Kako procijeniti razinu rizika
Prije primjene COSO modela u vrednovanju internih kontrola nužno je proći proces od dva koraka kojeg koriste revizori u procjeni rizika. Interna revizija se sastoji od revizijskih postupaka usmjerenih na pitanja razvijena u skladu s ciljem – financijsko izvještavanje. Krajnji rezultat je općenito vrednovanje kontrola i njihovih učinkovitosti u ublažavanju rizika značajnog pogrešnog prikaza u financijskim izvještajima.
Prvi korak je razviti postupke koji pružaju informacije i/ili dokaze za pomoć revizoru u otkrivanju i razjašnjavanju područja rizika. Postupci u ovoj fazi pružaju dokaze internom revizoru da je prisutan rizik u pojedinim područjima od interesa, npr. kontrolno okruženje, subjekt i njegovo okruženje ili poslovni procesi.
Nakon što je identificirano područje netrivijalnog rizika, treba ocijeniti razinu rizika, npr. koliki rizik postoji u tom području. Ovo je drugi korak. Radi jednostavnosti, ako se pretpostavlja da interni revizor koristi visoke, srednje i niske razine za mjeru rizika, koji su to čimbenici za određivanje razine rizika koji postoji u okolnostima vezanim uz područje interesa? Što bi dovelo do toga da interni revizor ocijeni kontrole učinkovitima u smanjenju rizika na prihvatljivu razinu? Što je više problema s internim, nedostajućim ili slabim kontrolama, to je vjerojatnije je da će interni revizor ocijeniti višu razinu rizika. S druge strane, što više subjekt učinkovito primjenjuje relevantne najbolje prakse, vjerojatnije je da će interni revizor ocijeniti nižu razinu rizika.
Često postupak revizije može biti od pomoći u obavljanju prvog koraka, identifikacije, ali ne nužno i korisno u obavljanju drugog koraka, procjene razine rizika koji zapravo postoji. U takvim slučajevima, revizor treba razvijati i druge postupke kako bi pružili dokaze o razini rizika (ilustracija slijedi u sljedećem poglavlju).
Kako primijeniti COSO model u postupcima interne revizije
COSO model pruža neka područja interesa (ili ciljeve), koji će vjerojatno biti relevantni za internu reviziju internih kontrola. Ta područja su podijeljena u pet tema (COSO elemenata) s potencijalnim podtemama za svaki element. Na primjer, tema od interesa za interne kontrole u cjelini je kontrolno okruženje (COSO).Podtema tog elementa je komunikacija te provedba integriteta i etičkih vrijednosti.
Iako neće svi aspekti svakog od pet elemenata biti ovdje prikazani, slijedi nekoliko specifičnih prikaza.
Jedno područje COSO modela koji se izravno primjenjuje na standarde za ocjenu rizika je kontrolno okruženje. Rizici se odnose na “entitet i njegovo okruženje, uključujući i interne kontrole” kao predmet postupaka procjene rizika koji prethode razvoju plana revizije u financijskoj reviziji. Ove dvije revizije su praktički ista stvar.
Opći cilj ocjenjivanja rizika jest utvrditi da li određeno kontrolno okruženje ima sposobnost da uspostavi i održava učinkovit sustav internih kontrola nad financijskim izvještavanjem. Cilj postupaka procjene rizika je identificirati rizike povezane s kontrolama vezanim uz razvoj, upravljanje, praćenje i izvještavanje i o kontrolama i o informacijama u financijskim izvještajima. Izvještavanje o podacima koji se koriste u strateškim aktivnostima, treba se obavljati na najvišoj razini subjekta.
Prva podtema navedena pod kontrolnim okruženjem COSO modela je “komunikacija te provedba integriteta i etičkih vrijednosti”. Interni revizor mora utvrditi da li subjekt koji se revidira ima rizik u području te podteme. Da bi donio tu odluku, interni revizor mora razviti revizijske postupke kako bi pružio informacije i/ili dokaze. Pojedini postupci revizije su ovisni o okolnostima i informacijama specifičnim za svaki subjekt.
Primjer postupka revizije za ovu podtemu bio bi pribaviti kopiju pisanog etičkog kodeksa, ako postoji. Ako ne postoji, revizor će ocijeniti da ovo područje treba biti ocijenjeno s više rizika. Bez obzira na to postoji li pisani kodeks etike, interni revizor treba razvijati i druge revizijske postupke kako bi se zadovoljila njegova identifikacija rizika u ovom području. Ti postupci mogu uključivati utvrđivanje:
– da li je etika pokrivena obukom zaposlenika ili usmjerivanjem istih
– da li postoji dokumentacija etičkih povreda
– da li su se provodile etičke politike kad je do povrede došlo
– da li je osoba ili skupina odgovorna za provedbu etike (i njegova/njezina/njihova učinkovitost).
Jedan od načina da se utvrdi učinkovitost etike u entitetu je socijalno uhvatiti pozornost prosječnog zaposlenika i usput ga ležerno pitati da li bi određena situacija bila etička povreda za subjekt, ili ga pitati što bi učinio kad bi otkrio etičku povredu (potvrđivanje učinkovitosti komunikacije u ovom području).
Ovaj scenarij također ilustrira dvije faze pristupa rizicima i procjenjivanju internih kontrola. Prisutnost pisanog etičkog kodeksa daje nekakav dokaz internom revizoru da je subjekt učinio nešto za rješavanje rizika vezanih uz etiku (prvi korak u prepoznavanju i objašnjavanju rizika), ali daje malo vrijednosti tome kako procijeniti razinu rizika. Prisutnost pisanih etičkih politika može imati malu učinkovitost u smanjenju rizika, ako subjekt nema komunikaciju ili planove za provedbu. Ako dokazi pokazuju da se provodi politika raspravljanja o usmjerenju zaposlenika i zaposlenici potpisuju obvezu da se pridržavaju politika, može se zaključiti da se to može koristiti za procjenu razine rizika (obično značajno umanjenje rizika). Ako postoji dokumentacija koja pokazuje da su radnici koji su prekršili etikčke politike administrativno podvrgnuti posljedicama etičkih povreda, te informacije daje veću vrijednost u procjeni razina rizika (vjerojatno značajno umanjenje rizika). Drugim riječima, različiti postupci revizije mogu biti više ili manje učinkovite u određivanju razine rizika.
U procjeni rizika COSO elementa, interni revizori traže dokaze da izvršna razina subjekta ispravno identificira i procjenjuje razinu značajnih rizika.
Je li moguće da se određeni projekt izmakne kontroli i da menadžment neće biti u stanju razumijeti i prepoznati važnost tog pitanja odnosno utjecaja koji može imati na financijsko izvještavanje? Da li je moguće da velikim projektom bude tako loše upravljano da se prekoračenje iskazuje u milijunima, a prekoračenje je u stvari veće od razine značajnosti u financijskim izvještajima? Ako je tako, izvršni bi menadžment mogao ne prepoznati značaj prekoračenja. Naime, članovi IT osoblja vjerojatno ne bi vidjeli značajno umanjenje, a moguće je da organizacija može pobjeći pozornosti financijskih revizora, ako ne razumiju IT i upravljanje projektima. Ta se okolnost može pojaviti u slučajevima u kojima se najbolje prakse upravljanja projektima ne provode i ne postoji IT upravljanje.
Dok se još puno toga može napisati o primjeni COSO modela, nadamo se dva primjera iznad ilustriraju kako primijeniti COSO u upravljanju rizicima i učinkovitost korištenja COSO modela za procjenu internih kontrola.
Zaključak
Interni revizor će se u velikoj mjeri oslanjati na pregledu politika i postupaka u ispunjavanju obveza vezanih uz standarde upravljanja rizicima. Interni revizor se želi uvjeriti da rukovodstvo ima strateški pogled i da koristi interne kontrole. To počinje s politikama i procedurama te se proteže kroz praćenje (COSO) i donošenje odluka vezano za financijsko izvještavanje i interne kontrole (primjerice, koji je stručnjak u internim kontrolama i kako se to znanje pretače u primjenu i u temeljne poslovne procese).
Interni revizor će izbalansirati sve dokaze kako bi odredio konačne ukupne ocjene razine rizika u pet područja COSO modela. Čak i unutar modela, snage u nekim elementima mogu ublažiti slabosti u drugim elementima.
Sve u svemu, čini se vjerojatnim da intreni revizor može učinkovito koristiti COSO model internih kontrola kako bi točno procijenio učinkovitost internih kontrola i sposobnost umanjenja rizika pogrešnog prikaza u financijskim izvještajima.
Institut za interne kontrole 
Rasprava
Nijedan komentar do sada.