Uvodno

Na dinamičnom poslovnom tržištu uslijed povećane globalne konkurencije, manjka investicijskih sredstava, u tvrtkama se sve više stvaraju preduvjeti za počinjenje prijevara i različitih drugih zlonamjernih radnji. U cilju njihovog otkrivanja i sprečavanja, nužno je uspostaviti efikasan sustav interne kontrole i upravljanja rizikom, kao dio cjelokupnog sustava internog nadzora. Zadatak uspostavljanja i provođenja interne kontrole u nadležnosti je menadžmenta, koji će na taj način osigurati uvjete za opstanak i razvoj tvrtke u skladu s definiranim poslovnim ciljevima, a s druge strane potencijalnim investitorima pružiti pouzdane i točne informacije o financijskom položaju i uspješnosti poslovanja tvrtke.

Pojam i funkcioniranje sustava interne kontrole

U financijskoj literaturi postoje brojne definicije interne kontrole, od kojih je najraširenija prihvaćena definicija interne kontrole koju je dao Committe of Sponsoring Organizations of the Treadway Commission (COSO).

Prema COSO (1992g.) interna kontrola definirana je kao proces kojeg oblikuje uprava, menadžment i ostali djelatnici kako bi se osiguralo razumno uvjerenje o ostvarenju ciljeva u sljedećim područjima: učinkovito i uspješno poslovanje, pouzdano financijsko izvještavanje, usklađenost sa zakonima i propisima.

Svrha uvođenja internih kontrola ogleda se u unapređenju poslovnih procesa, financijskog upravljanja i odlučivanja, te postizanju generalnih ciljeva kao na primjer:

• osiguranje ekonomičnog i efikasnog poslovanja
• usklađenost poslovanja sa poslovnim planovima, programima rada, zakonima, propisima, etičkim normama
• zaštita imovine i drugih resursa od financijskih gubitaka, nepravilnosti, prijevara
• pravodobno financijsko izvještavanje i praćenje rezultata poslovanja

No, osim menadžmenta interna kontrola bi u određenoj mjeri trebala zapravo biti odgovornost svih zaposlenih u tvrtki. Tako na primjer: uloga računovođe značajna je prilikom dizajniranja internih kontrolnih postupaka koji osiguravaju primjenu propisa i ostvarivanje ciljeva tvrtke, uloga internih revizora  je značajna u procjeni učinkovitosti internih kontrola.

Ovisno o područjima u kojima se provode, interne kontrole možemo podijeliti na:

1. administrativne ili izvršne kontrole vezane uz temeljne poslovne funkcije
2. računovodstvene kontrole vezane uz računovodstveni proces, odnosno usmjerene prema prevenciji sprečavanja nezakonitih, nepravilnih postupaka
3. upravljačke kontrole vezane uz upravljačke funkcije

Učinkovitost sustava interne kontrole može biti narušena:

• pogreškama zaposlenika zbog nestručnosti, krivog tumačenja uputa, nezainteresiranosti
• tajnim sporazumima npr. između menadžmenta i zaposlenika, zaposlenika i trećih osoba, zaposlenika i članova interne revizije
• kršenjem članova uprave

Zbog teškog otkrivanja zlouporaba interne kontrole od članova uprave i tajnih sporazuma, u srednjim i velikim tvrtkama najčešće dolazi do različitih oblika prijevara.

Sustav internih kontrola

U međunarodnoj praksi razvijeno je nekoliko modela interne kontrole. Među najznačajnijim je COSO model internih kontrola koji je postao svjetski priznat okvir za utvrđivanje i upoznavanje sistema internih kontrola. COSO okvir sastoji se od pet međusobno povezanih komponenti, a koje uključuju: kontrolno okruženje, procjenu rizika, kontrolne aktivnosti, informacije, komunikacije i monitoring (nadzor).

Kontrolno okruženje

Sukladno COSO okviru polazna točka za provođenje kontrolnih aktivnosti u tvrtki je kontrolno okruženje, odnosno uvjeti u kojima se kontrola provodi. Ova komponenta osigurava uvjete za učinkovito djelovanje internih kontrola i posebno je značajna  jer se na njoj temelje sve ostale komponente interne kontrole. Postoji mnogo faktora koji utječu na uvjete u kojima se provodi kontrola kao što su: poštenje i etičke vrijednosti, stručnost menadžmenta i svih ostalih zaposlenika, filozofija i stil upravljanja menadžmenta, upravljanje ljudskim potencijalima, način dodjeljivanja ovlasti i odgovornosti itd... Pri formiranju kontrolnog okruženja posebno je važan integritet i etičke vrijednosti menadžmenta. Potrebno je usvojiti interne kodekse ponašanja i procedure za cjelokupnu organizacijsku strukturu, o tome obavijestiti sve zaposlenike, te konstantno jačati njihovu implementaciju, kako bi se spriječili pokušaji zaposlenika da se uključe u nezakonite, nepoštene, neetičke radnje.

Zadatak menadžmenta je uspostaviti i nadzirati sustav interne kontrole tako što će osigurati:

-          neovisnost u odnosu na menadžment

-          ustroj koji omogućuje primjerene uvjete planiranja, provedbe kontrole i nadzora poslovanja

-          prijenos ovlaštenja i odgovornosti

-          razdvajanje dužnosti u pogledu ovlasti za pripremu, obradu, evidentiranje, plaćanje i kontrolu

-          sustav dvostrukog potpisa

-          pravila zaštite imovine i informacija

-          postupke pravilnog, potpunog, točnog i ažurnog evidentiranja svih poslovnih transakcija

-          postupke praćenja financijskog upravljanja i kontrola

-          postupke upravljanja ljudskim potencijalima

-          kadrovsku politiku koja će pri zapošljavanju novih djelatnika primijeniti visoke standarde stručnosti, prednost dati obrazovanijim osobama s radnim iskustvom i  dokazima o poštenju i etičkom ponašanju (velik broj pogrešaka prema istraživanjima, proizlazi iz kadrovskih problema, nedovoljnog računovodstvenog znanja i pogrešaka u prosuđivanju)

Pri uspostavi sustava interne kontrole, nužno je voditi računa i o troškovima, odnosno sustav treba omogućiti ostvarenje definiranih ciljeva, a da pri tome troškovi ne budu veći od očekivane koristi.

Procjena rizika

Nakon definiranja poslovnih ciljeva i uspostavljanja odgovarajućeg kontrolnog okruženja potrebno je identificirati i analizirati relevantne unutarnje i vanjske rizike kojima je tvrtka izložena, te poduzeti odgovarajuće mjere za učinkovito upravljanje rizicima. Sukladno COSO okviru upravljanje rizicima na razini tvrtke je proces izvršavan od menadžmenta i drugih zaposlenika primijenjen u postavljanju strategije i kroz tvrtku, dizajniran kako bi identificirao potencijalne događaje koji mogu utjecati na tvrtku kako bi upravljao rizicima koji trebaju ostati na prihvatljivoj razini, te kako bi se pružilo razumno uvjerenje u postizanju poslovnih ciljeva tvrtke. Procjena rizika financijskog izvještavanja uključuje određivanje, analizu i upravljanje različitim faktorima koji su relevantni za pripremu objektivnih financijskih izvještaja, sukladno opće prihvaćenim računovodstvenim načelima.

Rizici kojima su tvrtke izložene su veći kada posluju u uvjetima kontinuiranih promjena zakonskih normi, čestih promjena zaposlenika, pri uvođenju novih informacijskih tehnologija, proširivanja inozemnog poslovanja, korporativnog restrukturiranja...

Nedostaci u funkcioniranju internih kontrola češći su u tvrtkama koje su manje, manje profitabilne, imaju složenija poslovanja, koja ubrzano rastu ili su u fazi restrukturiranja, imaju veći računovodstveni rizik, više ostavki revizora, te manje resursa za internu kontrolu.

Zadatak menadžmenta je procijeniti rizike pri oblikovanju odgovarajućih sustava internih kontrola, kako bi mogućnost pogrešaka i prijevara reducirala na minimalnu mjeru.

Sukladno Međunarodnim revizorskim standardima prijevara može obuhvatiti manipuliranje, falsificiranje ili preinaku knjiženja ili isprave, pogrešan prikaz ili namjerno izostavljanje događaja, transakcija, ili drugih značajnih informacija iz financijskih izvještaja, namjerno pogrešno primjenjivanje računovodstvenih načela...

Kontrolne aktivnosti

Kontrolne aktivnosti – aktivnosti kontrole podrazumijevaju politike i postupke kojima se osigurava da sve potrebne radnje u vezi s upravljanjem rizicima budu poduzete za ostvarivanje ciljeva tvrtke. Kontrolne aktivnosti usmjeruju se na:

• provjeru računovodstvenih sustava
• kontrolu informacijskih sustava
• fizičku kontrolu
• kontrolu podjele dužnosti

Provjera računovodstvenih sustava obuhvaća kontrolne postupke: obavljanje neovisne provjere rada pojedinaca ili djelovanje postupaka u sustavu poput analitičke provjere povezanosti informacija o poslovanju i financijama, istraživanje neočekivanih razlika…

Kontrole informacijskih sustava obuhvaćaju opću kontrolu i kontrolu računalnih programa.

Opća se kontrola odnosi na sveobuhvatne uvjete obrade podataka (središnju obradu, nabavu i održavanje programa), dok se kontrola softwarea odnosi na pojedinačne programe koji osiguravaju potpunost i točnost obrade poslovnih događaja.

Fizička kontrola provjerava primjerenost fizičke zaštite objekata, odobrenja pristupa programima i bazama podataka, uz povremenu inventuru imovine i usporedbu s kontrolnom evidencijom.

Kontrola podjela dužnosti mora biti izvršena na način da se razdvoji odgovornost za odobravanje poslovnih događaja i njihovo računovodstveno praćenje kako bi se spriječilo da jedna osoba učini i prekrije različite nepravilne i nezakonite radnje.

Informiranje i komuniciranje

Sukladno COSO okviru informacije su neophodne za učinkovito i uspješno poslovanje, pripremu pouzdanih financijskih izvještaja, te za postizanje usklađenosti sa zakonima i propisima. Stoga je potrebno prikupiti sve relevantne informacije koje se koriste na svim razinama u tvrtki i pravodobno ih distribuirati u obliku koji podržava ciljeve financijskog izvještavanja  i omogućuje zaposlenicima obavljanje njihovih zaduženja.

Monitoring (nadzor)

Kako bi se osiguralo postizanje ciljeva interne kontrole menadžment treba provjeravati njezin rad stalnim nadzorom ugrađenim u svakodnevno poslovanje tvrtke (upravljačke ili kontrolne aktivnosti) ili pojedinačnim procjenama koju obavljaju interni revizori ili drugi zaposlenici u sustavu nadzora interne kontrole. Opseg i učestalost nadzora ovisiti će o efikasnosti postojećeg sustava internih kontrola i ocjeni rizika koja proizlazi iz promijenjenih okolnosti poslovanja.

Pisani kodeks ponašanja donijeti će više benefita velikim tvrtkama, s obzirom da je u većim sustavima teško naglašavati načela etičkog ponašanja usmenim putem. U manjim tvrtkama gdje je vlasnik često i menadžer smanjuje se rizik zbog njegove konstantne uključenosti u nadzor poslovanja, dok je u većim organizirana interna revizija kojoj je zadatak nadziranje i ocjena sustava internih kontrola.

No, bez obzira na veličinu tvrtke zadatak interne kontrole je osigurati ostvarenje zacrtanih  ciljeva tvrtke, te je zaštititi od svih potencijalnih rizika kako bi se pravodobno izbjegli mogući problemi u poslovanju.

Prema COSO –ovom izvještaju tvrtke su uložile velika financijska sredstva za poboljšanje kvalitete sustava internih kontrola. Posebno se ističu dva razloga: interna kontrola pomaže tvrtkama u ostvarivanju operativnih, financijskih i ciljeva usklađenosti, te je većina tvrtki obvezna izvještavati o kvaliteti interne kontrole nad financijskim izvještavanjem.

Odgovornost menadžmenta za interne kontrole

Menadžment je odgovoran za održavanje sustava internih kontrola nad financijskim izvještavanjem (Internal Controls over Financial Reporting - ICFR) koji omogućuje razumno uvjeravanje o vjerodostojnosti financijskog izvještavanja i pripreme financijskih izvještaja za svrhe izvan tvrtke, u skladu s opće prihvaćenim računovodstvenim načelima. Komisija za vrijednosne papire Securities Exchange Commission – SEC SAD-a  je 2003.g. usvojila pravila za interne kontrole nad financijskim izvještavanjem radi implementiranja članka 404 Sarbanes-Oxley zakona, koji zahtijeva da menadžment obavlja godišnju procjenu da li su interne kontrole efikasne u pružanju razumnog uvjeravanja o vjerodostojnosti financijskih izvještaja, te da svoju ocjenu objavi investitorima. Interne kontrole nad financijskim izvještavanjem (ICFR) ne mogu pružiti apsolutnu sigurnost zbog svojih inherentnih ograničenja. To je proces koji uključuje ljudsku marljivost i usklađenost, te podliježe pogrešnim odlukama i prosudbama koje proizlaze iz ljudskih neuspjeha. Također, ICFR se može zaobići ako su zaposlenici u tajnom dosluhu ili nema odgovarajućeg stava menadžmenta. Zbog takvih ograničenja, ICFR ne može spriječiti ili otkriti sve pogrešno prikazane podatke, nenamjerne greške ili prijevare.

Interna kontrola kao prva linija obrane

Stručnjaci različitih profila (interni revizori, stručnjaci za upravljanje rizikom, istražitelji prijevara..) sve više kroz timski rad koordiniraju svoje aktivnosti kako bi pomogli svojim tvrtkama u upravljanju rizikom.

U cilju ostvarivanja jednostavne i efikasne komunikacije po pitanjima rizika i kontrole uvodi se tzv. model „tri linije obrane“ (IIA, 2013) koji obrazlaže ključne uloge i zadatke pojedinih grupa u organizaciji. Tim modelom kreiran je novi pogled na poslovanje, koji podržava kontinuiranu uspješnu inicijativu za upravljanje rizikom, a može se prilagoditi svakoj tvrtki, bez obzira na njezinu veličinu i složenost poslovanja. Uvođenjem modela „tri linije obrane“ pitanja rizika i kontrole se mogu učiniti jasnijim, te pomoći unapređenju efikasnosti sustava upravljanja rizikom čak i u tvrtkama gdje okvir za upravljanje rizikom nije formalno uspostavljen.

Prema modelu „tri linije obrane“ (IIR, 2013) možemo razlikovati tri stupnja (linije) kroz koje se postiže efektivno upravljanje rizikom. Na prvom mjestu to su tzv. „vlasnici rizika“ koji operativno provode upravljanje rizikom, na drugom stupnju to su funkcije pomoću kojih se obavlja nadzor rizika (kontroling, revizijski odbor ), i kao treći stupanj funkcije koje pružaju nezavisno mišljenje (interna revizija).

Kao prva linija obrane operativni menadžment odgovoran je za uspostavljanje efikasnog sustava internih kontrola i funkcioniranje utvrđenih postupaka za kontrolu rizika na dnevnoj bazi. Također, operativni menadžment identificira, procjenjuje, upravlja i ublažava rizik, kroz razvijanje i primjenu internih politika i procedura koje će osigurati održivost aktivnosti iz svoje nadležnosti sa postavljenim zadacima i ciljevima. Sa druge strane, na srednjoj razini odgovornosti, menadžment osmišljava i uvodi detaljne procedure za kontrolu i nadzor nad postupcima koje izvršavaju zaposlenici. Stoga se kontrole uspostavljaju sa ciljem da nadgledaju usklađenost i osiguraju uvid u slabosti definiranih kontrola, neprihvatljivost procesa i nastanak neočekivanih događaja.

Svaki računovodstveni sustav treba da uspostavi i energično provodi efikasne interne kontrole osnovne, dodatne oblike i procedure, te i više od onoga što je obavezno da bi se poslovanje obavljalo bez ikakvih smetnji. Dodatni postupci služe da spriječe i otkriju greške (nenamjerne) i sve oblike (namjerne) neiskrenosti zaposlenih, klijenata, dobavljača, pa čak i samih menadžera.

Zaključno

Neminovno je da sustav interne kontrole, uz ostale komponente nadzora poslovnim subjektima donosi brojne beneficije, od prevencije i sprečavanja različitih oblika prijevara u poslovanju, osiguravanja pouzdanog i točnog financijskog izvještavanja... Stoga je njegova efikasna primjena od iznimnog značaja. U konačnici, vjerodostojni financijski izvještaji omogućiti će pravovremeno donošenje ključnih poslovnih odluka za opstanak i daljnji razvoj poslovanja, kao i pružiti potencijalnim investitorima potpuniju i realniju sliku o financijskom poslovanju. Ali, nikako nezanemarivo olakšati trajanje i opseg poreznog nadzora, a što je u zajedničkom interesu i poreznog tijela i poreznog obveznika.

Bernard Iljazović