Επικαιροποίηση των Προτύπων IIA Standards Update Π. Βαλαντάσης, CBM, FCCA, CISA (μέλος ΔΣ ΕΙΕΕ (έφορος) Χ. Ξύδης, MSc Internal Auditing, CRMA, CFE (Διοικητικός Διευθυντής ΕΙΕΕ)
Τα Πρότυπα είναι κρίσιμα Σκιαγραφούν τις βασικές αρχές που διέπουν τις πρακτικές του Εσωτερικού Ελέγχου Ορίζουν ένα πλαίσιο εκτέλεσης και διευρύνουν την προστιθέμενη αξία του Εσωτερικού Ελέγχου Καθορίζουν μία βάση για την αξιολόγηση του τρόπου λειτουργίας του Εσωτερικού Ελέγχου 2
Γιατί αλλάζουν τα Πρότυπα? Τα Πρότυπα πρέπει για να αντικατοπτρίζουν τις διεθνείς εξελίξεις στην οικονομία και την κοινωνία σε θέματα διακυβέρνησης που αφορούν το επαγγελματία Εσωτερικό Ελεγκτή. Η πολιτική του διεθνούς Ινστιτούτου (ΙΙΑ) απαιτεί την περιοδική (το αργότερο ανά 3 έτη) επισκόπηση των Προτύπων. Οι συνεχείς αλλαγές είναι ένα κύριο χαρακτηριστικό στη διαρκή εξέλιξη των Προτύπων. 3
1978 5 Γενικά Πρότυπα 25 Ειδικά Πρότυπα 2002 Το ΕΙΕΕ μεταφράζει και εκδίδει τα Πρότυπα αυτά το 2007. 2009 2011 2013 4
2009 Η σ ύ σ τ αση / προτροπή ( should ) γίνεται υποχρέωση ( must ) 4 νέα πρότυπα Αλλαγές στο Κανονισμό Τμημάτων ΕΕ Επικοινωνία με το Διοικητικό Συμβούλιο Διακυβέρνηση Πληροφορικής (ΙΤ) Διαχείριση Κινδύνου Απάτης Έμφαση στην καλύτερη επεξήγηση (interpretation) των προτύπων Νέα μορφή 5
ΝΕΑ Πρότυπα (2009) 1010 Ο κανονισμός λειτουργίας πρέπει να τονίζει σαφώς την υποχρεωτική φύση του Ορισμού Εσωτερικού Ελέγχου, του Κώδικα Δεοντολογίας και των Προτύπων. Ο επικεφαλής εσωτερικού ελέγχου πρέπει να συζητά για τον Ορισμό Εσωτερικού Ελέγχου, τον Κώδικα Δεοντολογίας και τα Πρότυπα με την διοίκηση και το συμβούλιο. 1111 Άμεση σχέση με το Συμβούλιο Ο επικεφαλής εσωτερικού ελέγχου πρέπει να επικοινωνεί και να συνεργάζεται άμεσα με το συμβούλιο. 6
ΝΕΑ Πρότυπα (2009) συν. 2110.A2 Διακυβέρνηση Η λειτουργία εσωτερικού ελέγχου πρέπει να αξιολογεί εάν η διακυβέρνηση των πληροφοριακών συστημάτων υποστηρίζει και συμβάλλει στην επίτευξη των στρατηγικών και αντικειμενικών σκοπών του 7 οργανισμού. 2120.A2 Διαχείριση Κινδύνων Η λειτουργία εσωτερικού ελέγχου πρέπει να εκτιμά την πιθανότητα ύπαρξης απάτης και τον τρόπο με τον οποίο ο οργανισμός διαχειρίζεται τον κίνδυνο απάτης. 7
2011 3 νέα πρότυπα Διαχείριση Προσδοκιών Γνώμη Εσωτερικού Ελέγχου: για ολόκληρο τον Οργανισμό ή ένα συγκεκριμένο έργο Ευθύνη για την καταλληλότητα του Εσωτερικού Ελέγχου όταν αυτός είναι outsourced Αλλαγή στον ορισμό «Προστιθέμενη αξία» 2 πρότυπα διαγράφονται 8
ΝΕΟ Πρότυπο 2010.A2 2010.A2 Προγραμματισμός Ο επικεφαλής εσωτερικού ελέγχου πρέπει να προσδιορίζει και να λαμβάνει υπόψη του τις προσδοκίες της ανώτερης διοίκησης, του συμβουλίου και λοιπών ενδιαφερόμενων μερών για τη διατύπωση γνώμης και άλλων συμπερασμάτων εσωτερικού ελέγχου. 9
ΝΕΟ Πρότυπο 2070 2070 Πάροχος Εξωτερικών Υπηρεσιών και Οργανωσιακή Ευθύνη για τον Εσωτερικό Έλεγχο Όταν ένας εξωτερικός φορέας παρέχει υπηρεσίες για τη λειτουργία του εσωτερικού ελέγχου, είναι υποχρεωμένος να επισημαίνει στον οργανισμό ότι ο οργανισμός είναι υπεύθυνος για τη διατήρηση μίας αποτελεσματικής δραστηριότητας εσωτερικού ελέγχου. 10
ΝΕΟ Πρότυπο 2450 2450 Συνολική Γνώμη Όταν εκδοθεί μια συνολική γνώμη, πρέπει να λαμβάνει υπόψη τις προσδοκίες της ανώτερης διοίκησης, του συμβουλίου και των λοιπών ενδιαφερόμενων μερών και πρέπει να υποστηρίζεται από επαρκείς, αξιόπιστες, σχετικές και χρήσιμες πληροφορίες. 11
2013 Έμφαση σε 5 σημεία Αποσαφήνιση αρμοδιοτήτων για τη συμμόρφωση με τα Πρότυπα Έμφαση στη Διασφάλιση & Βελτίωση Ποιότητας Ο ρόλος του Επικεφαλής Εσωτ. Ελέγχου σχετικά με τη κοινοποίηση μη αποδεκτών κινδύνων Απαίτηση για έγκαιρη αναθεώρηση του Προγράμματος ελέγχων Έμφαση στην κάλυψη κινδύνων που αφορούν στρατηγικούς στόχους Αλλαγές στην Ορολογία 12
Αποσαφήνιση αρμοδιοτήτων για τη συμμόρφωση με τα Πρότυπα Προσθήκη του κάτωθι λεκτικού στην Εισαγωγή των Προτύπων: Τα Πρότυπα αφορούν τους Εσωτερικούς Ελεγκτές και τη λειτουργία εσωτερικού ελέγχου. Oλοι οι εσωτερικοί ελεγκτές πρέπει να λογοδοτούν ως προς τη συμμόρφωσή τους με τα Πρότυπα σχετικά με την ατομική τους αντικειμενικότητα, την επάρκεια γνώσεων και τη δέουσα επαγγελματική επιμέλεια. Επιπλέον, οι εσωτερικοί ελεγκτές πρέπει να λογοδοτούν ως προς τη συμμόρφωσή τους με τα Πρότυπα σχετικά με την εκτέλεση των επαγγελματικών τους καθηκόντων. Οι επικεφαλής εσωτερικού ελέγχου λογοδοτούν για τη συμμόρφωση με τα Πρότυπα συνολικά. 13 13
Έμφαση στη Διασφάλιση & Βελτίωση της 1312 - Εξωτερικές Αξιολογήσεις Ποιότητας Οι εξωτερικές αξιολογήσεις πρέπει να διεξάγονται τουλάχιστον μία φορά κάθε πέντε χρόνια από έναν πιστοποιημένο, ανεξάρτητο αξιολογητή ή ομάδα αξιολόγησης εκτός του οργανισμού. Ο επικεφαλής εσωτερικού ελέγχου πρέπει να συζητά με το συμβούλιο σχετικά με : Tη μορφή και τη συχνότητα διεξαγωγής εξωτερικών αξιολογήσεων και Τα προσόντα και την ανεξαρτησία του εξωτερικού αξιολογητή ή της ομά- δας αξιολόγησης, συμπεριλαμβανομένων των πιθανών συγκρούσεων συμφερόντων Επεξήγηση : Οι εξωτερικές αξιολογήσεις μπορεί να έχουν τη μορφή είτε εξ ολοκλήρου εξωτερικής αξιολόγησης είτε αυτο-αξιολόγησης με ανεξάρτητη όμως επικύρωση. 14 14
Προσθήκη επεξήγησης Έγκαιρη αναθεώρηση του Προγράμματος Ελέγχων 2010 - Προγραμματισμός Επεξήγηση : Ο επικεφαλής εσωτερικού ελέγχου πρέπει να επισκοπεί και να προσαρμόζει το πρόγραμμα ελέγχου, ανάλογα με τις αλλαγές στη δραστηριότητα, τους κινδύνους, τις λειτουργίες, τα προγράμματα, τα συστήματα και τα συστήματα εσωτερικού ελέγχου του οργανισμού. 15
Στρατηγικός Κίνδυνος 2120.A1 - Η λειτουργία εσωτερικού ελέγχου πρέπει να εκτιμά την έκθεση σε κινδύνους σχετικά με τα συστήματα διακυβέρνησης, τις λειτουργίες και τα πληροφοριακά συστήματα του οργανισμού, όσον αφορά (δες επόμενη σελίδα): 2130.A1 - Η λειτουργία εσωτερικού ελέγχου πρέπει να αξιολογεί την επάρκεια και την αποτελεσματικότητα των συστημάτων εσωτερικού ελέγχου ως προς την αντιμετώπιση κινδύνων σχετικά με τα συστήματα διακυβέρνησης, τις λειτουργίες και τα πληροφοριακά συστήματα του οργανισμού, όσον αφορά (δες επόμενη σελίδα): 16 16
Στρατηγικός Κίνδυνος συν. Την επίτευξη των αντικειμενικών σκοπών του οργανισμού. Την αξιοπιστία και ακεραιότητα της χρηματοοικονομικής και λειτουργικής πληροφόρησης. Την αποτελεσματικότητα και αποδοτικότητα των λειτουργιών και των προγραμμάτων. Τη διασφάλιση των περιουσιακών στοιχείων. Τη συμμόρφωση με νόμους, κανονισμούς, διαδικασίες και συμβάσεις. 17 17
Αποδοχή Κινδύνου 2600 Κοινοποίηση της Αποδοχής Κινδύνων Όταν ο επικεφαλής εσωτερικού ελέγχου συμπεράνει ότι η διοίκηση έχει αποδεχτεί έναν βαθμό κινδύνου στον οποίο δεν μπορεί να ανταποκριθεί ο οργανισμός, τότε ο επικεφαλής εσωτερικού ελέγχου πρέπει να συζητήσει το θέμα με την διοίκηση. Εάν το ζήτημα σχετικά με τον κίνδυνο δεν επιλυθεί, ο επικεφαλής εσωτερικού ελέγχου πρέπει να αναφέρει το θέμα στο συμβούλιο προς διευθέτηση. Επεξήγηση : Η αναγνώριση των κινδύνων που έχουν γίνει αποδεκτοί από τη διοίκηση μπορεί να γίνει μέσω ενός έργου διαβεβαίωσης ή ενός συμβουλευτικού έργου, παρακολουθώντας την πρόοδο των ενεργειών που υλοποιεί η διοίκηση ως αποτέλεσμα προηγούμενων έργων ή με άλλους τρόπους. Ο επικεφαλής εσωτερικού ελέγχου δεν είναι υπεύθυνος για την αντιμετώπιση του κινδύνου. 18 18
Πηγές Anderson U. & Dahle A. (2011), Implementing the International Professional Practices Framework, Updated 3rd Edition, The Institute of Internal Auditors Research Foundation (http://www.theiia.org/bookstore/media/pdf/1020.3_excerpt-ch1.pdf) The Institute of Internal Auditors (2010), 2010 IIA Standards Update, (http://www.iia.no/filestore/presentasjoner/2010-10-26standardswebinarfinal.pdf The Institute of Internal Auditors, Global (2010), 2010 IIA Standards Update, (https://global.theiia.org/standardsguidance/public%20documents/2012%20iia%20standards%20update.pptx) Protiviti (2009) Changes to the IIA Standards: What Board Members and Executive Management need to know (http://www.protiviti.com/en-us/documents/white- Papers/Risk-Solutions/IIA-Standards-WP.pdf) Protiviti (2009) Changes to the IIA Standards: What Do They Mean for Financial Institutions, Financial Services Industry Newsletter, Vol. 3, Issue 1 (http://www.protiviti.com/en-us/documents/newsletters/fs-insights/fsi-v3-issue1.pdf 19