije
FUNKCIJA UNUTARNJE REVIZIJE
ĉlanak 185. ZOKI-ja
•adekvatnost i djelotvornost SUK-a,
•primjena i djelotvornost postupaka upravljanja rizicima i metodologija za procjenjivanje rizika,
•djelotvornost i pouzdanost FPU i FKR,
•sustav obavještavanja uprave i rukovodstva,
•sustav računovodstvenih evidencija i financijskih izvještaja,
•strategije i postupci procjenjivanja adekvatnosti internoga kapitala,
•revizija informacijskog sustava
•sustav izvještavanja te pravodobnosti i točnosti izvješća
•ocjena načina zaštite imovine,
•sustav prikupljanja i valjanosti informacija koje se javno objavljuju
•donošenje ostalih ocjena propisanih u ZOKI i propisima donesenim na temelju istoga i
•sve ostale poslove
FUNKCIJA KONTROLE RIZIKA
novi ĉlanak 7. Odluke o SUK-u
•mjerenje, procjenjivanje i analiza rizika
•praćenje svih značajnijih rizika
•provođenje testiranja otpornosti na stres
•primjena i djelotvornost metoda i postupaka za upravljanje rizicima
•SUK u procesu upravljanja rizicima
•adekvatnost i dokumentiranost metodologije za upravljanje rizicima
•izrada, primjena i nadzor nad funkcioniranjem metoda i modela za upravljanje rizicima
•izrada i preispitivanje strategija i politika za upravljanje rizicima
•davanje prijedloga i preporuka za primjereno upravljanje rizicima
•analiza, praćenje i izvješćivanje o adekvatnosti internog kapitala
•analize rizika prisutnih kod novih proizvoda
•izvješćivanje NO i Uprave o upravljanju rizicima i svom radu
FUNKCIJA PRAĆENJA USKLAĐENOSTI
novi ĉlanak 7. ZOKI-ja
•utvrđivanje i procjena rizika usklađenosti
•savjetovanje uprave i drugih odgovornih osoba o načinu primjene relevantnih zakona, standarda i pravila
•procjene učinaka koje će na poslovanje KI imati izmjene relevantnih propisa
•provjera usklađenosti novih proizvoda ili novih postupaka sa relevantnim zakonima i propisima
•poslovi savjetovanja u dijelu pripreme obrazovnih programa vezanih za usklađenost
15
Zahtjevi na kontrolne funkcije
• Stalnost– imenovana osoba odgovornu za rad kontrolne funkcije
– djelatnici kojima je u opisu radnog mjesta odreĊeno da će i u
kojem opsegu obavljati poslove pojedine kontrolne funkcije
– interne akti kojima se pobliže definira rad kontrolne funkcije
– planove rada
– redovna izvješća i izvješća o radu
• Djelotvornost – Kako to radi supervizor– Uvidom u izvješća kontrolnih funkcija i usporedbom sa stvarnim
stanjem utvrĊujemo opseg, dinamiku i kvalitetu obavljenih
poslova, broj utvrĊenih nedostataka i nepravilnosti, naĉin
ispunjavanja danih preporuka od strane poslovnih linija, naĉin i
dinamiku obavljanja follow up revizija, primjerenost procesa
planiranja
16
Zahtjevi na kontrolne funkcije - Neovisnost
• Izravna odgovornost upravi
• U odnosu na druge kontrolne funkcije– djelatnici koji obavljaju poslove jedne kontrolne funkcije ne mogu
obavljati poslove i neke druge kontrolne funkcije (Novost: u EBA
GL 44 je iznimka od tog pravila)
• U odnosu na poslovne linije – primjeri iz prakse– FPU – obratiti pozornost na djelatnike organizacijske jedinice koja
se bavi pravnim poslovima (Pravna služba, Direkcija za pravne
poslove)
– FKR – obratiti pozornost na djelatnike organizacijske jedinice koja
se bavi dijelovima sustava za upravljanje pojedinim ili svim
rizicima (Sektor za upravljanje i/ili kontrolu rizicima)
• Neovisnost funkcije kontrole rizika od funkcije ugovaranja
transakcija (krediti i riznica) u operativnom i organizacijskom
smislu do razine uprave17
Planiranje rada kontrolnih funkcija u kontekstu
HNB zahtjeva
18
• Planovi moraju biti usklađeni s odredbama ZOKI i podzakonskih akata
• Temeljeni na dokumentiranoj procjeni rizika - za svaku KF plan mora odražavati rizičnost područja poslovanja
• Uzeti u obzir odredbe drugih zakona
• npr. plan UR mora svake godine uključivati reviziju sustava za SPNFT – odredba ZOSPNFT
• Fleksibilnost – izvanredni poslovi, follow up, poslovi koji se odvijaju na kontinuiranoj osnovi (npr. FPU -savjetovanje uprave)
Kako planirati rad UR – Risk based
• Metodologije procjene rizika su važne, ali
ponekad vrijedi “Less is More”
• Što svakako treba uzeti u obzir
– profil rizičnosti – rizičnost portfelja, proizvodi,
koncentracija, segmentacija, strategija
– kvaliteta SUK-a
– razina uspostavljenosti/automatizacije procesa
– prijašnji nalazi
– promjene poslovanja
– obvezne godišnje revizije
• Jednostavni primjer - agregacija bodova 19
20
Moguća podjela odgovornosti dva ĉlana uprave
Specifiĉni godišnji zahtjevi za unutarnju reviziju
• Sustav upravljanja rizicima - SUR (st. 3. čl. 4.)
– KI dužna je redovito nadzirati i provjeravati SUR.
– Unutarnja revizija kreditne institucije dužna je
najmanje jednom na godinu ocijeniti primjerenost i
djelotvornost SUR-a
• KI često postavljaju sljedeće pitanje
– Je li unutarnja revizija dužna jednom godišnje ocijeniti
primjerenost i djelotvornost postupaka upravljanja
svim rizicima i treba li svake godine revidirati sve
rizike odnosno cijeli sustav upravljanja rizicima? I
kako se to uopće radi?
21
Oĉekivanja vezano uz ocjenu primjerenosti
sustava upravljana rizicima
• Izraditi procjenu rizika i dokumentirati ju
– identificirati sve znaĉajnije rizike i procijeniti ih
• Usvojiti metodologiju kojom će odrediti načine, kriterije i postupke za
odabir područja za reviziju kao i način obavljanja revizije
– posljediĉno će proizaći uĉestalost obavljanja revizije pojedinih
podruĉja/rizika
• Za odabrano područje iskazati primjerenost unutarnjih kontrola i
razinu rizika ako je primjenjivo (kreditni, operativni, tržišni,
likvidnosni)
• Provjeriti postupke upravljanja rizicima i rad druge dvije kontrolne
funkcije (follow up i promjene u metodama i postupcima)
• Opća ocjena adekvatnosti i djelotvornosti upravljanja rizicima iz
Izvješća o obavljenoj reviziji odnosi se samo na revidirana područja
poslovanja
22
Opažanja iz supervizorske prakse
• Proces planiranja (procjena rizika, resursi)
• Davanje ocjene o sustavu upravljanja rizicima
jednom godišnje
• Sadržaj Izvješća o obavljenoj reviziji - ocjena
pojedinih rizika i postavljanje mjere (np.
semafori)
• Podkapacitiranost unutarnje revizije
• Follow up - vlastiti nalazi (UR), nalazi i
preporuke eksterne revizije, HNB-a
• Uloga UR odnosno prepoznavanje od Uprave23
PROCJENJIVANJE PROCJENJIVANJE
KVALITETE RADA INTERNE KVALITETE RADA INTERNE
REVIZIJEREVIZIJE
PROCJENJIVANJE PROCJENJIVANJE
KVALITETE RADA INTERNE KVALITETE RADA INTERNE
REVIZIJEREVIZIJE
Olga Antić, CIA
Narodna banka Srbije
Olga Antić, CIA
Narodna banka Srbije
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
SEKCIJA KSEKCIJA K–– Banke i financijske institucije
“Očekivanja od interne revizije ulaskom u Europsku uniju”, Zadar 11.“Očekivanja od interne revizije ulaskom u Europsku uniju”, Zadar 11.––13. travnja 2013.13. travnja 2013.
2
SADRŢAJ:
• Pozicija
• Kvaliteta
• Struktura
• Program osiguranja i poboljšanja kvalitete
• Oslonci
• Mjerenje izvršenja
• Alati koje koriste najbolje prakse
• Podaci za benčmarking
• Balanced Scorecard
• Osvrt na interne i eksterne procjene
• Zaključak
Pozicija koja obavezuje
Kvaliteta
•• OndaOnda kadakada postignepostigne kvalitetkvalitetuu internainterna revizijarevizija bivabivaprihvaćenaprihvaćena odod izvršnogizvršnog rukovodstvarukovodstva kaokao vrijedanvrijedan deodeoorganizacijeorganizacije..
•• ProcjenProcjenomom kvalitetkvalitetee identifikujemoidentifikujemo šansešanse zaza poboljšanjepoboljšanjeaktivnostiaktivnosti interneinterne revizijerevizije uu ciljucilju povećanjapovećanja vrednostvrednostii iipoboljšanjapoboljšanja operacijaoperacija ii kakokako bismobismo osmisliliosmislili aktivnostiaktivnostikojekoje ćeće nasnas voditivoditi putemputem kvalitetekvalitete..
•• ObezbeĎivanjeObezbeĎivanje kvalitetekvalitete ii poboljpoboljššanjaanja pomažepomaže internojinternojrevizijireviziji dada optimizujeoptimizuje svojesvoje operacijeoperacije ii svojesvoje zadatkezadatkeobavljaobavlja svesve efikasnijeefikasnije ii efektivnijeefektivnije..
Kvaliteta
• Kvaliteta sama po sebi nije apsolutna. Kvaliteta proizvoda iusluga je stupanj do kojeg proizvod ili usluga zadovoljavaočekivanja kupca.
• Isporuka kvalitete traži sustavan - sistematičan i discipliniranprofesionalni pristup – kvaliteta se ne dogaĎa sama po sebi.
• Kvaliteta je kombinacija pravih ljudi, pravih sustava iposvećenosti izvrsnosti. Njome se upravlja od strane čelnikaorganizacije koji su odgovorni za uspostavljanje “tona navrhu”.
• Kvaliteta ima retrospektivne elemente i elemente koji gledajuu budućnost.Kvaliteta je u internoj reviziji voĎena obavezomda se dostignu očekivanja klijenata i profesionalne obaveze usmislu usaglašenosti sa Standardima.
Kvaliteta
• Kvaliteta u internoj reviziji počinje uspostavljanjemstrukture i organizacije funkcije interne revizije. Kvalitetatreba biti ugraĎena u način na koji funkcija obavlja svojezadatke – kroz metodologiju, politike i procedure i prakseljudskih resursa u internoj reviziji. Svaki od ovihelemenata strukture treba da bude zasnovan nazajedničkom razumevanju kvalitete i percepcije vrednostiinteresnih strana.
• Program osiguranja i poboljšanja kvalitete treba da merida li interna revizija ostvaruje svoje ciljeve, kao i one uokvirima organizacije.
Struktura
Odgovarajuća struktura
• Najbolje prakse voĎenja interne revizije se odnose nasledeće aspekte:
•Pravo upravljanje (svrha, uloge i odgovornosti, ...);
•Pravi ljudi (upravljanje i tim interne revizije, organizacijskastruktura, interesne strane i upravljanje odnosima, ljudiznanja – vještine - kompetencije i trening i razvoj);
Prava infrastruktura i operacije (upravljanje rizikom,revizija zasnovana metodologiji, priručnik za reviziju iprateći templejti, IT alati i tehnologije koje se koriste zapodršku postupaka revizije, upravljanje znanjem, logikafunkcionalne specijalizacije revizora, upravljanje učinkom ikvalitetom i osiguravanje rizika).
Program osiguranja i poboljšanja kvalitete
• Okvir meĎunarodne stručne prakse – IPPF definiraprogram osiguranja i poboljšanja kvalitete kao:
• Tekuće i periočne procjene cijelog spektra revizije ikonsaltinga koji obavlja interna revizija. Ove tekuće iperiodične procjene se sastoje od rigoroznog,sveobuhvatnog procesa, kontinuranog nadzora iispitivanja interne revizije i konsaltinga i povremenevalidacije usklaĎenosti s Definicijom interne revizije,Etičkim kodeksom i Standardima. Ovo uključuje i stalnomjerenje i analize izvršenja (na primer plana internerevizije, postignuća, vremena ciklusa, prihvata preporukai zadovoljstva klijenata). Ako rezultati procjena pokazujupostojanje područja za poboljšanje glavni revizor (CAE)će ta poboljšanja sprovoditi kroz program osiguranja ipoboljšanja kvalitete.
Program osiguranja i poboljšanja kvalitete
•• ZbogZbog čegačega jeje potrebanpotreban programprogram osiguranjaosiguranja ii poboljšanjapoboljšanjakvalitete?kvalitete?
•• KakoKako organizacijaorganizacija rasteraste ii menjamenja se,se, njenenjene operacijeoperacije ii procesiprocesi morajumorajuevoluiratievoluirati kakokako bibi ii bilibili pobpobooljšavaniljšavani ii kakokako bibi sese uskladiliuskladili sasapromenamapromenama.. DaDa bibi sese osiguraosiguraoo kvalitetkvalitet uu dinamičnomdinamičnom okruženjuokruženju,,posvećenostposvećenost unapreĎenjimaunapreĎenjima jeje neophodnaneophodna.. OvaOva posvećenostposvećenost sesedemonstrirademonstrira krozkroz dokumentovanidokumentovani programprogram osiguranjaosiguranja ii poboljšanjapoboljšanjakvalitetekvalitete..
•• ŠtaŠta jeje uključenouključeno uu programprogram osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete??
•• ZahtevaniZahtevani elementielementi programaprograma susu periodičneperiodične interneinterne ii eksterneeksterneproproccjjeneene kvalitetkvalitetee,, tekućitekući interniinterni nadzornadzor ii osiguravanjeosiguravanje dada seseaktivnostiaktivnosti interneinterne revizijerevizije obavljajuobavljaju uu skladuskladu sasa StandardimaStandardima iiEtičkimEtičkim kodeksomkodeksom..
•• GdeGde sese moţemoţe naćinaći pomoćpomoć zaza uspostavljanjeuspostavljanje programaprogramaosiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete??
•• PraktičniPraktični savjetsavjet 13101310--11 obezbeĎujeobezbeĎuje listulistu elemenataelemenata kojekoje trebatrebauključitiuključiti uu programprogram osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete.. InstitutInstitut internihinternihrevizorarevizora (The(The IIA)IIA) jeje publikovaopublikovao primerprimer programaprograma osiguranjaosiguranja iipoboljšanjapoboljšanja kvalitetekvalitete.. UU martumartu 20122012 godinegodine jeje publikovanpublikovan vodivodičč zazapraksupraksu –– ProgramProgram osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete..
Osiguranje kvalitete
• Kvaliteta se procjenjuje i u okviru pojedinačne
revizije - na nivou individualnog revizorskog
angažmana i na nivou aktivnosti interne revizije.
Dobro razvijen program osiguranja i poboljšanja
kvalitete je ugraĎen u način na koji interna
revizija obavlja sve svoje aktivnosti. Anagažmani
se izvršavaju na temelju ustanovljene
metodologije koja po pravilu promovira kvaliteta i
usklaĎenost sa Standardima.
Procjena kvalitete interne revizije uz priručnik
•• ProcjenuProcjenu kvalitetekvalitete interneinterne revizijerevizije trebatreba vršitivršiti nana osnovuosnovu priručnikapriručnika zaza procjenuprocjenukvalitetekvalitete IIAIIA (IIA(IIA QuallityQuallity ManuallManuall--a)a) iliili uporedivoguporedivog setaseta uputstavauputstava ii alataalata.. OvakviOvakviprirupriručnicičnici nudenude modelemodele zaza:: kontrolnekontrolne politike,politike, poveljupovelju interneinterne revizije,revizije, modelemodele zazamjerenjemjerenje aktivnostiaktivnosti interneinterne revizije,revizije, primprimjjereere programaprograma osiguranjaosiguranja kvalitete,kvalitete,uspešnihuspešnih praksi,praksi, dokumenata,dokumenata, pismapisma oo angažmanu,angažmanu, planeraplanera intervjua,intervjua,ispitivanja,ispitivanja, dopisadopisa odboruodboru zaza revizijureviziju..
•• OvakviOvakvi priručnicipriručnici nudenude ii alatealate poputpoput:: vodičavodiča zaza samoprocjenjivanje,samoprocjenjivanje, upitnikaupitnika zazaglavnogglavnog revizora,revizora, alataalata zaza anketiranjeanketiranje klijenata,klijenata, alataalata zaza anketiranjeanketiranje osobljaosobljainterneinterne revizije,revizije, vodičavodiča zaza obavljanjeobavljanje intervjuaintervjua sasa odborom,odborom, rukovodstvomrukovodstvom (koje(kojeglavniglavni revizorrevizor izveštava),izveštava), glavnimglavnim revizorom,revizorom, osobljemosobljem interneinterne revizijerevizije iieksternimeksternim revizoromrevizorom..
•• TuTu sese mogumogu naćinaći ii alatialati zaza segmentesegmente programaprograma kaokao štošto susu:: strukturastruktura iiodgovornostodgovornost aktivnostiaktivnosti interneinterne revizije,revizije, ocenaocena rizikarizika ii planiranje,planiranje, stručnoststručnostosoblja,osoblja, informacionainformaciona tehnologija,tehnologija, oceneocene izvršenjaizvršenja planaplana ii dodatedodate vrednosti,vrednosti,planiranjeplaniranje ii izvršenjeizvršenje revizijarevizija ii pregledpregled radneradne dokumentacije,dokumentacije, izveštavanjeizveštavanje iinadzornadzor oo napretkunapretku ii drugidrugi alatialati potrebnipotrebni ii dovoljnidovoljni zaza izvršenjeizvršenje interneinterne procprocjjene,ene,odnosnoodnosno sprovodjenjesprovodjenje aktivnostiaktivnosti prilikomprilikom procprocjjeneene..
•• SveSve ovoovo jeje značajnaznačajna pomoćpomoć zaza procjenuprocjenu kvalitetekvalitete interneinterne revizijerevizije..
Vodič - Program osiguranja i poboljšanja kvalitete
Oslonci
•• StandardStandard 13001300 –– ProgramProgram osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete
•• StandardStandard 13101310 –– ObavezniObavezni elementielementi programaprograma osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete
•• StandardStandard 13111311 -- InterneInterne procjeneprocjene
•• StandardStandard 13121312 –– EksterneEksterne procjeneprocjene
StandardStandard 13201320 –– IzveštavanjeIzveštavanje oo ProgramuProgramu osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete
•• StandardStandard 13211321 –– UpotrebaUpotreba navodanavoda “U“U skladuskladu sasa MeĎunarodnimMeĎunarodnim standardimastandardima zazaprofesionalnuprofesionalnu praksupraksu interneinterne revizije”revizije”
•• StandardStandard 13221322 –– ObelodanjivanjeObelodanjivanje neusklaĎenostineusklaĎenosti
•• **********************************************************************************************************************************************************************************************
•• PraktičniPraktični savetsavet 13001300--11:: ProgramProgram osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete
•• PraktičniPraktični savetsavet 13101310--11:: ObavezniObavezni elementielementi programaprograma osiguranjaosiguranja ii poboljšanjapoboljšanjakvalitetekvalitete
•• PraktičniPraktični savetsavet 13111311--11:: InterneInterne procjeneprocjene
•• PraktičniPraktični savetsavet 13121312--11:: EksterneEksterne procjeneprocjene
•• PraktičniPraktični savetsavet 13121312--22:: EksterneEksterne procjeneprocjene:: SamoocenjivanjeSamoocenjivanje sasa neovisnimneovisnimpotvrĎivanjempotvrĎivanjem
•• PraktičniPraktični savetsavet 13121312--33:: NeovisnostNeovisnost timatima ekterneekterne procjeneprocjene uu privatnomprivatnom sektorusektoru
•• PraktičniPraktični savetsavet 13121312--44:: NeovisnostNeovisnost timatima ekterneekterne procjeneprocjene uu javnomjavnom sektorusektoru
•• PraktičniPraktični savetsavet 13211321--11:: UpotrebaUpotreba navodanavoda “U“U skladuskladu sasa MeĎunarodnimMeĎunarodnimstandardimastandardima zaza profesionalnuprofesionalnu praksupraksu interneinterne revizije”revizije”
Oslonci
•• KvalitetKvalitetaa sese procjenjujeprocjenjuje uu procesuprocesu tekućegtekućeg nadzoranadzora ii adad hochocaktivnostimaaktivnostima periodičnogperiodičnog internoginternog pregleda,pregleda, tete shodnoshodno StandardimaStandardima iieksternomeksternom procjenom,procjenom, kojakoja sese vršivrši najmanjenajmanje jednomjednom uu petpet godinagodina..
•• 13001300 –– ProgramProgram osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete -- GlavniGlavni revizorrevizormoramora dada uspostaviuspostavi ii održavaodržava programprogram osiguranjaosiguranja ii poboljšanjapoboljšanjakvalitetekvalitete kojikoji pokrivapokriva svesve aspekteaspekte aktivnostiaktivnosti interneinterne revizijerevizije..
•• InterpretacijaInterpretacija::
• Program osiguranja i poboljšanja kvalitete osmišljen je da omogućiocenu usklađenosti aktivnosti interne revizije s Definicijom internerevizije i Standardima, i procjeni da li revizori primenjuju Etički kodeks.Programom se također procjenjuje efektivnost i efikasnost aktivnostiinterne revizije i identificiraju šanse za poboljšanje.
•• 13101310 –– ObavezniObavezni elementielementi programaprograma osiguranjaosiguranja ii poboljšanjapoboljšanjakvalitetekvalitete -- Program osiguranjaosiguranja ii poboljšanjapoboljšanja kvalitetekvalitete mora da sadrži iinterne i eksterne procjene.
•• 13111311 -- InterneInterne procjeneprocjene -- Interne procjene moraju uključiti: stalninadzor učinka aktivnosti interne revizije, i periodične pregledeizvršene kroz samo-procjenjivanje ili procjenjivanje od strane drugihlica u organizaciji, koja imaju dovoljno poznavanje praksi internerevizije.
Mjerenje izvršenja
•• MjerenjeMjerenje izvršenjaizvršenja jeje deodeo većine,većine, akoako nene ii svihsvih aktivnostiaktivnosti interneinternerevizijerevizije širomširom svetasveta..
• Dio napora da se upravlja izvršenjem uključuje primjenu mjera kako bi seosigurao kvalitet izvršenja interne revizije i utvrdili, te otklonili nedostaci.
• Iako mjere koje se koriste donekle variraju, različita istraţivanja, uključujući iGAIN godišnju benčmarking studiju (GAIN - globalna revizorska informacijskamreža - Global Audit Information Network - glavni benčmarking program Institutainternih revizora – The IIA), identificirala su: uporabu upitnika o zadovoljstvuklijenata i interesnih strana, planirane u odnosu na izvršene revizije,usaglašenost sa Standardima untarnje revizije i Etičkim kodeksom, kao ključnezajedničke indikatore za mjerenje izvršenja.
• Uporaba Balanced Scorecard je takoĎe jedna od vodećih praksi identificiranih odglavnih revizora koji su članovi GAIN.
• Bez obzira na alate i tehnike koje se koriste za mjerenje izvršenja interne revizije,glavni revizori moraju odabrati metodologiju za praćenje i mjerenje izvršenja kojanajbolje odgovara obuhvatu revizorskog rada. Pored ovoga, oni moraju razmotritii potrebe različitih interesnih strana, uključujući i odbor za reviziju i višerukovodstvo, prije nego što opredjele konkretne mjere za mjerenje izvršenja. Ovoće sa svoje strane omogućiti glavnom revizoru ne samo da mjeri izvršenje, nego iuskladi napore revizije sa strateškim ciljevima i dodavanjem vrjednostiorganizaciji.
Statistike The IIA
•• Podaci ispitivanja 2009 g.Podaci ispitivanja 2009 g.
• Interna procjena kvalitete se koristi od strane rukovodilaca revizijakako bi se osigurao kvalitet usluga interne revizije.
• Prema statistikama Instituta internih revizora (The IIA benčmarkingstudija) 63% (od 288 organizacija obuhvaćenih studijom) vrši internuprocjenu kvalitete na kontinuiranoj osnovi, dok 37% tih organizacijaprocjene vrši periodično.
• Alat koji se koristi za kontinuirani nadzor je u 93% slučajeva nadzorangažmana, dok je alat koji se koristi za periodične procjene u 78%slučajeva samo-procjena.
• Izvešća o rezultatima interne samo-procjene se u 75% slučajevadostavljaju odboru za reviziju, u 64% slučajeva timu višegrukovodstva i u 35% slučajeva eksternim revizorima organizacije.
INDIKATORI I MJERE
•• PlanPlan uu odnosuodnosu nana ostvarenjeostvarenje – za potrebe mjerenja je potrebno prikupiti sate radana revizorskom projektu (planiranje, rad na terenu i izvješćivanje) administrativneaktivnosti i indirektne-neizravne aktivnosti. Na tjednoj osnovi treba meriti stvarneutrošene sate po projektu i planirane sate definirane planom revizija. Na temeljumjerenja se utvrĎuje postotak plana koji je izvršen i mjeri izvršenje pojedinačnihtipova projekata revizije (revizije, follow-up revizije, zahjtevi rukovodstva, posebnipregledi i istrage...).
•• ZavršeniZavršeni projektiprojekti.. Na kontinuiranoj osnovi treba pratiti broj završenih projekata iizdanih izvešća. Potrebno je pripremiti kratak sažetak rezultata svakog projekta zapotrebe uključivanja u periodično izvještavanje.
•• IndividualnaIndividualna upotrebaupotreba vremenavremena.. Na mjesečnoj ili kvartalnoj osnovi treba analiziratiuporabu vremena od strane pojedinačnih zaposlenika, kao i po tipu aktivnosti,uključujući revizije, administrativne projekte, treninge i indirektne-neiyravne aktivnosti.Ove rezultate treba podeliti sa svim članovima tima – sa svakim zaposlenim .
•• StatusStatus korektivnihkorektivnih aktivnostiaktivnosti.. Treba nadzirati status korektivnih aktivnosti koje supoduzete od strane rukovodstva kako bi se zaključile revizije i evidentirale korektivneaktivnosti koje nisu izvršene o roku.
•• PovratnaPovratna informacijainformacija dobivenadobivena odod klijenataklijenata revizijerevizije.. Potrebno je tražiti povratnuinformaciju od klijenata revizije po okončanju svakog značajnog projekta - revizije.
•• LjudskiLjudski resursiresursi.. Potrebno je pratiti zapošljavanje, napredovanje, transfer i datumeprekida zaposlenja u reviziji.
•• OO mjeramamjerama trebatreba periodičnoperiodično izveštavatiizveštavati viševiše rukovodstvorukovodstvo ii odborodbor zaza revizijureviziju..AdekvatniAdekvatni intervaliintervali sese opredjeljujuopredjeljuju uu konzultacijikonzultaciji sasa pomenutepomenute dvedve grupegrupe..IzvještavanjeIzvještavanje trebatreba bitibiti vršenovršeno najmanjenajmanje jednomjednom uu godinigodini..
KLJUČNI INDIKATORI IZVRŠENJAKLJUČNI INDIKATORI IZVRŠENJA: : IZVRŠENJE USLUGA IZVRŠENJE USLUGA
REVIZIJEREVIZIJE
•• 11.. PlanPlan revizijerevizije:: Izdani izvještaji u odnosu na planirane, budţetirani satiusporeĎeni sa stvarnim satima (odstupanja), preostalo u planu u odnosu nakapacitete.
•• 22.. OsiguranjeOsiguranje kvalitetekvalitete:: rezultati interne procjene kvalitete (koja se vrši svakih 6mjeseci ili...), rezultati neovisne eksterne procjene kvalitete (svakih 5 godina),broj identificiranih ključnih rizika, broj preporuka “najboljih praksi” koje supreporučene/ implementirane.
•• 33.. PProduktivnostroduktivnost:: stvarni utrošeni časovi u usporedbi sa benčmarkom (pokategorijama); broj neangaţiranih sati (ukupnih & po članu tima), postotakpokrivanja ukupnog revizorskog univerzuma.
•• 44.. ZadovoljstvoZadovoljstvo klijenetaklijeneta:: broj izveštaja za koje nije primljena povratnainformacija od klijenta u usporedbi sa ukupnim brojem izdatih izveštaja,rezultati povratnih informacija dobivenih od klijenata, pravovremenostizdavanja pregleda za praćenje zadovoljstva klijenata.
•• KLJUČNIKLJUČNI INDIKATORIINDIKATORI IZVRŠENJAIZVRŠENJA:: LJUDSKILJUDSKI RESURSIRESURSI
•• 11.. LjudiLjudi :: stvarni broj zaposlenih poreĎen s planiranim brojem; stvarni kapacitetu odnosu na plan zapošljavanja.
•• 22.. UpravljanjeUpravljanje karijeromkarijerom:: plan za ključne pozicije (odstupanje).
•• 33.. UpravljanjeUpravljanje izvršenjemizvršenjem:: planovi izvršenja koji nisu prisutni; pravovremenost ikvalitetu usmjeravanja – vodjenja / savetovanja; distribucija izvršenja (t.j.ocene) i korektivne aktivnosti identificirane & izvršene (naročito za one saslabim izvršenjem), regulatorna usklaĎenost; odstupanja od usklaĎenosti saregulativom (značajne devijacije).
INDIKATORIINDIKATORI
•• 44. . Zdravlje u timu:Zdravlje u timu: razina zadovoljstva osoblja.
•• 55. . Trening i razvoj:Trening i razvoj: troškovi treninga u usporedbi s budžetom, plan treniga u usporedbi sa stvarno izvršenim treningom, efektivnost osiguranog treninga.
•• 66. . Upravljanje primanjima, naknadama:Upravljanje primanjima, naknadama: benchmark u odnosu na industriju kojoj pripada konkretna revizija.
•• 77. . Strategije ljudskih resursa:Strategije ljudskih resursa: planirani ciljevi ljudskih resursa i dostignuće.
•• KLJUČNI INDIKATORI IZVRŠENJA: UPRAVLJANJE ZNANJEM :KLJUČNI INDIKATORI IZVRŠENJA: UPRAVLJANJE ZNANJEM :
•• 1. O1. Operativna znanjaperativna znanja ((uključujući i trening u oblasti)uključujući i trening u oblasti):: broj inicijativa / principa uvedenih u radnu kulturu, odaziv osoblja na nova znanja kocepte / inicijative.
•• 2. 2. Upravljanje znanjemUpravljanje znanjem –– korištenje znanja (uključujući i alate):korištenje znanja (uključujući i alate): indeks korištenja znanja, povratne informacije o zahtjevanim znanjima, broj uspješnih primera korištenja znanja.
•• 3. 3. Upravljanje sadrţajem:Upravljanje sadrţajem: voĎenje evidencija o identificiranim nedostacima u znanju i poduzetim aktivnostima.
•• 4. 4. Strategija upravljanja znanjem:Strategija upravljanja znanjem: izvršeni u odnosu na predložene ciljeve.
INDIKATORIINDIKATORI
•• KLJUČNI INDIKATORI IZVRŠENJA: KLIJENTIKLJUČNI INDIKATORI IZVRŠENJA: KLIJENTI•• 11.. ZadovoljstvoZadovoljstvo klijenataklijenata:: broj problema koji zahtjevaju neodložnu akciju;
razina zadovoljstva klijenata.
•• 22.. InteraktivniInteraktivni odnosodnos sasa klijentimaklijentima:: klijenti koji nisu posjećeni odreĎenivremenski period; značajni problemi koji zahtjevaju follow up; broj ad-hocslučajeva u kojima klijenti traže savjete od revizije.
•• 33.. StrategijaStrategija odnosaodnosa sasa klijentimaklijentima:: razina zadovoljstva klijenata uusporedbi sa planom i prethodnom godinom; razina “educiranja klijenata”/“reklamiranja interne revizije klijentima”.
•• OSIGURANJEOSIGURANJE KVALITETKVALITETEE::•• 11.. OslanjanjeOslanjanje drugihdrugih stranastrana nana IRIR ii oslanjanjeoslanjanje IRIR:: broj revizija na koje se
nije oslonila vanjska revizija; smanjenje časova rada eksterne revizije nazasnovano na oslanjanju na unutarnju reviziju; stupanj oslanjanja IR nadruge pružatelje usluga uvjeravanja.
•• 22.. SuskladnostSuskladnost sasa standardimastandardima IIAIIA:: rezultati interne procjene kvalitete(svakih 6 mesci ili jednom u godini); rezultati neovisnog pregleda – procjenekvalitete svakih 5 godina.
•• 33.. UpravljanjeUpravljanje kvalitetomkvalitetom:: broj završenih revizija (izdati konačni izveštaji)prije kojih nisu sačinjene i ovjerene ček liste procjene kvalitete; razinazadovoljstva klijenata (povratne informacije); pravovremenost slanja formiza dobivanje povratnih informacija od klijenata; rezultati interne procjenekvalitete i rezultati eksterne procjene kvalitete.
Alati korišteni za nadzor izvršenja i procjenu kvalitete
The Institute of Internal Auditors’ (IIA’s) Global Audit Information Network (GAIN) KNOWLEDGE REPORT - MEASURING INTERNAL AUDIT PERFORMANCE -
September 2009
Alati za kontinuiranu internu procjenu
The Institute of Internal Auditors’ (IIA’s) Global Audit Information Network (GAIN) KNOWLEDGE REPORT - MEASURING INTERNAL AUDIT PERFORMANCE -
September 2009
METODI – PROCES REVIZIJE I ZADOVOLJSTVO INTERESNIH STRANA
The Institute of Internal Auditors’ (IIA’s) Global Audit Information Network (GAIN) KNOWLEDGE REPORT - MEASURING INTERNAL AUDIT PERFORMANCE -
September 2009
METODI – sposobnost i inovacije i druge mjere izvršenja
The Institute of Internal Auditors’ (IIA’s) Global Audit Information Network (GAIN) KNOWLEDGE REPORT - MEASURING INTERNAL AUDIT PERFORMANCE -
September 2009
Benčmarking
•• BenčmarkingBenčmarking
•• ŠtoŠto jeje GAIN?GAIN? -- GAINGAIN jeje globalnaglobalna revizijskarevizijska informacijskainformacijska mrežamreža -- GlobalGlobal AuditAuditInformationInformation Network,Network, toto jeje glavniglavni benčmarkingbenčmarking programprogram InstitutaInstituta unutarnjihunutarnjihrevizorarevizora –– TheThe IIAIIA.. GAINGAIN omogućavaomogućava dada sese učiuči nana osnovuosnovu izazovaizazova ii rješenjarješenjasrodnihsrodnih aktivnosti,aktivnosti, dada sese doĎedoĎe dodo vodećihvodećih praksipraksi onihonih kojikoji susu uu vvrrhu,hu, dada sesepovećapoveća operativnaoperativna efikasnostefikasnost ii efektivnostefektivnost.. InterniInterni revizorirevizori imajuimaju dugudugu tradicijutradiciju uuprimjeniprimjeni prakseprakse:: napredaknapredak krozkroz razmjenurazmjenu.. GAINGAIN--ovaova godišnjagodišnja benčmarkingbenčmarkingstudijastudija jeje sveobuhvatnasveobuhvatna godišnjagodišnja studijastudija kojakoja omogućujeomogućuje organizacijamaorganizacijama dadasvojesvoje aktivnostiaktivnosti interneinterne revizijerevizije lako,lako, dostupnodostupno ii transparentnotransparentno poredeporede sasadrugimadrugima.. GAINGAIN omogućomogućujeuje dada svojusvoju funkcijufunkciju revizijerevizije ii njenunjenu veličinu,veličinu, iskustvoiskustvo iiizvršenjeizvršenje usporeĎujeteusporeĎujete ss prosprosjjecimaecima uu sličnimsličnim organizacijamaorganizacijama ii skupinamaskupinama sličnihsličnihaktivnostiaktivnosti kojekoje steste odabraliodabrali.. MjereMjere uključujuuključuju:: statistike,statistike, mjerenjemjerenje uu područjupodručjustručnogstručnog usavršavanja,usavršavanja, troškova,troškova, nadzora,nadzora, pitanjapitanja vezanihvezanih zaza odborodbor zaza reviziju,reviziju,trajanjatrajanja revizija,revizija, mmjjeraera izvršenja,izvršenja, planiranjaplaniranja.. CCjjeneene sese krekrećuću odod 149149$$ dodo 455455$$..
•• httphttp:://www//www..theiiatheiia..org/guidance/benchmarking/gain/org/guidance/benchmarking/gain/
Što je Balanced Scorecard?
•• TerminTermin:: sredstvo i okvir za evaluaciju izbalansirane kombinacijefaktora koji utječu na performanse firme.
•• DefinicijaDefinicija:: Povezivanje poslovnih aktivnosti s vizijom i strategijomorganizacije, unapreĎenje interne i eksterne komunikacije i praćenjeperformansi firme prema strateškim ciljevima. Sve je povezano.
•• UlogaUloga:: specificira kriterijume za mjerenje performansi organizacije.
•• KljučneKljučne osobineosobine okviraokvira susu::
• mjere izvršenja voĎene ciljevima interne revizije,
• postojanje meĎusobne povezanosti mjera meĎu kategorijamaizvršenja,
• ponašanja voĎena merama.
Balanced Scorecard
•• KljučniKljučni indikatoriindikatori izvršenjaizvršenja –– VodećeVodeće prakseprakse članovačlanova IIAIIA
• Iako je koncept balanced scorecard stariji od jednog desetleća njegovalogička pretpostavka opstaje: OnoOno štošto sese mjerimjeri bivabiva izvršenoizvršeno..
•• KorištenjeKorištenje BalancedBalanced ScorecardScorecard..
•• BBalancedalanced SScorecardcorecard moţemoţe pomoćipomoći rukovodiocurukovodiocu interneinterne revizijerevizijeodreditiodrediti dada lili aktivnostaktivnost interneinterne revizijerevizije dodajedodaje vrednostvrednost organizacijiorganizaciji iidoprinosidoprinosi općemopćem izvršenjuizvršenju organizacijeorganizacije..
• Prije upotrebe Balanced Scorecard rukovodilac revizije treba:
• identificirati i dokumentirati Balanced Scorecard kategorije mjera izvršenja,
• identificirati ciljeve svake od tih kategorija i njihove mjere,
• osigurati da odbor organizacije i odbor za reviziju razumiju čitavu BalancedScorecard metodologiju.
• Onaj ko rukovodi revizijom dalje treba osigurati prihvat projekta od straneodbora za reviziju, odrediti alate koji će biti korišteni za automatizacijuupravljanja procesom izvršenja i odabrati alate koji najviše odgovarajupotrebama i budžetu konkretne interne revizije, da uključi i koristitehnologiju kako bi olakšao proces implementacije. Alati koje koriste članoviIIA uključuju Dashboard aplikacije koje daju bolji pregled izvršenja aktivnostiinterne revizije.
Balanced Scorecard za internu reviziju
Balanced Scorecard
Balanced Scorecard -- Pitanja na koja treba odgovoriti u
vezi s mjerama
Relevantnost Da li je izabrani element izvršenja relevantan za
odreĎenu dimenziju efektivnosti interne revizije?
Značaj Od kojeg je to značaja za efektivnost interne revizije?
Da li odgovara
interesnim stranama
Kojim potrebama interesnih strana se bave konkretne
mjere?
Mogućnost mjerenja Kako će se osigurati konzistentnost podataka i
prikupljanje podataka?
Koliko je lako locirati i prikupiti podatke o izvršenju?
Kako podaci mogu biti procjenjivani dovoljno često da
se na osnovu njih moţe delati?
Troškovna
efektivnost
Koliki su troškovi mjerenja i da li su oni opravdani?
Utjecaj na ponašanje Da li će odabrani element za mjerenje voditi ka
nefunkcionalnom ponašanjima ili će promovisati ţeljena
ponašanja?
Interpretacija Da li postoji prostor za nejasnoće kod tumačenja
rezultata?
Utjecaj na
poboljšanja
Kako će se rezultati koristiti za poboljšanje efektivnosti?
Balanced Scorecard -- Primer kategorija, ciljeva, mjera
Kategorija
izvršenja
Ciljevi Mjere
Odbor za
reviziju
Osiguravanje da se
poslovnim rizicima upravlja.
Izdavanje sumarnog mišljenja
funkcije interne revizije o
upravljanju rizicima.
Rizični incidenti i dogaĎaji koji nisu
izazvali negativne efekte ali su imali
potencijal da se to dogodi u
usporedbi sa izvešćima interne
revizije.
Rukovodstvo i
klijenti
Osiguravanje da se
fukcionalnim rizicima
upravlja.
Izdavanje mišljenja interne revizije o
upravljanju rizicima od strane
rukovodstva.
ViĎenje klijenata o efektivnosti
Poboljšanja koja su nastala,
ubrzana revizorskim radom.
Proces interne
revizije
Izvršenje planova koje je
pravovremeno i u okviru
budţeta.
Završena angaţovanja u odnosu na
planirana angaţovanja.
Odstupanja od budţeta.
Inovacije i
sposobnosti
Primjena na riziku
utemeljene metodologije
interne revizije.
Dostizanje ciljeva projektnog plana – plana
revizija
Učenje Podizanje veština revizora. Postotak revizora koji imaju IIA
kvalifikacije.
Balanced Scorecard interne revizije
Faze periodične interne procjene kvalitete
Interna ocena kvaliteta ima sve faze koje uobičajeno postoje kod revizija
PERIODIČNI PREGLED:
•• PeriodičniPeriodični interniinterni pregledpregled trebatreba imatiimati definiranedefinirane
proceduralneproceduralne korakekorake::
•• Odlučivanje o učestalostiOdlučivanje o učestalosti
•• Odabir revizorskog timaOdabir revizorskog tima
•• PrPripremu programa revizije i ipremu programa revizije i checklistchecklist--aa
•• PProvorovoĎĎenjeenje ankete o zadovoljstvu klijenataankete o zadovoljstvu klijenata
•• Ustanovljavanje karakteristika i sadrţine izvještajaUstanovljavanje karakteristika i sadrţine izvještaja
•• Izvršavanje pregledaIzvršavanje pregleda
•• Izvještavanje i Izvještavanje i followfollow--upup
Eksterna procjena kvalitete
•• ZbogZbog čegačega sese vršivrši eksternaeksterna procjenaprocjena kvalitetekvalitete??
•• KakoKako bibi sese obezbedilaobezbedila neovisnaneovisna procjenaprocjena ii sagledalosagledalo stanjestanje iidobilidobili odgovoriodgovori nana pitanjapitanja::
–– DDaa lili radimoradimo suskladnosuskladno standardimastandardima profesijeprofesije??
–– MoţeMoţe lili sese neštonešto unaprijeditiunaprijediti??
–– MoţeMoţe lili sese datidati viševiše??
–– DaDa lili sese dobivadobiva maksimummaksimum vrjednostivrjednosti zaza svakisvaki dinardinar troškatroška??
–– MoţemoMoţemo lili dodatidodati viševiše vrjednostivrjednosti rukovodstvurukovodstvu ii odboruodboru zaza revizijureviziju??
–– MoţemoMoţemo lili poboljštipoboljšti svojsvoj imidţ,imidţ, percepcijupercepciju ii kredibilitetkredibilitet uuorganizacijiorganizaciji??
–– TekTek kadakada uspješnouspješno proĎemoproĎemo eksternueksternu procjenuprocjenu kvalitetekvalitetedozvoljenadozvoljena namnam jeje upotrebaupotreba navodanavoda “U“U skladuskladu sasa MeĎunarodnimMeĎunarodnimstandardimastandardima zaza profesionalnuprofesionalnu praksupraksu interneinterne revizije”revizije” (S(S.. 13211321))..KadaKada neusklaĎenostneusklaĎenost utičeutiče nana delokrugdelokrug iliili poslovanjeposlovanje IR,IR,rukovodilacrukovodilac jeje duţanduţan dada neusklaĎenostneusklaĎenost ii efekteefekte obelodaniobelodani višemvišemrukovodstvurukovodstvu ii odboruodboru (S(S.. 13221322))..
–– EksternaEksterna procjenaprocjena kvalitetekvalitete pomaţepomaţe stvaranjustvaranju slikeslike interneinterne revizijerevizijekojakoja jeje posvećenaposvećena kvalitetikvaliteti ii profesionalizmuprofesionalizmu ii promovirapromovirakrediblnostkrediblnost funkcijefunkcije interneinterne revizijerevizije..
Eksterna procjena kvalitete
• Eksterne procjene moraju biti vršene najmanje jednom svakih pet godina odstrane neovisnog procjenitelja ili tima procjenitelja izvan organizacije, koji jekvalificiran za prakse interne revizije i za proces procjene kvalitete.
• Postoje dva pristupa vršenju eksternih procjena:
• Puna eksterna procjena uključuje korištenje kvalificiranog, neovisnogprocjenitelja ili tima procjenitelja za vršenje pune procjene.
• Samo-procjena sa neovisnom (eksternom) validacijom uključuje kvalificiranog,neovisnog procjenitelja ili tima procjenitelja za vršenje neovisne validacijesamo-procjene koju je obavila sama unutarnja revizija.
• Peer Review –
angaţmani kolegijalnih pregleda
mogu obezbediti troškovno
- efektivan pristup za ispunjenje
zahtjeva standarda 1312.
Oni prije svega moraju
zadovoljiti zahtjeve neovisnosti
i kriterije koji se odnose
na kvalifikacije procjenitelja
koji su specificirani standardom.
Posvećenost kvaliteti i profesionalizmu
•• Posvećenost kvalitetPosvećenost kvalitetii
i profesionalizmu je karakteristika i profesionalizmu je karakteristika
uspuspjješne ešne interneinterne revizije. revizije.
Primjena Direktive Solvency II
i pitanja uspostave adekvatnih
sustava upravljanja temeljenih
na rizicima
Primjena Direktive Solvency II
i pitanja uspostave adekvatnih
sustava upravljanja temeljenih
na rizicima
Ljiljana Orlovac
HANFA
Ljiljana Orlovac
HANFA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA KSEKCIJA K–– Banke i financijske institucijeBanke i financijske institucije
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
• projekt pokrenut prije više od deset godina
• uvodi nova pravila regulatornog okvira
• revidiraju se dosadašnji kapitalni zahtjevi na osnovu
profila rizičnosti
• uvode nova čvršća pravila za adekvatnost kapitala
• uvode nova pravila upravljanja rizicima u načinu
upravljanja društva
• nadzor temeljen na rizicima
• novi način izvještavanja i objave
• zaštita prava osiguranika
• potrebni kapital bi trebao biti pokriven vlastitim
sredstvima bez obzira jesu li ta sredstva bilančne ili
izvanbilančne stavke
Solvency II
Direktiva 2009/138/EC Europskog parlamenta i Vijeća od 25.
studenog 2009. godine o osnivanju i obavljanju djelatnosti
osiguranja i reosiguranja (Solvency II)
Direktiva 2012/23/EU Europskog parlamenta i Vijeća od 12. rujna
2012.
• službena primjena 1. siječnja 2014.
• transponiranje odredbi Direktive 30. lipnja 2013.
• Direktiva Omnibus II
Proces uvođenja Solvency II provodi se kroz četiri
razine tzv. Lamfalussyjev-og procesa usvajanja
• 1. razina – Direktiva Solvency II
• 2. razina – provedbene mjere
• 3. razina – smjernice nadzora
• 4. razina - provedba
Solvency II
Three pillar approach - „tri stupa”
Prvi stup – osiguranje adekvatnih financijskih resursa- kvantitativni zahtjevi, vlastita
sredstva, izračun tehničkih pričuva, vrednovanje imovine i obveza te izračun potrebnog
solventnog kapitala i minimalnog potrebnog kapitala.
Drugi stup – primjena odgovarajuće sustava upravljanja koji obuhvaća
kvalitativne zahtjeve sustava upravljanja, ključne funkcije sustava
upravljanja, provedbu vlastite procjene rizika i solventnosti te proces
nadzora temeljen na rizicima
Treći stup – izvještavanje nadzornog tijela, javna objava i
tržišna disciplina
Solvency II
Organizacija – princip
proporcionalnosti
svako društvo može organizirati
sustav po vlastitom principu
mogućnost zaposlenja vlastitih djelatnika koji se
mogu oslanjati na savjete vanjskih stručnjaka ili se
istima zadaće eksternaliziraju
potrebno osigurati da svi djelatnici društva
budu upoznati sa procedurama
Društva za osiguranje i društva za reosiguranje poduzimaju razumne mjere radi
osiguranja kontinuiranog i redovitog obavljanja svojih djelatnosti uključujući stvaranje
planova za slučaj nepredviđenih okolnosti
Sustav upravljanja
Sustav upravljanja
rizicima pokriva
sljedeća područja:
a) preuzimanje rizika i formiranje pričuva;
b) upravljanje imovinom i obvezama;
c) ulaganja, posebno izvedenice i slične obveze;
d) likvidnost i upravljanje rizicima koncentracije;
e) upravljanje operativnim rizikom;
f) reosiguranje i druge tehnike smanjenja rizika
Za djelomičan ili potpuni interni model i dodatno: oblikovanje i provedbu;
testiranje i vrednovanje, dokumentiranje, analiziranje rezultata internog
modela te informiranje upravnog, upravljačkog ili nadzornog tijela o
rezultatima internog modela, ukazivanje na potrebna poboljšanja i
obavještavanje o statusu napora za utvrđivanje slabosti
Društva za osiguranje i društva za reosiguranje moraju imati uspostavljen sustav upravljanja rizicima koji
obuhvaća strategije, procese i postupke izvješćivanja koji su potrebni za utvrđivanje, mjerenje i praćenje rizika,
upravljanje rizicima i kontinuirano izvješćivanje, na pojedinačnoj i grupnoj osnovi, o rizicima kojima su izložena
ili bi mogla biti izložena te o međusobnoj ovisnosti tih rizika
Sustav upravljanja rizicima
• ukupne potrebe solventnosti uzimajući u obzir
specifični profil rizika, odobrena ograničenja
dozvoljenih rizika te poslovnu strategiju
društva
• usklađenost na kontinuiranoj osnovi s
kapitalnim potrebama te zahtjevima o
tehničkim pričuvama
• značaj u kojem profil rizika odstupa od
pretpostavki na kojima se temelji potrebni
solventni kapital izračunat prema standardnoj
formuli ili djelomičnom odnosno potpunom
internom modelu
U sklopu sustava
upravljanja rizicima društvo
obavlja vlastitu procjenu
rizika i solventnosti
(ORSA) koja obuhvaća
najmanje:
Vlastita procjena rizika i solventnosti
Unutarnji nadzor uključuje:
• najmanje upravne i računovodstvene postupke, okvir
unutarnjeg nadzora, primjerene sustave izvješćivanja na svim
razinama društva te funkciju praćenja usklađenosti
Funkcija praćenja usklađenosti
• savjetovanje upravnog,
upravljačkog ili nadzornog tijela
o usklađenosti sa zakonima i
drugim propisima. Ona uključuje
i procjenu mogućeg učinka bilo
kojih promjena u pravnom
okružju na poslovanje
predmetnog društva te
utvrđivanje i procjenu rizika
usklađenosti
Rizik neusklađenosti je rizik
pravnih i regulatornih sankcija,
materijalni financijski gubitak ili
gubitak reputacijskog rizika kojem je
izloženo društvo u slučaju ne
usklađivanja sa zakonima i drugim
propisima koji se primjenjuju za
djelatnost osiguranja
Sustav unutarnjeg nadzora
Društva za osiguranje i društva za
reosiguranje moraju imati uspostavljenu
djelotvornu funkciju interne revizije
Funkcija interne revizije uključuje
vrednovanje primjerenosti i
djelotvornosti sustava unutarnjeg
nadzora (kontrole) i drugih
elemenata sustava upravljanja,
objektivna je i neovisna o funkciji
poslovanja
O svim nalazima i preporukama
interne revizije obavještava se
upravno, upravljačko ili nadzorno
tijelo koje određuje mjere koje
treba poduzeti s obzirom na
svaki nalaz i preporuku interne
revizije i osigurava provedbu tih
mjera
Interna revizija
• koordinira izračun tehničkih pričuva
• osigurava primjerenost metodologija i odnosnih modela
kao i pretpostavki na kojima se temelji izračun tehničkih
pričuva
• procjenjuje dostatnost i kvalitetu podataka koji se
upotrebljavaju u izračunu tehničkih pričuva
• uspoređuje najbolje procjene s iskustvom
• obavještava upravno, upravljačko ili nadzorno tijelo o
pouzdanosti i primjerenosti izračuna tehničkih pričuva
• nadzire izračun tehničkih pričuva
• iskazuje mišljenje o ukupnoj politici preuzimanja rizika
• iskazuje mišljenje o primjerenosti aranžmana reosiguranja
• pridonosi djelotvornoj provedbi sustava upravljanja
rizicima posebno s obzirom na modeliranje rizika na
kojemu se temelji izračun kapitalnih potreba
Društva za osiguranje i
društva za reosiguranje
osiguravaju djelotvornu
aktuarsku funkciju koja:
Aktuarska funkcija
• Eksternalizacija ključnih ili važnih poslovnih funkcija
odnosno djelatnosti ne može se odvijati na način koji bi
mogao dovesti do:
• značajnog pogoršanja kvalitete sustava upravljanja
društva
• neopravdanog povećanja operativnog rizika
• smanjenja sposobnosti nadzornog tijela da prate
usklađenost društva s njegovim obvezama
• ugrožavanja kontinuirane i zadovoljavajuće usluge
osiguranicima
• Društva za pravodobno obavještavaju nadzorno tijelo prije
eksternalizacije ključnih ili važnih funkcija odnosno
djelatnosti kao i o svim naknadnim značajnim promjenama
s obzirom na te funkcije ili djelatnosti osiguranje i društva
za reosiguranje
Društva za osiguranje i
društva za reosiguranje
moraju biti odgovorna za
ispunjavanje svih svojih
obveza u slučaju
eksternalizacije funkcije ili
bilo koje djelatnosti
osiguranja ili reosiguranja
Eksternalizacija
Komisija će donijeti provedbene mjere kojima će se pobliže odrediti među ostalim i:
a) elementi sustava upravljanja, upravljanja rizicima, unutarnjeg nadzora
(kontrole) i interne revizije
b) funkcije upravljanja rizicima, funkcije praćenja usklađenosti,
funkcije interne revizije i aktuarske funkcije
c) zahtjeve u vezi primjerenosti i prikladnosti osoba koje djelotvorno vode
društvo ili imaju druge ključne funkcije i funkcije na koje se ti zahtjevi
odnose
d) uvjete pod kojima se može obaviti eksternalizacija
Provedbene mjere
13
Zahvaljujem na pažnji!
“Smart Control” okvir
Pregled kontrola u cilju
sniženja troškova, povećanja
prihoda i očuvanja stabilnog
poslovanja
“Smart Control” okvir
Pregled kontrola u cilju
sniženja troškova, povećanja
prihoda i očuvanja stabilnog
poslovanja
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA HIIR5. MEĐUNARODNA KONFERENCIJA HIIR--A A SEKCIJA L SEKCIJA L –– KKorporativno upravljanje, rizici i complianceorporativno upravljanje, rizici i compliance
―Očekivanja od interne ―Očekivanja od interne revizije ulaskom u revizije ulaskom u EU‖, Zadar 11.EU‖, Zadar 11.––13. 13. travnja travnja 2013.2013.
Ana Gospodinović
Ernst&Young d.o.o.
“Smart Control” okvir
Sadržaj
„ Praćenje tržišta
„ ―Smart Control‖ – okvir za promjene
„ Sadašnje stanje kontrolnog okruženja
„ E&Y-ov ―Smart control‖ okvir
„ Analiza rizika i troškova (RiCAPTM)
Sljedeći koraci
Poslovni subjekti koji povezuju upravljanje
rizicima sa strategijom čuvaju i povećavaju
dodanu vrijednost dioničarima
„ Najuspješnije kompanije prihvatile u prosjeku dva puta više ključnih rizika u odnosu na one koje ostvaruju najlošije rezultate
„ Subjekti unutar najvećih 20%, koji imaju razvijeni sustav upravljanja rizicima, ostvarili su četiri puta veću razinu EBITDA u odnosu na one svrstane ispod 20%
„ Financijska uspješnost je u visokoj korelaciji sa stupnjem integriranja i koordinacije unutar funkcija upravljanja rizicima, kontrolama i compliance-om.
„ Učinkovitost usmjerene tehnologije koja podržava upravljanje rizicima je najveća slabost/mogućnost za većinu organizacija
Source: Turning risk into results, Ernst & Young study, 2012
2
Praćenje tržišta
Zajednički trendovi rizika i kontrola
Niže navedeni su uočeni trendovi povezani s kontrolama kod velikih multinacionalnih kompanija:
„ Poslovni subjekti troše povećana sredstva na uspostavljanje kontrola bez stvarne mogućnosti utemeljenog mjerenja ostvarenih pozitivnih ili negativnih učinaka na povrat ulaganja
„ Budući da su poslovni subjekti uložili značajna sredstva na uspostavljanje kontrola kao odgovor na sve veći opseg regulatornih zahtjeva tijekom godina, akumulirali su razine nepotrebnih, prekomjernih, neučinkovitih i krivih kontrola
„ Poslovni subjekti su razvili složene, duplicirane, ručne kontrolne sustave nepovezane s poslovnim procesima,
„ ERP sustavi su uobičajeno nedovoljno upotrebljavani
„ Poslovni subjekti su potvrdili nedostatak transparentnosti i povjerenja u učinkovitost kontrola
„ Inicijative poput transformacija procesa, migracija u zajedničke servisne centre, programa rezanja troškova poduzeća, ili M&A transakcije (spajanja, pripajanja i stjecanja) često mijenjaju profil rizika organizacije, uključujući prihvaćanje rizika, njegovu vjerojatnost i utjecaj, a kontrole se ne usklađuju s novim strateškim ciljevima organizacije
Iskustvo EY-a ukazuje na činjenicu da se do 30% troškova vezanih uz procese odnosi na kontrolne aktivnosti. Ipak, kontrolno okruženje nije prilagođeno za podržavanje učinkovite strategije rasta.
Zajednički trendovi: utjecaj i dokazi
Poslovni subjekti imaju prekomjerne kontrole nad financijskim i rizikom compliance-a
– 62% globalnih društava izvijestilo je o nastanku rizičnih dogaĎaja koji su bili
nefinancijski; više od polovice nije bilo pripremljeno za njih
– Ernst & Young-ovo istraživanje o SOX–u iz 2011. godine otkrilo je da je 58% izvršnih
direktora smatralo trošak i uloženi napor potreban za sprječavanje financijskog rizika
izazovom; prosječan trošak za primjenu SOX-a bio je 2,8 milijuna US$ godišnje
Poslovni subjekti nisu u cijelosti iskoristili moć automatiziranih kontrola
– Više od jednog unutar pet poslovnih subjekata (22%) ne iskorištavaju moć
automatiziranih alata za korporativno upravljanje, upravljanje rizicima i compliance-
om (GRC) te se oslanjaju samo na ručne napore
– Četiri od 10 poslovnih subjekata navode kako je potrošeno previše radnog vremena
na upravljanje IT rizicima, ali je samo 14% ispitanika navelo da je 51% i više njihovih
GRC kontrola automatizirano
Poslovni subjekti ograničeno koriste stalno praćenje i analizu podataka (data analytics)
– Prioritet za 83% srednje velikih direktora IT-a je poboljšanje mogućnosti izvlačenja
podataka za prosuĎivanje (donošenje odluka) iz “velike slike”; poslovna ili analiza
podataka je ključna potreba koja pomaže poslovnim subjektima u borbi s tekućim
priljevima podataka “ tsunami podataka”.
– Najuspješniji poslovni subjekti koriste analizu podataka pet puta više nego manje
uspješni poslovni subjekti; vodeći poslovni subjekti duplo više koriste analitiku za
voĎenje buduće strategije te za voĎenje dnevnog poslovanja nego manje uspješni
subjekti.
Kontrole nisu potpuno usklaĎene s povezanim rizicima
– Studija koju je proveo Economist Intelligence Unit utvrdila je da je polovica ispitanika
imala propuste u pokrivenosti praćenja rizika - iako je većina imala sedam ili više
rizika i kontrolnih funkcija unutar poslovnog subjekta
– Samo 55% ispitanika planira koristiti metodologiju upravljanja rizicima kad
poboljšavaju ERP sustav
Poslovni subjekti koji usklađuju upravljanje rizicima sa strategijom povećavaju dodanu vrijednost ulagačima„ Najuspješnije kompanije prihvatile su u prosjeku dva
puta više ključnih rizika u odnosu na one koje ostvaruju najlošije rezultate
„ Subjekti koji imaju razvijeni sustav upravljanja rizicima ostvarili su četiri puta veću razinu EBITDA u odnosu na one slabijeg upravljačkog sustava
„ Financijska uspješnost je u visokoj korelaciji sa stupnjem integriranja i koordinacije unutar funkcija upravljanja rizicima, kontrolama i compliance-om.
„ Učinkovitost usmjerene tehnologije koja podržava upravljanje rizicima je najveća slabost/mogućnost za većinu organizacija
―Smart Control‖ – Okvir za promjene
Ernst & Young je razvio pristup - Smart Control koji pomaže poslovnim subjektima ostvariti smanjenje troškova kontrola, omogućiti rast i zadržati sigurnost poslovanja.
Smart Control
Poboljšanje poslovanjaUsklaĎivanje sa
strategijom
Poboljšati razinu
osviještenosti o
rizicima i
compliance-u
Ubrzati obavljanje
procesaSmanjenje
troškova
Ključni pokretači vrijednostiUsklaĎivanje sa strategijom
► Usklađivanje rizika sa strateškim i poslovnim ciljevima
► Mapiranje kontrola za strateške, operativne, financijske i compliance
rizike
Smanjenje troškova
► Usmjerenost na povećanje marže usmjerenošću na rizike koji su od
značaja
► Smanjenje troškova kontrola optimiziranjem, standardiziranjem i
automatiziranjem
UnaprjeĎenje razine osviještenosti o rizicima i compliance-u
► Poboljšati osviještenost o rizicima operacionaliziranjem upravljanja
rizicima
Ubrzavanje obavljanja procesa
► Učiniti procese primjerenima i održivima za upravljanje promijenjenim
rizicima
► Usmjeriti kontrole radi bržeg donošenja odluka
► Oblikovati kontrole radi proaktivnog određivanja novih rizika
povezanih ili usklađenih s glavnim inicijativama poslovnog subjekta
Poboljšanje poslovanja
► Unaprijediti scalability — odgovoriti usponima i padovima
► Smanjiti vrijeme pristupa tržištu- povećati razvijenost procesa i kontrola
“Smart Control” okvir
Promjene modela kontrola smanjuju trošak izvršenja, mijenjaju kombinaciju vrsta kontrola i povećavaju cjelokupnu vrijednosti kontrolnih aktivnosti
Ostvarivanje koristi od “Smart control” pristupa
Utjecaj “Vrijednosti” aktivnosti na poslovanje -
dodaje ili štiti
Sadašnja stanje Buduće stanje
Smanjenje troškova kontrola
Usmjeravanje resursa na različite komponente procesa
Kontrolni servisni centar„ Prevladavajuće (općenite) kontrole„ Pokriva široki raspon kontrola i lokacija„ Ojačava automatiziranje i stupnjevanje„ Objedinjuje kontrolne operativne rizike„ Povećava razdvajanje dužnosti
Nadzor i analiza„ Osnažuje analizu podataka za nadzor kontrolu„ Kontrole veće razine/(iznad transakcija)„ Ojačava postojeće aktivnosti uprave
Automatizirane kontrole„ Ugrađene u ERP sustav„ IT-ovisne (izuzeci i tiskanje izvješća)„ Zahtijevaju mali ili ne zahtijevaju nikakav ljudski rad
Kontrole transakcija
„ Kontrole uspostavljene na regionalnoj ili na posebnim
lokacijama
„ Zahtijevaju značajan ljudski rad
„ Uspostavljene na razini transakcija
Ujednačena kontrolna
kombinacija
Smart Control
Promj
ena k
ontro
la
Kontr
oln
e a
ktivnosti
Sadašnje stanje kontrolnog okruženja
Obilježja vašeg kontrolnog okruženja
Obilježja vašeg kontrolnog okruženja
Ocjena
1 – Uopće se ne slažem
5 – Potpuno se slažem
1 2 3 4 5
Trošak kontrole
Iznos potrošen na oblikovanje, izvršenje i nadzor nad kontrolom je vidljiv
Kontrole su usklađene s prihvaćanjem rizika
Automatizirane kontrole su u cijelosti djelotvorne, obuhvaćene, ugrađene, moćne
Kontrole sprječavanja i otkrivanja su razumno usklađene
Vlasništvo (odgovornost) nad svakom kontrolom je utvrđeno
Kontrole su standardizirane unutar svih poslovnih jedinica
Upravljačke i kontrole nadzora postoje i pouzdane su
Prekomjerne kontrole su zanemarive
Odgovornost za rizike
Uprava i izvršna uprava sastavljeni su na način koji osigurava učinkovit pregled i upravljanje
rizicima
Komunikacija zainteresiranim stranama je dosljedna i učinkovita
Dodjeljivanje odgovornosti za rizike i kontrolne aktivnosti je pravodobno i dosljedno
Organizacija je učinkovita u pogledu unapređivanja tehnologije
Pitanja ocijenjena ispod 3 (slažem se) mogu biti znak potrebe poboljšanja kako bi se potvrdilo da je kontrolno okruženje dobro oblikovano, dobro se razumije i
učinkovito je. Najbolja kontrolna okruženja potvrđuju suglasnost sa svakim elementom prikazanim u ovom upitniku.
Obilježja vašeg kontrolnog okruženja
Obilježja vašeg kontrolnog okruženja
Ocjena
1 – Uopće se ne slažem
5 – Potpuno se slažem
1 2 3 4 5
Izvršenje procesa
Interne kontrole čine izvršenje procesa učinkovitijim
Mjerenje i izvješćivanje koriste se za praćenje učinkovitosti procesa
Procesi i inicijative izravno potkrepljuju strateške ciljeve
Procesi su standardizirani unutar poslovanja
Politike i operativni postupci se periodično pregledavaju i poboljšavaju
Izvori i znanja i vještine su dovoljni kao podrška ciljevima procesa
Informatička tehnologija koristi se za povećanje učinkovitosti procesa
Odgovornost za strategiju
Preuzeti rizici usklađeni su s poslovnom strategijom i ciljevima
Aktivnosti upravljanja rizicima integrirani su s planom i izvršenjem
Vaša prihvatljiva razina rizika je utvrđena i obznanjena
Promjena uprave se bilježi i uzima u obzir kao potpora novim strategijama
Plan upravljanja rizicima Vašeg poslovnog subjekta je čvrst i potpuno i jasno obznanjen unutar
organizacije
Mjerenja i izvješćivanje koriste se za praćenje strateških inicijativa
Strateški plan i inicijative se dokumentiraju i obznanjuju unutar organizacije
Pitanja ocijenjena ispod 3 (slažem se) mogu biti znak potrebe poboljšanja kako bi se potvrdilo da je kontrolno okruženje dobro oblikovano, dobro se razumije i učinkovito je. Najbolja kontrolna okruženja potvrđuju suglasnost sa svakim elementom prikazanim u ovom upitniku.
E&Y-ov ―Smart control‖ pristup
Naš pristup “Smart control”
Ernst & Young-ov pristup ―Smart control‖ je dobro oblikovan radni plan koji ojačava normativne procese i kontrolne
modele te analizu podataka u cilju pomoći klijentima oko pripreme poslovnog slučaja i primjene plana za promjenu
kontrola
3 Ojačati postojeća ili uložiti u nova tehnološka pomagala
2 Izrada “ na nuli temeljenog” kontrolnog okvira
Razvoj strategije Oblikovanje i izrada Provođenje u praksi
1 4Razumijevanje prilika Ugraditi učinkovit i održiv
poslovni model niskih troškova
„ Stvoriti jasnoću, usklađenost i predanost poslu„ Razumjeti sadašnje stanje kontrolnog okruženja
uključujući vještinu funkcija upravljanja rizicima„ Razumjeti pokretače kontrole troškova i usporediti s
najboljim praksama„ Uskladiti poslovni slučaj s cjelokupnom strategijom
poslovnog subjekta
„ Izraditi poslovni slučaj i izvršiti plan„ Oblikovati “na nuli temeljen” kontrolni okvir
usklađen s ciljevima procesa„ Ocijeniti tehnološka pomagala i integriranje u
postojeću tehnološku infrastrukturu
„ Razviti funkcionalni operativni model„ Izvršiti nove kontrolne mogućnosti primjenom
troškovno učinkovitog operativnog modela„ Dokumentirati prepravljeni kontrolni model„ Izvršiti, nadgledati i popraviti nove kontrole„ Izračunati povrat ulaganja
“Na nuli temeljen” kontrolni okvir ‟ jedan, globalni, usmjereni set kontrola prilagođenih rizicima koji su od značaja, poboljšavajući tehnologiju i primjenjujući stalne mogućnosti nadzora
“Smart cntrol” – pristup u četiri koraka
Ključni koraci Ernst & Young-ova uloga
1. Razumjeti
mogućnosti
„ Povezati interesne skupine unutar organizacije – stvoriti i
obznaniti razumijevanje mogućnosti
„ Usporediti izvršenje s predloženim modelom Ernst & Young-a
„ Procijeniti usklađenost procesnih i kontrolnih aktivnosti s
poslovnim i strateškim ciljevima
„ Utvrditi područja skupih kontrola te previše i premalo kontrolirana
područja, te stupnjevati mogućnosti poboljšanja
„ Primijeniti dokazani model za Smart control proces pokrivajući
rizike, kontrole, i dizajn sustava i podlogu za izgradnju
financijskih i operativnih procesa
„ Pokretački događaj radi poticaja i motivacije
„ Analiza troškova i usklađivanja pomoću
Ernst & Young-ovog alata RiCAP™
„ Okvir razvijenosti prihvaćanja rizika za
poslovne procese
„ Benchmarking i usporedba sa sličnim
subjektima radi preispitivanja postojećeg
stanja i predočavanja mogućnosti
„ Procesni i pojedinačni normativni modeli po
industrijskim granama i ERP kontrolni modeli
„ Izrada poslovnog slučaja
2. Pripremiti
kontrolni okvir
nultih kontrola‖
„ Oblikovati i pripremiti kontrolni okvir ―nultih kontrola― koji je
usklađen i podupire poslovne i strateške ciljeve
„ Preispitati i opravdati svaku kontrolu usuglašenu s razinom
prihvaćanja rizika
„ Izbaciti nepotrebne ručne aktivnosti
„ Oblikovanje upravljačkog organizacijskog
procesa i procesa upravljanja rizicima koji
određuju odgovornost za rizike i kontrole
„ Procjena razvijenosti kontrolnog okruženja
„ Mapiranje procesa, rizika i kontrola i priprema
evidencije automatiziranih kontrola
„ Savjeti o automatiziranju i optimiranju kontrola
Smart kontrole – pristup u četiri koraka
Ključni koraci Ernst & Young-ova doprinos
3. Jačanje
postojećih ili
ulaganje u nove
tehnološke alate
„ Primijeniti automatizirane ―sprečavajuće‖ kontrole unutar
postojećeg IT sustava i procesa
„ Bolje iskorištavanje ―gotovih sustava ‖ – pripremljenih sustava i
prijelaz na preventivnu kontrolu
„ Pregled standarda glavnih podataka i procesa
„ Ugraditi kontrolne postupke u poslovni proces i upravljačku
strukturu
„ Usmjeriti se na veća radno-intenzivna područja radi postizanja
učinkovitosti
„ Odabrati i primijeniti odgovarajuće GRC alate kako bi se
automatiziralo izvršenje kontrola i nadzorne aktivnosti
„ Promovirati transparentnost putem dinamične kontrolne tablice i
izvješćivanja
„ Ubrzati ostvarivanje koristi putem unutarnje pronicave analize
„ ERP oblikovanje
„ Ugradnja automatiziranih kontrola
„ Oblikovanje kontrola
„ Analiza procesa, rizika i kontrola
„ Ugradnja ERP GRC modula
„ Testiranje kontrola
„ Oblikovanje stalnih kontrola/procesa nadzora
„ Samo-procjena kontrola
„ Program upravljanja rizicima
4. Ugraditi
učinkoviti, održivi
poslovni
operativni model
uz niske troškove
„ Oblikovati poslovni pristup, konsolidirajući nadzorne i izvještajne
aktivnosti s funkcijom jedne kontrolne servisne funkcije
„ Primijeniti novi način rada
„ Trajno unaprijediti i automatizirati kontrolni životni vijek
(oblikovanje, izvršenje, nadzor, ispravak i izvješćivanje)
„ Oblikovanje organizacije
„ Promjena upravljanja
„ Upute o primjeni
„ Savjeti o ostvarenju koristi
Iskustvo s klijentima kako bismo pripremili buduću održivu kontrolnu strukturu usklađenu s ciljevima rasta i jačanjem
tehnoloških ulaganja.
Buduće stanje oblikovanih
kontrola
Automatizirati kontrole u ERP sustavu
Trajno praćenje transakcija i kontrola primjenom GRC
kapaciteta
Analiza podataka radi nadzora kontrola i izvršenje procesa
Izvješćivanje i kontrolna tablica
Transakcije
Informacije
Kontrolna struktura koju podržava servisni centar kontrola„ Nadzor ulaznih kontrola „ Nadzor ostalih kontrola „ Pružanje specijalističkih usluga
“Smart control” – pogled na buduće stanje
„ Analiza rizika i troškova (RiCAPTM)
“Smart Control” – Analiza rizika i troškova
(RiCAPTM)
Ernst & Young-ova tehnološka platforma RiCAPTM :
procjena organiziranja kontrolnog okruženja
utvrđivanje mogućnosti za primjenu ―Smart Control‖ pristupa.
procjena ciljeva subjekta, rizika, kontrola, nositelja troškova te razine prihvaćanja rizika
Rezultat : utvrđivanje područja koja su premalo ili previše kontrolirana.
RiCAPTM omogućuje podatke i izvješća koja se mogu koristiti kao podrška mogućim prijedlozima promjena i
dostavljati zainteresiranim stranama.
Pomoć pri:
• usklađivanju troškova kontrola sukladnih ciljevima subjekta
• usporedbi troška koji se odnosi na rizike i stupnjeve rizika
• utvrđivanju neučinkovitosti procesa i izloženosti rizicima
• Utvrđuje kontrole koje nisu povezane s bilo kojim rizikom što doprinosi trenutnom smanjenju troškova
RiCAPTM i “Smart Control” pristup mogu podržati 16 glavnih sektora kombiniranjem industrijskih specifičnih iskustava o rizicima i kontrolama koji se prilagođavaju potrebama subjekata
Smart Control” – Analiza rizika i troškova
(RiCAPTM)
RiCAPTM
(Platforma analiza kontrola i rizika)
2. Prikupljanje podataka o
procesima, rizicima i
kontrolama (uključujući
trošak kontrola)
1. Razumijevanje
kontrolnog okruženja i
povezivanje sa
strateškim ciljevima
3. Analiza podataka
o kontrolama i
rizicima
4. Utvrđivanje nedostataka i
mogućnosti poboljšanjaPreviše/premalo
kontrolirano
Stupnjevanje
mogućih
poboljšanja
Oblikovanje
budućeg stanja
Tra
jan
na
dzo
r
Ishod analiziran
RiCAPTM -om
Potrebno
poboljšanje
Strateški ciljevi Poslovni ciljeviRizici na razini
subjektaProcesi
Rizici na razini
transakcijaKontrole
Stupanja rizika Nositelji troška kontrole
Sadašnje stanje
IT utjecaj
Kako RiCAPTM radi
Sljedeći koraci
Praćenje koraka:
4-6 sati rasprave s ključnim zainteresiranim stranama o sadašnjem i vizijom budućeg stanja
Određivanje ocjena za bolna rješenja, mogućnosti poboljšanja, i traženje uzroka
Oblikovanje održivih promjena procesa i kontrolnog okruženja
Razgovor s ključnim zainteresiranim stranama radi dobivanja podataka i pregleda postojećeg kontrolnog okruženja
Prethodni razgovor Stupanj 1: Otkrivanje Stupanj 2: Dijagnosticiranje Stupanj 3: Oblikovanje
Sljedeći koraci
Sljedeći koraci
Ključne aktivnosti Odgovornost Ključni korak Bilješka
„
„
„
„
Manual
Upload of
Data to
Hyperion
CAPRI Reporting Business Process Flow
Fin
ancia
l R
eport
ing
IT -
Hyperion
Accounting O
pera
tions
GL Upload of
Data to
Hyperion
BU
CF
O
Hyperion
Reporting
Cube
System Processing
GL (Hard Close)
Data Availability
CAPRI Reports (I/S,
B/S, Contr Margin
Report & Allocation
Reports)
MF Contribution
Margin Report
Source Systems/
Data Warehouses
(IDM)
Report Review & Presentation
Upload Trial
Balance (Month’s
Activity)
Review &
Approve
Allocation
Results MF Monthly
Reporting –
Cont Margin
Report
Review and
Approve
Monthly
Close
Package
Receive Capital
Allocation (Seeded
Capital) from the
Capital Committee
and upload to
Hyperion
Existing
Process to
Change
Source
System
Queries
EUCs
Manual
InputsSource Systems/
Data Warehouses
(Non-IDM)
MF Review
Monthly
Reports
CAPRI Monthly Exec
Package
End
Start
Review of
Data
Uploaded to
Hyperion
7
9
11
8
10
Data Prep
5
6
Changes to
COA &
Determine
Allocation
Rules
1
Identify New
Material
Journal
Entries
2
IDM Data
Load
3
Non-IDM
Data Load
4
Client Name – Controls Transformation Detailed Assessment SummaryPage 7
Prioritization of Issues & Improvement Opportunities
Identified issues and determined next steps to address them
Selected prioritization criteria for projects/ tasks
Estimated impact of issues and complexity of next steps
Performed prioritization
Prioritization Approach
Remediation Complexity HighLow
High
Gap
Imp
act
1
The improvement opportunities included in the matrix are for illustration only. Please tailor these based
on improvement opportunities identified in the Detailed Assessment engagement for the client
Note:
Gap Impact is derived from a combination of the risk
ranking and importance of the strategic objective
Remediation Complexity takes into account the
complexity, LOE, cost and timeline to implement a
remediation effort.
Issues Legend:
1. Automate controls for reconciliations
2. Identify controls for Risk 91 in O2C Invoicing
3. Conduct analyses on Inventory Optimization
4. Design Future State P2P Process
5. Design Future State O2C Process
6. Reassign control execution responsibilities
7. Analyze and improve use of IT systems and
controls
8. Outsourced payroll
9. Outsourced Internal Audit
10. Implement ERP System
3
2
6
4
7
5
8
10
9
Prioritization Legend
High priority
Medium priority
Low priorityNote: This graph can be generated from RiCAP
Harnessing the power of your controls —Controls Transformat ion | 10© 2011 EYGM Limited
All Rights Reserved
Specific focus on improving controls and processes enables
companies to drive performance, manage risks and reduce costs
Align with
strategy
Reduce
control
spend
Improve
accountability
for risk
Accelerate
process
execution
An integrated,
st reamlined and
dynamic
cont rol environment
provides the agility
to ant icipate and
respond to changes
Controls
Transformation
Balancing value,
cost and risk in
their processes
and cont rols help
companies create
a compet it ive
advantage
We help companies realize 20 to 40% reduct ions in the cost of cont rols by creat ing an
integrated, st reamlined and dynamic cont rol environment .
Harnessing the power of your controls —Controls Transformat ion | 11© 2011 EYGM Limited
All Rights Reserved
► How do you align the risks taken to
your business strategies and
objectives?
► How are risk management activit ies
integrated with planning and
execution?
► What is your acceptable level of risk?
► How is change management employed
and tracked to support new
strategies?
► How robust is your enterprise risk
management plan?
► What metrics and report ing are used
to monitor strategic init iat ives?
► How are strategic plans and init iat ives
documented and communicated?
Align with strategy
This page can be customized for
indust ry sector and client
► How much are you spending to design,
execute and evaluate controls?
► Are controls aligned with the
acceptable level of risk exposure?
► Where can you further leverage
automated controls versus manual
controls?
► What percentage of controls are
preventive versus detective?
► Has ownership (responsibility) for each
control been defined?
► How standardized are controls across
business units?
► What entity-level and monitoring
controls exist?
► Are there redundancies in controls?
Reduce controls spend
► Is your internal control environment
slowing you down or helping you go
faster?
► What metrics and report ing are used
to monitor process effectiveness?
► Do processes and init iat ives support
strategic objectives?
► How are processes evaluated in your
risk management plan?
► How standardized are your processes
throughout your business units?
► How often are policies and operating
procedures reviewed and updated?
► Are resources and competencies
suff icient to support process
objectives?
► Can information technology be used
to make processes more eff icient?
Accelerate process execution
Set t ing the stageUnderstanding the current state of your risk management effort
► How are Board and management
committees structured to provide
required oversight and management
of risk?
► How effectively does the
organization communicate to
stakeholders?
► How eff icient are risk management
activit ies controlled to manage risk
► Is there consistency in assignment of
responsibilit ies for risk and control
activit ies?
► How effective is the organization in
leveraging technology to
communicate effectively with
internal and external stakeholders?
Improve accountability for risk
Align with
strategy
Reduce
control
spend
Improve
accountability
for risk
Accelerate
process
execution
Controls
Transformation
Align with
strategy
Reduce
control
spend
Improve
accountability
for risk
Accelerate
process
execution
Controls
Transformation
Align with
strategy
Reduce
control
spend
Improve
accountability
for risk
Accelerate
process
execution
Controls
Transformation
Align with
strategy
Reduce
control
spend
Improve
accountability
for risk
Accelerate
process
execution
Controls
Transformation
Harnessing the power of your controls – Discovery session | 32Confident ial –© Ernst & Young
ElementsBasic Developing Established Advanced Leading
Visibility of controls spend
Control ownership
Alignment to risk, acceptable risk
exposure
Manual, automated, IT dependent
controls
Ent ity, monitoring, t ransact ional
controls
Prevent, detect controls
Operat ing and design
effect iveness
Cont rols Transformat ion maturity model assessmentResults of session
Reduce controls
spend
Current State Desired state
Align with
strategy
Reduce
control
spend
Improve
accountability
for risk
Accelerate
process
execution
Controls
Transformation
““Efikasnost upravljanja
rizicima i kontrola – tri linije
obrane”
““Efikasnost upravljanja
rizicima i kontrola – tri linije
obrane”
Jasna Turković
Intesa Sanpaolo Card d.o.o.
Jasna Turković
Intesa Sanpaolo Card d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA L SEKCIJA L -- Korporativno upravljanje, rizici i complianceKorporativno upravljanje, rizici i compliance
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Uvod
• Tri linije obrane
– operativni menadžment
– upravljanje rizicima i compliance
– interna revizija
• Koordiniranje linija obrane
• Kako dobiti najviše od interne revizije
2
Tko pomaže u upravljanju rizicima ?
• Specijalisti upravljanja rizicima
• Compliance
• Specijalisti za interne kontrole
• Interna revizija
• Revizori kvalitete
• Istraživači prijevara
• .....
3
Izazovi
• efikasna i učinkovita koordinacija različitih grupa
• jasne odgovornosti
• identificiranje značajnih rizika i odgovarajuće
upravljanje rizicima
Modeli upravljanja rizicima efikasno identificiraju
tipove rizika ali ne govore o specifičnim
ulogama, njihovoj podjeli i koordinaciji.
4
Tri linije obrane
5
Iznad tri linije – nadzor i strategija
6
• organi upravljanja i viši menadžment su primarni dionici “linija”
• mogu osigurati implementaciju modela u procesu upravljanja
rizicima i sustavu internih kontrola
• imaju nadležnost i odgovornost definiranja ciljeva, strategije,
upravljačke strukture i procesa
• model je najlakše implementirati uz aktivno učešće i podršku
organa upravljanja i višeg menadžmenta
Prva linija obrane: operativni menadžment
7
• vlasništvo, nadležnost i odgovornost za upravljanje rizicima
• nadležnost za održavanje efikasnog sustava internih kontrola i
izvršavanje kontrolnih procedura na dnevnoj osnovi
• identificira, procjenjuje, nadzire i ublažava rizike
• usmjerava razvoj i uvođenje internih politika i procedura
• osigurava da su aktivnosti usmjerene ka ostvarenju postavljenih
ciljeva
Druga linija obrane: upravljanje rizicima i compliance
8
• funkcija upravljanja rizicima – omogućava i nadzire implementaciju efikasnog sustava
upravljanja rizicima i pomaže vlasnicima rizika u definiraju ciljane izloženosti rizicima
te izvještava organizaciju o adekvatnim informacijama vezano uz rizike
• funkcija usklađenosti poslovanja (compliance) – nadzire specifične rizike kao što su
neusklađenost sa zakonom i regulativom; direktno odgovara višem menadžmentu
(ponekad i upravljačkim odborima); ponekad u organizaciji postoji više compliance
funkcija (zaštita na radu, zaštita okoliša, kvaliteta...)
• funkcija kontrolinga – nadzire financijske rizike i pitanja vezana uz financijsko
izvještavanje
Druga linija obrane: nadležnosti i odgovornosti
• Podupiranje politika, definiranje uloga i odgovornosti te ciljeva implementacije
• Definiranje okvira upravljanja rizicima
• Identificiranje poznatih i nastajućih problema
• Identificiranje promjena u apetitu rizika
• Pomaganje u razvoju procesa i kontrola upravljanja rizicima i problemima
• Usmjeravanje i edukacija o procesima upravljanja rizicima
• Omogućavanje i nadzor implementacije efikasnog upravljanja rizicima
• Upozoravanje operativnog manadžementa na nastajuće probleme te regulatorne promjene i scenarije upravljanja rizicima
• Nadzor adekvatnosti i efikasnosti internih kontrola, točnosti i potpunosti izvještavanja, usklađenosti sa zakonom i regulativom te pravovremenosti otklanjanja nedostataka
9
Treća linija obrane: interna revizija
10
Uvjerenje koje pruža interna revizija uključuje :
• veliki raspon ciljeva, uključujući efikasnost i učinkovitost operacija, očuvanje
imovine, pouzdanost i integritet procesa izvještavanja, uklađenost sa
zakonom, regulativom, politikama, procedurama i ugovorima
• sve elemente upravljanja rizicima i okvira sustava internih kontrola
(okruženje, upravljanje rizicima, kontrolne aktivnosti, informacije i
komunikaciju, nadzor)
• cijelu organizaciju, sektore, podružnice, odjele, poslovne funkcije i
poslovne procese (prodaja, proizvodnja, marketing, sigurnost .. ) kao i
prateće funkcije (knjigovodstvo, kadrovski poslovi, nabava, IT...)
Treća linija obrane: interna revizija
11
• Interna revizija aktivno doprinosti efikasnom upravljanju
uz određene pretpostavke – njegovanje neovisnosti i
profesionalnosti
• Najbolja praksa preporuča izgrađivanje i održavanje
neovisne, adekvatno i kompetentno kadrovski
opremljene funkcije što uključuje:
– djelovanje sukladno prepoznatim međunarodnim standardima i
profesionalnoj praksi
– izvještavanje dovoljno visokom nivou u organizaciji kako bi
svoje zadatke mogli obavljati neovisno
– postojanje efikasne linije izvještavanja prema najvišim
organima upravljanja
Koordiniranje linija obrane
12
• sve tri linije obrane moraju postojati u svakoj organizaciji neovisno o njenoj
veličini ili kompleksnosti
• upravljanje rizicima najjače je kad postoje tri odvojene i jasno definirane
linije obrane
• u manjim organizacijama linije obrane se mogu povezivati – npr. interna
revizija uspostavlja sustav ili rukovodi upravljanjem rizicima odnosno
usklađenošću poslovanja (interna revizija mora jasno komunicirati utjecaj
ovakvog povezivanja)
• dijeljenje informacija i koordiniranost aktivnosti neovisno o načinu
implementacije
Koordiniranje linija obrane - istraživanje
13
• Koliko vremena compliance tim u prosječnom radnom tjednu
provede konzultirajući se s internom revizijom i funkcijom rizika
vezano uz teme usklađenosti poslovanja ?
Sati tjedno 2012 2013 2012 2013
< 1 52% 45% 30% 33%
1 do 3 28% 33% 36% 35%
4 do 7 12% 12% 19% 17%
7 do 10 4% 5% 7% 5%
> 10 4% 5% 8% 10%
RiziciInterna revizija
Kako dobiti najviše od interne revizije ?
• Preporuka za upravne odbore (Board of Directors) – ECIIA
(European Confederation of Institute of Internal Auditing); ecoDA
(European Confederation of Directors’ Associations)
• Smjernice s ciljem dobijanja uvjerenja adekvatnosti upravljanja
rizicima i sustava internih kontrola
• Board (upravni odbor) – najviše upravljačko tijelo s primarnom
nadležnošću i odgovornosti za nadzor poslovanja
• Board – viši menadžment i neizvršni direktori ili samo neizvršni
direktori (nadzorni odbor)
• Board committees – npr. Revizijski odbor
14
10 preporuka – praćenje rada interne revizije
1. procijeniti potrebu formiranja interne revizije ukoliko ista ne postoji
2. ocijeniti i odobriti povelju interne revizije
3. osigurati efikasne linije komunikacije između glavnog internog
revizora i upravnog odbora
4. procijeniti plan interne revizije
5. ocijeniti kadrovsku strukturu interne revizije
6. steći uvjerenje o kvaliteti rada interne revizije
7. nadzirati odnos interne revizije i centralne funkcije nadzora rizika
8. koordinirati internu reviziju i rad eksternih revizora
9. ocijeniti izvještavanje interne revizije
10. nadzirati praćenje implementacije revizijskih preporuka
15
“Društva uvrštena na “Društva uvrštena na
Zagrebačku burzu i usvajanje Zagrebačku burzu i usvajanje
kodeksa korporativnog kodeksa korporativnog
upravljanja upravljanja ”
“Društva uvrštena na “Društva uvrštena na
Zagrebačku burzu i usvajanje Zagrebačku burzu i usvajanje
kodeksa korporativnog kodeksa korporativnog
upravljanja upravljanja ”
Iva Galić
Zagrebačka burza d.d.
Iva Galić
Zagrebačka burza d.d.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
SEKCIJA L SEKCIJA L -- Korporativno Korporativno upravljanje, rizici i upravljanje, rizici i compliancecompliance
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Sadržaj:
• Društva uvrštena na Zagrebačku burzu
• Usvajanje kodeksa korporativnog upravljanja
kod društava uvrštenih na Zagrebačku burzu
• Uloga internih revizora kod društava uvrštenih
na Zagrebačku burzu
2
Društva uvrštena na Zagrebačku burzu
Zagrebačka burza
Uređeno tržište
Vodeće tržište
Službeno tržište22 izdavatelja
Redovito tržište 175 izdavatelja
MTP
Domaći27 izdavatelja
Inozemni(strukturirani v.p.)
18 certifikata
4
Obveze izvještavanja – uređeno tržište
Redovito tržište
Vodeće tržište
Službeno tržište
• Promjene u postotku glasačkih prava
• Financijski izvještaji (godišnji, polugodišnji i tromjesečni)
• Revizorski izvještaj
• Stjecanje ili otpuštanje vlastitih dionica
• Kodeks korporativnog upravljanja
• Poziv na Glavnu skupštinu te Odluke s održane Glavne skupštine
• Godišnji dokument objavljenih informacija
• Ostale materijalne činjenice koje mogu utjecati na cijenu dionica
Obveze
Redovitog tržišta +
• Sjednice NO i Uprave kada odlučuju o fin.
izvještajima ili dividendi
• Stjecanje ili otpuštanje svakog instrumenta
Izdavatelja od strane članova Uprave i NO
• Izvještavanje na hrvatskom i engleskom
Obveze Službenog tržišta +
• Obveza predstavljanja godišnjeg izvještaja
• Kalendar korporativnih akcija
• Detaljnije izvještavanje o stjecanju vlastitih
dionica
• Stjecanje kapitalnih udjela u drugim
društvima
• Izdavanje novih dionica
Obveze izvještavanja – MTP
5
Domaći MTP
• poziv za skupštinu društva
• godišnji financijski izvještaj
• informacije o smanjenju ili povećanju temeljnog
kapitala
• statusne promjene izdavatelja
Inozemni MTP• osiguravanje dostupnosti informacija putem
internetske stranice izdavatelja i tržišta na
koje je Instrument uvršten
Obveze izvještavanja – Sustav za nadzor
izdavatelja
U svrhu prikupljanja činjenica relevantnih za provođenja
postupka provjere udovoljavaju li financijski instrumenti uvršteni
na uređeno tržište kojim upravlja Burza uvjetima za uvrštenje
propisanima Zakonom o tržištu kapitala, pravilnicima donesenim
na temelju navedenog zakona i aktima Burze, Zagrebačka burza
osobito nadzire:
• ispunjavaju li izdavatelji uvrštenih financijskih instrumenata
obvezu dostave financijskih izvještaja;
• ispunjavaju li izdavatelji uvrštenih financijskih instrumenata
propisane obveze za Glavnu skupštinu /poziv i dostave
odluka Glavne skupštine.
6
Obveze izvještavanja – Sustav za nadzor
izdavatelja
• Burza sukladno čl. 430. ZTK nadzire dostavu svih stjecanja ili
otpuštanja vlastitih dionica.
Rok za dostavu istjecanja ili otpuštanja vlastitih dionica jest bez
odgode, a najkasnije četiri trgovinska dana od dana stjecanja ili
otpuštanja dionica.
• Burza, sukladno čl. 161. Pravila Burze, za izdavatelje koji su
uvršteni na Službeno tržište nadzire svako stjecanje ili otpuštanje
dionica svakog instrumenta izdavatelja od strane osoba koje
obavljaju rukovoditeljske dužnosti pri izdavtelju i s njima usko
povezanih osoba.
• Rok za dostavu prijave stjecanja ili otpuštanja dionica osoba
koje obavljaju rukovoditeljske dužnosti je od 5 (pet) dana od
dana predmetnog stjecanja ili otpuštanja
7
Obveze izvještavanja – Sustav za nadzor
izdavatelja
• Burza prati dostavljanje obavijesti i izvještaja koje izravno ili putem
javne objave izdavatelji učine dostupnima /informacija precizne
naravi/.
• Burza po potrebi šalje upit izdavatelju u kojem traži da potvrdi ili
opovrgne glasine koje bi mogle utjecati na status izdavatelja i/ili
financijskih instrumenata .
• Burza zaprima druge informacije i obavijesti koje bi mogle utjecati
na status izdavatelja i/ili financijskih instrumenata.
8
Povlaštena informacija
• Povlaštena informacija – informacija precizne naravi koja nije bila
javno dostupna i koja se posredno ili neposredno odnosi na jednog
ili više izdavatelja financijskog instrumenta te koja bi, kada bi bila
javno dostupna, vjerojatno imala značajan utjecaj na cijene tih
finacijskih instrumenata ili na cijene povezanih izvedenih financijskih
instrumenata pri čemu se smatra da takva vjerojatnost značajnog
utjecaja postoji ako bi razumni ulagatelj vjerojatno uzeo u obzir
takvu informaciju kao dio osnove za donošenje svojih investicijskih
odluka;
• Kada takva informacija postane javno dostupna – takva informacija
je materijalna činjenica koju izdavatelj bez odlaganja treba izvjestiti
Burzu i javnost (isključivši općepoznate činjenice i događaje.)
9
Unos korporativnih vijesti
Vrsta novosti:
• Prijava stjecanja /otpuštanja vlastitih dionica sukladno čl. 430 ZTK
• Prijava stjecanja /otpuštanja dionica sukladno čl. 464 ZTK
• Poziv na glavnu skupštinu
• Odluke glavne skupštine
• Predujam dividende
• Godišnji dokument obkavljenih informacija
• Kodeks korporativnog upravljanja
• Revizorsko izvješće
10
Kodeks korporativnog upravljanja
• Cilj Kodeksa :
• uspostaviti visoke standarde korporativnog upravljanja i
transparentnosti poslovanja dioničkih društava radi olakšanja
pristupa kapitalu uz niže troškove, s obzirom na to da su jasno
definirane procedure korporativnog upravljanja, koje se temelje na
prepoznatljivim međunarodnim standardima, jedan od osnovnih
kriterija za donošenje odluke o investiranju.
• Temeljna načela Kodeksa
• transparentnost poslovanja, jasno razrađene procedure za rad
nadzornog odbora, uprave i drugih organa i struktura koje donose
važne odluke, izbjegavanje sukoba interesa, efikasna unutarnja
kontrola te efikasan sustav odgovornosti
11
Kodeks korporativnog upravljanja
• Obveza dostave Upitnika:
• primjenjuje se na sve izdavatelje čije su dionice uvrštene
na uređeno tržište (osim na ZIF-ove) – izdavatelji su
dužni ispuniti upitnik, koji je sastavni dio Kodeksa.
• Rok dostave Upitnika
• najkasnije do dostave godišnjeg izvještaja (120 dana od
dana proteka poslovne godine)
12
Uloga internih revizora kod društava uvrštenih na
Zagrebačku burzu
• Komisiju za reviziju osniva Nadzorni odbor
• Komisija za reviziju treba biti sastavljena tako da većinu
čine nezavisni članovi nadzornog odbora.
• Trajanje mandata komisije za reviziju može biti
vremenski ograničeno na 4 godine kontinuiranog
mandata i/ili ograničavanjem broja komisija u koje član
može biti izabran u drugim društvima.
• Komisija za reviziju treba imati otvorenu i neograničenu
komunikaciju s upravom i nadzornim odborom i
odgovarati za svoj rad nadzornom odboru.
13
Uloga internih revizora kod društava uvrštenih na
Zagrebačku burzu
• Uloga komisije za reviziju/ unutar društva:
• pratiti integritet financijskih informacija društva, a osobito
ispravnost i konzistentnost računovodstvenih metoda koje
koristi društvo i grupa kojoj pripada, ukljušivši i kriterije za
konsolidaciju financijskih izvješća društava koja pripadaju
grupi;
• najmanje jednom godišnje procijeniti kvalitetu unutarnjeg
sustava kontrole i upravljanja rizicima, s ciljem da se glavni
rizici kojima je društvo izloženo (uključujući tu i rizike
povezane s pridržavanjem propisa) na odgovarajući način
identificiraju i javno objave, te da se njima na odgovarajući
način upravlja;
14
Uloga internih revizora kod društava uvrštenih na
Zagrebačku burzu
• osigurati efikasnost sustava unutarnje revizije, osobito
putem izrade preporuka prilikom odabira, imenovanja,
ponovnog imenovanja i smjene rukovoditelja odjela za
unutarnju reviziju i glede sredstava koja mu stoje na
raspolaganju, i procjene postupaka rukovodečeg kadra
povodom nalaza i preporuke unutarnje revizije (ukoliko u
društvu funkcija unutarnje revizije ne postoji, komisija je
dužna jednom godišnje izvršiti procjenu potrebe za
uspostavom takve funkcije).
15
Uloga internih revizora kod društava uvrštenih na
Zagrebačku burzu
• Uloga komisije za reviziju/ vanjski revizor:
• nadzornom odboru dati preporuke vezane uz izbor, imenovanje,
ponovo imenovanje ili promjenu vanjskog revizora i o uvjetima
njegovog angažmana,
• nadgledati nezavisnost i objektivnost vanjskog revizora, osobito
glede rotacije ovlaštenih revizora unutar revizorske kuće i naknada
koje društvo plaća za usluge vanjske revizije,
• pratiti prirodu i količinu usluga koje nisu revizija, a društvo ih prima
od revizorske kuće ili s njom povezanih osoba, pri čemu je, pored
ostalog, revizorska kuća dužna dostaviti obavijest o svim
naknadama koje društvo plaća revizorskoj kući i s njom povezanim
osobama
16
Uloga nternih revizora kod društava uvrštenih na
Zagrebačku burzu
• izraditi pravila o tome koje usluge vanjska revizorska
kuća i s njom povezane osobe ne smije davati društvu,
koje usluge može davati samo uz prethodnu
suglasnost komisije, a koje usluge može davati bez
prethodne suglasnosti,
• razmotriti efikasnost vanjske revizije i postupanje višeg
rukovodećeg kadra povodom preporuka iznesenih od
strane vanjskog revizora,
• istražiti okolnosti vezane uz otkaz vanjskog revizora i
dati odgovarajuće preporuke nadzornom odboru.
17
Analiza godišnjeg upitnika Kodeksa
korporativnog upravljanja za 2011. godinu
18
Analiza je napravljena na uzoku od 102 upitnika godišnjeg Kodeksa
korporativnog upravljanja.
• Na upit „Je li nadzorni odnosno
upravni odbor ustrojio komisiju
za reviziju?‟, potvrdno je
odgovorilo 54 izdavatelja,
negativno 47 izdavatelj, a 1
izdavatelj nije odgovorio.
DA52,94
NE46,08
Bez odgovora
0,98
• Na upit „Je li većina članova
komisije iz redova neovisnih
članova nadzornog odbora?‟,
potvrdno je odgovorilo 12
izdavatelja, negativno 34
izdavatelj, a 56 izdavatelja nije
odgovorio.DA
11,76
NE33,33
Bezodgovora
54,9
Analiza godišnjeg upitnika Kodeksa
korporativnog upravljanja
19
• Na upit „Je li komisija pratila
integritet financijskih informacija
društva, (računovodstvenih
metoda koje koristi društvo i
grupa kojoj pripada, uključivši i
kriterije za konsolidaciju
F.I.društava koja pripadaju grupi?
potvrdno je odgovorilo 47
izdavatelja, negativno 3 izdavatelj, a
52 izdavatelj nije odgovorio.
• Na upit „je li komisija procijenila
kvalitetu sustava unutarnje kontrole i
upravljanja rizicima, s ciljem da se
glavni rizici kojima je društvo izloženo
na odgovarajući način identificiraju i
javno objave te da se njima na
odgovarajući način upravlja?‟,
potvrdno je odgovorilo 47 izdavatelja,
negativno 34 izdavatelj, a 56 izdavatelja
nije odgovorio.
DA46,08
NE2,94
Bez odgovora
50,98
DA44,12
NE4,9 Bez
odgovora50,98
Analiza godišnjeg upitnika Kodeksa
korporativnog upravljanja
20
• Na upit „Ako u društvu funkcija
unutarnje revizije ne postoji, je li je
komisija izvršila procjenu potrebe za
uspostavom takove funkcije? ‟,
potvrdno je odgovorilo 25 izdavatelja,
negativno 9 izdavatelja, a 68 izdavatelj
nije odgovorio.
• Na upit „Je li komisija nadzornom
odboru dala preporuke vezane uz
izbor, imenovanje, ponovno
imenovanje ili promjenu vanjskog
revizora i o uvjetima njegovog
angažmana?‟, potvrdno je odgovorilo
41 izdavatelja, negativno 9 izdavatelj, a
52 izdavatelja nije odgovorilo.
DA24,51
NE8,82
Bezodgovora
66,67
DA40,02
NE8,82
Bezodgovora
50,98
Analiza godišnjeg upitnika Kodeksa
korporativnog upravljanja
21
• Na upit „Je li komisija razmotrila
učinkovitost vanjske revizije i
postupke višeg rukovodećeg
kadra s obzirom na preporuke
koje je iznio vanjski revizor?‟,
potvrdno je odgovorilo 37
izdavatelja, negativno 11 izdavatelj,
a 54 izdavatelj nije odgovorio.
• Na upit „Je li komisija za reviziju
osigurala dostavu kvalitetnih
informacija ovisnih i povezanih
društava te trećih osoba (kao što
su stručni savjetnici)? ‟, potvrdno
je odgovorilo 36 izdavatelja,
negativno 13 izdavatelj, a 53
izdavatelj nije odgovorio.
DA36,27NE
10,78
Bezodgovora
52,94
DA35,29
NE12,75
Bezodgovora
51,96
Korporativno upravljanjeKorporativno upravljanje
Rezultati istraživanja zrelosti Rezultati istraživanja zrelosti
sustava korporativnog upravljanja sustava korporativnog upravljanja
u RH u RH
Korporativno upravljanjeKorporativno upravljanje
Rezultati istraživanja zrelosti Rezultati istraživanja zrelosti
sustava korporativnog upravljanja sustava korporativnog upravljanja
u RH u RH
Ivica Perica
Viši Menadžer
Ivica Perica
Viši Menadžer
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
SEKCIJA L SEKCIJA L –– Korporativno upravljanje, rizici i compianceKorporativno upravljanje, rizici i compiance
“Očekivanja od interne “Očekivanja od interne revizije ulaskom u revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
Dražen Rajaković
Menadžer
Dražen Rajaković
Menadžer
2
Kako biste ocijenili zrelost Korporativnog Upravljanja
u Vašoj tvrtki?
Koja područja se podrazumijevaju uključenima u
korporativno upravljanje u Vašoj tvrtki?
3
Sadržaj
Stranica
Uvod 4
Cilj, metodologija istraživanja i prikaz podataka 5
Rezultati istraživanja 6
Korporativno upravljanje 6
Upravljanje rizicima i unutarnje kontrole 8
Unutarnja revizija 10
Borba protiv prijevare 14
Osposobljavanje 15
Pregled ključnih nalaza 16
4
Uvod
• Korporativno upravljanje je sustav upravljanja i kontrole trgovačkih društava u interesu vlasnika i
drugih interesnih grupa (''stakeholders'').
• Neke od općih koristi od učinkovitog sustava korporativnog upravljanja odnose se na:
jačanje kontrolnog okružja i odgovornosti Uprave i visokog rukovodstva,
ostvarivanje boljih financijskih i operativnih rezultata poslovanja,
bolju kontrolu nad rizicima i odgovarajuće upravljanje istima
jačanje povjerenja investitora i povećanje fer tržišne vrijednosti društva,
bolju reputaciju društva
jasno definiran smjer u kojem društvo ide koji je podržan sa odgovarajućim potpornim
procesima, politikama, i procedurama.
Kontekst
• Kontinuirano povećanje važnosti učinkovitog sustava korporativnog upravljanja u kontekstu ulaska
Republike Hrvatske u Europsku uniju.
• Nova Komunikacija Europske unije od 12.12.2013. u vezi Akcijskog plana za unapređenje sustava
korporativnog upravljanja na području Europske unije.
5
Cilj, metodologija istraživanja i prikaz
podatakaMetodologija
• Istraživanje je provedeno elektroničkim putem tijekom travnja i svibnja 2012. godine na prigodnom
uzorku društava različitih veličina i unutar različitih industrijskih sektora na hrvatskom tržištu. Ispitanici
koji su se odazvali pozivu na sudjelovanje u istraživanju su pretežito (57%) društva s ograničenom
odgovornošću te najčešće imaju od 100 do 500 zaposlenih.
Prikaz podataka
• U ovoj prezentaciji donosimo pregled organizacije i prakse korporativnog upravljanja, upravljanja
rizicima te funkcije interne revizije u domaćim društvima.
• Rezultate analize ključnih trendova i glavnih tema u nekoliko relevantnih područja predstavljamo u pet
cjelina:
• Korporativno upravljanje
• Unutarnja revizija
• Upravljanje rizicima
• Borba protiv prijevare
• Osposobljavanje
6
Korporativno upravljanje (1/2)
Uspostava učinkovitog sustava i procesa
korporativnog upravljanja pomoći će
rukovodećim organima društava osigurati
usklađenost sa zakonskim i drugim propisima
(Zakon o trgovačkim društvima, Zakon o reviziji,
Zakon o kreditnim institucijama, Kodeks
Zagrebaon o drue i HANFE, Akcijski plan za
provođenje antikorupcijskog programa Vlade
Republike Hrvatske, itd.).
Glavnina društava koja su sudjelovale u istraživanju,
točnije njih 73%, smatra da već ima uveden koncept
korporativnog upravljanja. Da ovaj koncept planiraju
izraditi i uvesti u bliskoj budućnosti odgovorilo je 13%
ispitanih društava, a još 3% namjerava to učiniti već
ove godine. U tek 3% društava koncept korporativnog
upravljanja ne postoji niti se planira uvoditi.
Najbolje prakse
Društva bi trebala pripremiti i implementirati
strategiju korporativnog upravljanja usuglašenu sa
strategijom društva koja će propisati ključne ciljeve
korporativnog upravljanja.
Korporativno upravljanje u širem smislu uključuje
razmatranje pitanja fiducijarne odgovornosti i
strukture upravljanja (Uprava, Nadzorni odbor),
etičku odgovornost i integritet, sustav upravljanja
rizicima, uspostavljanja i održavanja sustava internih
kontrola, usklađenosti s regulativom i pravilima,
internu reviziju, upravljanje ljudskim resursima i
kulturu njegovanja radnog okružja, komunikaciju i
odnos prema ključnim interesnim skupinama
('stakeholders').
73%
3%
13%
3%
7%
Da
Ne, ali ga planiramo izraditi i uvesti ove godine
Ne, ali ga planiramo izraditi i uvesti u bliskoj budućnosti
Ne, niti ga planiramo uvesti
Radije ne bih odgovorio/la
Je li u vaše društvo uveden koncept korporativnog upravljanja?
7
Korporativno upravljanje (2/2)
Analiza rezultata istraživanja korporativnog upravljanja u Hrvatskoj pokazala je da postoje znatne
mogućnosti za unapređenje sustava za upravljanje rizicima. Naime, svega 30% do 35% društava u
sklopu sustava za upravljanje rizicima posjeduje dokumentirane strategiju, politiku, priručnik ili
metodologiju za upravljanje rizicima.
Oko 23% do 30% društava
planira ih uvesti, a u 40% do
43% društava ove sastavnice
poslovne organizacije nisu
čak ni u planu.
U velikoj većini poslovnih
organizacija postoji ili je u
planu dokumentirani etički
kodeks / kodeks ponašanja,
međutim ovim istraživanjem
nije obuhvaćeno pitanje
njegove učinkovitosti i
praktične primjene.
60%
30%
37%
30%
33%
50%
50%
30%
67%
7%
30%
23%
27%
23%
20%
23%
30%
17%
33%
40%
40%
43%
43%
30%
27%
40%
17%
Dokumentirani okvir korporativnog upravljanja
Dokumentirana strategija za upravljanje rizicima
Dokumentirana politika za upravljanje rizicima
Dokumentirani priručnik za upravljanje rizicima
Dokumentirana metodologija upravljanja rizicima
Dokumentirani pravilnik o unutarnjoj reviziji
Dokumentirani priručnik za unutarnju reviziju
Dokumentirana politika za suzbijanje prijevara
Dokumentirani etički kodeks/kodeks ponašanja
Postoji li u vašoj poslovnoj organizaciji sljedeće?
Da U pripremi / planu Ne, čak ni u planu
8
Upravljanje rizicima i unutarnje kontrole (1/2)
• Rezultati povezani sa registrom rizika dodatno su ukazali na nerazvijenost sustava upravljanja rizicima.
Naime, iako najbolje prakse nalažu da društva redovito, najmanje jednom godišnje, obnavljaju registar
rizika koji uključuje procjenu i ocjenu rizika u odnosu na postojeće kontrole, čini se kako to čini tek manji
broj društava. Još je važnije napomenuti da oko polovica društava uopće nije sastavila registar rizika.
17%
10%
47%
27%
Da i obnavlja se najmanje jednom godišnje
Da, ali se rjeđe obnavlja
Ne, još nije sastavljen
Radije ne bih odgovorio/la
Sastavlja i obnavlja li se redovito registar rizika (s procjenom i ocjenom rizika prijevarnih radnji u odnosu na postojeće kontrole za suzbijanje prijevara)?
9
Rezultati istraživanja (4/10)
Upravljanje rizicima i unutarnje kontrole (2/2)
• Slična svijest u društvima vlada i kad je riječ o uspostavi osobe koja će biti zadužena za upravljanje
rizicima. U ovom istraživanju iznenadio je tako podatak da trenutno u 44% ispitanih društava još uvijek
ne postoji zadužena osoba za upravljanje rizicima. Ipak, možemo reći da bi se u skoroj budućnosti
takvo stanje moglo promijeniti budući da je određeni udio društava prepoznao potrebu za imenovanjem
rukovoditelja za upravljanje rizicima.
50%
7%
17%
20%
7%
Da
Ne, ali ove godine planiramo nekoga postaviti
Ne, ali u bliskoj budućnosti planiramo nekoga postaviti
Ne, niti ikoga planiramo postaviti
Radije ne bih odgovorio/la
Postoji li u vašem društvu osoba isključivo zadužena za upravljanje rizicima?
10
Unutarnja revizija (1/4)
• Odjel unutarnje revizije ustrojen je u 60% društava, a još 10% društava planira ga uspostaviti.
• Potrebu za vlastitim odjelom revizije nema 23% ispitanih društava koja ga niti ne planiraju
uspostaviti.
60%
7%
3%
23%
7%
Da
Ne, ali ga ove godine planiramo osnovati
Ne, ali ga u bliskoj budućnosti planiramo osnovati
Ne, niti ga planiramo uvesti
Radije ne bih odgovorio/la
Postoji li u vašem društvu odjel unutarnje revizije?
11
Unutarnja revizija (2/4)
• Unutarnja revizija društava najčešće je u svom radu usmjerena na pregled ustroja, implementacije i rada
poslovnih kontrola (67%), odnosno na zakonsku usklađenost (63%). U 60% društava unutarnja revizija
preuzima i zadatke operativne učinkovitosti i razvoja poslovnih procesa, dok je u polovici društava ona
zadužena za sprječavanje, otkrivanje i istraživanje prijevara, te rad i sigurnost informatičkih sustava.
Unutarnja revizija vrlo je rijetko zadužena za evaluaciju informatičke učinkovitosti iako se u upravljanju
informacijskim sustavima nalaze značajni rizici. Za kontinuitet poslovanja i oporavak od ispada sustava,
te analizu ključnih pokazatelja uspješnosti rad unutarnje revizije vezan je u manjem broju društava (30%).
50%
67%
50%
60%
20%
30%
63%
27%
17%
Sprječavanje, otkrivanje i istraživanje prijevara
Pregled ustroja, implementacije i rada poslovnih kontrola
Rad i sigurnost informatičkih sustava
Operativna učinkovitost (razvoj poslovnih procesa)
Informatička učinkovitost
Kontinuitet poslovanja i oporavak od ispada
Zakonska usklađenost
Analiza ključnih pokazatelja uspješnosti
Radije ne bih odgovorio/la
Na koja su područja unutarnje revizije usmjerene?
Unutarnja revizija (3/4)
• Unutarnja revizija svoja izvješća najčešće
podnosi izravno Upravi (67%). U oko 23%
slučajeva Unutarnja revizija svoja izvješća
podnosi Direktoru financija.
• U oko 30% do 33% društava unutarnja
revizija podnosi izvješća Revizorskom ili
Nadzornom odboru. Navedeni rezultati
ukazuju na mogućnost da u nekim
slučajevima Unutarnja revizija nije neovisna
ukoliko izvještava isključivo Upravi ili
Direktoru financija.
• Kako bi Unutarnja revizija bila neovisna,
Institut internih revizora preporuča da
Rukovoditelj unutarnje revizije funkcionalno
odgovara Revizorskom odboru ili
Nadzornom odboru, a administrativno
Upravi.
• Prema rezultatima istraživanja u trgovačkim društvima u Republici Hrvatskoj najčešća je praksa
podnošenje izvješća unutarnje revizije izravno Upravi.
• Budući da u pojedinim slučajevima Unutarnja revizija izvještava isključivo Upravu ili direktora financija
postavlja se pitanje o neovisnosti funkcije unutarnje revizije.
67%
30%
33%
7%
23%
10%
3%
Upravi
Odboru za reviziju
Nadzornom odboru
Predsjeniku/ci uprave ili njegovom/njezinom zamjeniku
Direktoru financija
Drugima
Radije ne bih odgovorio/la
Kome unutarnja revizija podnosi izvješća?
Unutarnja revizija (4/4)
• Kada je riječ o vanjskoj provjeri kvalitete,
u nešto manje od polovice društava
(40%) te poslove obavlja matično
društvo, dok u 30% društava to čini
stručni savjetnik. Vanjska provjera
kvalitete ne provodi se u 10% društava
dok 20% ispitanika nije odgovorilo.
Društva bi se trebala držati preporuka Instituta internih revizora i kada je riječ o vanjskoj provjeri kvalitete.
Naime, Unutarnja revizija društva može izjaviti da posluje u skladu s Međunarodnim okvirom
profesionalnog djelovanja IIA samo u slučaju da je takvu ocjenu donio kvalificirani neovisni procjenitelj.
Međutim, stručni eksterni savjetnik vanjsku provjeru kvalitete obavlja u oko 30% ispitanih društava.
Najbolje prakse
Bitno je aktivno komunicirati unutar organizacije koristi koje donosi interna revizija te kontinuirano
unaprjeđivati procese i kontrole unutar čitavog društva kako bi se postigla bolja percepcija interne revizije
u organizaciji i razvila svijest o dodanoj vrijednost koju pruža funkcija interne revizije.
40%
30%
10%
20%
Matično društvo
Stručni savjetnik
Nema vanjskih provjera kvalitete
Radije ne bih odgovorio/la
Tko obavlja poslove vanjske provjere kvalitete?
Borba protiv prijevare
Funkcija sprječavanja i istraživanja prijevara u većini je društava je prepoznata kao relevantna
komponenta korporativnog upravljanja. Međutim, najčešće je ta zadaća u nadležnosti unutarnje revizije, a
ne kao zasebna funkcija ili organizacijska jedinica. Potrebni su daljnji napori radi poboljšanja
dokumentiranja politika borbe protiv prijevara, organizacijskog ustroja ove funkcije te edukacije osoblja za
borbu protiv prijevara.Najbolje prakse
Društva bi trebala usvojiti Strategiju i/ili
politiku za suzbijanje prijevara koja bi
definirala ključne elemente sustava borbe
protiv prijevara (organizaciju i upravljanje,
tehnike i alate te ključne procese:
prevenciju, detekciju i istraživanje
prijevara).
Društva bi trebala identificirati najčešće
sheme prijevara u njihovoj industriji te
preispitati učinkovitost implementiranih
kontrola protiv identificiranih prijevarnih
rizika.
17%
27%
17%
10%
20%
10%
Da, kao zasebna organizacijska jedinica
Da, ovo područje pokriva unutarnja revizija
Da, ovo područje pokriva neki drugi odjel
Još ne, ali je u postupku uvođenja
Ne, niti je planiramo uvesti
Radije ne bih odgovorio/la
Postoji li u vašem društvu funkcija sprječavanja i istraživanja prijevara?
Osposobljavanje
• Društva ostaju podijeljena po pitanju osposobljavanja za upravljanje rizicima. Sveukupno gotovo
polovica društava ne provodi osposobljavanja i edukacije povezane sa upravljanjem rizicima, ali dobra
je vijest da od toga 30% njih planira provoditi osposobljavanja u bliskoj budućnosti.
• 43% društava provodi osposobljavanje
za upravljanje rizicima. Od toga ih 30%
provodi interna osposobljavanja, a 13%
pri tome koristi vanjskog stručnjaka.
Nešto manje od trećine ispitanih ne
provodi ova osposobljavanja, ali to
planira činiti u bliskoj budućnosti, dok ih
17% osposobljavanje uopće ni nema u
planu.
Najbolje prakse
Kontinuirana profesionalna edukacija i
profesionalni razvoj ključnih
rukovoditelja i djelatnika u sustavu
korporativnog upravljanja izuzetno su
značajni za njegovu učinkovitost.
Stjecanje profesionalnih certifikata od
strane ključnih djelatnika može znatno
unaprijediti sustav korporativnog
upravljanja.
30%
13%
30%
17%
10%
Da, interno
Da, koristeći vanjskog stručnjaka
Ne, ali planiramo u bliskoj budućnosti
Ne, niti to imamo u planu
Radije ne bih odgovorio/la
Provodite li osposobljavanje za upravljanje rizicima?
Pregled ključnih nalaza
• Analiza rezultata istraživanja korporativnog upravljanja u Hrvatskoj pokazala je da postoje znatne
mogućnosti za unapređenje sustava za upravljanje rizicima.
• Rezultati povezani sa registrom rizika dodatno su ukazali su na nerazvijenost sustava upravljanja
rizicima.
• Trenutno u 44% ispitanih društava još uvijek ne postoji zadužena osoba za upravljanje rizicima.
• U Republici Hrvatskoj najčešća je praksa podnošenje izvješća unutarnje revizije izravno upravi,
postavlja se pitanje o neovisnosti funkcije unutarnje revizije.
• Stručni eksterni savjetnik vanjsku provjeru kvalitete obavlja u oko 30% ispitanih društava.
• Funkcija sprječavanja i istraživanja prijevara u nadležnosti unutarnje revizije, a ne kao zasebna funkcija
ili organizacijska jedinica.
• Sveukupno gotovo polovica društava ne provodi osposobljavanja i edukacije povezane sa upravljanjem
rizicima.
1717
Ivica PericaViši Menadžer
Odjel Poslovnog Savjetovanja
Telefon: +385 (1) 2351 921
Mobitel: +385 (91) 67 78 091
E-mail: [email protected]
Dražen RajakovićMenadžer
Odjel Poslovnog Savjetovanja
Telefon: +385 (1) 2351 940
Mobitel: +385 (91) 26 25 091
E-mail: [email protected]
The The RRole ole of of IInternalnternal AAuditudit in in
the the FinancingFinancing fromfrom EU EU
FFundsunds
The The RRole ole of of IInternalnternal AAuditudit in in
the the FinancingFinancing fromfrom EU EU
FFundsunds
Polona Pergar GuzajCIA, CFSA, CRMA
IIA Slovenia
Polona Pergar GuzajCIA, CFSA, CRMA
IIA Slovenia
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
PLENARNI DIO PLENARNI DIO -- 3. dan3. dan
“Očekivanja od interne “Očekivanja od interne revizije ulaskom u revizije ulaskom u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 20132013
In cooperation with
2
3
4
5
6
How can Internal Audit Helps?
• Awareness
• Transparency
• Timeliness
• Cooperation
• View from the Top
• Strategic view
• Honesty?
7
Funding opportunities and organization of
funding instruments
EU programmes
Decentralized programmes
(calls on national level)
Structural funds:
- European Regional Development Fund
- European Social Fund
Cohesion Fund
European Agricultural Fund for Rural Development
European Fisheries Fund
Centralized programmes
(calls on European Commision level)
Lifelong learning
Competitiveness and Innovation Framework Programme –CIP (EIP, ICT, IEE)
Seventh Framework Programme
LIFE +
Marco Polo II
Civil Protection Financial Instrument
9
Slovenia‘s efficiency in drawing EU funds
• financial perspective 2007-2013: Slovenia is eligible to
4,1 billion €
• in this year app. 1,1 billion € remain not allocated
• EC: Slovenia is above average in drawing funds
• exception: environmental and transport infrastructure
projects
• in the new perspective 2014-2020 Slovenia is eligible to
3,3 billion €, almost 1 billion € difference
10
What will the new EU financial framework bring:
2014-2020
• total funds lower than in the previous perspective
• more funds for competitiveness and employment growth
(+37%), safety and citizenship (+27%)
• less funds for common Cohesion policy (-8%) and
common Agricultural policy (-11 %).
• new financial framework also brings new rules:
– rationalization of the programmes
– simplified mechanisms and procedures for the
implementation of projects
• the goal of implementing new rules is the increase of
effectiveness of programmes and reducing the
administrative burdens
Slovenia, Croatia and
the new EU financial framework: 2014-2020
• Croatia„s efficiency in drawing pre-accession funds: 61%
• in 2013 Croatia is eligible to 655,1 mio € from the 2007-
2013 perspective
• in 2014-2020 financial framework Croatia is eligible to
11,7 billion €
• considering similar efficiency – 61% - this would result in
drawing around 7,1 billion €;
• HOW TO ACHIEVE BETTER RESULTS?
11
12
Stake-holders: EC – member country – beneficiaries /
investors
• EU – european strategic development documents and
associated legislation, forming of EU budget
• member country - national strategic development
documents and associated legislation, planning the use
of resources: operational programmes, public calls
• beneficiaries/investors – implementation of preparatory
work, preparation of projects and applications
13
Planning of funding on national level
• timely approval of national strategic documents defining
development objectives and operational programmes to
help achieve these goals;
• alocation transparency of cohesion policy funds,
intensive flows of information;
• development-oriented identification of priority areas and
conditions for the participation in public calls, long-term
rules on drawing funds for the same or similar content,
common administrative financial rules in public calls;
• clearly formed criteria and measures for allocation of
funds
Efficient organization of the implementation of
cohesion policy
14
Centralized management of funds is usually more efficient than decentralized management.
Implementation of cohesion policy programmes requires competent public workers with broadmultidisciplinary knowledge, which not many
people have, therefore dispersed management does not provide the appropriate level of quality management of funds, which can cause a lot of confusion, irregularities, unnecessary dilemmas,
etc.
Managing Authority
Certifying Authority
Audit Authority
Differences in allocating EU funds in public and
private sectors
• public sector:
– EU funds are used for financially unprofitable public
projects, that either do not provide direct financial inflows
(eg non-toll roads) or inflows are not high enough to cover
the cost of the project (eg water supply, sewerage)
– EU funds are granted up to 85% of the „funding gap“, which
represents the difference between the planned eligible costs
and revenues of the project during operation
• private sector:
– EU promotes innovative projects with high added value
15
16
17
Long-term project planning
• when the call for tenders is published, the preliminary
work for the preparation of the project must be in its final
stage, such as:
– regional and local strategic basis for the classification
of projects in the operational programmes
– environmental and spatial documents that are the
basis for the issue of permits and approvals
– project design documentation, obtained permits
– market analysis
– confirmed financial plans
– financial studies, prefeasibility and feasibility reports
18
Project preparation and application
• preparation of high-quality basis for the project is
extremely important for the following reasons:
projects objectives should be determined in line with the
strategic documents, the objectives must be achieved
usually within two years of project completion and are
subject to verification by the EC
in projects that bring direct financial effects, a justified
market analysis is extremely important and is reviewed and
verified by Jaspers and EC
EC requires a comparative analysis of several options of the
project
environmental protection and public informing procedures
are extremely important in the planning of the project
19
Project preparation and application
realistic time planning activities
realistic assessment of investment costs (engineering
project inventory including cost evaluation) enables
effective engagement of financial resources
project effect on the regional and national economy, added
value, innovation
risk management strategy
strict compliance with tender requirements and
implementation of the planned content of the project, in
order to avoid the return of funding
The motive for developing projects should not be the
acquisition of financial resources
Project management, monitoring and reporting
• projects should be managed by accurate and
qualified experts
• in the implementation of projects the
transparency of activities is extremely important: public tenders to select contractors
keeping a construction log, validating situations based on
project inventory and documenting all activities
prompt reporting of justified changes to the competent
authority, controling the use of allocated funds
any amendment to the objectives must be approved
20
21
Set-backs in funds allocation
• political and personal interests in allocation of sources
• insufficient skills of responsible public officials
• bureaucratic approach to the project appraisal
• inefficiency of information systems
• differences in requirements of public procurors
• rigidness of government legislation
• delays in the payment of claims
22
Support in Cohesion policy implementation
• Jaspers – (Joint Assistance to Support Projects
in European Regions) provides advice to the 12
new EU Member States and Croatia during
project preparation of the major projects
confirmed directly by EC
• regional development agencies - they can be
very helpful especially as catalysts and
facilitators in the implementation of major
interregional projects
• engagement of private funding into public
projects - PPP
Slovenia’s achievements and mistakes in drawing
EU funds are Croatia’s opportunities!
23
Best practice cases in Slovenia
• CF
– european funds for Slovenia‘s motorways
– Regional center for waste management Celje – joint project of
24 Municipalities in Savinjska region
• ERDF
• Airport Terminal Brnik
• construction of chairlift Kekec with ski piste extension in
Kranjska Gora
• development of a hybrid boat Greenline
• Hotel Palace Portorož renovation
• ESF
– project learning for younger adults
– young researchers in industry
24
What can go wrong?
25
Rimske terme Hildi Tovšak namesto manj kot enega plačale 13 milijonov? Med ovadenimi naj bi bil tudi nekdanji direktor term
20. julij 2011 ob 20:15,
zadnji poseg: 21. julij 2011 ob 20:20
Ljubljana - MMC RTV SLO/STA
Rimske terme Hildi Tovšak namesto manj kot enega plačale 13 milijonov? Med ovadenimi naj bi bil tudi nekdanji direktor term
20. julij 2011 ob 20:15,
zadnji poseg: 21. julij 2011 ob 20:20
Ljubljana - MMC RTV SLO/STA
Call for tenders for energy rehabilitation of
buildings
Example of a call which required a high level of
professionalism and awareness of beneficiaries:
the call for tenders allowed application without basic
documentation (project design documentation, energy
audit of buildings, investment documentation)
measures for the allocation of funds were based on the
estimated value of the project and estimated savings,
based on past energy bills and the estimated efficiency
after the rehabilitation
after the ratings of applications, the selected applicants
were required to submit all the necessary
documentation, if the data in the application were not
consistent with the information in the documents, the
application was rejected
26
Slovenia - Croatia: How to join forces?
• Transfer of the experiences on the fund drawing
- learn on others mistakes!
• joint european projects
• knowledge transfer
• business connections
27
28
Thank you for your attention!
E-mail: [email protected]
Web: http://si-revizija.si/iia
E-mail: [email protected]
Web: http://tempus-babnik.si
Funkcija interne revizije u
primjeni Zakona o
sprječavanju pranja novca i
financiranja terorizma
Funkcija interne revizije u
primjeni Zakona o
sprječavanju pranja novca i
financiranja terorizma
Nikolina Dominiković
HANFA
Nikolina Dominiković
HANFA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
55. . MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
PLENARNI PLENARNI DIO DIO -- 3. 3. dandan
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
SADRŢAJ
• Očekivanja od interne revizije
• Sustav upravljanja rizikom pranja novca i financiranja terorizma
• Preporuke za provjeru usklaĎenosti s zakonskom i podzakonskom
regulativom
"Utjecajnija funkcija interne revizije, koja ima jači odnos s
upravom preko revizijskog odbora, može imati znatno veću
ulogu u pomaganju tvrtkama u upravljanju rizikom, zaštiti
imovine i vraćanju povjerenja regulatora "
Phil Gray, glasnogovornik IIA-e (HSBC skandal)
Zakonodavni okvir
• Člankom 50. Zakona o sprječavanju pranja novca i
financiranja terorizma utvrĎena je obveza provoĎenja
redovne interne revizije sustava sprječavanja pranja
novca i financiranja terorizma
• Obveznici su dužni najmanje jednom godišnje osigurati
internu reviziju provoĎenja sprječavanja pranja novca i
financiranja terorizma
Interna revizija
• Neovisna provjera sukladnostidjelovanja sustava otkrivanja isprječavanja pranja novca ifinanciranja terorizma sodredbama Zakona o SPNIFT ipodzakonskih akata
• Reviziju provodi služba internerevizije ili drugi nadležan organ zanadzor (neovisnost)
• Revizija mora biti proporcionalnaobujmu poslovanja društva idokumentirana
Očekivanja od revizije?
• Sukladnost djelovanja sa zakonskim i podzakonskim odredbama
• Procjena učinkovitosti sustava sprječavanja pranja novca i financiranja
terorizma
• Identificirati bitne nedostatke i probleme
• Zaključci i prijedlozi za poboljšanje sustava
• Poboljšanje unutarnjeg sustava u otkrivanju sumnjivih transakcija i
osoba
Velika očekivanja od interne revizije!Velika očekivanja od interne revizije!
Povećani regulatorni zahtjevi!Povećani regulatorni zahtjevi!
Funkcioniranje sustava sprječavanja pranja Funkcioniranje sustava sprječavanja pranja
novca i financiranja terorizmanovca i financiranja terorizma
Osnovni pojmovi
• Pranje novca: izvršavanje radnji kojima se prikriva pravi izvor novca ili
druge imovine za koju postoji sumnja da je pribavljena na nezakonit
način u zemlji ili inozemstvu
• Financiranje terorizma: osiguravanje ili prikupljanje sredstava,
zakonitih ili nezakonitih, na bilo koji način, s namjerom da se
upotrijebe za počinjenje terorističkog kaznenog djela
Zakon o sprječavanju pranja novca i
financiranja terorizma (NN 87/08 25/12 NN)
Regulatorni okvir
• Preporuke Financial Action Task Force-a
• Zakon o sprječavanju pranja novca i financiranja terorizma (NN
87/08, 25/12)
• Smjernice nadležnih tijela
• Pravilnici Ministarstva financija
Aktualnosti u regulatornom okviru
Revidirane preporuke FATF-a - razjašnjene i istaknute mnogepostojeće obveze, zadržavajući pritom potrebnu stabilnost i strogost upreporukama, kao i nove i nadolazeće prijetnje
Pristup temeljen na procjeni rizika – jasniji i određenijizahtjevi
Politički izloţene osobe – domaće politički izloţene osobe
Mjere za sprječavanje financiranja terorizma i proliferacije
Slijedi:
• Donošenje 4. Direktive za sprječavanje pranja novca i financiranja terorizma
• Revidiranje Zakona o sprječavanju pranja novca i financiranja terorizma i podzakonskih akata
• Ažuriranje smjernica
Učinkovit Učinkovit
sustav sustav
SPNIFTSPNIFT
Procjena rizika Upravljanje rizicima
Provedba stalnog praćenja
Vrsta, poslovni profil i
struktura stranke
Geografsko porijeklo
stranke
Priroda poslovnog
odnosa proizvoda ili
transakcije
Prošla iskustva sa
strankom
Strategije i politike
Edukacija, razmjena
informacija,
osviještenost
Uspostava neovisnih
kontrola
Regulatorno okruženje
Razvijanje i provedba procesa
kontinuiranog praćenja aktivnosti
VoĎenje potrebnih evidencija
Obavještavanje o sumnjivim
transakcijama
Izvještavanje uprave obveznika
Uspostava sustava sprječavanja pranja novca i financiranja
terorizma
• gubitak za vlasnika
perači novaca traže “ranjive” institucije
rizici kojima je izložena institucija uslijed
nepravovaljanog sustava sprječavanja
pranja novca i financiranja terorizma
• operativni
rizik
prekršajne odredbe sukladno Zakonu o
sprječavanju pranja novca i financiranja terorizma
• reputacijski
rizik/gubitak posla
Compliance??
“Za izgradit ugled potrebno je dvadeset godina, a za uništit ga samo 5 minuta”
Warren Buffet
• UnaprjeĎuje sustave u organizaciji
• Onemogućava kriminalne aktivnosti
• Štiti vašu reputaciju
• Štiti vaše poslovanje
Što vi trebate učiniti?
Analiza i procjena rizika SPNIFT
Rad unutarnje revizije i njeno izvješće
Interni akt
Imenovanje ovlaštene osobe i njenog zamjenika
Edukacija djelatnika
ProvoĎenje mjera dubinske analize stranke
Obavješćivanje Ureda
Osiguranje, čuvanje i zaštita
podataka te voĎenje
propisanih evidencija
Uspostava odgovarajućeg informacijskog sustavaIzrada i stalno dopunjavanje liste
indikatora
ProvoĎenje mjera SPNIFT u poslovnim jedinicama i društvima u kojima obveznik ima većinski udio ili
većinsko pravo u odlučivanju, a koja imaju sjedište u trećoj državi
Usklađenost sa zakonskom i podzakonskom
regulativom
• Propisuje mjere, radnje i postupanja radi umanjivanja rizika pranja
novca i financiranja terorizma
• Mora biti:
– Primjeren opsegu poslovanja obveznika
– Izrađen u skladu sa specifičnostima obveznika
– Dostupan svim zaposlenicima
– Redovito revidiran
– Lista indikatora mora biti sastavni dio internog akta
Interni akt obveznika
Lista indikatora
• Svaki subjekt je dužan sastaviti listu indikatora za prepoznavanje
sumnjivih transakcija i osoba u vezi s kojima postoje razlozi za
sumnju na pranje novca ili financiranje terorizma i pri tome uzeti u
obzir specifičnost poslovanja
• Listu indikatora potrebno je redovito ažurirati, odnosno
dopunjavati i prilagoĎavati prema poznatim trendovima i
tipologijama pranja novca
Analiza i procjena rizika
• Analiza i procjena rizika trebaju osigurati učinkovitualokaciju sredstava na situacije višeg rizika
• Kategorije rizičnosti:1. Visoki rizik
2. Srednji (prosječni) rizik
3. Neznatni rizik
• Provjera sukladnosti izvedenih postupaka ocjenjivanjarizičnosti odreĎene stranke, poslovnog odnosa,proizvoda ili transakcije s politikom upravljanja rizicimapranja novca i financiranja terorizma
Postupak dubinske analize
• Mjere koje obveznici primjenjuju za sprječavanje pranja novca i
financiranja terorizma moraju biti proporcionalne identificiranom riziku
• Vrste dubinske analize: pojednostavljena, redovna i pojačana
• Provjera obuhvaća:
1. obveznik je proveo dubinsku analizu stranaka
2. obveznik je prikupio Zakonom propisane podatke o stranci i stvarnom vlasniku iste
3. proveden je postupak utvrĎivanja politički izložene osobe
4. provode se mjere praćenja poslovnih odnosa
5. dokumentiranost provedenih mjera
Ovlaštena osoba i edukacija djelatnika
• Radno mjesto ovlaštene osobe osobi mora omogućiti brzo, kvalitetno ipravodobno izvršavanje svih zadaća propisanih Zakonom i propisimadonesenima na temelju istoga
• Subjekti nadzora dužni su organizirati redovito stručno osposobljavanje iizobrazbu svih djelatnika koji obavljaju zadaću na području SPNFT
• Provjera obuhvaća:
1. Ovlaštena osoba je imenovana i o tome je obaviješten Ured za SPN
2. Ovlaštena osoba ispunjava sve propisane uvjete i zadaće
3. Obveznik ispunjava svoje obveze prema ovlaštenoj osobi
4. Program edukacije je dokumentiran i proporcionalan vrsti
i opsegu poslovanja obveznika
1. Stručno osposobljavanje i izobrazba su sveobuhvatni
2. Edukacija se provodi najmanje jednom godišnje
3. Osposobljavanje i izobrazba svih zaposlenika uključenih u
sustav SPNIFT
Uspostava odgovarajućeg informacijskog
sustava
• Sustav mora omogućiti korisniku i nadležnim institucijama brzo, pravodobno icjelovito raspolaganje podacima za sprječavanje pranja novca ili financiranjaterorizma Omogućuje jednostavno pretraţivanje informacija prikupljenih u okviru
dubinske analize
Omogućuje lakše prepoznavanje sumnjivih transakcija i praćenjetransakcija te osigurava učinkovit sustav dostave potrebnih podatakaUredu
Osiguranje, čuvanje i zaštita podataka te
vođenje propisanih evidencija
• Subjekti nadzora moraju voditi evidenciju:
- o strankama, poslovnim odnosima i transakcijama za koje je
provedena dubinska analiza
- podataka dostavljenih Uredu sukladno Zakonu (čl. 40. i 42.)
- o uvidima nadzornog tijela
• Zakon o sprječavanju pranja novca i financiranja terorizma propisuje
obvezu čuvanja podataka prikupljenih u skladu sa Zakonom i na
temelju njega donesenim propisima kao i tajnost prikupljenih
podatka i postupaka
Financiranje terorizma
• Obveznici su dužni redovito u svom poslovanju, odnosno pri
uspostavljanju poslovnog odnosa s klijentom izvršiti provjeru da li je
isti evidentiran na listama terorista, usporedbom podataka o klijentu s
podacima sadržanim na sankcijskim listama Vijeća sigurnosti UN-a
• http://www.mvep.hr/MVP.asp?pcpid=2547
Što revizor treba utvrditi?
Da li je procedura primjenjiva na
poslovanje obveznika?
Da li postoji jasan način identifikacije
klijenta?
Da li je izvršena analiza rizika?
Da li se kontinuirano prate i prijavljuju
sumnjive transakcije?
Da li se provode mjere dubinske
analize i da li su iste adekvatne?
Da li se provode mjere praćenja
poslovnog odnosa?
Da li je osigurana redovita i kvalitetna
edukacija zaposlenika?
Da li su uspostavljene odgovarajuće evidencije?
Da li se provjeravaju liste Vijeća
sigurnosti UN-a
U konačnici, potrebno je dati ocjenu funkcioniranja
cjelokupnog sustava za sprječavanje pranja novca
kao i prijedloge i savjete za unaprjeĎenje istoga!
Hvala na paţnji!!!
E-mail: [email protected]
POVEZANE ULOGEPOVEZANE ULOGEINTERNE RINTERNE REEVIZIJE I KOMVIZIJE I KOMPLAJEPLAJE NS FUNKCIJE U NS FUNKCIJE U
JAJAČANJU KORPORATIVNOG UPRAVLJANJAČANJU KORPORATIVNOG UPRAVLJANJA
POVEZANE ULOGEPOVEZANE ULOGEINTERNE RINTERNE REEVIZIJE I KOMVIZIJE I KOMPLAJEPLAJE NS FUNKCIJE U NS FUNKCIJE U
JAJAČANJU KORPORATIVNOG UPRAVLJANJAČANJU KORPORATIVNOG UPRAVLJANJA
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA5. MEĐUNARODNA KONFERENCIJA5. MEĐUNARODNA KONFERENCIJA
Doc dr. Slavko Rako čević, ovlaš ćeni revizorDoc dr. Slavko Rako čević, ovlaš ćeni revizor
“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.“Očekivanja od interne revizije ulaskom u EU”, Zadar 11.––13. travnja 2013.13. travnja 2013.
Rukovodilac Komplajens odjeljenja Hipotekarne banke AD Podgorica
Rukovodilac Interne revizije Wiener Stadtische životn o osiguranje AD Podgorica
Član Odbora za reviziju Evropske organizacije internih revizora ECIIA Brisel
Predsjednik Upravnog odbora Instituta internih revi zora Crne Gore
MODEL “TRI LINIJE ODBRANE ”
2Izvor: http://www.eciia.eu/
EU:1. Direktiva 2006/43/EC , od 17 maja 2006, o zakonskoj reviziji godišnjih
računa i konsolidovanih računa2. Vodič namijenjen Evropskim Odborima za reviziju-ecoDa, Brisel, Avgust
2011.3. Rezolucija Evropskog Parlamenta od 11 Maja 2011 u vezi Korporativnog
upravljanja u FI (2010/2303(INI))
NORMATIVNO I PROFESIONALNO UREĐENJE INTERNE REVIZIJE I KOMPLAJENS FUNKCIJE
4. Direktiva 2006/48/CE5. Direktiva 2006/49/CE6. Dokument Bazelskog Komiteta: Komplajens & funkcija usaglašavanja u
bankama (April 2005)7. Principi rukovođenja, upravljanja rizicima i kontrole: Povezane uloge
Interne revizije i Komplajens funkcije (IIA & Thompson Reuters-2011).
Crna Gora:1. Zakon o računovodstvu i reviziji 2. Zakon o bankama (Uslovi za sticanje zvanja ir i komplajens)3. Zakon o osiguranju (Komplajens? Odbor za reviziju?).........
3
DIREKTIVA 2006/43/EC
Član 41.- Svaki subjekat od “Javnog interesa” će uspostaviti Odbor za reviziju
Član 41(2b)......Odbor za reviziju će između ostalog , pratitiefikasnost interne kontrole društva, interne revizije, gdje postoji, isistem za upravljanje rizicima
4
NORMATIVNO I PROFESIONALNO UREĐENJE INTERNE REVIZIJE
Svako preduze će od “javnog interesa” je dužno da formiraOdbor za reviziju. Svaka država članica EU će odrediti da liće se Odbor za reviziju sastojati od ne-izvršnih članova izredova administrativnih tijela i/ili od članova iz redovaNadzornog tijela preduze ća koje je predmet kontrole, i/ili odčlanova odabranih od strane Skupštine akcionara preduze ćakoje je predmet kontrole .
5
koje je predmet kontrole .
Bar jedan član Odbora za reviziju mora biti nezavistan ikompetentan u oblasti ra čunovodstva i/ili revizije.
Član 41(1) VIII Direktive EU 2006/43/EC , od 17 maja2006, o zakonskoj reviziji godišnjih računa ikonsolidovanih računa
6
Rezolucija Evropskog Parlamenta od 11 Maja 2011 u v ezi Korporativnog upravljanja u FI ( 2010/2303(INI))
Tačka 56.
Poziv na dijalog između supervizorskih tijela i revizora (iinternih i eksternih) usled čega će institucije povećativjerovatnoću otkrivanja značajnih rizika u ranijoj fazi.
7
Odbor direktora i interna revizija su odgovorni da osigurajuda su interne kontrole uspostavljene na način kojiomogućava otkrivanje sistemskih rizika i da se usvojeprocedure kojima će se definisati informisanje Odbora itijela za nadzor nad rizicima u cilju sprjčavanjanegativnih posledica.
Izvor: http://www.europarl.europa.eu
USLUGE UVJERAVANJA U KVALITET ERM
8
Izvor: http://www.coso.org/
KOMPLAJENS FUNKCIJA
Internakontrola
9
kontrola
Eksterna revizija
Internarevizija
Compliance
KO JE NADLEŽAN ZA KOMPLAJENS FUNKCIJU U KOMPANIJI ?
Komplajens funkcija = Sistem-zaposleni odgovoni za komplajens!
Pristup« od vrha ka dnu» , ali su svi ostali uključeni u proces!
ODBOR DIREKTORA :
10
� Promoviše komplajens KULTURU� Utvrđuje komplajens PRINCIPE� Daje saglasnost na komplajens Politiku i Povelju� Obezbjeđuje da kompanija uspostavi adekvatnu KOMPLAJENS FUNKCIJU� Godišnje vrši procjenu upravljanja rizikom komplajensa� Obezbjeđuje da Komplajens funkcija ima pravo direktne komunikacije
sa predsjednikom Odbora direktora� Obezbjeđuje da Komplajens funkcija ima pravo na korišćenje usluga
spoljnjih eksperata
Koje su odgovornostiKomplajens Funkcije u kompaniji?
� Identifikuje i procjenjuje rizike komplajensa� Identifikuje potrebu za internim pravilima / zahtjeve
regulatora�Uspostavljanje postupaka i uputstava za implementaciju
komplajens politike�Uključivanje u izradu i pružanje konsultantskih usluga pri
implementaciji kontrolnih procedura
11
implementaciji kontrolnih procedura�Redovni nadzor poštovanja komplajens politike
(saradnja sa internom revizijom)�Centralizovanje informacija u vezi sa komplajens
temama�Analiziranje komplajens tema, davanje preporuka sa
komplajens aspekta u cilju otklanjanja propustai nedostataka.
Izvor: Dokument: “Definicija funkcije rukovodilaca komplajensa”, Udruženje komplajens rukovodioca Luksemburga
Koje su odgovornostiKomplajens Funkcije u kompaniji?
�Obezbjeđuje praćenje sprovođenja korektivnihmjera- akcioni plan
�Pruža podršku i savjete višem menadžmentu�Utiče na podizanje svijesti o značaju komplajensa i
razvija programe obuke�Zastupanje kompanij u komunikacijama sa državnim
12
�Zastupanje kompanij u komunikacijama sa državnimtijelima nadležnim za poslove SPN/FT ….
�Prikupljanje dokaza u cilju praćenja sprovođenjakorektivnih mjera i usvajanje zaključaka po ovomosnovu
�Izvještava viši menadžment/Odbor direktorakompanije
PRINCIPI BAZELSKOG KOMITETA U VEZI KOMPLAJENS FUNKCIJE
10 PRINCIPA - April 2005
• Odgovornost Odbora direktora u vezi komplajensa:Princip 1
• Odgovornost višeg menadžmenta u vezi komplajensa:Principi 2, 3, 4
13
Principi 2, 3, 4 • Principi Komplajens Funkcije:
Principi 5, 6, 7, 8 • Ostala pitanja: pitanja prekogranične saradnje, korišćenje
spoljnjih konsultantskih usluga (outsourcing)Principi 9, 10
ANKETA NA TEMU “KOMPLAJENS INCIDENTI”
14
IMPLEMENTACIJA REGULATORNIH ZAHTJEVA
> Razlozi:Neusaglašenost sa zakonom, regulativama,podzakonskim aktima i profesionalnim standardima
> Posledice:- Sudski procesi, kazne
15
- Finansijski gubitak- Narušavanje reputacije
U vršenju uloge praćenja i obezbjeđenja usklađenosti, Komplajensslužbenik je ovlašćen za izricanje disciplinskih mjera sa ciljem slanjajasne poruke da propuštanje usaglašavanja sa politikama povlačiadekvatne negativne posledice
(Izvor:Fundamentals of GRC: The Connected roles of Internal Audit and Compliance (IIA & Thompson Reuters-2011)
Oblasti kontrole Komplajens funkcije
Riziklikvidnosti
Rizik ITtehnologije
Rizik deviznog poslovanja
Rizik opštih troškova
Regulatornirizik
Inflatorni
16
Očekivaniprofit
Rizik solventnosti
Kreditni rizik
Operativnirizik
Rizik kamatnih
stopa
Tržišni rizik
Rizik plaćanja
Inflatornirizik
SARADNJA SA INTERNOM REVIZIJOM?
• Rizik komplajensa treba uključiti u metodologiju procjenerizika od strane interne revizije
• Godišnji program revizije treba da sadrži i procjenuadekvatnosti i efikasnosti komplajens funkcije
17
adekvatnosti i efikasnosti komplajens funkcije
• Interna revizija procjenjuje/testira usaglašenostkomplajens kontrolnih postupaka sa procijenjenimnivoom rizika komplajensa
• Interna revizija obavještava komplajens funkcijuo nalazima u vezi sa komplajens temama
Preporuke Bazelskog Komiteta za superviziju banaka
PRINCIPI USPOSTAVLJANJA ODBORA ZA REVIZIJU???
• Fizički sastanak 2-3 sedmice prije sastanka OR.• Odbor: princip jednakih zaduženja svih članova
odbora i kolektivna odgovornost• Izvještavanje -Predsjedavajući podnosi izvještaj Odboru
18
• Izvještavanje -Predsjedavajući podnosi izvještaj Odboru direktoru nakon svakog sastanka (kopija internom revizoru)
• Prisustvo : Izvršni Direktor, Rukovodilac interne revizije,stariji partner eksterne revizorske kuće, FinansijskiDirektor, Sekretar organizacije i, po potrebi, određenistručnjaci.
PROCJENA EFIKASNOSTI ODBORA ZA REVIZIJU???
• KO VRŠI PROCJENU???
Odbor za reviziju (OD, Nadzorni odbor)
Pri procjeni Odbor za reviziju polazi od :
19
Pri procjeni Odbor za reviziju polazi od :
•Poređenje aktivnosti Odbora za reviziju sa relevantnimnacionalnim/međunarodnim smjernicama i preporukama;
•Poređenje aktivnosti Odbora za reviziju sa praksom drugih značajnih organizacija;
•Poređenje aktivnosti Odbora za reviziju sa prethodno utvrđenim kriterijima;
•Poređenje aktivnosti-realizacije Odbora za reviziju sa zahtjevima definisanimPoslovnikom o radu.
“Istraživanje “Istraživanje –– stanje interne stanje interne
revizije u hrvatskoj u 2012.revizije u hrvatskoj u 2012.”
“Istraživanje “Istraživanje –– stanje interne stanje interne
revizije u hrvatskoj u 2012.revizije u hrvatskoj u 2012.”
Ime i prezime: Tamara Maćašović
Organizacija: PricewaterhouseCoopers d.o.o.
Ime i prezime: Tamara Maćašović
Organizacija: PricewaterhouseCoopers d.o.o.
HRVATSKI INSTITUT INTERNIH REVIZORAHRVATSKI INSTITUT INTERNIH REVIZORA
5. 5. MEĐUNARODNA KONFERENCIJAMEĐUNARODNA KONFERENCIJA
“Očekivanja od interne revizije ulaskom “Očekivanja od interne revizije ulaskom u u EU”, Zadar 11.EU”, Zadar 11.––13. 13. travnja travnja 2013.2013.
2
Cilj ovog istraživanja
• organizacija i praksa interne revizije u hrvatskim tvrtkama
• neovisna analiza ključnih trendova i glavnih tema
Organizacija istraživanja
• istraživanje provedeno od 12. – 14. travnja 2012. na konferenciji HIIR-a u
Umagu
• od 130 internih revizora (74 tvrtke) – zaprimljeno je 66 popunjenih upitnika
• rezultate istraživanja usporedili smo s prethodnim istraživanjem koje je
obavljeno u 2009. godini
Rezultati istraživanja
• bolje razumijevanje trenutne tržišne situacije
• pokretač diskusije i promjene unutar pojedinih hrvatskih tvrtki
Uvod
Organizacija
• Za potrebe istraživanja, sudionici su podijeljeni u tri sektora: financijske usluge,
državna tijela i javna uprava, te sektor ostalih
3
36%
31%
9%
7%
3%
3%3%
1% 1% 1%Financijske usluge, 36%
Državna tijela i javna uprava, 31%
Energetika (nafta i plin, električna energija), 9%
Industrijska proizvodnja, 7%
Automobilska industrija i prijevoz, 3%
Informatika i tehnologija, 3%
Telekomunikacije, 3%
Farmaceutska i kemijska industrija, 1%
GraĎevinska industrija i nekretnine, 1%
Turizam, 1%
Slika 1: Kojem sektoru/području pripada vaša organizacija?
4
• Većina odjela za internu reviziju su mali.
• Državna tijela i javna uprava - 1 do
3 revizora (74%),
• Sektor ostalih - do 6 revizora (68%).
• Sektor financijskih usluga – 5 ili više
revizora (63%).
• U više od polovice ispitanika (52%) u
posljednje tri godine odjel za internu
reviziju zadržao je isti broj zaposlenika, a u
trećine (33%) je porastao.
• Trend smanjenja koji je uočen odnosi se
uglavnom na ispitanike iz sektora
financijskih usluga.
Slika 5a: Koliki je bio ukupan broj zaposlenih u Odjelu interne revizije u 2011. godini?
Slika 5b: Kretanje broja zaposlenih u Odjelu interne revizije u posljednje 3 godine
Organizacija
5
Slika 6: Kome je unutar vaše organizacije odgovoran direktor interne revizije? (Sektor financijskih usluga i sektor ostalih)
• Interni revizori najčešće su odgovorni
izvršnom menadžmentu (Predsjedniku
Uprave, Generalnom direktoru i/ili
Upravi), odnosno 88% u financijskom
sektoru i 95% u sektoru ostalih.
• U financijskom sektoru, 38% internih
revizora su odgovorni Nadzornom
odboru, a 42% i Revizorskom odboru.
• U financijskom sektoru, uočen je
negativna trend u postotku onih koji su
odgovorni revizorskom odboru u odnosu
na istraživanje iz 2009. godine, dok se
vidi porast od 14% broja direktora
interne revizije koji su odgovorni
Revizorskom odboru u sektoru ostalih.
Radna praksa
Radna praksa
• U sektoru financijskih usluga, interni revizori
imaju čestu komunikaciju (10 i više susreta
godišnje) s Upravom, financijskim direktorom
i direktorima poslovnih jedinica. Komunikacija
s Revizorskim odborom je povremena (4 do
10 susreta godišnje) za 69% ispitanika.
• U sektoru ostalih, interni revizori imaju čestu
komunikaciju (više od 10 susreta godišnje) s
Upravom. Komunikacija s financijskim
direktorom, direktorima poslovnih jedinica i
Nadzornim odborom je povremena (4 do 10
susreta godišnje), a puno rjeĎa (manje od 4
susreta godišnje) s Revizorskim odborom i s
vanjskim revizorima.
6
Slika 7: Koja je učestalost komunikacije internog revizora s Upravom, financijskim direktorom, direktorima poslovnih jedinica, Nadzornim odborom, Revizorskim odborom te vanjskim revizorima?
7
• Većina internih revizora usmjereno
je na provjeru internih kontrola,
reviziju usklaĎenosti sa zakonima i
propisima te unaprjeĎenje
poslovnih procesa.
• Svi ispitanici su dali više od jednog
odgovora, a 15% ispitanika izjavilo
je da su usredotočeni na sva
spomenuta područja.
• U odnosu na istraživanje iz 2009.
godine, funkcionalno težište interne
revizije je općenito ostalo prilično
dosljedno.
Slika 8: Koje je funkcionalno težište interne revizije?
Radna praksa
• Prema odgovorima ispitanika u
istraživanju, zabilježen je trend
povećanog naglaska interne revizije u
zadnje tri godine u sljedećim
područjima: ispitivanje kvalitete
internih kontrola (86%), operativni rizici
(58%) i učinkovitost upravljanja
rizicima (58%).
• U tom istom razdoblju, naglasak
interne revizije na područje
usklaĎenosti rizika (72%) i izloženosti
prema trećim stranama (69%) bio je
konstantan.
8
Slika 10: Tijekom rada interne revizije u 2011. godini (u usporedbi s 2010. i 2009. godinom), kako je promijenjen naglasak revizije?
Radna praksa
9
• Izvan financijskog sektora, gotovo
polovina ispitanika (48%) najvećim
problemom smatra „nedovoljnu
komunikaciju izmeĎu interne revizije i
ključnih nositelja interesa“, što je blago
povećanje u odnosu na istraživanje iz
2009. godine.
• Četvrtina ispitanika (27%) sljedećim
glavnim problemom smatra „nedostatak
sposobnog stručnog osoblja“, što je u
skladu s odgovorima istraživanja iz 2009.
godine (24%).
• U sektoru financijskih usluga (25%), još
jedan problem je „nedovoljna
usredotočenost na ključne poslovne rizike
i probleme. U državnom sektoru, ispitanici
(33%) su to naveli kao jedan od najvećih
problema, što u istraživanju iz 2009.
godine uopće nije bilo navedeno.
Slika 11: Što je najveći problem vaše interne revizije?
Radna praksa
10
• U istraživanju iz 2009. godine, ispitanici
(78%) su naveli da je planirani budžet
za 2010. godinu za funkciju interne
revizije ostao isti kao i za 2009. godinu.
Samo 16% ispitanika planiralo je veći
budžet za 2010. godinu.
• Manje od polovice ispitanika (47%)
navodi da su razine budžeta ostale iste
u 2011. godini, a 49% ispitanika očekuje
da će ostati isti i u 2012. godini.
• Trend povećanja budžeta iz godine u
godinu zabilježeno je kod 31% ispitanika
za 2011. godinu i očekuje se kod 32%
ispitanika za 2012. godinu.
• Trend smanjenja budžeta za internu
reviziju je takoĎer vidljiv, a odnosio se
na 18% ispitanika u sektoru ostalih, dok
se za 2012. godinu očekuje smanjenje
za 20% ispitanika u sektoru financijskih
usluga.
Slika 12: Kretanje budžeta/proračuna za funkciju interne revizije u posljednje 3 godine
Radna praksa
11
• Najveće uštede su
planirane/ostvarene na troškovima
osoblja (primanja osoblja su
zamrznuta ili smanjena za 55%
ispitanika i nametnuta je obustava
zapošljavanja za 38% ispitanika).
• U sektoru ostalih, uštede su
ostvarene i na području podrške
vanjskih suradnika za trećinu
ispitanika (35%).
• U sektoru državnih tijela i javne
uprave, troškovi su smanjeni kroz
rjeĎa putovanja za četvrtinu
ispitanika (26%).
Slika 13: Na kojem su području planirane/ostvarene najveće uštede?
Radna praksa
Radna praksa
• Većina ispitanika (60%) smatra da njihova funkcija interne revizije ima odgovarajući
status u njihovoj tvrtki.
• U sektoru financijskih usluga, postotak pozitivnih odgovora je bio vrlo visok (81%) i na
istoj razini kao i istraživanje iz 2009. godine (79%).
• Izvan sektora financijskih usluga, u odnosu na istraživanje iz 2009. godine, u ovom
području zabilježen je negativan trend.
12
Slika 14: Smatrate li da interna revizija ima odgovarajući status u vašoj organizaciji u obliku potpore unutar organizacije?
• Kraći ciklusi revizije su češći u sektoru financijskih usluga. MeĎutim, uočen je trend
povećanja trajanja ciklusa s jednog mjeseca i manje (74% ispitanika u 2009. godini)
na trajanje od jednog do tri mjeseca (77% ispitanika u 2012. godini) u tom sektoru.
• Izvan sektora financijskih usluga, revizori imaju duže cikluse revizije. MeĎutim, postoji
tendencija pada trajanja ciklusa s tri do šest mjeseci (67% ispitanika u 2009. godini)
na trajanje od jednog do tri mjeseca (57% ispitanika u 2012. godini).
13
Slika 16: Prosječno vrijeme trajanja ciklusa projekata interne revizije (od početka planiranja revizije do podnošenja konačnog revizijskog izvješća)
Radna praksa
Radna praksa
• Pola vremena utrošeno je na terenski rad, dok je četvrtina vremena utrošena na
planiranje revizije (24%) i na izvještavanje do trenutka izdavanja završnog izvještaja
(26%) unutar ciklusa jednog projekta. MeĎutim, uočene su značajne oscilacije meĎu
odgovorima pojedinih ispitanika.
14
Slika 17: Koji postotak vremena unutar ciklusa jednog projekta interna revizija posvećuje sljedećim kategorijama?
• U usporedbi s istraživanjem u 2009. godini, uočeno je češće korištenje ankete o
zadovoljstvu korisnika revizije (ili drugih rukovoditelja) odnosno povećanje s 15% na
49% ispitanika, dok je smanjenja upotreba pismenih ili usmenih povratnih informacija
od viših rukovoditelja ili Revizijskog odbora s 85% na 71% ispitanika u 2012. godini.
15
Slika 18: Na koji način vaš odjel za internu reviziju mjeri svoju učinkovitost?
Kvaliteta rada
• Više od polovice (62%) ispitanika navelo je da interna revizija pokriva informacijske
tehnologije i povezane rizike, vrlo slično istraživanju u 2009. godini (65%).
• Broj ispitanika izvan sektora financijskih usluga koji pokrivaju informacijske
tehnologije i povezane rizike u sklopu interne revizije smanjen je na 54% (odnosno
53% u istraživanju u 2009. godini).
16
Slika 19: Pokriva li interna revizija i reviziju informacijske tehnologije i povezanih rizika?
IT revizija
• IT reviziju većinom provode interni IT revizori (59%).
• Više od trećine (37%) koristi usluge vanjskog suradnika
• 17% internih revizora sami obavljaju reviziju informacijske tehnologije.
17
Slika 21: Tko provodi reviziju informacijske tehnologije?
IT revizija
18
Uočene promjene u zadnjih tri godine
• Nije bilo značajnih promjena u broju zaposlenika interne revizije, a tamo gdje je
došlo do povećanja zaposleno je 1-2 novih revizora.
• Interna revizija više posvećuje vremena internom savjetovanju.
• Povećani naglasak interne revizije u sljedećim područjima: ispitivanje kvalitete
internih kontrola, operativni rizici i učinkovitost upravljanja rizicima.
• Najvećim problemom interni revizori smatraju nedovoljnu komunikaciju izmeĎu
interne revizije i ključnih nositelja interesa, nedostatak sposobnog stručnog
osoblja, i nedovoljna usredotočenost na ključne poslovne rizike i probleme.
• Najveće uštede su planirane/ostvarene na troškovima osoblja, odnosno
primanja osoblja su zamrznuta ili smanjena i nametnuta je obustava
zapošljavanja.
• Vezano uz kvalitetu rada, uočeno je češće korištenje ankete o zadovoljstvu
korisnika, dok je smanjenja upotreba pismenih ili usmenih povratnih informacija
od višeg menadžmenta.
• Interna revizija u pogledu pokrića informacijske tehnologije i povezane rizike je
ostala na istoj razini u zadnjih tri godine.
Zaključak