Interne kontrole postaju sve značajnije kod korisnika budžetskih sredstava, koji sve više pažnje usmeravaju na efikasnost interne kontrole. Interne kontrole su veoma značajne i prilikom procesa revizije. Jedna od primarnih aktivnosti prilikom revizije finansijskih izveštaja, pored detaljnog upoznavanja sa organizacijom, jeste i razumevanje poslovnih procesa organizacije 
interne kontrole i njenog sistema.

UVOD

Interne kontrole postaju sve značajnije kod korisnika budžetskih sredstava, koji sve više pažnje usmeravaju na efikasnost interne kontrole. Interne kontrole su veoma značajne i prilikom procesa revizije. Jedna od primarnih aktivnosti prilikom revizije finansijskih izveštaja, pored detaljnog upoznavanja sa organizacijom, jeste i razumevanje poslovnih procesa organizacije, interne kontrole i njenog sistema.

Kako bi se obezbedilo poslovanje u skladu i na način kako to propisuje zakonodavac, saglasno MSR 315 – Identifikovanje i procena rizika materijalno pogrešnih iskaza putem razumevanja entiteta i njegovog okruženja, uslov koji omogućava ostvarenje zadatih ciljeva kod različitih korisnika budžetskih sredstava jeste uspostavljena funkcija interne kontrole.

Sistematizacijom svakog budžetskog korisnika definisani su glavni poslovni procesi, odnosno način na koji će sama organizacija funkcionisati. Na primer, kod apotekarskih ustanova potrebno je uspostaviti proces nabavke robe, proces skladištenja, prodaje, finansijskog izveštavanja itd., dok kod budžetskih korisnika koji imaju i svoju proizvodnju treba definisati način nabavke sirovina, proces skladištenja, proces proizvodnje, prodaje itd. Nakon uspostavljanja glavnih poslovnih procesa implementiraju se kontrolne aktivnosti koje su direktno vezane za poslovne procese, kako bi adekvatno odgovorile na rizike vezane za te poslovne procese.

Implementiran sistem internih kontrola predstavlja jedan od načina kojim se obezbeđuje funkcionisanje budžetskog korisnika, na način na koji je to predviđeno i kako je to definisao zakonodavac, zbog čega se svaka aktivnost budžetskih korisnika posmatra dvojako. Prvo se posmatra način na koji je definisana aktivnost da ostvari zadate ciljeve (na primer, cilj procesa nabavke je izrada određene konkursne dokumentacije i poštovanje zakona o javnim nabavkama), a zatim se, kao drugi ugao posmatranja same aktivnosti, proverava da li je tako teorijski dizajniran proces implementiran, odnosno da li je sproveden u skladu sa postavljenom zakonskom regulativom.

Svaki sistem kontrole u osnovi ima za cilj da postigne ili zadrži određeno željeno stanje. Interne kontrole predstavljaju procese koji obezbeđuju ostvarenje ciljeva postavljenih od naredbodavaca time što omogućavaju efikasnu i ekonomičnu upotrebu resursa, obezbeđuju pouzdano finansijsko izveštavanje i poslovanje budžetskih korisnika u skladu sa zakonima, propisima, poslovnim politikama, etičkim kodeksom itd. Interna kontrola, bez obzira na način dizajna i same implementacije, može biti samo uveravanje menadžmentu o ostvarenju postavljenih ciljeva, zbog toga što, pored interne kontrole, na odvijanje poslovnih procesa utiču i mnogi drugi faktori.

1. KOMPONENTE INTERNIH KONTROLA

Prema COSO modelu, interne kontrole se sastoje od pet komponenata, a to su: kontrolno okruženje, procena rizika, kontrolne aktivnosti, informacija i komunikacija i monitoring – nadzor. 

Kontrolno okruženje predstavlja stavove, svest i akcije naredbodavaca kod korisnika budžeta. Deo je kulture same organizacije budžetskog korisnika i utiče na to kako će se rizik posmatrati i kakva će biti sama svest o kontroli kod zaposlenih u samoj organizaciji.  Posebno je važno zbog uticaja na finansijske izveštaje, a njegova neefikasnost može ugroziti efikasnost drugih kotrola.  

Procena rizika je sledeća značajna komponenta interne kontrole, jer da bi sistem interne kontrole bio efektivan potrebno je da se razumeju i kontinuirano procenjuju rizici koji ugrožavaju ostvarenje ciljeva organizacije. Procena treba da pokrije sve rizike kojima je poslovna organizacija izložena, kao i njihovo stalno revidiranje. Prilikom procene rizika treba obuhvatiti interne faktore (veličinu i kompleksnost organizacije, prirodu poslova, kvalitet i kompetencije zaposlenih itd.) i eksterne faktore  (promenljivi tržišni uslovi, promene u industriji, tehnološki 
napredak itd), koji negativno utiču na ostvarenje ciljeva budžetskog korisnika koji se odnose na poslovanje, informacije i usaglašenost.  

Kontrolne aktivnosti uključuju dva elementa – politiku i procedure. Politikom se definiše šta treba postići, a procedurom način na koji se to postiže. Postoji širok spektar kontrolnih 
aktivnosti. Na primer, razdvajanje i dužnosti se različitim osobama dodeljuju dužnosti evidentiranja, autorizacije i nadzora i time se smanjuje mogućnost grešaka, njihovog prikrivanja ili drugih nedozvoljenih radnji.

Informisanje i komunikacija – Informacioni sistem entiteta, relevantan za finansijsko izveštavanje i komunikaciju, podržava identifikaciju, prikupljanje i razmenu informacija u obliku i vremenskom okviru koji omogućava pojedincima da izvršavaju obaveze vazane za finansijsko izveštavanje. Informacijoni sistem se sastoji od hardvera i softvera, ljudi, procedura i podataka. Entitet odlučuje o politikama i donosi procedure koje se bave: evidentiranjem transakcija i događaja koji su značajni za finansijsko izveštavanje, kao i postupcima vezanim za pripremu finansijskih izveštaja ulogama i odgovornosti pojedinaca u sistemu finansijskog izveštavanja.

Nadzor rukovodstva nad kontrolama sprovodi se radi razumevanja da li one funkcionišu onako kako su definisane. Nadzor nad kontrolama može obuhvatiti brojne aktivnosti, kao što je na primer, ocena internih revizora o tome da li zaposleni u određenom entitetu budžetskog korisnika sprovode definisanu politiku organizacije. Nadzor se obavlja kako bi se ustanovilo da li su kontrole efikasne i da li efektivno funkcionišu. Lica uključena u proces nadzora pružaju informacije o funkcionisanju interne kontrole, tj o njenim snagama i slabostima, i daju preporuke za unapređenje njenog sistema. Informacije o funkcionalnosti internih kontrola mogu se prikupljati iz internih i eksternih izvora. Interni izvori su sve vrste nadzora koje se sprovode u samoj organizaciji, dok eksterni izvor informacija može biti implicitna potvrda kupca o podacima na fakturi, njenim plaćanjem ili podnošenjem žalbi. 

Takođe, mogu se razmatrati i saopštenja revizora koja se odnose na 
interne kontrole. 

2. RAZUMEVANJE PROCESA INTERNIH KONTROLA

Revizija finansijskih izveštaja ima za cilj da iskaže mišljenje o pouzdanosti finansijskih izveštaja određenog poslovnog entiteta. Mišljenje revizora se posmatra kao odgovor na pitanje: da li finansijski izveštaji prikazuju realno stanje i promene imovine, kapitala i obaveza na svim materijalno značajnim pozicijama. Mišljenje revizora može biti pozitivno, sa rezervom, uzdržavajuće i negativno. Pozitivno mišljenje revizor donosi kada dođe do zaključka da finansijski izveštaji, po svim materijalno značajnim pozicijama, prikazuju istinit i objektivan prikaz u skladu sa okvirom za finansijsko izveštavanje. Mišljenje sa rezervom se iskazuje kada revizor ne može da izrazi pozitivno mišljenje, odnosno kada efekat grešaka nije od takvog materijalnog značaja da bi revizor iskazao negativno ili uzdržavajuće mišljenje. Uzdržavajuće mišljenje se izražava kada revizor nije u mogućnosti da prikupi zadovoljavajući revizorski dokaz. Negativno mišljenje se iskazuje kada revizor dođe do zaključka da finansijski izveštaji ne predstavljaju stvarno stanje i da su u njima konstatovane materijalno značajne greške, ili da informacije dovode do pogrešnog zaključka ili su nepotpune.

Prilikom revizije finansijskih izveštaja, nakon prihvatanja angažmana, neophodno je razumevanje poslovnog subjekta i njegovog okruženja, uključujući i sistem internih kontrola. Revizor treba da razume internu kontrolu koja je za reviziju. Većina relevantnih kontrola tiče se finansijskog izveštavanja, ali nisu sve kontrole koje se odnose na finansijsko izveštavanje relevantne. Relevantnost kontrole, pojedinačno ili u kombinaciji sa drugim, zavisi od profesionalnog prosuđivanja revizora. Najčešće su relevantne one kontrole koje se odnose na poslovne procese povezane sa materijalno značajnim komponentama. Na primer, kako u najvećem broju privrednih subjekata prihodi predstavljaju komponentu koja je materijalno značajna, te bi prema tome i kontrole koje su vezane za poslovni proces prodaje i priznavanja prihoda bile relevantne, odnosno predmet procenjivanja revizora. U javnom sektoru rashodi predstavljaju materijalno značajnu komponentu, pa bi zbog toga kontrole vezane za proces priznavanja rashoda bile relevantne za procenu revizora.

Kontrole relevantne za proces revizije se odnose na one koje kontrolišu potpunost i tačnost informacija entiteta, ukoliko su one potrebne revizoru u procesu vršenja revizije, kao zaštitu sredstava od neovlašćenog pristupa i korišćenja podataka vezanih za finansijsko izveštavanje. U reviziji javnog sektora postoje i dodatne kontrole koje su relevantne za procenjivanje, kao što su one vezane za poštovanje utvrđenog kodeksa prakse ili zakona.

Kroz proces sticanja razumevanja internih kontrola relevantnih za reviziju revizor najpre procenjuje njihov dizajn, odnosno njihove karakteristike. Kada se utvrdi da je kontrola dobro dizajnirana, onda revizor procenjuje da li je implementirana, tj. da li se ona primenjuje. Pribavljanje revizorskih dokaza o dizajnu i primeni relevantnih kontrola može se postići na različite načine: kroz razgovor sa zaposlenima, proverom dokumentacije, posmatranjem samog procesa vršenja kontrole i praćenjem transakcija kroz informacioni sistem značajan za finansijsko izveštavanje. Razgovor sa zaposlenima ne predstavlja dovoljno pouzdan revizorski dokaz, ali u kombinaciji sa posmatranjem procesa, proverom dokumentacije ili praćenjem transakcija predstavlja adekvatan revizorski dokaz.

Relevantne interne kontrole revizor procenjuje prema navedenim osnovnim komponentama. Kontrolno okruženje samo po sebi nije preventiva i ne detektuje materijalno značajne greške, ali utiče na efektivnost ostalih komponenata kontrole. Procena kontrolnog okruženja uzima u obzir prirodu, veličinu i kompleksnost samog entiteta. Na primer, manji entiteti ne moraju da imaju propisani kodeks ponašanja, pa su njihove kontrole manje kompleksne u odnosu na velike entitete. Entiteti sa manje formalno postavljenim kontrolnim okruženjem teže i smanjenju prateće dokumentacije vezane za procese i kontrole, što može otežati posao revizoru prilikom prikupljanja dokaza o razumevanju kontrole i njene funkcionalnosti. Revizor, takođe, razmatra i izveštaje interne revizije i da li je entitet odgovorio na utvrđene nedostatke u sistemu internih kontrola relevantnih za reviziju. Ukoliko je entitet odgovorio, procenjuje se kako se te mere primenjuju i da li ih je naknadno vrednovala interne revizije.

3. RAZUMEVANJE KOMPONENATA INTERNIH KONTROLA OD STRANE REVIZORA

Postupak procene rizika entiteta predstavlja osnov na kome entitet utvrđuje rizike kojima će upravljati. Ukoliko je postupak procene rizika odgovarajući, revizor ga koristi prilikom utvrđivanja rizika od materijalno pogrešnog iskaza. Postupak procene rizika entiteta uključuje procenu poslovnog rizika koji utiče na fer prezentaciju finansijskih izveštaja, procenu značajnosti rizika, verovatnoću njegovog nastanka i odgovore na taj rizik. Na primer, da li je entitet propisao rizik koji se odnosi na propust u knjiženju određenih transakcija i, ako jeste, kako je na taj rizik odgovorio. Kod manjih poslovnih subjekata, kao i kod kontrolnog okruženja, postupak procene rizika je često manje formalan i kompleksan u odnosu na velika preduzeća. Menadžment je često u mogućnosti da procenjuje rizike kroz svakodnevne poslovne aktivnosti, kao i kroz interakciju sa zaposlenima i trećim stranama. Za razliku od manjih sistema, veliki sistemi uglavnom imaju formalne i kompleksne procese procene rizika, za koje su propisane politike i procedure kojih se zaposleni moraju pridržavati.

Razumevanje informacionog sistema relevantnog za finansijsko izveštavanje predmet je profesionalnog prosuđivanja revizora. U okviru razumevanja informacionog sistema potrebno je da se razumeju i poslovni procesi povezani sa informacionim sistemom, uključujući: klase transakcija koje su značajne za finansijsko izveštavanje; procedure, zajedno sa informacionim sistemom kojim se transakcije iniciraju, knjiže i procesuiraju kroz glavnu knjigu do finansijskih izveštaja; kako informacioni sistem obuhvata događaje, osim finansijskih transakcija, koji su takođe značajni za finansijsko izveštavanje; proces pripreme finansijskog izveštaja, značajne računovodstvene procene i napomene.

Nadzor nad kontrolama predstavlja proces procene efektivnosti interne kontrole tokom vremena. Procenu efektivnosti kontrole vrši menadžment, a uloga revizora je da ustanovi glavne aktivnosti koje menadžment preduzima radi nadgledanja internih kontrola. Kada entitet ima funkciju interne kontrole, ona podleže pod proces razumevanja entiteta i zajedno sa informacijama koje revizor upitom pribavi pruža informacije koje su neophodne revizoru za identifikaciju i procenu rizika od materijalno značajne greške.

Na primer, ako entitet ima funkciju interne revizije, sastavljenu od odgovarajućih kvalifikovanih pojedinaca, i ona ima definisan plan svojih aktivnosti, koji uključuje izvršenje revizije nad raznim procesima u okviru finansijskog izveštavanja, u tom slučaju revizor koristi informacije koje su nastale u sklopu razumevanja kontrola, kako bi procenio da li je u kombinaciji sa identifikovanim kontrolama proces nadzora funkcionalan. Kao dodatnu aktivnost revizor proverava: da li monitoring sprovode kompetentna lica; da li se slabosti identifikuju i kako se otklanjaju; koliko često se vrši monitoring i da li je efektivno; da li postoji određena dokumentacija kojom bi se osiguralo da se monitoring konzistentno primenjuje. Ovim revizor ustanovljava kako je monitoring dizajniran, a provera implementacije se vrši na sledeći način: prikupljaju se dokazi o kvalifikacijama sastava interne revizije, kao i dokazi o pripremi plana interne revizije i da li se on priprema na godišnjem nivou i da li uključuje reviziju nad finansijskim izveštavanjem.

U manjim, manje složenim organizacijama, aktivnosti monitoringa su uglavnom neformalne i mogu se posmatrati u okviru stalnog nadzora rukovodioca organizacije. Tako će revizorsko testiranje dizajna i implementacije, kao i kod ostalih komponenata interne kontrole, nad monitoringom uzeti u obzir prirodu, veličinu i kompleksnost organizacije. U evaluaciju monitoringa uključuje se i da li su procedure u organizaciji i monitoring adekvatno dizajnirani kako bi se postigao cilj menadžmenta u postavljanju i stalnom održavanju sistema interne kontrole.

4. INTERNE KONTROLE RELEVANTNE ZA REVIZIJU

Nakon sticanja razumevanja pomenutih pet komponenata interne kontrole, revizor određuje interne kontrole koje su relevantne za proces revizije, jer je to potrebno da bi ustanovio rizike za nastanak materijalno značajne greške i zatim definisao odgovarajuće procedure kojima bi odgovorio na postavljeni rizik.

Kontrole se razvrstavaju u nekoliko grupa i, zavisno kog su tipa, svaka od njih individualno je više ili manje pouzdana i utiče na procedure koje se propisuju za testiranje kontrola, kao i vreme koje je potrebno da se te procedure sprovedu. Određivanje koje su kontrole relevantne za proces revizije predstavlja profesionalno prosuđivanje revizora. Za izabranu relevantnu kontrolnu aktivnost ili kombinaciju više njih, revizor vezuje rizik za nastanak materijalno značajne greške.

Postoje određene kontrolne aktivnosti koje su uvek relevantne za reviziju finansijskih izveštaja, a to su: kontrola za koju su vezani rizici od nastanka materijalno značajne greške klasifikovani kao značajni; kontrolne aktivnosti na koje revizor planira da se osloni prilikom sprovođenja suštinskih procedura; kontrole koje su vezane za proces knjiženja, izuzetno prilikom knjiženja neuobičajenih transakcija.

ZAKLJUČAK

Zbog povećanja transparentnosti izvršenja budžeta, korisnici javnih sredstava, uslovljeni primenom kako nacionalnih tako i međunarodnih računovodstvenih standarda, imaju potrebu za 
prilagođavanjem procesa internih kontrola koje propisuju međunarodni standardi revizije. 

Ukoliko revizor ustanovi da su relevantne kontrolne aktivnosti dobro dizajnirane i efektivne, on odlučuje da se osloni na te kontrolne aktivnosti kako bi se obim suštinskih procedura prilikom revizije smanjio, čime je uzorkovanje u reviziji manje, ali dovodi do efikasnijeg vršenja procesa revizije, uz nepromenjeni nivo kvaliteta njenog izvršenja.