Dôveryhodná účtovníčka so 16-ročnou praxou. Pečiatka s podpisom ponechaná v zásuvke jej písacieho stola. Sto päťdesiat štyri šekov vystavených na vlastné meno v priebehu desiatich rokov. Kým si to majiteľ všimol, viac ako 200 000 USD bolo preč – a s tým aj akákoľvek reálna šanca na vrátenie peňazí.
Tento príbeh nie je ojedinelý. Správa Asociácie certifikovaných vyšetrovateľov podvodov (ACFE) z roku 2024 s názvom „Report to the Nations“ zistila, že organizácie s menej ako 100 zamestnancami trpia mediánovou stratou 141 000 USD na jeden prípad podvodu – čo je najviac zo všetkých kategórií veľkostí spoločností. Typický podvod trvá 12 mesiacov, kým si ho niekto všimne, pričom každý mesiac unikne zhruba 9 900 USD. A najbežnejší dôvod, prečo sú malé podniky zasiahnuté tvrdšie ako veľké? Nedostatok vnútorných kontrol – najmä skutočnosť, že jedna osoba vykonáva všetku finančnú prácu, pretože „sme príliš malí na to, aby sme to rozdeľovali“.
Nie ste príliš malí. Len potrebujete iný plán, než aký by navrhol kontrolór vo firme z rebríčka Fortune 500. Toto je ten plán.
Čo v skutočnosti znamená oddelenie funkcií
Ak odhliadneme od audítorského žargónu, oddelenie funkcií (SoD – Segregation of Duties) je jedna neoblomná myšlienka: žiadna osoba by nemala mať možnosť dopustiť sa finančného pochybenia a následne ho skryť. To je celá podstata. Každé ďalšie pravidlo, kontrola a postup vychádza z tohto jedného princípu.
Audítori rozdeľujú finančnú prácu každého podniku do štyroch funkcií. Aby bolo ťažké spáchať podvod alebo urobiť významné chyby, tieto štyri funkcie by mali byť, kedykoľvek je to možné, rozdelené medzi rôznych ľudí:
| Funkcia | Čo zahŕňa | Príklad |
|---|---|---|
| Schvaľovanie | Potvrdenie, že transakcia sa má uskutočniť | Schválenie dodávateľskej faktúry, schválenie miezd, schválenie refundácie |
| Správa majetku | Fyzická alebo digitálna kontrola samotného aktíva | Držba šekovej knižky, podpisové právo, držba firemnej kreditnej karty |
| Zaznamenávanie | Zápis transakcie do účtovných kníh | Zaúčtovanie faktúr do účtovného systému, zaznamenávanie vkladov, spracovanie miezd |
| Zosúladenie | Overenie, či záznamy súhlasia s nezávislými dôkazmi | Zosúladenie bankového výpisu s hlavnou knihou, porovnanie výpisu z kreditnej karty s dokladmi |
Účtovník, ktorý transakciu zaznamenal, by ju nemal zároveň zosúlaďovať. Osoba, ktorá má šekovú knižku, by nemala zároveň schvaľovať faktúry. Majiteľ, ktorý podpisuje šeky, by nemal sám v izolácii zosúlaďovať bankový účet. Každá funkcia vyžaduje iný pár očí.
V spoločnosti s 50 zamestnancami je oddelenie týchto štyroch funkcií jednoduché. V spoločnosti s tromi ľuďmi sa to zdá nemožné – a to je moment, kedy to väčšina majiteľov vzdá a jednoducho všetko zverí „účtovníkovi, ktorému dôverujú“. Čo je presne ten scenár, ktorým začína takmer každá prípadová štúdia o sprenevere.
Prečo „Dôverujem im“ nie je kontrola
Takmer každý nahlásený prípad sprenevery účtovníkom zdieľa rovnakú úvodnú vetu: majiteľ páchateľovi úplne dôveroval. Dodávateľ z Ohia dôveroval Deborah Hallovej 16 rokov. Stavebná firma dôverovala svojej účtovníčke pri 18 podvodných šekoch v celkovej hodnote viac ako 44 000 USD. Vedúcej kancelárie v oblasti kúrenia a chladenia Angele Cooperovej dôverovali natoľko, že jej zverili majiteľovu pečiatku s podpisom; použila ju na sfalšovanie viac ako 100 šekov a privlastnila si 158 658 USD.
Dôvera nie je kontrola. Dôvera je to, čo vytvára príležitosť – podmienky, v ktorých môže dôjsť k podvodu a zostať neodhalený. Kontroly sú to, čo túto príležitosť odstraňuje. Účelom budovania vnútorných kontrol vo vašom malom podniku nie je obviňovať vašich zamestnancov; ide o to, aby aj dokonale čestný účtovník mal štrukturálnu záchrannú sieť zachytávajúcu neúmyselné chyby, a aby akýkoľvek zlý úmysel vyžadoval získanie spolupáchateľa skôr, než by bolo možné ukradnúť čo i len cent.
Povedané inak: ak je vašou jedinou ochranou pred šesťcifernou stratou váš odhad niekoho charakteru, nemáte ochranu. Máte nádej.
Realita troch osôb
Buďme konkrétni. Predpokladajme, že vaša firma má:
- Vás (majiteľ)
- Účtovníka (na plný alebo čiastočný úväzok, interný alebo externý)
- Prevádzkového alebo kancelárskeho manažéra (jeden univerzálny zamestnanec)
Nemôžete si dovoliť kontrolóra. Nemôžete si dovoliť samostatného pracovníka pre záväzky, pohľadávky a pokladníka. Tu je to, čo môžete urobiť – a stačí to na dramatické zníženie rizika podvodu.
Krok 1: Načrtnite toky vašich transakcií
Vezmite si papier a zapíšte životný cyklus každého dôležitého toku peňazí:
- Peňažné príjmy – Ako prichádzajú peniaze? Kto otvára poštu / spracováva platby / účtuje vklady / vykonáva zosúladenie?
- Výdavky – Ako odchádzajú peniaze? Kto schvaľuje faktúry / podpisuje šeky alebo iniciuje ACH / zaznamenáva platby / vykonáva zosúladenie?
- Mzdy – Kto pridáva a odoberá zamestnancov / schvaľuje hodiny / spracováva mzdy / zosúlaďuje s hlavnou knihou?
- Zásoby alebo iný majetok – Kto má fyzický prístup / zaznamenáva pohyby / počíta a zosúlaďuje?
Pri každom kroku napíšte meno osoby, ktorá ho vykonáva. Ak sa v ktoromkoľvek riadku objaví rovnaké meno pri schvaľovaní, správe, zaznamenávaní a zosúladení, máte varovný signál v oblasti SoD.
1. Cash receipts — How does money come in? Who opens the mail / processes payments / posts deposits / reconciles?
2. Disbursements — How does money go out? Who approves bills / signs checks or initiates ACH / records the payment / reconciles?
3. Payroll — Who adds and removes employees / approves hours / runs payroll / reconciles to the GL?
4. Inventory or other assets — Who has physical access / records movements / counts and reconciles?
### Krok 2: Urobte každé rozumné rozdelenie kompetencií, ktoré môžete
Dokonca aj s tromi ľuďmi zvyčajne dokážete realizovať tie najdôležitejšie rozdelenia úloh:
- **Majiteľ podpisuje všetky šeky** nad nízkou hranicou (napríklad 500 €). Účtovník pripravuje šeky, ale nikdy ich nepodpisuje a nikdy nemá podpisové právo. **Účtovníkovi by nikdy nemalo byť dovolené podpisovať šeky. Nikdy.**
- **Majiteľ – nie účtovník – schvaľuje nových dodávateľov** predtým, než im môže byť uhradená akákoľvek platba. Podvody s fiktívnymi dodávateľmi sú najjednoduchšou schémou na svete a táto jediná kontrola ich eliminuje.
- **Vedúci kancelárie otvára poštu a každý prichádzajúci šek opečiatkuje „Len na vklad“** predtým, než ho odovzdá ďalej. Účtovník eviduje príjmy, ale nikdy ich nemá vo fyzickej držbe predtým, než sú reštriktívne indosované.
- **Účtovník eviduje transakcie; majiteľ vykonáva odsúhlasenie bankového účtu** (viac o tom, ako to robiť správne, o chvíľu).
- **Majiteľ schvaľuje mzdy** v každom cykle – meno po mene, euro po eure – predtým, než sú odoslané. Schémy s fiktívnymi zamestnancami sú zastavené majiteľom, ktorý sa pozrie na mzdový register a pozná každú tvár.
To nie je dokonalé oddelenie funkcií. Stačí to však na to, aby väčšina podvodných schém vyžadovala kolúziu (dohodu viacerých osôb) – a vo chvíli, keď sa musia sprisahať dvaja ľudia, vaše riziko dramaticky klesá.
### Krok 3: Všade inde použite kompenzačné kontroly
**Kompenzačná kontrola** je to, čo audítori nazývajú akýmkoľvek kontrolným krokom, ktorý pridáte, keď úplné oddelenie funkcií nie je realistické. Nie sú také silné ako skutočná segregácia úloh, ale spolu sú prekvapivo účinné. Tie najdôležitejšie pre malú firmu sú:
- **Kontrola bankového výpisu majiteľom *predtým*, než sa vykoná odsúhlasenie.** Toto je kontrolný mechanizmus s najväčším prínosom na celom tomto zozname. Nechajte banku posielať výpisy poštou (alebo e-mailom PDF priamo) majiteľovi každý mesiac. Majiteľ ho otvorí, skontroluje neznámych príjemcov, neobvyklé prevody alebo sumy, ktoré nezapadajú do bežného rámca, a *potom* ho odovzdá na odsúhlasenie. Iniciály a dátum na výpise = hotovo.
- **Mesačné odsúhlasenie bankového účtu skontrolované a podpísané majiteľom.** Aj keď ho vykonáva účtovník, majiteľ skontroluje dokončené odsúhlasenie a podpíše sa na spodok. Pozrite sa na nevyplatené šeky: sú tam nejaké staré? Pozrite sa na vklady v tranzite: boli skutočne pripísané nasledujúci mesiac?
- **Povinné ročné dovolenky v trvaní aspoň jedného celého týždňa** pre každého, kto pracuje s účtovníctvom, počas ktorých jeho prácu prevezme niekto iný. Prevažná väčšina dlhodobých schém sprenevery sa odhalí vo chvíli, keď účtovné knihy otvorí druhá osoba. Mnohé podvody účtovníkov boli odhalené práve preto, že páchateľ bol nútený vziať si voľno.
- **Náhodné kontroly.** Periodicky vyberte náhodné platby za jeden týždeň a spätne dohľadajte každú z nich k faktúre, schváleniu a zaúčtovanému zápisu. Nemusíte to robiť často – stačí aj štvrťročne – ale skutočnosť, že k tomu *môže* dôjsť, pôsobí odstrašujúco.
- **Kanál pre oznamovateľov / whistleblowing.** Znie to korporátne, ale nemusí to tak byť. Povedzte svojim zamestnancom písomne, že môžu nahlásiť obavy priamo vám (alebo vášmu účtovnému poradcovi) bez obáv z odplaty. **Tipy od zamestnancov sú spôsobom, akým sa odhalí 43 % všetkých podvodov na pracovisku** – viac než trojnásobok akejkoľvek inej metódy detekcie. Vaši zamestnanci vidia veci, ktoré vy nevidíte.
### Krok 4: Zabezpečte systém, nielen ľudí
Aj s obmedzeným počtom zamestnancov vám váš účtovný softvér, bankový portál a mzdový systém poskytujú obrovskú páku, ak ich správne nakonfigurujete:
- **Samostatné používateľské prihlasovacie údaje pre každú osobu.** Žiadne zdieľané heslá. Nikdy. Ak sa niečo pokazí, musíte vedieť, ktorý používateľ to urobil.
- **Prístupové práva založené na rolách v účtovnom systéme.** Váš účtovník nepotrebuje oprávnenie na mazanie transakcií, stornovanie šekov po ich preplatení, zmenu bankových údajov dodávateľov alebo úpravu účtovnej osnovy. Väčšina moderných systémov umožňuje každú z týchto funkcií vypnúť.
- **Zapnuté a kontrolované auditné záznamy (logy).** Ak váš softvér uchováva záznamy o zmenách, naučte sa ich čítať. Periodicky nahliadnite do vymazaných položiek, úprav historických období a zmien v kmeňových údajoch dodávateľov.
- **Banková duálna autorizácia pre prevody a platby** nad určitý limit. Väčšina podnikateľských bankových portálov to podporuje. Používajte to. Účtovník platbu iniciuje; majiteľ ju uvoľní.
- **Positive Pay** (alebo akokoľvek to vaša banka nazýva) na bežnom účte. Nahráte zoznam šekov, ktoré ste vystavili; banka odmietne preplatiť čokoľvek, čo nie je v zozname. Toto takmer úplne eliminuje podvody s falšovaním šekov a pri podnikateľských účtoch je to často bezplatná služba.
### Krok 5: Zapojte externého odborníka na čiastočný úväzok
Ak nemôžete úplne rozdeliť povinnosti interne, **„požičajte“ si segregáciu úloh zvonku spoločnosti.** Možnosti, ktoré sú zvyčajne cenovo dostupné aj pre malé firmy:
- Externá účtovná firma, ktorá vykonáva prácu, zatiaľ čo vy robíte schvaľovanie a kontrolu odsúhlasenia.
- Externý finančný riaditeľ (fractional CFO) alebo externý účtovník, ktorý kontroluje mesačné finančné výkazy, testuje vzorky transakcií a ticho slúži ako druhý pár očí.
- Ročná previerka (o krok jednoduchšia ako audit) vykonaná audítorom, ktorá často odhalí slabiny v kontrole dávno predtým, než sa zmenia na straty.
Outsourcing jednej zo štyroch funkcií je často lacnejší ako prijatie ďalšieho zamestnanca a poskytuje oveľa silnejšiu kontrolu než čokoľvek, čo by ste mohli vybudovať interne s tromi ľuďmi.
## Praktický príklad: Sprísnenie kontroly výdavkov
Prejdime si jeden kompletný proces – platenie faktúr – aby sme si to ukázali v praxi vo firme s tromi zamestnancami.
**Pred sprísnením:**
> Účtovník prijíma faktúry, nahadzuje ich do účtovného systému, tlačí šeky, podpisuje ich pečiatkou s podpisom majiteľa, odosiela ich poštou a na konci mesiaca vykonáva odsúhlasenie bankového účtu.
To sú všetky štyri funkcie v jedných rukách, plus držba podpisovej pečiatky. Toto je učebnicové nastavenie pre podvody.
**Po sprísnení:**
1. Office manažér (alebo účtovník) prijíma faktúry a zadáva ich do systému ako záväzky, **ale nemôže ich uhradiť**.
2. Majiteľ si týždenne vytiahne neuhradené faktúry, **každú skontroluje voči podpornej dokumentácii** a označí tie, ktoré sú schválené na úhradu.
3. Účtovník vygeneruje platobný príkaz len pre schválené faktúry (šeky a/alebo ACH).
4. **Majiteľ fyzicky podpíše každý šek.** Podpisová pečiatka je skartovaná.
5. ACH platby vyžadujú, aby sa majiteľ prihlásil do bankového portálu a **uvoľnil** (autorizoval) súbor, ktorý pripravil účtovník.
6. Bankový výpis je zasielaný poštou (alebo e-mailom) **priamo majiteľovi**, ktorý ho otvorí, skontroluje, parafuje a *potom* ho odovzdá účtovníkovi na odsúhlasenie.
7. Dokončené odsúhlasenie sa vráti majiteľovi, ktorý skontroluje a podpíše krycí list.
Prešli ste od jednej osoby kontrolujúcej každý krok k procesu, kde by ukradnutie eura vyžadovalo buď (a) sfalšovanie podpisu majiteľa na šeku (čo zachytí služba „positive pay“), alebo (b) prinútenie majiteľa aktívne schváliť podvodnú faktúru (čo zachytí kontrola podpornej dokumentácie), alebo (c) nábor spolupáchateľa. Riziko podvodu neklesne na nulu – nič neklesne – ale zmení sa z „triviálne jednoduchého“ na „skutočne ťažké a s vysokou pravdepodobnosťou odhalenia“.
## Ako kvalitné účtovníctvo toto všetko umožňuje
Každá vyššie uvedená kontrola závisí od jedného tichého predpokladu: **vaše účtovníctvo musí byť dostatočne čisté, aby anomálie vynikli.** Ak je vaša hlavná kniha chaosom nesprávne kódovaných transakcií, zlúčených kategórií a nezaradených zápisov typu „Opýtať sa účtovníka“, potom majiteľ kontrolujúci bankový výpis nemá žiadny základ na porovnanie. Podozrivé platby sa skryjú v šume.
Solidné a dobre organizované účtovníctvo je to, čo mení tieto kontroly z divadla na ochranu. Odsúhlasenia zachytia podvod len vtedy, keď skutočne súhlasia do posledného centu. Kontrola dodávateľov funguje len vtedy, keď sú dodávatelia zadávaní konzistentne. Hľadanie vzorcov funguje len vtedy, keď v údajoch existuje skutočný vzorec.
Plain-text účtovníctvo s verziovaním je tu obzvlášť silné, pretože každá zmena je zaznamenaná v histórii súborov. Vidíte presne, čo sa zmenilo, kedy a kým – je to vstavaná audítorská stopa bez nutnosti kupovať drahú podnikovú GRC platformu. To je štrukturálna výhoda pre malé firmy, ktoré si nemôžu dovoliť kontrolóra alebo oddelenie auditu.
## Štvrťročný zoznam kontrolných bodov pre internú kontrolu
Vytlačte si to. Prilepte si to do vnútra kartotéky. Prejdite si to každé tri mesiace.
- [ ] Prejdite jednu celú transakciu v každom hlavnom cykle (príjmy, výdavky, mzdy) a overte, či prebehla podľa vášho zdokumentovaného procesu.
- [ ] Vytiahnite si odsúhlasenie bankového účtu za posledný mesiac a potvrďte, že bankový výpis súhlasí s konečným zostatkom v hlavnej knihe, pričom neexistujú žiadne nevysvetlené položky staršie ako 60 dní.
- [ ] Skontrolujte zoznam dodávateľov. Preverte všetkých dodávateľov pridaných v poslednom štvrťroku, ktorých nespoznávate. Porovnajte adresy dodávateľov s adresami zamestnancov.
- [ ] Skontrolujte mzdovú evidenciu za jeden cyklus. Identifikujte každé meno. Preverte každého nového zamestnanca alebo zmenu sadzby.
- [ ] Skontrolujte denník auditu účtovného systému, či neobsahuje vymazané alebo stornované transakcie. Preverte tie, ktoré sú v uzavretých obdobiach.
- [ ] Potvrďte, že všetci evidovaní zamestnanci si v poslednom štvrťroku vyčerpali aspoň povinné dni dovolenky.
- [ ] Potvrďte, že podpisové právo k bankovým účtom stále zodpovedá vášmu zámeru.
- [ ] Vytiahnite si výpisy z kreditných kariet a overte, či každá platba má zdokumentovaný podnikateľský účel a doklad.
Dvadsať až tridsať minút, štyrikrát ročne. Účtovníčka v Plant Nutrition Services realizovala svoj plán, kým majiteľ nezomrel. Nedovoľte, aby načasovanie odhalenia bolo len otázkou šťastia.
## Kedy povoliť – a kedy ešte viac pritvrdiť
Interné kontroly nie sú o paranoji; sú o prispôsobení kontroly riziku. Tipy na kalibráciu:
- **Pritvrďte**, keď rastie objem hotovosti, keď prijímate nového účtovníka, po akomkoľvek incidente, ktorý takmer skončil škodou, keď získate externých investorov, keď začnete spravovať cudzie prostriedky (napr. zálohy zákazníkov, depozity), alebo keď zistíte, že nedokážete vysvetliť položku na bankovom výpise.
- **Povoľte** (mierne), keď kontroly spôsobujú skutočné prevádzkové ťažkosti *a* máte inde zavedenú silnú kompenzačnú kontrolu. Každá kontrola má svoje náklady; cieľom je minimálny súbor, ktorý vám poskytne adekvátne pokrytie.
- **Nikdy nepovoľujte** právomoc podpisovať šeky, schvaľovanie dodávateľov alebo kontrolu bankového výpisu ako prvá osoba. Tieto tri body sú nosnými stenami celej konštrukcie.
## Majte svoje financie v poriadku od prvého dňa
Silné interné kontroly fungujú len na čistom a dobre organizovanom účtovníctve. Ak nemôžete veriť číslam, nemôžete veriť odsúhlaseniam – a celý systém kontroly sa zrúti. [Beancount.io](https://beancount.io) poskytuje plain-text účtovníctvo, ktoré vám dáva úplnú transparentnosť a kompletnú históriu verzií každej zmeny vo vašej účtovnej knihe – druh vstavanej audítorskej stopy, za ktorú si malé firmy bežne musia kupovať drahý softvér. [Začnite zadarmo](https://beancount.io) a zistite, prečo vývojári a finanční profesionáli prechádzajú na plain-text účtovníctvo – a pozrite si naše [hostované Fava dashboardy](/fava/) pre okamžité vizualizácie nad vaším účtovníctvom.
Najlacnejšia interná kontrola, ktorú kedy vybudujete, je disciplína čistého účtovníctva kontrolovaného druhým párom očí. Tou najdrahšou je súdny spor, ktorý podáte o tri roky neskôr v nádeji, že získate späť aspoň desať centov z každého eura.