Firma môže mať správnu účtovnú závierku aj napriek slabým kontrolám — ale audit bude dlhší, drahší a invazívnejší, pretože audítori sa nemôžu oprieť o kontrolné prostredie a musia testovať každý významný zostatok priamo. Budovanie interných kontrol neznamená importovať rámec veľkej korporácie do 40-osobovej firmy — stredná firma potrebuje 15 až 25 kľúčových kontrol, nie stovky. Rámec COSO platí pre firmy každej veľkosti, líši sa len rozsah implementácie. Audítori testujú tri dimenzie: efektívnosť dizajnu, prevádzkovú efektívnosť a existenciu dôkazov. Kontroly bez dôkazov sú z pohľadu auditu kontroly, ktoré sa neuskutočnili. Základné kontroly, ktoré každá stredná firma potrebuje, pokrývajú: bankové odsúhlasenie, kontroly účtovných zápisov, uznávanie výnosov, úplnosť záväzkov, prístupové kontroly a správu dlhodobého majetku. Dokumentácia nemusí byť rozsiahla — jednostránková kontrolná matica s piatimi atribútmi pre každú kontrolu postačuje. Cieľom nie je zapôsobiť na audítorov, ale chrániť firmu — uspokojenie auditných požiadaviek je vedľajší produkt.
Audítori hodnotia dve veci: čísla vo vašej účtovnej závierke a kontroly, ktoré tieto čísla produkujú. Firma môže mať správnu účtovnú závierku aj napriek slabým kontrolám — ale audit bude dlhší, drahší a invazívnejší, pretože audítori sa nemôžu oprieť o kontrolné prostredie a musia testovať každý významný zostatok priamo.
Budovanie kontrol, ktoré uspokoja audítorov, neznamená importovať kontrolný rámec veľkej korporácie do 40-osobovej firmy. Znamená to identifikovať konkrétne riziká, ktoré sú pre vašu firmu relevantné, navrhnúť kontroly, ktoré ich adresujú, a zdokumentovať dosť dôkazov, aby audítor mohol overiť, že kontrola fungovala počas obdobia.
Rámec COSO (Committee of Sponsoring Organizations) — globálne akceptovaný štandard pre interné kontroly — aplikuje rovnaké princípy bez ohľadu na veľkosť firmy. Rozdiel je v rozsahu implementácie: veľký podnik môže mať 500 kľúčových kontrol. Stredná firma potrebuje 15 až 25.
Čo audítori testujú
Audítori hodnotia kontroly v troch dimenziách:
Efektívnosť dizajnu. Je kontrola navrhnutá tak, aby predchádzala alebo odhaľovala riziko, ktoré má adresovať? Kontrola schvaľovania platieb nad 5 000 EUR je dobre navrhnutá, ak rizikom sú neoprávnené platby. Je zle navrhnutá, ak je prah na 50 000 EUR a 90 % platieb spadá pod neho.
Prevádzková efektívnosť. Fungovala kontrola skutočne počas obdobia? Politika hovorí, že každý účtovný zápis nad 10 000 EUR potrebuje druhú kontrolu. Audítori vyberú vzorku zápisov a skontrolujú dôkaz o tejto kontrole. Ak 3 z 25 vzorkovaných zápisov nemajú dôkaz o kontrole, kontrola zlyhala.
Dôkazy. Každá kontrola potrebuje dôkaz, že prebehla. Podpis, systémový log, zdokumentované schválenie, odsúhlasenie s podpismi vyhotoviteľa a kontrolóra. Kontroly bez dôkazov sú z pohľadu auditu kontroly, ktoré sa neuskutočnili.
Základné kontroly, ktoré každá stredná firma potrebuje
Namiesto budovania vyčerpávajúcej kontrolnej matice sa zamerajte na kontroly adresujúce najrizikovejšie oblasti typickej strednej finančnej funkcie:
Bankové odsúhlasenie. Mesačne, s podpismi vyhotoviteľa a kontrolóra. Toto je najdôležitejšia odsúhlasovacia kontrola — spája účtovné záznamy s nezávislým externým zdrojom.
Kontroly účtovných zápisov. Všetky manuálne zápisy nad definovaným prahom vyžadujú podkladovú dokumentáciu a druhú kontrolu. Veľké alebo neobvyklé zápisy na konci obdobia dostanú dodatočný dohľad. Tu najčastejšie vstupujú chybné záznamy do účtovnej závierky.
Uznávanie výnosov. Zdokumentovaná politika, kedy sa výnos uznáva, aplikovaná konzistentne. Pre zložité zmluvy (viacelementové dohody, dlhodobé projekty, predplatné) konkrétne výpočty pre každú významnú zmluvu ukazujúce základ pre načasovanie a sumu.
Úplnosť záväzkov. Proces zachytávania záväzkov na konci obdobia — časové rozlíšenie pre prijaté-ale-nefakturované položky, testovanie uzávierky pre náklady presahujúce obdobia.
Prístupové kontroly. Kto môže zaúčtovať zápisy, schvaľovať platby, vytvárať dodávateľov a meniť kmeňové dáta? Prístup by mal byť obmedzený na oprávnený personál s primeraným oddelením povinností. V malých tímoch, kde úplné oddelenie nie je možné, kompenzačné kontroly — ako mesačná kontrola všetkých transakcií seniornou osobou — vyplnia medzeru.
Správa dlhodobého majetku. Register všetkých významných aktív s dátumami obstarania, cenami, odpisovými politikami a periodickou fyzickou inventúrou. Aktíva, ktoré už neexistujú, ale zostávajú v registri, nafukujú súvahu a vytvárajú auditné problémy.
Ako dokumentovať kontroly bez byrokratickej záťaže
Dokumentácia nemusí byť rozsiahla. Pre každú kľúčovú kontrolu zachyťte päť vecí: čo kontrola je, kto ju vykonáva, ako často, aký dôkaz produkuje a čo sa deje pri výnimke. Jednostránková kontrolná matica pokrývajúca vašich 15–25 kľúčových kontrol je dostatočná.
Dôkazy by mali byť súčasťou bežných procesov. Šablóna bankového odsúhlasenia s riadkami pre podpisy vyhotoviteľa a kontrolóra. Denník schvaľovania zápisov. Autorizačná matica platieb uložená v účtovnom systéme. Kontroly, ktoré vyžadujú samostatnú dokumentáciu nad rámec bežnej práce, vytvárajú záťaž, ktorú tímy stredných firiem neudržia.
Čo to znamená pre stredné firmy
Cieľom nie je vybudovať kontrolné prostredie, ktoré zapôsobí na audítorov. Cieľom je vybudovať také, ktoré chráni firmu — a uspokojenie auditných požiadaviek je vedľajší produkt. Kontroly, ktoré predchádzajú chybám, zachytávajú podvody a zabezpečujú spoľahlivý reporting, slúžia najprv firme — auditný benefit je druhoradý.
Začnite s 10 najrizikovejšími procesmi vo vašej finančnej funkcii. Pre každý definujte jednu alebo dve kľúčové kontroly. Zdokumentujte ich v jednej matici. Zabezpečte, že dôkazy sa zachytávajú ako súčasť bežnej prevádzky. Maticu revidujte kvartálne. To stačí na premenu auditu z konfrontačného vyšetrovania na kooperatívne potvrdenie.