1980. američko gospodarstvo je pretrpilo nekoliko skandala vezanih uz štedno-kreditne zadruge (S & Ls – Savings & Loans Crisis). Javno mnijenje i zainteresirani regulatori zahtijevali su promjene kako bi se spriječilo da se takve vrste katastrofa ponovno pojave. Kao rezultat toga 1985. formirano je Nacionalno povjerenstvo za prijevarno financijsko izvještavanje kako bi se proučili uzročni čimbenici koji mogu dovesti do financijske prijevare te kako bi se razvile preporuke za javna poduzeća, neovisne revizore, Komisiju za vrijednosne papire (SEC) te druga regulatorna tijela i obrazovne institucije.
Jedan od glavnih zaključaka povjerenstva bio je da je najbolji način za spriječavanje velikih financijskih prijevara poboljšanje internih kontrola.
COSO model internih kontrola
COSO definira interne kontrole kao proces kojeg provodi menadžment, dizajniran kako bi osigurao prihvatljivo jamstvo za ostvarivanje ciljeva u:
(1) djelotvornosti i učinkovitosti poslovanja,
(2) pouzdanosti financijskog izvještavanja i
(3) usklađenosti važećih zakona i propisa.
COSO model internih kontrola koristi pet elemenata internih kontrola:
(1) kontrolno okruženje,
(2) procjena rizika,
(3) kontrolne aktivnosti,
(4) informiranje i komuniciranje te
(5) monitoring.
Kontrolno okruženje
Koliki je rizik pogrešnog prikazivanja koji se pojavljuje u subjektu i njegovom okruženju?
Element kontrolnog okruženja je prikaz internih kontrola iz perspektive subjekta, uključujući i okruženje za poslovne procese i kontrole koje se kreira interno te utjecaje okruženja na sposobnost da se uspostavi i/ili održava učinkovit sustav internih kontrola. Neki od načina na koji kontrolno okruženje može biti procijenjeno s obzirom na rizike povezane s kontrolnim okruženjem uključuju:
– Komunikacija i provedba integriteta i etičkih vrijednosti,
– Predanost kompetentnosti,
– Sudjelovanje onih koji su zaduženi za upravljanje,
– Filozofija i stil menadžmenta,
– Organizacijska struktura,
– Dodjela ovlasti i odgovornosti,
– Politike i prakse upravljanja ljudskim potencijalima,
– Industrijski čimbenici.
Razmatranje navedenih elemenata COSO modela je vrlo vrijedno financijskim revizorima. Financijski revizori su dužni steći razumijevanje o subjektu i njegovom okruženju, kako bi se utvrdio rizik pogrešnog prikazivanja povezan s tim aspektom financijskih izvještaja, a COSO model je iznimno vrijedan kao alat za to.
Procjena rizika
Da li je subjekt dao djelotvoran napor da se identificiraju rizična područja koja bi omogućila pojavu materijalno značajnih grešaka?
Aspekt procjene rizika u COSO modelu, općenito, odnosi se na sposobnost Društva da pravilno procijeni rizike i da, glavne (“značajne”) rizike, ublaži na prihvatljivu razinu primjenom kontrola. Neki od raznih načina na koji se subjekt može suočiti s rizikom te stoga i područja u kojima treba razvijati kontrole i/ili postupke koji pozitivno utječu na subjektov sustav kontrola su:
– Promjene u radnom okruženju,
– Novo osoblje,
– Novi ili obnovljeni informacijski sustavi,
– Brzi rast,
– Nova informatička tehnologija,
– Novi poslovni modeli, proizvodi ili aktivnosti,
– Korporativno restrukturiranje,
– Proširenje inozemnog poslovanja,
– Nove računovodstvene objave.
Ako menadžment subjekta nije aktivan u procjeni i ublažavanju rizika, ovaj će aspekt kontrolnog sustava biti manjkav u određenoj mjeri.
Informiranje i komuniciranje
Da li subjekt ima dostatne kontrole kako bi se osiguralo pravodobno i odgovarajuće obavještavanje o materijalno značajnim greškama, ako i kada se dogode?
Informacije financijskog izvještavanja ne samo da bi trebale biti pouzdane, nego i trebaju biti pravodobno i točno komunicirane prema menadžerima i donositeljima odluka. Dakle, u cjelini, ovaj se vid kontrole suočava s učinkovitom komunikacijom i prosljeđivanjem informacija iz sustava financijskog izvještavanja te kontrolama koje te aktivnosti čine učinkovitima. Neki od brojnih načina na koji informiranje i komuniciranje može biti procijenjeno s obzirom na rizike povezane s tim aktivnostima su:
– Sustavi za podršku identifikaciji, snimanju i razmjeni informacija u formi i vremenskom okviru koji će omogućiti osoblju da obavi svoje dužnosti,
– Informacije financijskog izvještavanja,
– Informacije internih kontrola,
– Interna komunikacija,
– Vanjska komunikacija.
Kontrolne aktivnosti
Postoje li kontrole dostatne da, u cjelini, učinkovito ublaže rizik značajnog pogrešnog prikaza u financijskim izvještajima na prihvatljivu razinu?
Kontrolne aktivnosti su stvarne kontrole. Neki od raznih načina za procjenu kontrolne aktivnosti uključuju:
Opće kontrole:
– Politike i postupci koji se odnose na pruženu uslugu/prodan proizvod
– Kontrole nad podrškom (posebice nad računalnim sustavima i operacijama, mrežama, itd.),
– Promjene sustava povezane s temeljnim poslovnim procesima,
– Zaštita okoliša,
– Razvoj aplikacija, održavanje i dokumentiranje,
– Sigurnost informacija,
– Oporavak od katastrofe.
Primijenjene kontrole:
– Testovi kontrola,
– Kontrole ugrađene u raznim aplikacijama kako bi se zadovoljilo politike i postupke menadžmenta za obavljanje poslovnih procesa.
Fizičke kontrole:
– Odobrenje postupka,
– Razdvajanje dužnosti (ako je primjenjivo, i kod IT osoblja),
– Nadzor,
– Revizijski trag,
– Pristup kontrola sustavu i podacima,
– Neovisne provjere (izvješća uspješnosti, neovisni pregledi, revizije, prijave pogrešaka (tzv. error logs), itd.).
Kontrole se procjenjuju na tri razine: učinkovitost dizajna, implementacija i operativna učinkovitost.
Učinkovitost dizajna se odnosi na sposobnost kontrole da ublaži rizik i osigura adekvatne kontrole nad određenim poslovnim procesom ili da osigura provođenje politika u poslovnim procesima. Kontrola bi trebala biti u stanju pravodobno otkriti značajne pogrešne prikaze ili greške.
Druga razina je da li je kontrola zaista implemetirana. To je moguće odrediti putem prolaska kroz kontrole (tzv. walkthrough).
Treća razina je da li se, na stalnoj osnovi, ta kontrola izvodi kako je dizajnirana. Uobičajeno, kako bi to odredili financijski i IT revizori koriste testove kontrola. Ova razina je tema petog elementa internih kontrola, monitoringa.
Kontrole se također kategoriziraju prema području ili aspektu subjekta kako slijedi: opće kontrole, primjenjene kontrole i fizičke kontrole. Opće kontrole su kontrole koje općenito utječu na računalne sustave (informacijski sustavi) i informacijske tehnologije koje su angažirane od strane subjekta za obavljanje dužnosti (poslovni procesi) povezanih s aktivnostima financijskog izvještavanja. Primjenjene kontrole su računalne kontrole ugrađene u tehnologijama i sustavima koji su namijenjeni za osiguravanje provođenja politika i postupaka u poslovnim procesima.
Monitoring
Da li subjekt ima sustav praćenja aktivnosti kako bi se kontinuirano vrednovala i poboljšavala učinkovitost njegovih internih kontrola?
Monitoring, kao što je već spomenuto, se odnosi na sposobnost subjekta da prati učinkovitost kontrola, dok se svakodnevno obavlja poslovanje, samostalno i u suradnji s drugim kontrolama. Neki od brojnih načina ocjenjivanja kontrola nad monitoringom učinkovitosti kontrola s obzirom na rizik povezan s tim aktivnostima su:
– Kontinuirane i zasebne procjene internih kontrola nad financijskim izvještavanjem,
– Prepoznavanje nedostataka i izvještavanje o njima,
– Procjena kvalitete izvedbi internih kontrola kroz vrijeme,
– Postavljanje postupaka kako bi se po potrebi izmjenio kontrolni sustav (dodavanje, izmjena, brisanje postupaka),
– Osiguravanje učinkovitog upravljačkog pregleda stanja kontrolnog sustava,
– Provjera nedostataka sustava monitoringa, koji teži tome da omogući ljudima da smanje pažnju na kontrole,
– Korištenje relevantnih vanjskih podataka ili neovisnih promatrača,
– Analiziranje ciljeva kontrole i njihovih povezanih kontrolnih aktivnosti,
– Pregled promjena kontrola od datuma posljednjeg izvještaja ili u posljednjih 12 mjeseci.
Zaključak
U IT revizijskom okruženju imperativ je da IT revizori znaju kako primijeniti COSO model internih kontrola. To uključuje ne samo razumijevanje komponenti i drugih aspekata modela, kao što su međuorganizacijski pristup, nego i kako se razvijaju smisleni i učinkoviti revizijski postupci kao što su upiti ili promatranja.
Institut za interne kontrole 
Rasprava
Nijedan komentar do sada.