Audytorzy oceniają dwie rzeczy: liczby w Twoich sprawozdaniach finansowych oraz kontrole, które te liczby produkują. Firma może mieć dokładne sprawozdania finansowe pomimo słabych kontroli — ale audyt będzie dłuższy, droższy i bardziej inwazyjny, bo audytorzy nie mogą polegać na środowisku kontroli i muszą testować każde istotne saldo bezpośrednio.
Budowanie kontroli satysfakcjonujących audytorów nie oznacza importowania modelu kontroli z dużej korporacji do firmy zatrudniającej 40 osób. Oznacza identyfikację konkretnych ryzyk istotnych dla Twojej firmy, projektowanie kontroli je adresujących i dokumentowanie wystarczającego dowodu, że audytor może zweryfikować działanie kontroli w danym okresie.
Model COSO (Committee of Sponsoring Organizations) — globalnie uznany standard kontroli wewnętrznej — stosuje te same zasady niezależnie od wielkości firmy. Różnica tkwi w skali wdrożenia: duże przedsiębiorstwo może mieć 500 kluczowych kontroli. Średnia firma potrzebuje 15–25.
Co audytorzy testują
Audytorzy oceniają kontrole w trzech wymiarach:
Skuteczność projektowania. Czy kontrola jest zaprojektowana tak, żeby zapobiegać lub wykrywać ryzyko, które adresuje? Kontrola zatwierdzania płatności wymagająca podpisu dla płatności powyżej 25 000 zł jest dobrze zaprojektowana, jeśli ryzykiem są nieautoryzowane płatności. Jest źle zaprojektowana, jeśli próg wynosi 250 000 zł i 90% płatności mieści się poniżej niego.
Skuteczność operacyjna. Czy kontrola faktycznie działała w danym okresie? Polityka mówi, że każdy zapis powyżej 50 000 zł wymaga drugiego przeglądu. Audytorzy próbkują zapisy i sprawdzają dowody tego przeglądu. Jeśli 3 z 25 próbkowanych zapisów nie ma dowodu przeglądu, kontrola nie działa.
Dowód. Każda kontrola potrzebuje potwierdzenia, że miała miejsce. Podpis, log systemowy, udokumentowane zatwierdzenie, uzgodnienie z podpisem autora i recenzenta. Kontrole bez dowodów to — z perspektywy audytowej — kontrole, które się nie odbyły.
Wytyczne IIA (Institute of Internal Auditors) podkreślają, że dowód jest krytyczną luką w środowiskach kontroli średnich firm. Kontrole często istnieją nieformalnie — dyrektor finansowy przegląda każdy zapis, prezes zatwierdza każdą istotną płatność — ale bez udokumentowanego dowodu audytor nie może im przypisać wartości.
Kluczowe kontrole, których każda średnia firma potrzebuje
Zamiast budować wyczerpującą matrycę kontroli, skup się na kontrolach adresujących obszary najwyższego ryzyka w typowej funkcji finansowej:
Uzgodnienie bankowe. Miesięczne, z podpisem autora i recenzenta. To najważniejsza pojedyncza kontrola uzgodnieniowa — łączy zapisy księgowe z niezależnym zewnętrznym źródłem.
Kontrole zapisów księgowych. Wszystkie ręczne zapisy powyżej zdefiniowanego progu wymagają dokumentacji uzupełniającej i drugiego przeglądu. Duże lub nietypowe zapisy na koniec okresu są poddawane dodatkowej kontroli. Tu najczęściej do sprawozdań finansowych wchodzą nieprawidłowości.
Ujmowanie przychodów. Udokumentowana polityka dotycząca momentu ujmowania przychodów, stosowana konsekwentnie. W przypadku złożonych umów (wieloelementowych, długoterminowych projektów, modeli subskrypcyjnych) — konkretne obliczenia dla każdej istotnej umowy pokazujące podstawę harmonogramu i kwoty.
Kompletność zobowiązań. Proces ujmowania zobowiązań na koniec okresu — naliczenia dla pozycji otrzymanych, ale nie zafakturowanych, testowanie graniczności kosztów obejmujących okresy. Deloitte identyfikuje kompletność zobowiązań jako jeden z najczęściej niedostatecznie kontrolowanych obszarów w firmach średnich.
Kontrole dostępu. Kto może księgować zapisy, zatwierdzać płatności, tworzyć dostawców i modyfikować dane podstawowe? Dostęp powinien być ograniczony do upoważnionych pracowników z odpowiednim rozdzieleniem obowiązków. W małych zespołach, gdzie pełne rozdzielenie nie jest możliwe, kontrole kompensacyjne — takie jak miesięczny przegląd wszystkich transakcji przez osobę starszą rangą — wypełniają lukę.
Zarządzanie środkami trwałymi. Rejestr wszystkich istotnych aktywów z datami nabycia, kosztami, polityką amortyzacji i okresową weryfikacją fizyczną. Aktywa, które już nie istnieją, a pozostają w rejestrze, zawyżają bilans i tworzą problemy audytowe.
Dokumentowanie kontroli bez tworzenia biurokracji
Dokumentacja nie musi być rozbudowana. Dla każdej kluczowej kontroli zapisz pięć rzeczy: co to jest za kontrola, kto ją wykonuje, jak często, jaki dowód jest produkowany i co się dzieje, gdy zostanie znaleziony wyjątek. Jednostronicowa matryca kontroli obejmująca 15–25 kluczowych kontroli jest wystarczająca.
Sam dowód powinien być wbudowany w normalne procesy. Szablon uzgodnienia bankowego z liniami podpisów autora i recenzenta. Log zatwierdzeń zapisów. Matryca autoryzacji płatności przechowywana w systemie księgowym. Kontrole wymagające oddzielnej dokumentacji poza normalną pracą tworzą narzut, którego średnie firmy nie będą utrzymywać.
Co to oznacza dla średnich firm
Celem nie jest budowanie środowiska kontroli imponującego audytorom. Celem jest zbudowanie takiego, które chroni firmę i przy okazji spełnia wymagania audytowe. Kontrole zapobiegające błędom, wychwytujące nadużycia i zapewniające wiarygodne raportowanie służą firmie w pierwszej kolejności — korzyść audytowa jest drugorzędna.
Zacznij od 10 procesów o najwyższym ryzyku w Twojej funkcji finansowej. Dla każdego zdefiniuj jedną lub dwie kluczowe kontrole. Udokumentuj je w jednej matrycy. Zapewnij, że dowód jest zbierany jako część normalnych operacji. Przeglądaj matrycę co kwartał. To wystarczy, żeby przekształcić audyt z przesłuchania w kooperatywne potwierdzenie.