Audyt bezpieczeństwa finansowego: praktyczny plan dla małej i średniej firmy

0
32
Rate this post

Z tego artykuły dowiesz się:

Intencja audytu bezpieczeństwa finansowego w małej i średniej firmie

Audyt bezpieczeństwa finansowego w MŚP to narzędzie, które ma uspokoić jedną podstawową obawę właściciela: czy pieniądze w firmie są pod kontrolą. Chodzi o zbudowanie prostego, powtarzalnego schematu kontroli, który chroni przed nadużyciami, karami i utratą płynności, ale nie paraliżuje codziennej pracy biurokracją.

Cel jest praktyczny: wprowadzić minimum sensownych procedur finansowych, które działają nawet wtedy, gdy właściciel nie zagląda codziennie do banku ani do programu księgowego. Audyt bezpieczeństwa finansowego ma dać odpowiedź, gdzie firma realnie traci pieniądze, gdzie grozi jej kara od urzędu i które procesy trzeba uszczelnić w pierwszej kolejności.

Czym jest audyt bezpieczeństwa finansowego w MŚP i dlaczego ma znaczenie

Definicja audytu bezpieczeństwa finansowego

Audyt bezpieczeństwa finansowego to połączenie klasycznego audytu finansowego, podatkowego i kontroli operacyjnej procesów pieniężnych. Nie chodzi tylko o to, czy liczby w sprawozdaniach się zgadzają, lecz o odpowiedź na trzy pytania:

  • czy przepływy pieniędzy są kompletne i rzetelnie udokumentowane,
  • czy procesy finansowe są odporne na błędy i nadużycia,
  • czy firma działa w zgodzie z kluczowymi przepisami (podatki, ZUS, rachunkowość).

W małej i średniej firmie audyt bezpieczeństwa finansowego ma charakter praktyczny, a nie akademicki. Analizuje nie tylko dokumenty księgowe, ale też to, jak realnie działają ludzie i systemy: kto ma dostęp do banku, kto może wystawiać faktury, jak rozliczana jest gotówka, jak chronione są dane w systemach finansowych.

Audyt zewnętrzny, wewnętrzny i „przegląd właściciela” – różnice

Audyt zewnętrzny to formalne badanie sprawozdań finansowych prowadzone przez biegłego rewidenta. Koncentruje się na wiarygodności sprawozdania, często wymagany jest przez prawo lub bank. Jego celem nie jest optymalizacja procesów, tylko ocena, czy księgi prezentują rzetelny obraz.

Audyt wewnętrzny realizowany jest przez osobę lub dział w strukturach firmy (kontrola wewnętrzna). W MŚP rzadko istnieje formalny dział audytu wewnętrznego, ale można wyznaczyć osobę odpowiedzialną za cykliczny przegląd kluczowych obszarów: bank, kasa, przychody, koszty, podatki, uprawnienia systemowe.

„Przegląd właściciela” to uproszczona, ale bardzo skuteczna forma audytu bezpieczeństwa finansowego. Właściciel lub zarząd, często przy wsparciu zewnętrznego doradcy, tworzy listę kontroli (checklistę) i raz na kwartał sprawdza najbardziej wrażliwe miejsca: przelewy powyżej określonej kwoty, zaległe należności, nietypowe koszty, zwroty i korekty. Nie ma tu formalnej opinii audytora, ale jest realna kontrola.

Główne cele audytu bezpieczeństwa finansowego

W małej i średniej firmie audyt bezpieczeństwa finansowego ma zazwyczaj cztery priorytety:

  • Wykrycie nadużyć i patologii – fikcyjne faktury, zawyżone koszty, „znikające” przychody, nadużycia gotówkowe, nieuprawnione przelewy, prywatne wydatki na koszt firmy.
  • Uszczelnienie procesów – wdrożenie prostych mechanizmów typu zasada czterech oczu, limity kwotowe, rozdzielenie ról, regularne raporty z banku i kasy.
  • Zgodność z przepisami – weryfikacja prawidłowości rozliczeń VAT, CIT/PIT, ZUS, JPK, umów z kontrahentami, stosowania kas fiskalnych, przechowywania dokumentacji.
  • Prewencja kryzysu płynności – sprawdzenie jakości należności, struktury zobowiązań, cyklu konwersji gotówki i mechanizmów wczesnego ostrzegania (np. wskaźniki zadłużenia, opóźnienia klientów).

Audyt bezpieczeństwa finansowego jest w praktyce „testem odporności” firmy na stres: nagłą kontrolę skarbową, błąd księgowej, złośliwego pracownika, awarię systemu bankowego czy utratę jednego dużego klienta.

Minimalny poziom bezpieczeństwa finansowego („baseline”)

Każda firma powinna mieć zdefiniowany minimalny poziom bezpieczeństwa finansowego – zestaw absolutnie podstawowych zabezpieczeń, których brak oznacza stałe, podwyższone ryzyko poważnych problemów. Taki baseline dla MŚP zazwyczaj obejmuje:

  • co najmniej jedną podwójną kontrolę przelewów (zasada czterech oczu) dla płatności powyżej określonego progu,
  • regularne (np. tygodniowe) uzgodnienie wyciągów bankowych z księgowością,
  • spójny, udokumentowany proces wystawiania i korekt faktur,
  • prosty system rejestru umów i zobowiązań,
  • cykliczny przegląd należności przeterminowanych i plan działania wobec dłużników,
  • jasne ograniczenie dostępu do bankowości i systemu księgowego.

Jeśli firma nie ma nawet takiego minimalnego zestawu zabezpieczeń, można przyjąć, że działa w trybie „ciągłego zagrożenia”, a audyt bezpieczeństwa finansowego nie jest „opcją”, tylko koniecznością.

Krótki przykład z praktyki: brak podwójnej autoryzacji przelewów

Mała firma usługowa, kilkunastu pracowników, księgowość prowadzona przez biuro zewnętrzne, a przelewy wykonuje asystentka zarządu. Właściciel ufa, bo „pani jest z nami od lat”. Brak zasady czterech oczu i limitów w banku, wszystkie przelewy zatwierdza ta sama osoba, właściciel spogląda tylko na saldo raz w tygodniu.

Po kilku miesiącach okazuje się, że część przelewów była kierowana na prywatne konto asystentki, zamiennie z rachunkiem rzeczywistego dostawcy (podmiana numeru konta, podobna nazwa odbiorcy). Straty są znaczące, ale rozłożone w czasie, więc trudno je wychwycić bez szczegółowej analizy. Prosty audyt bezpieczeństwa finansowego – porównanie listy płatności z umowami i fakturami, weryfikacja numerów rachunków, wdrożenie podwójnej autoryzacji – zatrzymałby ten proceder po pierwszych kilku transakcjach.

Jak przygotować firmę do audytu bezpieczeństwa finansowego

Określenie zakresu audytu: obszary, okres, systemy

Na początku trzeba zdefiniować zakres audytu bezpieczeństwa finansowego. Zbyt szeroki – sparaliżuje firmę i zniechęci zespół; zbyt wąski – nie wyłapie istotnych zagrożeń. W praktyce dobrze sprawdza się podejście modułowe:

  • obszary procesowe: przychody, koszty, płatności (bank, gotówka), należności i windykacja, zobowiązania, podatki, wynagrodzenia, umowy,
  • okres: najczęściej 6–12 miesięcy wstecz, z możliwością „dogłębnego” wejścia w wybrane miesiące lub transakcje,
  • systemy: księgowość (ERP lub KPiR), system fakturowania, system magazynowy, bankowość elektroniczna, bramki płatnicze, kasa fiskalna, arkusze Excel używane przez zespół.

Zakres warto opisać w jednym prostym dokumencie (1–2 strony), który zawiera:

  • cel audytu (np. „ocena bezpieczeństwa procesów przychodowych i płatniczych za okres styczeń–czerwiec”),
  • listę obszarów objętych przeglądem,
  • planowany horyzont czasowy,
  • listę systemów i źródeł danych,
  • osoby odpowiedzialne po stronie firmy.

Taki dokument jest punktem odniesienia, gdy audyt staje się „rozmyty” i grozi mu rozszerzanie zakresu bez końca.

Zebranie dokumentów i danych

Bez odpowiednich danych audyt bezpieczeństwa finansowego zamienia się w zgadywanie. Na etapie przygotowania trzeba zebrać przede wszystkim:

  • dokumenty formalne: polityki i regulaminy (jeśli istnieją), schematy organizacyjne, zakresy obowiązków, pełnomocnictwa do banku, umowy z kluczowymi dostawcami i klientami, umowy z biurem rachunkowym,
  • dane finansowe: wyciągi bankowe, raporty kasowe, rejestry VAT, dzienniki księgowań, raporty sprzedażowe, raporty magazynowe, listy płac, deklaracje podatkowe,
  • logi systemowe: historia logowań i operacji w bankowości, ścieżki akceptacji dokumentów w systemie ERP, logi wystawiania i edycji faktur,
  • narzędzia pomocnicze: arkusze Excel używane do rozliczeń (np. prowizji, delegacji, zaliczek, budżetów).

Dobrą praktyką jest stworzenie „paczki audytowej” – jednego katalogu (na serwerze, w chmurze), w którym zebrane są wszystkie pliki i raporty dotyczące badanego okresu. Oszczędza to czas i zmniejsza ryzyko przeoczeń.

Mapowanie ról i odpowiedzialności finansowych

Nawet najlepsze procedury nie działają, jeśli nie wiadomo, kto za co odpowiada. Mapowanie ról polega na tym, by zidentyfikować, kto realnie:

  • podejmuje decyzje finansowe (np. zamówienia, inwestycje, zmiany cen),
  • wystawia i weryfikuje dokumenty sprzedażowe i kosztowe,
  • ma dostęp do bankowości elektronicznej (kto wprowadza, kto akceptuje przelewy),
  • prowadzi i nadzoruje księgowość (w firmie lub na zewnątrz),
  • odpowiada za podatki i ZUS (kontakt z urzędami, podpisywanie deklaracji).

Najprostsza forma to tabela, która łączy proces z odpowiedzialnymi rolami.

ProcesDecyzja / inicjacjaWeryfikacja merytorycznaAkceptacja finansowaRealizacja / księgowanie
Zakup towaruKierownik sprzedażyMagazynierWłaściciel / dyrektor finansowyKsięgowość
Faktura sprzedażyDział handlowyOpiekun klientaAutomatyczna kontrola limitówKsięgowość
Przelewy bankoweDział księgowościGłówna księgowaWłaściciel (autoryzacja)Bankowość elektroniczna

Taka mapa szybko pokaże, gdzie jedna osoba ma zbyt duży wpływ na cały proces (np. jednocześnie akceptuje koszt, wprowadza go do systemu i wykonuje przelew).

Poufność i kultura otwartości na błędy

Audyt bezpieczeństwa finansowego bardzo często odsłania błędy. Jeśli zespół spodziewa się polowania na winnych, naturalną reakcją będzie ukrywanie problemów, czyszczenie śladów, nerwowa atmosfera. To zabija sens audytu.

Na start warto jasno zakomunikować założenia:

  • celem przeglądu jest poprawa systemu, a nie szukanie kozłów ofiarnych,
  • błędy będą traktowane jako sygnały do zmian, nie powód do natychmiastowych kar,
  • świadome nadużycia lub fałszerstwa są oczywiście wyjątkiem – tu reakcja musi być twarda.

Transparentna komunikacja zwiększa szanse, że pracownicy sami zgłoszą słabe punkty: brak czasu na kontrole, zbyt skomplikowane procedury, niejasne zasady rozliczania delegacji, przeciążenie jednej osoby zadaniami finansowymi.

Ustalenie „ownerów” audytu po stronie firmy

Audyt bez właściciela po stronie firmy zwykle rozmywa się w czasie. Trzeba jednoznacznie wskazać osoby odpowiedzialne za:

  • koordynację – najczęściej właściciel, dyrektor finansowy lub główna księgowa,
  • dostarczanie danych – księgowość, administracja, działy operacyjne,
  • decyzje naprawcze – zarząd/właściciel, ewentualnie wspólnie z kluczowymi menedżerami.

Uwaga: jeśli istnieje ryzyko, że konkretna osoba może być źródłem nadużyć (np. jedna osoba od lat kontroluje cały obszar finansów), lepiej nie powierzać jej roli głównego koordynatora audytu bezpieczeństwa finansowego. Można ją zaangażować, ale z wyraźnym nadzorem z poziomu właścicielskiego lub zewnętrznego.

Dobrze działa nadanie audytowi minimalnej „formalnej” rangi – prosty harmonogram, krótkie spotkania statusowe, decyzje spisywane w jednym miejscu. Zespół widzi wtedy, że to nie jednorazowa akcja, tylko projekt z początkiem, środkiem i końcem. To też jasny sygnał, że zidentyfikowane ryzyka nie skończą w szufladzie, ale zostaną przełożone na konkretne zmiany w procedurach, systemach i uprawnieniach.

Jeśli audyt prowadzi ktoś z zewnątrz, dobrze jest od razu ustalić kanały komunikacji i tryb pracy: kto odpowiada za udostępnienie systemów, kto przygotowuje zrzuty danych, jak szybko reagujemy na prośby o dodatkowe raporty. Chaos na tym etapie zabija tempo i zwykle obniża jakość wniosków – audytor zamiast analizować ryzyka, ściga ludzi o brakujące pliki. Prosty panel w Teams/Slacku lub dedykowana skrzynka mailowa potrafią rozwiązać 80% problemów organizacyjnych.

W małych i średnich firmach dobry audyt bezpieczeństwa finansowego często zaczyna się od prostych ruchów: rozdzielenia ról, uruchomienia podwójnej autoryzacji przelewów, uszczelnienia obiegu dokumentów, ograniczenia dostępu do newralgicznych funkcji w systemach. To nie są zmiany efektowne, ale właśnie one w praktyce zatrzymują wycieki pieniędzy, błędy podatkowe i konflikty z kontrahentami. Z czasem można iść dalej – automatyzować kontrole, budować dashboardy anomalii, rozszerzać zakres przeglądu.

Im wcześniej firma ułoży sobie podstawowe mechanizmy kontroli i raz na rok spojrzy na finanse „oczami audytora”, tym mniej zaskoczeń będzie w momentach kryzysowych: przy kontroli skarbowej, utracie kluczowej osoby z działu finansów czy wejściu inwestora. Audyt bezpieczeństwa finansowego przestaje być wtedy stresującą akcją ratunkową, a staje się regularnym przeglądem technicznym firmy – takim, który realnie zmniejsza ryzyko kosztownych awarii.

Identyfikacja kluczowych ryzyk finansowych w małej i średniej firmie

Ryzyka finansowe w MŚP rzadko są egzotyczne. Zwykle to kilka powtarzalnych schematów: brak rozdzielenia ról, zbyt duża ufność do jednego systemu (albo jednej osoby), chaos w umowach, opóźnione reagowanie na sygnały z księgowości. Klucz to nazwać te ryzyka i powiązać je z konkretnymi procesami.

Mapa ryzyk według procesów

Najprostsze podejście to przypisanie ryzyk do procesów, które już zostały zdefiniowane w zakresie audytu. Dla każdego procesu warto zadać trzy pytania:

  • gdzie może dojść do błędu nieintencjonalnego (pomyłka, przeoczenie, brak wiedzy),
  • gdzie możliwe jest świadome nadużycie (defraudacja, zawyżanie kosztów, ukrywanie przychodów),
  • gdzie istnieje ryzyko braku zgodności z przepisami (podatki, RODO, AML, prawo pracy).

Rezultatem powinna być prosta tabela ryzyk, np. w Excelu lub w systemie GRC (Governance, Risk & Compliance) – w MŚP Excel w zupełności wystarczy, pod warunkiem że jest aktualizowany.

ProcesRyzykoPrawdopodobieństwoSkutkiObecne zabezpieczenia
Przychody (faktury)Faktury niewystawione lub wystawione z opóźnieniemŚrednieUtrata przychodu, problemy z płynnościąRaport sprzedaży dzienny, kontrola księgowości
Płatności wychodząceNieuprawnione przelewy lub nadpłatyNiskie/ŚrednieUtrata środków, spory z dostawcamiDwustopniowa akceptacja przelewów, lista zaufanych odbiorców
PodatkiBłędne rozliczenie VATŚrednie/WysokieDopłaty, odsetki, sankcje karno‑skarboweBiuro rachunkowe, przegląd deklaracji przez właściciela

Uwaga: nie chodzi o akademickie wyliczanie wszystkich możliwych scenariuszy. Celem jest krótka lista 10–20 ryzyk, które realnie mogą „zaboleć” firmę.

Ryzyka związane z ludźmi i koncentracją wiedzy

W MŚP kluczowym źródłem ryzyka finansowego są ludzie, a konkretnie: koncentracja wiedzy i uprawnień w jednym miejscu. Typowe czerwone flagi:

  • jedna osoba ma pełny dostęp do bankowości, księgowości i systemu fakturowania,
  • podstawowe procedury są „w głowie” księgowej lub właściciela, bez żadnej dokumentacji,
  • nie ma alternatywy na wypadek nagłej nieobecności kluczowej osoby,
  • przekroczenia limitów, wyjątki, umorzenia są zatwierdzane „na telefon”, bez śladu w systemie.

Przy audycie warto spisać obszary, w których brak zastępstw lub zbyt duże zaufanie do jednej osoby może prowadzić do paraliżu lub nadużycia. Nie chodzi tylko o księgową – często równie wrażliwy jest szef sprzedaży negocjujący rabaty i terminy płatności bez formalnych zasad.

Ryzyka systemowe i technologiczne

Systemy księgowe, CRM i narzędzia e-commerce są dzisiaj podstawowym „rurociągiem” dla danych finansowych. Typowe problemy:

  • brak rozdzielenia ról w systemach (wszyscy „admini”),
  • brak historii zmian (audit trail) dla kluczowych operacji,
  • ręczne importy/eksporty między systemami, które łatwo zniekształcić,
  • brak regularnych kopii zapasowych lub testu ich odtwarzania,
  • integracje przez pliki CSV przesyłane mailem między działami i do biura rachunkowego.

Tip: w trakcie audytu dobrze jest poprosić dostawcę systemu o listę dostępnych logów i mechanizmów kontroli. Część funkcji jest włączana dopiero na życzenie (np. blokada edycji dokumentów po zaksięgowaniu, wymuszenie dwuetapowego zatwierdzania korekt).

Ryzyka regulacyjne i podatkowe

Zmiany przepisów podatkowych, plików JPK, KSeF, przepisów AML (Anti-Money Laundering) czy ochrony danych osobowych powodują, że to, co było poprawne dwa lata temu, dziś może generować istotne ryzyko. Podczas audytu trzeba sprawdzić:

  • czy polityka wystawiania faktur (terminy, dane kontrahentów, opisy) jest spójna z aktualnymi wymaganiami,
  • czy umowy z kontrahentami przewidują zmiany stawki VAT, split payment, kary umowne,
  • czy systemy są przystosowane do nowych obowiązków sprawozdawczych (np. KSeF, JPK),
  • czy biuro rachunkowe ma aktualną umowę, jasny zakres odpowiedzialności i procedurę raportowania błędów.

Dobry audyt bezpieczeństwa finansowego zawsze odnotowuje obszary, w których firma „jedzie na pamięci” sprzed kilku lat – to często źródło najdroższych korekt.

Struktura kontroli wewnętrznej: minimalny zestaw mechanizmów

Kontrola wewnętrzna w rozumieniu MŚP to nie dział compliance, tylko zestaw prostych reguł: kto co może zrobić, kto to sprawdza i gdzie zostaje ślad w systemie. Ważne, by mechanizmy były wystarczająco mocne, ale też nie zabijały operacyjności.

Rozdzielenie ról (segregation of duties)

Podstawowa zasada: jedna osoba nie powinna mieć możliwości samodzielnego przeprowadzenia całego cyklu transakcji finansowej od decyzji po płatność. W praktyce oznacza to rozdzielenie:

  • inicjacji (kto zgłasza potrzebę wydatku lub wystawienia faktury),
  • weryfikacji merytorycznej (kto potwierdza, że wydatek/przychód ma sens biznesowy),
  • akceptacji finansowej (kto zatwierdza kwoty i warunki),
  • realizacji technicznej (kto księguje, wykonuje przelew, wysyła fakturę).

Jeśli firma jest mała i fizycznie nie da się rozdzielić wszystkiego, minimum to:

  • osoba wykonująca przelewy nie powinna sama zatwierdzać wszystkich faktur kosztowych,
  • osoba, która ma pełny dostęp do systemu księgowego, nie powinna mieć najwyższych uprawnień w bankowości,
  • korekty i storna dokumentów powinny być zatwierdzane przez inną osobę niż ta, która je wprowadza.

Limity kwotowe i progi akceptacji

Dobrym narzędziem są progi decyzyjne – inne zasady dla drobnych wydatków operacyjnych, a inne dla kontraktów strategicznych. Prosty schemat:

  • do określonego limitu – decyzja kierownika działu,
  • od tego limitu do wyższej kwoty – decyzja kierownika + potwierdzenie finansów,
  • powyżej najwyższego progu – decyzja właściciela/zarządu.

Podobne zasady można zastosować dla rabatów i odstępstw od standardowych warunków (np. terminu płatności, gwarancji, zaliczek). Kluczowe, by limity były zapisane, zakomunikowane i odzwierciedlone w systemach (np. automatyczna blokada rabatu powyżej X% bez dodatkowej akceptacji).

Kontrole automatyczne i manualne

Kontrole dzielą się na:

  • prewencyjne (działają przed zdarzeniem) – np. limity w systemie, wymagane pola na fakturze, blokada edycji po księgowaniu,
  • detekcyjne (wykrywają po fakcie) – np. raporty wyjątków, przegląd losowej próby dokumentów, analiza odchyleń od budżetu.

W MŚP często brakuje tych drugich. Warto zdefiniować kilka prostych cyklicznych kontroli, np.:

  • miesięczne uzgodnienie sald banków i kasy z księgowością,
  • przegląd listy kontrahentów z dużym saldem przeterminowanym,
  • raport faktur sprzedaży bez płatności od określonego czasu,
  • raport kosztów „niestandardowych” (np. reprezentacja, doradztwo, gotówka) za dany miesiąc.

Tip: lepiej zdefiniować 3–4 kontrole, które są wykonywane co miesiąc, niż 15 punktów, które robi się tylko „przed audytem” lub „dla banku”.

Dokumentowanie decyzji i odstępstw

Jeśli firma często działa „na wyjątki”, ale nie dokumentuje powodów, po kilku miesiącach trudno odtworzyć, co tak naprawdę się wydarzyło. Minimalny standard:

  • każde odstępstwo od standardowych warunków (rabat, termin płatności, zaliczka) ma krótkie uzasadnienie i akceptację w mailu, CRM lub w systemie sprzedażowym,
  • ważniejsze decyzje finansowe (np. rozłożenie należności na raty, umorzenie części długu, duże zaliczki) są wpisywane do prostego rejestru decyzji,
  • zmiany w umowach są wersjonowane, a nie tylko „nadpisywane” nowszymi PDF-ami.

Nie chodzi o biurokrację, ale o minimalny ślad, do którego można sięgnąć przy audycie albo sporze z kontrahentem.

Audyt przychodów: fakturowanie, e-commerce, gotówka

Przychody są najwrażliwszym obszarem – błąd lub nadużycie często nie jest widoczne na pierwszy rzut oka. Audyt przychodów powinien odpowiedzieć na trzy pytania: czy wszystkie sprzedaże są ujęte, czy są ujęte poprawnie i czy pieniądze z tych sprzedaży faktycznie trafiają do firmy.

Spójność między systemami sprzedaży a księgowością

Pierwszy krok to porównanie danych z różnych źródeł. Typowy zestaw:

  • raport sprzedaży z systemu fakturowego / ERP,
  • raport sprzedaży z systemu e-commerce / POS (Point of Sale),
  • zapisy w księdze przychodów (KPiR) lub w module księgowym ERP,
  • wpływy w banku, rozliczenia z bramek płatniczych, raporty z kas fiskalnych.

Należy sprawdzić, czy:

  • łączna wartość sprzedaży z systemu handlowego = łączna wartość sprzedaży zaksięgowanej,
  • łączne wpływy gotówki i płatności bezgotówkowych = należności wynikające z faktur,
  • nie ma „sierot” – transakcji w systemie sprzedaży, które nie zostały zafakturowane ani zaksięgowane.

Prosty test: wybór kilku losowych dni z badanego okresu i pełne prześledzenie strumienia danych – od zamówienia, przez fakturę, po wpływ w banku.

Proces wystawiania i korekty faktur

Audyt fakturowania powinien sprawdzić, czy istnieją jasne reguły:

  • kto może wystawiać faktury i w jakich systemach,
  • jak powstają faktury korygujące (kto je inicjuje i akceptuje),
  • czy można usuwać lub edytować wystawione faktury bez śladu w logach.

Ryzykowne sygnały:

  • możliwość kasowania faktur w systemie bez śladu,
  • częste korekty na duże kwoty, wystawiane przez jedną osobę,
  • faktury wystawiane „z ręki” w Wordzie/Excelu poza systemem,
  • brak spójności dat (np. wystawienie faktury z datą cofniętą, aby „podciągnąć” wynik miesiąca).

Sprzedaż e-commerce i płatności online

W kanałach online pojawiają się dodatkowe ryzyka techniczne. Przy audycie e-commerce warto zweryfikować:

  • czy każdy zamówiony i opłacony koszyk generuje dokument sprzedaży (faktura/paragon),
  • jak wygląda proces zwrotów, chargebacków i reklamacji (czy są odpowiednio odzwierciedlone w dokumentach korygujących),
  • czy rozliczenia z bramkami płatniczymi (PayU, Przelewy24, Stripe itd.) są regularnie uzgadniane z księgowością,
  • czy nie ma długotrwale „wiszących” środków na rachunku technicznym operatora płatności.

Dobry test: wybór kilku raportów od operatora płatności i ręczne sprawdzenie, czy każda wpłata ma odpowiadający dokument w systemie sprzedażowym i księgowym.

Sprzedaż gotówkowa i kasy fiskalne

Gotówka generuje specyficzne ryzyka: niepełne zaewidencjonowanie sprzedaży, manipulacje raportami kasowymi, brak rozliczenia utargu. Podczas audytu sprawdza się zwykle:

  • spójność raportów dobowych z kas fiskalnych (raporty fiskalne) z raportami sprzedaży w systemie,
  • procedurę rozliczania utargu: kto liczy gotówkę, kto wypełnia raport kasowy, kto wnosi środki do banku,
  • częstotliwość i sposób weryfikacji stanów kasy (czy są niezapowiedziane przeliczenia przez inną osobę niż kasjer),
  • czy występują częste „nadwyżki i niedobory kasowe” oraz jak są wyjaśniane.

Użyteczny jest prosty test przekrojowy: wybrać kilka dni z intensywną sprzedażą, pobrać raporty fiskalne z kasy, raporty z systemu sprzedaży i wyciąg bankowy, a następnie ręcznie sprawdzić, czy suma paragonów = raport dzienny, raport dzienny + płatności kartą = łączny utarg, a ten z kolei = faktyczne wpłaty gotówki na rachunek i rozliczenia terminali.

Przy sprzedaży gotówkowej przydają się „twarde” zasady operacyjne: zakaz współdzielenia jednego loginu do kasy przez kilka osób, obowiązek drukowania raportów dobowych i ich podpisywania, zamykanie zmiany kasowej przez tę samą osobę, która obsługiwała kasę. Dobrą praktyką jest też limit wartości gotówki w kasie – po przekroczeniu ustalonego progu część środków jest niezwłocznie deponowana w banku lub sejfie.

Jeśli działalność ma wiele punktów sprzedaży, ważne jest porównanie marży brutto między lokalizacjami. Nienaturalnie niska marża w jednym sklepie przy podobnym miksie produktów i cenach często sygnalizuje problem z ewidencją sprzedaży lub „upustami” udzielanymi poza oficjalnym systemem rabatów.

Audyt kosztów, zobowiązań i umów z dostawcami

Wydatki rzadko są jednorazowym strzałem; zwykle zamieniają się w powtarzalny strumień płatności. Audyt kosztów powinien zatem sprawdzić nie tylko pojedyncze faktury, ale też logikę całych relacji z dostawcami i to, jak te relacje przekładają się na zobowiązania księgowe.

Cykl zakupu: od zapotrzebowania do płatności

Bez względu na wielkość firmy schemat kontroli w cyklu zakupu (tzw. P2P – procure to pay) można uprościć do kilku kroków: zapotrzebowanie, zamówienie, dostawa/usługa, faktura, płatność. Audyt sprawdza, czy te kroki w ogóle istnieją i są weryfikowalne. Dla wybranej próbki kosztów warto prześledzić cały łańcuch dokumentów: od maila z prośbą o zakup, przez zamówienie lub umowę, dokument dostawy (WZ, protokół odbioru), po fakturę i przelew.

Kluczowe pytania są proste: kto może zainicjować wydatek, kto go merytorycznie akceptuje, czy przed złożeniem większego zamówienia porównywane są oferty (chociażby w formie maili), kto decyduje o wyborze dostawcy i na jakiej podstawie. Brak odpowiedzi na te pytania zwykle oznacza, że firma działa na zasadzie „bo zawsze zamawiamy u X”, co w dłuższej perspektywie przekłada się na wyższe koszty lub ryzyko powiązań osobistych.

Przegląd struktury kosztów i umów stałych

Dobrym punktem startu jest eksport rocznych kosztów z podziałem na kategorie (np. wynajem, usługi obce, marketing, IT, doradztwo, podróże, reprezentacja). Dla największych pozycji audyt powinien odpowiedzieć na dwa pytania: czy koszt jest biznesowo uzasadniony oraz czy jego wysokość i warunki odpowiadają rynkowi i podpisanym umowom. W praktyce często wychodzą na jaw subskrypcje, z których nikt już nie korzysta, lub umowy z automatycznym przedłużeniem na niekorzystnych stawkach.

Przy przeglądzie umów stałych przydaje się prosty rejestr kontraktów: dostawca, zakres, okres obowiązywania, terminy wypowiedzenia, indeksacja cen, SLA (service level agreement – uzgodniony poziom jakości usługi). Dopiero na takim „widoku z lotu ptaka” widać, gdzie firma jest przywiązana do jednego partnera na zbyt twardych warunkach, gdzie płaci za wysoką marżę, a gdzie brakuje choćby minimalnych zapisów o bezpieczeństwie danych, odpowiedzialności za przerwy w usługach czy karach umownych.

Dobrym testem jakości umów jest przejście przez scenariusz awaryjny: co się dzieje, jeśli dostawca przestaje świadczyć usługę z dnia na dzień? Czy są prawa do kodu/konfiguracji, jak wygląda przeniesienie danych, czy przewidziano okres przejściowy? W wielu MŚP okazuje się, że kluczowy system lub usługa jest praktycznie „nie do ruszenia”, bo umowa nie daje pola manewru – to czyste ryzyko operacyjne i finansowe.

Weryfikacja poprawności księgowania kosztów i zobowiązań

Audyt kosztów nie kończy się na umowach i fakturach. Trzeba jeszcze zobaczyć, jak te dokumenty zostały ujęte w księgach. Przydaje się prosta próba: wybór reprezentatywnej próbki faktur (największe kwoty, niestandardowe pozycje, nowi dostawcy) i sprawdzenie, czy są zaksięgowane we właściwych kategoriach, na właściwy okres oraz czy odpowiadają im poprawnie ujęte zobowiązania.

Częsty problem w MŚP to różne „skróty” stosowane przez księgowość: wrzucanie wszystkiego w jedną kategorię kosztową („usługi obce”), księgowanie faktur z opóźnieniem względem okresu, którego dotyczą, albo rozbijanie jednego kontraktu na wiele kosztów bez logicznego klucza. To zaciemnia obraz rentowności produktów, projektów czy oddziałów i utrudnia wychwycenie miejsc, gdzie koszty wymknęły się spod kontroli.

Przy okazji tego przeglądu wychodzą również na wierzch niezaksięgowane jeszcze faktury, nieuzgodnione noty odsetkowe czy rozjazdy pomiędzy saldami dostawców w księgach a saldami w ich zestawieniach (tzw. potwierdzenia sald). Systematyczne uzgadnianie takich różnic ogranicza ryzyko sporów i nieoczekiwanych płatności za „zapomniane” dokumenty.

Konflikty interesów i zależności osobiste

Obszar, który bywa pomijany, a generuje duże ryzyko, to powiązania między osobami decydującymi o zakupach a dostawcami. Audyt powinien chociaż minimalnie dotknąć tego tematu: czy istnieje prosta polityka konfliktu interesów (np. obowiązek zgłoszenia, że ktoś z rodziny pracuje u dostawcy), czy większe kontrakty przechodzą przez co najmniej jedną niezależną osobę zatwierdzającą, czy w ogóle wiadomo, kto z kim jest powiązany biznesowo.

Nie chodzi o „polowanie na czarownice”, ale o prosty bezpiecznik: im większa anonimowość i uznaniowość w wyborze dostawców, tym łatwiej o przepłacanie, faktury za usługi „trudne do zweryfikowania” lub przyznawanie zleceń z pominięciem rynkowych stawek. Krótkie oświadczenia o braku konfliktu interesów przy kluczowych umowach i okresowy przegląd największych dostawców pod kątem powiązań z kadrą zarządzającą znacząco ograniczają to ryzyko.

Dobrze przeprowadzony audyt bezpieczeństwa finansowego nie jest jednorazową akcją „dla banku” czy „dla inwestora”, ale punktem wyjścia do zbudowania prostych, powtarzalnych nawyków kontroli. W małej i średniej firmie często wystarczy kilka jasno opisanych reguł, ograniczenie dostępu tam, gdzie naprawdę jest potrzebny, oraz regularne, choćby kwartalne, mini-przeglądy kluczowych obszarów. Przy takim podejściu liczby w systemach zaczynają naprawdę odzwierciedlać rzeczywistość, a zarząd może podejmować decyzje na danych, a nie przeczuciach.

Kalkulator, długopis i lupa na dokumentach z danymi finansowymi firmy
Źródło: Pexels | Autor: Towfiqu barbhuiya

Bezpieczeństwo płatności wychodzących i zarządzanie rachunkami bankowymi

Strona „wydatkowa” bywa mniej spektakularna niż przychody, ale to tu najłatwiej o powolne wyciekające pieniądze. Audyt powinien objąć zarówno techniczny sposób realizacji przelewów, jak i organizację dostępu do rachunków.

Uprawnienia do bankowości elektronicznej

Podstawowy krok to zmapowanie, kto i na jakich zasadach może inicjować, akceptować i wysyłać przelewy. W praktyce warto przygotować prostą tabelę: użytkownik, zakres uprawnień, limity kwotowe, rachunki, do których ma dostęp.

Kluczowe elementy kontroli to:

  • zasada dwóch par oczu – przelew powyżej określonej kwoty wymaga co najmniej dwóch niezależnych akceptacji,
  • rozdzielenie ról – jedna osoba wprowadza przelew, inna zatwierdza; unika się sytuacji „wszystko w jednych rękach”,
  • limity dzienne i transakcyjne – dostosowane do realnych potrzeb, a nie ustawione „na wszelki wypadek” bardzo wysoko,
  • regularny przegląd użytkowników – usuwanie dostępu osobom, które odeszły z firmy lub zmieniły rolę.

Uwaga: w wielu MŚP osoby z szerokim dostępem do konta to jednocześnie te, które rozliczają transakcje w księgowości. W audycie warto wypunktować takie sytuacje i wskazać, gdzie brakuje niezależnego nadzoru.

Procedury płatności i obsługa przelewów „pilnych”

Ryzyko nadużyć rośnie przy płatnościach „na wczoraj” – np. gdy dostawca żąda natychmiastowego przelewu, bo „inaczej wstrzyma dostawy”. Audyt powinien sprawdzić, jak firma obsługuje takie prośby: czy jest przewidziana ścieżka szybkiej, ale jednak formalnej akceptacji, czy raczej obchodzi się wszystkie dotychczasowe zabezpieczenia.

Przy przeglądzie przelewów zwraca się uwagę m.in. na:

  • płatności na rachunki inne niż te zapisane w umowie lub zwyczajowo używane,
  • częste płatności do nowych, jednorazowych kontrahentów,
  • przelewy opisane bardzo ogólnie („usługa”, „zaliczka”) bez spójnego powiązania z fakturą czy zamówieniem,
  • płatności dzielone na kilka mniejszych przelewów tuż poniżej progu wymagającego dodatkową akceptację.

Typowy test: wybrać losowo kilka „pilnych” płatności z ostatnich miesięcy i prześledzić, jakie dokumenty były podstawą przelewu, kto akceptował transakcję i czy zachowano standardowe zasady kontroli.

Zarządzanie wieloma rachunkami i kontami walutowymi

W firmach prowadzących sprzedaż zagraniczną lub mających kilka spółek-córek często rośnie liczba rachunków bankowych. Im większe rozproszenie, tym wyższe ryzyko, że któryś rachunek nie jest regularnie monitorowany lub ktoś ma nadmierne uprawnienia.

Podczas audytu opłaca się:

  • sporządzić pełną listę rachunków (w tym technicznych, powierniczych, depozytowych),
  • sprawdzić, kto może logować się do każdego z nich i z jakim zakresem praw,
  • zestawić stan środków na kontach z ewidencją księgową (konto księgowe „rachunki bankowe”),
  • zweryfikować, czy konta nieużywane od dłuższego czasu są zamknięte albo objęte wzmożonym monitoringiem.

Tip: dla rachunków walutowych audyt powinien objąć sposób rozliczania różnic kursowych i opłat bankowych. Błędna ewidencja lub brak praktycznej polityki zabezpieczania kursu może powodować systematyczne, trudne do zauważenia straty.

Bezpieczeństwo danych finansowych i dostęp do systemów

Cyfrowa warstwa bezpieczeństwa jest równie istotna jak procedury papierowe. Dane finansowe, listy płac, szczegóły umów czy marże to informacje wrażliwe, których wyciek lub manipulacja może uderzyć w firmę bardziej niż pojedyncza transakcja.

Mapowanie systemów finansowych i powiązań

Na początek przydaje się lista wszystkich systemów, w których przetwarzane są dane finansowe lub quasi-finansowe:

  • program księgowy i kadrowo-płacowy,
  • system sprzedażowy (POS, e-commerce),
  • narzędzie do raportowania i BI,
  • CRM z informacjami o cenach, rabatach i warunkach handlowych,
  • arkusze kalkulacyjne pełniące funkcję „pół-systemów” (np. do rozliczeń prowizji).

Audyt weryfikuje, jak te systemy wymieniają dane (integracje API, import/eksport plików), kto odpowiada za ich konfigurację oraz gdzie znajdują się krytyczne „ręczne korekty”. Miejsca, w których dane są przepisywane ręcznie, to naturalne punkty ryzyka błędu lub celowej manipulacji.

Kontrola dostępu i role użytkowników

W małej firmie naturalnym odruchem jest dawanie szerokiego dostępu „żeby można było wszystko ogarnąć”. W audycie warto jednak sprawdzić, czy nie da się wprowadzić chociaż minimalnej separacji ról bez paraliżowania pracy.

Przykładowe pytania kontrolne:

  • kto może dodawać lub modyfikować kartoteki kontrahentów, stawki VAT, słowniki kont,
  • czy istnieją role tylko do odczytu (np. dla zarządu lub managerów), bez możliwości edycji danych,
  • jak często przegląda się listę użytkowników pod kątem byłych pracowników i zbędnych uprawnień,
  • czy logowane są istotne operacje (np. zmiana warunków umowy, edycja dokumentu po jego zatwierdzeniu).

Uwaga: logi systemowe (historia zmian) są w audycie bezcenne. Jeśli system księgowy lub sprzedażowy ich nie udostępnia, ryzyko „niezauważonych korekt” rośnie lawinowo.

Bezpieczeństwo kopii zapasowych i ciągłość działania

Nawet najlepsze procedury wewnętrzne nie pomogą, jeśli w razie awarii firma traci dane finansowe z kilku miesięcy. Audyt bezpieczeństwa finansowego powinien więc dotknąć tematów typowo „IT-owych”:

  • czy wykonywane są regularne kopie zapasowe baz danych systemów finansowych,
  • gdzie są przechowywane backupy (lokalnie, w chmurze, w dwóch lokalizacjach),
  • kto ma do nich dostęp i jak są zabezpieczone (szyfrowanie, hasła),
  • czy kiedykolwiek testowano odtworzenie systemu z kopii (a nie tylko „robi się backupy”).

Prosty test, który często obnaża problemy: poprosić o wskazanie konkretnej kopii zapasowej z określonej daty i o opis, jak długo potrwałoby pełne odtworzenie systemu księgowego. Brak jasnej odpowiedzi jest sygnałem, że ciągłość działania jest bardziej deklaracją niż realnym procesem.

Środowisko kontroli: kultura, procedury i dyscyplina operacyjna

Nawet najlepsze checklisty nie zadziałają bez minimalnej kultury pracy z pieniędzmi. Audyt finansowy w MŚP często sprowadza się do oceny, czy firma ma jakikolwiek „szkielet” zasad, czy raczej wszystko odbywa się na bazie ustnych ustaleń i pamięci konkretnych osób.

Proste polityki i instrukcje zamiast „kodeksu”

Zamiast tworzyć kilkudziesięciostronicowy regulamin, sensowniej zdefiniować kilka krótkich, praktycznych dokumentów:

  • polityka wydatków i delegacji – kto, do jakiej kwoty i w jakich kategoriach może samodzielnie decydować, co wymaga akceptacji przełożonego lub zarządu,
  • procedura obiegu dokumentów finansowych – jak trafiają do firmy faktury, kto je opisuje, jak są przekazywane do księgowości,
  • zasady pracy z gotówką i zaliczkami – kiedy wolno pobrać gotówkę, jakie dokumenty są wymagane, w jakim terminie trzeba się rozliczyć,
  • polityka rabatowa – kto może udzielać zniżek, na jakiej podstawie i jak są dokumentowane.

Audyt ocenia nie tylko istnienie takich dokumentów, ale też ich faktyczne stosowanie. Dobry sygnał: pracownicy potrafią z grubsza opisać zasady bez sięgania do plików PDF. Zły: „co roku coś podpisujemy, ale nikt tego nie czyta”.

Szkolenia i odporność na socjotechnikę

Coraz częstsze są próby wyłudzeń, w których przestępcy podszywają się pod dostawców lub członków zarządu (tzw. „fraud na prezesa”). W audycie warto więc uwzględnić element edukacyjny: na ile zespół finansowy i administracja są świadomi typowych scenariuszy ataków.

Podstawowe praktyki, które można ocenić:

  • weryfikacja zmiany rachunku bankowego dostawcy zawsze drugim kanałem (telefon, wideokonferencja) do znanej wcześniej osoby,
  • procedura potwierdzania nietypowych dyspozycji przelewu od zarządu (np. oddzielnym kanałem, z ustalonym hasłem),
  • świadomość, że dokumenty PDF czy maile mogą być sfałszowane i że „adres nadawcy” nie jest wystarczającym dowodem,
  • krótkie, cykliczne szkolenia praktyczne, a nie jednorazowe „odhaczenie” tematu.

Uwaga: w kilkuosobowym biurze nawet 30-minutowe warsztaty z pokazem realnych przykładów podejrzanych maili dają lepszy efekt niż rozbudowane procedury, których nikt nie rozumie.

Rola właściciela, zarządu i rady nadzorczej w audycie

W MŚP często właściciel jest jednocześnie dyrektorem finansowym, szefem sprzedaży i „ostatnią instancją” do wszystkiego. To wygodne organizacyjnie, ale z punktu widzenia bezpieczeństwa finansowego rodzi dużą koncentrację ryzyka.

Ustalanie apetytu na ryzyko i priorytetów

Nie da się wyeliminować każdego ryzyka, szczególnie w małej firmie. Zarząd powinien więc zdefiniować, na jaki poziom niepewności jest gotów się zgodzić w poszczególnych obszarach. Przykładowo:

  • czy akceptowalne jest, że co jakiś czas zdarzy się drobna strata na niedoszacowanych kosztach transportu,
  • a może priorytetem jest pełna kontrola nad płatnościami wychodzącymi, nawet kosztem większej biurokracji.

Audyt może przedstawić „mapę ryzyk” i koszty ich redukcji; decyzja, które z nich akceptować, należy jednak do właścicieli. Istotne jest, aby te decyzje były świadome, a nie wynikały z braku wiedzy o istniejących lukach.

Nadzór nad wdrażaniem rekomendacji

Naturalna dynamika MŚP sprawia, że po audycie łatwo wrócić do bieżączki. Z tego powodu przydaje się prosty mechanizm nadzoru:

  • lista rekomendacji z priorytetem (wysoki/średni/niski) i właścicielem zadania,
  • określenie realistycznych terminów wdrożenia,
  • krótkie spotkania przeglądowe (np. raz w miesiącu) poświęcone wyłącznie postępowi prac nad bezpieczeństwem finansowym.

Jeżeli działa rada nadzorcza lub inwestor finansowy, sensownie jest włączyć przegląd kluczowych ryzyk i status wdrożenia rekomendacji do regularnych raportów zarządu. Dzięki temu audyt nie staje się jednorazowym dokumentem, ale żywym punktem odniesienia.

Mini-audyty cykliczne i monitorowanie wskaźników

Pełny audyt bywa obciążający, ale przy dobrze ustawionych nawykach wystarczy kilka powtarzalnych kroków kontrolnych, aby na bieżąco łapać odchylenia.

Prosty zestaw wskaźników ostrzegawczych

Dobrym rozwiązaniem jest zdefiniowanie kilku „kontrolek na desce rozdzielczej”, które sygnalizują potencjalne problemy. Przykładowo:

  • liczba korekt faktur sprzedaży powyżej określonej kwoty w miesiącu,
  • udział faktur kosztowych bez umowy lub zamówienia w ogólnej liczbie dokumentów,
  • średni czas regulowania należności przez kluczowych klientów vs standard w danej branży,
  • liczba użytkowników z pełnym dostępem do rachunków bankowych i systemu księgowego.

Audyt może pomóc zaprojektować taki zestaw wskaźników i ustalić progi, przy których wymagane jest wyjaśnienie przez odpowiedzialne osoby.

Kwartalne przeglądy „light”

Zamiast rzadkich, ciężkich przeglądów, lepszy efekt daje częstsza, ale lżejsza kontrola wybranych elementów. Przykładowy format kwartalnego mini-audytu:

  • losowa próbka transakcji sprzedażowych i zakupowych z pełnym przejściem procesu,
  • przegląd kont rozrachunkowych z klientami i dostawcami pod kątem „starych” pozycji,
  • kontrola listy użytkowników i uprawnień w głównych systemach finansowych,
  • porównanie kilku kluczowych wskaźników z poprzednim okresem i planem.

Taki rytm pozwala utrzymać procedury „w ruchu”, wychwytywać nowe ryzyka (np. po zmianie systemu, wejściu w nowy kanał sprzedaży) i na bieżąco korygować procesy, zanim błędy urosną do rangi problemu strategicznego.

Audyt przychodów: fakturowanie, e-commerce, gotówka

Przychody to miejsce, gdzie jeden błąd procesowy potrafi „uciekać” przez lata. Audyt powinien przejść cały łańcuch: od zamówienia/umowy, przez realizację, po wystawienie faktury, wpływ środków i ewentualne korekty.

Spójność między zamówieniami, umowami a fakturami

Podstawowy test: czy faktury rzeczywiście odzwierciedlają to, co zostało uzgodnione z klientem i dostarczone.

  • czy każde większe zlecenie ma źródło – zamówienie, ofertę, umowę lub mail z akceptacją warunków,
  • czy w systemie sprzedażowym/ERP da się łatwo przejść z faktury do dokumentu zamówienia lub umowy,
  • jak obsługiwane są rabaty indywidualne – czy są udokumentowane (np. aneks, akceptacja mailowa) i odzwierciedlone w systemie,
  • czy istnieje kontrola poprawności stawek VAT i warunków handlowych przy wystawianiu faktur.

Audyt często ujawnia, że część faktur jest wystawiana „z ręki”, bez powiązania z zamówieniem w systemie. To wygodne operacyjnie, ale finansowo bardzo ryzykowne: trudniej udowodnić zasadność należności, śledzić marżę, rozstrzygać spory z klientem.

Proces fakturowania i korekt

Należy spojrzeć na sam mechanizm wystawiania dokumentów sprzedażowych.

  • kto może wystawiać faktury i faktury korygujące,
  • czy istnieje rozdział: jedna osoba wystawia, ktoś inny autoryzuje większe kwoty lub nietypowe rabaty,
  • czy numery faktur są nadawane automatycznie i czy występują „dziury” w numeracji,
  • jak wygląda ścieżka akceptacji korekty – kto i na jakiej podstawie decyduje o jej wystawieniu.

Ryzykownym sygnałem jest duża liczba korekt, szczególnie „na minus”, albo korekty wystawiane długo po pierwotnej transakcji. Może to wskazywać na błędy systemowe, ale też na możliwość „korygowania historii” po fakcie.

Sprzedaż e-commerce i marketplace’y

W kanałach online krytyczne są integracje systemów. Audyt powinien sprawdzić nie tylko księgowania, lecz także techniczną ścieżkę danych.

  • w jaki sposób dane o zamówieniach z platform (sklep www, marketplace) trafiają do systemu księgowego – integracja API, import plików, ręczne przepisywanie,
  • czy istnieje regularne uzgadnianie: raporty sprzedaży z platformy vs dane w systemie księgowym,
  • jak rozliczane są prowizje platform, zwroty i chargebacki (obciążenia zwrotne),
  • czy dane o VAT (w tym stawki zagraniczne, MOSS/OSS) są poprawnie mapowane między systemami.

Tip: w audycie e-commerce warto wziąć jeden dzień sprzedaży z platformy i „ręcznie przewinąć” go przez system finansowy. Rozjazdy wychodzą wtedy bardzo szybko.

Gotówka, kasy fiskalne, sprzedaż stacjonarna

Obrót gotówkowy jest z natury bardziej podatny na nadużycia. Dlatego procedury muszą być proste, ale konsekwentnie stosowane.

  • czy istnieje ewidencja stanu kasy – raport kasowy, liczenie gotówki na koniec dnia/zmiany,
  • kto ma dostęp do kasy fizycznie i kto ma uprawnienia w systemie kasowym,
  • jak obsługiwane są zwroty gotówki klientom i korekty paragonów/faktur z kasy,
  • czy kasy fiskalne są regularnie raportowane i czy ich raporty są uzgadniane z księgowością.

Uwaga: w małych punktach sprzedaży prosta, papierowa „książka kasy” plus liczenie gotówki przy dwóch osobach na zmianę działa lepiej niż skomplikowany system, którego nikt nie rozumie.

Rozrachunki z odbiorcami i kontrola należności

Kolejny element to ściągalność faktur i jakość rozrachunków.

  • czy firma prowadzi regularny przegląd należności przeterminowanych (np. raz w tygodniu lub miesiącu),
  • jak wyglądają zasady windykacji miękkiej – maile, telefony, wezwania,
  • czy istnieją limity kredytowe dla klientów i kto je ustala/zmienia,
  • czy stany kont klientów w księgowości zgadzają się z raportami z systemu sprzedażowego/CRM.

W audycie warto wziąć listę „najstarszych” należności i śledzić historię kontaktów z klientem. Brak notatek i ustaleń zwykle oznacza, że temat jest zostawiony sam sobie.

Audyt kosztów, zobowiązań i umów z dostawcami

Wydatki są mniej „widowiskowe” niż przychody, ale tu powstaje większość trwałych zobowiązań i umów, które wiążą firmę na lata. Audyt powinien osobno potraktować koszty operacyjne, inwestycyjne oraz stałe kontrakty.

Obieg faktur kosztowych i akceptacja wydatków

Na początek warto rozpisać, co dokładnie dzieje się z fakturą kosztową po wejściu do firmy.

  • jak faktury trafiają do organizacji – poczta tradycyjna, mail, platformy elektroniczne,
  • czy mają jeden punkt wejścia (np. wspólny adres e-mail lub sekretariat), czy „lądowanie” jest rozproszone po pracownikach,
  • kto odpowiada za merytoryczny opis faktury (dział, projekt, osoba zamawiająca),
  • jak wygląda podpis/akceptacja – papier, system obiegu dokumentów, mail z akceptacją.

Brak przejrzystej ścieżki akceptacji oznacza, że firma tak naprawdę nie kontroluje, czy kupuje to, co faktycznie jest jej potrzebne. Sprzyja to zarówno zwykłemu marnotrawstwu, jak i potencjalnym nadużyciom.

Powiązanie faktur z umowami i zamówieniami

Jednym z kluczowych kroków audytu kosztów jest sprawdzenie, czy wydatki są zgodne z wcześniej zaakceptowanymi warunkami.

  • czy dla większych wydatków istnieją pisemne umowy, zamówienia lub oferty zaakceptowane przez firmę,
  • czy faktury są weryfikowane względem tych dokumentów – kwota, zakres, terminy, warunki dodatkowe,
  • jak obsługiwane są nadwykonania lub „dodatkowe pozycje” fakturowane przez dostawcę,
  • czy ktoś monitoruje, czy nie przekroczono wartości umowy (np. limitu na usługi) bez dodatkowej zgody.

Przykład z praktyki: firma IT płaciła co miesiąc „abonament za serwery”, który rósł stopniowo o kilka procent rocznie. W audycie okazało się, że w międzyczasie znacząco spadły ceny rynkowe, a umowa dopuszczała renegocjacje – nikt jednak do niej nie zaglądał od kilku lat.

Stałe umowy: telekomy, wynajem, licencje, usługi ciągłe

Stałe kontrakty to klasyczne „koszty-zombi” – raz uruchomione, potrafią konsumować gotówkę bardzo długo.

  • czy istnieje aktualny rejestr wszystkich umów długoterminowych (z datami końca, okresami wypowiedzenia i indeksacją cen),
  • kto jest właścicielem biznesowym każdej umowy (osoba, która odpowiada za jej zasadność i rozliczenie),
  • czy przynajmniej raz do roku dokonuje się przeglądu tych umów pod kątem przydatności i alternatyw rynkowych,
  • czy firma nie płaci za licencje/abonamenty, z których realnie nikt nie korzysta (np. nadmiarowe konta w SaaS).

Tip: prosta tabela w arkuszu z filtrami (rodzaj usługi, wartość roczna, data wypowiedzenia) bywa w tym obszarze skuteczniejsza niż szumne „systemy do zarządzania kontraktami”, których nikt nie aktualizuje.

Segmentacja kosztów i analiza rentowności

Audyt nie kończy się na sprawdzeniu poprawności dokumentów. Ważne jest, czy system finansowy pozwala odpowiedzieć na pytanie: na czym firma realnie zarabia, a na czym traci.

  • czy koszty są klasyfikowane nie tylko „pod księgowość” (rodzaje kosztów), lecz także biznesowo – wg projektów, produktów, kanałów sprzedaży,
  • czy istnieją prostsze ośrodki odpowiedzialności (np. dział, linia biznesowa) z przypisanymi przychodami i kosztami,
  • jak rozliczane są koszty wspólne (np. administracja, marketing ogólny) – czy jest choć przybliżony klucz podziału,
  • czy zarząd regularnie dostaje raporty rentowności, które są zrozumiałe i faktycznie używane w decyzjach.

Bez sensownej segmentacji kosztów nawet bardzo dokładna księgowość nie pomoże w łapaniu nierentownych produktów czy klientów.

Kontrola zobowiązań i planowanie płynności

Obszar zobowiązań to nie tylko „czy wszystko zostało zaksięgowane”, lecz także jakość zarządzania terminami płatności.

  • czy istnieje aktualna lista zobowiązań z podziałem na terminy (7/14/30/60+ dni),
  • jak wygląda proces zatwierdzania płatności – kto tworzy przelewy, kto je akceptuje,
  • czy jest stosowana zasada podwójnej autoryzacji (np. przygotowanie przelewu vs zatwierdzenie),
  • czy łączny harmonogram płatności jest uzgadniany z prognozą wpływów (prosty cash-flow operacyjny).

Audyt powinien sprawdzić nie tylko procedury, ale i praktykę: wziąć losowy dzień, przejrzeć wychodzące przelewy i sprawdzić, na ile są one spójne z ustalonymi priorytetami płatności oraz stanem środków na rachunkach.

Zakupy jednorazowe, inwestycje i CAPEX

Przy większych zakupach jednorazowych (sprzęt, remonty, inwestycje) ryzyko polega zwykle na tym, że decyzja jest podejmowana raz, na szybko, bez pełnej analizy.

  • czy dla inwestycji powyżej ustalonego progu istnieje wymóg przygotowania prostego business case’u (opis celu, kosztów, spodziewanych korzyści),
  • czy porównywano co najmniej dwie–trzy oferty i kto dokumentuje wybór dostawcy,
  • jak wygląda odbiór inwestycji – kto potwierdza, że zakres został zrealizowany zgodnie z umową,
  • czy duże zakupy są później oceniane pod kątem efektów (np. oszczędności, zwiększenia mocy produkcyjnych, poprawy jakości).

Uwaga: w MŚP nie chodzi o tworzenie rozbudowanych analiz jak w korporacji. Wystarczy jedna strona A4 z kluczowymi założeniami i krótką weryfikacją po kilku miesiącach, czy projekt dowiózł to, co obiecywał.

Relacje z kluczowymi dostawcami i ryzyko koncentracji

Audyt powinien też ocenić, na ile firma jest uzależniona od pojedynczych dostawców.

  • jaki udział w wydatkach mają trzej najwięksi dostawcy i czy są dla nich alternatywy,
  • czy istnieją umowy ramowe zabezpieczające kluczowe parametry (ceny, terminy dostaw, jakość),
  • jakie są procedury na wypadek problemów z dostawcą (opóźnienia, spory, zerwanie współpracy),
  • czy nie występują powiązania osobowe pomiędzy osobami decydującymi o zakupach a dostawcami (ryzyko konfliktu interesów).

Silna koncentracja na jednym dostawcy bez sensownej umowy i planu awaryjnego to klasyczne ryzyko operacyjno-finansowe, które w audycie powinno być wyraźnie nazwane i skwantyfikowane.

Najczęściej zadawane pytania (FAQ)

Na czym polega audyt bezpieczeństwa finansowego w małej firmie?

Audyt bezpieczeństwa finansowego w MŚP to przegląd tego, jak w praktyce przepływa pieniądz w firmie: od wystawienia faktury, przez płatności klientów i rozliczanie kosztów, po podatki i ZUS. Sprawdza się nie tylko liczby w księgach, lecz również procesy – kto ma dostęp do banku, kto wystawia faktury, jak rozliczana jest gotówka, jak chronione są dane.

W odróżnieniu od „klasycznego” audytu sprawozdania finansowego, celem nie jest tylko potwierdzenie poprawności bilansu, ale wyłapanie miejsc ryzyka: luk w procedurach, potencjalnych nadużyć, powtarzalnych błędów i obszarów niezgodnych z przepisami.

Kiedy mała lub średnia firma powinna zrobić audyt bezpieczeństwa finansowego?

Minimalny sygnał ostrzegawczy to brak podstawowych zabezpieczeń: jedna osoba ma pełny dostęp do banku, brak podwójnej autoryzacji przelewów, brak regularnego uzgadniania wyciągów bankowych z księgowością, chaos w umowach i fakturach korygujących. W takiej sytuacji audyt nie jest „opcją”, tylko koniecznością.

Dobrym momentem jest też zmiana księgowej lub biura rachunkowego, szybki wzrost skali działalności, wejście w nowe kanały sprzedaży (np. platformy, bramki płatnicze) albo po sygnałach typu: częste korekty faktur, zaległości podatkowe, powtarzające się pomyłki w przelewach. Tip: lepiej zrobić audyt z własnej inicjatywy, niż czekać na kontrolę z urzędu.

Jak przygotować dokumenty do audytu bezpieczeństwa finansowego?

Na start trzeba zgromadzić tzw. „paczkę audytową”. W praktyce to trzy grupy materiałów: dokumenty formalne (polityki, regulaminy, pełnomocnictwa do banku, umowy z kluczowymi kontrahentami i biurem rachunkowym), dane finansowe (wyciągi bankowe, raporty kasowe, rejestry VAT, dzienniki księgowań, listy płac, deklaracje podatkowe) oraz logi systemowe (historia operacji w bankowości, logi wystawiania i edycji faktur, ścieżki akceptacji dokumentów).

Przygotowanie warto zrobić modułowo: najpierw bank i kasa, potem sprzedaż (faktury, raporty z systemu), potem koszty i podatki. Uwaga: spisz w jednym pliku listę systemów używanych w finansach (ERP/KPiR, fakturowanie, magazyn, bankowość, bramki płatnicze, arkusze Excel) – bez tego łatwo coś pominąć.

Jakie minimalne zabezpieczenia finansowe powinna mieć każda MŚP?

Absolutne minimum („baseline”) to kilka prostych, ale konsekwentnie stosowanych zasad:

  • zasada czterech oczu dla przelewów powyżej określonej kwoty (dwie osoby zatwierdzają wypływ środków),
  • regularne uzgadnianie wyciągów bankowych z księgowością (np. co tydzień lub co miesiąc),
  • jasny, udokumentowany proces wystawiania i korygowania faktur,
  • rejestr umów i zobowiązań (żeby wiedzieć, co i komu firma jest winna),
  • cykliczny przegląd należności przeterminowanych wraz z planem działań wobec dłużników,
  • ściśle zdefiniowane uprawnienia do banku i systemu księgowego (kto co może robić).

Brak choćby części z tych elementów oznacza stałe, podwyższone ryzyko: od „znikających” przychodów, przez nieuprawnione przelewy, po kary skarbowe wynikające z bałaganu dokumentacyjnego.

Czym różni się audyt bezpieczeństwa finansowego od klasycznego audytu finansowego?

Klasyczny audyt finansowy (badanie sprawozdania przez biegłego rewidenta) kończy się opinią, czy sprawozdanie finansowe rzetelnie prezentuje sytuację firmy. Skupia się na poprawności ksiąg i zgodności z ustawą o rachunkowości, a nie na tym, jak „działa” kasa w codzienności.

Audyt bezpieczeństwa finansowego schodzi niżej – do poziomu procesów i ludzi. Analizuje dostęp do banku, obieg dokumentów, sposób rozliczania gotówki, zabezpieczenia w systemach, odporność na błędy i nadużycia oraz zgodność z kluczowymi przepisami (VAT, CIT/PIT, ZUS, JPK). Z perspektywy właściciela odpowiedź brzmi: czy pieniądze są pod realną kontrolą, a nie tylko „ładnie wyglądają w sprawozdaniu”.

Czy audyt bezpieczeństwa finansowego można zrobić samodzielnie jako właściciel?

W wielu MŚP sprawdza się tzw. „przegląd właściciela” – prosty, cykliczny audyt robiony wewnętrznie na bazie checklisty. Właściciel lub członek zarządu raz na kwartał analizuje: przelewy powyżej ustalonego progu, listę zaległych należności, nietypowe koszty, zwroty i korekty faktur, a także logi operacji w bankowości. Nie ma formalnej opinii audytora, ale jest realna kontrola newralgicznych punktów.

Samodzielny przegląd nie zastąpi pełnego, zewnętrznego audytu przy skomplikowanej strukturze czy dużej skali biznesu, jednak w typowej małej firmie potrafi szybko wychwycić proste nadużycia (np. podmianę numeru konta dostawcy) i wymusić wdrożenie podstawowych zabezpieczeń.

Jak dobrać zakres audytu bezpieczeństwa finansowego, żeby nie sparaliżować firmy?

Punkt wyjścia to krótki dokument zakresu (1–2 strony), w którym jasno określasz: cel audytu (np. „ocena bezpieczeństwa procesów przychodowych i płatniczych za ostatnie 6 miesięcy”), obszary procesowe (przychody, koszty, płatności, należności, podatki, wynagrodzenia, umowy), okres wstecz (najczęściej 6–12 miesięcy) oraz listę systemów i osób odpowiedzialnych po stronie firmy.

Dobrą praktyką jest podejście modułowe: najpierw moduł „bank + kasa”, potem „sprzedaż + należności”, potem „koszty + zobowiązania + podatki”. Dzięki temu audyt nie rozlewa się na cały biznes naraz, a zespół widzi jasno, co jest badane w danym etapie i jakie dane ma dostarczyć.