Внутрішній аудит у малому та середньому бізнесі: з чого почати

Слово «аудит» у власника малого бізнесу зазвичай викликає одну з двох реакцій: «це для великих корпорацій» або «це означає, що хтось когось перевіряє і шукає, хто винен». Обидві реакції заважають побачити, наскільки внутрішній аудит корисний саме для невеликого бізнесу — і наскільки простіше його впровадити, ніж здається.

Внутрішній аудит — це систематична перевірка того, чи процеси в компанії працюють так, як мають працювати: чи гроші витрачаються за призначенням, чи дані в обліку відповідають реальності, чи немає прогалин, через які бізнес втрачає кошти непомітно.

У цій статті розберемо, що таке внутрішній аудит у практичному, не корпоративному сенсі, де у малого бізнесу найчастіше виникають проблеми, і як побудувати просту, але дієву систему контролю без штату аудиторів.

Що таке внутрішній аудит насправді

Внутрішній аудит — це регулярна, систематична перевірка фінансових і операційних процесів компанії з метою виявити відхилення, ризики і можливості для покращення.

Важливо розрізняти три суміжні, але різні речі:

Бухгалтерський облік фіксує, що відбулося. Він відповідає на питання «скільки ми заробили і витратили».

Внутрішній контроль — це система правил і процедур, які запобігають помилкам і шахрайству до того, як вони сталися. Наприклад, правило «жоден платіж понад 10 000 грн не виконується без підпису двох людей».

Внутрішній аудит — це перевірка того, чи внутрішній контроль і облік насправді працюють так, як задумано. Аудитор не виконує операції — він перевіряє, чи виконуються вони правильно.

Простими словами: облік каже «ми витратили 50 000 грн на маркетинг». Внутрішній контроль каже «будь-яка витрата на маркетинг понад 5 000 грн має бути погоджена керівником». Внутрішній аудит перевіряє: а чи справді кожна витрата понад 5 000 грн була погоджена? Чи є випадки, коли правило порушили?

Чому малому бізнесу аудит потрібен не менше, ніж великому

Поширений міф — що внутрішній аудит потрібен тільки великим компаніям зі складною структурою. Насправді малий бізнес у певному сенсі вразливіший.

Менше розподілу обов'язків. У великій компанії функції розділені: один людина виставляє рахунки, інша — здійснює платежі, третя — звіряє банк. У малому бізнесі часто одна й та сама людина (часто сам власник або бухгалтер) робить все. Це створює природний ризик помилок і зловживань — не через злий умисел, а тому, що нікому більше перевірити.

Менше формалізованих процесів. «У нас все на довірі» — типова фраза малого бізнесу. Але довіра — не система контролю. Вона працює, поки працює, а коли перестає — втрати виявляються вже постфактум, часто на суттєву суму.

Менший запас міцності. Велика компанія може втратити 200 000 грн через неефективність і не помітити цього на тлі мільярдних оборотів. Для малого бізнесу 200 000 грн втрат — це може бути різниця між прибутковим і збитковим кварталом.

Швидке зростання маскує проблеми. Якщо бізнес росте на 30–40% на рік, дрібні витоки коштів і неефективність часто непомітні — загальні цифри все одно виглядають добре. Проблема виявляється тільки тоді, коли зростання сповільнюється.

Де найчастіше виникають проблеми: дев'ять зон ризику

За досвідом роботи з малим і середнім бізнесом, є кілька зон, де проблеми виникають найчастіше. Розглянемо кожну — з прикладом і тим, що перевіряти.

1. Грошові кошти і банківські операції

Типові проблеми: платежі без належного погодження, дублювання оплат одного і того ж рахунку, готівкові операції без документального підтвердження, особисті витрати власника, проведені як бізнес-витрати без чіткої межі.

Що перевіряти: звірка банківських виписок з обліком щомісяця, наявність підтверджуючих документів для кожного платежу понад певну суму, аналіз дублікатів платежів (однакова сума, той же отримувач, близькі дати).

Приклад з практики: в одній торговій компанії виявили, що протягом трьох місяців один і той же постачальник отримав оплату двічі за один і той же рахунок — менеджер з закупівель не перевіряв, чи рахунок вже сплачено, перед тим як ініціювати новий платіж. Сума — близько 85 000 грн, повернута тільки після прямого звернення до постачальника.

2. Дебіторська і кредиторська заборгованість

Типові проблеми: «забуті» дебіторські заборгованості, які ніхто не стягує; платежі постачальникам раніше необхідного терміну (втрачена можливість використати гроші довше); відсутність актуального реєстру заборгованостей.

Що перевіряти: регулярний (щомісячний) реєстр дебіторки і кредиторки з розбивкою за термінами; звірка з контрагентами хоча б раз на квартал; аналіз, чи всі прострочені рахунки мають план дій.

3. Запаси і товарно-матеріальні цінності

Типові проблеми: розбіжність між обліковими залишками і фактичними на складі; неякісне списання браку або втрат без документів; «перетікання» товару без фіксації (внутрішні переміщення між точками продажу без обліку).

Що перевіряти: регулярна (щоквартальна, а краще щомісячна для дорогих позицій) інвентаризація; порівняння облікових і фактичних залишків; аналіз причин розбіжностей понад встановлений допустимий відсоток.

Приклад з практики: мережа з трьох магазинів виявила під час планової інвентаризації, що фактичні залишки товару на 12% менші за облікові на одній з точок. Розслідування показало системну проблему: продавець оформлював частину продажів без фіскального чека, забираючи різницю собі. Без регулярної інвентаризації це могло продовжуватись роками.

4. Закупівлі і вибір постачальників

Типові проблеми: закупівлі за завищеними цінами через відсутність порівняння пропозицій; конфлікт інтересів (закупівля у компанії, пов'язаної з співробітником); відсутність формального процесу узгодження великих закупівель.

Що перевіряти: для закупівель понад певну суму — наявність мінімум двох альтернативних пропозицій; аналіз постачальників на наявність зв'язків зі співробітниками; регулярний перегляд цін на регулярні закупівлі (чи не «застаріла» ціна, яка вже не відповідає ринку).

5. Зарплата і кадровий облік

Типові проблеми: «фантомні» співробітники (зарплата нараховується людині, яка вже не працює); неправильне нарахування премій або бонусів; відсутність актуального обліку відпрацьованого часу для змінних позицій.

Що перевіряти: звірка списку співробітників у зарплатній системі з реальним штатом щомісяця; аналіз нарахувань на відповідність затвердженим окладам і умовам; вибіркова перевірка обґрунтування премій.

6. Доступи і права в облікових системах

Типові проблеми: колишні співробітники зберігають доступ до банківських рахунків або облікових систем; занадто широкі права доступу (бухгалтер може і вносити операції, і їх підтверджувати без додаткового контролю); відсутність журналу змін в обліковій системі.

Що перевіряти: регулярний (раз на квартал) перегляд списку користувачів з доступом до критичних систем; принцип розподілу обов'язків — людина, яка вносить операцію, не повинна сама ж її затверджувати; наявність логів змін у системі.

7. Корпоративні картки

Це одна з найбільш недооцінених зон ризику в малому і середньому бізнесі. Корпоративна картка дає швидкість і зручність — але саме ця зручність часто означає, що витрати з неї контролюються набагато слабше, ніж звичайні платежі через бухгалтерію.

Типові проблеми: особисті витрати, проведені як бізнес-витрати (кафе, таксі, покупки, які не мають прямого зв'язку з роботою); відсутність чеків або підтверджуючих документів для частини транзакцій; розмиті або відсутні ліміти на категорії витрат; кілька карток на одного співробітника без єдиного обліку; витрати, які «розпорошені» на дрібні суми саме для того, щоб уникнути потреби в погодженні.

Що перевіряти: щомісячна вивірка всіх транзакцій по кожній картці з обов'язковою прив'язкою до підтверджуючого документа (чек, накладна, рахунок); аналіз структури витрат по категоріях — чи відповідає вона профілю посади і завданням співробітника; перевірка лімітів і чи не перевищуються вони систематично; вибіркове зіставлення дати й місця транзакції з робочим графіком і відрядженнями співробітника.

Приклад з практики: в одній сервісній компанії регулярний перегляд виписок по корпоративних картках виявив, що менеджер з продажів щомісяця проводив через картку оплату підписок на стрімінгові сервіси і доставку їжі додому — на суму близько 3 000 грн на місяць, замаскованих серед робочих витрат на відрядження. Сума невелика в абсолюті, але показова: без регулярної перевірки такі витрати накопичуються роками і непомітно з'їдають маржу.

Практична рекомендація: встановіть чітку політику використання корпоративних карток — які категорії витрат допустимі, який ліміт на одну транзакцію без додаткового погодження, який термін надання підтверджуючих документів після оплати (наприклад, 3 робочих дні). Без письмової політики будь-яка перевірка перетворюється на суперечку «а мені сказали, що можна».

8. Коректність руху грошових коштів

Окрема і дуже важлива зона аудиту — логіка та послідовність руху грошей у компанії в цілому, а не сума окремих операцій. Тут важливо не «скільки витратили», а чи рухались гроші так, як мають рухатись.

Типові проблеми: перекази між рахунками компанії і пов'язаними особами (власником, іншими юрособами групи) без чіткого документального оформлення; гроші, що «зникають» в одному періоді і «з'являються» в іншому без зрозумілого пояснення; невідповідність між датою визнання операції в обліку і реальною датою руху коштів; платежі, що йдуть по колу між кількома рахунками без очевидної економічної мети.

Що перевіряти: побудова повної карти руху грошей за період — з якого рахунку на який, з якою метою, на підставі якого документа; перевірка, що кожен великий вхідний і вихідний платіж має зрозуміле економічне обґрунтування; звірка залишків на початок і кінець періоду на всіх рахунках одночасно (а не вибірково по одному); аналіз будь-яких переказів між пов'язаними юрособами чи особами — чи оформлені вони договором, чи відображені коректно в обліку обох сторін.

Чому це критично: саме в русі грошових коштів між рахунками, юрособами і пов'язаними сторонами найчастіше ховаються або помилки обліку, або навмисні маніпуляції. Операція з товаром чи послугою завжди залишає слід (накладна, акт), а простий переказ грошей легше замаскувати або забути задокументувати. Тому регулярна перевірка коректності руху коштів означає перевіряти причину кожного суттєвого переказу, а не тільки його суму.

9. Документообіг і архівування

Типові проблеми: відсутність оригіналів документів для значних операцій; втрачені або незаповнені договори; розбіжності між умовами договору і фактичними розрахунками.

Що перевіряти: наявність повного пакету документів для вибірки операцій (рахунок, акт, договір, оплата); зберігання документів у систематизованому вигляді (фізично або в хмарі) з можливістю швидкого пошуку.

Як побудувати просту систему внутрішнього аудиту

Тепер — практична частина. Не потрібно наймати штат аудиторів чи впроваджувати корпоративні стандарти. Ось покроковий підхід, який підходить для команди до 50 осіб.

Крок 1. Визначте зони найвищого ризику для вашого бізнесу

Не всі дев'ять зон вище однаково критичні для кожного бізнесу. Для роздрібної торгівлі найвищий ризик — запаси і готівкові операції. Для сервісної компанії — дебіторська заборгованість і закупівлі. Для виробництва — запаси і закупівлі сировини.

Визначте 2–3 зони, де потенційні втрати найбільші, і почніть з них.

Крок 2. Встановіть прості правила контролю

Для кожної зони ризику — мінімальний набір правил, які реально виконувати. Приклади:

• Будь-який платіж понад X грн потребує підпису/підтвердження двох людей
• Жоден рахунок не оплачується без перевірки, що він вже не був оплачений раніше
• Інвентаризація складу — щомісяця для категорії A товарів (найдорожчі/найбільш ходові), щокварталу для решти
• Список користувачів з доступом до банку перевіряється щоквартально
• Жоден співробітник не затверджує власні витрати чи премії

Правила мають бути простими і записаними — не «в голові власника», а в документі, до якого мають доступ відповідальні люди.

Крок 3. Призначте відповідального і регулярність

У малому бізнесі внутрішній аудит не вимагає окремої посади. Це може бути:

• Власник особисто (для дуже малого бізнесу)
• Фінансовий менеджер або контролер, який не бере участі в операційних процесах, що перевіряє
• Зовнішній консультант на регулярній основі (раз на квартал)

Головний принцип: людина, яка проводить перевірку, не повинна бути тією ж людиною, яка виконує операцію, що перевіряється. Якщо бухгалтер сам собі дозволяє платежі — він не може бути аудитором власних операцій.

Крок 4. Складіть чекліст перевірки

Чекліст — найважливіший інструмент. Без нього перевірка перетворюється на «подивитися загалом, чи все нормально» — а це не аудит.

Приклад спрощеного щомісячного чекліста:

• ☐ Звірка банківських виписок з обліком — всі операції відображені?
• ☐ Перевірка дублікатів платежів за період
• ☐ Реєстр дебіторської заборгованості — є прострочення > 30 днів?
• ☐ Реєстр кредиторської заборгованості — нічого не пропущено для оплати?
• ☐ Список співробітників у зарплатній системі = реальний штат?
• ☐ Вибіркова перевірка 5 випадкових платежів — є повний пакет документів?
• ☐ Перевірка нарахування премій/бонусів за період
• ☐ Вивірка транзакцій по корпоративних картках — є підтверджуючі документи?
• ☐ Перевірка переказів між пов'язаними рахунками/юрособами — є обґрунтування?

Приклад розширеного квартального чекліста (додатково до щомісячного):

• ☐ Повна інвентаризація запасів і звірка з обліком
• ☐ Звірка з ключовими контрагентами (акти звірки)
• ☐ Перегляд списку користувачів з доступом до банку і облікових систем
• ☐ Аналіз цін на регулярні закупівлі — чи відповідають ринку?
• ☐ Перевірка наявності альтернативних пропозицій для великих закупівель за квартал
• ☐ Аналіз списань і браку — обґрунтовані документально?
• ☐ Карта руху грошових коштів між усіма рахунками — логіка кожного переказу зрозуміла?
• ☐ Аналіз структури витрат по корпоративних картках по категоріях за квартал

Крок 5. Документуйте знахідки і дії

Кожна перевірка має закінчуватись коротким звітом: що перевірено, що знайдено, які дії вжито. Не для бюрократії — а для того, щоб бачити тренд. Якщо одна й та сама проблема виявляється кожен квартал — значить, потрібне не разове виправлення, а зміна процесу.

Аудит фінансової звітності: окремий, але пов'язаний процес

Окрім операційного аудиту (описаного вище), варто згадати про перевірку самої фінансової звітності — наскільки P&L, Cash Flow і баланс відображають реальність.

Що перевіряти в звітності:

Узгодженість між звітами. Чистий прибуток з P&L має логічно пов'язуватись із зміною грошових коштів в Cash Flow (з урахуванням негрошових статей). Якщо звіти не «розмовляють» між собою — десь є помилка.

Логічність динаміки. Якщо валова маржа раптово підскочила з 35% до 55% без очевидної причини — це привід перевірити, чи правильно класифіковані витрати цього місяця.

Повнота визнання витрат. Чи всі рахунки за період враховані, навіть якщо вони ще не оплачені? Класична помилка — визнавати тільки оплачені витрати, ігноруючи нараховані, що спотворює реальну прибутковість періоду.

Відповідність облікової політики. Чи однаково класифікуються однотипні операції з місяця в місяць? Якщо в січні маркетингові витрати йшли в OpEx, а в лютому частина опинилась в COGS без зміни логіки бізнесу — це сигнал неуважності в обліку.

Червоні флаги, які варто перевіряти негайно

Деякі сигнали вказують на підвищений ризик і заслуговують позачергової перевірки, а не очікування планового аудиту:

Раптова зміна поведінки контрагента. Постачальник, який роками працював на стандартних умовах, раптом наполягає на оплаті готівкою або через нову компанію.

Незвичні платежі наприкінці звітного періоду. Великі суми, переведені в останній день місяця чи кварталу, особливо новим або нечастим отримувачам.

Опір прозорості. Співробітник, відповідальний за процес, уникає надавати документи, відкладає звірку, реагує оборонно на стандартні питання.

Розбіжності, що повторюються. Якщо одна і та ж розбіжність виникає кожен місяць «з технічних причин» — варто перевірити глибше, а не списувати на «помилку системи».

Відсутність відпусток у відповідального співробітника. Класична ознака в історіях про шахрайство: людина, яка контролює критичний процес, ніколи не йде у відпустку, бо «нікому передати справи». Це часто означає, що процес недокументований і непрозорий для інших.

Скільки часу це насправді займає

Власники малого бізнесу часто уникають впровадження внутрішнього аудиту, вважаючи це додатковим бюрократичним навантаженням. На практиці системний підхід економить час у довгостроковій перспективі.

Щомісячний чекліст (базовий рівень): 2–4 години для команди до 20 осіб. Це звірка банку, перевірка дебіторки/кредиторки, вибіркова перевірка документів.

Квартальний розширений аудит: 1–2 робочих дні, включно з інвентаризацією (якщо є фізичні запаси).

Порівняйте це з вартістю невиявленої проблеми. Втрата 5% від обороту через невиявлене шахрайство, неефективні закупівлі чи помилки в обліку — для бізнесу з оборотом 5 млн грн на рік це 250 000 грн. Кілька годин щомісячної перевірки коштують суттєво менше.

Коли варто залучити зовнішнього аудитора

Внутрішній аудит власними силами підходить для регулярного, операційного контролю. Але є ситуації, коли варто залучити зовнішнього фахівця:

• Перед залученням інвестицій або продажем бізнесу (due diligence)
• Якщо виникла підозра на серйозне шахрайство і потрібна незалежна, юридично захищена перевірка
• Раз на рік-два — для свіжого, неупередженого погляду на процеси, які «зсередини» вже не помічають проблем
• При значному зростанні бізнесу, коли внутрішні процеси не встигли формалізуватись під новий масштаб

Зовнішній аудитор не замінює регулярний внутрішній контроль — він доповнює його періодичною незалежною перевіркою.

Підсумок: аудит як звичка, а не подія

Найважливіша ідея цієї статті: внутрішній аудит ефективний тоді, коли він стає регулярною звичкою, а не одноразовою кампанією «давайте перевіримо все після того, як щось сталося».

Почніть з малого: визначте 2–3 зони найвищого ризику, встановіть прості правила контролю, призначте відповідального, складіть чекліст і дотримуйтесь регулярності. Це не вимагає великих ресурсів — але дає власнику впевненість, що бізнес працює так, як має працювати, а не так, як здається на перший погляд.

Регулярна перевірка дозволяє виявляти проблеми раніше, ніж вони стають дорогими.