Interní kontroly jsou v českém prostředí středních firem vnímány jako záležitost korporací a bank. Firma s obratem 50 mil. CZK a pěti lidmi na finančním oddělení „přece nepotřebuje kontrolní systém". Realita je jiná: právě menší firmy jsou zranitelnější, protože mají méně lidí, méně redundance a méně formálních pravidel.
Interní kontroly jsou mechanismy — procesní, technické a organizační — které zajišťují, že finanční transakce jsou správné, autorizované a úplné. Nejsou to formuláře ani byrokracie. Jsou to pravidla, která chrání firmu před chybami (nejčastější příčina), podvody (méně časté, ale drahé) a ztrátou dat.
Proč české střední firmy potřebují interní kontroly
Chyby jsou drahé — a v malé firmě bolí víc
ACCA uvádí, že průměrná organizace ztrácí 5 % obratu kvůli neúmyslným chybám a podvodům. Pro firmu s obratem 100 mil. CZK to znamená potenciální ztrátu 5 mil. CZK ročně. Bez kontrolních mechanismů se chyby kumulují a odhalují pozdě — často až při auditu nebo daňové kontrole.
Důvěra vedení v čísla
Pokud finanční ředitel nemůže garantovat správnost čísel, protože neexistují kontrolní mechanismy, vedení se rozhoduje intuitivně. Interní kontroly jsou základ důvěry v data — a tedy základ informovaného rozhodování.
Regulatorní a zákonné požadavky
Zákon o účetnictví (č. 563/1991 Sb.) vyžaduje, aby účetní jednotka zajistila průkaznost účetnictví. Vyhláška č. 500/2002 Sb. stanovuje strukturu výkazů. Zákon o obchodních korporacích požaduje péči řádného hospodáře. Bez kontrolních mechanismů je těžké tyto požadavky naplnit.
Základní kontrolní rámec pro českou střední firmu
Princip oddělení povinností (Segregation of Duties)
Zlaté pravidlo interních kontrol: kdo iniciuje transakci, nekontroluje ji. Kdo kontroluje, neschvaluje. V korporátním prostředí to znamená tři různé osoby. V české firmě s 3–5 lidmi na financích to často nejde — ale i částečné oddělení pomáhá.
Praktické řešení pro malý tým:
| Činnost | Osoba A (účetní) | Osoba B (controller/FŘ) | Osoba C (jednatel) |
|---|---|---|---|
| Zadávání faktur do ERP | Provádí | — | — |
| Kontrola zaúčtování | — | Provádí | — |
| Schválení platby | — | Navrhuje | Schvaluje |
| Odsouhlasení banky | Provádí | Kontroluje | — |
| Přístup k bankovnictví (platby) | — | — | Autorizuje |
I ve dvou lidech lze oddělit zadávání od kontroly. Klíčové: jedna osoba by nikdy neměla mít současně přístup k zadávání faktur a autorizaci plateb.
Osm klíčových kontrol
1. Schvalování výdajů
- Každá faktura nad stanovený limit vyžaduje schválení oprávněnou osobou
- Limity: do 10 tis. CZK — vedoucí oddělení; do 50 tis. CZK — finanční ředitel; nad 50 tis. CZK — jednatel
- Evidence: podpis nebo schválení v ERP workflow
2. Odsouhlasení bankovních účtů
- Měsíční porovnání zůstatku v ERP se zůstatkem na bankovním výpisu
- Dvoustupňové: účetní provádí, finanční ředitel kontroluje
- Výstup: podepsaný reconciliační list
3. Kontrola pohledávek
- Týdenní přehled pohledávek po splatnosti
- Eskalační matice: 30 dní — upomínka; 60 dní — telefonát; 90 dní — předání právnímu oddělení
- Měsíční přehled opravných položek
4. Inventarizace klíčových účtů
- Čtvrtletní odsouhlasení: pohledávky, závazky, zálohy, časové rozlišení
- Roční: zásoby (fyzická inventura), dlouhodobý majetek
- Výstup: inventarizační protokol s vyčíslenými rozdíly
5. Kontrola mezd
- Měsíční rekapitulace: porovnání mzdových nákladů s rozpočtem
- Kontrola: shoda hrubých mezd, odvodů a čistých mezd s bankovními příkazy
- Schválení mzdové rekapitulace jednatelem
6. Kontrola DPH
- Měsíční odsouhlasení přiznání k DPH s účetnictvím
- Kontrola kontrolního hlášení
- Shoda DPH na výstupu a vstupu s účetními zůstatky
7. Kontrola přístupů
- Pololetní revize oprávnění v ERP a bankovním systému
- Okamžité odebrání přístupů při odchodu zaměstnance
- Princip nejmenších oprávnění
8. Záloha dat
- Denní automatická záloha ERP databáze
- Měsíční test obnovy ze zálohy
- Oddělené uložení zálohy (jiné médium, jiná lokace)
Kontrolní matice — jak ji vytvořit
Kontrolní matice je jednoduchý dokument, který pro každou kontrolu definuje:
| Kontrola | Frekvence | Kdo provádí | Kdo kontroluje | Výstup | Termín |
|---|---|---|---|---|---|
| Odsouhlasení banky | Měsíčně | Účetní | FŘ | Reconciliační list | Do D+3 |
| Schválení faktur | Průběžně | Příjemce | Dle limitu | Podpis/workflow | Do 2 PD |
| Kontrola pohledávek | Týdně | Controller | FŘ | Report stáří | Každý pátek |
| Inventarizace účtů | Čtvrtletně | Účetní | FŘ | Protokol | Do D+10 |
| Kontrola mezd | Měsíčně | Mzdová účetní | Jednatel | Rekapitulace | Do D+5 |
| Kontrola DPH | Měsíčně | Účetní | FŘ/daňový poradce | Odsouhlasení | Do 25. |
| Revize přístupů | Pololetně | IT + FŘ | Jednatel | Matice oprávnění | Červen, prosinec |
| Test zálohy | Měsíčně | IT | FŘ | Protokol o testu | Poslední týden |
Jak zavést interní kontroly — praktický postup
Krok 1: Identifikace rizik (týden 1)
Projděte finanční procesy a identifikujte hlavní rizika:
- Kde může vzniknout chyba?
- Kde může dojít k neautorizované transakci?
- Kde může dojít ke ztrátě dat?
Zaměřte se na místa, kde se pohybují peníze nebo kde vznikají závazky.
Krok 2: Návrh kontrol (týden 2)
Pro každé riziko navrhněte kontrolní mechanismus. Pravidlo: kontrola musí být jednoduchá a proveditelná. Pokud je kontrola příliš složitá, nebude se provádět.
Krok 3: Implementace (týden 3–4)
- Vytvořte kontrolní matici
- Připravte šablony (reconciliační list, inventarizační protokol)
- Nastavte oprávnění v ERP
- Komunikujte pravidla všem zúčastněným
Krok 4: Provoz a monitoring (od týdne 5)
- Kontrolujte dodržování kontrol (kdo udělal kontrolu, kdo ne)
- Řešte nálezy (co kontroly odhalily)
- Upravujte podle zkušeností
Nejčastější chyby
Kontroly existují jen formálně
Reconciliační list je podepsaný, ale nikdo skutečně neporovnával čísla. Inventarizační protokol je vytvořen ze systému, ale nikdo nešel fyzicky zkontrolovat sklad. Formální kontrola bez skutečného ověření je iluze.
Příliš mnoho kontrol najednou
Firma zavede 20 kontrol, ale nikdo je nestíhá. Po třech měsících se provádí jen 5 a zbytek se tiše opustí. Začněte s 5–8 klíčovými a přidávejte postupně.
Kontroly bez následků
Kontrola odhalí problém, ale nikdo ho neřeší. Pohledávky po splatnosti se reportují, ale nikdo nepodnikne akci. Kontrola bez reakce je zbytečná.
Ignorování IT kontrol
V době digitalizace jsou IT kontroly (přístupy, zálohy, logování) stejně důležité jako procesní kontroly. Firmy investují do schvalovacích procesů, ale nemají zálohu databáze ERP.
Kde se interní kontroly potkávají s dalšími rámci
- Rámec auditní připravenosti — interní kontroly jsou jeden ze tří pilířů
- Správa finančních dat — kontroly zajišťují kvalitu dat
- Dokumentace procesů — kontroly musí být navázány na dokumentované procesy
- Key person risk — kontroly snižují závislost na jednom člověku
Technologický kontext
České ERP systémy podporují základní kontrolní mechanismy:
- Pohoda — uživatelská oprávnění, schvalovací procesy (v Premium verzi), audit log
- ABRA — workflow schvalování, matice oprávnění, přehled změn
- Helios — elektronické schvalování faktur, role a oprávnění, logování
- Money S3/S5 — základní oprávnění, historie operací
Využijte nativní funkce ERP dříve, než investujete do specializovaných nástrojů. Většina českých středních firem nevyužívá ani 30 % kontrolních funkcí svého stávajícího ERP.
Oborové poznámky
- Výrobní firmy: Přidejte kontrolu skladových pohybů (příjem, výdej, inventura) a oceňování zásob — zde vznikají největší nesrovnalosti.
- Obchodní firmy: Zaměřte se na kontrolu slev, bonusů a kreditních limitů — neautorizované slevy přímo snižují marži.
- Služby: Kontrola odpracovaných hodin a jejich transformace na fakturaci — úniky vznikají v mezeře mezi timesheet systémem a fakturací.
Shrnutí
Interní kontroly pro českou střední firmu nejsou korporátní byrokratický systém — jsou to praktické mechanismy, které chrání firmu před chybami, podvody a ztrátou dat. Začněte s 5–8 klíčovými kontrolami, vytvořte jednoduchou kontrolní matici a nastavte odpovědnosti.
Oddělení povinností je v malém týmu obtížné, ale i částečné oddělení (zadávání vs. kontrola vs. schvalování) dramaticky snižuje riziko. Kontroly musí být jednoduché, proveditelné a mít důsledky — formální kontroly bez skutečného ověření jsou horší než žádné.
Investice: 4 týdny na nastavení, 2–4 hodiny měsíčně na provoz. Návratnost: nižší riziko chyb, vyšší důvěra v data, kratší a levnější audit.
Další čtení
- Rámec auditní připravenosti — jak z interních kontrol vybudovat auditní připravenost
- Key person risk ve financích — kontroly jako nástroj snížení závislosti na jednom člověku
- Kvalita finančních dat — checklist — co kontrolovat na úrovni dat
- Odsouhlasení ve finančním reportingu — detailní průvodce odsouhlasením
- Slovník: Interní kontroly | Oddělení povinností | Auditní stopa
Zdroje
- ACCA — průměrná organizace ztrácí 5 % obratu kvůli chybám a podvodům
- CIMA — Internal Controls for SMEs: A Practical Framework, 2024
- PwC — Global Economic Crime Survey, 2024 (kontrolní rámce snižují výskyt podvodů o 50 %)
- IMA — Standards of Ethical Conduct for Management Accountants — interní kontroly jako základ etického řízení