Prirucnik Za Internu Reviziju Bos

Prirunik za internu reviziju sa standardima interne revizije

S A D R A J

1. Uvod u internu reviziju 1 2. Procjena rizika, planiranje i vrste revizije

2.1. Planiranje revizije 6 6

2.1.1. Strateki plan 2.1.2. Godinji plan 2.1.3. Plan pojedinane revizije/operativni plan

6 11 11

3. Proces interne revizije 13 3.1. Pokretanje interne revizije 13 3.2. Obavljanje interne revizije 13 3.2.1. Priprema i planiranje pojedinane revizije 14 3.2.2. Utvrivanje i dokumentiranje sistema 14 3.2.2.1. Prikupljanje i analiziranje informacija o revidiranom procesu 14 3.2.2.2. Uvodna izjava 16 3.2.2.3. Poetni sastanak 17 3.2.3. Identificiranje i ocjena kontrola

3.2.3.1. Procjena sistema internih kontrola 3.2.3.1.1. Identificiranje detaljnih rizika i oekivanih kontrola 3.2.3.1.2. Utvrivanje postojeih kontrola 3.2.3.1. 3. Poetna procjena postojeih internih kontrola

17 18 19 21 21

3.2.4. Testiranje kontrola 22 3.2.4.1. Testovi usaglaenosti i dokazni testovi 23 3.2.4.2. Uzorkovanje 23 3.2.4.3. Tehnike testiranja 25 3.2.5. Donoenje zakljuaka ocjena sistema kroz formuliranje nalaza, miljenja i

preporuka 26 3.2.5.1. Formuliranje i procjena nalaza 27 3.2.5.2. Struno revizorsko miljenje 28 3.2.5.3. Davanje preporuka 29 3.2.6. Izvjetavanje 30 3.2.6.1. Struktura revizorskog izvjetaja 31 3.2.6.2. Faze u postupku izvjetavanja 31 3.2.7. Praenje realizacije preporuka 32 4. Nadzor 33 5. Dokumentiranje i revizorski dosje-tekui i stalni revizorski dosje 35 6. Nepravilnosti i prevare 37 7. Spisak priloga 38


1

1. Uvod u internu reviziju

Prirunik za internu reviziju sa standardima interne revizije (u daljem tekstu: Prirunik) namijenjen je internim revizorima u institucijama Bosne i Hercegovine. Svrha prirunika za interne revizore je definiranje metodologije rada i obavljanja interne revizije u institucijama/budetskim korisnicima koji se finansiraju iz budetskih sredstava institucija BiH, a u skladu sa Zakonom o internoj reviziji institucija BiH (''Slubeni glasnik BiH'', broj 27/08). Prirunik treba pomoi u usvajanju strune terminologije, razumijevanju i prihvatanju revizorskih tehnika koje e u svom radu primjenjivati interni revizori u institucijama BiH. U cilju standardiziranja naina obavljanja interne revizije, Okvirni prirunik za internu reviziju odobrio je Koordinacioni odbor centralnih jedinica za harmonizaciju (KO CJH). Metodologija propisana ovim Prirunikom razvijena je u skladu sa Okvirnim prirunikom odobrenim od KO CJH, te potrebama i specifinostima institucija Bosne i Hercegovine. Takoer, ovaj Prirunik prilagoen je praksi javnog sektora i u skladu je sa meunarodnim standardima interne revizije. Prirunik je pripreman u skladu sa iskustvima steenim na do sada provedenim pilot revizijama u okviru Projekta PIFC, koje su odrane u saradnji sa ekspertima konsultantske kue PKF angairanom od strane Evropske komisije u cilju pruanja podrke uvoenju sistema javne interne finansijske kontrole u BiH. Takoer, za izradu ovog Prirunika koritena su i iskustva internih revizora i iskustva konsultanata Projekta, a Prirunik predstavlja rezultat rada Centralne harmonizacijske jedinice Ministarstva finansija i trezora BiH. Prirunik za interne revizore dostupan je u elektronskoj formi na web sajtu Centralne harmonizacijske jedinice Ministarstva finansija i trezora BiH (CHJ). Svaki rukovodilac jedinice za internu reviziju i svaki interni revizor odgovoran je za primjenu metodologije rada propisane ovim Prirunikom za interne revizore. Prirunik za interne revizore daje okvirne smjernice za obavljanje poslova interne revizije u institucijama BiH. Jedinice za internu reviziju mogu, zbog potrebe prilagoavanja specifinostima poslovanja pojedinih korisnika budeta i specifinostima njihovog rada, pripremiti svoje dodatke priruniku i dostaviti ih Centralnoj harmonizacijskoj jedinici Ministarstva finansija i trezora BiH na saglasnost. Da bi metodologija i procedure rada interne revizije mogla ostati dosljedna najboljoj praksi i odraavati promjene u zakonskom i revizorskom okruenju vrit e se auriranje Prirunika za interne revizore. Rukovodioci jedinica za internu reviziju i interni revizori trebaju koristiti Prirunik i propisanu metodologiju uz struno rasuivanje kako bi Prirunik prilagodili svojim specifinim potrebama. Na nivou institucija BiH, oblast interne revizije regulirana je Zakonom o internoj reviziji institucija BiH (''Slubeni glasnik BiH'', broj 27/08).


2

Sistem javne interne finansijske kontrole (u daljem tekstu: PIFC) odreen je kao cjelokupan sistem finansijskih i drugih kontrola uspostavljen od rukovodioca organizacije s ciljem uspjenog upravljanja i ostvarivanja zadataka institucije. PIFC se sastoji od tri osnovna elementa:

finansijskog upravljanja i kontrole, interne revizije i centralne harmonizacijske jedinice.

U ovom Priruniku bavit emo se internom revizijom. Interna revizija definira se na sljedei nain: Interna revizija je nezavisno, objektivno uvjeravanje i konsultantska aktivnost kreirana s ciljem da se doda vrijednost i unaprijedi poslovanje organizacije. Ona pomae organizaciji da ostvari svoje ciljeve osiguravajui sistematian, discipliniran pristup ocjeni i poboljanju efikasnosti upravljanja rizikom, kontrolama i procesima upravljanja. Iz ove definicije jasno je da interna revizija :

jeste dio sveobuhvatnog sistema interne finansijske kontrole u javnom sektoru, jeste nezavisna i objektivna aktivnost davanja strunog miljenja i savjeta s ciljem

dodavanja vrijednosti i poboljanja poslovanja organizacije, prua pomo organizaciji u ostvarivanju ciljeva primjenom sistematinog i discipliniranog

pristupa vrednovanju i poboljanju efektivnosti procesa upravljanja rizicima, kontrolama i menadmentu.

Interna revizija prua podrku organizaciji u ostvarivanju ciljeva i to : 1. Izradom stratekih i godinjih planova interne revizije baziranih na procjeni rizika, te obavljanjem pojedinanih internih revizija u skladu sa usvojenim planovima; 2. Procjenom prikladnosti i efektivnosti sistema finansijskog upravljanja i kontrola u odnosu na:

utvrivanje, procjenu i upravljanje rizicima, usaglaenost sa zakonima i drugim propisima, pouzdanost i sveobuhvatnost finansijskih i drugih informacija, efikasnost, efektivnost i ekonominost poslovanja, zatitu imovine i informacija, obavljanje zadataka i ostvarivanje ciljeva;

3. Davanjem preporuka za poboljanje poslovanja. Standardi interne revizije podrazumijevaju kriterije za obavljanje, procjenjivanje i mjerenje rada interne revizije. Namijenjeni su predstavljanju prakse interne revizije onakvom kakva bi ona trebala biti. Standardi interne revizije oblikovani su tako da ih cjelokupna profesija interne revizije moe koristiti u svim vrstama organizacija / institucija u kojima rade interni revizori. Ovaj Prirunik izraen je u skladu sa Meunarodnim standardima profesionalne prakse interne revizije koji su dostupni na web sajtu Globalnog instituta internih revizora (www.theiia.org).


3

Tri su osnovne grupe standarda:

atributivni standardi, radni standardi i standardi implementacije.

Atributivni standardi opisuju karakteristike organizacija i poslovnih subjekata koji obavljaju poslove interne revizije, a to su:

- svrha, ovlatenja i odgovornosti, - nezavisnost i objektivnost, - strunost i duna profesionalna panja, - osiguranje i poboljanje kvaliteta rada interne revizije.

Radni standardi opisuju prirodu poslova interne revizije i odreuju kriterije na osnovu kojih se ocjenjuje kvalitet rada interne revizije, a to su:

- upravljanje internom revizijom, - priroda posla interne revizije, - planiranje rada interne revizije, - obavljanje poslova interne revizije, - saopavanje rezultata izvjetavanje, - praenje toka revizije, - prihvaanje rizika od strane rukovodstva.

Kao proirenje i nadopuna atributivnih i radnih standarda, standardi implementacije pruaju uputstva koja su primjenjiva za specifine vrste revizorskih poslova. U skladu sa navedenim standardima, jedinica za internu reviziju organizira se na najviem organizacionom nivou te je organizaciono i funkcionalno direktno i iskljuivo odgovorna rukovodiocu institucije. Funkcionalna nezavisnost jedinice za internu reviziju ostvaruje se njenom nezavisnou od drugih organizacionih oblika institucije, u planiranju rada, provoenju interne revizije i izvjetavanju. Jedinica za internu reviziju ili interni revizori ne mogu biti ukljueni u izvravanje direktnih i izvrnih funkcija institucije. Pored navedenih standarda interni revizori u svom radu trebaju koristiti i druge akte (pravilnike, procedure, smjernice i sl.), ali i druge standarde i smjernice koji su primjenjivi za rad internih revizora, kao to su to pojedine INTOSAI i ISSAI smjernice i standardi. U prilogu ovog Prirunika dati su Standardi interne revizije (Prilog 1). Poveljom interne revizije ureuje se opi pristup interne revizije, svrha i cilj, nezavisnost, uloga i djelokrug interne revizije, odgovornost rukovodioca jedinice za internu reviziju/internog revizora, kao i ovlatenja pristupa dokumentaciji, kadrovima i fizikoj imovini koja je relevantna za obavljanje angairanja, te se definira obim aktivnosti interne revizije, izvjetavanje i postupci u sluaju identificiranja indikatora prevare. Povelju internih revizora priprema rukovodilac jedinice za internu reviziju na osnovu prijedloga koji je objavila Centralna harmonizacijska jedinica (CHJ).


4

Uz rukovodioca organizacije, Povelju potpisuje i rukovodilac jedinice za internu reviziju. Potpisana Povelja dostavlja se nadlenoj Centralnoj harmonizacijskoj jedinici radi uspostavljanja, voenja i odravanja Registra povelja internih revizora. U prilogu ovog Prirunika dat je tekst Okvirne povelje. Etiki kodeks internih revizora sadri naela i pravila kojih su se duni pridravati interni revizori kako bi u obavljanju svojih zadataka bili nezavisni, objektivni i poteni. Pored toga interni revizori moraju se neprestano usavravati s ciljem unapreenja kvaliteta rada. Prihvatanje i primjena Kodeksa doprinosi povjerenju u interne revizore i njihov rad. U prilogu ovog Prirunika dat je Okvirni etiki kodeks. Centralna harmonizacijska jedinica (CHJ), podrazumijeva organizaciju (jedinicu), uspostavljenu u okviru Ministarstva finansija i trezora Bosne i Hercegovine, zaduenu za nadzor nad implementacijom propisa iz oblasti interne revizije, koordinaciju rada jedinica interne revizije iz institucija Bosne i Hercegovine i izvjetavanje o pomenutim aktivnostima. Centralnu harmonizacijsku jedinicu Ministarstva finansija i trezora Bosne i Hercegovine uspostavlja Vijee ministara Bosne i Hercegovine u okviru Ministarstva finansija i trezora Bosne i Hercegovine, ovlatena je za razvoj, rukovoenje i koordinaciju interne revizije u institucijama Bosne i Hercegovine, a odgovorna je za:

1) Pripremu prijedloga za izmjene Zakona o internoj reviziji u institucijama Bosne i Hercegovine, nakon usaglaavanja u Koordinacionom odboru CJH, 2) Pripremu i implementaciju programa obuke i certificiranje internih revizora institucija Bosne i Hercegovine, nakon usaglaavanja programa obuke u Koordinacionom odboru CJH, 3) Usvajanje i implementaciju standarda za internu reviziju u institucijama BiH i Kodeksa profesionalne etike za interne revizore, nakon usaglaavanja u Koordinacionom odboru CJH, 4) Usvajanje i implementaciju radne metodologije interne revizije, nakon usaglaavanja u Koordinacionom odboru CJH, 5) Usvajanje i implementaciju Strategije razvoja interne revizije u javnom sektoru nakon usaglaavanja u Koordinacionom odboru CJH, 6) Davanje saglasnoti na pravilnike o sistematizaciji organizacija koje uspostavljaju jedinice interne revizije u dijelu koji se odnosi na internu reviziju, 7) Koordinaciju rada jedinica interne revizije u institucijama Bosne i Hercegovine i uspostavljanje veza sa dravnim i meunarodnim institucijama na podruju interne revizije, 8) Davanje saglasnosti na izbor rukovodioca Jedinice za internu reviziju i na uspostavljanje Odbora za internu reviziju, 9) Saradnju sa Uredom za reviziju institucija Bosne i Hercegovine u cilju ostvarivanja efikasne i djelotvorne interne i eksterne revizije, 10) Nadzor nad implementacijom svih primjenljivih regulativa za internu reviziju od strane jedinica za internu reviziju, 11) Rjeavanje neslaganja u miljenjima, po zahtjevu i potrebi, izmeu rukovodioca interne revizije i rukovodioca organizacije.

Koordinacioni odbor centralnih jedinica za harmonizaciju (KO CJH), predstavlja tijelo koje sainjavaju rukovodioci Centralne harmonizacijske jedinice Ministarstva finansija i trezora Bosne i


5

Hercegovine, Centralne jedinice za harmonizaciju Federacije Bosne i Hercegovine i Centralne jedinice za harmonizaciju Republike Srpske, koje se uspostavlja sa primarnim ciljem harmonizacije politika, procedura i aktivnosti na polju interne revizije javnog sektora u Bosni i Hercegovini, te uz to, predlaganja amandmana na zakone o internoj reviziji i druge zakone i regulative relevantne za internu reviziju, usvajanja podzakonskih akata iz oblasti interne revizije, kodeksa etike za interne revizore, razvijanja i/ili provoenja programa obuke, te razvijanja i provoenja programa za certificiranje internih revizora. Koordinacioni odbor CJH je, u skladu sa Zakonom o internoj reviziji institucija BiH, odgovoran za harmonizaciju regulative iz oblasti interne revizije u javnom sektoru na cijeloj teritoriji BiH. Koordinacioni odbor CJH je odgovoran za sljedee:

- Harmonizaciju prijedloga za izmjene Zakona o internoj reviziji u javnom sektoru, - Harmonizaciju programa obuke za certificiranje internih revizora, - Usvajanje meunarodnih standarda za internu reviziju i Kodeksa profesionalne etike na osnovu meunarodnih standarda, - Harmonizaciju procedura i metodologije interne revizije, - Usaglaavanje Strategije razvoja interne revizije u javnom sektoru BiH.


6

2. Procjena rizika, planiranje i vrste revizije

2.1. Planiranje revizije

Planiranje revizije je neophodno budui da internoj reviziji omoguava ostvarivanje ciljeva, utvrivanje prioriteta i osiguravanje efikasnog i efektivnog koritenja resursa. Pored toga, planiranje prua i sljedee:

osnovu za procjenu buduih potreba za resursima,

ovlatenje da se postupa po planu, nakon to plan odobri vie rukovodstvo,

sredstvo kroz koje rukovodstvo treba prihvatiti poslove koje obavlja interna revizija i

stalnu evidenciju faktora koji su uzeti u obzir prilikom utvrivanja plana, kao i donesenih odluka. Planiranje interne revizije provodi se na dva meusobno povezana nivoa:

na nivou jedinice za internu reviziju i na nivou pojedinanog revizorskog procesa.

Planiranje na nivou jedinice za internu reviziju podrazumijeva izradu stratekih i godinjih planova interne revizije. Planiranje na nivou pojedinanog revizorskog procesa podrazumijeva izradu plana i programa pojedinane revizije. Veza izmeu ova dva nivoa planiranja proizlazi iz injenice da strateki i godinji planovi ine osnovu za izradu planova pojedinanih revizija. Strateki plan interne revizije treba biti konzistentan sa ciljevima sadranim u drugim planskim dokumentima organizacije, stoga je planiranje kljuni dio procesa revizije i kao takvo sastoji se od:

1. stratekog plana,

2. godinjeg plana i

3. plana pojedinane revizije.

2.1.1. Strateki plan

Strateki plan revizije odnosi se na period od tri godine. U njemu se planiraju strategije i ciljevi interne revizije, te se daje strateko usmjerenje za jedinicu interne revizije u pogledu resursa, razvoja itd. Strateki plan ukazuje na politiku za postizanje zadovoljavajue revizorske pokrivenosti podruja utvrenih u procjeni rizika. Rukovodilac jedinice interne revizije, svake godine, izrauje strateki plan kao prijedlog rukovodiocu organizacije. Strateki plan je osnova za sve interne revizije i slui za iskazivanje potrebnih resursa, kako bi interna revizija obavljala svoje obaveze potpuno i efikasno.


7

Strateki plan i procjena rizika trebaju se pregledati i aurirati u odgovarajuim intervalima. Pregledima se uzima u obzir razvoj novih sistema, izmijenjenih prioriteta i svih drugih faktora koji mogu uticati na organizacioni ili poslovni rizik. Trogodinji strateki plan revizije dostavlja se rukovodiocu organizacije na potpis. Nakon odobrenja stratekog plana moe se pristupiti izradi godinjeg plana revizije. Sve izmjene stratekog plana odobrava rukovodilac organizacije. Preporuena struktura stratekog plana data je u prilogu ovog Prirunika (Prilog 2).

Metodologija izrade stratekog plana sastoji se nekoliko koraka koji ukljuuju sljedee:

a) identificiranje misije institucije, b) razrada misije institucije na podmisije, c) identificiranje sistema i procesa, d) procjenu rizika, e) donoenje odluke o prioritetima revidiranja, f) izrada i donoenje stratekog plana.

Identificiranje misije institucije U ovoj fazi revizori bi trebali postaviti kljuno pitanje Zato ova institucija postoji?. Razliiti resursi mogu se koristiti za identifikaciju misije organizacije. Uvijek je korisno koristiti svu dostupnu dokumentaciju koja opisuje misiju poslovanja organizacije (planske dokumente institucije, budet, izvjetaje Ureda za reviziju institucija BiH, dokumente projekata i sl.). Prvi nacrt misije treba koristiti kao podsjetnik kako ne bi skrenuli s puta ka cilju stratekog planiranja. To je vienje misije organizacije od strane internog revizora, te ga je zato neophodno potvrditi s najviim rukovodstvom. Revizori trebaju obaviti intervjue s rukovodiocem i upravom kako bi dobili njihovo vienje misije i politike organizacije. Na sastanak s visoko rangiranim rukovodstvom revizori trebaju doi s napisanim prijedlogom nacrta misije koji je nastao na osnovu istraivanja.

Razrada misije institucije na podmisije Nakon to je utvrena glavna misija (i usaglaena) potrebno je odrati niz sastanaka na viem nivou rukovodstva. Svrha ovih sastanaka je identificirati na koje naine podruja poslovanja unutar njihove odgovornosti doprinose ostvarenju glavne misije institucije. Identificiranje sistema i procesa Kako bi identificirali sve sisteme i procese usmjerene na ostvarenje glavne misije kroz podmisije, tokom ove faze odravaju se dodatni intervjui s rukovodstvom odgovarajueg nivoa (efovima odsjeka, naelnicima slubi i sl.). Grupiranje sistema i procesa obavlja se u skladu s njihovim ciljevima (npr. procesi s identinim, slinim ili komplementarnim ciljevima grupiraju se zajedno i povezuju s odgovarajuim podmisijama).


8

Za utvrivanje sistema i procesa mogu se koristiti akti o unutranjoj organizaciji, stavke budeta i slini dokumenti. Vano je imati u vidu da su sve ove informacije samo osnova za identifikaciju sistema i procesa i da se konana potvrda da proces postoji moe dobiti samo od relevantnih rukovodilaca. Na kraju ove faze vano je razmotriti konzistentnost rezultata. Detaljnoj identifikaciji sistema i procesa moe zatrebati ponovno pregledavanje i doraivanje prvog nacrta podjele misije nad podmisije. To e osigurati dobru osnovu za identificiranje i procjenu rizika.

Procjena rizika Utvrivanje svih sistema, ciljeva i drugih aktivnosti u organizaciji (budetskom korisniku) predstavlja prvi korak koji se moe napraviti iskljuivo uz pomo i saradnju rukovodilaca koji su u to upueni. Nakon toga potrebno je izvriti poetnu procjenu rizika kako bi se odredili prioriteti vrenja revizija. Procjena rizika koju vre interni revizori je nain za procjenu slabih taaka sistema, ime e se osigurati argumenti za koritenje resursa revizije u dugoronom periodu. Cilj je izvriti kategorizaciju slabih taaka sistema prema rangu rizika. Rizici se esto utvruju kroz razgovore sa rukovodiocima i zaposlenim, upitnike, kao i na osnovu iskustva i diskusija izmeu samih revizora. Rukovodilac interne revizije ove aktivnosti treba predoiti rukovodiocu organizacije i predloiti ih na odobrenje. Pri procjeni vjerovatnoe neuspjeha, korisno je razmotriti kategorije rizika. Najee kategorije rizika koje se mogu koristiti prilikom identificiranja rizika su:

1. Rizik vezan za reputaciju - negativan publicitet;

2. Operativni rizik - utie na vezu izmeu usluge i ope javnosti, npr. u sluaju kanjenja, prekida usluga;

3. Strateki rizik - utie dugorono na organizaciju;

4. Rizik vezan za propise;

5. Socijalni rizik - nastaje usljed promjena u demografskim, rezidentnim i socioekonomskim trendovima;

6. Rizik vezan za ugovore - u sluaju da se roba/usluge ne isporuuju sa odgovarajuim specifikacijama i po dogovorenoj cijeni;

7. Finansijski rizik - rizici koji imaju istu finansijsku osnovu;

8. Rizik vezan za upravljanje - odnosi se na svakodnevne dunosti i odgovornosti zaposlenih;

9. Rizik vezan za imovinu - odnosi se na krau, oteenja i slino;

10. Regulatorni rizik - odnosi se na tube, eksterne inspekcije i sl;

11. Tehnoloki rizik - odnosi se na kapacitet vezan za upravljanje tehnolokim promjenama;

12. Profesionalni rizik - odnosi se na odreene profesije, npr. zatita, duna panja;

13. Kadrovski rizik rizik vezan za ljudske resurse, npr. zdravlje, sigurnost;


9

14. Rizik vezan za prirodne nepogode - poplave, poari, zemljotresi;

15. Rizik vezan za upravljanje - odnosi se na ciljeve organizacije i ulogu i odgovornost rukovodioca.

Nakon to se utvrde, rizike je potrebno procijeniti kako bi ih rangirali, utvrdili prioritete i dobili informacije za donoenje odluka o onim rizicima na koje se treba usmjeriti. Procjena rizika je u sutini zasnovana na subjektivnoj ocjeni, uz koritenje razliitih tehnika kako bi analiza bila sistematinija i u odreenoj mjeri objektivnija. Ove tehnike su potkrijepljene sudom koji revizori donesu po pitanju prioriteta i uestalosti revizija i pomau u identificiranju oblasti koje nose veliki rizik, koji se inae ne moe identificirati na drugi nain. Procjenu rizika treba voditi kao radni dokument koji je neophodno aurirati u kontekstu promijenjenih okolnosti i opaanja rizika, naroito kao rezultat aktivnosti interne revizije, drugih revizija ili pregleda rukovodstva, novih inicijativa i drugih promjena. Jedan od naina vrenja procjene rizika je koritenje matrice vjerovatnoe i uinka koja se prikazuje na sljedei nain:

VISOKA VISOK RIZIK

SREDNJA

NISKA NIZAK RIZIK

VJER

OVAT

NOA

NIZAK SREDNJI VISOK

UINAK

U primjeni ove metodologije procjene rizika, razmatraju se vjerovatnoa neuspjeha sistema i uinak koji proizilazi iz neostvarivanja ciljeva sistema. Rezultat odluka se zapisuje u jednu od devet raspoloivih pozicija matrice, a to pokazuje da li se radi o sistemu visokog, srednjeg ili niskog rizika.

Prilikom razmatranja uinka neuspjeha sistema, vano je da revizor ima sposobnost stavljanja stvari u ispravnu perspektivu. Rukovodioci su skloni tvrdnjama da su njihova podruja rada kljuna za uspjeh, a revizor treba razmotriti cjelokupno poslovanje i osigurati da se, npr. neuspjeh sistema za ienje radnog prostora ne svrsta po uinku na vei nivo od neuspjeha sistema za obraun plata.

U nastavku je data tabela kategorizacije uinka i vjerojatnoe rizika.

Kategorizacija uinka

Uinak

Opis

Visok

Prekid svih osnovnih programa/usluga Gubitak znaajne imovine Ozbiljna teta za okolinu Gubitak ivota Znaajan gubitak povjerenja javnosti


10

Pritisak javnosti za smjenama

Srednji

Prekid nekih osnovnih programa/usluga Gubitak imovine Neke tetne posledice za okolinu Ozbiljna istraga Djelimian gubitak povjerenja javnosti Negativan stav javnosti

Nizak

Kanjenja u rokovima kod manje znaajnih projekata/usluga Gubitak imovine (male vrijednosti) Privremeni uinak na okolinu Korak unazad u stvaranju povjerenja javnosti Djelimino negativan stav javnosti

Kategorizacija vjerojatnoe

Vjerojatnoa

Opis

Visoka

Oekuje se da e do dogaaja doi u veini sluajeva

Srednja

Dogaaj se ponekad moe dogoditi

Niska

Nastanak dogaaja nije vjerovatan

Vano je istai i to da se procjena rizika ne radi zbog sebe same. Proizvod procjene rizika je strateki pregled poslovanja budetskog korisnika. Ovaj pregled trebao bi biti osnova za pripremu stratekog plana interne revizije.

Takoer, procjenu rizika treba voditi kao radni dokument koji je neophodno aurirati u kontekstu promijenjenih okolnosti i opaanja rizika, naroito kao rezultat aktivnosti interne revizije, drugih revizija ili pregleda rukovodstva, novih inicijativa i drugih promjena. Donoenje odluke o prioritetima revidiranja Na osnovu rezultata dobijenih procjenom rizika interni revizori trebaju pripremiti strateki plan za sljedee tri godine s prijedlogom podruja revidiranja u kojima e se obaviti revizija.


11

O dobijenim rezultatima treba se posavjetovati s viim rukovodstvom i od njega dobiti opu podrku. Postoji vjerojatnoa da e procjena rizika pokazati da su neke revizije vanije nego to se o njima prije mislilo i obrnuto.

Interni revizori obavezno moraju koristiti svoju procjenu pri odreivanju rizika i pri odluivanju kojim podrujima treba dati prioritet za revidiranje. Takoer, kada se utvrde podruja koja je potrebno revidirati treba uzeti u obzir i raspoloive ljudske resurse. Izrada i donoenje stratekog plana Zbog moguih promjena koje imaju uticaj na poslovanje budetskog korisnika (unutranje promjene, promjene u okruenju, nove interesne grupe itd.) strateki plan potrebno je aurirati jednom godinje. Rezultati obavljenih revizija takoer, mogu uticati na promjene u stratekom planu.

Procjena koja se obavlja na stratekom nivou donosi prioritetne procese u organizaciji po osnovu njihove vanosti, pri emu vie rangirani imaju prioritet.

Prioriteti na koje ukazuje procjena obavljena na nivou stratekog plana, usklauju se s drugim prioritetima i potrebama:

potrebom da se koordinira rad revizije s drugim organizacijama kako bi interna revizija upotpunila njihov rad i kako se posao ne bi duplao

potreba za pokrivanjem cijele organizacije revizijama (npr. ukljuiti procese koji jo nikad nisu bili revidirani)

prioritetima koji proizlaze iz najznaajnijih promjena u poslovanju, programima, sistemima ili kontrolama

vrijeme koje je proteklo od prethodne revizije procesa, aktivnosti procjena revizora.

2.1.2. Godinji plan

Godinji plan priprema se svake godine na osnovu procjene rizika i usvojenog stratekog plana i mora ga odobriti rukovodilac organizacije. Rukovodilac jedinice za internu reviziju priprema godinji plan na bazi prve godine stratekog plana uz dodatne detalje, kao to je npr. definiranje zadataka koje treba obaviti, utvrivanje kritinih oblasti, rokova i resursa potrebnih za narednu godinu. Godinjim planom se predvia rasporeivanje revizora i drugih resursa koji su raspoloivi za period planiranja (sigurno odsustvovanje sa posla, oekivane promjene u pogledu zaposlenih i druge obaveze), a na osnovu ove procjene iz stratekog plana se utvruju revizije koje odgovaraju raspoloivim resursima. Godinjim planom utvruju se revizorski dani koji su potrebni za svaku reviziju, kao i raspored revizija po mjesecima, odnosno kvartalima. Vano je razmotriti da li se odreene revizije moraju obaviti u odreenim periodima. Dobra praksa predvia rezerviranje odreenog procenta raspoloivih resursa za nepredviene okolnosti, odnosno sposobnost da se pozitivno odgovori na hitne zahtjeve rukovodstva. Rukovodilac jedinice za internu reviziju treba pripremiti nacrt godinjeg plana i dostaviti ga na odobrenje rukovodiocu organizacije. Rukovodilac organizacije treba odobriti sve naknadne izmjene. Kopija


12

odobrenog plana dostavlja se relevantnim rukovodiocima organizacije. Preporuena struktura godinjeg plana data je u prilogu ovog Prirunika (Prilog 3).

2.1.3. Plan pojedinane revizije/operativni plan

U operativnom planu (planu pojedinane revizije) precizno se navode resursi za konkretne revizije. Ovaj plan za rukovodioca jedinice za internu reviziju predstavlja vaan upravljaki instrument. Plan pojedinane revizije podlijee standardima i procedurama izvedenim iz meunarodnih standarda. Detaljnija uputstva o pripremi ovih planova sadrana su u dijelu Obavljanje interne revizije. Naelno postoje tri osnovne vrste revizija:

- revizija usklaenosti, - revizija sistema i - revizija uspjenosti poslovanja (vrijednost za novac).

Uobiajeno je da interni revizori obavljaju reviziju sistema. Ta vrsta revizije obuhvata i druge vrste revizija, znai i elemente revizije usklaenosti i elemente revizije uspjenosti. Ako rukovodilac zahtjeva da se posebno provjeri obavlja li se poslovanje u bilo kojem dijelu u skladu sa zakonom, onda je prikladno obaviti reviziju usklaenosti. U sluaju da su provjera ekonominosti, efikasnosti i efektivnosti, odnosno kvalitet pruanja usluga glavni razlozi za reviziju, onda je prikladno obaviti reviziju uspjenosti. Osim navedenih revizija, postoje i obavljaju se i druge vrste revizija, od kojih navodimo samo neke za koje smatramo da e biti zastupljene u javnom sektoru, a to su:

- finansijska revizija, - revizija informacionih tehnologija (u daljem tekstu IT) i - revizija programa i projekata koje finansira Evropska unija.

Finansijska revizija u sutini je revizija sistema ili usklaenosti vezano uz finansijski sistem ili proces, odnosno uz finansijske i knjigovodstvene transakcije. Revizija IT sagledava podruja ili teme vezane uz IT, poput IT infrastrukture, umreenosti, primjene, IT razvoja, sigurnosti, itd. Zbog prirode ovog podruja esto je potrebno da revizor s odreenim IT znanjem i vjetinama obavi ovu vrstu revizije. Uobiajeno je da se radi o reviziji sistema, iako je moda ponekad prikladna i revizija usklaenosti. Revizija programa i projekata koje finansira Evropska unija bavi se procesima vezanima uz koritenje sredstava iz fondova Evropske unije. Moe se obaviti kao revizija sistema ili kao revizija usklaenosti. U Priruniku je opisana metodologija rada revizije sistema na osnovu procjene rizika. Za revidiranje specifinih podruja, u svrhu ostvarivanja specifinih ciljeva revizije institucije, obavljaju se i druge vrste revizija. Za obavljanje tih drugih vrsta revizija provodi se edukacija internih revizora putem obuka.


13

3. Proces interne revizije Revizorski resursi (vremenski, finansijski i ljudski) uglavnom su ogranieni, pa je neophodno utvrditi prioritete u radu, kako bi se ti resursi najbolje koristili. Zbog toga je neophodno da postoji planiranje interne revizije koje sadri procjenu rizika izvrenu u organizaciji, saradnjom interne revizije sa rukovodstvom organizacije. 3.1. Pokretanje interne revizije Osnov za pokretanje pojedinane interne revizije je Godinji plan rada interne revizije, koji je odobren od rukovodioca organizacije. Rukovodilac jedinice za internu reviziju dodjeljuje zadatke u skladu sa godinjim planom revizije, pri emu zaduenja dodjeljuje prema strunoj osposobljenosti i vjetinama revizora. Nalog za vrenje revizije Izuzetno, u sluajevima kada planovi interne revizije (strateki i godinji) nisu donijeti jer interna revizija nije formalnopravno uspostavljena ili planovi na osnovu procjene rizika jo nisu izraeni, tada se interna revizija pokree Nalogom za pokretanje interne revizije potpisanim od rukovodioca organizacije. Nalogom potpisanim od rukovodioca pokreu se i ad hoc revizije, odnosno vanredne revizije koje nisu planirane godinjim planom rada interne revizije, a tokom godine nastaje potreba za njihovim provoenjem. Po izdavanju naloga revizori mogu otpoeti reviziju. Nalog za vrenje revizije sadri naziv revizije i revidiranog subjekta, vou i lanove tima, okvirni rok za obavljanje revizije, ciljeve i djelokrug revizije, kao i ostale parametre. Obrazac Nalog za pokretanje revizije dat je u prilogu Prirunika (Prilog 4).


14

3.2. Obavljanje interne revizije

Vrenje revizije sistema Prilikom obavljanja revizije sistema revizori trebaju voditi rauna da rade u skladu sa profesionalnim odgovornostima. Posebno je bitno:

paljivo planirati i obavljati svaku reviziju, pravilno usmjeriti aktivnosti i alocirati resurse, uzeti u obzir rizike i njihov znaaj i voditi rauna da se svaka revizija prilagodi okolnostima odreenog subjekta revizije,

svaki element revizije sagledati kao dio cjeline, a posao koji se odnosi na jedan element treba pruiti informacije i za posao na drugim elementima,

usvojiti konstruktivan i pozitivan pristup reviziji, podravajui promjene u praksi subjekta revizije, vriti paljiv pregled i pruiti nezavisno miljenje i ispunjavati profesionalne i zakonske obaveze,

redovno i na odgovarajui nain izvjetavati rukovodstvo o bitnim pitanjima koja su se pojavila tokom revizije i dati odgovarajue preporuke za izvrenje korektivnih aktivnosti,

osigurati da je subjekat revizije razmotrio na odgovarajui nain sva pitanja koja su identificirana tokom revizije i da je proveo odgovarajue aktivnosti.

Revizija sistema se sastoji od sljedeih faza:

pripreme i planiranja revizije;

utvrivanja i identificiranje sistema;

identificiranje i ocjene kontrola;

testiranja kontrola;

ocjene sistema kroz formuliranje nalaza, strunog revizorskog miljenja i preporuka i

izvjetavanja i praenja.

Razumijevanje ovih faza je neophodno kako bi se postavio okvir za adekvatan pristup u svrhu obavljanja kvalitetne interne revizije. Faze ne treba posmatrati kao apsolutno razdvojene komponente, nego kao jedinstven kontinuiran proces koji je usmjeren na ciljeve revizije od poetne etape. Proces treba u potpunosti dokumentirati u tekuem revizorskom dosjeu i na standardiziranoj dokumentaciji. Dokumentacija treba sadravati dovoljno detalja za jasno predoavanje veza izmeu poslovnih ciljeva, kontrolnih ciljeva, procjena internih kontrola i rezultata testiranja.

3.2.1. Priprema i planiranje pojedinane revizije

Pred poetak same revizije potrebno je da se izvri preliminarni pregled, odnosno utvrde injenice koje e pruiti opu sliku oblasti koja e biti predmet revizije. Isto tako, ovaj pregled predstavlja osnovu za planiranje revizije, kao i utvrivanje ciljeva revizije, obima revizije i konkretnih oblasti na kojima e biti naglasak (za koje se vezuje veliki rizik, koji su od kljune vanosti za sistem i sl.), vrijeme zavretka svake etape revizije, revizore koji e raditi na konkretnoj reviziji.


15

Izjava o nezavisnosti Pri rasporedu resursa odnosno odabiru tima, rukovodilac jedinice za internu reviziju, osim to se brine o odgovarajuim kvalifikacijama revizora, mora nastojati izbjei i svaki rizik u vezi sa sukobom interesa i osigurati nezavisnost revizora. Iz tog razloga, za svaku pojedinanu reviziju rukovodilac i svi lanovi revizorskog tima trebali bi popuniti i potpisati Izjavu o nezavisnosti. Obrazac Izjave o nezavisnosti dat je u prilogu Prirunika ( Prilog 5). Pismo najave revizije Rukovodilac jedinice za internu reviziju ili voa tima, ukoliko jedinica za IR ima vie timova, priprema pismo najave za rukovodioca podruja koje je predmet revizije. U pismu se u najkraim crtama navode naziv revizije, razlozi za vrenje revizije, znaajni rizici sistema, ciljevi revizije, datumi zavretka svake etape revizije i nain izvjetavanja.

Veoma je vano da se revizori sastanu sa rukovodiocima nadlenim za podruje koje je predmet revizije i drugim rukovodiocima kako bi se dolo do to vie korisnih informacija. Nakon toga, potrebno je pripremiti plan revizije koji treba da sadri obim, pristup i vremenski okvir revizije. U prilogu je prikazan model sa podacima koje bi trebalo ukljuiti u plan revizije (Prilog 6).

3.2.2. Utvrivanje i dokumentiranje sistema

3.2.2.1. Prikupljanje i analiziranje informacija o revidiranom procesu U ovoj etapi postupka revizije, revizori trebaju stei razumijevanje sistema koji je predmet revizije i to kroz razgovore sa relevantnim slubenicima subjekta revizije. Cilj je da revizor razumije podruje koje je predmet revizije i da je potpuno upoznat sa svim informacijama ili dokumentacijom koja moe uticati na donoenje zakljuaka o adekvatnosti kontrole. Opis sistema predstavlja osnovu revizorovih odluka, zakljuaka i preporuka i treba pruiti dobru osnovu za ocjenu prednosti i slabosti interne kontrole.

Vrste informacija zavise od prirode revizije i podruja koje je predmet revizije. Postoje i zajednike karakteristike kontrola, pa se u veini revizija kao izvori podataka mogu ukljuiti neke od navedenih:

poslovni i kontrolni ciljevi, izvjetaji i dokumenti ranijih revizija (internih i eksternih), svi ostali izvjetaji koji se odnose na oblast koja je predmet revizije, pravilnici i procedure (raspodjela ovlatenja i odgovornosti) koji se koriste u organizaciji, planovi i ciljevi, povezanost meu sistemima, razgovori i neformalne diskusije sa rukovodiocima i zaposlenima, posmatranje fizikog okruenja i metoda koje se koriste u radu, statistiki podaci uspjenosti, trendovi, dokumenti i evidencije koje se koriste u sistemu, podaci o rukovodstvu (budet ili drugi izvjetaji koji pokazuju npr. rezultate, broj odreenih

transakcija, tok gotovine, revidirane planove...).


16

Nakon prikupljanja svih relevantnih materijala i informacija revizor treba dokumentirati sistem kontrole. Opis sistema treba biti dovoljno detaljan da korisniku i licu koje vri nadzor revizije, bude jasno kako sistem funkcionira i kako se ostvaruje interna kontrola. Revizor se treba opredijeliti za najprikladniju tehniku za prikazivanje sistema:

Opisno dokumentiranje.

Ova tehnika omoguava revizoru da prikae kompletnu i detaljnu sliku sistema i treba obuhvatiti osnovna obiljeja kontrole sa to vie detalja za koje smatra da su od pomoi pri poetnom procjenjivanju adekvatnosti kontrole.

Izrada dijagrama toka (grafikona).

Izrada dijagrama toka je metod koji biljei i opisuje sistem istovremeno prikazujui tok (kretanje) dokumentacije ili informacija, kao i kontrole koje postoje u sistemu. Ova tehnika je naroito pogodna u sluajevima kompliciranog postupka kretanja dokumentacije od poetka do kraja procesa i izmeu raznih dijelova procesa. Dijagramski prikaz sistema je esto jednostavniji za razumijevanje, ali postoje i nedostaci kao to je vrijeme potrebno za pripremu, potvrivanje i auriranje. Ova tehnika je pogodna kod multitransakcijskih sistema kao to su sistem prodaje i nabavke. U izradi dijagrama toka se koriste simboli (koji imaju specifino znaenje), kratka objanjenja i linije za povezivanje simbola. U praksi se koriste standardni simboli koje treba usvojiti interna revizija. Mogunost izrade dijagrama toka postoji u programu Microsoft Word, Microoft Excel, kao i drugim softverskim paketima.

Mogue je koristiti grafikone sa nekoliko razliitih nivoa, u zavisnosti koliko su detaljni. Postoje horizontalni i vertikalni grafikoni. Horizontalni grafikoni opisuju horizontalnu raspodjelu dunosti (odjeljenja, pozicije) uz koritenje kolona, a vertikalni grafikoni predstavljaju tok transakcija od prve do posljednje.

Kombinacija jedne i druge tehnike.

U prilogu su dati prikazi mogueg izgleda vertikalnog i horizontalnog grafikona kao i znaenja simbola koji se koriste pri izradi dijagrama toka (Prilozi 9, 10 i 11).

3.2.2.2. Uvodna izjava

Na osnovu dostupnih informacija prikupljenih istraivakim i pripremnim aktivnostima revizori e dobiti grubu sliku o revidiranom podruju te e izraditi nacrt Uvodne izjave. Pri sastavljanju nacrta Uvodne izjave revizori e koristiti i podatke iz godinjeg plana/ Naloga za pokretanje interne revizije te informacije dobivene tokom preliminarnog istraivanja. Pri izradi nacrta Uvodne izjave revizori;

definiraju poslovni cilj, utvruju rizike koji mogu uticati na ostvarivanje poslovnog cilja, navode revizorske ciljeve,


17

odreuju kontrolne ciljeve.

Obrazac Uvodne izjave dat je u prilogu Prirunika (Prilog 8, obrazac OB- 3B)

Poslovni cilj procesa Prije izrade Uvodne izjave interni revizori bi trebali imati jasnu sliku o organizaciji, upravljakim ciljevima, te o cilju ili ciljevima procesa jer e prema njima definirati glavne kontrolne ciljeve i rizike. Svrha poslovnih ciljeva je utvrivanje omjera (u kojoj mjeri) ili koliine (koliko) rezultata koje sistem treba postii u odnosu na koliinu iskoritenih sredstava. Poslovni ciljevi veza su izmeu dugoronih ciljeva organizacije koje postavlja rukovodstvo i sredstava za ostvarenje tih ciljeva. Uobiajeno je da je rukovodstvo definiralo jedan ili vie poslovnih ciljeva koji se obavljanjem pojedinog procesa ele ostvariti. Ako poslovni ciljevi koje je definiralo rukovodstvo nisu adekvatni i primjereni, revizori bi trebali predloiti odgovarajue korekcije. Ako poslovni ciljevi nisu definirani, revizori trebaju dati vlastiti prijedlog ciljeva prema kojima se interne kontrole sistema mogu procjenjivati. Prije procjenjivanja kontrola bitno je da se poslovni ciljevi rasprave i/ili dogovore s rukovodstvom na poetnom sastanku.

Kontrolni ciljevi Kontrolni ciljevi su podciljevi procesa koji se moraju ostvariti u svakoj od faza procesa putem sistema internih kontrola, kako bi se ostvario poslovni cilj. Kontrolni ciljevi trebaju biti konkretni i prikazivati svrhu internih kontrola. Kontrolni ciljevi upuuju na aktivnosti i mehanizme koji spreavaju aktiviranje potencijalnih rizika (uvijek se iskazuju na nain da poinju sa : Osigurati da ....). Prilikom definiranja kontrolnih ciljeva revizori moraju imati na umu da kontrolni ciljevi ne predstavljaju pojedinane kontrole, pa ih na takav nain ne mogu formulirati. Primjera radi, u procesu nabavke, kontrolni cilj moe biti: Osigurati da su rauni plaeni samo za primljenu robu ili usluge ili u procesu slubenih putovanja Osigurati da se s budetske pozicije za slubena putovanja izvravaju isplate samo za tu namjenu. Kontrolni ciljevi ine osnovu za procjenjivanje sistema internih kontrola.

Glavni rizici Na osnovu prikupljenih i analiziranih informacija interni revizori definiraju glavne rizike i to prema specifinostima procesa ili podruja koje se revidira. Glavni rizici su svi rizici koji mogu uticati na ostvarenje kontrolnih ciljeva, a sastoje se od jednog ili vie detaljnih rizika. Kod definiranja glavnih rizika mogu se koristiti informacije dobivene kroz odravanje preliminarnih sastanaka, uvidom u registre rizika za navedeni proces, metodologiju procjene rizika koritenu prilikom stratekog planiranja te putem svih ostalih dostupnih informacija.

3.2.2.3. Poetni sastanak

Priprema kvalitetnog nacrta uvodne izjave, poetni sastanak i uvodna izjava presudni su za uspjeno obavljanje procesa revizije. Cilj ovog sastanka je dobiti saglasnost, prikupiti potrebne informacije nieg organizacionog nivoa i diskutovati i raspraviti o nekim pitanjima koja bi mogla biti vana za reviziju. Poetni sastanak odrava se radi:

predstavljanja i raspravljanja o ciljevima i obimu revizije; utvrivanja organizacione jedinice ukljuene u revidirani proces;


18

rasprave o poslovnim i kontrolnim ciljevima, te glavnim rizicima i prikupljanja dodatnih relevantnih informacija koje mogu biti od znaaja za

reviziju i koje mogu uticati na konani tekst uvodne izjave.

Tokom poetnog sastanka raspravlja se o elementima Uvodne izjave i na osnovu prikupljenih informacija se dopunjavaju i auriraju.

Poetni sastanak sa rukovodstvom je veoma vaan jer prua priliku da se uspostavi odgovarajua atmosfera i ostvari efikasna saradnja tokom revizije. U ovoj fazi se podrazumijeva davanje obavjetenja i voenja diskusije sa rukovodstvom o revizorskim tehnikama koje e se koristiti i saradnju po tim pitanjima. Na osnovu informacija dobivenih na uvodnom sastanku popunjava se obrazac ''Uvodna izjava'' koji je dat u prilogu Prirunika (Prilog 8, obrazac OB-3B).

Uspjenim poetnim sastankom treba se osigurati revizija koja e se voditi u dobroj i pozitivnoj atmosferi, uz aktivnu saradnju zaposlenih.

Rukovodilac revizorskog tima vodit e poetni sastanak na nain koji olakava razmjenu informacija i eventualno poboljanje konanog teksta Uvodne izjave. Tokom sastanka sa rukovodstvom, revizori se trebaju usredsrediti na pitanja vezana za informacije vieg nivoa na koja rukovodstvo nieg nivoa ne moe dati relevantne odgovore. To je dobra prilika i za uspostavljanje odnosa koji e olakati stalnu komunikaciju tokom obavljanja revizije. U ovoj fazi dobra praksa podrazumijeva davanje objanjenja i informacija rukovodstvu o revizorskim tehnikama koje e se koristiti (npr. razgovori s kljunim licima i potreba za kasnijim prikupljanjem drugih informacija u fazi utvrivanja i evidentiranja sistema, pregled dokumentacije) i ostvarivanje saradnje o tim pitanjima. Osim toga, preporuuje se da rukovodstvo odredi kontakt osobu zaduenu za odravanje stalne komunikacije tokom obavljanja revizije.

Potrebno je voditi zapisnik sa prvog sastanka i odloiti ga u tekui revizijski dosje.

Potvrivanje ili auriranje poetnih procjena resursa i vremenskog okvira potrebnog za izvoenje revizije trebalo bi biti mogue nakon poetnog sastanka. Ovi detalji trebaju se evidentirati u planu i programu revizije. Rukovodilac jedinice interne revizije treba odobriti sve znaajne promjene poetnih procjena resursa i/ili vremenskog okvira koje se smatraju potrebnim u bilo kom trenutku. Odobrene promjene evidentiraju se na prikladan nain i one su sastavni dio revizorskog dosjea.

3.2.3. Identificiranje i ocjena kontrola

Nakon to je revizor utvrdio kako sistem funkcionira, potrebno je da identificira postojee kontrole koje se odnose na taj sistem. Postojee kontrole trebaju biti jasno navedene u pripremljenom opisu sistema.

U tekstu koji slijedi date su napomene o vrstama kontrola koje obino mogu biti prikladne za primjenu u sistemima javnog sektora. Revizori trebaju razmotriti i druge kontrole prije nego donesu svoje poetne procjene i zakljuke.

Podjela dunosti: funkcije vezane za odobravanje transakcija; evidentiranje transakcija; uvanje relevantnih sredstava; trebaju obavljati razliiti slubenici kako bi se izbjegli sukobi interesa ili situacije za nedozvoljeno poslovanje;

Organizacija: treba postojati jasna organizaciona ema i svi zaposleni trebaju imati aurirane opise poslova sa jasno navedenim dunostima;


19

Autorizacija i odobravanje: odgovarajui slubenici trebaju formalno odobriti sve transakcije i odluke;

Fizike kontrole: neophodne odgovarajue kontrole pristupa kancelarijama, imovini, kontrola koritenja kancelarijskog materijala i kompjuterskih sistema;

Nadzor: adekvatan nadzor svih zaposlenih i aktivnosti koji obavlja lice koje razumije procese i moe detektirati odstupanja od prihvaene prakse;

Kadrovske kontrole: adekvatna kontrola imenovanja odnosno angairanja slubenika; svi zaposleni trebaju imati potrebna struna znanja i kvalitete, te da kroz odgovarajuu obuku kontinuirano odravaju i unapreuju svoja znanja, a njihov rad treba biti redovno ocjenjivan;

Matematike i raunovodstvene kontrole: provjera/ponovna provjera poslova koje su obavili drugi slubenici; provjera iznosa u narudbenicama, faktura, platnog spiska,...; usaglaavanje bankovne i raunovodstvene evidencije; kontrola rauna;

Upravljake kontrole: priprema odgovarajuih finansijskih i operativnih podataka za raunovodstvo; koritenje izvjetaja o odstupanjima; kritiki pregled i ispitivanje koje vri rukovodstvo.

Pomenute kategorije mogu se bazirati i na rizicima, kao to je prikazano u sljedeoj tabeli:

Vrsta kontrole Rizik

Podjela dunosti Rizik da je jedno lice u potpunosti odgovorno za sve faze odreenog procesa

Organizaciona Rizik da odreena dunost bude dodijeljena neadekvatnom nivou Autorizacija i odobravanje Rizik od neovlatenih i nevaeih unosa podataka u sistem

Fizika Rizik od gubitka ili tete vezane za materijalna sredstva organizacije

Nadzor Rizik da se zaposleni ne pridravaju odgovarajuih procedura

Kadrovska Rizik da e se zaposliti ili imenovati slubenici koji nemaju relevantno iskustvo i znanje za obavljanje svojih dunosti Matematika i raunovodstvena

Rizik od raunovodstvenih greaka, npr pogreno ifrovanje i propusti

Upravljaka Rizik od kumulativnih greaka ili neuobiajenih transakcija koje nisu otkrile druge kontrole 3.2.3.1. Procjena sistema internih kontrola Nakon utvrivanja sistema i evidentiranja u dijagramu toka, te usaglaavanja kontrolnih ciljeva i glavnih rizika s rukovodstvom, interni revizori utvruju detaljne rizike po pojedinanom kontrolnom cilju i definiraju oekivane kontrole prema detaljnim rizicima. Pri tome treba razmotriti detaljne rizike, odnosno utvrditi gdje se mogu pojaviti neeljeni dogaaji, i procijeniti vjerovatnou pojave neeljenih dogaaja i njihov mogui uticaj (npr. finansijski) na ostvarenje kontrolnog cilja.


20

Interni revizor tada obavlja preliminarnu procjenu adekvatnosti postojeih internih kontrola i vri njihovo uporeivanje sa oekivanim. U prilogu je dat obrazac za pregled kontrola (Prilog 12, Obrazac OB-4). Ova faza obuhvata:

identificiranje detaljnih rizika i oekivanih kontrola prema detaljnim rizicima; utvrivanje postojeih kontrola; poetna procjena postojeeg sistema internih kontrola.

3.2.3.1.1. Identificiranje detaljnih rizika i oekivanih kontrola Glavni rizici navedeni u uvodnoj izjavi baziraju se na preliminarnim istraivanjima i tokom ove faze potrebno ih je detaljno razraditi po svakom kontrolnom cilju. Detaljno razraeni rizici slue kao smjernice za utvrivanje pojedinanih kontrola koje bi trebale postojati u revidiranom procesu. To je neophodno uiniti kako bi se bolje odredio smijer istraivanja i napravila jasnija veza izmeu kontrolnih ciljeva, rizika i kontrola. Interni revizor trebao bi imati sliku oekivanog (optimalnog) stanja funkcioniranja revidiranog procesa na osnovu dostignua najbolje prakse i logike vizije internih kontrola. Radna dokumentacija revizora se mijenja i dopunjava prema saznanjima do kojih se dolazi tokom obavljanja narednih faza revizije. Stoga, ako se tokom ispunjavanja obrazaca utvrdi da nisu obuhvaeni svi rizici, oekivane ili postojee kontrole, treba izvriti auriranje. Format obrazaca koji su dati kao prilozi ovog Prirunika nije konaan. Bitno je obuhvatiti sve elemente koje oni sadre. Potrebno je voditi rauna da je za ostvarenje jednog kontrolnog cilja moda potrebno i vie od jedne kontrole. Interna kontrola je cjelokupan sistem kontrola (ukljuujui lica, planove, strukture i procedure) koju provodi rukovodstvo da bi osiguralo ostvarivanje poslovnih ciljeva. U nastavku teksta date su napomene o vrstama kontrola koje mogu biti podobne za primjenu. Popis nije sveobuhvatan, pa e interni revizor morati razmotriti i druge kontrole prije nego donese svoju procjenu adekvatnosti sistema interih kontrola. Primjeri koje navodimo zapoinju s kontrolama vieg nivoa, a slijede kontrole srednjeg i nieg nivoa. Uz neke su kontrole i napomene o tome kako bi im revizori trebali pristupiti. Kontrole visokog nivoa Neke od kontrola visokog nivoa su:

Planiranje, ukljuuje utvrivanje opih i specifinih ciljeva i sredstava pomou kojih e se oni ostvariti. Postoji mnogo razliitih najboljih praksi vezanih uz ovo podruje, a najznaajniji primjeri tih praksi ukljuuju: - jasne izjave o ciljevima; - mjerljive ciljeve i - provoenje kontrola nieg nivoa.

Organizacija, ukljuuje:

-prenos ovlatenja, odgovornosti i sistema odgovornosti na nie nivoe, kako bi se ciljevi ostvarili na najefektivniji nain; -organizaciju rada u logine i praktine cjeline, dobro integrirane vertikalno i horizontalno, na nain koji najbolje osigurava ostvarenje ciljeva; -podjelu dunosti kako bi se izbjegli sukobi interesa ili prilike za nedoputeno poslovanje; -uspostavljanje jasnih linija izvjetavanja; -pribavljanje jasnih i dokumentiranih izjava o odgovornostima pojedinaca i grupa u odnosu na resurse, djelatnosti, ope i specifine ciljeve i


21

-izbjegavanje neopravdanog oslanjanja na bilo kog pojedinca, posebno zaduenog za internu kontrolu.

Svaka od ovih aktivnosti takoer zahtijeva dobru komunikaciju (vertikalnu i horizontalnu) kako bi se nastojanja ujedinila, integrirala i usredsredila na kontrole, rizike i postizanje poslovnih ciljeva. To obuhvata informacije o opim i specifinim ciljevima i o nivou njihovih ostvarenja, to bi trebalo biti vidljivo svim nivoima zaposlenih. Kontrole srednjeg nivoa Neke od kontrola srednjeg nivoa su:

Praenje provoenja preporuka Revizori trebaju imati pristup stvarnom kapacitetu koji stoji na raspolaganju rukovodstvu za praenje provoenja preporuka, kako bi se ostvarili ciljevi u smislu ekonominosti, efektivnosti i efikasnosti. U ovom podruju revizija je usmjerena na potvrivanje da su zaposleni i/ili rukovodioci uveli neophodne alate potrebne za praenje poslovne uspjenosti, kao to su periodina mjerenja, pokazatelji, liste s upravljakim pokazateljima. Politike i operativne procedure rukovodstva trebaju biti dokumentirane kako bi svi zaposleni bili sa njima upoznati i kako bi meusobno saraivali radi ostvarivanja ciljeva. Pisana uputstva i procedure trebaju biti:

- lako dostupne, - jasne i koncizne, - podlone provjerama rukovodstva, to bi osiguralo da su proitane i shvaene, - redovno aurirane.

Ako pisana uputstva ne postoje, meu prioritetima rukovodstva trebalo bi se inicirati njihovo donoenje. Budetsko/raunovodstvene i druge finansijske kontrole

U vezi s ovom vrstom kontrole potrebno je razmotriti: - Da li je izvrenje budeta poetna informacija za budue planiranje (budeta)? - Da li postupak pripreme budeta daje jasnu definiciju pretpostavki na osnovu kojih se priprema budet? - Da li su za postupak izvrenja budeta neophodne informacije za procjenu realizacije u odnosu na pretpostavke?

Kontrole niih nivoa Neke od kontrola niih nivoa su:

Autorizacija Autorizacija podrazumijeva odobrenje ili odluku s ogranienjem za odreena djelovanja ili transakcije rukovodioca ili neka druga odgovorna lica prije nego to se one provedu. Time se osigurava preduzimanje primjerene vrste odgovornosti za kontrolne aktivnosti. Interni revizori trebaju razmotriti sljedee: Je li prenos autorizacije formalan i jesu li autorizacije definirane? Jesu li svi uesnici u cijelom procesu o tome informirani? Jesu li ovlatenja dodijeljena odgovarajuim pojedincima ili grupama u smislu hijerarhije i procesa? Jesu li odgovornosti za autorizaciju odvojene od aktivnosti koje bi mogle dovesti do sukoba interesa? Jesu li relevantne aktivnosti i transakcije odgovarajue autorizirane? Obavljaju li se odgovarajue kontrole prije autorizacije ili je to tek formalni korak? Autorizacija je takoer kontrola koja moe biti znaajna za najvie nivoe rukovodstva, npr. autorizacija (odobrenje) godinjeg plana, kapitalnih ulaganja, velikih transakcija, itd.

Dokumentacija


22

Ovo podruje ukljuuje evidentiranje informacija i transakcija koritenih u poslovanju subjekta. Potrebno je uspostaviti dobre dokumentacijske standarde u svrhu pruanja podrke aktivnostima i osiguranja kontinuiteta poslovanja u sluaju prekida, to ukljuuje uvanje informacija u elektronskom ili drugom obliku. Informacije moraju biti dostupne i dobro arhivirane, a neophodno je imati i dobar sistem za pretraivanje arhiva. Rad subjekta mora biti dobro dokumentiran kako bi omoguio rukovodstvu, eksternim revizorima i drugim licima koje provode preglede da prate tok poslovanja i transakcija i utvrde greke, zloupotrebe ili loe poslovanje. Odluke, ovlatenja, transakcije, provjere i druge informacije moraju biti jasno evidentirane, a evidencije odloene. Standardna dokumentacija i obrasci doprinose usklaenosti s procedurama i zakonskim uslovima, a esto se koriste za kontrolu transakcija ili kretanje vrijednosti. Dokumentacija mora biti paljivo oblikovana kako bi ispunila svoje ciljeve. Pretjerana koliina dokumentacije moe umanjiti efikasnost procesa, pa revizori trebaju to uzeti u obzir pri procjeni sistema dokumentiranja.

Fizike kontrole Ove kontrole su obino lako razumljive i primjenjuju se na itavo okruenje u kojem sistemi funkcioniraju. One ukljuuju:

-kontrolu pristupa, kao to su portiri, line karte, lozinke i -fiziku provjeru imovine i evidencije, kao to su popisi, sigurnosni nadzori.

Navedeni popis kontrola nije kompletan; nabrojane su samo neke od moguih vrsta kontrolnih aktivnosti za sve nivoe organizacijske strukture (strateka, srednja i operativna). Meutim, rukovodstvo treba osmisliti i uspostaviti odgovarajuu ravnoteu izmeu razliitih vrsta kontrolnih aktivnosti kako bi se postigla njihova efektivnost. 3.2.3.1.2. Utvrivanje postojeih kontrola U ovom koraku revizori prikupljaju detaljnije informacije i produbljuju saznanja do kojih su doli u fazi utvrivanja i evidentiranja sistema. Postojanje (ili nepostojanje) oekivanih kontrola kljunih za ostvarivanje kontrolnih ciljeva interni revizori utvruju dodatnim intervjuima sa neposrednim izvriocima. Interni revizori e u upitniku navesti pitanja i teme o kojima ele saznati detalje, koji e im omoguiti da se bolje pripreme za intervjue i da pribave sve relevantne informacije o procesu i relevantnim postojeim internim kontrolama. Pitanja e se odnositi na preispitivanje postojeih kontrola i procesa kako bi se kasnije procijenio mogui uticaj utvrenih rizika na kontrolne ciljeve. Vano je napomenuti da prilikom formuliranja pitanja revizori istrauju i evidentiraju postojee kontrole i njihove odnose. Ako ne mogu potvrditi postojanje oekivanih kontrola, potrebno je da postave dodatna pitanja kako bi saznali na koji se nain u procesu spreava aktiviranje identificiranih rizika. injenice i zapaanja o postojeim kontrolama e biti rezultat sastanaka s revidiranim subjektima ili dokumentirani dokazi. Sve te informacije potrebno je zabiljeiti i adekvatno oznaiti i odloiti u revizorski dosje. Na osnovu informacija dobivenih u ovoj fazi revizori e aurirati dijagram toka procesa, na nain kojim on odraava stvarni tok procesa i postojee kontrole. 3.2.3.1.3. Poetna procjena postojeih internih kontrola Pod poetnom procjenom postojeih internih kontrola podrazumijevamo procjenu adekvatnosti internih kontrola, odnosno procjenu o tome jesu li postojee interne kontrole odgovarajue oblikovane, kako bi sprijeile aktiviranje potencijalnih rizika i pomogle u ostvarivanju postavljenih ciljeva. Tehnika koja se pri tom koristi jeste uporeivanje oekivanih i postojeih kontrola, ime e interni revizori doi do jedne od etiri opcije zakljuka:

- postojea kontrola jednaka je oekivanoj kontroli;


23

- postojea kontrola djelimino je ista kao oekivana; - postojea kontrola nije ista kao oekivana, ali je kompenzira i - ne postoji kontrola koja bi nadomjestila oekivanu kontrolu.

Pri uporeivanju interni revizori moraju voditi rauna o nainu na koji su prethodno formulirali oekivane i postojee kontrole, kako se ne bi dogodilo da se zakljuci donose na osnovu nedovoljno jasnih formulacija. Kao to je ve navedeno, revizori rade poetnu procjenu adekvatnosti sistema internih kontrola kako bi u kasnijoj fazi dali ocjenu i struno miljenje o tome osiguravaju li postojee kontrole postizanje poslovnih ciljeva. Dakle, pri procjenjivanju adekvatnosti sistema internih kontrola interni revizor treba usvojiti pristup procjene od vrha na dole. To znai da revizija treba prvo da se usredsredi na one kontrole visokog nivoa koje utiu na funkcioniranje kontrola niih nivoa. Obino to podrazumijeva da revizor treba sagledati kljune kontrole iz perspektive rukovodstva. injenica da neka kontrola postoji moe upuivati na to da je ta kontrola dobra. Meutim, jedna kontrola sama po sebi moda nije dovoljna, pa e i to uticati na procjenu internog revizora. Nadalje, revizor treba razmotriti, postoje li neke druge kompenzirajue kontrole, koje mogu omoguiti ostvarenje kontrolnog cilja na druge naine. Prije donoenja poetne procjene sistema internih kontrola treba preispitati oekivane kontrole i svoje zakljuke vezane za adekvatnost postojeih kontrola. Svi propusti na kraju faze procjene sistema internih kontrola mogu rezultirati pogrenim smjernicama za testiranje koje slijedi. 3.2.4. Testiranje kontrola

Test kontrola se vri sa ciljem da se pribave dokazi o efektivnom funkcioniranju sistema internih kontrola. Potrebno je naglasiti da se ne moraju testirati sve kontrole, nego samo one koje su izabrane tokom preliminarne ocjene. Deava se da su neke kontrole navedene vie puta u bazi podataka jer doprinose ostvarenju vie od jednog cilja. Ove kontrole se testiraju samo jedanput, a ne svaki put kada se pojave. Veoma je vano zapamtiti da se testira kontrola, a ne tanost kljunih transakcija, odnosno poslovnih promjena.

Ako revizor smatra da kontrole ne postoje ili da su neadekvatne, tada postoji potreba za prikupljanjem finansijskih ili drugih informacija o uinku konkretnih nedostataka kako bi se rukovodstvo uvjerilo da je potrebno uvesti kontrole. Pri obavljanju dokaznih testova revizori trebaju primjenjivati optimalnu mjeru testiranja transakcija.

Ukoliko je rukovodstvo saglasno sa injenicom da izvjesne kontrole ne postoje i da je potrebno preduzeti odreene radnje da bi se uoene nepravilnosti otklonile, u tom sluaju nije potrebno obavljati nikakva testiranja.

Revizorski program za testiranje kontrola je u formi dokumenta sa formulacijama predloenih procedura koje treba mijenjati i prilagoavati onima koje e biti provedene. U prilogu je dat primjer naina testiranja kontrola (Prilog 13).

Testovi kontrola trebaju biti osmiljeni tako da utvrde da li odreena kontrola prua odgovarajui stepen pouzdanosti da e ciljevi sistema biti postignuti. Drugim rijeima, testovi trebaju utvrditi da li e odreena kontrola smanjiti potencijalne rizike na prihvatljiv nivo.

Poto su identificirali i ocijenili postojee kontrole, interni revizori trebaju izvriti testiranje da bi potvrdili da kontrole, za koje se smatra da su adekvatne, funkcioniraju kako je planirano, te da su pouzdane.

3.2.4.1. Testovi usaglaenosti i dokazni testovi


24

Revizori testiranje provode putem testova usaglaenosti i dokaznih testova. Testovi usaglaenosti su oni testovi kojima se nastoji pribaviti dokaz da se u subjektu revidiranja primjenjuju zakoni, propisi, planovi, procedure, budet, delegirana ovlatenja i drugi zahtjevi. Kada se revizoru postojee kontrole ine adekvatnim za ostvarenje kontrolnih ciljeva, tada to miljenje treba potvrditi testiranjem, kojim se utvruje primjenjuju li se kontrole onako kako je predvieno. Testovi usaglaenosti provode se radi pribavljanja dokaza o primjeni kontrola (npr. primjenjuju li se prilikom izrade budeta uputstva za izradu prijedloga budeta). Dokazni testovi (testovi uspjenosti) provode se kada revizor utvruje efikasnost kontrolnog sistema u odnosu na ostvarivanje kontrolnih ciljeva, ekonomino i efikasno koritenje resursa, zatitu imovine, interesa i reputacije, i tamo gdje su rezultati testova usaglaenosti otkrili da se kontrole ne primjenjuju onako kako je predvieno. Cilj dokaznih testova je otkrivanje greaka ili drugih nedostataka, u svrhu prikupljanja dokaza o stvarnoj efikasnosti internih kontrola (ostvaruju li se ciljevi radi kojih su kontrole i organizirane, tj. da li kontrole uspjeno spreavaju aktiviranje rizika). Osnovno naelo testiranja je da interna revizija testira kontrole (testovi usaglaenosti) a ne transakcije (dokazni testovi). Meutim, da bi se testiralo postojanje i funkcioniranje specifine kontrole, potrebno je testirati provode li se transakcije tano, dakle potrebno je provesti i testove usaglaenosti i dokazne testove. Ako revizor utvrdi da kontrole ne postoje ili da su neadekvatne, tada postoji potreba za prikupljanjem finansijskih ili drugih informacija o uticaju konkretnog nedostatka, kako bi se rukovodstvo uvjerilo o neophodnosti uvoenja kontrolnih mjera. Dokazni testovi provode se i onda kad je potrebno dati miljenje o primjeni i efikasnosti internih kontrola. Obino je to teak i vremenski zahtjevan zadatak, a treba ga svesti na najmanju moguu mjeru u skladu s ostvarivanjem ciljeva revizije. Pri provoenju dokaznih testova revizori trebaju primjenjivati optimalnu mjeru testiranja transakcija, imajui u vidu da nedovoljno testiranje moe kompromitirati ciljeve revizije, a pretjerano testiranje moe dovesti do neefektivne upotrebe resursa. U teoriji se testovi usaglaenosti i dokazni testovi tretiraju odvojeno, dok se u praksi provode zajedno. Cilj su im razliiti aspekti kontrole, ali imaju istu svrhu. U praksi, revizori trebaju provesti dokazna testiranja (u veoj ili manjoj mjeri) gotovo svake kontrole koju utvrde i transakcija koje se ne kontroliraju, ve potvruju miljenje o funkcioniranju kontrola. To im omoguava prikupljanje dokaza koji idu u prilog njihovom strunom miljenju. Testovi usaglaenosti i dokazni testovi trebaju se provoditi istovremeno, kada kontrole postoje. Ako kontrole ne postoje, nije mogue provesti testove usaglaenosti, ve se dokaznim testovima pribavljaju informacije i podaci o negativnom uticaju nastalom zbog nepostojanja odreene kontrole. Jedno od kljunih pitanja u fazi testiranja je utvrditi koliko testiranja treba obaviti, odnosno trebaju li se ispitati sve transakcije. 3.2.4.2. Uzorkovanje

Revizor moe testiranjem obuhvatiti sve podatke (100% ispitivanje) ili moe izabrati uzorak koji predstavlja sve podatke (populaciju) i na osnovu njega izvesti zakljuak o svim podacima (revizorsko uzorkovanje). Kad revizor iskazuje zabrinutost u vezi s rizikom, moe se opravdati testiranje cijele populacije. Meutim, u normalnim okolnostima revizor uzima uzorak iz ciljne populacije, zbog vremena i brzine obavljanja posla. U prvom koraku potrebno je osigurati da ciljna populacija bude jasna i da su zastupljeni svi elementi. Iako je populacija obino jasna i poznata u sistemima i procesima koji imaju uspostavljene baze podataka, populacije ipak mogu sadravati geografske varijacije (prema konkretnim


25

regijama) ili se mogu odnositi na posebne grupacije drutva (npr. radno sposobne, penzionere i sl.). Revizor moe strukturirati populacije prije uzimanja uzoraka, kako bi bio siguran da su svi aspekti populacije na odgovarajui nain uzeti u obzir. Cilj uzorkovanja je ispitati odabir uzoraka izvuenih iz skupa podataka ili dogaaja (populacije) kako bi se te karakteristike mogle primijeniti na cjelokupnu populaciju. Uzorak, dakle, mora biti homogen.

Izbor uzoraka Mnogi testovi kontrola zahtijevaju da uzorak bude izabran iz cjelokupnog skupa podataka (populacije). Uzorak predstavlja bilo koji od zasebnih elemenata koji sainjavaju relevantnu populaciju.

Da bi uzorak bio reprezentativan za odreenu populaciju, uzorke treba odabrati metodom sluajnog izbora. Tamo gdje je izvodljivo, interni revizori mogu uzorke izabrati metodom statistikog uzorkovanja (korisne kod testiranja velike koliine podataka).

Veliina uzoraka Veliina uzorka zavisi od uestalosti odreene kontrole. Tako na primjer, neke kontrole su svakodnevne ili se zasnivaju na pregledu dokumenata, druge kontrole se vre nedeljno ili mjeseno. Manji uzorak se koristi za sisteme za koje se smatra da nisu od kljune vanosti (materijalni) za finansijske izvjetaje.

Isto tako, od veliine populacije zavisi i koliki se uzorak uzima. Tako se kao uzorak mogu uzimati sve stavke ukoliko je veliina populacije manja od 20, ukoliko je populacija od 21 do 100, izabrati uzorak od naprimjer 20 plus 5 najveih transakcija, a ako je populacija preko 100, izabrati uzorak od 40 plus 10 najveih transakcija. Uzorkovanje na bazi procjene podrazumijeva namjerno, promiljeno, svrsishodno koritenje revizorske procjene (zasnovane na iskustvu i mudrosti) pri odabiru stavki koje e biti reprezentativne za populaciju, ali statistiki netipine. Drugim rijeima, za rezultate testiranja uzorkovanja na bazi procjene ne moe se rei da su potpuno tipini za cijelu populaciju. Karakteristike uzorkovanja na bazi procjene:

-relativno se jednostavno moe razumjeti; -bre je od statistikog uzorkovanja; -iziskuje nie trokove; -fleksibilno je i moe stvoriti predrasude prema procesu odabira (uzeti u obzir poznate nedostatke sistema, neuspjeh rukovodioca i zaposlenih i prethodno iskustvo) i -primjereno je kada nije potrebno donijeti zakljuke o cjelokupnoj populaciji.

Statistiko uzorkovanje je sofisticiran i nepristran pristup koji je odbranjiv kao objektivan, racionalan i fer, a ujedno omoguava relativno precizno kvantificiranje rezultata (npr. davanje nivoa pouzdanosti od 95% da bi rezultati bili potpuno isti kao da je bila testirana cjelokupna populacija). Statistiko uzorkovanje je pouzdano i ponovljivo pa kod revizora i rukovodioca stvara povjerenje s obzirom na rezultate. Meutim, za tako neto je potrebno dosta vremena. Pri svakom uzorkovanju potrebno je odrediti etiri kljuna pokazatelja, a to su: Populacija - Veliina populacije (broj stavki iz kojih emo izvui uzorak) uticat e na veliinu uzorka u sluajevima kada uzorak ini vie od 5% ukupne populacije. Proporcija populacije (esto se naziva oekivana incidencija) - Ovo predstavlja proporciju stavki iz populacije za koje se oekuje da e ispunjavati atribute ili kriterije (npr. usklaenost sa Zakonom o javnim nabavkama). Ako prethodno nije obavio reviziju te aktivnosti, revizor treba upotrijebiti sposobnost


26

procjene pri donoenju odluke o rasponu u kojem se kontrola dosljedno primjenjuje. Oekivana incidencija znatno utie na veliinu uzorka: to je procenat vei, to e biti manji uzorak, i obrnuto. Potrebni nivoi tanosti - Nijedan uzorak nikako ne moe dati apsolutno taan odraz cijele populacije, ako ni zbog ega drugoga onda zbog injenice to je veina populacija izrazito varijabilna po svojoj prirodi. Veliina uzorka treba se zasnivati na razliitim stepenima preciznosti (+ ili 5%, 10%, 20%, itd.), to zavisi od toga koliki nivo tanosti revizor eli postii. Nivo pouzdanosti - Nivo pouzdanosti govori o tome sa kolikom su sigurnou rezultati odraz cijele populacije, to zavisi od nivoa preciznosti koja je utvrena nivoom tanosti. Najei procenat nivoa pouzdanosti iznosi 95%. Pri izboru uzorka koji e biti testiran, interni revizori trebaju razmotriti sljedee:

1. Uzorak treba izabrati iz cjelokupne populacije;

2. Period obuhvaen uzorkom treba biti odgovarajui, a uobiajeno je da to bude period od zavretka posljednje revizije datog sistema. Ako je posljednja revizija bila prije nekoliko godina, uzorak treba odrediti u odnosu na tekuu budetsku godinu;

3. Treba zabiljeiti metod uzorkovanja. Uzorak treba da ukljui sve najznaajnije vrste transakcija;

4. Testiranje se treba fokusirati na visokorizina podruja.

3.2.4.3. Tehnike testiranja

Testiranje internih kontrola moe se provesti na vie razliitih naina. Interni revizori trebaju nastojati da koriste najekonominije izvore dokaza o pouzdanosti svake kontrole koja se testira. Kako e revizor testirati odreenu konrolu zavisi i od prirode kontrole, ali se uglavnom razlikuje pet osnovnih metoda testiranja:

o Posmatranje - posebno vana metoda u sluaju kada ne postoji trajni dokaz o aktivnostima (npr. diskretnim posmatranjem se moe otkriti neovlaten pristup dokumentaciji i sl.)

o Razgovori korisni su u sluajevima kada ne postoje dokazi ili su dokazi nedovoljno jasni. Revizor treba obratiti panju na ton razgovora, jer grub i otar ton mogu uticati na ispitanika i izazvati nekooperativnu i odbrambenu reakciju.

o Provjera nezavisna potvrda vjerodostojnosti, tanosti i punovanosti transakcija odnosno poslovnih promjena. Ipak, primarna uloga internih revizora je da ocjene i testiraju kontrole, a ne da potvruju punovanost samih podataka. Kada se koriste testovi provjere, revizori trebaju osigurati da se oni odnose na funkcioniranje kontrola. Metode koje se koriste su:

Poreenje najee sa injenicama koje se mogu provjeriti ili standardima, npr. da su prirunici aurirani, ili da su zaposleni pohaali odgovarajue obuke...

Potvrda provjera izvjetaja o poslovanju, npr. da li je vrijeme na otpremnici kod kupca isto kao to je naznaeno kod dobavljaa...

Povezivanje provjera transakcija odnosno poslovnih promjena u odnosu na dokumentaciju, npr. plaanje dobavljau na osnovu odgovarajueg naloga ili odgovarajue prijemnice...


27

o Ponovno izvoenje kontrola naroito je relevantno kada su kontrole u formi kalkulacija ili mjerenja navodno provjerene, a revizor eli da provjeri da li kontrola zaista funkcionira.

o Analitiki pregled sastoji se od pregleda znaajnih odnosa (racia), trendova i drugih podataka.

Nakon testiranja pouzdanosti postojeih kontrola, internim revizorima predstoji najtei i najstruniji dio, a to je donoenje zakljuaka i preporuka. 3.2.5. Donoenje zakljuaka ocjena sistema kroz formuliranje nalaza, miljenja i preporuka

Ovo je faza u kojoj revizor razmatra rezultate svog prethodnog rada prije podnoenja izvjetaja o revidiranom podruju i procjenjuje kvalitet dokaza. Revizor u ovoj fazi potvruje ili prerauje svoje poetne procjene kontrola i donosi zakljuke koji e mu omoguiti formiranje miljenja o adekvatnosti, primjenu i efektivnosti sistema internih kontrola u konkretnom sistemu. Zakljuci trebaju ostvariti vezu izmeu svih nedostataka utvrenih tokom faze testiranja s kontrolnim ciljevima i stvoriti osnovu za davanje preporuka za otklanjanje nedostataka.

Zapaanja su odgovarajue injenine izjave. Interni revizor saopava ona zapaanja koja su potrebna kao podrka ili ona kojima se spreava nerazumjevanje revizorskih zakljuaka i preporuka. Interni revizor moe neformalno saopiti manje znaajna zapaanja ili preporuke. Zapaanja i preporuke angairanja proizilaze iz procesa poreenja kriterija (ispravnog stanja) sa uzrokom (aktuelnim stanjem). Interni revizor moe zasnovati izvjetaj na tome da li izmeu ova dva stanja postoji razlika. Kada stanje zadovoljava kriterije, izvjetaj o zadovoljavajuem izvrenju moe biti odgovarajui. Zapaanja i preporuke zasnovane su na sljedeim karakteristikama:

Kriterij: standardi, mjere ili oekivanja koritena pri vrednovanju i/ili verifikaciji (ispravno stanje). Stanje: injenini dokazi koje je interni revizor pronaao tokom ispitivanja (aktuelno stanje). Uzrok: razlog postojanja razlike izmeu oekivanog i aktuelnog stanja. Posljedica: rizik sa kojim se susree organizacija i/ili drugi zbog toga to stanje nije u skladu sa

kriterijem (uticaj razlike). Kod odreivanja stepena izlaganja riziku, interni revizori razmatraju efekte koje njihova zapaanja i preporuke mogu imati na poslovanje i finansijske izvjetaje organizacije.

Zapaanja i preporuke mogu ukljuivati i postignua klijenata angairanja, povezana pitanja i potkrepljujue informacije.

Zakljuci i miljenja su procjene internih revizora o posljedicama zapaanja i preporuka na pregledane aktivnosti. Oni obino stavljaju zapaanja i preporuke u odreeni okvir na osnovu njihovih sveukupnih implikacija. Jasno identificiraju ma koji zakljuak angairanja u izvjetaju angairanja. Zakljuci mogu ukljuiti itav obuhvat angairanja ili specifine aspekte. Oni mogu pokriti, ali nisu ogranieni na to, pitanja jesu li operativni ili programski ciljevi organizacije dostignuti i da li aktivnost koja se pregleda funkcionira kako bi trebalo. Miljenje moe ukljuiti sveukupnu ocjenu kontrola ili biti ogranieno na specifine kontrole ili aspekte angairanja. Interni revizor moe saopiti preporuke za poboljanja, priznavanje zadovoljavajueg izvrenja i korektivne aktivnosti. Preporuke su zasnovane na zapaanjima i zakljucima internih revizora. One pozivaju na aktivnost da se ispravi aktuelno stanje ili poboljaju operacije i mogu sugerirati pristup korigiranju ili poboljanju izvrenja kao smjernica za rukovodstvo u dostizanju eljenih rezultata. Preporuke mogu biti ope ili specifine. Na primjer, pod odreenim okolnostima interni revizor moe preporuiti generalni kurs aktivnosti i specifine sugestije za implementaciju. U drugim okolnostima, interni revizor moe sugerirati dalju istragu ili ispitivanje.


28

Interni revizor moe saopiti postigua klijenata angairanja u smislu poboljanja od posljednjeg angairanja ili ustanovljavanja dobro kontroliranih operacija. Ova informacija moe biti neophodna kako bi se na vjeran nain predstavila aktuelna stanja i osigurala odgovarajua perspektiva i balans za konaan izvjetaj angairanja.

3.2.5.1. Formuliranje i procjena nalaza

U ovoj fazi revizije sistema, revizor razmatra rezultate svog prethodnog rada prije podnoenja izvjetaja o revidiranom podruju i procjenjuje kvalitet dokaza, odnosno utvruje jesu li oni dovoljni, pouzdani i relevantni. Dovoljnost Podrazumijeva postojanje dovoljno faktikih, adekvatnih i uvjerljivih materijala da bi revidirani subjekti doli do istih zakljuaka kao i revizor. Ovo je odluka na bazi procjene, jer oni koji primaju informaciju mogu biti neskloni interpretaciji revizora, pogotovo kad je dokaz vezan za uspjenost te osobe. Pouzdanost Revizor mora biti zadovoljan sa izvorom dokaza i njegovom nedvosmislenou (da je taan i da ne moe biti razliito protumaen). Relevantnost Dokazi moraju pruati logiku vezu sa utvrenim problemom i efektom na ciljeve revizije. Dokaz ne bi smio izazvati reakciju sa pitanjem: pa to onda?. Revizor e u ovoj fazi potvrditi ili preraditi svoje poetne procjene kontrola i donijeti zakljuke koji e mu omoguiti formiranje miljenja o adekvatnosti, primjeni i efikasnosti cjelokupnog sistema internih kontrola u konkretnom sistemu. Zakljuci odnosno konana ocjena sistema internih kontrola treba se evidentirati u radnoj dokumentaciji (obrazac iz priloga). Zakljuci koje revizor donosi u ovoj fazi trebaju odraavati vezu izmeu svih nedostataka utvrenih tokom faze testiranja i kontrolnih ciljeva i stvoriti osnovu za davanje preporuka za poboljanja. Istovremeno, donijeti zakljuci trebaju naglaavati utvrene prednosti, dajui pohvalu kada je to primjereno i koristei reviziju za irenje znanja o dobroj praksi. Kljuno je u ovoj fazi na osnovu utvrenih injenica formulirati adekvatne nalaze. To znai da e se sva zapaanja i injenice procijeniti prema ciljevima revizije i kontrolnim ciljevima. Revizor treba upotrijebiti dobru sposobnost procjene u tumaenju znaaja rezultata revizije i u davanju praktinih preporuka za rjeavanje uoenih nedostataka. Revizor treba, ne samo prikupiti dovoljno dokaza za donoenje zakljuaka nego, takoer, i postii da se rukovodstvo sloi sa dokazima. Neki nalazi mogu biti beznaajni i njima ne treba optereivati rukovodstvo. Revizori se u izvjetaju usredsreuju na kljune nalaze, a ne na sve, jer e u protivnom kljuni nalazi biti u sjeni beznaajnih pa im rukovodstvo nee posvetiti dunu panju. Interni revizori trebaju izvjetavati rukovodstvo o nalazima koji su:

dovoljno znaajni da se o njima izvjetava; potvreni injenicama i dokazima koji su dovoljni, pouzdani i relevantni, a ne miljenjima;


29

objektivno formulirani bez polaznih pretpostavki; relevantni za stvari na koje se odnose i dovoljno uvjerljivi da primoraju na preduzimanje mjera radi ispravljanja nepravilnosti.

Kljuno je u ovoj fazi na osnovu utvrenih injenica formulirati adekvatne nalaze. To znai da e se sva zapaanja i injenice procijeniti prema ciljevima revizije i kontrolnim ciljevima iz Uvodne izjave.

Da bi smo nalaze u revizorskom izvjetaju formulirali na ispravan nain, potrebno je uzeti u obzir rezultate revizorskog rada iz svih prethodnih faza obavljanja pojedinane revizije. U nastavku je dato obrazloenje svakog pojedinanog dijela nalaza i njegove veze s pojedinom fazom u obavljanju pojedinane revizije: 1. Na osnovu informacija prikupljenih tokom preliminarnog istraivanja dolazimo do oekivanog

naina odvijanja procesa te oekivanih stanja po pojedinim fazama procesa. Kontrolni ciljevi nam ukazuju na ciljeve za koje se oekuje da e biti ostvareni u svakoj od faza procesa dok nam oekivane kontrole ukazuju na oekivani nain funkcioniranja sistema internih kontrola u revidiranom procesu. Kroz kriterije/standarde/oekivano stanje opisujemo kako bi se proces trebao odvijati, kako bi interne kontrole trebale funkcionirati, odnosno to bi sve trebalo biti ostvareno kroz pojedine faze procesa kako bi se ostvario poslovni cilj procesa.

2. Na osnovu informacija prikupljenih u prethodnim fazama utvrujemo koje su kontrole uspostavljene u revidiranom procesu, odnosno koje su postojee kontrole. Kroz testiranje i rezultate testiranja utvrujemo primjenjuju li se postojee kontrole, a ako se primjenjuju jesu li djelotvorne, odnosno ostvaruju li cilj radi kog su uspostavljene. Na taj nain dolazi se do pregleda stvarnog stanja u revidiranom procesu u smislu primjene i djelotvornosti postojeih kontrola, a to predstavlja osnovu za donoenje konane ocjene postojeih kontrola.

3. Do odstupanja stvarnog stanja od oekivanog stanja dolazi se provoenjem testiranja kroz koje takoer, nastojimo utvrditi i stvarne uzroke postojeih problema i povezati ih sa predvienim rizicima. Ukoliko se kroz testiranje ne utvrde razlozi odstupanja, moe se zakljuiti da su mogui razlozi odstupanja u predvienim rizicima.

4. Na osnovu dobijenih rezultata testiranja moemo zakljuiti da su negativne posljedice odstupanja stvarnog stanja od oekivanog ve nastupile (ostvarile su se ) ili ukoliko negativne posljedice odstupanja jo nisu nastupile, na osnovu predvienih rizika moemo ukazati na mogue negativne posljedice ako sistem internih kontrola ne funkcionira na zadovoljavajui nain.

5. Na osnovu rezultata testiranja i konane ocjene postojeih kontrola donosi se struno revizorsko miljenje o adekvatnosti, primjenjivosti i djelotvornosti sistema internih kontrola.

3.2.5.2. Struno revizorsko miljenje

Osim popunjavanja nalaza u obrascu iz priloga revizori iznose revizorsko miljenje o tome jesu li interne kontrole u odreenom dijelu procesa:

adekvatne (prava kontrola na pravom mjestu i u skladu sa rizikom); konzistentno primjenjene (provode li se sa dunom panjom od svih ukljuenih

zaposlenih i kroz itavo vrijeme); trokovno ekonomine/efektivne (trokovi kontrole ne prevazilaze dobivene koristi); sveobuhvatne, razumne i integrirane s opim ciljevima subjekta.

Struno miljenje odnosi se na adekvatnost, primjenu i efikasnost internih kontrola u revidiranom procesu. Njime se ocjenjuju kontrole koje su efektivne i efikasne, ali i mjesta gdje kontrole nedostaju (a


30

trebale bi postojati), gdje nisu najbolje ili su pak pretjerane, odnosno one kontrole koje se ne primjenjuju dosljedno ili u skladu s traenim standardom. Struno revizorsko miljenje sastoji se od:

procjene kontrole (adekvatnost, primjena i efikasnost) i komentara o poslovanju (varijacije u odnosu na prihvatljive standarde poslovne

uspjenosti koje podupiru procjenu kontrole). Teite treba biti, na nivou rezidualnog rizika: omjer u kojem postoji znaajna mogunost da se korporativni, organizacijski ili poslovni ciljevi nee ostvariti u okviru prihvaenih standarda i parametara poslovne uspjenosti. Pravi je izazov smanjiti rezidualni rizik na nivo koji je prihvatljiv svim interesnim grupama. Nakon formulacije, procjene nalaza i donoenja strunoga revizorskog miljenja potrebno je odrediti nivo strunog miljenja i preporuke prema vanosti za revidirani proces. Kategorizacija revizorskog miljenja evidentira se na nain da se za svaki dio procesa na koji se odnosi pojedinani nalaz navodi je li sistem internih kontrola u tom dijelu procesa zadovoljavajui, djelimino zadovoljavajui ili nezadovoljavajui. Ovdje interni revizor daje struno miljenje o tome koliki je nivo sigurnosti da e interne kontrole u procesu odnosno u pojedinim dijelovima procesa osigurati ostvarivanje poslovnog cilja procesa. Struno revizorsko miljenje o internim kontrolama moe biti:

ZADOVOLjAVAJUE POZITIVNO ZADOVOLjAVAJUE UZ MANjE ZNAAJNE NEDOSTATKE NEZADOVOLjAVAJUE NEGATIVNO S DETALjNIM PREGLEDOM NEDOSTATAKA

ZADOVOLjAVAJUE POZITIVNO kategorija je strunog miljenja koja podrazumijeva da je sistem internih kontrola u revidiranom procesu uspostavljen na visokom nivou koji osigurava minimiziranje potencijalnih rizika, ime doprinosi ostvarivanju postavljanih poslovnih ciljeva. ZADOVOLjAVAJUE UZ MANjE ZNAAJNE NEDOSTATKE podrazumijeva da je rukovodstvo uspostavilo sistem internih kontrola, meutim revizori su tokom obavljanja revizije uoili odreene segmente koje je potrebno poboljati. NEZADOVOLjAVAJUE NEGATIVNO S DETALjNIM PREGLEDOM NEDOSTATAKA podrazumijeva da sistem internih kontrola ima dosta slabosti. U navedenoj situaciji revizori e dati struno miljenje da je sistem internih kontrola nezadovoljavajui i navesti nedostatke i njihove posljedice na poslovanje subjekta. Struno revizorsko miljenje daje se po svakom kontrolnom cilju, a sveobuhvatno za cijeni revidirani proces u dijelu upravljakog rezimea. Svaki e rukovodilac jedinice za internu reviziju/interni revizor, na osnovu specifinosti vlastite institucije, usvojiti vlastiti nain dokumentiranja prethodno navedenih informacija i podataka. Preporuuje se da revizori prvu verziju nalaza, strunog miljenja i preporuka evidentiraju u poseban obrazac, a zatim konanu verziju prebace u revizorski izvjetaj. Revizor treba upotrijebiti dobru sposobnost procjene u tumaenju rezultata revizije i u davanju praktinih preporuka za otklanjanje uoenih nedostataka. Revizor ne samo da treba prikupiti dovoljnu koliinu dokaza za donoenje zakljuaka, nego treba omoguiti i rukovodstvu da se sloi sa istim.


31

3.2.5.3. Davanje preporuka

Prilikom utvrivanja preporuka, koje se daju rukovodstvu, treba voditi rauna da one treba da naglase sledee:

Uvoenje novih ili alternativnih kontrola za ispravljanje ili ublaavanje nedostataka,

Usavravanje ili izmjena postojeih kontrola kako bi bile efektivnije,

Osiguravanje redovne i dosljedne primjene postojeih kontrola,

Smanjivanje nepotrebnih kontrola.

Revizor nema odgovornost da detaljno predloi korektivne mjere, niti moe biti ukljuen u realizaciju ili poslovanje, ali treba utvrditi preporuke koje e voditi rukovodstvo prema pronalaenju rjeenja za uoene nedostatke. Kod utvrenih nedostataka revizor treba biti spreman ponuditi savjet o nainu poboljanja kontrole ne izlazei iz okvira utvrenih Etikim kodeksom, Poveljom i Standardima.

Prilikom davanja preporuka revizor mora imati na umu sljedee: ne pisati preporuke bez pravog razloga, odnosno ako ne postoje slabosti u kontrolama, biti spreman objasniti logi

Documents

Prirucnik Za Internu Reviziju Bos