Jak ochránit firmu před hospodářskou kriminalitou

Největším rizikem je podceňování problému. Zatím jsem se za léta své praxe u majitelů malých a středních firem, rozumějme firmy do cca 100 zaměstnanců, nesetkal s tím, že by ve své společnosti měli zavedený postup, jak nakládat s firemními daty. Za to od nich velice často slýchám, že jim odešel zaměstnanec obchodního oddělení a „odnesl“ si svoje zákazníky. Zde je potřeba si uvědomit, že žádní „moji“ zákazníci neexistují, zákazníky má pouze firma. Hlavní problém ale spočívá vůbec v možnosti manipulovat s firemními daty, kopírovat je, odnášet apod.

Co je SOX?

SOX je zkratkou pro Sarbanes–Oxley Act, což je jistě jedno z nejvýznamnějších opatření připravených americkou Komisí pro cenné papíry (SEC) v posledním desetiletí. Tento zákon vznikl za účelem posílit řízení velkých společností a obnovit důvěru investorů po krachu významných firem Enron a Worldcom. Obsahuje důležitá ustanovení vztahující se ke kontrole finančních toků, ukládá managementu společností přijmout odpovědnost za správnost finančních zpráv a zároveň odpovědnost za vytvoření, udržování a vyhodnocování vnitřních kontrolních systémů.

Důležitou částí uvedeného zákona je z hlediska kontroly a auditu sekce 404, která zakotvuje povinnost vedoucích pracovníků firem podávat pravidelnou zprávu o efektivitě interních kontrol společně s účetní uzávěrkou. Tento požadavek vede k nutnosti vypracování firemních pravidel týkajících se všech procesů, které mohou mít materiální dopad do finančních výkazů či na hodnotu firmy. Stěžejním mottem legislativy SOX je testování interních kontrol, což firmy nutí k analýzám interních procesů a aktivit. Výsledkem je omezení neefektivních činností a zabezpečení postupů při nakládání s firemními daty, což je podmínkou pro následné úspěšné fungování nejen informačního systému. Řízení podniku se neobejde bez reportů, tedy výstupů z informačních systémů. Heterogenních informačních systémů je ve firmách často hned několik, a mnohé informatické procesy (a nejen ty) jsou prováděny neefektivně, například tím, že jsou duplikovány. Pokud nemá management o všech procesech dostatečné a pravdivé informace, mohou být pro podnik rizikem nebo rovnou cílem pro páchání podvodů.

SOX v praxi

Nároky kladené SOX nutí firmy přemýšlet o tom, co dělají a jak to dělají. Prakticky jde o nasazení průběžného kontrolního procesu (mechanismu) a stanovení osobní odpovědnosti za danou činnost na všech úrovních řízení. Vedlejším přínosem je zjištění řady neefektivních či duplicitních činností/procesů. Jejich odstraněním a jasným vymezením odpovědnosti u svých zaměstnanců předejdete výmluvám jako „já za to nemůžu“, „to měl(a) udělat on(a)“ nebo „to já dělat nebudu“. Neefektivní nebo schovávající se články řetězu prostě nevydrží a díky systému odpadnou. A protože řetěz je tak silný, jako jeho nejslabší článek, je určitě potřeba slabé články nahradit těmi silnými.

Když se vrátíme ke statistickým datům, zjistíme, že 38 % společností podvod odhalilo pomocí organizačních zásahů do svého fungování či pomocí systému řízení rizik. Stále je tu však 42 % podniků, které žádné hodnocení rizik podvodů neprovádějí. Statistiky rovněž říkají, že čím jsou české firmy při předcházení rizik lehkomyslnější, tím tvrdší tresty přijímají. Obvykle se jedná o propuštění zaměstnanců či přerušení obchodních vztahů.

Rizikům je potřeba předcházet, a proto se i ve své praxi zaměřuji na to, abych klientům s řízením takových rizik pomohl a abychom společně nastavili takovou organizaci, která povede k plynulému chodu podniku při zajištění bezpečnosti podnikových dat. Tento postup obvykle probíhá v následujících krocích:

1. Dohoda s vedením společnosti, objasnění cílů a představ prostřednictvím diskuse.
2. Vytvoření prvotní verze SOXu, tzn. zmapování situace napříč podnikem, jeho současného stavu, jednotlivých útvarů, zaměstnanců, procesů a činností.
3. Zhodnocení zjištěného stavu.
4. Určení cílů kontroly a nápravných opatření, které jsou v souladu se současnými i budoucími plány společnosti. Tyto cíle a plány jsou rozpracovány do menších částí, aby jich bylo možné snadněji dosáhnout.
5. Vytvoření jednoduše a přesně popsaného manuálu, který postihuje činnosti napříč celým podnikem a který je následně odsouhlasen vedením společnosti.
6. Výsledný manuál obdrží každý zaměstnanec a bude jej využívat. Nyní ví, jak a čím dosáhne stanoveného cíle.

Obdržením manuálu to však nekončí. SOX je průběžný systém, a proto je i nadále nutné provádět průběžné kontroly dodržování nastaveného systému. Za pomoci nástrojů SOXu jsou zjišťovány odchylky, ke kterým jsou následně vytvářena nápravná opatření, a to opět na základě předpřipraveného manuálu. Po uběhnutí stanovené doby od implementace SOXu poté probíhá další porada s vedením společnosti a s ní spojené zhodnocení fungování a přínosů nastaveného systému za určité období. V případě potřeby je pak kontrolní systém SOX přizpůsobován stanoveným nebo novým cílům společnosti, je určován průběh systému kontroly a další zlepšování systému podle vytyčených cílových hodnot.