Kontrola Zarządcza Wewnętrzna: Klucz do Efektywności Biznesu

W dzisiejszym dynamicznym świecie biznesu, kontrola zarządcza wewnętrzna stanowi fundament stabilności i sukcesu każdej organizacji. Nie jest to jedynie zestaw restrykcyjnych procedur, ale kompleksowy system, który pomaga firmom osiągać ich cele, chronić zasoby i działać zgodnie z przepisami. Zrozumienie i wdrożenie skutecznej kontroli wewnętrznej jest kluczowe dla budowania zaufania inwestorów, klientów i pracowników.

Czym jest Kontrola Zarządcza Wewnętrzna? Definicje i Kontekst

Kontrola zarządcza wewnętrzna, choć znana od starożytności, ewoluowała wraz z rozwojem gospodarki. Już w starożytnym Egipcie istniały systemy nadzoru nad poborcami podatków, a w Chinach specjalne agencje rządowe monitorowały inne gałęzie władzy. Współczesne definicje kontroli wewnętrznej są jednak znacznie bardziej rozbudowane i kompleksowe.

Jedną z najbardziej uznanych definicji jest ta zawarta w ramach COSO (Committee of Sponsoring Organizations of the Treadway Commission). COSO definiuje kontrolę wewnętrzną jako proces, na który wpływa zarząd, kierownictwo i inni pracownicy jednostki, mający zapewnić racjonalne przekonanie co do osiągnięcia celów w obszarach operacji, sprawozdawczości i zgodności z przepisami.

Według COSO, kontrola wewnętrzna składa się z pięciu wzajemnie powiązanych komponentów:

• Środowisko kontroli: To kultura organizacyjna, wartości etyczne i postawy kierownictwa, które wpływają na świadomość kontroli wśród pracowników. Jest to fundament dla wszystkich pozostałych komponentów.
• Ocena ryzyka: Proces identyfikacji i analizy ryzyk istotnych dla osiągnięcia celów organizacji. Ocena ryzyka stanowi podstawę do opracowania strategii zarządzania tymi ryzykami.
• Działania kontrolne: Polityki i procedury, które pomagają zapewnić realizację dyrektyw kierownictwa. Działania kontrolne obejmują zarówno kontrole prewencyjne (zapobiegające błędom i nieprawidłowościom), jak i detektywne (wykrywające błędy i nieprawidłowości, które już wystąpiły).
• Informacja i komunikacja: Systemy i procesy wspierające identyfikację, gromadzenie i wymianę informacji w formie i czasie umożliwiającym pracownikom wypełnianie ich obowiązków. Efektywna komunikacja jest kluczowa dla sprawnego funkcjonowania kontroli wewnętrznej.
• Monitorowanie: Procesy służące do oceny jakości działania kontroli wewnętrznej w czasie. Monitorowanie obejmuje zarówno bieżące działania nadzorcze, jak i okresowe oceny skuteczności systemu kontroli.

Komisja Papierów Wartościowych i Giełd (SEC) definiuje procedury kontrolne jako: „...określony zestaw zasad, procedur i działań mających na celu osiągnięcie celu. Kontrola może istnieć w ramach wyznaczonej funkcji lub działania w procesie. Wpływ kontroli ... może być ogólnofirmowy lub specyficzny dla salda konta, klasy transakcji lub aplikacji. Kontrole mają unikalne cechy – na przykład mogą być: zautomatyzowane lub ręczne; uzgodnienia; rozdział obowiązków; upoważnienia do przeglądu i zatwierdzenia; ochrona i rozliczanie aktywów; zapobieganie błędom lub oszustwom lub ich wykrywanie. Kontrole w ramach procesu mogą składać się z kontroli sprawozdawczości finansowej i kontroli operacyjnych (tj. tych, które mają na celu osiągnięcie celów operacyjnych).”

W szerszym kontekście, ustalanie celów, budżetów, planów i innych oczekiwań stanowi kryteria kontroli. Sama kontrola istnieje po to, aby utrzymać wydajność lub stan rzeczy w granicach tego, co jest oczekiwane, dozwolone lub akceptowane. Kontrola wbudowana w proces jest z natury wewnętrzna. Odbywa się ona za pomocą kombinacji wzajemnie powiązanych komponentów – takich jak środowisko społeczne wpływające na zachowanie pracowników, informacje niezbędne w kontroli oraz zasady i procedury. Struktura kontroli wewnętrznej to plan określający, w jaki sposób kontrola wewnętrzna składa się z tych elementów.

Koncepcje ładu korporacyjnego również silnie opierają się na konieczności istnienia kontroli wewnętrznej. Kontrole wewnętrzne pomagają zapewnić, że procesy działają zgodnie z założeniami, a reakcje na ryzyko (działania związane z ryzykiem) w zarządzaniu ryzykiem są realizowane (COSO II). Ponadto muszą istnieć okoliczności zapewniające, że wspomniane procedury będą wykonywane zgodnie z zamierzeniami: właściwe postawy, uczciwość i kompetencje oraz monitorowanie przez menedżerów.

Role i Odpowiedzialności w Kontroli Wewnętrznej

Zgodnie z ramami COSO, każdy w organizacji ponosi w pewnym stopniu odpowiedzialność za kontrolę wewnętrzną. Praktycznie wszyscy pracownicy wytwarzają informacje wykorzystywane w systemie kontroli wewnętrznej lub podejmują inne działania niezbędne do wpływania na kontrolę. Ponadto wszyscy pracownicy powinni być odpowiedzialni za zgłaszanie problemów operacyjnych, nieprzestrzegania kodeksu postępowania lub innych naruszeń zasad lub działań nielegalnych.

Każdy ważny podmiot w ładzie korporacyjnym ma do odegrania szczególną rolę:

Kierownictwo

Dyrektor generalny (najwyższy menedżer) organizacji ponosi ogólną odpowiedzialność za projektowanie i wdrażanie skutecznej kontroli wewnętrznej. Bardziej niż jakakolwiek inna osoba, dyrektor generalny nadaje „ton z góry”, który wpływa na uczciwość i etykę oraz inne czynniki pozytywnego środowiska kontroli. W dużej firmie dyrektor generalny wypełnia ten obowiązek, zapewniając przywództwo i kierunek menedżerom wyższego szczebla oraz dokonując przeglądu sposobu, w jaki kontrolują oni działalność. Menedżerowie wyższego szczebla z kolei powierzają personelowi odpowiedzialnemu za funkcje jednostki odpowiedzialność za ustanowienie bardziej szczegółowych zasad i procedur kontroli wewnętrznej. W mniejszej jednostce wpływ dyrektora generalnego, często właściciela-menedżera, jest zazwyczaj bardziej bezpośredni. W każdym razie, w kaskadowej odpowiedzialności, menedżer jest skutecznie dyrektorem generalnym swojej sfery odpowiedzialności. Szczególne znaczenie mają dyrektorzy finansowi i ich personel, których działania kontrolne przecinają, a także w górę i w dół, jednostki operacyjne i inne jednostki przedsiębiorstwa.

Zarząd

Kierownictwo odpowiada przed zarządem, który zapewnia zarządzanie, wskazówki i nadzór. Skuteczni członkowie zarządu są obiektywni, kompetentni i dociekliwi. Posiadają również wiedzę o działalności i otoczeniu jednostki oraz poświęcają czas niezbędny do wypełnienia obowiązków zarządu. Kierownictwo może być w stanie uchylić kontrole i ignorować lub tłumić komunikację od podwładnych, umożliwiając nieuczciwemu kierownictwu, które celowo fałszuje wyniki, tuszowanie swoich śladów. Silny, aktywny zarząd, szczególnie w połączeniu z efektywnymi kanałami komunikacji w górę i kompetentnymi funkcjami finansowymi, prawnymi i audytu wewnętrznego, jest często najlepiej przygotowany do identyfikacji i naprawy takiego problemu.

Role i Odpowiedzialności Audytowe

Audytorzy

Audytorzy wewnętrzni i zewnętrzni organizacji również mierzą skuteczność kontroli wewnętrznej poprzez swoje działania. Oceniają, czy kontrole są prawidłowo zaprojektowane, wdrożone i działają skutecznie, oraz przedstawiają zalecenia dotyczące poprawy kontroli wewnętrznej. Mogą również dokonywać przeglądu kontroli technologii informatycznych, które odnoszą się do systemów IT organizacji. Aby zapewnić racjonalne przekonanie, że kontrole wewnętrzne związane z procesem sprawozdawczości finansowej są skuteczne, są one testowane przez audytora zewnętrznego (księgowych publicznych organizacji), który jest zobowiązany do wydania opinii na temat kontroli wewnętrznych firmy i wiarygodności jej sprawozdawczości finansowej.

Komitet Audytu

Rola i obowiązki komitetu audytu, w ogólnym zarysie, polegają na:

1. Omówieniu z kierownictwem, audytorami wewnętrznymi i zewnętrznymi oraz głównymi interesariuszami jakości i adekwatności systemu kontroli wewnętrznej organizacji i procesu zarządzania ryzykiem oraz ich skuteczności i wyników, a także regularnym i poufnym spotykaniu się z Dyrektorem Audytu Wewnętrznego;
2. Przeglądzie i omówieniu z kierownictwem i audytorami zewnętrznymi oraz zatwierdzeniu zbadanych sprawozdań finansowych organizacji i wydaniu zalecenia dotyczącego włączenia tych sprawozdań finansowych do wszelkich publicznych zgłoszeń. Przeglądzie również z kierownictwem i niezależnym audytorem wpływu inicjatyw regulacyjnych i księgowych, a także kwestii pozabilansowych w sprawozdaniach finansowych organizacji;
3. Przeglądzie i omówieniu z kierownictwem rodzajów informacji, które mają być ujawnione, oraz rodzajów prezentacji, które mają być przedstawione w odniesieniu do komunikatów prasowych firmy dotyczących zysków i informacji finansowych oraz prognoz zysków przekazywanych analitykom i agencjom ratingowym;
4. Potwierdzeniu zakresu audytów, które mają być przeprowadzone przez audytorów zewnętrznych i wewnętrznych, monitorowaniu postępów i przeglądzie wyników oraz przeglądzie opłat i wydatków. Przeglądzie istotnych ustaleń lub niezadowalających raportów z audytu wewnętrznego lub problemów z audytem lub trudności napotkanych przez zewnętrznego niezależnego audytora. Monitorowaniu reakcji kierownictwa na wszystkie ustalenia audytu;
5. Zarządzaniu skargami dotyczącymi rachunkowości, wewnętrznych kontroli rachunkowości lub kwestii audytowych;
6. Otrzymywaniu regularnych raportów od dyrektora generalnego, dyrektora finansowego i innych komitetów kontroli firmy dotyczących uchybień w projektowaniu lub działaniu kontroli wewnętrznej oraz wszelkich oszustw, w które zaangażowane jest kierownictwo lub inni pracownicy odgrywający znaczącą rolę w kontroli wewnętrznej; oraz
7. Wspieraniu kierownictwa w rozwiązywaniu konfliktów interesów. Monitorowaniu adekwatności kontroli wewnętrznej organizacji i zapewnieniu, że wszystkie przypadki oszustw są rozpatrywane.

Komitet ds. Świadczeń Pracowniczych

Rola i obowiązki komitetu ds. świadczeń pracowniczych, w ogólnym zarysie, polegają na:

1. Zatwierdzaniu i nadzorowaniu administrowania Programem Wynagrodzeń Kadry Kierowniczej firmy;
2. Przeglądzie i zatwierdzaniu konkretnych kwestii wynagrodzeń dla dyrektora generalnego, dyrektora operacyjnego (jeśli dotyczy), dyrektora finansowego, radcy prawnego, starszego dyrektora ds. zasobów ludzkich, skarbnika, dyrektora, stosunków korporacyjnych i kierownictwa oraz dyrektorów firmy;
3. Przeglądzie, w stosownych przypadkach, wszelkich zmian w kwestiach wynagrodzeń dla wyżej wymienionych urzędników z zarządem; oraz
4. Przeglądzie i monitorowaniu wszystkich działań i raportów związanych z zasobami ludzkimi, dotyczących wyników i zgodności, w tym systemu zarządzania wynikami. Zapewniają również, że wskaźniki wyników związane ze świadczeniami są prawidłowo wykorzystywane przez kierownictwo organizacji.

Personel Operacyjny

Wszyscy członkowie personelu powinni być odpowiedzialni za zgłaszanie problemów operacyjnych, monitorowanie i poprawę swoich wyników oraz monitorowanie nieprzestrzegania zasad korporacyjnych i różnych kodeksów zawodowych lub naruszeń zasad, standardów, praktyk i procedur. Ich szczegółowe obowiązki powinny być udokumentowane w ich indywidualnych aktach osobowych. W działaniach związanych z zarządzaniem wynikami uczestniczą we wszystkich działaniach związanych z gromadzeniem i przetwarzaniem danych dotyczących zgodności i wyników, ponieważ są częścią różnych jednostek organizacyjnych i mogą być również odpowiedzialni za różne działania organizacji związane ze zgodnością i działalnością operacyjną. Personel i menedżerowie niższego szczebla mogą być zaangażowani w ocenę kontroli w ramach własnej jednostki organizacyjnej za pomocą samooceny kontroli.

Ciągłe Monitorowanie Kontroli

Postęp w technologii i analizie danych doprowadził do opracowania licznych narzędzi, które mogą automatycznie oceniać skuteczność kontroli wewnętrznej. Stosowane w połączeniu z ciągłym audytem, ciągłe monitorowanie kontroli zapewnia pewność co do informacji finansowych przepływających przez procesy biznesowe.

Standardy Audytu

W wielu jurysdykcjach istnieją przepisy prawa dotyczące kontroli wewnętrznej związanej ze sprawozdawczością finansową. W USA przepisy te są konkretnie ustanowione przez sekcje 404 i 302 Ustawy Sarbanes-Oxley. Wytyczne dotyczące audytu tych kontroli są określone w SSAE nr 18 opublikowanym przez Amerykański Instytut Biegłych Rewidentów (AICPA).

Ograniczenia Kontroli Wewnętrznej

Kontrola wewnętrzna może zapewnić racjonalne, ale nie absolutne, przekonanie, że cele organizacji zostaną osiągnięte. Koncepcja racjonalnego przekonania implikuje wysoki stopień pewności, ograniczony kosztami i korzyściami z ustanowienia dodatkowych procedur kontrolnych. Skuteczna kontrola wewnętrzna oznacza, że organizacja generuje wiarygodną sprawozdawczość finansową i zasadniczo przestrzega przepisów prawa i regulacji, które ją dotyczą. Jednakże, czy organizacja osiągnie cele operacyjne i strategiczne, może zależeć od czynników zewnętrznych wobec przedsiębiorstwa, takich jak konkurencja lub innowacje technologiczne. Czynniki te wykraczają poza zakres kontroli wewnętrznej; dlatego skuteczna kontrola wewnętrzna zapewnia jedynie terminowe informacje lub informacje zwrotne o postępach w realizacji celów operacyjnych i strategicznych, ale nie może zagwarantować ich osiągnięcia.

Opisywanie Kontroli Wewnętrznej

Kontrole wewnętrzne można opisywać w kategoriach:

1. Odpowiedniego celu lub asercji sprawozdania finansowego
2. Charakteru samej czynności kontrolnej.

Kategoryzacja Celów lub Asercji

Asercje to oświadczenia kierownictwa zawarte w sprawozdaniach finansowych. Na przykład, jeśli sprawozdanie finansowe wykazuje saldo aktywów trwałych o wartości 1000 USD, oznacza to, że kierownictwo oświadcza, że aktywa trwałe faktycznie istnieją na dzień sprawozdania finansowego, których wycena wynosi dokładnie 1000 USD (na podstawie kosztu historycznego lub wartości godziwej w zależności od ram i standardów sprawozdawczości) i że jednostka ma pełne prawo/zobowiązanie wynikające z takich aktywów (np. jeśli są one leasingowane, musi to zostać odpowiednio ujawnione). Ponadto takie aktywa trwałe muszą być ujawnione i przedstawione prawidłowo w sprawozdaniu finansowym zgodnie z ramami sprawozdawczości finansowej mającymi zastosowanie do firmy.

Kontrole mogą być zdefiniowane w odniesieniu do konkretnej asercji sprawozdania finansowego, z którą są związane. Istnieje pięć takich asercji tworzących akronim „PERCV”:

• Prezentacja i ujawnienie (Presentation and disclosure): Konta i ujawnienia są prawidłowo opisane w sprawozdaniach finansowych organizacji.
• Istnienie/Wystąpienie/Ważność (Existence/Occurrence/Validity): Przetwarzane są tylko ważne lub autoryzowane transakcje.
• Prawa i zobowiązania (Rights and obligations): Aktywa są prawami organizacji, a zobowiązania są jej zobowiązaniami na dany dzień.
• Kompletność (Completeness): Przetwarzane są wszystkie transakcje, które powinny być.
• Wycena (Valuation): Transakcje są wyceniane dokładnie przy użyciu właściwej metodologii, takiej jak określony sposób obliczania lub wzór.

Na przykład, celem kontroli ważności może być: „Płatności dokonywane są tylko za autoryzowane produkty i usługi otrzymane”. Typowa procedura kontrolna byłaby następująca: „System zobowiązań porównuje zamówienie zakupu, protokół odbioru i fakturę dostawcy przed autoryzacją płatności”. Kierownictwo jest odpowiedzialne za wdrożenie odpowiednich kontroli, które mają zastosowanie do wszystkich transakcji w ich obszarach odpowiedzialności.

Kategoryzacja Działań

Działania kontrolne można również wyjaśnić za pomocą rodzaju lub charakteru działalności. Obejmują one (między innymi):

• Rozdział obowiązków (Segregation of duties) – oddzielenie funkcji autoryzacji, przechowywania i prowadzenia ewidencji w celu zapobiegania oszustwom lub błędom przez jedną osobę.
• Autoryzacja transakcji (Authorization of transactions) – przegląd konkretnych transakcji przez odpowiednią osobę.
• Przechowywanie dokumentacji (Retention of records) – przechowywanie dokumentacji w celu udokumentowania transakcji.
• Nadzór lub monitorowanie operacji (Supervision or monitoring of operations) – obserwacja lub przegląd bieżącej działalności operacyjnej.
• Zabezpieczenia fizyczne (Physical safeguards) – użycie kamer, zamków, barier fizycznych itp. w celu ochrony mienia, takiego jak zapasy towarów.
• Przeglądy na najwyższym szczeblu (Top-level reviews) – analiza rzeczywistych wyników w porównaniu z celami lub planami organizacyjnymi, okresowe i regularne przeglądy operacyjne, wskaźniki i inne kluczowe wskaźniki wydajności (KPI).
• Ogólne kontrole IT (IT general controls) – Kontrole związane z: a) Bezpieczeństwem, aby zapewnić, że dostęp do systemów i danych jest ograniczony do upoważnionego personelu, takie jak używanie haseł i przegląd dzienników dostępu; oraz b) Zarządzaniem zmianami, aby zapewnić, że kod programu jest prawidłowo kontrolowany, takie jak oddzielenie środowisk produkcyjnych i testowych, testowanie zmian przez system i użytkowników przed akceptacją oraz kontrole nad migracją kodu do produkcji.
• Aplikacyjne kontrole IT (IT application controls) – Kontrole przetwarzania informacji wymuszane przez aplikacje IT, takie jak kontrole edycji w celu walidacji wprowadzania danych, rozliczanie transakcji w sekwencjach numerycznych i porównywanie sum plików z kontami kontrolnymi.

Precyzja Kontroli

Precyzja kontroli opisuje zgodność lub korelację między konkretną procedurą kontrolną a danym celem kontroli lub ryzykiem. Kontrola o bezpośrednim wpływie na osiągnięcie celu (lub złagodzenie ryzyka) jest uważana za bardziej precyzyjną niż kontrola o pośrednim wpływie na cel lub ryzyko. Precyzja różni się od wystarczalności; to znaczy, że wiele kontroli o różnym stopniu precyzji może być zaangażowanych w osiągnięcie celu kontroli lub złagodzenie ryzyka. Precyzja jest ważnym czynnikiem przy przeprowadzaniu oceny ryzyka z góry na dół SOX 404. Po zidentyfikowaniu konkretnych ryzyk istotnego zniekształcenia sprawozdawczości finansowej, kierownictwo i audytorzy zewnętrzni są zobowiązani do zidentyfikowania i przetestowania kontroli, które łagodzą te ryzyka. Wiąże się to z dokonywaniem ocen dotyczących zarówno precyzji, jak i wystarczalności kontroli wymaganych do złagodzenia ryzyk. Ryzyka i kontrole mogą być na poziomie jednostki lub na poziomie asercji zgodnie z wytycznymi PCAOB. Kontrole na poziomie jednostki są identyfikowane w celu zajęcia się ryzykami na poziomie jednostki. Jednak kombinacja kontroli na poziomie jednostki i na poziomie asercji jest zazwyczaj identyfikowana w celu zajęcia się ryzykami na poziomie asercji. PCAOB ustanowiła trójpoziomową hierarchię rozważania precyzji kontroli na poziomie jednostki.

Rodzaje Polityk Kontroli Wewnętrznej

Kontrola wewnętrzna odgrywa ważną rolę w zapobieganiu i wykrywaniu oszustw. Zgodnie z Ustawą Sarbanes-Oxley, firmy są zobowiązane do przeprowadzenia oceny ryzyka oszustw i oceny powiązanych kontroli. Zazwyczaj wiąże się to z identyfikacją scenariuszy, w których może dojść do kradzieży lub straty, i ustaleniem, czy istniejące procedury kontrolne skutecznie zarządzają ryzykiem do akceptowalnego poziomu. Ryzyko, że kadra kierownicza wyższego szczebla może uchylić ważne kontrole finansowe w celu manipulowania sprawozdawczością finansową, jest również kluczowym obszarem zainteresowania w ocenie ryzyka oszustw.

Kontrola Wewnętrzna a Doskonalenie Procesów

Kontrole można oceniać i udoskonalać, aby usprawnić i zwiększyć efektywność działania firmy. Na przykład, automatyzacja kontroli, które są z natury ręczne, może obniżyć koszty i usprawnić przetwarzanie transakcji. Jeśli kadra kierownicza postrzega system kontroli wewnętrznej jedynie jako środek zapobiegania oszustwom i przestrzegania przepisów prawa i regulacji, ważna szansa może zostać pominięta. Kontrole wewnętrzne mogą być również wykorzystywane do systematycznego usprawniania działalności przedsiębiorstw, szczególnie w zakresie skuteczności i efektywności.

Podsumowanie

Kontrola zarządcza wewnętrzna to nie tylko zbiór procedur, ale strategiczne narzędzie wspomagające realizację celów biznesowych. Skutecznie wdrożony system kontroli wewnętrznej minimalizuje ryzyko, chroni aktywa, zapewnia wiarygodność sprawozdań finansowych i przyczynia się do poprawy efektywności operacyjnej. Inwestycja w solidną kontrolę wewnętrzną to inwestycja w przyszłość i stabilność organizacji.

Jeśli chcesz poznać inne artykuły podobne do Kontrola Zarządcza Wewnętrzna: Klucz do Efektywności Biznesu, możesz odwiedzić kategorię Rachunkowość.