Predgovor · Web viewDefinicija unutarnjih kontrola -detaljni prikaz Glavne komponente sustava unutarnjih kontrola COSO prepoznaje pet međusobno povezanih komponenata sustava unutarnjih

Vodič za unutarnje revizore o procjeni učinkovitosti unutarnjih kontrola v2 veljača 2019.

VODIČ PEMPAL-A ZA UNUTARNJE REVIZORE O PROCJENI

UČINKOVITOSTI UNUTARNJIH KONTROLA

Radna skupina za unutarnju kontrolu PEMPAL-a Str. 1 od 77


PREDGOVOR

Mreža PEMPAL, pokrenuta 2006. godine uz pomoć Svjetske banke, regionalno je tijelo kojemu je cilj podržavati reforme u javnim rashodima i financijskom upravljanju u 21 srednjoazijskoj, srednjoeuropskoj i istočnoeuropskoj zemlji promicanjem izgradnje kapaciteta i razmjene informacija. IACoP, jedna od tri zajednice prakse oko koje je mreža organizirana, ima predstavnike iz 21 europske i srednjoazijske zemlje.

Jedan od ciljeva IACoP-a jest „doprinijeti unaprjeđenju sustava upravljanja javnim financijama (PFM) podupirući članice da u svojim vladama uvedu modernu i učinkovitu službu unutarnje revizije koja zadovoljava međunarodne standarde i standarde Europske unije (EU) i omogućuje dobro upravljanje u javnom sektoru...”1

Aktivnostima IACOP-a daje se daljnji doprinos ovoj agendi izradom ovog vodiča za unutarnje revizore o razumijevanju i procjeni učinkovitosti unutarnjih kontrola. Ove smjernice sadrže niz kriterija za procjenu zrelosti unutarnjih kontrola koji mogu biti korisni unutarnjim revizorima koji rade u organizacijama čiji su sustavi PFM-a na različitim razinama razvoja.

1 Dodati referencu za navedeno.



SADRŽAJ

Preface......................................................................................................................................................................................... 2

Table of Contents.....................................................................................................................................................................3

Acronyms.................................................................................................................................................................................... 3

Part 1 Aims of the document..............................................................................................................................................4

Part 2 What is internal control?........................................................................................................................................5

Part 3 Detailed guidance on internal control...........................................................................................................10

PART 4 Internal Control Maturity Model...................................................................................................................12

Annex A: Internal Control Principles and Points of Focus.................................................................................13

Annex B1 The Control Environment............................................................................................................................22

Annex B2 Risk ASSESSMENT.......................................................................................................................................... 35

Annex B3 Control Activities.............................................................................................................................................47

Annex B4 Information & Communication.................................................................................................................55

Annex B5 Monitoring & Evaluation..............................................................................................................................62

Annex C: Assessing the Maturity of Internal Controls..........................................................................................68

POKRATE

SHJ Središnja harmonizacijska jedinicaCOSO Odbor sponzorskih organizacija povjerenstva TreadwayEU Europska unijaUR Unutarnja revizijaIACoP Zajednica prakse za unutarnju reviziju IC Unutarnje kontrolePFM Upravljanje javnim financijamaPEMPAL Mreža za učenje uz pomoć kolega za područje upravljanja javnim rashodima

(PEMPAL)PIC Sustav unutarnjih kontrola u javnom sektoruVRI Vrhovna revizijska institucijaWB Svjetska banka



DIO.1. CILJEVI DOKUMENTA

1. Ovim se dokumentom pružaju smjernice koje je razvila PEMPAL-ova Zajednica prakse za unutarnju reviziju kao pomoć unutarnjim revizorima u boljem razumijevanju glavnih obilježja učinkovitih unutarnjih kontrola te kako najbolje procijeniti njihovu zrelost i učinkovitost.

2. U dokumentu:

Navode se glavna obilježja unutarnjih kontrola kako ih promiče COSO (Dio 2. i Prilog A).

Objašnjava se svrha svake od pet komponenata sustava unutarnjih kontrola i temeljnih 17 načela unutarnje kontrole koje treba zadovoljiti da bi unutarnje kontrole bile učinkovite (Dio 3. i prilozi B1-B5).

Utvrđuju se kriteriji za procjenu mjere u kojoj je svako od tih načela zadovoljeno (prilozi B1-B5).

Promiče se četverorazinski model procjene zrelosti unutarnjih kontrola (Dio 4.).

Predstavlja se detaljni okvir za procjenu zrelosti unutarnjih kontrola na te četiri razine koji se temelji na kriterijima za procjenu koje je razvio PEMPAL, kako je prethodno navedeno (Prilog C).



DIO 2. ŠTO SU UNUTARNJE KONTROLE?

DEFINICIJA UNUTARNJIH KONTROLA:

3. COSO definira unutarnje kontrole kao: 2

Proces koji provode upravna tijela3, rukovodstvo i ostalo osoblje u jednoj organizaciji u cilju izražavanja razumnog uvjerenja da će se ostvariti ciljevi koji se odnose na poslovanje, izvješćivanje i usklađenost.

4. Način na koji se ova definicija može protumačiti radi korištenja u zemljama PEMPAL-a prikazan je na slici 1.

Slika 1. Definicija unutarnjih kontrola -detaljni prikaz

2 COSO. „Unutarnje kontrole - integrirani okvir.“ 2013.

3 U COSO-u se koristi izraz upravni odbor, što se u javnom sektoru prevodi kao upravna tijela.



GLAVNE KOMPONENTE SUSTAVA UNUTARNJIH KONTROLA

5. COSO prepoznaje pet međusobno povezanih komponenata sustava unutarnjih kontrola, pri čemu sve trebaju biti prisutne i integrirane kako bi unutarnje kontrole bile učinkovite s obzirom na ciljeve poslovanja, izvještavanja i usklađenosti navedene u prethodnom stavku 4. Pet komponenata je: kontrolno okruženje, procjena rizika, kontrolne aktivnosti, informacije i komunikacija te monitoring. Tih je pet komponenata prikazano na slici 2. u nastavku.

Slika 2. Pet komponenata COSO-a

6. Unutarnje kontrole nisu proces u kojem jedna komponenta utječe samo na sljedeću komponentu. To je višesmjerni proces u kojem skoro svaka komponenta može utjecati i utjecat će na drugu.

7. COSO je razvio 17 načela koja moraju biti prisutna i funkcionirati kako bi se zadovoljilo pet komponenata sustava unutarnjih kontrola. Komponente i povezana načela detaljno su objašnjeni u dijelu 3. i prilozima B1-B5.



OGRANIČENJA UNUTARNJIH KONTROLA KONCEPT RAZUMNOG UVJERENJA

8. Unutarnje kontrole su proces kojim se osigurava razumno uvjerenje u pogledu ostvarenja ciljeva.

9. Unutarnje kontrole pomažu organizaciji u ostvarenju njezinih strateških ciljeva, pripremi pouzdanih financijskih informacija i informacija o učinku te usklađenosti s relevantnim propisima. Međutim, unutarnje kontrole ne mogu pretvoriti lošeg upravitelja u dobrog niti mogu utjecati na vanjske čimbenike koji značajno utječu na poslovanje organizacije, na primjer velika operativna ograničenja koja su posljedica ekstremnih vremenskih uvjeta.

10. Inherentna ograničenja unutarnjih kontrola mogu uključivati: lošu ljudsku prosudbu prilikom donošenja odluka; jednostavnu ljudsku pogrešku; i potrebu da trošak kontrola bude uravnotežen u odnosu na uključene rizike i koristi. Osim toga, unutarnje kontrole mogu pružiti zaštitu u određenim situacijama vezanim uz prijevarne radnje, kao što je tajni dogovor između dvoje ili više osoba.

11. Cilj unutarnjih kontrola jest pružiti razumno uvjerenje da će organizacija ostvariti svoje ciljeve. Ne bi bilo poželjno niti moguće da sustavi unutarnjih kontrola pružaju apsolutno uvjerenje da će organizacija ostvariti svoje ciljeve.

PRISUSTVO UNUTARNJIH KONTROLA KOJE DOBRO FUNKCIONIRAJU I DJELUJU ZAJEDNO JEST NUŽNO

12. COSO pojašnjava zahtjeve za učinkovite unutarnje kontrole: svih 5 komponenata i 17 relevantnih načela mora biti prisutno i funkcionirati te svih 5 komponenata moraju djelovati zajedno.

13. Izraz „prisutno i funkcionirati“ odnosi se i na komponente i na načela.

„Prisutno“ se odnosi na utvrđivanje da su komponente i relevantna načela prisutna u oblikovanju i primjeni sustava unutarnjih kontrola radi ostvarenja određenih ciljeva.

„Funkcionirati“ se odnosi na utvrđivanje da su komponente i relevantna načela i dalje prisutna u provedbi sustava unutarnjih kontrola radi ostvarenja određenih ciljeva.

14. „Djelovati zajedno“ se odnosi na utvrđivanje da svih pet komponenata zajedno smanjuju, do prihvatljive razine, rizik neostvarenja nekog cilja.

OSIGURANJE UČINKOVITOSTI UNUTARNJIH KONTROLA PO MODELU TRIJU LINIJA OBRANE

15. Ne postoji jedinstveni ili jednostavni način kako procijeniti učinkovitost sustava unutarnjih kontrola neke organizacije. Unutarnje kontrole moraju biti prisutne i funkcionirati na svakoj razini organizacije i u svim poslovnim procesima. Svaki član osoblja zaposlen u organizaciji provodi unutarnje kontrole na neki način. Nadalje, unutarnje kontrole potrebno je kontinuirano preispitivati.



16. Brojne organizacije koriste se modelom triju linija obrane (slika 3.) kako bi osigurale da su unutarnje kontrole prisutne i funkcioniraju

Slika 3. Model triju linija obrane4

4 Na temelju izvješća o stajalištu IIA-a „TRI LINIJE OBRANE U UČINKOVITOM UPRAVLJANJU I KONTROLI RIZIKA“, siječanj 2013.



17. Prema tom modelu:

Prvu liniju obrane pruža operativno rukovodstvo koje provodi unutarnje kontrole u svojem svakodnevnom radu;

Drugu liniju obrane pružaju funkcije upravljanja koje nadgledaju rizik, kontrolu i usklađenost; i

Treću liniju obrane pružaju neovisne funkcije, osobito unutarnja revizija.



DIO 3. DETALJNE SMJERNICE O UNUTARNJIM KONTROLAMA

18. U ovom se dijelu izvješća navode dodatne detaljne smjernice o unutarnjim kontrolama koje je razvio PEMPAL.

RAZUMIJEVANJE UNUTARNJIH KONTROLA – FOKUSNE TOČKE

19. Kako bi bolje objasnili prirodu svakog načela, COSO je utvrdio fokuse svakog načela za lakše razumijevanje (Nazivaju se „fokusne točke“ u COSO-ovim smjernicama). U Prilogu A detaljno se navode načela i „fokusne točke” za sva načela COSO-a.

RAZUMIJEVANJE UNUTARNJIH KONTROLA – TUMAČENJE NAČELA

20. Kao pomoć unutarnjim revizorima da u potpunosti razumiju pet komponenata i 17 načela unutarnjih kontrola, u prilozima B1 do B5 za svaku se komponentu navodi:

(a) dijagram za svako načelo u kojemu se prikazuje kako se mogu tumačiti fokusne točke – kako je prikazano sa strane.

(b) Kratki komentar o svrsi i glavnim obilježjima svakog načela

(c) Skup kriterija za procjenu učinkovitosti unutarnjih kontrola razvijen na sastancima Radne skupine za unutarnje kontrole IACoP-a

PRIMJENA NAČELA COSO-A U JAVNOM SEKTORU ZEMALJA PEMPAL-A

21. U ovom su dijelu utvrđena važna pitanja koja treba uzeti u obzir pri primjeni načela COSO-a na javni sektor u zemljama PEMPAL-a. [Trebali bismo navesti sva pitanja i zatim dati primjere kako je svako pitanje riješeno u određenoj zemlji.]

POTREBA ZA USKLAĐIVANJEM S POSTOJEĆIM PRAVNIM OKVIROM

22. U anglofonim zemljama pravni sustav omogućava jednostavno usvajanje skupa načela COSO-a kroz omogućavanje donošenja propisa koji rukovoditeljima omogućavaju praćenje smjernica koje je izdao COSO. Međutim, u mnogim zemljama PEMPAL-a pravni sustav zahtijeva da osoblje u javnom sektoru ima vrlo konkretne zakonske ovlasti.

23. Posljedično, može biti potrebno uokviriti načela i savjete COSO-a u neki oblik standarda ili internog propisa kako bi bili usklađeni s pravnim okvirom svake zemlje. Na primjer:

U Moldovi su uokvireni kao skup standarda za unutarnje kontrole koji imaju pravni učinak njihovom objavom u službenom listu.

U Mađarskoj, .. dodati primjer kako su službeno objavljeni.



DODATI DRUGA PITANJA PREDLOŽENA NA SASTANCIMA IACOP-A



DIO 4. MODEL ZRELOSTI UNUTARNJIH KONTROLA

24. Javne uprave u zemljama članicama PEMPAL-a nalaze se na različitim razinama zrelosti. Stoga je IACoP odlučio razviti generički model zrelosti (ili sposobnosti) za procjenu zrelosti unutarnjih kontrola. Nakon ispitivanja niza modela zrelosti razvijenih za različite elemente organizacijskog rasta, IACoP se odlučio za četverorazinski model kako bi se izbjegla sklonost odabira srednje vrijednosti na skali. Karakteristike tih četiriju razina prikazane su u tablici 1. u nastavku.

Table 1. Četverorazinski model za procjenu zrelosti unutarnjih kontrola5

Razina Karakteristike

1. razina: Neslužbeno

Ad-hoc / kaotično

Karakteristika unutarnjih kontrola na ovoj razini jest da se (obično) ne dokumentiraju te su u stanju dinamičke promjene. Njih ad hoc, nekontrolirano i reaktivno provode korisnici kao reakciju na događaje. To dovodi do kaotičnog ili nestabilnog okruženja za unutarnje kontrole.

2. razina: Definirano

Standardno / ponovljivo

Na ovoj su razini zrelosti početne karakteristike da su neke unutarnje kontrole ponovljive, potencijalno uz dosljedne rezultate. Disciplina unutarnjih kontrola vjerojatno nije rigorozna, ali tamo gdje postoji može pomoći osigurati da se unutarnje kontrole održavaju u stresnim razdobljima. Tijekom vremena utvrđuju se i unapređuju skupovi definiranih i dokumentiranih standardnih kontrolnih procesa. To može biti dugotrajna faza razvoja te je to razina na kojoj će se vjerojatno nalaziti većina organizacija.

3. razina: Upravljano i

praćeno Predvidljivo

Na ovoj je razini zrelosti većina unutarnjih kontrola ponovljiva te proizvodi dosljedne rezultate. Disciplina unutarnjih kontrola je rigorozna i osigurava da se unutarnje kontrole održavaju u stresnim razdobljima. Postoje oblikovani i dokumentirani standardni procesi, a fokus je na kontinuiranom unaprjeđenju učinka unutarnjih kontrola kroz kako postupne tako i inovativne promjene i poboljšanja.

4. razina: Optimizirano

Učinkovito / efikasno

Karakteristike unutarnjih kontrola na ovoj razini su da se učinkovitost unutarnjih kontrola mjeri i da se određuju referentne vrijednosti u odnosu na najbolju praksu za osiguranje snažnog učinka u nizu različitih situacija.

25. U Prilogu C predstavlja se detaljni okvir za procjenu zrelosti unutarnjih kontrola na četiri prethodno navedene razine zrelosti. Okvir se temelji na kriterijima koje je PEMPAL razvio za svako načelo i fokusnu točku kako je prikazano u prilozima B1-B5.

5 Na temelju: Utvrđivanje razina zrelosti unutarnjih kontrola, 16.rujna 2015. (Weaver.com)



PRILOG A: NAČELA I FOKUSNE TOČKE UNUTARNJIH KONTROLA

COSO daje smjernice za svako od 17 načela koja uključuju dodatne detalje koji se zovu „fokusne točke“. Tablica u nastavku uključuje „fokusne točke“ koje bi mogle biti relevantne za razumijevanje primjene načela na javni sektor.

NAČELA FOKUSNE TOČKE

Kontrolno okruženje1. Organizacija pokazuje posvećenost integritetu i etičkim vrijednostima.

1.1. PRIMJENJUJE NAČELO TONA NA VRHU Upravna tijela6 i rukovodstvo na svim razinama svojim naredbama, aktivnostima i ponašanjem demonstriraju važnost integriteta i etičkih vrijednosti za dobro funkcioniranje sustava unutarnjih kontrola.

1.2. UTVRĐUJE PRAVILA PONAŠANJA Očekivanja upravnih tijela i višeg rukovodstva u pogledu integriteta i etičkih vrijednosti definirana su u organizacijskim pravilima ponašanja i moraju biti jasna na svim razinama organizacije i kod svih eksternaliziranih pružatelja usluga i poslovnih partnera.

1.3. EVALUIRA PRIMJENU PRAVILA PONAŠANJA Postoje postupci kojima se evaluira učinak pojedinaca i timova u odnosu na pravila ponašanja u organizaciji.

1.4. PRAVOVREMENO RJEŠAVA ODSTUPANJA. Nepridržavanje pravila ponašanja pravovremeno se utvrđuje i konstantno popravlja.

2. Odbor pokazuje neovisnost od rukovodstva i nadzire razvoj i učinak unutarnjih kontrola.

2.1. ODREĐUJE NADZORNE DUŽNOSTI Upravna tijela utvrđuju i prihvaćaju svoje nadzorne dužnosti u pogledu određenih zahtjeva i očekivanja.

2.2. PRIMJENJUJE RELEVANTNO STRUČNO ZNANJE Upravna tijela definiraju, održavaju i povremeno evaluiraju vještine i stručno znanje koje njihovi članovi moraju imati kako bi mogli postavljati prava pitanja višem rukovodstvu i poduzimati mjere u skladu s time.

2.3. POSLUJE NEOVISNO Upravna tijela imaju dovoljno članova koji su neovisni od rukovodstva i objektivni u svojim evaluacijama i donošenju odluka.

2.4. OSIGURAVA NADZOR SUSTAVA UNUTARNJIH KONTROLA Upravna tijela odgovorna su za nadzor

6 Riječ „odbor“ koja se upotrebljava kod COSO-a u javnom se sektoru odnosi na subjekt ili subjekte koji su odgovorni za nadzor i upravljanje predmetnom organizacijom u javnom sektoru, tj. upravna tijela. U nekim zemljama (npr. Ujedinjenoj Kraljevini), ovu upravnu ulogu ima neovisni upravni odbor.




unutarnjih kontrola koje izrađuje i provodi rukovodstvo.

NA PRIMJER: kontrolno okruženje: uspostava integriteta i etičkih vrijednosti, strukture nadzora, ovlasti i odgovornosti, očekivanja u pogledu sposobnosti i odgovornosti odbora; procjena rizika: nadzor procjene rizika koju vrši rukovodstvo u odnosu na ostvarenje ciljeva, uključujući potencijalni utjecaj značajnih promjena, prijevare i zaobilaženja unutarnjih kontrola od strane rukovodstva; kontrolne aktivnosti: nadzor rada višeg rukovodstva u pogledu razvoja i učinka kontrolnih aktivnosti; informacije i komunikacija: analiza i rasprava o informacijama u pogledu ostvarenja organizacijskih ciljeva; aktivnosti monitoringa: procjena i nadzor prirode i opsega aktivnosti monitoringa te evaluacija upravljanja i ispravak nedostataka

3. Rukovodstvo uspostavlja, uz nadzor odbora, strukture, linije izvještavanja te prikladne ovlasti i odgovornosti za ispunjenje ciljeva.

3.1. RAZMATRA SVE STRUKTURE ORGANIZACIJE Rukovodstvo i upravna tijela razmatraju koje se sve višestruke strukture upotrebljavaju (operativne jedinice, geografska raspodjela, eksternalizacija pružanja usluga) u svrhu ostvarenja ciljeva.

3.2. USPOSTAVLJA LINIJE IZVJEŠTAVANJA Rukovodstvo izrađuje i evaluira linije izvještavanja za svaku organizacijsku strukturu u svrhu izvršenja ovlasti i odgovornosti te protoka informacija radi upravljanja aktivnostima organizacije.

3.3. DEFINIRA, DODJELJUJE I OGRANIČAVA OVLASTI I ODGOVORNOSTI: Rukovodstvo i upravna tijela delegiraju ovlasti, definiraju odgovornost i koriste prikladne procese i tehnologije kako bi delegirali odgovornosti i raspodijelili obveze prema potrebi na različitim razinama organizacije:

Upravna tijela: zadržavaju ovlast donošenja bitnih odluka i pregledavaju zadatke rukovodstva te ograničenja ovlasti i odgovornosti;

Više rukovodstvo – uspostavlja upute, smjernice i kontrole kako bi rukovodstvo i ostalo osoblje razumjelo svoje obveze u pogledu unutarnjih kontrola i u skladu s time izvršavalo svoje zadatke;

Rukovodstvo – pomaže i usmjerava kod izvršenja naredbi visokog rukovodstva unutar organizacije i njezinih podružnica;

Osoblje – razumije pravila ponašanja u organizaciji, procijenjene rizike u ostvarenju ciljeva i povezane kontrolne aktivnosti na njihovim organizacijskim razinama, očekivani informacijski i komunikacijski tijek te aktivnosti monitoringa bitne za ostvarenje ciljeva;




Eksternalizirani pružatelji usluga – pridržavaju se definicije obuhvata ovlasti i odgovornosti rukovodstva za sve angažirane treće strane koje nisu zaposlenici.

4. Organizacija pokazuje predanost traženju, razvoju i zadržavanju sposobnih zaposlenika, u skladu sa svojim ciljevima.

4.1. USPOSTAVLJA POLITIKE I PRAKSE Politike i prakse odražavaju očekivanja za razinu sposobnosti potrebnu kako bi se ostvarili ciljevi.

4.2. OCJENJUJE SPOSOBNOST I RJEŠAVA NEDOSTATKE. Upravna tijela i rukovodstvo evaluiraju sposobnosti diljem organizacije te kod eksternaliziranih pružatelja usluga u pogledu uspostavljenih politika i praksi; i postupaju prema potrebi kad treba riješiti bilo kakve nedostatke.

4.3. PRONALAZI, RAZVIJA I ZADRŽAVA POJEDINCE ORGANIZACIJApruža mentorstvo i edukaciju potrebnu za pronalazak, razvoj i zadržavanje kvalitetnog i sposobnog osoblja te eksternaliziranih pružatelja usluga kako bi se ostvarili zadani ciljevi.

4.4. PLANIRA I PRIPREMA PRIJENOS FUNKCIJA Više rukovodstvo i upravna tijela izrađuju planove za nepredviđene situacije u pogledu dodjele odgovornosti bitnih za unutarnje kontrole.

5. Pojedinci su odgovorni za svoje obveze u skladu s unutarnjim kontrolama na razini organizacije u svrhu ispunjenja ciljeva.

5.1. OSIGURAVA ODGOVORNOST KROZ STRUKTURE, OVLASTI I DUŽNOSTI Rukovodstvo i upravna tijela uspostavljaju mehanizme za komunikaciju i drže pojedince odgovornima za učinak unutarnjih kontrola na razini cijele organizacije i provode korektivne mjere kad je to potrebno. DEFINIRA MJERE ZA UČINAK, POTICAJE I NAGRADE Rukovodstvo i upravna tijela definiraju mjere za učinak, poticaje i druge nagrade u skladu s razinom odgovornosti na svim razinama organizacije koji odražavaju relevantne dimenzije učinka i očekivanih pravila ponašanja te uzimajući u obzir kratkoročne i dugoročne ciljeve.

EVALUIRA RELEVANTNOST MJERA ZA UČINAK, POTICAJA I NAGRADA Rukovodstvo i upravna tijela usklađuju poticaje i nagrade s ispunjenjem obveza u skladu s unutarnjim kontrolama, razrađuju mjere za učinak i ocjenjuju ga.

UZIMA U OBZIR PREKOMJERNI PRITISAK Rukovodstvo i upravna tijela evaluiraju i prilagođavaju pritiske povezane s ostvarenjem ciljeva prilikom dodjele odgovornosti, razvijaju mjere za učinak i ocjenjuju ga.

EVALUIRA UČINAK I NAGRAĐUJE ILI KAŽNJAVA POJEDINCE Rukovoditelji i upravna tijela ocjenjuju učinak ispunjenja obveza u skladu s unutarnjim kontrolama, uključujući pridržavanje pravila ponašanja i očekivane razine sposobnosti, te sukladno tome nagrađuju ili kažnjavaju.

Procjena rizika




6. Organizacija određuje dovoljno jasne ciljeve kako bi se omogućilo utvrđivanje i procjena rizika povezanih s ciljevima.

6.1. OPERATIVNI CILJEVI

Odražava odabire rukovodstva: operativni ciljevi odražavaju odabire rukovodstva u pogledu strukture i učinka organizacije.

Uzima u obzir tolerancije na rizik: rukovodstvo uzima u obzir prihvatljive razine varijacije u odnosu na ostvarenje operativnih ciljeva.

Obuhvaća ciljeve operativnog i financijskog učinka: organizacija odražava željenu razinu operativnog i financijskog učinka za organizaciju u okviru operativnih ciljeva.

Čini osnovu za raspodjelu resursa: rukovodstvo koristi operativne ciljeve kao osnovu za dodjelu resursa potrebnih za postizanje željenog operativnog i financijskog učinka.

6.2. CILJEVI VANJSKOG FINANCIJSKOG IZVJEŠTAVANJA

Usklađen s primjenjivim računovodstvenim standardima: ciljevi financijskog izvještavanja u skladu su s računovodstvenim načelima koja su primjerena i dostupna organizaciji. Odabrana računovodstvena načela su primjerena okolnostima.

Uzima u obzir materijalni značaj: rukovodstvo uzima u obzir materijalni značaj pri predstavljanju financijskih izvještaja.

Odražava aktivnosti organizacije: vanjsko izvještavanje odražava povezane transakcije i događaje u svrhu prikazivanja kvalitativnih karakteristika i tvrdnji.

6.3. CILJEVI INTERNOG IZVJEŠTAVANJA

Odražava odabire rukovodstva: interno izvještavanje rukovodstvu pruža točne i cjelovite informacije o odabirima rukovodstva i informacijama potrebnim za upravljanje organizacijom.

Uzima u obzir potrebnu razinu preciznosti: rukovodstvo odražava potrebnu razinu preciznosti i točnosti prikladnu za potrebe korisnika kod ciljeva nefinancijskog izvještavanja te materijalni značaj u okviru ciljeva financijskog izvještavanja.




Odražava aktivnosti organizacije: interno izvještavanje odražava povezane transakcije i događaje u rasponu prihvatljivih granica.

6.4. CILJEVI USKLAĐENOSTI

Odražava vanjske zakone i propise: zakoni i propisi utvrđuju minimalne standarde ponašanja koje organizacija integrira u ciljeve usklađenosti.

Uzima u obzir toleranciju na rizik: rukovodstvo uzima u obzir prihvatljive razine varijacije u odnosu na ostvarenje ciljeva usklađenosti.

7. Organizacija utvrđuje rizike za ostvarenje svojih ciljeva na razini subjekta i analizira rizike kao temelj za određivanje načina na koji bi se trebalo upravljati rizicima.

7.1. OBUHVAĆA RAZINE ORGANIZACIJE, REGIJE I ODJELA. Organizacija utvrđuje i procjenjuje rizike na razinama organizacije, regije i odjela koje su relevantne za ostvarenje ciljeva.

7.2. ANALIZIRA UNUTARNJE I VANJSKE ČIMBENIKE. Pri utvrđivanju rizika uzimaju se u obzir unutarnji i vanjski čimbenici te njihov utjecaj na ostvarenje ciljeva.

7.3. UKLJUČUJE ODGOVARAJUĆE RAZINE RUKOVODSTVA. Organizacija uspostavlja učinkovite mehanizme za procjenu rizika koji uključuju odgovarajuće razine rukovodstva.

7.4. PROCJENJUJE ZNAČAJ UTVRĐENIH RIZIKA. Utvrđeni rizici analiziraju se kroz proces koji obuhvaća procjenu potencijalnog značaja rizika.

7.5. ODREĐUJE KAKO ODGOVORITI NA RIZIKE. Procjena rizika obuhvaća razmatranje kako treba upravljati rizikom te treba li prihvatiti, izbjeći, smanjiti ili podijeliti rizik.

8. Organizacija razmatra mogućnost prijevare pri procjeni rizika za ostvarenje ciljeva.

8.1. RAZMATRA RAZLIČITE VRSTE PRIJEVARE. Pri procjeni prijevare razmatra se lažno izvještavanje, mogući gubitak imovine i korupcija koji proizlaze iz raznih načina na koje može doći do prijevare i propusta.

8.2. PROCJENJUJE POTICAJE I PRITISKE. Pri procjeni rizika od prijevare razmatraju se poticaji i pritisci.

8.3. PROCJENJUJE PRILIKE. Pri procjeni rizika prijevare razmatraju se prilike za neovlašteno stjecanje, korištenje ili prodaju imovine, izmjenu evidencije koju organizacija koristi za izvještavanje ili počinjenje drugih neprimjerenih radnji.

8.4. PROCJENJUJE STAVOVE I RACIONALIZACIJE. Pri procjeni rizika prijevare razmatra se na koji bi način rukovodstvo i ostalo osoblje moglo sudjelovati u neprimjerenim postupcima ili ih opravdati.

9. Organizacija utvrđuje i procjenjuje 9.1. PROCJENJUJE PROMJENE U VANJSKOM OKRUŽENJU. U procesu utvrđivanja rizika razmatraju se




promjene koje bi mogle značajno utjecati na sustav unutarnjih kontrola.

promjene u regulatornom, ekonomskom i fizičkom okruženju u kojem organizacija djeluje.

9.2. PROCJENJUJE PROMJENE U POSLOVNOM MODELU. Organizacija razmatra moguće utjecaje novih poslovnih linija, dramatično izmijenjenih sastava postojećih poslovnih linija, stečenih ili prodanih dijelova poslovanja koji se odnose na sustav unutarnjih kontrola, naglog rasta, promjene oslanjanja na inozemna geografska područja te novih tehnologija.

9.3. PROCJENJUJE PROMJENE U VODSTVU. Organizacija razmatra promjene u rukovodstvu i odgovarajućim stavovima u okviru filozofija koje se odnose na sustav unutarnjih kontrola.

Kontrolne aktivnosti10. Organizacija odabire i razrađuje kontrolne aktivnosti koje doprinose ublažavanju rizika za ostvarenje ciljeva na prihvatljive razine.

10.1. INTEGRIRA S PROCJENOM RIZIKA. Kontrolne aktivnosti pomažu osigurati provođenje odgovarajućih mjera za rješavanje i ublažavanje rizika .

10.2. RAZMATRA ČIMBENIKE SPECIFIČNE ZA ORGANIZACIJU. Rukovodstvo razmatra na koji način okruženje, složenost, priroda i obuhvat njihovog poslovanja, kao i specifične karakteristike njihove organizacije, utječu na odabir i razradu kontrolnih aktivnosti.

10.3. UTVRĐUJE RELEVANTNE POSLOVNE PROCESE. Rukovodstvo utvrđuje koji relevantni poslovni procesi zahtijevaju kontrolne aktivnosti.

10.4. OCJENJUJE KOMBINACIJU VRSTA KONTROLNIH AKTIVNOSTI. Kontrolne aktivnosti obuhvaćaju niz raznovrsnih kontrola, a mogu uključivati uravnoteženu kombinaciju pristupa ublažavanju rizika koja obuhvaća ručne i automatizirane kontrole te preventivne i detektivne kontrole.

10.5. RAZMATRA NA KOJOJ SE RAZINI PRIMJENJUJU AKTIVNOSTI. Rukovodstvo razmatra kontrolne aktivnosti na različitim razinama organizacije.

10.6. RJEŠAVA RAZDVOJENOST DUŽNOSTI. Rukovodstvo razdvaja nespojive dužnosti, a ako takvo razdvajanje nije praktično, rukovodstvo odabire i razrađuje alternativne kontrolne aktivnosti.

11. Organizacija odabire i razrađuje opće kontrolne aktivnosti nad tehnologijom u svrhu ostvarenja ciljeva.

11.1. ODREĐUJE OVISNOST IZMEĐU UPOTREBE TEHNOLOGIJE U POSLOVNIM PROCESIMA I OPĆIH KONTROLA NAD TEHNOLOGIJOM. Rukovodstvo razumije i određuje ovisnost i povezanost između poslovnih procesa, automatiziranih kontrolnih aktivnosti i općih kontrola nad tehnologijom.

11.2. UTVRĐUJE RELEVANTNE KONTROLNE AKTIVNOSTI NAD TEHNOLOŠKOM INFRASTRUKTUROM. Rukovodstvo odabire i razrađuje kontrolne aktivnosti nad tehnološkom infrastrukturom




koje su osmišljene i provedene u svrhu osiguranja cjelovitosti, točnosti i dostupnosti tehnološke obrade.

11.3. UTVRĐUJE RELEVANTNE KONTROLNE AKTIVNOSTI U PROCESU UPRAVLJANJA SIGURNOŠĆU. Rukovodstvo odabire i razrađuje kontrolne aktivnosti koje su osmišljene i provedene kako bi se ograničila prava na pristup tehnologiji ovlaštenim korisnicima u skladu s njihovim radnim odgovornostima te zaštitila imovinu organizacije od vanjskih prijetnji.

11.4. UTVRĐUJE RELEVANTNE KONTROLNE AKTIVNOSTI U PROCESU STJECANJA, RAZVOJA I ODRŽAVANJA TEHNOLOGIJE. Rukovodstvo odabire i razrađuje kontrolne aktivnosti nad stjecanjem, razvojem i održavanjem tehnologije i njezine infrastrukture u svrhu ostvarenja ciljeva rukovodstva.

12. Organizacija uvodi kontrolne aktivnosti putem politika kojima se utvrđuje što se očekuje i procedurama kojima se te politike primjenjuju.

12.1. USPOSTAVLJA POLITIKE I PROCEDURE U SVRHU PROVEDBE UPUTA RUKOVODSTVA. Rukovodstvo uspostavlja kontrolne aktivnosti koje su ugrađene u poslovne procedure i svakodnevne aktivnosti zaposlenika putem politika.

12.2. UTVRĐUJE DUŽNOST I ODGOVORNOST ZA IZVRŠENJE POLITIKA I PROCEDURA. Rukovodstvo utvrđuje dužnost i odgovornost za kontrolne aktivnosti rukovodstva (ili drugog imenovanog osoblja) poslovne jedinice ili funkcije koja obuhvaća relevantne rizike.

12.3. PRAVOVREMENO PROVODI AKTIVNOSTI. Odgovorno osoblje provodi kontrolne aktivnosti pravovremeno kako je definirano politikama i procedurama.

12.4. PODUZIMA KOREKTIVNE MJERE. Odgovorno osoblje istražuje i djeluje u pogledu pitanja koja su utvrđena kao rezultat izvršenja kontrolnih aktivnosti.

12.5. PROVODI IH SPOSOBNO OSOBLJE. Sposobno osoblje s dostatnim ovlastima provodi kontrolne aktivnosti s pažnjom i kontinuiranim fokusom.

12.6 PREISPITUJE POLITIKE I PROCEDURE. Rukovodstvo periodično preispituje kontrolne aktivnosti kako bi utvrdilo njihovu kontinuiranu relevantnost te ih ažurira prema potrebi.

Informacije i komunikacija13. Organizacija pribavlja ili generira te upotrebljava relevantne, kvalitetne informacije za dobro funkcioniranje unutarnjih kontrola.

13.1. UTVRĐUJE INFORMACIJSKE ZAHTJEVE. Uspostavljen je proces za utvrđivanje potrebnih informacija od kojih se očekuje da podupiru funkcioniranje drugih komponenata unutarnjih kontrola i ostvarenje ciljeva organizacije.

13.2. PRIKUPLJA PODATKE IZ UNUTARNJIH I VANJSKIH IZVORA. Informacijski sustavi prikupljaju




podatke iz unutarnjih i vanjskih izvora.

13.3. OBRAĐUJE I PRETVARA RELEVANTNE PODATKE U INFORMACIJE. Informacijski sustavi obrađuju i pretvaraju relevantne podatke u informacije.

13.4. ODRŽAVA KVALITETU TIJEKOM OBRADE. Informacijski sustavi proizvode informacije koje su pravodobne, ažurne, točne, cjelovite, pristupačne, zaštićene te se mogu provjeriti i zadržati. Informacije se preispituju kako bi se procijenila njihova relevantnost za podupiranje komponenata sustava unutarnjih kontrola.

13.5. RAZMATRA TROŠKOVE I KORISTI. Vrsta, količina i preciznost informacija koje se priopćavaju primjereni su ostvarenju ciljeva i podupiru ih.

14. Organizacija interno priopćava informacije, uključujući ciljeve i odgovornosti u pogledu unutarnjih kontrola, potrebne za dobro funkcioniranje unutarnjih kontrola.

14.1. PRENOSI INFORMACIJE O UNUTARNJIM KONTROLAMA. Uspostavljen je proces prenošenja informacija potrebnih kako bi svi zaposlenici mogli razumjeti i izvršiti svoje obveze u skladu s unutarnjim kontrolama.

14.2. KOMUNICIRA S UPRAVNIM TIJELIMA. Rukovodstvo komunicira s upravnim tijelima tako da obje strane imaju informacije potrebne za ispunjavanje svojih uloga u pogledu ciljeva organizacije.

14.3. OSIGURAVA ODVOJENE LINIJE KOMUNIKACIJE. Uspostavljeni su zasebni kanali komunikacije, kao što su telefonske linije za zviždače, koji služe kao sigurnosni mehanizam koji omogućava anonimnu i povjerljivu komunikaciju kad uobičajeni kanali ne funkcioniraju ili nisu učinkoviti.

14.4 ODABIRE RELEVANTNI NAČIN KOMUNIKACIJE. Način komunikacije uzima u obzir vrijeme, publiku i prirodu informacija.

15. Organizacija komunicira s vanjskim stranama u pogledu pitanja koja utječu na funkcioniranje unutarnjih kontrola.

15.1. KOMUNICIRA S VANJSKIM STRANAMA. Uspostavljeni su procesi za priopćavanje relevantnih i pravodobnih informacija vanjskim stranama, uključujući parlament, partnere, regulatore i ostale vanjske strane.

15.2. OMOGUĆAVA DOLAZNU KOMUNIKACIJU. Otvoreni kanali komunikacije koji korisnicima ili klijentima, dobavljačima, vanjskim revizorima, regulatorima i drugima omogućuju davanje ulaznih informacija, čime rukovodstvo i upravna tijela dobivaju relevantne informacije.

15.3. KOMUNICIRA S UPRAVNIM TIJELIMA. Upravnim tijelima se priopćavaju relevantne informacije koje proizlaze iz procjena koje su provele vanjske stranke.

15.4. OSIGURAVA ODVOJENE LINIJE KOMUNIKACIJE. Uspostavljeni su zasebni kanali komunikacije, kao što su telefonske linije za zviždače, koji služe kao sigurnosni mehanizmi koji omogućuju anonimnu ili povjerljivu komunikaciju kad uobičajeni kanali ne funkcioniraju ili nisu učinkoviti.




15.5. ODABIRE RELEVANTNI NAČIN KOMUNIKACIJE. Način komunikacije uzima u obzir vrijeme, publiku i narav komunikacije te pravne, regulatorne i fiducijarne zahtjeve i očekivanja.

Aktivnosti monitoringa16. Organizacija odabire, razrađuje i provodi kontinuirane i/ili zasebne evaluacije kako bi odredila jesu li komponente sustava unutarnjih kontrola prisutne i funkcioniraju li.

16.1. RAZMATRA KOMBINACIJU KONTINUIRANIH I ZASEBNIH EVALUACIJA. Rukovodstvo utvrđuje kombinaciju kontinuiranih i zasebnih evaluacija.

16.2. UZIMA U OBZIR BRZINU PROMJENE. Rukovodstvo uzima u obzir brzinu promjene u poslovanju i poslovnim procesima pri odabiru i razradi kontinuiranih i zasebnih evaluacija.

16.3. USPOSTAVLJA OSNOVNU RAZINU RAZUMIJEVANJA Oblik i trenutačno stanje sustava unutarnjih kontrola upotrebljavaju se za utvrđivanje osnovnih vrijednosti za kontinuirane i zasebne evaluacije.

16.4. ZAPOŠLJAVA OBRAZOVANE RADNIKE. Provoditelji kontinuiranih i zasebnih evaluacija posjeduju dostatnu razinu znanja za razumijevanje onog što se evaluira.

16.5. INTEGRIRA U POSLOVNE PROCESE. Kontinuirane evaluacije su ugrađene u poslovne procese i prilagođavaju se promjenjivim uvjetima.

16.6. PRILAGOĐAVA OBUHVAT I UČESTALOST. Rukovodstvo varira obuhvat i učestalost zasebnih evaluacija ovisno o rizicima.

16.7. EVALUIRA OBJEKTIVNO. Zasebne evaluacije se periodično provode radi dobivanja objektivnih povratnih informacija.

17. Organizacija evaluira nedostatke unutarnjih kontrola te o njima pravodobno obavještava one strane koje su odgovorne za poduzimanje korektivnih mjera te, prema potrebi, više rukovodstvo i odbor.

17.1. PROCJENJUJE REZULTATE. Rukovodstvo i odbor, prema potrebi, ocjenjuju rezultate kontinuiranih i zasebnih evaluacija.17.2 OBAVJEŠTAVA O NEDOSTACIMA. O nedostacima se obavještavaju one strane koje su odgovorne za poduzimanje korektivnih mjera te, prema potrebi, više rukovodstvo i odbor.

17.3. PRATI KOREKTIVNE MJERE. Rukovodstvo prati ispravljaju li se nedostaci pravovremeno.



PRILOG B1 KONTROLNO OKRUŽENJE

1. Ovaj se Prilog bavi prvom komponentom – kontrolnim okruženjem koje je temelj svih ostalih komponenata sustava unutarnjih kontrola. Kontrolno okruženje odraz je „tona na vrhu“ u organizaciji. Djelomično ovisi o strukturama koje je rukovodstvo uspostavilo, ali i o načinu na koji se ljudi ponašaju unutar organizacije prilikom izvršavanja svojih zadataka. Na primjer, postoji potreba da se politikama objasni kako bi se pojedinci trebali ponašati u određenim situacijama, kao i potreba da rukovodstvo svojim primjerom pokazuje kako se drži tih smjernica.

2. Ova komponenta sadrži pet načela COSO-a:

1. Organizacija pokazuje posvećenost integritetu i etičkim vrijednostima.

2. Upravna tijela pokazuju neovisnost od rukovodstva i nadziru razvoj i učinak unutarnjih kontrola.

3. Rukovodstvo uspostavlja, uz nadzor upravnog tijela, strukture, linije izvještavanja i prikladna nadležna tijela odgovorna za ispunjenje ciljeva.

4. Organizacija pokazuje predanost traženju, razvoju i zadržavanju sposobnih zaposlenika u skladu sa svojim ciljevima.

5. Pojedinci su odgovorni za svoje obveze u skladu s unutarnjim kontrolama na razini organizacije u svrhu ispunjenja ciljeva.

Slika 4 Načela i fokusne točke prve komponente – kontrolno okruženje



PRVO NAČELO: ORGANIZACIJA POKAZUJE POSVEĆENOST INTEGRITETU I ETIČKIM VRIJEDNOSTIMA

Slika 5: Objašnjenje prvog načela

KOMENTAR.

3. Nije moguće očekivati integritet u ponašanju zaposlenika ako nisu svjesni etičkih standarda koji se od njih očekuju. Stoga je bitno da svaka organizacija svojim zaposlenicima daje smjernice kojima objašnjava očekivane standarde. To uključuje odredbe kojima se pojedinci štite kada prijavljuju prijestupe (tzv. zviždači). Nakon što se uspostave jasna pravila ponašanja, ključno je analizirati stvarno ponašanje i istražiti sva potencijalna odstupanja te primijeniti disciplinarne mjere.



KRITERIJI ZA PROCJENU UČINKOVITOSTI UNUTARNJIH KONTROLA:

4. Stoje li viši rukovoditelji iza svojih riječi u smislu da je njihovo ponašanje u skladu s ponašanjem koje očekuju od osoblja.

5. Ima li organizacija jednu ili nekoliko politika kojima se definiraju očekivana pravila ponašanja za rukovoditelje i osoblje, uključujući izjave o etici i vrijednostima? Uključuju li one:

Kodeks etike.

Politiku za suzbijanje prijevare i korupcije.

Politiku za suzbijanje seksualnog uznemiravanja i zlostavljanja.

Aranžmane za zaštitu zviždača.

Osposobljavanje vezano uz očekivane standarde ponašanja.

Redovito podsjećanje osoblja kako moraju svoje dužnosti izvršavati s integritetom tako da su etički standardi ispunjeni.

6. Postoje li postupci evaluacije radnog učinka pojedinaca i timova u pogledu ispunjenja očekivanih etičkih standarda? Na primjer:

Od svih članova osoblja zahtijeva se da redovito sami ocijene i izjave ispunjavaju li očekivane standarde ponašanja.

Sukobi interesa u javnom sektoru jasno su definirani, objavljeni te se redovito evidentiraju/potpisuju i prate.

Redovito se daje izjava o imovini i rashodima.

7. Postoji li jasan proces za upravljanje odstupanjima od očekivanih standarda? Na primjer:

Podaci o svim odstupanjima od očekivanih standarda se čuvaju.

Odstupanja od očekivanih standarda se istražuju te se poduzimaju mjere uklanjanja nedostataka.



DRUGO NAČELO: UPRAVNA TIJELA POKAZUJU NEOVISNOST OD RUKOVODSTVA I NADZIRU RAZVOJ I UČINAK UNUTARNJIH KONTROLA.

Slika 6: Objašnjenje drugog načela

KOMENTAR.

8. Ovo je načelo usklađeno prema COSO-ovim smjernicama za upravni odbor. Odnosi se na organizacije javnog sektora čak i kada ne postoji nadzorni upravni odbor. Razlog je što sve organizacije javnog sektora moraju biti podložne nekoj vrsti nadzora od strane viših tijela izvan samog subjekta. Postoji niz opcija za nadzor u javnom sektoru koje su navedene u tablici 2. u nastavku.



Tablica 2. Moguća upravna tijela u javnom sektoru

Aranžmani u javnim sektorima za ispunjenje uloge upravnih tijela kako je utvrđena tijekom rasprava PEMPAL-a

1. Voditelj organizacije (ministar itd.) – jedna osoba

2. Vanjski nadzorni odbor koji može biti u različitim oblicima (npr. parlamentarni odbor, vladin odbor, odbor sastavljen od predstavnika različitih ministarstava)

3. Nadzor resornog ministarstva ili nadređene organizacije

4. Dvostruko vodstvo: ministar (politički čelnik) vs. glavni tajnik (administrativni rukovoditelj)

5. Kolegij, vijeće, odbor agencije/odjela koji predstavlja samo izvršna razina (uz one imenovane unutar organizacije)

6. Revizorski odbor na razini agencije/odjela s neizvršnim direktorima / neovisnim članovima

7. Revizorski odbor centraliziran za vladu

8. Tematski odbori: npr. odbor za unutarnje kontrole koji vodi glavni tajnik (ili njegov zamjenik)

9. Specijalizirana jedinica ili osoba u predsjedničkoj upravi (za predsjedničke uprave) s posebnim nadzornim zadaćama

9. U javnom se sektoru nadzor često definira zakonima, a može ga nadopunjavati poslovnik određenih upravnih tijela. Ključne značajke COSO-a su da upravna tijela moraju djelovati neovisno te imati vještine za učinkovit rad. Također je ključno da upravna tijela zaista pregledavaju rad unutarnjih kontrola. To se često može ostvariti pregledom izvještaja s druge i treće linije obrane.


10. Postoji li neovisni upravni odbor koji nadzire rad rukovodstva?

11. Ako ne, na koji se način odluke rukovodstva provjeravaju neovisno? Za primjere vrsta nadzornih rješenja koja mogu postojati u zemljama PEMPAL-a, vidjeti prethodnu tablicu 2.

12. Jesu li nadzorna rješenja jasno definirana, na primjer:

Pravni okvir koji definira odgovornost za nadzor unutarnjih kontrola.

13. Ima li odbor (ili drugo upravno tijel) dovoljno stručnog znanja za nadzor rada organizacije? Na primjer:

Potrebne vještine i relevantno iskustvo definirani su i usklađeni s ciljevima organizacije.



Upravno tijelo sastoji se od članova s različitim primjerenim vještinama i sposobnostima (obrazovanje i kvalifikacije).

Postoji jasan proces imenovanja ili zapošljavanja članova upravnih tijela.

Upravno tijelo po potrebi ima pristup neovisnom stručnom znanju.

Upravno tijelo dokazano podupire neovisnost unutarnje revizije kao treće linije obrane.

14. Djeluje li odbor ((ili drugo upravno tijelo) neovisno od rukovodstva? Na primjer:

Uloga donošenja odluka rukovodstva jasno je odvojena od nadzorne/savjetodavne uloge.

Postoji jasan mandat za nadzor unutarnjih kontrola.

Informacije potrebne za obavljanje nadzora pravovremeno se prikupljaju i priopćavaju na točan i pouzdan način.

Učinkovitost i efikasnost nadzornih rješenja evaluirala je vrhovna revizijska institucija

15. Nadzire li odbor (ili drugo upravno tijelo) kako rukovodstvo provodi sustav unutarnjih kontrola? Na primjer:

Postoji uspostavljeni sustav nadzora unutarnjih kontrola.

Postoje neovisni kriteriji za izvještavanje upravnih tijela o pitanjima unutarnjih kontrola.

Postoji uspostavljeni sustav za davanje izjave o stanju sustava unutarnjih kontrola unutar organizacije.

Postoji godišnje mišljenje unutarnje revizije o učinkovitosti unutarnjih kontrola unutar organizacije.

Revizorski odbor daje javni izvještaj o učinkovitosti unutarnjih kontrola.



TREĆE NAČELO – RUKOVODSTVO USPOSTAVLJA, UZ NADZOR UPRAVNOG TIJELA, STRUKTURE, LINIJE IZVJEŠTAVANJA I PRIKLADNA NADLEŽNA TIJELA ODGOVORNA

ZA ISPUNJENE CILJEVA.

Slika 7: Objašnjenje trećeg načela

KOMENTAR.

16. Način organizacije subjekta izravno utječe na način funkcioniranja unutarnjih kontrola. Na primjer, organizacije sa zasebnim regionalnim uredima radit će drugačije od onih sa samo jednim središnjim uredom. Zahtijevane strukture treba zamijeniti jasnim linijama izvještavanja i one se moraju odražavati u službenim organizacijskim tablicama. Mora postojati jasna definicija odgovornosti i ovlasti svih pojedinaca u organizaciji. To mora biti jasno opisano u priručnicima i vodičima. Mnoge organizacije imaju i zaseban popis svih delegiranih ovlasti.

17. Trenutačna najbolja praksa jest služiti se modelom triju linija obrane za internu organizaciju. Ovdje se radi o: a) prvoj liniji odgovornosti upravitelja i osoblja za svakodnevno pružanje učinkovitih unutarnjih kontrola; b) drugoj liniji gdje se pružaju smjernice o aktivnostima koje se odnose na rizik, kontrolu i usklađenost te se provjerava pridržavanje tih smjernica; i c) neovisne funkcije poput UR-a koje pružaju treću liniju obrane procjenom i izvještavanjem o učinkovitosti unutarnjih kontrola.




18. Je li rukovodstvo uspostavilo jasne interne strukture, uključujući potrebne podružne jedinice poput regionalnih ureda? Na primjer:

Postoji odobrena organizacijska struktura.

Uspostavljena struktura je jasna i lako razumljiva.

Rukovodstvo jasno definira odnose s vanjskim partnerima.

Postoje ugovori za eksternalizirane pružatelje usluga u kojima se jasno navode odgovornosti tih pružatelja u pogledu unutarnjih kontrola.

Upravna tijela redovito preispituju učinkovitost organizacijske strukture.

19. Jesu li granice ovlasti jasno definirane i priopćene osoblju? Na primjer:

Postoji jasna pisana izjava o delegiranim ovlastima svih članova osoblja.

Osoblje dobiva priručnike ili druge smjernice u kojima su definirane granice ovlasti.

Unutarnje kontrole pružaju uvjerenje u pogledu jasnoće ovlasti i odgovornosti.

20. Rezultiraju li interne strukture jasnim linijama izvještavanja? Na primjer:

Postoje formalne organizacijske tablice u kojima se konkretno navode linije izvještavanja.

Postoji nekoliko pojedinaca s dvostrukim obvezama izvještavanja.

21. Razumije li i upotrebljava li organizacija koncept triju linija obrane za održavanje učinkovitih unutarnjih kontrola? Na primjer:

Svi članovi osoblja su svjesni uloga prve, druge i treće linije obrane.

Rezultati treće linije obrane su iskoristivi i primjenjivi.



ČETVRTO NAČELO – ORGANIZACIJA POKAZUJE PREDANOST TRAŽENJU, RAZVOJU I ZADRŽAVANJU SPOSOBNIH ZAPOSLENIKA, U SKLADU SA SVOJIM CILJEVIMA.

Slika 8: Objašnjenje četvrtog načela

KOMENTAR.

22. Za učinkovitu provedbu unutarnjih kontrola potrebni su kvalitetni zaposlenici. Ovo načelo razmatra postoje li politike ljudskih resursa koje odražavaju potrebu za sposobnim osobljem, uključujući sustave za procjenu provodi li osoblje svoje zadatke na učinkovit način.

23. Organizacije gdje se zaposlenici često mijenjaju ili koje ne mogu privući i zadržati kvalitetno osoblje imat će problem s održavanjem učinkovitih sustava unutarnjih kontrola. Stoga ovo načelo promatra sposobnost organizacije da privuče, razvije i zadrži zaposlenike. Također je bitno pripremiti se za prijenos dužnosti i odgovornosti koje dolaze s visokim pozicijama na nove zaposlenike koji dolaze na njih.




24. Jesu li politike i prakse ljudskih resursa u organizaciji jasno izražene? Na primjer:

Postoji strategija ljudskih resursa u kojoj se navode ciljevi politika ljudskih resursa organizacije.

Cirkulari, priručnici i vodiči jasno definiraju sposobnosti i vještine potrebne za zaposlenike putem potrebnih okvira karijere, izjava o sposobnostima, opisa poslova itd.

Upravna tijela periodično preispituju strategiju i politike ljudskih resursa.

25. Evaluira li organizacija sposobnost osoblja i rješava li nedostatke? Na primjer:

Postoji službeni sustav procjene učinka koji se primjenjuje na sve zaposlenike.

Učinak osoblja redovito se procjenjuje u odnosu na očekivane standarde sposobnosti.

Postoje službena ispitivanja vještina osoblja na ključnim funkcijama poput unutarnje revizije.

26. Može li organizacija privući, razviti i zadržati dovoljno kvalitetne zaposlenike koji bi obavljali sve potrebne funkcije? Na primjer:

Postoji mehanizam za zapošljavanje s unaprijed definiranim i jasnim pravilima.

Postoje jasne kvalifikacije koje se zahtijevaju od svih zaposlenika u vrijeme zapošljavanja.

Postoji plan edukacije na razini cijele organizacije te planovi osobnog razvoja za pojedinačne zaposlenike.

Organizacija pruža mentorsku potporu u svrhu razvoja zaposlenika.

Postoji mehanizam za slanje zaposlenika na međunarodne seminare, konferencije i radionice kao što su PEMPAL-ove.

Zahtjevi za napredovanje unutar organizacije povezani su s dodatnim vještinama koje su potrebne na višim razinama organizacije.

Postoje mehanizmi za nagrađivanje visokog učinka zaposlenika u obliku financijskih i nefinancijskih nagrada.

27. Planira li i priprema li se organizacija za prijenos funkcija? Na primjer:

Organizacija je utvrdila ključne pozicije koje ne smiju ostati prazne.

Organizacija je utvrdila radna mjesta na kojima očekuje promjene zaposlenika.

Postoji „plan nasljeđivanja“ za zaposlenike na ključnim pozicijama u organizaciji.

Postoji politika redovite rotacije osoblja kako bi se proširila kombinacija dostupnih vještina.

Postoji mentorski program za pomoć pri utvrđivanju budućih čelnika.

o



PETO NAČELO – POJEDINCI SU ODGOVORNI ZA SVOJE OBVEZE U SKLADU S UNUTARNJIM KONTROLAMA NA RAZINI ORGANIZACIJE U SVRHU ISPUNJENJA

CILJEVA.

Slika 9: Objašnjenje petog načela

KOMENTAR.

28. Unutarnje kontrole neće biti učinkovite ako ne postoje uspostavljeni postupci na temelju kojih će se pojedinci držati odgovornima za njihovu provedbu. Odgovornost se pojačava učinkovitim sustavom upravljanja učinkom koji nagrađuje ili kažnjava pojedince. Sustavi upravljanja učinkom trebaju uzeti u obzir sve prekomjerne pritiske koji bi mogli utjecati na to kako zaposlenici obavljaju svoje dužnosti.


29. Nameće li organizacija odgovornost kroz strukture, ovlasti i dužnosti? Na primjer:

Dužnosti su utvrđene i dodijeljene pojedincima.

Postoji sustav za evaluaciju učinka koji djeluje na različitim razinama organizacije s fokusom na to kako rukovoditelji upravljaju svojom regijom / uredima / odjelima / jedinicama.

Zaposlenici su svjesni svojih odgovornosti putem opisa poslova ili drugih mehanizama.

Odgovornosti ispunjavaju ciljeve unutarnjih kontrola i poslovne ciljeve organizacije.



Postoje dobro definirane linije odgovornosti te je većina osoblja odgovorna za svoje obveze u skladu s unutarnjim kontrolama.

Pojedinačni ciljevi povezani su s ciljevima više razine iz strategije ili plana upravljanja.

Svi su zaposlenici redovito odgovorni za svoje obveze u skladu s unutarnjim kontrolama.

30. Je li organizacija definirala mjere za učinak, poticaje i nagrade na svim razinama organizacije? Na primjer:

Postoji politika za postavljanje ciljeva i ključnih pokazatelja učinka (KPI-jeva). Na različitim razinama zrelosti takva politika može postojati na razini „subjekta“, „poslovne jedinice“ i „pojedinca“.

Svi su zaposlenici aktivno uključeni u postavljanje svojih ciljeva učinka i povezanih KPI-jeva.

31. Evaluira li organizacija relevantnost svojih mjera za učinak?

Za preispitivanje relevantnosti mjera za učinak odgovorna je druga linija obrane.

Kvalitetu i relevantnost mjera za učinak redovito procjenjuje unutarnja revizija.

Rukovodstvo potvrđuje relevantnost svojih mjera za učinak.

32. Uzima li rukovodstvo u obzir prekomjerni pritisak koji bi mogao utjecati na to kako zaposlenici obavljaju svoj posao? Na primjer:

Postoji službena procedura/mehanizam za mjerenje radnog opterećenja osoblja kojim se utvrđuju situacije prekomjernog ili nedostatnog opterećenja te mehanizmi za rješavanje tih razlika.

Rukovodstvo utvrđuje koji zaposlenici ne uzimaju dovoljno godišnjeg odmora.

Utvrđuju se zaposlenici koji pate od bolesti povezanih sa stresom te se njihovo radno opterećenje mijenja u svrhu smanjenja takvog stresa.

Postoje rješenja za savjetovanje osoblja kako bi se utvrdili zaposlenici koji su pod nepotrebnim pritiskom.

33. Postoji li politika za upravljanje učinkom osoblja kojom se osigurava redovita procjena uspješnog rada zaposlenika u pogledu ispunjenja ciljeva? Na primjer:


Sustav procjene rezultira službenim izvještajima o učinku.

Postoji dosljednost između razine preuzetih dužnosti i nagrada.

Procjena učinka rezultira nagrađivanjem ili sankcioniranjem osoblja (financijski ili nefinancijski).



PRILOG B2 PROCJENA RIZIKA

1. Ovaj se Prilog bavi drugom komponentom – procjenom rizika koja organizaciji omogućuje razmatranje mjere u kojoj potencijalni događaji utječu na ostvarenje ciljeva. Procjena rizika nastoji riješiti ključna pitanja s kojima se organizacija suočava:

Jesu li rukovoditelji u potpunosti svjesni rizika koje preuzima njihovo osoblje?

Postoje li područja u kojima osoblje preuzima rizike koje bi više rukovodstvo trebalo razmotriti i poduprijeti?

Do koje mjere bi organizacija i njezino osoblje trebali biti izloženi određenom riziku?

Preuzima li organizacija rizike koje bi mogla i trebala podijeliti s drugima?

Uspostavlja li organizacija kontrole koje imaju mali utjecaj na rizike s kojima se suočava?

Mogu li se neki rizici jednostavno prihvatiti umjesto da ih se kontrolira?

Jesu li rizici evidentirani i ažurirani u registrima rizika?

2. Ova komponenta sadrži četiri načela COSO-a:

6. Organizacija određuje dovoljno jasne ciljeve kako bi se omogućilo utvrđivanje i procjena rizika povezanih s ciljevima.

7. Organizacija utvrđuje rizike za ostvarenje svojih ciljeva na razini organizacije i analizira rizike kao temelj za određivanje načina na koji bi se trebalo upravljati rizicima.

8. Organizacija razmatra mogućnost prijevare pri procjeni rizika za ostvarenje ciljeva.

9. Organizacija utvrđuje i procjenjuje promjene koje bi mogle značajno utjecati na sustav unutarnjih kontrola.



Slika 10. Načela i fokusne točke druge komponente – upravljanje rizicima



ŠESTO NAČELO ORGANIZACIJA ODREĐUJE DOVOLJNO JASNE CILJEVE KAKO BI SE OMOGUĆILO UTVRĐIVANJE I PROCJENA RIZIKA POVEZANIH S CILJEVIMA.

Slika 11. Objašnjenje šestog načela

KOMENTAR.

3. Postavljanje ciljeva je preduvjet za odgovornost i provođenje učinkovite procjene rizika. Ciljevi se moraju postaviti prije nego rukovoditelji mogu utvrditi i procijeniti rizike za njihovo ostvarenje te poduzeti potrebne mjere za upravljanje tim rizicima. Nijedan sustav odgovornosti ne može funkcionirati bez jasnih ciljeva. Svi ciljevi trebaju biti postavljeni prema kriterijima „SMART“:

Specifični (eng. specific)

Mjerljivi (eng. measurable)

Ostvarivi (eng. achievable/attainable)

Evidentirani (eng. recorded) i

Vremenski ograničeni (timetabled)

4. Ovim se načelom rukovoditelje potiče da se fokusiraju na četiri vrste ciljeva koji mogu postojati u javnom sektoru.

5. Operativni ciljevi odnose se na svrhu neke aktivnosti ili programa javnog sektora te čine osnovu za moderne sustave programskog planiranja proračuna. Ciljevi trebaju odražavati odabire (rukovoditelja) u pogledu toga kako najbolje provesti politike jer uvijek postoje



opcije u vezi s provedbom politike javnog sektora. Idealno, ciljevi bi trebali uključivati ciljane vrijednosti i KPI-jeve radi promicanja odgovornosti za provedbu. Osim toga, ciljevi bi trebali odražavati toleranciju na rizik. Jedan način ilustriranja tolerancije na rizik jest da ona predstavlja razinu ispod 100%-tnog ostvarenja ciljeva koji bi se smatrali uspješnim učinkom. (potreban primjer).

6. Ciljevi vanjskog izvještavanja odnose se na obvezu svih organizacija u javnom sektoru da o svojem učinku izvještavaju svoja upravna tijela (to će često biti parlament) i svoje dionike (koji uključuju širu javnost). Vanjsko izvještavanje treba odražavati koncept materijalnog značaja prema kojem se izvještava samo o najvažnijim pitanjima. Također treba odražavati realnost kako je prikazana u povezanim transakcijama. Svi financijski izvještaji trebaju se izraditi u skladu s definiranim računovodstvenim standardima.

7. Ciljevi internog izvještavanja odnose se na široki raspon internog izvještavanja unutar organizacije koji je ključno za učinkovitost unutarnjih kontrola. Kao i kod vanjskog izvještavanja, ciljevi trebaju odražavati značajnost i povezane transakcije. Rukovoditelji isto tako trebaju razmotriti koliko interni izvještaji moraju biti precizni. Priprema vrlo preciznih internih izvještaja može biti skupa i nevrijedna truda. Na primjer, izvještaj o točnosti obrade transakcija može se temeljiti na stopostotnoj provjeri malog statističkog uzorka transakcija i još uvijek rukovodstvu pružiti pouzdane informacije o točnosti obrade transakcija.

8. Ciljevi usklađenosti odnose se na one vanjske zakone i zahtjeve koje organizacije u javnom sektoru moraju ispunjavati. Ciljevi usklađenosti mogu npr. uključivati zakone o natjecanju za ugovore u javnom sektoru, tretmanu osoblja i standardima zaštite okoliša.


9. Određuje li organizacija ciljeve vezane uz svoje poslovanje? Na primjer:

Postoji strategija organizacije na visokoj razini koja sadrži cjelokupne ciljeve odjela.

Svaka poslovna jedinica u organizaciji postavlja godišnje ciljeve s ciljanim vrijednostima i povezanim KPI-jevima.

10. Određuje li organizacija ciljeve vezane uz vanjsko izvještavanje? Na primjer:

Organizacija je dužna pripremiti godišnje financijske izvještaje u skladu s računovodstvenim standardima koji su usvojeni na razini cijele organizacije.

11. Određuje li organizacija ciljeve vezane uz interno izvještavanje? Na primjer:

Odjel za financije od svih poslovnih jedinica zahtijeva tromjesečne izvještaje o izvršenju proračuna.

12. Određuje li organizacija ciljeve vezane uz usklađenost s vanjskim zakonima i propisima? Na primjer:

Postoji politika u kojoj se objašnjava na koji način rukovoditelji trebaju ispunjavati standarde zaštite okoliša usvojene na razini cijele vlade.



SEDMO NAČELO – ORGANIZACIJA UTVRĐUJE RIZIKE ZA OSTVARENJE SVOJIH CILJEVA NA RAZINI ORGANIZACIJE I ANALIZIRA RIZIKE KAO TEMELJ ZA ODREĐIVANJE

NAČINA NA KOJI BI SE TREBALO UPRAVLJATI RIZICIMA.

Slika 12: Objašnjenje sedmog načela

KOMENTAR.

13. Nakon što su ciljevi postavljeni u skladu sa šestim načelom, rukovodstvo mora utvrditi rizike za ostvarenje tih ciljeva i analizirati rizike kako bi odredila na koji se način njima treba upravljati. COSO promiče primjenu procjene rizika koja se temelji na događajima, pri čemu su događaji stvari koje se mogu dogoditi te imaju pozitivan ili negativan utjecaj na organizaciju: pozitivni utjecaji su prilike za ostvarenje ciljeva, a negativni utjecaji su rizici za ostvarenje ciljeva.

14. Rizicima se treba baviti na svim razinama organizacije od procjene utjecaja transakcija („transakcijski“ rizici) do procjene utjecaja na cijelu organizaciju („korporativni“ rizici). U procesu treba procijeniti kako vanjske događaje (vremenske prilike, društvene poremećaje, krađu imovine, probleme s opskrbom električnom energijom) tako i unutarnje događaje (gubitak zaposlenika, kvarovi strojeva, pogreške osoblja itd.). Rukovoditelji trebaju moći razlikovati događaje/rizike koji su pod njihovom kontrolom od onih izvan njihove kontrole.

15. Važno je da u procesu utvrđivanja i procjene rizika sudjeluje osoblje na svim razinama. Članovi osoblja zaduženi za obradu transakcija mogu imati ključne informacije o rizicima s kojima njihovi nadzornici nisu upoznati.



16. Nakon utvrđivanja događaja koji mogu predstavljati rizike, organizacija mora procijeniti značaj svakog rizika kako bi osigurala da se rješavaju najvažniji rizici s kojima se suočava. Uobičajena praksa je procijeniti rizike na tri načina:

Vjerojatnost da će neki događaj nastupiti – primjerice, šanse da vas pogodi meteor ili udari automobil.

Utjecaj, posljedice ili ozbiljnost ako događaj nastupi – primjerice, usporedite posljedice pada zrakoplova u odnosu na prometnu nesreću.

Brzina kojom se neki događaj odvija. Primjerice, usporedite razdoblje upozorenja na udar groma u odnosu na jaki uragan ili snježnu oluju.

17. Nakon određivanja značaja rizika, rukovodstvo mora odlučiti kako će reagirati na njih. Postoje četiri glavne odgovarajuće mjere za rizike:

Izbjegavanje. Prestati raditi stvari koje uzrokuju rizik (kad je to moguće). To može biti nemoguće za neke organizacije u javnom sektoru koje su po zakonu dužne provoditi aktivnosti s inherentnim rizicima, kao što su policija, vatrogasci i hitna pomoć.

Kontrola (ili smanjenje). Odlučiti poduzeti mjere za smanjenje vjerojatnosti ili utjecaja rizika. Primjerice, uspostaviti dodatne kontrole za rješavanje ozbiljnog rizika prijevare od strane korisnika socijalnih usluga.

Prihvaćanje. Odlučiti prihvatiti posljedice rizika i ne poduzimati mjere za promjenu njegove vjerojatnosti ili utjecaja. To će obično biti odgovor na sve rizike koji (a) imaju i minimalni utjecaj i nisku vjerojatnost ili (b) nastupaju tako sporo da je moguće odgovoriti na rizik u stvarnom vremenu.

Prijenos (ili dijeljenje). Vjerojatnost ili utjecaj rizika se dijeli ili prenosi na treću stranu. Uobičajeni primjer je kad organizacija sklopi osiguranje radi naknade nekih ili svih svojih troškova ako oni nastanu.

18. Potrebno je jasno razumjeti razliku između inherentnog rizika i rezidualnog rizika. Inherentni rizik je rizik za organizaciju koji nastaje zbog izostanka bilo kakvih mjera rukovodstva (odgovarajućih mjera za rizike) za promjenu vjerojatnosti ili utjecaja rizika. Rezidualni rizik je rizik koji preostaje nakon što je rukovodstvo poduzelo odgovarajuće mjere za rizike. Procjena rizika prvo se primjenjuje na inherentne rizike. Nakon razrade odgovarajućih mjera za rizike, rukovodstvo razmatra rezidualni rizik. Ako je odgovarajuća mjera izbjegavanje ili prihvaćanje rizika, treba napomenuti da je inherentni rizik jednak rezidualnom riziku.




19. Razmatra li organizacija rizike na različitim razinama organizacijske strukture? Na primjer:

Postoje odvojeni registri rizika za svaku operativnu jedinicu te korporativni registar rizika za glavne rizike s kojima se suočava cijela organizacija.

20. Razmatra li organizacija unutarnje i vanjske događaje koji mogu uzrokovati rizike i stvoriti prilike? Na primjer:

Postoji službena politika procjene rizika kojom se objašnjava kako utvrditi i procijeniti utjecaj unutarnjih i vanjskih događaja.

21. Osigurava li organizacija da sve razine osoblja sudjeluju u procesu procjene rizika? Na primjer:

Procjene rizika obično se provode tijekom sastanaka koji uključuju osoblje na svim razinama.

22. Procjenjuje li rukovodstvo značaj utvrđenih rizika? Na primjer:

Registar rizika sadrži procjene vjerojatnosti, utjecaja i brzine svih utvrđenih rizika.

23. Je li rukovodstvo odredilo odgovarajuće mjere za utvrđene rizike? Na primjer:

Politika procjene rizika predviđa četiri moguće odgovarajuće mjere za rizike – izbjegavanje, prijenos (dijeljenje), prihvaćanje ili smanjenje (kontroliranje) rizika.



OSMO NAČELO – ORGANIZACIJA RAZMATRA MOGUĆNOST PRIJEVARE PRI PROCJENI RIZIKA ZA OSTVARENJE CILJEVA.

Slika 13: Objašnjenje osmog načela

KOMENTAR.

24. Ažurirani okvir COSO-a iz 2013. uključuje posebno načelo o potrebi razmatranja mogućnosti prijevare kako bi se naglasila potreba da to bude obuhvaćeno tijekom procesa procjene rizika.

25. Zašto osobe počine djela prijevare i korupcije? Većina policajaca će reći da zločin ima dva osnovna elementa: motiv i priliku. Kriminalci odmjeravaju priliku (potencijalni dobitak) u odnosu na rizik otkrivanja i kažnjavanja. Što je veći dobitak, to su veći rizici koje su spremni preuzeti.

26. Postoji značajna razlika između prijevare i korupcije. Prijevara je napad na imovinu organizacije, dok je korupcija pokušaj utjecanja na procese donošenja odluka na načine koji pogoduju trećoj strani. Budući da većina organizacija ima evidencije o imovini, prijevarna radnja obično je vidljiva unutar organizacije. Korupcija, koja uključuje treću stranu, interno može ostaviti malo tragova te je njezino otkrivanje i kažnjavanje inherentno teže. Jedna od glavnih obrana od prijevare jest smanjiti prilike koje neki pojedinac ima za krađu imovine bez otkrivanja. Jedna od glavnih obrana od korupcije jest ograničiti individualni utjecaj bilo koje osobe na odluke koje pogoduju trećim stranama.



27. COSO potiče rukovoditelje da razmotre brojne vrste prijevare i korupcije koje postoje. To je područje u kojem unutarnja revizija ima značajno stručno znanje te stoga rukovodstvu može pomoći pri utvrđivanju rizika.

28. COSO također naglašava važnost razumijevanja poticaja, pritisaka i prilika koji mogu dovesti do prijevare. Ne postoji jedan profil osoba koje počine djelo prijevare i korupcije. U mnogim slučajevima prijevaru počine osobe koje su inače dobri kolege. Ono što dovodi do zločina su motiv i prilika. Uobičajeni rizični čimbenici uključuju:

nagle promjene u stilu života;

osobe u teškoj financijskoj situaciji;

osobe koje imaju bliske osobne odnose s velikim dobavljačima ili ugovarateljima;

zaposlenici koji rijetko koriste godišnji odmor ili dopuštaju drugima da rade njihov posao; i

zaposlenici koji ne žele biti nadzirani ili nisu spremni na suradnju s nadzornicima.

29. Konačno, važno je procijeniti stavove osoblja prema prijevari i korupciji te način na koji mogu racionalizirati svoje postupke. Na primjer: „Kako očekuju da preživim s tako malom plaćom koju mi daju?“; „Svi u ovoj organizaciji su korumpirani!“ i slično.


30. Razmatra li organizacija različite načine na koje prijevara može biti počinjena? Na primjer:

Postoji politika za suzbijanje prijevare i korupcije u kojoj se osoblju objašnjavaju različiti načini na koje može doći do prijevare ili korupcije.

31. Razmatraju li se pri procjeni rizika prijevare poticaji i pritisci na počinjenje prijevare i korupcije? Na primjer:

Svi članovi osoblja na rukovodećim pozicijama dužni su svake godine dati izjavu o svojem financijskom stanju.

32. Je li rukovodstvo procijenilo raspon prilika za počinjenje prijevare? Na primjer:

Utvrđeni su čimbenici koji dovode do čestih promjena zaposlenika na ključnim pozicijama.

33. Razmatra li se pri procjeni rizika prijevare na koji bi način rukovodstvo i ostalo osoblje moglo sudjelovati u neprimjerenim postupcima ili ih opravdati? Na primjer:

Svi članovi osoblja dužni su svake godine dati izjavu o svojem financijskom stanju.



DEVETO NAČELO – ORGANIZACIJA UTVRĐUJE I PROCJENJUJE PROMJENE KOJE BI MOGLE ZNAČAJNO UTJECATI NA SUSTAV UNUTARNJIH KONTROLA

Slika 14: Objašnjenje devetog načela

OBRAZLOŽENJE

34. COSO naglašava važnost procjene rizika koji nastaju kao rezultat promjena u načinu rada organizacije. Rizici koji proizlaze iz promjene su toliko široki i sveprisutni da COSO preporučuje kako bi se njih trebalo smatrati zasebnim načelom unutarnje kontrole. COSO preporučuje da se rukovoditelji usredotoče na tri vrste promjene.

35. Promjena koja se događa izvan organizacije - vanjsko okruženje. Nijedna organizacija, javna ili privatna, ne postoji u vakuumu. Ono što se događa izvan organizacija u javnom sektoru može imati znatan utjecaj na njezin način rada ili čak na njezino samo postojanje. Na primjer, izmjene zakona mogu dovesti do dodavanja ili uklanjanja značajnih aktivnosti; velika kampanja u društvenim medijima može pomoći ili omesti provedbu ključnih politika itd.

36. Promjene u načinu rada organizacija – poslovni model. Novi načini rada uvijek donose povećanje rizika povezanih s njima. Na primjer, uvođenje nove tehnologije; otvaranje ili zatvaranje ureda; povećanje razine decentraliziranog donošenja odluka.

37. Promjene u vodstvu organizacije. Osoba koja vodi organizaciju ima veliki utjecaj na kulturu te organizacije i, posljedično, na iznimno važno kontrolno okruženje. Stoga COSO preporučuje da se promjene u vodstvu razmatraju tijekom procesa procjene rizika.




38. Razmatraju li se u procesu utvrđivanja rizika promjene u političkom, proračunskom i fizičkom okruženju u kojem organizacija djeluje? Na primjer:

Postoji službena politika o operativnim postupcima u ekstremnim vremenskim uvjetima.

39. Razmatra li rukovodstvo moguće utjecaje novih načina rada, uključujući brzi razvoj novih tehnologija? Na primjer:

Postoje unaprijed utvrđeni aranžmani za otvaranje i zatvaranje ureda.

40. Je li rukovodstvo razmotrilo promjene u rukovodstvu i povezane stavove u filozofijama unutarnjih kontrola? Na primjer:

Postoje određena radna mjesta koja imaju službena rješenja za primopredaju dužnosti kako bi se osigurao prijenos informacija o ključnim kontrolnim aktivnostima s jednog rukovoditelja na drugog.



PRILOG B3 KONTROLNE AKTIVNOSTI

1. Ovaj se Prilog bavi trećom komponentom – kontrolnim aktivnostima koje su kontrole uspostavljene za odgovor na rizike te politike i procedure koje osiguravaju provođenje smjernica rukovodstva. Rukovodstvo ima niz mogućnosti kako može osigurati ispunjenje ciljeva i rješavanje rizika putem kontrolnih aktivnosti. Cilj je smanjiti troškove kontrola u skladu s povezanim rizicima. Kontrole ne bi trebale biti samo učinkovite, već i isplative. Nadalje, previše kontrola zapravo može imati negativan utjecaj. Na primjer, izvještaj koji pregledava niz osoba u lancu možda nije detaljno pregledao niti jedan pojedinac jer svatko vjeruje da netko drugi provodi glavnu kontrolnu aktivnost.

2. Ova komponenta sadrži tri načela COSO-a:

10. Organizacija razrađuje kontrolne aktivnosti koje doprinose ublažavanju rizika za ostvarenje ciljeva do prihvatljive razine.

11. Organizacija odabire i razrađuje opće kontrolne aktivnosti nad tehnologijom u svrhu ostvarenja ciljeva.

12. Organizacija uvodi kontrolne aktivnosti putem politika kojima se utvrđuje što se očekuje i procedurama kojima se te politike primjenjuju.

Slika 15. Načela i fokusne točke treće komponente – kontrolne aktivnosti



DESETO NAČELO – ORGANIZACIJA RAZRAĐUJE KONTROLNE AKTIVNOSTI KOJE DOPRINOSE UBLAŽAVANJU RIZIKA ZA OSTVARENJE CILJEVA DO PRIHVATLJIVE

RAZINE.

Slika 16. Objašnjenje desetog načela

OBRAZLOŽENJE

3. Kontrolne aktivnosti su politike i procedure (aktivnosti zaposlenika na provedbi politika izravno ili putem informacijskih tehnologija) kojima se osigurava provođenje odgovarajućih mjera za rizike te rješavanje rizika za ostvarenje ciljeva organizacije. Ova veza s procjenom rizika ključna je za osiguranje da se kontrole bave najvažnijim rizicima.

4. Rukovodstvo treba odrediti koji poslovni procesi zahtijevaju kontrolne aktivnosti te razviti kombinaciju preventivnih i detektivnih kontrola:

Preventivne kontrole osmišljene su za zaustavljanje pogrešaka i propusta prije obrade transakcija (primjerice, provjera vrednovanja da se plaćanja vrše samo poduzećima koja su evidentirana kao dobavljači u IT sustavu).

Detektivne kontrole osmišljene su za utvrđivanje pogrešaka koje su se već dogodile (primjerice, provjera kojom se utvrđuju svi dobavljači koji su primili dvostruke uplate).

Sve preventivne kontrole i neke detektivne kontrole djeluju na prvoj liniji obrane, dok većina detektivnih kontrola djeluje kao druga linija obrane.

5. Rukovodstvo će često upotrebljavati mnoge različite vrste kontrola, na primjer



Kontrole obrade podataka: To uključuje provjere unesenih podataka, numeričke nizove transakcija te kontrole pristupa podacima, datotekama i softveru.

Fizičke kontrole: Oprema, zalihe, gotovina i vrijednosni papiri su fizički zaštićeni, periodično se prebrojavaju te uspoređuju s kontrolnim evidencijama.

Izvještaji o iznimkama / rutinski postupci u slučaju iznimaka Brojni kontrolni sustavi (osobito računalni sustavi) će odbiti transakciju koja ne prođe određene testove koji zahtijevaju neki oblik intervencije/odobrenja rukovodstva prije nego što ta transakcija može biti obrađena.

Izravni postupci rukovodstva: redoviti pregledi linijskog rukovodstva koji se odnose na npr. izvještaje o učinku, izvještaje o iznimkama te usklađivanja među različitim bazama podataka.

Pregledi visoke razine: Pregledi stvarnog učinka od strane višeg rukovodstva u odnosu na proračune, projekcije i prethodna razdoblja. To uključuje praćenje velikih inicijativa za mjerenje opsega u kojem se ciljevi ispunjavaju.

Mjere i pokazatelji učinka: Različite baze podataka (npr. financijski i operativni podaci) se uspoređuju te se analiziraju odnosi među njima. Utvrđivanjem neočekivanih rezultata ili neuobičajenih trendova rukovodstvo može utvrditi slabosti u kontrolama. Istražne i korektivne mjere služe kao kontrolna aktivnost.

6. Razdvojenost dužnosti je ključni element kontrolnih aktivnosti. Uloge i odgovornosti su podijeljene („razdvojene“) između različitih osoba kako bi se smanjio rizik od pogreške ili neprimjerenih postupaka poput prijevare i korupcije. Na primjer, različite osobe trebaju biti odgovorne za (1) odobrenje troškova; (2) potvrdu primitka robe i usluga i odobrenje plaćanja; (3) izvršenje plaćanja; i (4) evidentiranje transakcija.

7. Kontrole djeluju na različitim razinama. Kontrole niže razine obično djeluju na razini transakcija i mogu se smatrati prvom linijom obrane od rizika. Međutim, kontrole više razine poput pokazatelja učinka i izvještaja o iznimkama rukovoditeljima pružaju puno veću razinu uvjerenja da sustavi rade učinkovito. Viši rukovoditelji obično će se fokusirati na kontrole više razine kad god je to moguće.


8. Osigurava li organizacija da su kontrolne aktivnosti integrirane s procjenom rizika? Na primjer:

Postoji korporativni registar rizika u kojem su utvrđeni značajni rizici s kojima se organizacija suočava i ključne kontrolne aktivnosti koje se uspostavljaju radi rješavanja tih rizika.

9. Je li organizacija razmotrila čimbenike specifične za organizaciju (kao što su stupanj decentralizacije i obuhvat automatizacije IT-a) pri razradi kontrolnih aktivnosti? Na primjer:

Postoji zajednički skup smjernica za rukovoditelje regionalnih ureda o ulogama druge i treće linije obrane u odnosu na regionalne aktivnosti.



10. Je li organizacija odredila koji poslovni procesi zahtijevaju kontrolne aktivnosti? Na primjer:

Postoji politika za nabavu ispod određene financijske razine koja rukovoditeljima omogućuje da ograniče zahtijevanu razinu tržišnog natjecanja.

11. Ima li organizacija ravnotežu pristupa s obzirom na ručne i automatizirane kontrole te kombinaciju preventivnih i detektivnih kontrola? Na primjer:

Ne postoje provjere prije plaćanja transakcija ispod određene financijske vrijednosti, ali slučajni uzorak tih automatski odobrenih plaćanja podliježe mjesečnoj provjeri ispravnosti nakon plaćanja.

12. Je li organizacija razmotrila na kojoj razini se trebaju primjenjivati kontrolne aktivnosti? Na primjer:

Postoje odvojeni zahtjevi za kontrolu na razini transakcije i nadziranja.

13. Je li rukovodstvo razdvojilo nespojive dužnosti, a ako to nije moguće, odabralo i razradilo alternativne kontrolne aktivnosti? Na primjer:

Rukovodstvo je utvrdilo četiri ključne funkcije koje moraju biti razdvojene – (1) odobrenje troškova, (2) potvrda primitka robe i usluga i odobrenje plaćanja, (3) izvršenje plaćanja i (4) evidentiranje transakcija.

Postoje dodatne provjere nadzorne jedinice na drugoj liniji u slučaju kad razdvojenost nije praktična zbog veličine poslovne jedinice.



JEDANAESTO NAČELO – ORGANIZACIJA ODABIRE I RAZRAĐUJE OPĆE KONTROLNE AKTIVNOSTI NAD TEHNOLOGIJOM U SVRHU OSTVARENJA CILJEVA.

Slika 17. Objašnjenje jedanaestog načela

OBRAZLOŽENJE

14. Većina organizacija u velikoj se mjeri oslanja na informacijske sustave. Stoga su kontrole nad informacijskim sustavima vrlo važne. Međutim, temeljni koncepti kontrole poput utvrđivanja događaja, procjene rizika, odgovarajućih mjera za rizike te razrade i provedbe troškovno učinkovitih kontrolnih aktivnosti jednaki su za sustave koji se temelje na ručnim provjerama ili informacijskim tehnologijama.

15. Rukovodstvo treba razumjeti i odrediti ovisnost i povezanost između poslovnih procesa, automatiziranih kontrolnih aktivnosti i općih kontrola nad tehnologijom. Glavni elementi IT-a u organizaciji su:

IT infrastruktura. Poslužitelji, mreže, internet, WiFi te softver operativnog sustava i aplikacija.

Osobno računalstvo. Upotreba mobilnih uređaja i prijenosnih računala, Excel tablica te drugih datoteka i aplikacija u poslovne svrhe.

Eksternalizirane IT usluge. Upotreba usluga računalstva u oblaku, dislociranih pružatelja usluga, sigurnosnih kopija i pohrane podataka.

Upravljanje IT-om. Struktura uspostavljena u svrhu organizacije i upravljanja IT funkcijom.



16. Postoje dvije glavne vrste kontrolnih aktivnosti kojima se nastoje ispuniti ciljevi obrade podataka u pogledu njihove cjelovitosti, točnosti i valjanosti:

kontrole aplikacije, koje uključuju odobrenja, provjere, usklađivanja, kontrole fizičkog pristupa i nadzor procesa,

opće kontrole nad tehnologijom, odnosno nad infrastrukturom i operacijama, sigurnošću podataka i softvera te životnim ciklusom razvoja sustava.

17. Ovo se načelo COSO-a bavi općim kontrolnim aktivnostima nad tehnologijom te posebno kontrolama nad IT infrastrukturom (uključujući sigurnosne planove), sigurnošću IT-a (pristup IT sustavima i aplikacijama) te stjecanjem i razvojem novih tehnologija. Kontrole koje se odnose na specifične aplikacije obično se smatraju dijelom ostvarenja ciljeva politike za koju je ta posebna aplikacija osmišljena. Na primjer, kontrole u IT aplikaciji koje se odnose na zahtjeve za izdavanje putovnica trebaju biti osmišljene tako da se bave rizicima povezanima s ciljem izdavanja putovnica.


18. Određuje li rukovodstvo ovisnost i povezanost između poslovnih procesa, automatiziranih kontrolnih aktivnosti i općih kontrola nad tehnologijom? Na primjer:

Postoji zasebna politika IT-a u kojoj su utvrđeni svi glavni elementi upotrebe IT-a na razini cijele organizacije.

19. Odabire li rukovodstvo i razrađuje kontrolne aktivnosti nad tehnološkom infrastrukturom koje su osmišljene u svrhu osiguranja cjelovitosti, točnosti i dostupnosti tehnološke obrade? Na primjer:

Postoje jasno definirane procedure za dnevnu izradu sigurnosnih kopija i oporavak svih ključnih podataka u organizaciji.

20. Odabire li rukovodstvo i razrađuje kontrolne aktivnosti za ograničavanje prava na pristup ovlaštenim korisnicima u skladu s njihovim radnim odgovornostima? Na primjer:

Postoje fizičke kontrole pristupa uredima i IT infrastrukturi.

Postoje korisničke zaporke za pristup IT sustavu.

21. Odabire li rukovodstvo i razrađuje kontrolne aktivnosti nad stjecanjem, razvojem i održavanjem tehnologije i njezine infrastrukture u svrhu ostvarenja ciljeva rukovodstva? Na primjer:

Organizacija slijedi okvir COBIT7 za sva svoja stjecanja i raspolaganja IT-om.

DVANAESTO NAČELO – ORGANIZACIJA UVODI KONTROLNE AKTIVNOSTI PUTEM POLITIKA KOJIMA SE UTVRĐUJE ŠTO SE OČEKUJE I PROCEDURA KOJIMA SE TE

POLITIKE PRIMJENJUJU.

7 COBIT je kratica za Kontrolne ciljeve za informacijske i srodne tehnologije. To je okvir koji je izradila ISACA (Udruga za reviziju i kontrolu informacijskih sustava) za upravljanje IT-om.


https://www.isaca.org/Pages/default.aspx


Slika 18. Objašnjenje dvanaestog načela

OBRAZLOŽENJE

22. Kontrolne aktivnosti sastoje se od politika kojima se opisuje što treba učiniti i kontrolnih procedura kojima se određena politika primjenjuje. Kontrolne procedure obično imaju dva elementa: (i) sami proces kontrole – što osoba čini; i (ii) dokaz da je kontrola provedena –

obično potpis osobe koja provodi kontrolu. Potpis je samo jedan element kontrolne procedure (npr. nadzornici moraju potpisati sve putne naloge). Važno je ono što su nadzornici učinili prije potpisivanja (sami proces kontrole).

23. Dužnost i odgovornost za provedbu kontrolnih aktivnosti trebaju biti jasno dodijeljene. Kontrolne politike moraju se provoditi pažljivo, savjesno i dosljedno. Procedure nisu korisne ako se provode mehanički ili bez kontinuiranog fokusa. Kontrolne procedure moraju se provesti u odgovarajuće vrijeme, a zatim je potrebno istražiti pogreške ili probleme utvrđene kao rezultat procedure te poduzeti odgovarajuće korektivne mjere.

24. Osim toga, kontrolne aktivnosti moraju provoditi zaposlenici koji su sposobni provesti kontrolnu proceduru. Na primjer, za mjesečne provjere rada protuprovalnog sustava nekog skladišta bio bi potreban kvalificirani električar. Zaposlenicima također može zatrebati definiranu razinu ovlasti za provođenje određene kontrole. Na primjer, ne bi bilo primjereno da član osoblja odobrava putni nalog svojeg nadzornika.

25. Sustavi unutarnjih kontrola s vremenom gube na kvaliteti. Brojne organizacije doživljavaju „puzeći rast kontrola“, pri čemu se kontrole dodaju bez uzimanja u obzir učinkovitosti postojećih kontrolnih aktivnosti. Funkcije na drugoj liniji kontrole trebaju biti zadužene za



periodično preispitivanje kontrolnih aktivnosti kako bi utvrdile njihovu kontinuiranu relevantnost te ih, prema potrebi, izmijenile.


26. Uspostavlja li rukovodstvo politike i procedure u svrhu provedbe uputa rukovodstva? Na primjer:

Postoji niz politika kojima se utvrđuje što treba poduzeti u smislu kontrola.

Postoji dokumentacija o procedurama (koracima) koje treba slijediti za provedbu politike.

27. Je li rukovodstvo utvrdilo dužnost i odgovornost za izvršenje politika i procedura? Na primjer:

Odgovornost za svaki element kontrolnog procesa dodijeljena je konkretnim osobama.

28. Provodi li organizacija kontrolne aktivnosti pravovremeno? Na primjer:

Postoje unaprijed definirani standardi u pogledu vremena potrebnog za obradu svih plaćanja.

29. Poduzima li organizacija korektivne mjere u pogledu pitanja koja su utvrđena kao rezultat kontrolnih aktivnosti? Na primjer:

Nadzornici više razine moraju osobno odobriti obradu svih transakcija koje nisu prošle IT provjere vrednovanja.

30. Provode li sposobni zaposlenici kontrolne aktivnosti u organizaciji? Na primjer:

Razina sposobnosti potrebne za provođenje kontrola navedena je u opisima poslova.

Plaćanja iznad određene financijske granice mora odobriti nadređeni član osoblja.

31. Preispituje li rukovodstvo periodično kontrolne aktivnosti kako bi utvrdilo njihovu kontinuiranu relevantnost te ih, prema potrebi, ažuriralo? Na primjer:

Sve financijske delegacije imaju klauzulu o vremenskom ograničenju valjanosti kojom se utvrđuje datum kada moraju biti preispitane radi utvrđivanja njihove kontinuirane relevantnosti.

PRILOG B4 INFORMACIJE I KOMUNIKACIJA

1. Ovaj se Prilog bavi četvrtom komponentom – informacijama i komunikacijama koje osiguravaju da se važne informacije o aktivnostima subjekta utvrđuju, prikupljaju te priopćavaju u obliku i roku koji zaposlenicima omogućuju da izvrše svoje odgovornosti:

Komunikacija je kontinuirani i učestali proces pružanja, dijeljenja i dobivanja potrebnih informacija.

Informacije su podaci koji se kombiniraju i sažimaju na temelju njihove relevantnosti u odnosu na informacijske zahtjeve.

2. Ova komponenta sadrži tri načela COSO-a:



13. Organizacija pribavlja ili generira te upotrebljava relevantne, kvalitetne informacije za dobro funkcioniranje unutarnjih kontrola.

14. Organizacija interno priopćava informacije, uključujući ciljeve i odgovornosti u pogledu unutarnjih kontrola, potrebne za dobro funkcioniranje unutarnjih kontrola.

15. Organizacija komunicira s vanjskim stranama u pogledu pitanja koja utječu na funkcioniranje unutarnjih kontrola.

Slika 19. Načela i fokusne točke za informacije i komunikaciju

TRINAESTO NAČELO – ORGANIZACIJA PRIBAVLJA ILI GENERIRA TE UPOTREBLJAVA RELEVANTNE, KVALITETNE INFORMACIJE ZA DOBRO FUNKCIONIRANJE

UNUTARNJIH KONTROLA.



Slika 20. Objašnjenje trinaestog načela

KOMENTAR.

3. Organizacija treba utvrditi svoje informacijske zahtjeve te zatim osigurati dobivanje relevantnih informacija iz unutarnjih i vanjskih izvora.

4. Organizacija mora prikupljati i upotrebljavati povijesne i tekuće podatke, prema potrebi, kako bi poduprla učinkovite unutarnje kontrole, osobito u pogledu monitoringa na drugoj liniji obrane. Konkretno:

Informacijska infrastruktura pretvara sirove podatke u relevantne informacije koje osoblju pomažu u izvršavanju njihovih dužnosti.

Informacije se pružaju pravodobno i u lako upotrebljivom obliku u skladu s konkretnim potrebama – uključujući potrebu utvrđivanja, procjene i odgovora na rizike.

Podaci su pouzdani te dostavljeni na vrijeme i na pravom mjestu kako bi se omogućilo učinkovito donošenje odluka.


5. Je li rukovodstvo uspostavilo proces za utvrđivanje potrebnih informacija od kojih se očekuje da podupiru funkcioniranje unutarnjih kontrola? Na primjer:

Informacijske potrebe za ključne kontrole navedene su u internim priručnicima i procedurama.

6. Ima li organizacije informacijske sustave koji obrađuju i pretvaraju unutarnje i vanjske podatke u informacije? Na primjer:



Postoji jedinstveni sustav za obradu svih računovodstvenih podataka u organizaciji.

Postoje evidencije o svim pritužbama vanjskih dobavljača.

7. Obrađuje li organizacija relevantne podatke u informacije? Na primjer:

Podaci koji ne ispunjavaju kriterije točnosti ne navode se u izvještajima rukovodstva.

8. Održava li organizacija kvalitetu u cijelom procesu obrade proizvodeći informacije koje su pravodobne, ažurne, točne, cjelovite, pristupačne, zaštićene te se mogu provjeriti i zadržati? Na primjer:

Svi sustavi za unos financijskih podataka imaju načine vrednovanja izvornih podataka (npr. dvostrukim ključem, potvrdom nadzornika itd.) prije nego što ti podaci budu prihvaćeni za obradu.

9. Jesu li vrsta, količina i preciznost informacija koje se priopćavaju razmjerni koristima od dijeljenja tih informacija? Na primjer:

Organizacija je utvrdila troškove izrade glavnih izvještaja o učinkovitosti unutarnjih kontrola, uključujući izravne troškove pregleda koje provodi unutarnja revizija.



ČETRNAESTO NAČELO – ORGANIZACIJA INTERNO PRIOPĆAVA INFORMACIJE, UKLJUČUJUĆI CILJEVE I ODGOVORNOSTI U POGLEDU UNUTARNJIH KONTROLA, POTREBNE ZA DOBRO FUNKCIONIRANJE UNUTARNJIH KONTROLA. SLIKA 21.

OBJAŠNJENJE ČETRNAESTOG NAČELA

Slika 22. Objašnjenje četrnaestog načela

OBRAZLOŽENJE

10. Komunikacija je sastavni dio obrade podataka. Učinkovita komunikacija mora postojati na svim razinama organizacije kako bi svi zaposlenici razumjeli i izvršili svoje obveze u skladu s unutarnjim kontrolama. Ključna pitanja uključuju:

konkretnu i usmjerenu komunikaciju koja se bavi očekivanim ponašanjima i odgovornostima zaposlenika;

komunikaciju o politikama i procedurama potrebnim za unutarnje kontrole;

procese i procedure koje su usklađene i podupiru organizacijsku kulturu;

svi zaposlenici od visokog rukovodstva dobivaju jasne poruke o važnosti unutarnjih kontrola;

svi zaposlenici znaju kako su njihove aktivnosti povezane s radom drugih, što im omogućuje prepoznavanje problema, utvrđivanje uzroka i poduzimanje korektivnih mjera;

postoje otvoreni kanali komunikacije i spremnost na slušanje, osoblje vjeruje da njihovi nadzornici stvarno žele biti upoznati s problemima te da će ih učinkovito riješiti; i



11. Mora postojati učinkovita komunikacija između rukovodstva i upravnih tijela kako bi se osiguralo da obje strane mogu ispuniti svoje obveze u skladu s unutarnjim kontrolama. To bi trebalo uključivati službena rješenja za izvještavanje upravnih tijela od strane revizorskog odbora radi jačanja neovisnosti unutarnje revizije. Kanali komunikacije također bi trebali postojati izvan uobičajenih linija izvještavanja te zaposlenicima treba biti jasno da neće biti negativnih reakcija na izvještavanje relevantnih informacija.

12. Način na koji se poruke komuniciraju ima izravan utjecaj na to koliko će poruka biti dobro shvaćena. Dostupni su brojni različiti kanali (vidjeti sliku 22.). Potrebno je uzeti u obzir vrijeme, publiku i narav onoga što se komunicira. Na primjer, ne bi bilo primjereno raspravljati o negativnom učinku jednog zaposlenika u elektroničkoj pošti upućenoj svim zaposlenicima. Osim toga, rukovodstvo treba poruke poduprijeti djelima i „stajati iza svojih riječi“.


13. Je li rukovodstvo uspostavilo procese za priopćavanje informacija potrebnih kako bi svi zaposlenici mogli razumjeti i izvršiti svoje obveze u skladu s unutarnjim kontrolama? Na primjer:

Obveze svih zaposlenika u skladu s unutarnjim kontrolama navedene su u priručnicima i smjernicama.

14. Postoje li učinkoviti kanali komunikacije između rukovodstva i upravnih tijela? Na primjer:

Revizorski odbor predstavlja godišnji izvještaj o svojim aktivnostima upravnim tijelima.

15. Je li rukovodstvo uspostavilo zasebne kanale komunikacije koji služe kao sigurnosni mehanizam koji omogućuje povjerljivu komunikaciju kad uobičajeni kanali ne funkcioniraju ili nisu učinkoviti? Na primjer:

Postoji politika za zaštitu svih zviždača.

16. Odabire li rukovodstvo relevantne načine priopćavanja svojih poruka osoblju? Na primjer:

Održavaju se redoviti sastanci svih zaposlenika o važnim promjenama u organizaciji uz pomoć internetskih komunikacijskih aplikacija kao što je Skype.



PETNAESTO NAČELO – ORGANIZACIJA KOMUNICIRA S VANJSKIM STRANAMA U POGLEDU PITANJA KOJA UTJEČU NA FUNKCIONIRANJE UNUTARNJIH KONTROLA.

Slika 23. Objašnjenje petnaestog načela

KOMENTAR.

17. Snažni procesi vanjske komunikacije su ključni dio unutarnjih kontrola. Organizacije trebaju uspostaviti procese za priopćavanje relevantnih i pravodobnih informacija vanjskim strankama, uključujući parlament, partnere, regulatore i ostale vanjske stranke. Ali komunikacija se odvija i u širem smislu, odnosno bavi se očekivanjima i odgovornostima pojedinaca i skupina.

18. Od posebne je važnosti učinkovita komunikacija s upravnim tijelima. Uspostavljanjem otvorenih kanala komunikacije dionicima i dobavljačima se omogućuje pružanje povratnih informacija organizaciji. Organizacije isto tako trebaju osigurati uspostavljanje zasebnih kanala komunikacije, kao što su telefonske linije za zviždače, koji služe kao sigurnosni mehanizmi koji omogućuju anonimnu ili povjerljivu komunikaciju kad uobičajeni kanali ne funkcioniraju ili nisu učinkoviti.

19. Kao i kod interne komunikacije, organizacija treba upotrebljavati načine komunikacije koji odgovaraju poruci koja se prenosi.




20. Je li organizacija uspostavila procese za priopćavanje relevantnih i pravodobnih informacija vanjskim strankama, uključujući parlament, partnere, regulatore i ostale vanjske stranke? Na primjer:

Godišnje izvješće o financijskim izvještajima organizacije.

21. Je li rukovodstvo uspostavilo otvorene kanale komunikacije koji parlamentu, korisnicima ili klijentima, dobavljačima, vanjskim revizorima, regulatorima i drugima omogućuju davanje ulaznih informacija? Na primjer:

Izvještaji o rezultatima vanjskih revizija koje provodi vrhovna revizijska institucija podnose se parlamentu i objavljuju u službenom listu.

Sve pritužbe vanjskih dobavljača se evidentiraju radi praćenja i poduzimanja mjera.

22. Komunicira li organizacija učinkovito sa svojim upravnim tijelima? Na primjer:

Godišnji izvještaji podnose se revizorskom odboru na razmatranje i pregled.

23. Je li organizacija uspostavila zasebne kanale komunikacije koji omogućuju anonimnu ili povjerljivu komunikaciju kad uobičajeni kanali nisu učinkoviti? Na primjer:

Postoji 24-satna telefonska linija za zviždače namijenjena prikupljanju pritužbi koju vodi neovisno poduzeće.

24. Ima li organizacija širok spektar načina komunikacije ovisno o ciljanoj publici? Na primjer:

Organizacija za upotrebljava Facebook za promicanje svojih politika.

Organizacija upotrebljava tekstualne poruke radi pružanja osoblju informacija o novim izvanrednim situacijama.



PRILOG B5 MONITORING I EVALUACIJA

1. Ovaj se Prilog bavi petom komponentom – monitoringom i evaluacijom koja obuhvaća kontinuiranu evaluaciju sustava unutarnjih kontrola te proces zasebnih evaluacija.

2. Ova komponenta sadrži dva načela COSO-a:

16. Organizacija odabire, razrađuje i provodi kontinuirane i/ili zasebne evaluacije kako bi odredila jesu li komponente sustava unutarnjih kontrola prisutne i funkcioniraju li.

17. Organizacija odabire i evaluira nedostatke unutarnjih kontrola te o njima pravodobno obavještava one strane koje su odgovorne za poduzimanje korektivnih mjera te, prema potrebi, više rukovodstvo i upravna tijela.

Slika 24. Načela i fokusne točke za monitoring i evaluaciju



ŠESNAESTO NAČELO – ORGANIZACIJA ODABIRE, RAZRAĐUJE I PROVODI KONTINUIRANE I/ILI ZASEBNE EVALUACIJE KAKO BI ODREDILA JESU LI

KOMPONENTE SUSTAVA UNUTARNJIH KONTROLA PRISUTNE I FUNKCIONIRAJU LI.

Slika 25. Objašnjenje šesnaestog načela

KOMENTAR.

3. Unutarnje kontrole nisu nešto što se može jednom ocijeniti pa zaboraviti. One zahtijevaju kontinuirano preispitivanje. Zbog toga sustavi unutarnjih kontrola podliježu praćenju – procesu kojim se procjenjuje kvaliteta učinka sustava kroz vrijeme. Monitoring osigurava kontinuiranu učinkovitost rada unutarnjih kontrola. To se može postići na dva načina – kontinuiranim monitoringom ili zasebnim evaluacijama.

4. Kontinuirana evaluacija (ponekad se naziva monitoring) odnosi se na aktivnosti kojima se prati učinkovitost unutarnjih kontrola u okviru uobičajenog poslovanja. Kao prva linija obrane, uključuju redovite aktivnosti upravljanja i nadzora, usporedbe, usklađivanja i druge rutinske postupke. Aktivnosti kontinuirane evaluacije imaju za cilj odrediti u kojoj mjeri unutarnje kontrole dobro funkcioniraju. Te aktivnosti trebaju biti ugrađene u svakodnevne, redovite radne zadatke koji se obavljaju u okviru uobičajenog vođenja organizacije. Trebaju se provoditi u stvarnom vremenu te dinamički reagirati na promjenjive uvjete.

5. Zasebne evaluacije uključuju zasebne preglede koje provode funkcije druge linije obrane odgovorne za nadzor rizika, kontrole i usklađenosti. Unutarnja revizija isto tako može provesti zasebne evaluacije učinkovitosti unutarnjih kontrola.



6. Rukovodstvo treba odrediti odgovarajuću ravnotežu između evaluacijskih aktivnosti na prvoj i drugoj liniji obrane. Ako su poslovne jedinice podvrgnute prevelikom broju zasebnih evaluacija, to može dovesti do manje kontinuiranog monitoringa, čime se smanjuje učinkovitost unutarnjih kontrola. Rizici i brzina promjene su dva čimbenika koje treba uzeti u obzir pri određivanju učestalosti evaluacija. Za procese koji su visokorizični ili se često mijenjaju mogu biti potrebne učestalije zasebne evaluacije ili viša razina kontinuiranog monitoringa.


7. Je li rukovodstvo uspostavilo kombinaciju kontinuiranih i zasebnih evaluacija? Na primjer:

Postoji neovisna jedinica unutarnje revizije te povezani revizorski odbor koji rade u skladu sa standardima IIA.

Postoji snažna druga linija obrane koja se sastoji od jedinica odgovornih za učinkovito upravljanje rizicima i usklađenost sa standardima zaštite okoliša.

8. Uzima li rukovodstvo u obzir brzinu promjene pri određivanju koje poslovne funkcije i procesi trebaju najčešće biti podvrgnuti pregledu? Na primjer:

Svi veliki kapitalni projekti podliježu pregledima u fazi planiranja.

Svi veliki IT projekti podliježu pregledu u odnosu na smjernice COBIT-a.

9. Upotrebljavaju li se oblik i trenutačno stanje sustava unutarnjih kontrola za utvrđivanje osnovnih vrijednosti? Na primjer:

Unutarnja revizija procjenjuje i dokumentira zrelost unutarnjih kontrola na četiri razine.

10. Osigurava li organizacija da provoditelji kontinuiranih i zasebnih evaluacija posjeduju dostatnu razinu znanja za razumijevanje onog što se evaluira? Na primjer:

Svi zaposlenici unutarnje revizije prošli su provjere vezane uz utvrđivanje određene razine sposobnosti.

11. Jesu li kontinuirane evaluacije ugrađene u poslovne procese i prilagođavaju li se promjenjivim uvjetima? Na primjer:

Pregled rizika na drugoj liniji obrane provodi se jednom godišnje, osim ako su poslovne jedinice podvrgnute naglim promjenama u vodstvu ili poslovnim metodama.

12. Varira li rukovodstvo opseg i učestalost zasebnih evaluacija ovisno o rizicima? Na primjer:

U korporativnom registru rizika navode se visoki rizici za organizaciju te vrijeme kada su povezane politike i procedure zadnji put pregledane.

13. Provode li se zasebne evaluacije na cjelokupnom sustavu unutarnjih kontrola ili na jednoj od pet glavnih komponenata? Na primjer:

Unutarnja revizija osigurava procjenu učinkovitosti sustava unutarnjih kontrola i svake njegove komponente na temelju svojih provjera tijekom godine.



SEDAMNAESTO NAČELO – ORGANIZACIJA ODABIRE I EVALUIRA NEDOSTATKE UNUTARNJIH KONTROLA TE O NJIMA PRAVODOBNO OBAVJEŠTAVA ONE STRANE

KOJE SU ODGOVORNE ZA PODUZIMANJE KOREKTIVNIH MJERA TE, PREMA POTREBI, VIŠE RUKOVODSTVO I UPRAVNA TIJELA.

Slika 26. Objašnjenje sedamnaestog načela

OBRAZLOŽENJE

14. Nedostaci sustava unutarnjih kontrola mogu se pojaviti iz brojnih izvora, uključujući monitoring od strane rukovodstva na prvoj liniji obrane, nadzor na drugoj liniji obrane te evaluacije unutarnje revizije na trećoj liniji obrane. Nedostaci mogu proizaći i iz revizija vanjskih revizora (obično vrhovne revizijske institucije, VRI) ili tijela financijske inspekcije8. Nedostatak se može definirati kao stanje u sustavu unutarnjih kontrola koje zavrjeđuje pozornost. Može predstavljati uočeni, potencijalni ili stvarni nedostatak neke kontrole.

15. O nedostacima koji su prijavljeni iz unutarnjih i vanjskih izvora trebaju se obavijestiti strane odgovorne za poduzimanje korektivnih mjera, kao i više rukovodstvo i upravna tijela. Sve nedostatke treba sustavno pratiti te poduzimati odgovarajuće korektivne mjere.


16. Ocjenjuju li rukovodstvo i upravna tijela rezultate kontinuiranih i zasebnih evaluacija? Na primjer:

8 Za razumijevanje različitih uloga unutarnje revizije, vrhovne revizijske institucije i tijela financijske inspekcije, vidjeti dodati referencu na smjernice PEMPAL-a.



Analiza uzroka pogrešaka u financijskim izvještajima koje je utvrdila vrhovna revizijska institucija (vanjska revizija).

17. Obavještavaju li se o nedostacima strane odgovorne za poduzimanje korektivnih mjera te, prema potrebi, više rukovodstvo i upravna tijela? Na primjer:

Unutarnja revizija upravnim tijelima dostavlja popis svih preporuka revizije koje nisu provedene dulje od godinu dana.

18. Prati li rukovodstvo je li se nedostaci pravovremeno uklanjaju? Na primjer:

Rukovodstvo izvještava upravna tijela o razlozima zašto preporuke unutarnje revizije nisu provedene dulje od godinu dana.



PRILOG C: PROCJENA ZRELOSTI UNUTARNJIH KONTROLA

19. U ovom je Prilogu predstavljen okvir za procjenu zrelosti unutarnjih kontrola na četiri razine, koji se temelji na kriterijima koje je PEMPAL razvio za svako načelo i fokusnu točku kako je prikazano u prilozima B1-B5.

20. Za većinu su načela te razine kumulativne, što znači da su kriteriji na 3. i 4. razini dodatni onima na 2. razini. U nekim situacijama zrelost se određuje mjerom u kojoj su kriteriji primijenjeni, npr. primjena tri linije obrane u skladu s PF 3.1.

PF 1. razina: Neslužbeno

Ad-hoc / kaotično







Prvo načelo: Organizacija pokazuje posvećenost integritetu i etičkim vrijednostima

PF 1.1. Primjenjuje načelo „tona na vrhu”

Ponašanje, vrijednosti i način rada višeg rukovodstva nisu poznati osoblju

Zaposlenici su okvirno upoznati s načinom rada i ponašanjem višeg rukovodstva

Više rukovodstvo obavješćuje sve zaposlenike o svom načinu rada i očekivanom ponašanju.

Vrijednosti se objavljuju i jasno definiraju na razini cijele organizacije.

Rukovoditelji primjenjuju visoke standarde za svoje ponašanje, odnosno „stoje iza svojih riječi“.

PF 1.2. Utvrđuje standarde ponašanja

Minimalni standardi ili uopće nema kodeksa ponašanja za zaposlenike.

Nema uspostavljenih etičkih standarda.

Postoji ključni kodeks ponašanja koji je dostupan zaposlenicima

Postoje jasne politike za suzbijanje prijevare i korupcije te seksualnog uznemiravanja, kao i za zaštitu zviždača.

Zaposlenike se automatski podsjeća na bitne standarde ponašanja u sklopu redovite edukacije.

Zaposlenici na svim razinama razumiju što se od njih očekuje u pogledu zadanih standarda.

Svi su upoznati s načinom rada i očekivanim standardom ponašanja u organizaciji.

PF 1.3. Provjerava primjenu standarda ponašanja

Primjena kodeksa ponašanja ne pregledava se ili se pregledava površno

Rukovodstvo pregledava uspostavljene standarde.

Provode se istrage zadovoljenih standarda.

Provjere su dio godišnje procjene učinka.

Sveobuhvatno izvještavanje uključuje procjenu primjene kodeksa ponašanja od strane kolega i podređenih zaposlenika.

PF 1.4. Odmah Ne poduzimaju se Podaci o svim Zaposlenike se Većina zaposlenika




Ad-hoc / kaotično







rješava odstupanja

disciplinarne mjere ili se poduzimaju u ograničenoj mjeri.

odstupanjima od očekivanih standarda se čuvaju.

Rukovodstvo poduzima primjerene mjere za svaki očekivani slučaj odstupanja od standarda.

svake godine obavješćuje o svim poduzetim disciplinarnim mjerama.

vjeruje da će se protiv njih poduzeti disciplinarne mjere ako se ne pridržavaju standarda.

Drugo načelo: Upravna tijela pokazuju neovisnost od rukovodstva i nadziru razvoj i učinak unutarnjih kontrola.

PF 2.1. Određuje nadzorne dužnosti

Nadzorna rješenja nisu definirana.

Postoji pravni okvir u kojem su jasno definirana nadzorna tijela organizacije.

Nadzor uključuje neovisni revizorski odbor.

Prepoznato je da nadzorna rješenja zadovoljavaju najviše međunarodne standarde.

PF 2.2. Ima pristup relevantnim vještinama


Postoji jasan proces imenovanja ili zapošljavanja članova upravnih tijela.

Potrebne vještine i relevantno iskustvo su definirani i usklađeni s ciljevima organizacije.

Upravno tijelo sastoji se od članova s različitim primjerenim vještinama i sposobnostima (obrazovanje i kvalifikacije).

Upravno tijelo po potrebi ima pristup neovisnom stručnom znanju.

Upravno tijelo dokazano podupire neovisnost unutarnje revizije kao treće linije obrane.

PF 2.3. Posluje neovisno


Uloga donošenja odluka rukovodstva jasno je odvojena od nadzorne/savjetodavne uloge.

Informacije potrebne za obavljanje nadzora pravovremeno se prikupljaju i priopćavaju na točan i pouzdan način.

Učinkovitost i efikasnost nadzornih rješenja evaluirala je vrhovna revizijska institucija.

PF 2.4. Osigurava nadzor sustava unutarnjih kontrola


Postoji uspostavljeni sustav nadzora unutarnjih kontrola.

Rukovodstvo određuje koje informacije

Postoje neovisni kriteriji za izvještavanje upravnih tijela o pitanjima unutarnjih

Postoji godišnje mišljenje unutarnje revizije o učinkovitosti unutarnjih kontrola




Ad-hoc / kaotično







podliježu izvještavanju upravnih tijela.

kontrola.

Postoji uspostavljeni sustav za davanje izjave o stanju sustava unutarnjih kontrola unutar organizacije.

unutar organizacije.

Revizorski odbor daje javni izvještaj o učinkovitosti unutarnjih kontrola.

Treće načelo: Rukovodstvo uspostavlja, uz nadzor upravnog tijela, strukture, linije izvještavanja i prikladna nadležna tijela odgovorna za ispunjene ciljeva.

PF 3.1. Razmatra sve strukture

Organizacijska struktura nije jasno definirana ili nije lako razumljiva.

Postoji odobrena organizacijska struktura.

Uspostavljena struktura je jasna i lako razumljiva.

Rukovodstvo jasno definira odnose s vanjskim partnerima.

Postoje ugovori za eksternalizirane pružatelje usluga u kojima se jasno navode odgovornosti tih pružatelja u pogledu unutarnjih kontrola.

Upravna tijela redovito preispituju učinkovitost organizacijske strukture.

PF 3.2. Definira, dodjeljuje i ograničava ovlasti i odgovornosti

Ovlasti postoje, ali nisu utvrđene za sve razine organizacije ili su nejasne.

Postoji jasna pisana izjava o delegiranim ovlastima svih članova osoblja. Iako postoje, možda nisu dostupne za pregled svim zaposlenicima.

Osoblje dobiva priručnike ili druge smjernice u kojima su definirane granice ovlasti.

Unutarnje kontrole pružaju uvjerenje u pogledu jasnoće ovlasti i odgovornosti.

PF 3.3. Uspostavlja linije izvještavanja

Ne postoji formalna organizacijska tablica.

Postoji niska ili nikakva razina svjesnosti o tri linije obrane.

Postoje formalne organizacijske tablice u kojima se konkretno navode linije izvještavanja.

Postoji osnovna razina svjesnosti o ulogama prve, druge i treće linije obrane.

Postoji nekoliko pojedinaca s dvostrukim obvezama izvještavanja.

Postignuti su dobro razumijevanje i potpuna primjena svih triju linija

Rezultati treće linije obrane su iskoristivi i primjenjivi




Ad-hoc / kaotično







obrane

Četvrto načelo: Organizacija pokazuje predanost traženju, razvoju i zadržavanju sposobnih zaposlenika, u skladu sa svojim ciljevima.

PF 4.1. Uspostavlja politike i procedure

Politike ljudskih resursa postoje bez jasne opće strategije razvoja ljudskih potencijala.

Postoje vrlo osnovne politike ljudskih resursa koje se uglavnom odnose na plaće i dodatke.

Postoji strategija ljudskih resursa u kojoj se navode ciljevi politika ljudskih resursa organizacije.

Cirkulari, priručnici i vodiči jasno definiraju sposobnosti i vještine potrebne za zaposlenike putem potrebnih okvira karijere, izjava o sposobnostima, opisa poslova itd.

Upravna tijela periodično preispituju strategiju i politike ljudskih resursa.

PF 4.2. Ocjenjuje sposobnost i rješava nedostatke

Nije uspostavljen službeni proces procjene učinka.


Učinak osoblja redovito se procjenjuje u odnosu na očekivane standarde sposobnosti.

Postoje službena ispitivanja vještina osoblja na ključnim funkcijama poput unutarnje revizije.

PF 4.3. Pronalazi, razvija i zadržava pojedince

Osoblje se zapošljava bez opće politike zapošljavanja.

Postoje ograničene mogućnosti edukacije za osoblje.

Postoje visoke razine promjene zaposlenika.

Postoji mehanizam za zapošljavanje s unaprijed definiranim i jasnim pravilima.

Postoje jasne kvalifikacije koje se zahtijevaju od svih zaposlenika u vrijeme zapošljavanja

Postoji plan edukacije na razini cijele organizacije te planovi osobnog razvoja za pojedinačne zaposlenike.

Organizacija pruža mentorsku potporu u svrhu razvoja zaposlenika

Zahtjevi za napredovanje unutar organizacije povezani su s dodatnim vještinama koje su potrebne na

Postoji mehanizam za slanje zaposlenika na međunarodne seminare, konferencije i radionice kao što su PEMPAL-ove.

Postoje mehanizmi za nagrađivanje visokog učinka zaposlenika u obliku financijskih i nefinancijskih nagrada.




Ad-hoc / kaotično







višim razinama organizacije

PF 4.4. Planira i priprema prijenos funkcija

Ne postoje rješenja u vezi s planiranjem nasljeđivanja.

Organizacija je utvrdila ključne pozicije koje ne smiju ostati prazne.

Organizacija je utvrdila radna mjesta na kojima očekuje promjene zaposlenika.

Postoji „plan nasljeđivanja“ za zaposlenike na ključnim pozicijama u organizaciji.

Postoji politika redovite rotacije osoblja kako bi se proširila kombinacija dostupnih vještina.

Postoji mentorski program za pomoć pri utvrđivanju budućih čelnika.

Peto načelo: Pojedinci su odgovorni za svoje obveze u skladu s unutarnjim kontrolama na razini organizacije u svrhu ispunjenja ciljeva.

PF 5.1. Osigurava odgovornost kroz strukture, ovlasti i dužnosti

Postoji mala ili nikakva odgovornost za unutarnje kontrole.

Dužnosti su utvrđene i dodijeljene pojedincima.

Postoji sustav za evaluaciju učinka koji djeluje na različitim razinama organizacije s fokusom na to kako rukovoditelji upravljaju svojom regijom / uredima / odjelima / jedinicama.

Zaposlenici su svjesni svojih odgovornosti putem opisa poslova ili drugim mehanizmima.

Odgovornosti ispunjavaju ciljeve unutarnjih kontrola i poslovne ciljeve organizacije

Postoje dobro definirane linije odgovornosti te je većina osoblja odgovorna za svoje obveze u skladu s unutarnjim kontrolama.

Pojedinačni ciljevi povezani su s ciljevima više razine iz strategije ili plana upravljanja.

Svi su zaposlenici redovito odgovorni za svoje obveze u skladu s unutarnjim kontrolama.

PF 5.2. Definira mjere za učinak, poticaje i nagrade

Uspostavljene su vrlo ograničene mjere za učinak.

Postoji politika za postavljanje ciljeva i ključnih pokazatelja učinka (KPI-jeva) na razini subjekta

Politika za postavljanje ciljeva i ključnih pokazatelja učinka (KPI-jeva) obuhvaća

Svi su zaposlenici aktivno uključeni u postavljanje svojih ciljeva učinka i povezanih KPI-jeva.




Ad-hoc / kaotično







poslovne jedinice i pojedince.

PF 5.3. Evaluira relevantnost mjera za učinak


Za preispitivanje relevantnosti mjera za učinak odgovorna je druga linija obrane.

Kvalitetu i relevantnost mjera za učinak redovito procjenjuje unutarnja revizija (treća linija obrane).

Rukovodstvo potvrđuje relevantnost svojih mjera za učinak

PF 5.4. Razmatra prekomjerni pritisak


Postoji službena procedura/mehanizam za mjerenje radnog opterećenja osoblja kojim se utvrđuju situacije prekomjernog ili nedostatnog opterećenja te mehanizmi za rješavanje tih razlika

Rukovodstvo utvrđuje koji zaposlenici ne uzimaju dovoljno godišnjeg odmora.

Utvrđuju se zaposlenici koji pate od bolesti povezanih sa stresom te se njihovo radno opterećenje mijenja u svrhu smanjenja takvog stresa.

Postoje rješenja za savjetovanje osoblja kako bi se utvrdili zaposlenici koji su pod nepotrebnim pritiskom.

PF 5.5. Evaluira učinak i nagrađuje ili kažnjava pojedince

Nije uspostavljen službeni sustav procjene učinka.


Sustav procjene rezultira službenim izvještajima o učinku.

Postoji dosljednost između razine preuzetih dužnosti i dodijeljenih nagrada.

Procjena učinka rezultira nagrađivanjem ili sankcioniranjem osoblja (financijski ili nefinancijski).

Šesto načelo: Organizacija određuje dovoljno jasne ciljeve kako bi se omogućilo utvrđivanje i procjena rizika povezanih s ciljevima.

PF 6.1. Ciljevi poslovanja




Ad-hoc / kaotično







PF 6.2. Ciljevi vanjskog izvještavanja

PF 6.3. Ciljevi unutarnjeg izvještavanja

PF 6.4. Ciljevi usklađenja

Sedmo načelo: Organizacija utvrđuje rizike za ostvarenje svojih ciljeva na razini organizacije i analizira rizike kao temelj za određivanje načina na koji bi se trebalo upravljati rizicima

PF 7.1. Uključuje razinu organizacije i glavne strukture

7.2. Analizira unutarnje i vanjske čimbenike

PF 7.3. Uključuje odgovarajuće razine rukovodstva

PF 7.4. Procjenjuje značaj utvrđenih rizika

Osmo načelo: Organizacija razmatra mogućnost prijevare pri procjeni rizika za ostvarenje ciljeva.

PF 8.1. Razmatra različite vrste prijevare

8.2. Procjenjuje poticaje i pritiske

PF 8.3. Procjenjuje




Ad-hoc / kaotično







prilike

PF 8.4. Procjenjuje stavove i racionalizacije

Deveto načelo: Organizacija utvrđuje i procjenjuje promjene koje bi mogle značajno utjecati na sustav unutarnjih kontrola.

PF 9.1. Procjenjuje promjene u vanjskom okruženju

PF 9.2. Procjenjuje promjene u poslovnom modelu

PF 9.3. Procjenjuje promjene u vodstvu

Deseto načelo: Organizacija razrađuje kontrolne aktivnosti koje doprinose ublažavanju rizika za ostvarenje ciljeva na prihvatljive razine.

PF 10.1. Integrira s procjenom rizika

PF 10.2. Razmatra čimbenike specifične za organizaciju

PF 10.3. Određuje relevantne poslovne procese

PF 10.4. Ocjenjuje kombinaciju




Ad-hoc / kaotično







kontrolnih aktivnosti

PF 10.5. Razmatra na kojoj se razini primjenjuju kontrolne aktivnosti

PF 10.6. Bavi se razdvajanjem dužnosti

Jedanaesto načelo: Organizacija odabire i razrađuje opće kontrolne aktivnosti nad tehnologijom u svrhu ostvarenja ciljeva.

PF 11.1. Određuje ovisnost između upotrebe tehnologije u poslovnim procesima i općih kontrola nad tehnologijom.

PF 11.2. Utvrđuje relevantne kontrolne aktivnosti nad tehnološkom infrastrukturom

PF 11.3. Utvrđuje relevantne kontrolne aktivnosti u procesu upravljanja sigurnošću

PF 11.4.




Ad-hoc / kaotično







Utvrđuje relevantne kontrolne aktivnosti u procesu stjecanja, razvoja i održavanja tehnologije.

Dvanaesto načelo: Organizacija uvodi kontrolne aktivnosti putem politika kojima se utvrđuje što se očekuje i procedurama kojima se te politike primjenjuju.

PF 12.1. Uspostavlja politike i procedure u svrhu provedbe uputa rukovodstva.

PF 12.2. Utvrđuje dužnost i odgovornost za izvršenje politika i procedura

PF 12.3. Pravovremeno provodi aktivnosti

PF 12.4. Poduzima korektivne mjere

PF 12.5. Provodi ih sposobno osoblje

PF 12.6. Preispituje politike i procedure




Ad-hoc / kaotično







Trinaesto načelo: Organizacija pribavlja ili generira te upotrebljava relevantne, kvalitetne informacije za dobro funkcioniranje unutarnjih kontrola

PF 13.1. Utvrđuje informacijske zahtjeve

PF 13.2. Prikuplja podatke iz unutarnjih i vanjskih izvora

PF 13.3. Obrađuje relevantne podatke u informacije

PF 13.4. Održava kvalitetu tijekom obrade

PF 13.5. Razmatra troškove i koristi

Četrnaesto načelo: Organizacija interno priopćava informacije, uključujući ciljeve i odgovornosti u pogledu unutarnjih kontrola, potrebne za dobro funkcioniranje unutarnjih kontrola.

PF 14.1. Priopćava informacije o unutarnjim kontrolama

PF 14.2. Komunicira s upravnim tijelima

PF 14.3. Osigurava odvojene linije komunikacije




Ad-hoc / kaotično







PF 14.4. Odabire relevantni način komunikacije

Petnaesto načelo: Organizacija komunicira s vanjskim stranama u pogledu pitanja koja utječu na funkcioniranje unutarnjih kontrola.

PF 15.1. Komunicira s vanjskim strankama

PF 15.2. Omogućava dolaznu komunikaciju

PF 15.3. Komunicira s upravnim tijelima

PF 15.4. Osigurava odvojene linije komunikacije

PF 15.5. Odabire relevantni način komunikacije

Šesnaesto načelo: Organizacija odabire,razvija i provodi kontinuirane i/ili zasebne evaluacije kako bi odredila jesu li komponente sustava unutarnjih kontrola prisutne i funkcioniraju li.

PF 16.1. Razmatra kombinaciju kontinuiranih i zasebnih evaluacija

PF 16.2. Uzima u obzir brzinu promjene




Ad-hoc / kaotično







PF 16.3. Uspostavlja osnovnu razinu razumijevanja

PF 16.4. Zapošljava obrazovane radnike

PF 16.5. Integrira s poslovnim procesom

PF 16.6. Prilagođava obuhvat i učestalost

PF 16.7. Evaluira objektivno

Sedamnaesto načelo: Organizacija odabire i evaluira nedostatke unutarnjih kontrola te o njima pravodobno obavještava one strane koje su odgovorne za poduzimanje korektivnih mjera te, prema potrebi, više rukovodstvo i upravna tijela.

PF 17.1. Procjenjuje rezultate

PF 17.2. Obavještava o nedostacima

PF 17.3. Prati korektivne mjere


Documents

Predgovor · Web viewDefinicija unutarnjih kontrola -detaljni prikaz Glavne komponente sustava unutarnjih kontrola COSO prepoznaje pet međusobno povezanih komponenata sustava unutarnjih