TFL Vsebine / TFLGlasnik

1. UVOD

V prispevku so na kratko predstavljene novosti na področju podlag za delo notranjih revizorjev v sloveniji (od decembra 2021 do septembra 2022), ki se nanašajo na drugo in tretjo raven Hierarhije pravil notranjega revidiranja¹. Sprememb pri Mednarodnih standardih strokovnega ravnanja pri notranjem revidiranju in izvedbenih navodilih/smernicah za izvajanje sicer v tem obdobju ni bilo, so pa napovedane v prihajajočem obdobju.

Pravila notranjega revidiranja, uvrščena v Hierarhijo pravil notranjega revidiranja, so na spletnem naslovuSIR.

Članek odraža mnenja avtorice z dolgoletnimi izkušnjami na področju notranjega revidiranja.

2. DODATNA NAVODILA

V drugo raven Hierarhije pravil notranjega revidiranja med drugim spadajo Dodatna navodila (angl. Supplemental Guidance). Predstavljene vsebine so zgolj povzetki iz posameznih dodatnih navodil in ne uradni prevodi.

V nadaljevanju predstavljam dokumente, ki so bili izdani v zadnjem letu, in sicer Notranja revizija in prevare, oblikovanje učinkovite notranje revizije v javnem sektorju, Revidiranje kapitalske ustreznosti in stresni testi za banke, Revidiranje upravljanja likvidnostnega tveganja za banke, Revidiranje odzivanja in okrevanja po kibernetskem incidentu, Revidiranje delovanja kibernetske varnosti: preprečevanje in odkrivanje ter Revidiranje mobilnega računalništva.

Prvi se šteje med običajna Dodatna navodila, drugi med Dodatna navodila za javni sektor, sledita dve Dodatni navodili za finančni sektor in tri Globalne smernice za revizijo tehnologij (angl. Global Technology Audit Guide, GTAG).

2.1. Notranja revizija in prevare

Notranja revizija in prevare (Internal Audit and Fraud)² je druga izdaja Dodatnega navodila, ki je izšlo maja 2022. Prva izdaja dokumenta z enakim naslovom je izšla 2009, tako da je bil čas za prenovljeno verzijo.

Dokument se začne z opredelitvijo prevare, kot izhaja iz Mednarodnih standardov strokovnega ravnanja pri notranjem revidiranju (vsako nezakonito dejanje, za katero je značilna goljufija, utaja ali izraba zaupanja. Taka dejanja niso odvisna od grožnje z nasiljem ali fizične prisile. Prevare zagrešijo stranke in organizacije, da si pridobijo denar, posest ali storitve, da se izognejo plačilu ali izgubi storitev ali da zaščitijo svojo osebno ali poslovno prednost.). Vsebuje tudi povezavo z dokumentom Fraud Risk Management Guide³ (na spletni strani SIR je dostopen prevod povzetka z naslovom Navodilo za upravljanje tveganj prevar, Coso FRM, 2016)⁴. V skladu s tem dokumentom je odvračanje od prevar postopek izločanja dejavnikov, ki lahko privedejo do prevar.

Da bi bil notranji revizor lahko uspešen pri svoji vlogi ocenjevanja tveganja prevar in načina njegovega obravnavanja v organizaciji, mora razumeti naravo in značilnosti prevar, izpostavljenost organizacije prevaram, uspešne strategije za upravljanje tveganja prevar, vloge in odgovornosti glede tveganja prevar in korake, kako pripraviti mnenje o upravljanju in obvladovanju tveganja prevar.

Še vedno velja, da so za nastanek prevare potrebni trije elementi: priložnost, motiv (pritisk), racionalizacija. Od tu dalje pa za upravljanje tveganja prevar ne moremo več uporabljati enakega pristopa, saj je odvisen od industrije, geografske lokacije, velikosti organizacije, organizacijske strukture, načina upravljanja, kulture, glasu z vrha (tone at the top), vrednot organizacije, informacijskega sistema, uporabe različnih tehnologij in drugih dejavnikov.

V dokumentu so najprej sistematično predstavljene vloge (poslo)vodstva in organa nadzora, revizijske komisije in ključnih deležnikov, ki jih opredeljuje Model treh linij⁵. Notranja revizija daje zagotovila (poslo)vodstvu in organu nadzora glede uspešnosti obvladovanja tveganja prevar, lahko pomaga pri pripravi internih dokumentov glede obvladovanja tveganja prevar, sodeluje pri izobraževanjih na to temo in pomaga pri preiskavah. Vloga notranjega revizorja pri obvladovanju tveganja prevar naj bo vključena v notranjerevizijsko temeljno listino.

Pri vzpostavitvi okvira za obvladovanje tveganj prevar dokument svetuje uporabo že uveljavljenega in že omenjenega Navodila za upravljanje tveganj prevar. To predstavlja razmerje med petimi sestavinami in 17 načeli notranjega kontroliranja okvira Coso IC (2013) ter petimi načeli Navodila za upravljanje tveganj prevar.

Zagotovila glede obvladovanja tveganja prevar lahko pripravljajo različni dajalci zagotovil, med drugim ključni deležniki druge linije iz Modela treh linij, zunanji revizorji, inšpektorji, svetovalci, pa tudi notranja revizija. Notranja revizija mora pri tem upoštevati strokovne podlage za svoje delo, ohranjati neodvisnost in nepristranskost ter zagotavljati strokovnost in potrebno poklicno skrbnost. Notranji revizor lahko pomaga pri preiskovanju suma prevare, pripravi analizo temeljnega vzroka za nastanek prevare, daje priporočila za izboljšanje kontrolnega okolja, spremlja delovanje druge linije iz Modela treh linij, pomaga pri izobraževanjih o prevarah.

Pri pripravi zagotovila na temo obvladovanja tveganja prevar lahko pregleda okvir za upravljanje tveganja prevar, program, vzpostavljene notranje kontrole in spremljanje izvajanja implementiranega okvira.

Okvir upravljanja tveganja prevar mora biti celovit, stalen, usklajen s strateškimi cilji organizacije, dokumentiran, o njem je treba komunicirati z vsemi zaposlenimi. Učinkovit je, kadar je v organizaciji vzpostavljena kultura z ničelno toleranco do prevar.

2.2. Oblikovanje učinkovite notranje revizije v javnem sektorju

Oblikovanje učinkovite notranje revizije v javnem sektorju (Building an Effective Internal Audit Activity in the Public Sector)⁶ je Dodatno navodilo za javni sektor, ki je izšlo julija 2022.

Namen dokumenta je pomagati notranjim revizorjem v javnem sektorju pri implementaciji in zagotavljanju delovanja uspešne notranje revizije, vzpostavitvi modela kompetenc za notranje revizorje in predstavitvi dodane vrednosti za organizacijo. Uporaben je tako za nove vodje kot tudi za obstoječe, ki se želijo uspešno prilagajati spremembam v okolju. Tudi v javnem sektorju mora namreč notranja revizija pomembno prispevati k upravljanju organizacije, upravljanju tveganj in kontrolnemu procesu.

V gradivu so najprej predstavljene značilnosti javnega sektorja: od financiranja, političnih interesov, upravljanja, javnega dobra in javnega interesa, transparentnosti, etike in integritete do pravnega okvira ter zahtev po uspešnosti in učinkovitosti delovanja.

Notranja revizija v javnem sektorju lahko deluje v obliki lastne notranje revizije (insourcing), zunanjega izvajalca notranjega revidiranja (outsourcing) ali pa v obliki kombinacije – torej lastna notranja revizija, ki ji občasno pomagajo usposobljeni zunanji izvajalci (cosourcing or partnering), kar je običajno najboljši pristop k učinkoviti in uspešni notranji reviziji.

Lastna notranja revizija je sestavni del organizacije, z zaposlenimi sodeluje vsak dan, zato lahko podrobneje pozna delovanje organizacije in je na voljo tudi za svetovalne posle. Omejitve se v takem primeru lahko kažejo pri financiranju ali pomanjkanju specifičnih znanj.

Če organizacija sodeluje z zunanjim izvajalcem notranje revizije, mora ta zagotoviti poznavanje delovanja javnega sektorja. Pri tem naj bo v organizaciji skrbnik pogodbe z zunanjim izvajalcem, to je oseba iz vodstva organizacije ter z znanji in kompetencami iz notranje revizije. Odgovornost za notranjo revizijo namreč ostaja v organizaciji.

Pri poročanju je notranja revizija lahko centralizirana ali decentralizirana. Centralizirana dejavnost je primernejša za zrele organizacije, ki imajo že vzpostavljen primeren sistem notranjih kontrol. Seveda obstaja tveganje, da je pri centralizirani dejavnosti poglobljeno razumevanje posamezne revidirane organizacije z vidika poslovanja, procesov, upravljanja, kulture na nižji ravni kot pri decentralizirani dejavnosti.

Pri decentralizirani dejavnosti zaradi specializacije notranjih revizorjev lahko dosežemo večjo uspešnost pri izvajanju posameznih poslov, pogosto pa se zgodi, da imajo posamezniki v eni organizaciji manj znanj in veščin kot večja notranja revizija kot celota.

Notranja revizija v javnem sektorju ima lahko različne deležnike: predstojnika oz. poslovodni organ, nadzorni organ (nadzorni odbor, svet, nadzorni svet, upravni odbor), deležniki so tudi prebivalci, zunanja revizija, drugi dajalci zagotovil, regulatorji in drugi – nekateri so neposredno povezani z notranjo revizijo, drugi pa imajo pogosto interes za izide notranje revizije. Vodja notranje revizije naj redno komunicira z notranjimi deležniki in tako spozna njihova pričakovanja.

Dodatno navodilo opozarja še na nekaj pomembnih aktivnosti glede poročanja notranje revizije v javnem sektorju in priprave notranjerevizijske temeljne listine, pa tudi, kako naj notranja revizija ravna v zvezi s prevarami in česa se je treba zavedati pri IT procesih. Vodjo notranje revizije spodbuja, da pregleda modele zrelosti in razmisli o razvoju dejavnosti. Opredeljena raven zrelosti vpliva na kadrovske in finančne vire notranje revizije. Tudi pri pripravi operativnih navodil za delo v notranji reviziji in pripravi programa zagotavljanja in izboljševanja kakovosti, pa tudi pri izvajanju poslov je nekaj značilnosti, ki veljajo predvsem za javni sektor.

2.3. Revidiranje kapitalske ustreznosti in stresni testi za banke

Revidiranje kapitalske ustreznosti in stresni testi za banke (Auditing Capital Adequacy and Stress Testing for Banks)⁷ je Dodatno navodilo za finančni sektor. Izšlo je junija 2022 in nadomešča prvo izdajo, ki je izšla leta 2018.

Kapitalsko tveganje je – poleg likvidnostnega, kreditnega in deželnega, tržnega in zavarovalnega tveganja – eden ključnih stebrov delovanja finančne institucije. Banke morajo ves čas zagotavljati ustrezno višino kapitala, s katero lahko obvladujejo spremembe v poslovnem okolju.

Kapitalska ustreznost pomeni, da ima organizacija dovolj kapitala za pokrivanje nepričakovanih izgub, ki lahko izhajajo iz nihanj, ki jih povzročajo druge vrste tveganj.

Po svetovni finančni krizi v letih 2007–2009 je baselski odbor za bančni nadzor (Basel Committee on Banking Supervision, odbor organov za bančni nadzor, ki so ga ustanovili guvernerji centralnih bank) pripravil vrsto pravil o kapitalski ustreznosti za banke v evropski uniji. Dodatno navodilo temelji na posameznih delih teh pravil.

Dodatno navodilo pomaga notranjemu revizorju razumeti različne vrste kapitala, bistvene elemente pri načrtovanju višine kapitala, vključno s pripravljenostjo za prevzemanje tveganj (t. i. risk appetite), pa tudi pristope k modeliranju različnih vrst tveganj in količnikov, ki omogočajo spremljanje stanja banke, ter izvajanje stresnih testov.

Uvodnim opredelitvam (vrste kapitala: ekonomski in regulatorni, opredelitve kreditnega, likvidnostnega, tržnega in operativnega tveganja) sledi podroben opis načrtovanja ustrezne višine kapitala: od določanja strategije do ocenjevanja in upravljanja tveganj pri tem procesu.

V navodilu je opisan tudi proces kreiranja stresnih testov, kjer notranji revizor lahko npr. presoja kakovost podatkov. Stresni testi so sicer namenjeni preverjanju pripravljenosti za prevzemanje tveganj (t. i. risk appetite) in meja sprejemljivosti tveganj (t. i. risk tolerance), ponujajo v prihodnost usmerjeno (forward- looking) presojo tveganj in pomagajo pri kreiranju notranjih kontrol za obvladovanje tveganj. Pri izvajanju stresnih testov se upošteva vrsta predpostavk; dodatno navodilo vsebuje primer stresnega testa za recesijo (padec uvoza, upad BDP-ja, zviševanje stopnje brezposelnosti, obrestnih mer …).

Dokument v nadaljevanju opisuje minimalne kapitalske zahteve oziroma zahteve iz prvega stebra, dodatne kapitalske zahteve oziroma zahteve iz drugega stebra in zahteve po blažilnikih.

Kapitalsko tveganje torej pomeni spremljanje sestavin kapitala, kapitalskih zahtev in količnikov kapitalske ustreznosti. Notranji revizor pri poslu s tega področja lahko pregleda upravljanje banke, politike in procese, vključno z okvirom za obvladovanje tveganj, in na tej podlagi da zagotovilo, da je proces obvladovanja kapitalskega tveganja znotraj regulatornih okvirov.

2.4. Revidiranje upravljanja likvidnostnega tveganja za banke

Revidiranje upravljanja likvidnostnega tveganja za banke (Auditing Liquidity Risk Management for Banks)8 je Dodatno navodilo za finančni sektor, ki je izšlo avgusta 2022. Gre za drugo izdajo dokumenta z enako vsebino, prva je iz leta 2017.

Likvidnost je eden temeljnih stebrov solventnega finančnega sektorja (poleg kreditnega in deželnega, tržnega, zavarovalnega in kapitalskega tveganja). Po finančni krizi, ki se je začela 2007, je postalo tveganje likvidnosti eno pomembnejših tudi z vidika regulacije oz. nadzora. Okvir, ki ga uporabljajo banke za prepoznavanje, merjenje in poročanje likvidnostnega tveganja, vsebuje 17 načel za upravljanje in spremljanje tega tveganja, ki jih lahko porazdelimo v štiri ključne skupine: temeljna načela, upravljanje, merjenje, razkritja.

Načela pravijo, da mora organizacija vzpostaviti sistem upravljanja likvidnostnega tveganja, pri čemer mora biti upravljanje usklajeno s pripravljenostjo za prevzemanje tveganj (t. i. risk appetite), mejami sprejemljivosti tveganj (t. i. risk tolerance) in strateškimi cilji banke. Pri vzpostavitvi sistema lahko organizacija uporabi Model treh linij, po katerem sistem politik, ključnih odločitev, rednega spremljanja in nadziranja prevzame odbor za upravljanje naložb in sredstev (t. i. AlCO, Asset and liability committee).

Dokument našteva ključne osebe, ki so lahko vključene v odbor in način poročanja odbora. Notranji revizor lahko sodeluje kot opazovalec brez pravice glasovanja. Tako spremlja način dela, presoja, ali ustrezni organi dobijo vse informacije, potrebne za odločanje, in je seznanjen s poročili o spremljanju likvidnostnega tveganja.

Za upravljanje in merjenje likvidnostnega tveganja se uporabljata količnik likvidnostnega kritja (Liquidity Coverage Ratio – lCR) in količnik neto stabilnega financiranja (Net Stable Funding Ratio – NSFR).

Notranji revizor lahko v zvezi s tem preveri primernost metodologije, ki omogoča izračunavanje količnikov, način spremljanja količnikov, rezultate analiz, poročanje o odmikih in odzive na odmike. Pomembno je spremljanje vplivov drugih tveganj na uresničitev likvidnostnega tveganja.

Skladno z baselskim okvirom mora banka redno komunicirati o informacijah o obvladovanju likvidnostnega tveganja, notranji revizor pri tem lahko presoja doseganje strateških ciljev banke, zanesljivost računovodskih poročil, uspešnost in učinkovitost procesov, varovanje sredstev ter skladnost s predpisi.

Dokument ima vrsto prilog: od slovarja, načel baselskega okvira glede upravljanja in nadzora likvidnostnega tveganja do primerov tveganj in notranjih kontrol, vezanih na likvidnost.

2.5. Revidiranje odzivanja in okrevanja po kibernetskem incidentu

Revidiranje odzivanja in okrevanja po kibernetskem incidentu (Auditing Cyber Incident Response and Recovery)⁹ je Dodatno navodilo oz. Globalna smernica za revizijo tehnologij, ki je izšla junija 2022.

Število kibernetskih napadov se redno povečuje, prav tako pa so orodja za odkrivanje ranljivosti vedno bolj dovršena. Tej vrsti tveganj je izpostavljena vsaka organizacija, posledice so lahko odtekanje podatkov, finančne posledice, odtujevanje virov in vpliv na ugled.

Med najpomembnejšimi notranjimi kontrolami za obvladovanje kibernetskih tveganj so:

• načrt odziva ob uresničitvi tveganja (načrt naj bo redno testiran); prepoznavanje incidentov (in analiza podatkov);
• komuniciranje (ob uresničitvi tveganja);
• načrt okrevanja.

Kibernetska varnost se – skladno s tem dokumentom – nanaša na procese, pripravljene, da varujejo organizacijske vire (računalnike, omrežje, programe in podatke) pred nepooblaščenimi dostopi, uničenjem in motnjami. Termin združuje tako informacijsko kot tudi IT varnost. Grožnje lahko prihajajo izven organizacije ali nastajajo v organizaciji.

Notranja revizija lahko že v fazi načrtovanja preveri:

• ali je organizacija vzpostavila sistematičen pristop k prepoznavanju, načrtovanju odgovorov na kibernetska tveganja;
• ali so jasno opredeljene vloge in odgovornosti posameznikov v skupini za okrevanje; ali se redno analizirajo incidenti;
• ali so v načrt okrevanja vključene tudi tretje stranke;
• ali so pripravljeni protokoli za komuniciranje ob uresničitvi tveganja; ali se organizacija lahko dovolj hitro odzove na grožnje;
• ali se vzpostavljeni sistemi redno testirajo in posodabljajo.

V svetu se uporabljajo različni okviri, ki med drugim vsebujejo opise notranjih kontrol za upravljanje tveganj kibernetskih incidentov:

• CobiT 2019,¹⁰
• NisT 800-53,¹¹
• NisT Framework for improving Critical infrastructure Cybersecurity,¹²
• Cis Controls verison 8¹³.

Poleg naštetih okvirov je kar nekaj Dodatnih navodil GTAG, ki prav tako pokrivajo to področje. Notranji revizor lahko npr. presodi, ali so v načrte vključeni ključni viri organizacije, kako se je komuniciralo o morebitnih odkritih incidentih in ali so se pri tem upoštevale morebitne zahteve regulatorjev.

V fazi načrtovanja naj notranji revizor razmisli o vplivu morebitnega kibernetskega incidenta na doseganje ciljev organizacije in na sisteme, na katere bi napad lahko (najbolj) vplival. Ključni sistemi naj bi bili seveda vključeni v načrt okrevanja. Dodatno navodilo ponuja korake za štiri prej naštete ključne notranje kontrole (iz globalno uveljavljenih okvirov in drugih navodil GTAG), ki notranjemu revizorju olajšajo pripravo delovnega programa posla.

Pravočasni odziv na kibernetski napad zagotavlja zaupnost, celovitost in razpoložljivost podatkov, kar je eden temeljnih ciljev vsake organizacije.

Celoten članek je dostopen za naročnike!