Процес управљања ризицима подразумева документовање и информисање о ризицима, њиховој врсти, вероватноћи настанка и процени резултата, успостављање регистра ризика, увођење система извештавања о ризицима, именовање одговорних особа за праћење ризика и на крају израду стратегије о управљању ризицима. У мери у којој је развијено управљање ризицима биће развијене и контролне активности, а самим тим и осигурање реализације постављених циљева
На основу Закона о буџетском систему („Сл. гласник РСˮ, бр. 54/09, 73/10, 101/10, 101/11, 93/12, 62/13, 63/13 – исправка, 108/13 и 142/14), успостављање система за финансијско управљање и контролу обавезно је у свим организационим јединицама јавног сектора. Сви директни и индиректни корисници буџетских средстава, корисници средстава организација за обавезно социјално осигурање и јавна предузећа основана од Републике Србије, односно локалне власти, правна лица основана од тих јавних предузећа, односно сви корисници јавних средстава, у обавези су да у складу са Законом о буџетском систему успоставе систем финансијског управљања и контроле (ФУК).
У казненим одредбама овог закона нису предвиђене санкције уколико се не успостави систем ФУК-а, али прва ревизија Државне ревизорске институције констатоваће то као неправилност, тј. непоштовање закона.
Интерна финансијска контрола у јавном сектору јесте свеобухватан систем мера за управљање и контролу јавних прихода, расхода, имовине и обавеза, који успоставља Влада кроз организације јавног сектора с циљем да су управљање и контрола јавних средстава, укључујући и стране фондове, у складу с прописима, буџетом, и принципима доброг финансијског управљања, односно ефикасности, ефективности и економичности.
Основна начела интерне контроле заснивају се на добро успостављеним организационим техникама и праксама. Интерна финансијска контрола у јавном сектору обухвата све мере за контролисање свих државних/јавних прихода и расхода, имовине и обавеза. Обухвата све системе интерне контроле и процедуре у јавним институцијама и помаже у стварању сигурности да се јавна средства наменски троше.
Оквир система интерних финансијских контрола у јавном сектору састоји се од два функционално зависна дела:
1) финансијско управљање и контрола, као исказ потребе за јачањем управљачке одговорности;
2) интерна ревизија, као функционално независна и децентрализована помоћ руководиоцу корисника буџетских средстава.
Постоје разне методологије и приступи интерној контроли, али је најчешће коришћен COSO оквир.
Комисија спонзорских организација (The Committee of Sponsoring Organisations of the Treadway Commission, COSO) 1925. године објавила је документ Интерна контрола – интегрисани оквир, којим је интерна контрола дефинисана као процес који води управа, руководство и други запослени субјекти, обликован на начин да даје разумну сигурност у вези са остваривањем циљева у следеће четири категорије:
1) усклађеност с легислативом (законима и подзаконским актима);
2) поузданост финансијског и управљачког извештавања;
3) делотворност и ефикасност пословања;
4) заштита имовине.
Пет основних, међусобно повезаних елемената COSO оквира (контролно окружење, процена ризика, контролне активности, информације и комуникација и праћење) представљају комбинацију тзв. меких контрола које могу опстати и развијати се само уз строже традиционалније „чврсте контролеˮ.
Контролно окружење
Као део културолошке и историјске подлоге, контролно окружење у великој мери утиче на свест о контроли организације. Контролно окружење има пресудан утицај на одлуке и активности корисника буџета, с обзиром на то да је оно производ управљачког става према етичким вредностима и одговорном понашању. Једна од одговорних одлука руководства је минимизирање ризика на различитим нивоима одлучивања.
Ризик је било који догађај или проблем који би се могао догодити и неповољно утицати на постизање политичких, стратешких и оперативних циљева корисника буџета.
Процена ризика
Сваки корисник буџета суочава се с разним ризицима који потичу из екстерних и интерних извора, а ти ризици се морају проценити. Предуслов за процену ризика јесте утврђивање циљева на различитим нивоима.
Процена ризика је утврђивање и анализа ризика који утичу на остваривање циљева и чини основу за утврђивање начина управљања ризицима. С обзиром на то да се привредне, регулаторне и пословне околности стално мењају, неопходно је определити механизме за утврђивање и решавање посебних ризика повезаних с променама.
Ризике треба процењивати и њима управљати, а то се постиже утврђивањем, оцењивањем и праћењем догађаја који представљају претњу по остваривање мисије организације. За сваки утврђени ризик мора се одлучити хоће ли се ризик прихватити, смањити на прихватљив ниво или избећи, односно може ли се:
– утицати на све оно што штети угледу корисника буџета и смањује поверење јавности;
– спречити неправилно и незаконито пословање, али и неекономично, неефикасно или неделотворно управљање јавним средствима;
– предупредити непоуздано извештавање;
– адекватно реаговати на промењене околности на начин који спречава или умањује неповољне учинке у пружању јавних услуга.
Руководство треба да утврди све оперативне и контролне циљеве на свим нивоима организације. Контролни циљеви произлазе из четири сврхе интерне контроле (осигурати поузданост и интегритет података и информација, осигурати тачност, ваљаност и свеобухватност рачуноводствених и нерачуноводствених евиденција, осигурати усклађеност с пословним политикама, плановима, програмима рада, законским и другим прописима и актима, као и заштитити имовину и превентивно деловати и спречити преваре и грешке), па се стога изражавају на начин који одражава одговорности организационих јединица, руководилаца и свих запослених.
Процену ризика спроводи руководство на свакој идентификованој проценљивој јединици (процесу). Сврха процене ризика јесте брза анализа. Процена ризика је прелиминарна оцена адекватности контрола које постоје да би обезбедило:
– успешно остваривање мисије и циљева организације;
– оперативна ефективност, ефикасност и економичност;
– усаглашеност са законима, прописима, политикама, процедурама и смерницама;
– заштита средстава;
– тачно евидентирање, чување и извештавање о финансијским и другим подацима.
Након утврђивања свих оперативних и контролних циљева, неопходно је утврдити све ризике везане за сваки циљ, тачније, треба идентификовати догађаје који представљају потенцијалне претње по остваривање сваког циља. Ризици могу бити интерни (на пример, људска грешка) и екстерни (промене легислативе). Руководство треба да оцени сваки утврђени ризик у смислу њиховог учинка и вероватноће настанка на следећи начин:
– резултат представља утицај који би неки неповољни догађај имао по организацију у случају остваривања таквог догађаја; неповољни догађај може бити штета или изгубљена прилика;
– вероватноћа настанка показује колико је извесно да ће неки нежељени догађај настати, ако не би постојале контролне активности у циљу спречавања или смањивања ризика; вероватноћу настанка треба проценити за сваки идентификовани ризик.
Управљање ризицима укључује следеће:
– утврђивање и дефинисање оперативних и контролних циљева;
– утврђивање ризика (интерних и екстерних);
– процену утврђених ризика (резултат и вероватноћа);
– активности за смањење ризика у циљу остваривања циљева.
Врсте ризика
Пословно одлучивање у садашњим околностима догађа се у условима неизвесности и ризика. Услед динамичних промена привредног амбијента појављују се разноврсни ризици на које се у неким случајевима не може утицати, али и велики број ризика које је могуће контролисати и њима управљати.
Различити облици ризика с којима се сусрећу буџетски корисници могу се умањити, избегавати да би се повећала сигурност пословања.
Типични ризици с којима се суочава јавни сектор могу се представити на следећи начин:
– све што представља претњу постизању циљева јавног сектора или приликом пружања услуга грађанима;
– све што може нарушити углед институције или смањити поверење јавности;
– заштита од незаконитог пословања;
– непоштовање прописа (на пример, о заштити и сигурности на раду, заштити околине и сл.);
– неблаговремено реаговање на промене околности или немогућност управљања њима.
Наводимо неке од ризика с којима се суочавају министарства, владине организације и агенције:
– економске промене (нижа стопа привредног раста, смањени порески приходи и прилике да се пружи широк низ услуга, ограничена доступност или квалитет постојећих услуга);
– одсуство иновација (услуге које су испод стандарда у односу на друге услуге јавног или приватног сектора);
– губитак или незаконито присвајање средстава кроз проневеру или друге незаконите радње;
– кашњење или неуспешно увођење нове технологије (не одржава се корак с техничким развојем, или је инвестирано у неодговарајућу, односно погрешну технологију);
– тражња за услугама већа од очекиване (неминовно доводи до лошег квалитета пружених услуга);
– недоследни програмски циљеви (резултирају нежељеним резултатима);
– неуспешна оцена јавних пројеката пре увођења одређене нове услуге (доводи до проблема кад услуга постане у потпуности оперативна);
– јавне услуге нису повезане на месту њиховог пружања (на пример, савети везани за запошљавање и бенефиције за незапослене);
– неадекватне вештине или ресурси за пружање услуга (због неодговарајућих људских и техничких капацитета јавне управе);
– неадекватни планови за непредвиђене ситуације с циљем да се одржи континуитет услуга (произлазе из нефлексибилности, неприлагодљивости и ригидности јавног сектора);
– угрожавање животне средине кроз пропусте у прописима или владином инспекцијском режиму.
Подаци који се прикупљају кроз комуникацију разменом информација, морају бити што поузданији и свеобухватнији и у идеалном случају би требало да идентификују и инциденте који су се „замало десилиˮ и оне који су се заиста догодили. Уколико су расположиви подаци за период од три до пет година, тиме ће се умањити могућност краткорочних проблема који би представљали одступање од утврђеног тренда.
Руководилац за финансијско управљање и контролу одговоран је и задужен за идентификовање ризика, утврђивање његовог потенцијалног утицаја на одлучивање и ефикасно управљање. Постоје различити облици ризика с којима се сусрећу буџетски корисници, али се генерално сврставају у две категорије:
1) инхерентни ризик;
2) резидуални ризик.
Инхерентни ризик се може дефинисати као могући ризик неостварења мисије; општих и специфичних циљева; неефикасност и неделотворност у пословању; губитак или неовлашћено коришћење имовине; непоштовање закона, политика, процедура, смерница; нетачно евидентирање финансијских података или нетачно извештавање о њима.
Приликом анализирања инхерентног ризика, неопходно је размотрити:
– циљ и карактеристике активности;
– износ буџета и вредност ресурса;
– набавку робе и услуга;
– резултате/ризике ван организације;
– очекивани период активности;
– степен децентрализације и независности појединих организационих делова.
Резидуални ризик је „преосталиˮ ризик који постоји и после примењених мера за смањење и обраду ризика. Резидуални ризик показује колико су претходне одлуке за третирање ризика успешне. Уколико је резидуални ризик неприхватљиво велик, то значи да претходне одлуке нису биле ефикасне и да је неопходно применити додатне контроле, другачије третирати утврђени ризик, као и спровести додатне мере.
Резидуални ризик може се приказати на следећи начин:
Процес управљања ризицима подразумева документовање и информисање о ризицима, њиховој врсти, вероватноћи настанка и процени резултата, успостављање регистра ризика, увођење система извештавања о ризицима, именовање одговорних особа за праћење ризика и на крају израду стратегије о управљању ризицима.
Према одредбама Закона о буџетском систему, руководилац корисника буџета одговоран је за одређивање и остваривање циљева корисника буџета, али и за успостављање ефикасног система управљања ризицима који ће смањити могућност да се циљеви остваре. Руководиоци на различитим нивоима управљања одговорни су за извршавање циљева у оквиру својих надлежности, а самим тим и за управљање ризицима.
Неопходно је успоставити системски приступ управљању ризицима који укључује:
– именовање особе задужене за координацију активности у успостављању процеса управљања ризицима (одговорна особа за управљање ризицима);
– именовање особа задужених за прикупљање информација о ризицима у појединим организационим јединицама (руководилац организационе јединице);
– обавезу документовања података у вези са утврђеним ризицима;
– успостављање модела извештавања.
У мери у којој је развијено управљање ризицима биће развијене и контролне активности, а самим тим и осигурање реализације постављених циљева. Управљање ризицима омогућава доношење квалитетних одлука, боље предвиђање и планирање и бављење приоритетима.
Имајући у виду да је управљање ризицима део активности везаних за успостављање система финансијског управљања и контроле, логично је да координацију активности обавља руководилац за финансијско управљање и контролу или неки други руководилац највишег ранга. Да би систем управљања ризицима заживео неопходно је одредити особу одговорну за координацију процеса управљања ризицима на нивоу буџетског корисника. Од наведене особе очекује се:
– да у сарадњи с Министарством финансија, Централном јединицом за хармонизацију упозна остале руководиоце о потреби увођења управљања ризицима у институцији (министарству, агенцији, јавном предузећу);
– да подстиче културу управљања ризицима и да јача свест вишег руководства о потреби системског управљања ризицима;
– да покрене активности, одреди рокове и припреми обједињени извештај о управљању ризицима код одређеног буџетског корисника;
– да омогући потребну обуку и упозна руководство о њеном спровођењу.
У поступку процене ризика постоје три потпроцеса:
1) идентификовање ризика;
2) мерење ризика;
3) рангирање ризика.
Идентификовање ризика
Идентификовати ризике значи препознати потенцијалне опасности на свим нивоима руковођења и у свим организационим деловима институције. Добра почетна тачка јесте идентификовање претњи успешном остваривању циљева процеса. Препоручљиво је узети у обзир ризике везане за следећа стратешка питања:
– репутација;
– финансије;
– пружање услуга;
– политичка питања.
Мерење ризика
Мерење ризика изводи се из идентификовања ризика, а само мерење ризика посматра се кроз термине утицај (висок, средњи, низак) и вероватноћа (велика, средња, мала).
Пример мерења утицаја ризика:
У наставку наводимо пример мерења вероватноће ризика:
Рангирање ризика
Опште рангирање ризика врши се на основу закључака изведених током анализе општег контролног окружења, инхерентног ризика и мерења у смислу утицаја и вероватноће.
Рангирање ризика засновано је на укрштању утицаја и вероватноће, а представља комбинацију утицаја и вероватноће, у складу са одабраним методом. Процена и предложене активности доносе се на основу индивидуалног суда о датим околностима.
Широм света користи се ова матрица у боји.
Регистар ризика је интерни документ буџетског корисника и у њега се уписују они ризици за које је резидуални ниво ризика процењен као неприхватљив, те се стога предлаже увођење додатних контролних механизама, јер постојеће контроле нису довољно ефикасне. Унети подаци у Регистар ризика користе се за израду извештаја и резимеа који се достављају руководиоцу буџетског корисника. Регистар ризика је документ који се разматра, ревидира и ажурира по потреби, бар једном годишње, како би се проверило да ли су планиране мере за ублажавање ризика постигле очекиване резултате. Осим критичних ризика, Регистар ризика може обухватати и остале значајне ризике који захтевају праћење и који нису независни, већ природно груписани.
Образац регистра ризика обухвата:
– назив пословног процеса;
– ризик;
– власника ризика;
– вероватноћу/резултат;
– потребне активности;
– задужену особу;
– датум следеће провере.
Отклањање ризика је процес смањења вероватноће настанка ризика. Постоје четири начина отклањања ризика:
– избегавање ризика: неки ризици се могу делимично или потпуно избећи модификовањем активности унутар процеса;
– преношење ризика: представља преношење ризика трећој страни (на пример, осигуравајућој кући) или дељењем ризика с трећом страном;
– прихватање ризика: подразумева прихватање ризика без додатних радњи;
– смањивање/ублажавање ризика: представља најприхватљивији одговор на ризике.
Праћење ризика је континуирана потреба праћења ризика, будући да је екстерно и интерно окружење променљиво, а самим тим и постављени циљеви. Измењени циљеви имплицирају промену ризика у остваривању измењених циљева. Ризике треба контролисати и о томе састављати извештај како би се развила делотворност управљања ризицима, јер коначни циљ праћења ризика јесте размена информација више пута годишње о начинима решавања појединих проблема у одређеној организационој јединици буџетског корисника.
Стратегија управљања ризицима је систематски оквир и структурални приступ утврђивања ризика и управљање њима на нивоу буџетског корисника. Њена сврха је опис имплементације управљања ризицима на систематичан начин дефинисањем улога и одговорности, методологије и начина управљања ризицима.
Стратегија управљања ризицима има своје обавезне елементе, као што су:
– уводни део;
– опис мишљења и ставова према утврђеним ризицима;
– циљеви процеса управљања ризицима;
– дефинисање одговорности и овлашћења;
– утврђивање нивоа комуникације;
– дефинисање и састављање кључних показатеља успешности;
– додаци уз стратегију.
Стратегија управљања ризицима представља основни дијаграм тока успостављања процеса управљања ризицима, коју након израде, контроле и одобрења оверава руководилац буџетског корисника.
Интерна финансијска контрола је интегрисана у све пословне активности корисника јавних средстава, тако да омогућава предузимање благовремених мера у случају измењених околности, као и унапређење квалитета у процесу доношења одлука. Одговорности руководства односе се на целокупан процес управљања, од дефинисања циљева до резултата. То подразумева обезбеђивање законитости, исправности и ефективности свих донетих одлука.
Из свега наведеног произлази да је систем финансијског управљања и контрола, као део интерне финансијске контроле, моћан инструмент и значајна помоћ у доношењу исправних, правовремених и законитих одлука највишег руководства буџетских корисника.