Kontrole wewnętrzne w średniej firmie są albo nieobecne, albo nieformalne, albo odziedziczone po szablonie, który nie odzwierciedla rzeczywistego sposobu funkcjonowania firmy. Pierwszy przypadek jest niebezpieczny. Drugi jest kruchy. Trzeci to teatr.
Model kontroli to nie segregator z politykami stojący na półce. To system operacyjny, który decyduje o tym, czy liczby produkowane przez firmę — w sprawozdaniach zarządczych, deklaracjach podatkowych, pakietach dla inwestorów i prezentacjach zarządu — są godne zaufania. Bez niego każdy wynik finansowy nosi domyślne zastrzeżenie: „te liczby mogą być prawidłowe".
Model COSO — zaktualizowany w 2013 roku i nadal globalny standard — definiuje kontrolę wewnętrzną przez pięć składników: środowisko kontroli, ocena ryzyka, działania kontrolne, informacja i komunikacja, monitorowanie. Każda firma, niezależnie od wielkości, potrzebuje wszystkich pięciu. Pytanie nie brzmi, czy potrzebujesz modelu, ale jak go dostosować do skali działania średniej firmy.
Zaczynanie od oceny ryzyka
Większość średnich firm pomija ten krok i od razu przechodzi do kontroli. To jest odwrotna kolejność. Kontrola bez zdefiniowanego ryzyka, które adresuje, to biurokratyczny krok bez celu.
Ocena ryzyka dla funkcji finansowej średniej firmy pyta: co może pójść nie tak z naszymi danymi finansowymi i jaki byłby tego wpływ? Odpowiedź różni się w zależności od firmy, ale typowe ryzyka sprawozdawczości finansowej to:
Przychód ujęty w złym okresie lub w złej kwocie. Koszty niezarejestrowane lub błędnie sklasyfikowane. Przepływy pieniężne dokonane bez właściwego upoważnienia. Nieprawidłowo przetworzona lista płac. Transakcje wewnątrzgrupowe niezeliminowane. Pozycje podatkowe zajęte bez odpowiedniego uzasadnienia.
Wytyczne EY dotyczące oceny ryzyka firm średnich zalecają ranking każdego ryzyka według prawdopodobieństwa i wpływu, a następnie koncentrację kontroli na 10–15 najważniejszych ryzykach. Poniżej tego progu koszt kontroli przekracza ryzyko, które ogranicza.
Dla każdego zidentyfikowanego ryzyka zdefiniuj, co może je spowodować (przyczyna źródłowa), jaki byłby wpływ finansowy (istotność) i jak prawdopodobne jest jego wystąpienie bez kontroli (ryzyko nieodłączne). Ta ocena staje się fundamentem każdej projektowanej kontroli.
Projektowanie proporcjonalnych kontroli
Kontrola musi być konkretna, przypisywalna, udokumentowana i testowalna. Niejasne polityki — „wszystkie wydatki muszą być zatwierdzone" — to nie kontrole. Kontrola stwierdza, kto zatwierdza co, powyżej jakiego progu, z jakim dowodem i jak obsługujesz wyjątki.
Kontrole prewencyjne zatrzymują błędy przed wejściem do systemu. Przykłady: systemowo wymuszane obowiązkowe pola (nie możesz zaksięgować zapisu bez centrum kosztów), progi zatwierdzania płatności (żadna płatność powyżej 25 000 zł bez podwójnego podpisu) i ograniczenia dostępu (tylko wyznaczeni użytkownicy mogą tworzyć nowych dostawców).
Kontrole detektywne wychwytują błędy po ich wystąpieniu. Przykłady: miesięczne uzgodnienia, raporty wyjątków, przegląd przez kierownictwo nietypowych pozycji. Kontrole detektywne są niezbędne, bo żadna kontrola prewencyjna nie wychwyta wszystkiego.
Równowaga między kontrolami prewencyjnymi a detektywnymi ma znaczenie. Środowisko nadmiernie kontrolowane — gdzie każda transakcja wymaga trzech zatwierdzeń — hamuje biznes. Środowisko niedostatecznie kontrolowane z samymi kontrolami detektywnymi oznacza, że błędy są znajdowane, ale nie zapobiegane. Właściwy mix zależy od ryzyka: transakcje wysokiego ryzyka i wysokiej wartości potrzebują silnych kontroli prewencyjnych. Rutynowe transakcje niskiej wartości mogą polegać na kontrolach detektywnych.
Środowisko kontroli
COSO stawia środowisko kontroli — czyli stosunek kierownictwa do kontroli — jako fundamentalny składnik. Jeśli prezes rutynowo omija procesy zatwierdzania lub zarząd nie pyta o skuteczność kontroli, żadna ilość udokumentowanych polityk nie stworzy funkcjonującego środowiska kontroli.
W średniej firmie środowisko kontroli kształtują dwie lub trzy osoby starsze rangą. Ich zachowanie decyduje o tym, czy kontrole są przestrzegane czy omijane. Badania Hackett Group nad skutecznością funkcji finansowej pokazują, że firmy, gdzie kierownictwo aktywnie angażuje się w wyniki kontroli, mają znacząco mniej korekt sprawozdań finansowych i korekt audytowych.
Nie oznacza to, że prezes musi przeglądać każdy zapis. Oznacza, że zespół kierowniczy musi zadawać właściwe pytania: Czy uzgodnienia są aktualne? Czy w tym miesiącu były jakieś wyjątki kontrolne? Co z nimi zrobiono? Te pytania sygnalizują, że kontrole mają znaczenie.
Monitorowanie i utrzymywanie modelu
Model, który nie jest monitorowany, zanika. Kontrole odpowiednie dla firmy zatrudniającej 20 pracowników mogą nie działać przy 80. Próg płatności ustawiony na 25 000 zł przy przychodzie 10 mln zł wymaga rewizji przy 50 mln zł.
Zbuduj kwartalny cykl przeglądu: czy kluczowe kontrole nadal działają? Czy dowód jest zbierany? Czy pojawiły się nowe ryzyka, które nie są objęte? Czy są kontrole, które nie służą już żadnemu celowi i powinny zostać usunięte?
IIA (Institute of Internal Auditors) zaleca, żeby nawet firmy bez formalnego działu audytu wewnętrznego wyznaczyły kogoś do pełnienia tej roli monitorującej. W średniej firmie jest to zazwyczaj kontroler finansowy lub najbardziej starsza osoba w finansach poniżej dyrektora finansowego.
Co to oznacza dla średnich firm
Nie potrzebujesz działu audytu wewnętrznego. Nie potrzebujesz 50-stronicowego podręcznika kontroli. Potrzebujesz oceny ryzyka, krótkiej listy kluczowych kontroli dopasowanych do rzeczywistych ryzyk, dowodów działania tych kontroli i kogoś, kto co kwartał sprawdza, czy model nadal pasuje do firmy.
Zwrot nie jest abstrakcyjny. Firmy z działającymi kontrolami zamykają szybciej, audytują taniej, raportują wiarygodniej i — gdy to ma największe znaczenie — mogą wykazać inwestorom, nabywcom i organom regulacyjnym, że ich liczby są godne zaufania. To zaufanie ma bezpośrednią wartość finansową.