Kontrolný rámec interných kontrol nie je compliance cvičenie — je to prevádzkový systém, ktorý určuje, či čísla, ktoré firma produkuje v manažérskych výkazoch, daňových priznaniach a prezentáciách pre investorov, sú dôveryhodné. Bez neho každý finančný výstup nesie implicitné vyhlásenie: „tieto čísla môžu byť správne." Stredné firmy zlyhávajú pri kontrolách nie preto, že úloha je zložitá, ale preto, že nikto nevlastní rámec. COSO — globálny štandard aktualizovaný v roku 2013 — definuje päť zložiek: kontrolné prostredie, hodnotenie rizík, kontrolné aktivity, informácie a komunikácia a monitoring. COSO identifikuje kontrolné prostredie — tón z vrchu — ako najkritickejšiu zložku, pred akoukoľvek konkrétnou kontrolnou aktivitou: ak riaditeľ bežne obchádza schvaľovacie procesy, žiadne zdokumentované politiky nevytvorí fungujúce kontrolné prostredie. Hackett Group potvrdzuje, že firmy, kde vedenie aktívne sleduje výsledky kontrol, majú výrazne menej finančných opráv a auditných úprav. Návrh kontrol začína hodnotením rizík, nie výberom kontrol: kontrola bez definovaného rizika, ktoré adresuje, je byrokratický krok bez účelu. Každá kontrola musí byť konkrétna, priraditeľná, dôkazná a testovateľná.
Interné kontroly v strednej firme sú buď neexistujúce, neformálne, alebo prevzaté zo šablóny, ktorá neodráža skutočné fungovanie firmy. Prvý prípad je nebezpečný. Druhý je krehký. Tretí je divadlo.
Kontrolný rámec nie je zakladač politík na poličke. Je to prevádzkový systém, ktorý určuje, či čísla, ktoré vaša firma produkuje — v manažérskych výkazoch, daňových priznaniach, prezentáciách pre investorov a vedenie — sú dôveryhodné. Bez neho každý finančný výstup nesie implicitné vyhlásenie: „tieto čísla môžu byť správne."
Rámec COSO — aktualizovaný v roku 2013 a stále globálny štandard — definuje interné kontroly cez päť zložiek: kontrolné prostredie, hodnotenie rizík, kontrolné aktivity, informácie a komunikácia a monitoring. Každá firma bez ohľadu na veľkosť potrebuje všetkých päť. Otázka nie je, či potrebujete rámec, ale ako ho škálovať pre strednú firmu.
Začnite hodnotením rizík
Väčšina stredných firiem tento krok preskočí a skočí priamo ku kontrolám. To je opačný postup. Kontrola bez definovaného rizika, ktoré adresuje, je byrokratický krok bez účelu.
Hodnotenie rizík pre finančnú funkciu strednej firmy sa pýta: čo sa môže pokaziť s našimi finančnými dátami a aký by bol dopad? Odpoveď sa líši podľa firmy, ale bežné riziká finančného reportingu zahŕňajú:
Výnosy zaúčtované v nesprávnom období alebo nesprávnej sume. Náklady nezachytené alebo nesprávne klasifikované. Peňažné výdavky bez riadneho schválenia. Mzdy spracované nesprávne. Vnútroskupinové transakcie nevylúčené. Daňové pozície zaujané bez dostatočnej podpory.
Pre každé identifikované riziko definujte, čo ho môže spôsobiť (koreňová príčina), aký by bol finančný dopad (materialita) a aká je pravdepodobnosť výskytu bez kontroly (inherentné riziko). Toto hodnotenie sa stane základom pre každú kontrolu, ktorú navrhnete.
Ako navrhnúť primerané kontroly
Kontrola musí byť konkrétna, priraditeľná, dôkazná a testovateľná. Vágne politiky — „všetky výdavky musia byť schválené" — nie sú kontroly. Kontrola uvádza, kto schvaľuje čo, nad akým prahom, s akým dôkazom a ako sa riešia výnimky.
Preventívne kontroly zabraňujú chybám pred vstupom do systému. Príklady: systémovo vynútené povinné polia (nemôžete zaúčtovať zápis bez nákladového strediska), schvaľovacie prahy platieb (žiadna platba nad 5 000 EUR bez dvojitého podpisu) a obmedzenie prístupu (len oprávnení používatelia môžu vytvárať nových dodávateľov).
Detektívne kontroly zachytávajú chyby po ich vzniku. Príklady: mesačné odsúhlasenia , výnimkové reporty, kontrola neobvyklých položiek vedením. Detektívne kontroly sú nevyhnutné, pretože žiadna preventívna kontrola nezachytí všetko.
Rovnováha medzi preventívnymi a detektívnymi kontrolami je dôležitá. Prehnane kontrolované prostredie — kde každá transakcia vyžaduje tri schválenia — spomalí firmu. Nedostatočne kontrolované prostredie s len detektívnymi kontrolami znamená, že chyby sa nájdu, ale nepredchádza sa im.
Kontrolné prostredie
COSO kladie kontrolné prostredie — v podstate postoj vedenia ku kontrolám — ako základnú zložku. Ak riaditeľ bežne obchádza schvaľovacie procesy, alebo ak vedenie sa nepýta na efektívnosť kontrol, žiadne množstvo zdokumentovaných politík nevytvorí fungujúce kontrolné prostredie.
V strednej firme kontrolné prostredie nastavujú dvaja-traja seniorní ľudia. Ich správanie určuje, či sa kontroly dodržiavajú alebo obchádzajú. Výskum Hackett Group ukazuje, že firmy, kde vedenie aktívne sleduje výsledky kontrol, majú výrazne menej finančných opráv a auditných úprav.
To neznamená, že riaditeľ musí kontrolovať každý účtovný zápis. Znamená to, že vedenie musí klásť správne otázky: Sú odsúhlasenia aktuálne? Boli tento mesiac nejaké výnimky z kontrol? Čo sa s nimi urobilo? Tieto otázky signalizujú, že na kontrolách záleží.
Monitoring a údržba rámca
Rámec, ktorý sa nemonitoruje, sa rozpadá. Kontroly primerané pre firmu s 20 zamestnancami nemusia fungovať pri 80. Schvaľovací prah platieb nastavený na 5 000 EUR pri obrate 3 mil. EUR treba prehodnotiť pri obrate 15 mil. EUR.
Vybudujte kvartálny cyklus revízie: fungujú kľúčové kontroly? Zachytávajú sa dôkazy? Vznikli nové riziká, ktoré nie sú pokryté? Existujú kontroly, ktoré už neslúžia účelu a mali by sa odstrániť?
Čo to znamená pre stredné firmy
Nepotrebujete oddelenie interného auditu. Nepotrebujete 50-stranový manuál kontrol. Potrebujete hodnotenie rizík, krátky zoznam kľúčových kontrol naviazaných na reálne riziká, dôkazy, že tieto kontroly fungujú, a niekoho, kto kvartálne overí, že rámec stále sedí na firmu.
Návratnosť nie je abstraktná. Firmy s fungujúcimi kontrolami uzatvárajú rýchlejšie, auditujú lacnejšie, reportujú spoľahlivejšie — a keď na tom záleží najviac — dokážu investorom, kupujúcim a regulátorom preukázať, že ich čísla sú dôveryhodné. Tá dôvera má priamu finančnú hodnotu.