Kontrola wewnętrzna jako element usprawniający rachunkowość

28. 02. 2022 | Łukasz Walkiewicz

Kontrola wewnętrzna jest niezbędnym elementem, który powinien zostać zaimplementowany w każdym przedsiębiorstwie, bowiem kontrola, identyfikacja, analiza i ocena wszelkiego rodzaju ryzyk stanowi prawidłowo zaprojektowany i wdrożony system, który jest integralną częścią sprawnie funkcjonującej nowoczesnej organizacji. Wspiera nie tylko skuteczne i efektywne działanie procesów biznesowych, ale jest niezwykle istotne – nadaje kształt i określa zasady współpracy, przepływu informacji oraz monitorowania działań w ramach całej organizacji.

System kontroli wewnętrznej jest kompleksowym podejściem, którego częściami składowymi są m.in. analiza oraz zarządzanie ryzykiem, audyt wewnętrzny, adekwatny dobór i rozwój systemów informatycznych sprzyjający realizacji krótko i długoterminowej strategii organizacji, skutecznie działające mechanizmy kontrolne w procesach biznesowych wpierane efektywnie wdrożonymi systemami informatycznymi, lad korporacyjny. Jest to również proces, który wspiera organizację w osiągnięciu celów w następujących obszarach:

1)     Skuteczność i efektywność operacji,

2)     Redukcja ryzyka utraty aktywów,

3)     Wiarygodność sprawozdawczości finansowej,

4)     Zgodność z obowiązującymi przepisami i regulacjami.

Przy czym warto pamiętać, że kontrola wewnętrzna to nie tylko skuteczna ochrona przed powstawaniem strat na skutek słabości ludzkich, systemowych, organizacyjnych, operacyjnych czy kontrolnych, ale również okoliczność sprzyjająca właściwemu wykorzystaniu potencjału ekonomicznego, organizacyjnego i ludzkiego danej organizacji.

Główne składniki kontroli wewnętrznej

Występuje kilka składników kontroli wewnętrznej, które zapewniają prawidłowość funkcjonowania danej organizacji.

• Środowisko kontroli – jest to zapewnienie podstawowej struktury organizacyjnej, dyscypliny i systemu wartości, jakimi kieruje się dana organizacja, co umożliwi stworzenie odpowiednich ram zapewniających dobre zarządzanie powierzonymi zasobami.

• Ocena ryzyka – Rozpoznanie i analiza wewnętrznych i zewnętrznych obszarów ryzyka zagrażających osiągnieciu celów jednostki. W komisji dla wszystkich działań należy wyznaczyć cele, które powinny być zdefiniowane, wymierne, osiągalne, stosowne i określone w czasie (SMART), a dla głównych działań należy opracować analizę ryzyka i wprowadzić zarządzanie ryzykiem
• Działania kontrolne – Określenie zasad i konkretnych procedur stosowanych przez organizację w celu zapewnienia odpowiedniego zarządzania zidentyfikowanymi obszarami ryzyka. Działania kontrolne obejmują szereg różnych działań takich jak zezwolenia, weryfikacje, przeglądy działań operacyjnych, przetwarzanie informacji, kontrole fizyczne czy podział obowiązków. Zalicza się do nich także kontrole powiązań i transakcji z podmiotami powiązanymi.
• Informacja i komunikacja – Zapewnienie odpowiednich ram na potrzeby osiągnięcia celów sprawozdawczości finansowej oraz zgodności. Dotyczy to systemu rachunkowości oraz procedur i zapisów księgowych, które stosowane są do inicjowania, rejestrowania, przetwarzania i wykazywania transakcji oraz w celu utrzymania rozliczalności w odniesieniu do odpowiednich aktywów, zobowiązań i kapitału własnego.
• Monitorowanie – Zapewnienie ciągłej oceny wyników. Cel ten obejmuje audyt wewnętrzny i ocenę, jak również coroczny przegląd kontroli wewnętrznej.

Występuje również szereg czynników, które ograniczają skuteczność kontroli wewnętrznej w organizacji, są to między innymi:

• Uchybienia w systemach informatycznych
• Transakcje niestandardowe
• Zmiany na kluczowych stanowiskach
• Zmiany w procesie przetwarzania transakcji
• Zmowa
• Obchodzenie kontroli przez kierownictwo
• Dokumenty podpisane bez weryfikacji

System kontroli wewnętrznej powinien być elastyczny i dostosowany do specyficznych potrzeb danej organizacji. Każdy mechanizm kontrolny, który funkcjonuje w organizacji powinien stanowić odpowiedź na konkretne ryzyko, które jednostka zamierza ograniczyć. Należy jednak pamiętać, aby koszty wdrożenia oraz stosowania mechanizmów kontroli nie były wyższe niż uzyskane dzięki nim korzyści. Działania kontrolne są podejmowane na wszystkich szczeblach struktury organizacyjnej przedsiębiorstwa, we wszystkich jego komórkach. Obejmują one dokumentowanie systemu kontroli, dokumentowanie i rejestrowanie operacji finansowych oraz gospodarczych, autoryzacje tych dokumentów i ich weryfikację, nadzór oraz rejestrowanie odstępstw, a także ochronę zasobów.

Kontrola wewnętrzna i odpowiednia organizacja jej procesu stanowi również coraz większą rolę w sprawozdawczości finansowej. Ze względu na rosnącą liczbę transakcji oraz częste przeprowadzanie ich za pośrednictwem drogi elektronicznej, coraz większą rolę w sprawozdawczości finansowej odgrywa odpowiednia organizacja procesu kontroli wewnętrznych. Dotyczy to nie tylko dużych korporacji, w których proces ten jest bardziej sformalizowany, lecz również mniejszych firm, w których kontrole mają najczęściej charakter nieformalny. Odpowiednie zaplanowanie całego procesu jest kluczowe z punktu widzenia prawidłowego funkcjonowania przedsiębiorstwa oraz poprawności sporządzenia sprawozdania finansowego. Odpowiednio zaplanowany i wdrożony system identyfikacji ryzyka i kontroli wewnętrznej jest niezbędny do prawidłowego funkcjonowania organizacji. Pomaga on usprawniać działanie najważniejszych procesów w firmie, a także dostarcza pewności, że dane wykazywane w raportach oraz sprawozdaniach nie zawierają błędów.

Zarządzanie ryzykiem

Każda organizacja narażona jest na różnego rodzaju ryzyko. Właściwa identyfikacja, rozumienie i kompleksowe zarządzanie ryzykiem to kluczowe elementy świadomego budowania przewagi konkurencyjnej. Równowaga pomiędzy zyskami a odpornością na ryzyko, ład korporacyjny, zgodność z przepisami czy bezpieczeństwo realizowanych projektów to kluczowe elementy, które stoją za stabilnością biznesu. Skuteczne zarządzanie ryzykiem zapewnia ochronę działalności przedsiębiorstwa oraz jej stabilny wzrost.

Aby prawidłowo zarządzać ryzykiem, poszczególne kontrole powinny zawsze być projektowane, wdrażane i stosowane w taki sposób aby były odpowiedzią na zidentyfikowane przez organizację czynniki ryzyka, jego przyczyny i skutki. Kontrole są bowiem środkiem do osiągania celu jakim jest skuteczne zarządzanie ryzykiem, które umożliwi organizacji osiągnięcie ustalonych przez nią celów.

Należy sobie zadać bardzo ważne pytanie – a mianowicie, to „jakie rodzaje ryzyka zaprojektowana kontrola ma ograniczać lub też całkowicie wyeliminować”. Osoby odpowiedzialne za wdrożenie odpowiednich kontroli wewnętrznych powinny zadbać o to, aby wszystkie procesy podejmowania decyzji strategicznych i operacyjnych były wspierane przez zarządzanie ryzykiem i późniejszą weryfikację efektywności zaimplementowanej kontroli. Wszystkie istotne odchylenia od zamierzonego rezultatu muszą zostać poddane ocenie. Należy również rozważyć potrzebę pozostania elastycznymi, unikać nadmiernej kontroli, ponieważ celem kontroli wewnętrznej jest umożliwianie, nie zaś utrudnianie realizacji celów organizacji, zatem planowanie tego procesu jest fundamentalnym i niekiedy bardzo trudnym czynnikiem. W zależności od typu i stopnia zagrożenia i na podstawie, między innymi, opisanych powyżej aspektów kontroli wewnętrznej, organizacja może zdecydować o:

• niepodejmowaniu pewnego ryzyka poprzez nie rozpoczynanie lub zakończenie działalności, która powoduje powstanie czynników ryzyka,
• podjęciu dodatkowego ryzyka w pogoni za wyższym zyskiem poprzez zaangażowanie w bardziej ryzykowne działania lub obniżeniu poziomu kontroli wewnętrznej,
• kontrolowaniu ryzyka, poprzez usuwanie źródła, zmianę prawdopodobieństwa lub zmiany charakteru, wielkości lub czasu trwania skutków,
• podziale ryzyka przez dodatkowe ubezpieczenie, co jest również uważane za kontrolę,
• zaakceptowaniu ryzyka, poprzez nie podejmowanie żadnych działań oprócz monitorowania zmian ryzyka.

Równowaga między ryzykiem i związaną z nią kontrolą nieustannie ulega zmianie w dynamicznym środowisku gospodarczym a kontrole powinny być stale poddawane ponownej ocenie i optymalizacji. Ponowna ocena czynników ryzyka i dostosowanie do niej procedur kontroli wewnętrznej powinny być prowadzone w cyklu ciągłym. Warto zatem podkreślić, że system kontroli wewnętrznych jest procesem ciągłym, co oznacza, że kierownictwo jednostki powinno stale pracować nad słabościami i udoskonalaniem kontroli wewnętrznych poprzez wprowadzanie nowych punktów kontrolnych w procesach, w których zidentyfikowano słabości niosące za sobą ryzyka związane z możliwością zniekształcenia danych finansowych.

Zmiany w strategii podejmowania ryzyka prowadzą do zmian w zakresie stosowanych procedur kontroli wewnętrznej. Ponadto zewnętrzne zdarzenia mogą mieć wpływ na ryzyko, które z kolei może wymagać od nas zmian systemie kontroli wewnętrznej.

Trud włożony przez organizację w planowanie, realizację oraz monitorowanie kontroli wewnętrznej powinien być odpowiednio zrównoważony poprzez dążenie do osiągnięcia zaplanowanych celów gospodarczych organizacji. Przy zbyt małej uwadze poświęconej kontroli wewnętrznej, cele biznesowe nie zostaną osiągnięte. Z drugiej strony, zbyt rygorystyczne podejście do wymagania kontroli może sparaliżować organizację: kontrola wewnętrzna staje się celem samym w sobie. Najczęściej system kontroli wewnętrznej występuje w postaci pisemnych instrukcji i procedur, ale może on nie być w wystarczającym stopniu stosowany w codziennej pracy w jednostce, dlatego tak ważnym jest cykliczna weryfikacja czy wdrożone kontrole są stosowane i przede wszystkim czy działają one efektywnie. Jeżeli wdrożone przez organizację kontrole nie działają efektywnie to warto zastanowić się nad ich optymalizacją, gdyż okazuje się, że wdrożona kontrola występuje jedynie po to, aby była – nie jest zaś wykorzystywana w odpowiedni sposób i nie pomaga organizacji w osiągnieciu założonych przez nią celów biznesowych.

Celem nadrzędnym zarządzania ryzykiem, które zależy w dużej mierze przede wszystkim od skłonności do ryzyka i oczekiwanej stopy zwrotu, należy zaliczyć ograniczenie strat oraz zwiększenie przychodów lub marży przedsiębiorstwa. Bez wątpienia możemy stwierdzić, że systematyczność podejścia jest kluczem do sukcesu w zarządzaniu ryzykiem. Ryzyko jest nieodłącznym elementem działalności gospodarczej. Podczas podejmowania strategicznych decyzji biznesowych organizacje powinny mieć świadomość ryzyka jakie jest związane z daną decyzją. Większość podmiotów gospodarczych tę świadomość ma, kwestia tylko na ile świadomie podejmowane są odpowiednie kroki, aby to ryzyko zminimalizować, a co za tym idzie, aby podejmowane decyzje przyniosły odpowiedni efekt dla organizacji. Rozwiązaniem może być wdrożenie kompleksowego procesu zarządzania ryzykiem, czyli wprowadzenie systemowego i całościowego rozwiązania opartego na systematycznym podejściu do identyfikacji, kategoryzacji, wartościowania i proaktywnej optymalizacji wszystkich grup ryzyka, na jakie narażone jest przedsiębiorstwo w celu budowy wartości firmy. Należy również mieć na uwadze, że najczęściej ryzyka nie da się całkowicie wyeliminować. Zgodnie z powszechnie przyjętymi definicjami ryzyka może ono być określone jako kombinacja prawdopodobieństwa zdarzenia i jego skutków, które mogą nastąpić i wpłynąć pozytywnie lub negatywnie na osiągnięcie celów biznesowych i realizację strategii organizacji. Wiedza na temat szacunków odnośnie prawdopodobieństwa i skutków zdarzenia daje możliwość podjęcia odpowiednich działań, aby ryzyko minimalizować. W tym kontekście ryzyko należy rozpatrywać jako ryzyko wrodzone i ryzyko rezydualne które po zastosowaniu możliwych, bądź częściowych środków kontroli oraz najlepszych praktyk w postępowaniu z nim, uwzględniając także element kosztowy, nadal pozostaje realne. Niektóre ze zidentyfikowanych ryzyk mogą być mierzone w sposób ciągły na bazie zdefiniowanych miar KRI (Key Risk Indicators) oraz zdefiniowanych dashboardów, w oparciu o istniejące dane w systemach IT. Jest to z niewątpliwie podejście bardziej optymalne aniżeli podejście oparte o okresową np. roczną ocenę zidentyfikowanych ryzyk w oparciu o wiedzę ekspercką.

Ocena ryzyka w sposób ciągły pozwala na bieżąco reagować na pojawiające się odchylenia od poziomu ryzyka zdefiniowanego jako akceptowalny dla organizacji i podejmować stosowne działania w krótkim czasie.

Podsumowanie

Kontrola wewnętrzna stanowi istotny element procesu zarządzania. Możemy nawet stwierdzić, że bez wdrożenia odpowiedniej kontroli nie jest możliwym efektywne zarządzanie jednostką. W celu osiągnięcia tej efektywności działania kontrolne powinny być przydatne, powiązane z zakresami odpowiedzialności w jednostce, zorientowane na cele, obiektywne, rzetelne oraz wiarygodne, realizowane z pożądaną szczegółowością i elastycznością. Cechy te powinny być uwzględniane przy budowie systemu kontroli wewnętrznej. Konstruując system kontroli wewnętrznej należy jednak pamiętać, aby nie doprowadzić do przeformalizowania i nadmiaru kontroli, gdyż prowadzi to do zakłócenia równowagi funkcjonalnej, ogranicza inicjatywę w systemie wykonawczym, a tym samym powoduje obniżenie efektywności działania.