COSO okvir je model koji se sastoji od pet komponenata unutarnje kontrole. COSO definira interne kontrole kao proces kojeg provodi menadžment, dizajniran kako bi osigurao prihvatljivo jamstvo za ostvarivanje ciljeva u:

  • djelotvornosti i učinkovitosti poslovanja,
  • pouzdanosti financijskog izvještavanja i
  • usklađenosti važećih zakona i propisa.
  • Kao što je važno da rukovoditelji razumiju svoju ulogu u sustavu unutarnjih kontrola i financijskog upravljanja, važno je da se na pravilan način shvati i razumije uloga ustrojstvenih jedinica nadležnih za financije.

Sustav unutarnjih kontrola provodi se putem pet međusobno povezanih komponenti unutarnjih kontrola koje obuhvaćaju:

  1. kontrolno okruženje;
  2. upravljanje rizicima;
  3. kontrolne aktivnosti;
  4. informacije i komunikacija;
  5. praćenje i procjenu.

Svaka od navedenih komponenti sadrži načela, metode i postupke koje organizacije odnosno obveznici sustava provode poštujući zakonske i podzakonske propise te uvažavajući specifičnosti svojih institucija.

KONTROLNO OKRUŽENJE

Svojevrstan preduvjet za razvoj kvalitetnih sustava unutarnjih kontrola je okruženje kojim je moguće upravljati, odnosno koje je moguće kontrolirati. Okruženje podrazumijeva etičke vrijednosti, integritet i kompetentnost zaposlenika, način rukovođenja i stil upravljanja, postojanje planskog pristupa poslovanju, uređenu organizacijsku strukturu s jasno definiranim ovlastima i odgovornostima za realizaciju funkcija, postavljenih ciljeva i upravljanje sredstvima.

ZAHTJEVI

  • Komunikacija i provedba integriteta i etičkih vrijednosti,
  • Predanost kompetentnosti,
  • Sudjelovanje onih koji su zaduženi za upravljanje,
  • Filozofija i stil menadžmenta,
  • Organizacijska struktura,
  • Dodjela ovlasti i odgovornosti,
  • Politike i prakse upravljanja ljudskim potencijalima,

Dekompozicija zahtjeva  „Kontrolnog okruženja“ podrazumijeva: etički kodeks, upravljanje ljudskim potencijalima, kompetencije i edukacije zaposlenika, praćenje uspješnosti rada zaposlenika, postavljanje organizacijske strukture, ciljevi organizacije, komunikacija oko realizacije ciljeva, planski pristup poslovanju, misija i vizija, strateško planiranje, operativno planiranje organizacije, financijski planovi.

  • Proces upravljanja ljudskim potencijalima (zapošljavanje, izobrazba i edukacije, utvrđivanje kompetencija zaposlenika, vođenje kadrovskih evidencija)
  • Proces poslovno odlučivanje (čelna osoba)
  • Proces izrade strateškog plana
  • Proces izrade i donošenja financijskog plana (plan poslovanja),
  • Proces obrazloženja financijskog plana (ukoliko je primjenjivo)

DODATNI ZAHTJEVI I DOKUMENTI KOMPONENTE

  • Strateški plan sa elementima EOQ metodologije izrade
  • Organizacijska shema korisnika sustava sa jasno utvrđenim ovlastima i odgovornostima
  • Dodijeljene ovlasti i odgovornosti zaposlenicima i razdvajanje dužnosti
  • Praćenje kompetencija i edukacija zaposlenih kroz izvještaje sa edukacija, certifikate i dr.
  • Etički kodeks (gdje je primjenjivo)
  • Financijski plan/proračun povezan sa strateškim planom
  • Obrazloženje financijskog plana povezano sa strateškim planom (gdje je primjenjivo)
  • Izjava o misiji, viziji i ciljevima
  • Prelazak na procesnu organizaciju
  • Izvještavanje o stanju sustava unutarnjih kontrola u javnom sektoru i unutarnje revizije (samoprocjena, izjava o fiskalnoj odgovornosti, izvješće o nepravilnostima)

UPRAVLJANJE RIZICIMA

Aspekt procjene rizika u COSO modelu, općenito, odnosi se na sposobnost Obveznika sustava da pravilno procijeni rizike i da, glavne (“značajne”) rizike, ublaži na prihvatljivu razinu primjenom kontrola. Obveznik sustava ovisno o razvijenosti sustava unutarnjih kontrola (FMC) treba rizike promatrati u pojedinim segmentima, odnosno razdijeliti ih na Strateške i Operativne kako bi se omogućilo jednostavnije upravljanje rizicima. Razvoj sustava unutarnjih kontrola zahtijeva i razvoj upravljanja rizicima na jedan sustavan način stvaranjem takvog okruženja u kojem će rasprava o rizicima biti dio svakodnevnog poslovanja. Koliko je razvijeno upravljanje rizicima toliko su razvijene kontrolne aktivnosti, koje su onda usmjerene i na osiguranje realizacije postavljenih ciljeva, a ne samo na osiguranje zakonitosti i pravilnosti.

Ciklus upravljanja rizicima se kontinuirano odvija, a obuhvaća utvrđivanje rizika, procjenu njihove vjerojatnosti i učinka, poduzimanje mjera kao odgovor na rizike, dokumentiranje podataka o najznačajnijim rizicima te praćenje i izvješćivanje o rizicima.

Upravljanje rizicima omogućava donošenje kvalitetnijih odluka, bolje predviđanje i optimiziranje raspoloživih sredstava, bavljenje prioritetima te izbjegavanje budućih problema koji se mogu pojaviti prilikom realizacije postavljenih ciljeva.

ZAHTJEVI

  • Mogućnost utjecaja na promjene u radnom okruženju
  • Procjena rizika kadrova u organizaciji i korištenih informatičkih sustava
  • Utvrđivanje rizika prilikom razvoja novih tehnologija i metoda rada
  • Utvrđivanje rizika koji utječu na ostvarenje strateških, programskih, projektnih i operativnih ciljeva organizacije
  • Procjena rizika, definiranje načina odgovora na rizike, imenovanja osoba odgovornih za upravljanje rizicima, kreiranje registra rizika, kontinuiran rad na smanjenju/ublažavanju ili otklanjanju rizika organizacije
  • Definiranje i izrada Strategije upravljanja rizicima
  • Uspostava sustava izvještavanja o rizicima i načinu revidiranja Registra rizika

Dekompozicija zahtjeva  „Upravljanja rizicima“ podrazumijeva: utvrđivanje rizika koji utječu na ciljeve obveznika sustava, podjelu  i strukturiranje rizika, objektivni sustav procjene rizika, dokumentiranje svih podataka o rizicima, implementaciju mehanizama/mjera za smanjenje/ublažavanja ili otklanjanje rizika, uspostava sustava izvještavanja o rizicima.

  • Proces planiranja (izrada proračuna/financijskog plana, izrada plana upravljanja itd.)
  • Proces realizacije investicijskih projekata i stručnog vrednovanja opravdanosti i učinkovitosti projekta
  • Proces izrade plana nabave
  • Proces izrade planova održavanja
  • Proces izvještavanja (izvještaji na planske dokumente, izvještaji na kolegijima upravnog tijela – proces sjednica upravnog tijela).

DODATNI ZAHTJEVI I DOKUMENTI KOMPONENTE

  • Utvrđivanje rizika obveznika sustava u svakom pojedinom procesu s obzirom na ciljeve procesa (glavni rizici svakog pojedinog procesa koji se vežu na aktivnosti i utječu na realizaciju cilja procesa)
  • Podjela rizike po vrstama – strateški i operativni (gdje je primjenjivo)
  • Imenovanja osoba odgovornih za rizike (primjenjivost ovisi o važećoj zakonskoj regulativi domicilnog obveznika sustava)
  • Procjena rizika implementacijom univerzalne formule – R=V*S*(D) ; (proširenja formule se implementiraju gdje je primjenjivo) i implementacijom pripadajuće matrice rizika
  • Izrada i uspostava dokumenta „Registar rizika“ koji sadrži potrebne zakonom propisane elemente ali temeljno sadrži: naziv rizika, izračun rizika, mjere za utjecaj na rizik, odgovorne osobe u sustavu upravljanja rizicima, terminski plan procjene registra
  • Integracija registra rizicima zajedno sa sustavima u nadležnosti temeljnog obveznika sustava (općina-proračunski korisnik). Napomena: zahtjev se ispunjava sukladno potrebi obveznika sustava i važeće zakonske regulative države u kojoj se sustav implementira
  • Izrada dokumenta Strategije upravljanja rizicima
  • Implementacija izvještavanja o rizicima u svim procesima i dokumentima izvještavanja u okviru planskih procesa obveznika sustava
  • Primjena zakonskih smjernica za upravljanje rizicima iz nadležnosti obveznika sustava

KONTROLNE AKTIVNOSTI

Kontrolne aktivnosti su stvarne kontrole koje imaju za cilj procijeniti jesu li postojeće kontrole dostatne da ublaže rizik koji je značajan na prihvatljivu razinu. Kontrolne aktivnosti obuhvaćaju brojne postupke i mjere koje obveznici sustava poduzimaju radi smanjenja rizika, a u svrhu realizacije postavljenih ciljeva poslovanja. Svrha kontrolnih aktivnosti je osigurati zakonitost i pravilnost u poslovanju, ekonomično, učinkovito i djelotvorno raspolaganje prihodima, rashodima, imovinom i obvezama, odnosno spriječiti nezakonitosti i nepravilnosti, neovlaštena otuđenja i postupanja s imovinom i drugim resursima s kojima raspolaže obveznik sustava što je ujedno i zahtjev Izjave o fiskalnoj odgovornosti (gdje je primjenjiva Izjava o fiskalnoj odgovornosti). Da bi kontrolne aktivnosti bile učinkovite, treba ih dosljedno primjenjivati. Trebaju ih provoditi svi zaposlenici koji su uključeni u njihovu provedbu te se ne bi trebale izbjegavati odnosno zaobilaziti kada nisu prisutni ključni zaposlenici ili je opseg poslova prevelik.

ZAHTJEVI

  • Razvijanje procesne organizacije i postupaka koji utječu na isporuku usluge/proizvoda odnosno realizaciju misije obveznika sustava,
  • Kontrola i sigurnost Informacijskih sustava unutar organizacije obveznika sustava,
  • Uspostava poslovnih procesa, definiranje postupka izmjene procesa, održavanje procesa i dokumentiranje,
  • Implementacija i testiranje kontrola unutar poslovnih procesa sustava i revizijski trag,
  • Ugradnja elemenata za odobravanje procesa i postupaka unutar poslovnih procesa sustava,
  • Primjena načela razdvajanja dužnosti u poslovnim procesima,
  • Definiranje grupe procesa kontrolinga (interna revizija itd.),
  • Provedba neovisnih provjera nad primjenom poslovnih procesa i kontrola u procesima sustava,

Dekompozicija zahtjeva  „Kontrolnih aktivnosti“ podrazumijeva: uspostavu pisanih pravila, procedura i postupaka,  uklapanje tijeka procesa u zakonske okvire, definiranje kontrola u ključnim procesima, definiranje procedure odobrenja procesa i postupka, korištenje metodologije razdvajanja dužnosti  u procesima, definiranje procedure koja prati načine odstupanja od primijenjenih procesa unutar sustava, definiranje procesa i postupak koji osiguravaju zaštitu imovine i informacija, primjena postupaka koji osiguravaju naplatu potraživanja, stvaranja ugovornih obveza, evidentiranje poslovnih transakcija, pripadajuću izobrazbu zaposlenika o uspostavi poslovnih procesa u organizaciju, provedbu kontinuiranih kontrola procesa u sustavu i primijenjenih kontrola.

  • Proces strateškog planiranja i financijskog planiranja (izrada proračuna)
  • Proces stvaranja ugovornih obveza
  • Procesi nabave
  • Proces upravljanja imovinom
  • Proces naplate prihoda
  • Procesi za povrat pogrešno uplaćenih proračunskih sredstava (gdje je primjenjivo)
  • Proces knjigovodstva (evidencija poslovnih događaja i transakcija)
  • Proces zaprimanja roba, radova i usluga
  • Proces kontrole isplate donacija, pomoći, subvencija
  • Proces zaprimanja, provjere i plaćanja računa
  • Proces davanja suglasnosti, jamstva (za zaduživanje, za stvaranje ugovornih obveza itd. Proces se ubacuje u sustav gdje je primjenjiv)
  • Proces održavanja imovine
  • Proces upravljanja IKT sustavima (zaštita i sigurnost informatike)
  • Proces investicijskih projekata i stručnom vrednovanju opravdanosti i učinkovitosti investicijskog projekta
  • Proces godišnjeg popisa imovine i obveza, te knjigovodstveno evidentiranje utvrđenog stanja

DODATNI ZAHTJEVI I DOKUMENTI KOMPONENTE

  • Dokumentiranje kontrolnih aktivnosti putem kontrolnih (check lista), obrazaca ili formulara
  • Proceduralno određivanje ovlasti i odgovornosti unutar organizacije obveznika sustava
  • Izrada i uspostava pisanih internih procesa i procedura
  • Definiranje ovlasti i odgovornosti u kontrolama unutar pisanih procesa i procedura
  • Kontrola realizacije procesa kod povezanih organizacija (proračunski korisnici, vlastito osnovana trgovačka društva i druge pravne osobe)
  • Odobravanje poslovnih procesa i postupaka od strane Čelnika
  • Uspostava prethodnih i naknadnih kontrola u procesima (npr prije realizacije plana u tijeku planiranja i nakon realizacije plana u vidu praćenja realizacije cilja procesa)
  • Definiranje procedure odobrenja transakcija, plaćanja, zakonitosti, svrsishodnosti ulaganja unutar poslovnih procesa
  • Evidentiranje i uspostava sustava definiranja iznimaka od primjene pojedinog procesa
  • Ovlasti i odgovornosti moraju biti jasno definirane, formalno utvrđene i dodijeljene radnicima u organizaciji
  • Primjena načela razdvajanja dužnosti unutar poslovnih procesa
  • Primjena sustava dvostrukog potpisa kod ključne dokumentacije (npr. ugovori, računi, zahtjevi za nabavu, nalozi za isplatu, itd.)
  • Provedba svih dostupnih mjera naplate potraživanja
  • Kontinuirana kontrola ugovora i sustava ugovaranja
  • Uspostava i kontrola ključnih financijskih poslovnih procesa
  • Upute za rad ili odgovarajuća izobrazba zaposlenika za razumijevanje i primjenu procesa unutar sustava
  • Praćenje primijenjenih kontrola
  • Poslovne transakcije trebaju biti pravilno dokumentirane i dokumentacija čuvana sukladno zakonskim aktima koji reguliraju područje iz djelokruga
  • Izvještavanje o utrošku i realizaciji projekata
  • Izvještavanje o utrošku namjenski dodijeljenih sredstava donacija, pomoći i subvencija
  • Provedba kontrola na licu mjesta upotrebom registra rizika
  • Pružanje pomoći i potrebnih informacija svim nadležnim inspekcijama prema potrebi

INFORMACIJE I KOMUNIKACIJA

Informacije i komunikacija su važan segment sustava pogotovo  u sferi financijskog izvještavanja i prenošenja podataka donositeljima odluka. Važnost informacija i komunikacijskih kanala kojima se informacije prenose izravno je vidljiva u procesu donošenja odluka. Kvaliteta informacije u smislu njene pravovremenosti, adekvatnosti, točnosti i dostupnosti, uvjetuje kvalitetu odluke. Da bi se moglo upravljati prihodima, rashodima, imovinom, obvezama, pratiti realizaciju postavljenih ciljeva, ostvarenih rezultata, analizirati odstupanja, donositi odluke, zaključke i sl. potrebni su adekvatni, pravovremeni, potpuni i točni podaci čijim se povezivanjem stvaraju informacije za potrebe odlučivanja. Važna je komunikacija unutar institucije (jasno postavljanje zadataka, praćenje realizacije, davanje uputa i smjernica, komunikacija između rukovoditelja i zaposlenika, komunikacija između povezanih odjela, službi, uprava, komunikacija između povezanih organizacija prve i druge razine i sl.) te komunikacija između različitih obveznika sustava.

ZAHTJEVI

  • Uspostava sustava za identifikaciju, snimanje  i razmjenu informacija u određenoj formi i vremenskom okviru
  • Uspostava sustava informacija financijskog izvještavanja
  • Uspostava sustava interne komunikacije
  • Uspostava sustava vanjske komunikacije

Dekompozicija zahtjeva  „Informacije i komunikacija“ podrazumijeva: razvijanje računovodstvenih sustava u smislu detaljnosti pružanja informacija i izvješća računovodstvenih sustava,  detaljnu razradu financijskih izvještaja, razvijanje sustava evidencija, postupna informatizacija računovodstvenih sustava i povezivanje sa drugim operativnim sustavima organizacije (npr sustav kadrovske), uspostavljanje  sustava riznice (gdje je primjenjivo), dokumentiranje sustava izradom procesa i procedura koje kao izlaz imaju informaciju koja je temelj za donošenje odluka i procedura čiji je izlaz određeni izvještaj, razdvajanje sustava unutarnjih kontrola  (FMC) od ISO sustava koji su primijenjeni u organizaciji koja je obveznik sustava, uspostava sustava arhiviranja dokumentacije sukladno važećim zakonskim aktima, definiranje sustava komunikacije unutar organizacije (između rukovoditelja i zaposlenika, između ustrojstvenih jedinica, komunikacija ustrojstvene jedinice za financije sa drugim ustrojstvenim jedinicama, komunikacija s povezanim organizacijama, komunikacija s drugim obveznicima uspostave  sustava, komunikacija s korisnicima usluga odnosno zainteresiranom javnošću.

  • Procesi računovodstvenih sustava (proces knjigovodstva, procesi vezani uz informatizaciju računovodstva, procesi vezani uz financijsko izvještavanje)
  • Procesi internog i vanjskog izvještavanja
  • Proces riznice (gdje je primjenjivo)
  • Proces zaprimanja, otpreme, arhiviranja dokumentacije
  • Procesi komunikacije na različitim razinama (rukovoditelj-zaposlenik, ustrojstvene jedinice-financije, organizacija-povezane organizacije, organizacija-javnost, korisnici usluga, organizacija-druge organizacije)

DODATNI ZAHTJEVI I DOKUMENTI KOMPONENTE

  • Procesno definiranje računovodstvenog sustava s naglaskom na izvještavanje
  • Strukturiranje informacija i razdvajanje informacija koje su potrebne za donošenje odluka
  • Uspostava ključnih evidencija u sustavu
  • Informatizacija računovodstvenih sustava s naglaskom na izvještavanje
  • Uvođenje sustava riznice gdje je primjenjivo
  • Izrada pisanih procesa i procedura u sustavu, internih akata, izrada i uspostava Mape procesa
  • Izrada procesa i akata koji reguliraju arhiviranje dokumentacije obveznika sustava (npr. Pravilnik o zaštiti i čuvanju arhivskog i registraturnog gradiva)
  • Segmentarno definirati procese interne i vanjske komunikacije

PRAĆENJE I PROCJENA

Ova komponenta COSO okvira traži odgovor na pitanje da li obveznik sustava ima sustav praćenja aktivnosti kako bi se kontinuirano vrednovala i poboljšavala učinkovitost njegovih internih kontrola? Sustav unutarnjih kontrola zahtijeva kontinuirano praćenje u svrhu procjenjivanja njegova funkcioniranja, pravodobnog ažuriranja u slučaju promjene uvjeta i načina poslovanja te utvrđivanje mjera za kontinuirani razvoj sustava.

ZAHTJEVI

  • Procjene sustava internih kontrola sa pripadajućim izvještajima
  • Procjena internih kontrola u definiranim vremenskim intervalima
  • Prepoznavanje nedostataka sustava i izvještavanje o njima
  • Definiranje postupanja za dodavanje, brisanje, izmjenu procesa i procedura
  • Korištenje relevantnih vanjskih podataka i podataka promatrača
  • Analize ciljeva i kontrola unutar sustava
  • Evidentiranje promjena odnosno napredovanja od procjene do procjene.

Dekompozicija zahtjeva  „Praćenje i procjena“ podrazumijeva; definiranje aktivnosti stalnog praćenja sustava, provedba  samoprocjene sustava, izrada izjave o fiskalnoj odgovornosti, uspostava interne revizije (gdje je primjenjivo), prikupljanje informacija koje su nastale iz vanjskih revizija, provjera okvira za uspostavu sustava internih kontrola.

  • Proces samoprocjene sustava unutarnjih kontrola
  • Proces izrade izjave o fiskalnoj odgovornosti (gdje je primjenjivo)
  • Procesi interne revizije

DODATNI ZAHTJEVI I DOKUMENTI KOMPONENTE

  • Stalno praćenje kroz redovne aktivnosti upravljanja i nadgledanja aktivnosti zaposlenika koje procesno obavljaju unutar sustava u kategoriji zaposlenika, rukovoditelja službe/odjela i rukovoditelja više razine
  • Samoprocjena sustava unutarnjih kontrola (FMC)
  • Obavljanje samoprocjene davanjem izjave o fiskalnoj odgovornosti (gdje je primjenjivo)
  • Uspostava interne revizije i provedba revizija (gdje je primjenjivo)
  • Praćenje realizacije ciljeva strateškog plana, proračuna odnosno financijskog plana, operativnih planova
  • Praćenje sustava izvještavanja o realizaciji postavljenih ciljeva
  • Kontrola međusobnih odnosa i suradnje
  • Segmentarno definirati procese interne i vanjske komunikacije