Jak posílit interní kontrolní systém? Inspirujte se v regulaci SOX

Chcete ušetřit čas, usnadnit rozhodování a zvýšit přínos interního auditu? Učiňte z vnitřních kontrol prioritu a kontinuálně je zlepšujte.

Jak posílit interní kontrolní systém? Inspirace v regulaci SOX

Primárním cílem legislativy SOX (Sarbanes-Oxley Act) je zvýšit důvěryhodnost finančních výkazů zveřejněných na americké burze. Toho je dosaženo prostřednictvím formalizovaného systému kontrol ve všech procesech, které mají dopad na finanční vykazování. Kontroly chrání akcionáře a veřejnost před významnými nepřesnostmi ve finančních výkazech. Avšak implementace robustního kontrolního systému přináší společnostem, mimo plnění legislativního požadavku, další přidané hodnoty.

„Implementací kontrol v souladu s regulací SOX by neměla vnitřnímu kontrolnímu systému uniknout žádná transakce, jež by z pohledu investora byla posouzena jako významná a ovlivnila jeho rozhodování.“

V současné době organizace hledají synergie mezi regulací SOX, řízením rizik a celkovým řízením společnosti. Toto sladění a koordinace aktivit napříč všemi vrstvami společnosti pomáhají začlenit kontroly do každodenní rutiny odpovědných zaměstnanců a činí je tak méně „oddělenou iniciativou“. V druhé řadě tato synergie přináší možnost využití výstupů z kontrol jako podkladů k manažerským rozhodnutím.

Tato tvrzení můžeme podložit výsledky mezinárodního SOX průzkumu (Global SOX Survey, EY, 2020), kde téměř polovina z dotázaných společností označila zlepšení interního kontrolního prostředí jako hlavní benefit implementace kontrolních mechanismů dle požadavků SOX regulace. Přidanou hodnotu rovněž společnosti vidí ve zlepšení řízení rizik (28 %) a zefektivnění vlastních kontrolních aktivit (25 %). Díky těmto vedlejším efektům tak dochází k celkovému zvyšování pružnosti managementu a jeho schopnosti reagovat na neočekávané situace.

U pouhých 3 % z dotázaných nevedla povinnost splňovat regulatoriku SOX k přehodnocení kontrolního systému, zbytek dotázaných se shoduje, že hlavním důvodem k vyhodnocování a změnám v kontrolním systému, mimo zajištění jeho aktuálnosti, je právě zvyšování efektivity (86 %), sladění kontrolního systému s obchodními riziky (72 %) a snižování nákladů (59 %).

Správně nastavený interní kontrolní systém usnadní a výrazně zkrátí dobu vaší interakce s externím auditem. V ideálním případě může externí auditor využít a spolehnout se na výstupy z vašeho vlastního testování. Společnosti uvádějí, že audit spoléhá na jejich vlastní testování u 40 % vzorků běžných business procesů a u IT procesů dokonce až u 43 %. Toto procento lze dále navýšit konzultací metodiky vlastního testování a kontrolní dokumentace s externími auditory. Role interního auditu je v této oblastí zcela zásadní. Interní audit pomůže správně nastavit vnitřní kontrolní systém a dokumentační standardy, čímž dochází k minimalizaci rizika výhrad ze strany externího auditu. Využitím interního auditu můžeme také redukovat vytížení managementu v souvislosti s realizací testování kontrol, při současném zvýšení kvalitativní úrovně dokumentace.

Správně nastavený interní kontrolní systém dle legislativy SOX pokrývá všechny relevantní procesy a rizika spojená s dopadem na finanční vykazování společnosti. Zkreslení finančních výkazů z důvodu mylného nebo podvodného jednání eliminují kontrolní mechanismy orientované na správnost transakcí a zajištění odpovědnosti jedinců zúčastněných v daných procesech.

V naší praxi ověření vnitřního kontrolního systému doporučujeme, protože jeho správné nastavení:

• pomáhá při manažerském rozhodování, 
• šetří čas strávený s externími auditory, 
• posiluje kompetence a přínos interního auditu.

Právě srovnání souladu s metodikou SOX je jednou z cest ověřených praxí.

Dobrovolná inspirace v kontrolních systémech splňujících standardy SOX s sebou navíc nese výhodu možnosti úpravy rozsahu kontrolních mechanismů v závislosti na potřebách konkrétní společnosti, a lze tedy volněji definovat oblast významných rizik, na která je potřeba reagovat.

V týmu řízení rizik se zaměřujeme jak na ověřování funkčnosti již nastavených vnitřních kontrolních systémů, tak i na jejich implementaci či optimalizaci. Nejužitečnější a nejzajímavější (nejen metodologické) postřehy rádi shrneme a vysvětlíme, například na společném Webináři.