MEZINÁRODNÍ RÁMEC PROFESNÍ PRAXE INTERNÍHO AUDITU. Platné od ledna 2011 INTERNATIONAL PROFESSIONAL PRACTICES FRAMEWORK (IPPF)

Transkript

1 MEZINÁRODNÍ RÁMEC PROFESNÍ PRAXE INTERNÍHO AUDITU Platné od ledna 2011 INTERNATIONAL PROFESSIONAL PRACTICES FRAMEWORK (IPPF)

2 The Institute of Internal Auditors, Inc. (Institut interních auditorů) je mezinárodní asociací, která se věnuje neustálému profesnímu rozvoji jednotlivých auditorů a profese interního auditu. Copyright 2011 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida , USA. All rights reserved. Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida , U.S.A., to publish this translation, which is the same in all material respects, as the original unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc. Překlad: Jana Báčová, Antonín Šenfeld, Jan Žižka ITC, Pavel Caska, Petra Sokolová Odborná jazyková korektura: Jana Báčová, Antonín Šenfeld Vydavatel: Český institut interních auditorů, o. s. Vydání 6. české: leden 2011 Sazba: Typokabi.net Tisk: Reproservis s. r. o. ISBN (1. vydání MJF Praha) ISBN (2. vydání ČIIA Praha) ISBN (3. vydání ČIIA Praha) ISBN (4. vydání ČIIA Praha) ISBN (5. vydání ČIIA Praha) ISBN Mezinárodní Rámec profesní praxe interního auditu Báčová, Šenfeld, leden 2011 Český institut interních auditorů, o. s., 2011 Veškerá práva vyhrazena. V České republice vydal Český institut interních auditorů, Institut IIA. V souladu se zákonem o autorských právech nesmí být žádná část této publikace reprodukována, uložena ve vyhledávacích systémech nebo přenášena elektronicky, mechanicky, v podobě fotokopií nebo jinak bez předchozího souhlasu vydavatele. K získání povolení k překladu, změnám nebo reprodukci jakékoli části amerického originálu kontaktujte: The Institute of Internal Auditors, Inc. 249 Maitland Avenue Altamonte Springs, Florida , USA Phone: , ext. 256 K získání povolení k překladu, změnám nebo reprodukci jakékoli části českého překladu kontaktujte: Český institut interních auditorů, o.s. Karlovo náměstí 3, Praha 2 Tel.: Fax:

3 Vážení čtenáři, dnem 1. ledna 2011 vstoupila v účinnost novela Mezinárodních standardů pro profesní praxi interního auditu (dále též Standardy ). Jak deklaruje vydavatel - Mezinárodní institut interních auditorů (dále též IIA ) - Standardy musí být aktuální a reagovat jak na vývoj v právním prostředí a v dalších relevantních oblastech, tak odpovídat vývoji v samotné profesi interního auditu. Proto se IIA zavázal, že bude revidovat Standardy minimálně každé 3 roky. Současná změna se týká pouze Standardů a přichází dva roky poté, co byla provedena poměrně významná změna v celkové struktuře Mezinárodního rámce profesní praxe interního auditu (dále jen Rámec ). Tentokrát není změna Standardů nijak rozsáhlá. Bylo provedeno cca 25 změn, které spočívají zejména v úpravách současného textu standardů, interpretací a pojmů ve výkladovém slovníčku. Zcela nové jsou pouze 3 standardy (2010.A2, 2070, 2450), 15 standardů bylo pozměněno, 2 standardy byly zrušeny a doplněno bylo 5 nových interpretací (ke standardům 1110, 1321, 2070, 2410.A1, 2450). Jako podstatné hodnotí IIA především změny ve dvou oblastech: ve vymezení odpovědností při poskytování služeb interního auditu externími dodavateli a při vyjadřování závěrů a celkového názoru interního auditu k auditované oblasti. Je důležité, aby si společnost uvědomila, že i když služby interního auditu poskytuje externí dodavatel, konečnou odpovědnost za existenci účinného a efektivního interního auditu má vždy samotná společnost. Nový standard týkající se uvádění celkového názoru ve zprávě interního auditu stanoví, co musí takový názor zohlednit. Je třeba, aby závěry interního auditu byly transparentní a jednoznačné, a to zejména z hlediska časového období a rozsahu auditu, ke kterému se názor vztahuje a současně byly závěry podloženy dostatečnými, spolehlivými, relevantními a účelnými informacemi. Další větší změny standardů se týkají vymezení organizační nezávislosti interního auditu a definice statutu interního auditu, zohledňování očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) při plánování a předávání výsledků interního auditu a prokazování odborné způsobilosti externích hodnotitelů kvality interního auditu. Český institut interních auditorů opětovně vydává Standardy dvojjazyčně. K rychlé orientaci ve změnách slouží celkový přehled změn uvedený v textu Co je nového ve Standardech od ledna Z tohoto přehledu je patrné, že od r bylo též vydáno 14 nových Doporučení pro praxi, jedno Doporučení bylo změněno a dále bylo vydáno 12 nových Praktických pomůcek. Standardy se zvýrazněnými změnami platnými od r a ostatní součásti Rámce, tj. Doporučení pro praxi, Praktické pomůcky a Stanoviska (včetně seznamu všech doposud vydaných součástí Rámce), naleznete na přiloženém CD. Doporučení pro praxi jsou opět vydávána jak v českém, tak i v anglickém jazyce, Praktické pomůcky a Stanoviska pouze v angličtině. Překladem do českého jazyka se Český institut interních auditorů snaží zpřístupnit co nejširšímu okruhu uživatelů zejména povinné a silně doporučované součásti Rámce. Doufáme, že novelizované vydání Rámce bude účelnou a praktickou pomůckou pro všechny interní auditory i ostatní zainteresované osoby či profese. Ing. Jana Báčová, CIA 3

4 CONTENT Preface 12 Definition of Internal Auditing 26 Code of Ethics 30 Introduction 30 Applicability and Enforcement 30 Principles 30 Rules of Conduct 32 International Standards for the Professional Practice of Internal Auditing 34 Introduction 36 Attribute Standards Purpose, Authority, and Responsibility Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter Independence and Objectivity Organizational Independence Direct Interaction With the Board Individual Objectivity Impairment to Independence or Objectivity Proficiency and Due Professional Care Proficiency Due Professional Care Continuing Professional Development Quality Assurance and Improvement Program Requirements of the quality assurance and improvement program Internal Assessments External Assessments Reporting on the quality assurance and improvement program Use of Conforms with the International Standards for the Professional Practice of Internal Auditing Disclosure of Nonconformance 48 Performance Standards Managing the Internal Audit Activity Planning Communication and Approval Resource Management Policies and Procedures Coordination Reporting to Senior Management and the Board External Service Provider and Organizational Responsibility for Internal Auditing Nature of Work 52 4

5 OBSAH Předmluva 13 Definice interního auditu 27 Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33 Mezinárodní standardy pro profesní praxi interního auditu 35 Úvod ke Standardům 37 Základní standardy Účel, pravomoci a odpovědnosti Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu Nezávislost a objektivita Organizační nezávislost Přímá vzájemná součinnost s orgány společnosti Objektivita jednotlivce Narušení nezávislosti nebo objektivity Odbornost a náležitá profesní péče Odbornost Náležitá profesní péče Průběžný profesní rozvoj Program pro zabezpečení a zvyšování kvality interního auditu Požadavky kladené na Program pro zabezpečení a zvyšování kvality Interní hodnocení Externí hodnocení Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu Užívání výrazu Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu Informování týkající se nesouladu 49 Standardy pro výkon interního auditu Řízení interního auditu Plánování Komunikace a schvalování Řízení zdrojů Zásady a postupy Koordinace Předávání zpráv vedení a orgánům společnosti Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu Charakter práce 53 5

6 2110 Governance Risk Management Control Engagement Planning Planning Considerations Engagement Objectives Engagement Scope Engagement Resource Allocation Engagement Work Program Performing the Engagement Identifying Information Analysis and Evaluation Documenting Information Engagement Supervision Communicating Results Criteria for Communicating Quality of Communications Errors and Omissions Use of Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing Engagement Disclosure of Nonconformance Disseminating Results Overall Opinions Monitoring Progress Resolution of Senior Management s Acceptance of Risks 64 Glossary 66 Practice Advisory: Only on CD: : Internal Audit Charter : Organizational Independence : Board Interaction : Individual Objectivity : Impairments to Independence or Objectivity A1 1: Assessing Operations for Which Internal Auditors Were Previously Responsible A2 1: Internal Audit s Responsibility for Other (Non-audit) Functions : Proficiency and Due Professional Care : Proficiency A1 1: Obtaining External Service Providers to Support or Complement the Internal Audit Activity : Due Professional Care : Continuing Professional Development : Quality Assurance and Improvement Program : Requirements of the Quality Assurance and Improvement Program : Internal Assessments : External Assessments 108 6

7 2110 Řízení a správa společnosti Řízení rizik Řízení a kontrola Plánování zakázky Přístup k plánování Cíle zakázky Rozsah zakázky Rozvržení zdrojů v rámci zakázky Pracovní program zakázky Realizace zakázky Identifikace informací Analýza a hodnocení Dokumentace informací Dohled (supervize) nad prováděním zakázky Předávání výsledků Kritéria komunikace Kvalita zpráv Chyby a opomenutí Užívání výrazu Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu Poskytnutí informací v případě nesouladu Distribuce výsledků Celkové názory Monitorování Rozhodnutí o přijetí rizika vedením společnosti 65 Výklad pojmů 67 Doporučení pro praxi: Pouze na CD: : Statut interního auditu : Organizační nezávislost : Součinnost s orgány společnosti : Objektivita jednotlivce : Narušení nezávislosti nebo objektivity A1 1: Posuzování operací, za které byli interní auditoři dříve odpovědni A2 1: Odpovědnosti interního auditu za jiné (neauditorské) činnosti : Odbornost a náležitá profesní péče : Odbornost A1 1: Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu : Náležitá profesní péče : Průběžný profesní rozvoj : Program pro zabezpečení a zvyšování kvality : Požadavky kladené na Program pro zabezpečení a zvyšování kvality : Interní hodnocení : Externí hodnocení 109 7

8 External Assessments: Self-assessment with Independent Validation : Use of Conforms with the International Standards for the Professional Practice of Internal Auditing : Linking the Audit Plan to Risk and Exposures : Using the Risk Management Process in Internal Audit Planning : Communication and Approval : Resource Management : Policies and Procedures : Coordination : Assurance Maps : Relying on the Work of Other Assurance Providers : Reporting to Senior Management and the Board : Governance: Definition : Governance: Relationship With Risk and Control : Governance: Assessments : Assessing the Adequacy of Risk Management Processes : Managing the Risk of the Internal Audit Activity : Assessing the Adequacy of Control Processes A1 1: Information Reliability and Integrity A1 2: Evaluating an Organization s Privacy Framework : Engagement Planning : Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement : Engagement Objectives A1 1: Risk Assessment in Engagement Planning : Engagement Resource Allocation : Engagement Work Program : Use of Personal Information in Conducting Engagements : Analytical Procedures : Documenting Information A1 1: Control of Engagement Records A1 2: Granting Access to Engagement Records A2 1: Retention of Records : Engagement Supervision : Legal Considerations in Communicating Results : Communication Criteria : Quality of Communications : Disseminating Results : Communicating Sensitive Information Within and Outside the Chain of Command A2 1: Communications Outside the Organization : Monitoring Progress A1 1: Follow-up Process 230 8

9 1312 2: Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací : Užívání výrazu Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu : Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena : Využití procesu řízení rizik při plánování interního auditu : Komunikace a schvalování : Řízení zdrojů : Zásady a postupy : Koordinace : Mapy ujišťovacích činností : Spolehnutí se na práci ostatních dodavatelů ujištění : Předávání zpráv vedení a orgánům společnosti : Řízení a správa společnosti: Definice : Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou : Řízení a správa společnosti: Hodnocení : Hodnocení přiměřenosti procesu řízení rizik : Řízení rizik interního auditu : Hodnocení přiměřenosti řídicích a kontrolních procesů A1 1: Spolehlivost a integrita informací A1 2: Hodnocení systému ochrany důvěrných/osobních informací v rámci organizace : Plánování zakázky : Používání rizikově zaměřeného přístupu shora-dolů ( top down ) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu : Cíle zakázky A1 1: Ohodnocení rizik při plánování zakázky : Rozvržení zdrojů v rámci zakázky : Pracovní program zakázky : Využívání osobních informací při provádění zakázek : Analytické postupy : Dokumentace informací A1 1: Řízení přístupu k záznamům pořízeným v rámci zakázky A1 2: Poskytování přístupu k záznamům pořízeným v rámci zakázky A2 1: Archivace záznamů : Dohled (supervize) nad prováděním zakázky : Právní aspekty při předávání výsledků : Kritéria komunikace : Kvalita zpráv : Distribuce výsledků : Předávání citlivých informací v rámci nebo vně hierarchie řízení A2 1: Předávání informací vně společnosti : Monitorování A1 1: Proces následné kontroly 231 9

10 Position Papers The Role of Internal Auditing in Enterprise-wide Risk Management (January 2009) The Role of Internal Auditing in Resourcing the Internal Audit Activity (January 2009) Practice Guides Assessing the Adequacy of Risk Management (December 2010) Auditing Executive Compensation and Benefits (April 2010) Auditing External Business Relationships (May 2010) CAEs Appointment, Performance Evaluation and Termination (May 2010) Evaluating Corporate Social Responsibility/Sustainable Development (February 2010) Formulating and Expressing Internal Audit Opinions (March 2009) Internal Auditing and Fraud (December 2009) Measuring Internal Audit Effectiveness and Efficiency (December 2010) Global Technology Audit Guides (GTAG ) GTAG 1 Information Technology Controls (March 2005) GTAG 2 Change and Patch Management Controls: Critical for Organizational Success (June 2005) GTAG 3 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (October 2005) GTAG 4 Management of IT Auditing (March 2006) GTAG 5 Managing and Auditing Privacy Risks (June 2006) GTAG 6 Managing and Auditing IT Vulnerabilities (October 2006) GTAG 7 Information Technology Outsourcing (March 2007) GTAG 8 Auditing Application Controls (July 2007) GTAG 9 Identity and Access Management (November 2007) GTAG 10 Business Continuity Management (July 2008) GTAG 11 Developing the IT Audit Plan (July 2008) GTAG 12 Auditing IT Projects (March 2009) GTAG 13 Fraud Prevention and Detection in an Automated World (December 2009) GTAG 14 Auditing User-developed Applications (June 2010) GTAG 15 Information Security Governance (June 2010) Guide to the Assessment of IT Risk (GAIT) The GAIT Methodology (August 2007) GAIT for IT General Control Deficiency Assessment (March 2008) GAIT for Business and IT Risk (GAIT-R) (March 2008) Case Studies Using GAIT-R to Scope PCI Compliance (September 2008) 10

11 11

12 PREFACE Given the pace of change in our global profession, in 2006 the Board of Directors (Board) of The Institute of Internal Auditors (IIA) established an international steering committee and task force to review the Professional Practices Framework (PPF) and The IIA s guidance structure along with the related processes. The task force s efforts were focused on reviewing the scope of the framework and increasing the transparency and consistency of the guidance s development, review, and issuance processes. The results culminated in a new International Professional Practices Framework (IPPF) and a reengineered Professional Practices Council (PPC). The PPC coordinates the approval and issuance of IPPF guidance as stated in the council s updated mission statement which was approved by the Board in June Mandatory. Conformance is required and the guidance is developed following the appropriate due process, which includes public exposure. Conformance with the principles set forth in mandatory guidance is essential for the professional practice of internal auditing. Strongly Recommended. Conformance is strongly recommended, and the guidance is endorsed by The IIA. It describes practices for the effective implementation of The IIA s Code of Ethics and the International Standards for the Professional Practice of Internal Auditing (Standards). The IPPF now comprises the following elements: In general, a framework provides a structural blueprint of how a body of knowledge and guidance fits together. As a coherent system, a framework facilitates consistent development, interpretation, and application of concepts, methodologies, and techniques useful to a discipline or profession. Specifically, the purpose of the IPPF is to organize The IIA s authoritative guidance in a manner that is readily accessible on a timely basis while strengthening the positioning of The IIA as the standard setting body for the internal audit profession globally. By encompassing current internal audit practice as well as allowing for future expansion, the IPPF is intended to assist practitioners and stakeholders throughout the world in being responsive to the expanding market for high quality internal audit services. As the conceptual framework that organizes guidance promulgated by The IIA, the IPPF s scope has been narrowed to include only authoritative guidance developed by IIA international technical committees following appropriate due process. Authoritative guidance consists of two categories: 12

13 PŘEDMLUVA V důsledku probíhajících rychlých změn v profesi interního auditu, představenstvo Institutu interních auditorů (dále též IIA nebo Institut ) ustanovilo v roce 2006 mezinárodní řídicí výbor a pracovní skupinu, jejímž cílem byla revize Rámce profesní praxe (PPF), struktury směrnic IIA a s nimi souvisejících postupů. Úsilí této pracovní skupiny bylo zaměřeno na revizi rozsahu rámce a na zvýšení transparentnosti a zlepšení vzájemné provázanosti postupů přípravy, revize a zveřejnění směrnic. Výsledkem tohoto úsilí bylo vydání nového Mezinárodního Rámce profesní praxe (IPPF; dále též Rámec ) a podstatné změny ve struktuře Rady pro profesní praxi (PPC). Jak plyne z upraveného programového prohlášení této rady, schváleného představenstvem IIA v červnu 2007, úkolem PPC je koordinace procesu schvalování a zveřejňování směrnic IPPF. Povinné směrnice: je vyžadován soulad s těmito směrnicemi; tyto směrnice byly důkladně připraveny a následně podrobeny veřejnému připomínkovému řízení. Pro profesní praxi interního auditu je nezbytný soulad s principy stanovenými v povinných směrnicích. Důrazně doporučené směrnice: je důrazně doporučen soulad s těmito směrnicemi a tyto směrnice jsou podporovány IIA. Popisují postupy účinného zavádění Definice interního auditu, Etického kodexu a Mezinárodních Standardů pro profesní praxi interního auditu vydanými IIA (dále Standardů). IPPF se skládá z následujících prvků: Z obecného hlediska, struktura Rámce podrobně ukazuje, na jakém souboru znalostí jsou jednotlivé směrnice založeny. Rámec, jako logicky provázaný systém, usnadňuje přípravu, interpretaci a aplikaci přístupů, metodik a postupů vhodných pro obor nebo profesi interního auditu. V rámci posílení role IIA jako globálního tvůrce standardů v oblasti profese interního auditu, je konkrétním cílem IPPF včasná příprava závazných směrnic a jejich dostupnost. Díky tomu, že IPPF obsahuje současnou praxi interního auditu a zároveň je otevřen budoucím změnám, cílem IPPF je v globálním měřítku napomáhat odborníkům a všem zainteresovaným stranám, aby byli vnímaví vůči rozvíjejícímu se trhu a poptávce po vysoce kvalitních službách interního auditu. Rozsah IPPF, jenž představuje koncepční rámec pro zatřídění směrnic vytvořených IIA, byl zúžen tak, aby zahrnoval pouze závazné směrnice stanovené mezinárodními technickými výbory IIA. Další podmínkou pro zahrnutí směrnice do Rámce bylo, že musela být podrobena řádnému připomínkování. Závazné směrnice se skládají ze dvou kategorií: 13

14 Elements Definition Code of Ethics International Standards for the Professional Practice of Internal Auditing (The Standards) Definition The Definition of Internal Auditing states the fundamental purpose, nature, and scope of internal auditing. The Code of Ethics states the principles and expectations governing behavior of individuals and organizations in the conduct of internal auditing. It describes the minimum requirements for conduct; and behavioral expectations rather than specific activities. The Standards are principlefocused and provide a framework for performing and promoting internal auditing. The structure of the Standards includes Attribute, Performance, and Implementation Standards. The Standards are mandatory requirements consisting of: Statements of basic requirements for the professional practice of internal auditing and for evaluating the effectiveness of its performance, which are internationally applicable at organizational and individual levels. Interpretations, which clarify terms or concepts within the Statements. It is necessary to consider both the Statements and their Interpretations to understand and apply the Standards correctly. The Standards employ terms that have been given specific meanings that are included in the Glossary. Position Papers Practice Advisories Practice Guides Position Papers assist a wide range of interested parties, including those not in internal auditing profession, in understanding significant governance, risk or control issues and delineating related roles and responsibilities of internal auditing. Practice Advisories address approach, methodology and considerations, but not detailed processes and procedures. They are guidance to assist internal auditors in applying the Code of Ethics and the Standards and to promote good practices. They include practices relating to: international, country, or industry specific issues; specific types of engagements; and legal or regulatory issues. Practice Guides are detailed guidance for conducting internal audit activities. They include detailed processes and procedures, such as tools and techniques, programs, and step-by-step approaches, including examples of deliverables. The most significant changes in the new IPPF are: Process improvements. Enhancements to the various elements, increased transparency, and defined review cycles for all guidance. The review cycle for the IPPF has been determined to be three years. Although the guidance enunciated in the IPPF will not necessarily change every three years, The IIA is committed to ensuring that it is reviewed completely every three years and that changes are made if necessary. 14

15 Prvek Definice Etický kodex Mezinárodní Standardy pro profesní praxi interního auditu (Standardy) Definice Definice interního auditu obsahuje základní cíl, charakter a rozsah působnosti interního auditu. Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti. Standardy jsou založeny na základních zásadách a poskytují rámec pro výkon interního auditu a jeho podporu. Struktura Standardů zahrnuje Základní standardy, Standardy pro výkon a Prováděcí standardy. Standardy jsou souborem závazných požadavků skládajících se ze: Základních požadavků kladených na profesní praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích. Pro správné pochopení a používání Standardů je nezbytné se řídit jak jednotlivými požadavky, tak i jejich interpretacemi. Standardy používají řadu pojmů, jimž byl přiřazen specifický význam, který je uveden ve Výkladu pojmů. Stanoviska (Position Papers) Doporučení pro praxi (Practice Advisories) Praktické pomůcky (Practice Guides) Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu. Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek. Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení, včetně příkladů jejich výstupů. Nejvýznamnějšími změnami v novém IPPF jsou: Zlepšení procesu došlo ke zdokonalení několika prvků procesu, k dosažení vyšší transparentnosti a stanovení frekvence revizí všech směrnic. Frekvence revizí IPPF byla stanovena na 3 roky. I když není nezbytné, aby se směrnice obsažené v IPPF měnily každé tři roky, 15

16 Development and Practice Aids. This element is no longer included in the framework. It previously encompassed all resources (e.g., training, publications, and research reports) that internal auditors might use in the course of their work. Because the scope of the new IPPF includes only authoritative guidance, as defined above, this category did not fit within the new framework. Interpretations. These have been added to the Standards to provide further clarity to terms and phrases. Interpretations, where required, will immediately follow the associated Standard. Position Papers. This element has been added to the IPPF. Position Papers are IIA statements that assist a wide range of interested parties, including those not in the internal audit profession, to understand significant governance, risk, or control issues, and delineate the related roles and responsibilities of the internal audit profession. Practice Advisories. These have been narrowed in scope to include only the methodology and approach for implementing the Code of Ethics and the Standards. Current content that addresses tools or techniques has been moved into the Practice Guides element. Practice Guides. This element has been added to the IPPF. Practice Guides allow guidance to be issued at the tools and techniques level, and includes detailed processes and procedures, programs, and step-by-step approaches (e.g., examples of deliverables). By definition, internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Throughout the world, internal auditing is performed in diverse environments and within organizations that vary in purpose, size, and structure. In addition, the laws and customs within various countries differ from one another. These differences may affect the practice of internal auditing in each environment. The implementation of the IPPF, therefore, will be governed by the environment in which the internal audit activity carries out its assigned responsibilities. No information contained within the IPPF should be construed in a manner that conflicts with applicable laws or regulations. If a situation arises where information contained within the IPPF may be in conflict with legislation or regulation, internal auditors are encouraged to contact The IIA or legal counsel for further guidance. As indicated above, the IPPF contains two types of guidance. 1. Mandatory guidance includes: The Definition of Internal Auditing, The Code of Ethics, and The Standards The mandatory nature of the Standards is emphasized by the use of the word Must. The Standards use the word must to specify an unconditional requirement. In some exceptional cases, the Standards use the terminology Should. The Standards use the word should where conformance is expected unless, when applying professional judgment, circumstances justify deviation. Conformance with the concepts enunciated in the mandatory guidance is essential before the responsibilities of internal auditors can be met. As stated in the Code of Ethics, internal auditors shall perform internal audit services in accordance with the Standards. Internal auditors refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing. Mandatory guidance is intended to be applicable to both individuals and entities that provide internal auditing services. 16

17 IIA zajistí, aby byly podrobeny celkové revizi a aby byly učiněny nezbytné změny. Rozvojové a praktické pomůcky (Development and Practice Aids) tento prvek již nebyl do rámce zahrnut. Původně obsahoval všechny zdroje (např. školení, publikace a výzkumné zprávy), využitelné interními auditory v průběhu jejich práce. Protože rozsah tohoto nového IPPF obsahuje pouze závazné směrnice, tato kategorie by byla v rozporu s obsahem nového Rámce. Interpretace byly přidány do Standardů z důvodu vyšší srozumitelnosti pojmů a formulací. Tam, kde je to nezbytné, jsou interpretace uvedeny bezprostředně za souvisejícím Standardem. Doporučení pro praxi (Practice Advisories) jejich rozsah byl zúžen a obsahuje pouze metodiku a postupy pro aplikaci Etického kodexu a Standardů. Text týkající se nástrojů a postupů byl přesunut do části Praktické pomůcky. Praktické pomůcky a Stanoviska (Practice Guides a Position Papers) tyto prvky byly do IPPF nově přidány. Praktické pomůcky umožňují rozpracování směrnic na úroveň nástrojů a postupů. Zahrnují podrobné procesy a postupy, plány a postupná řešení (např. příklady jejich výstupů). Stanoviska obsahují pohled IIA na role a odpovědnosti interního auditu ve vztahu ke konkrétnímu problému. Podle své definice je interní audit nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace. Na celém světě je interní audit prováděn v rozmanitých prostředích a uvnitř organizací, které se liší svým účelem, velikostí a strukturou. Mimo to se zákony a zvyky od sebe v jednotlivých zemích liší. Z hlediska prostředí, v kterém je interní audit vykonáván, mohou mít tyto rozdíly vliv na jeho postupy. Proto aplikace IPPF závisí na prostředí, ve kterém interní audit vykonává své odpovědnosti. Žádný požadavek obsažený v IPPF by neměl být vykládán způsobem, který je v rozporu s platnými zákony nebo regulacemi. Pokud se vyskytne situace, že informace obsažená v IPPF je v rozporu s právem nebo regulacemi, interní auditoři by měli z hlediska stanovení dalšího postupu kontaktovat IIA nebo vyhledat pomoc právního poradce. Jak bylo již zmíněno výše, IPPF obsahuje dva typy směrnic. 1. Závazné směrnice se skládají z: Definice interního auditu Etického kodexu Standardů Závazná povaha Standardů je zdůrazněna slovem muset. Standardy používají slovo muset pro stanovení nepodmíněného požadavku. V některých výjimečných případech Standardy používají slovo měl by. Standardy užívají slovo měl by tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku. Soulad s pojetím formulovaným v závazných směrnicích je nezbytný pro účinný výkon odpovědností interních auditorů a funkci interního auditu jako takovou. Jak je uvedeno v Etickém kodexu, interní auditoři budou poskytovat služby interního auditu v souladu se Standardy. Interními auditory se rozumí členové IIA, držitelé nebo kandidáti profesních certifikací IIA a také ti, kteří poskytují služby interního auditu v rozsahu Definice interního auditu. Závazné směrnice byly formulovány tak, aby byly použitelné jak pro jedince, tak pro entity poskytující služby interního auditu. 17

18 2. Recommended Guidance includes: Position Papers Practices Advisories Practice Guides While endorsed by The IIA and developed by an IIA international technical committee and/or institute following due process, strongly recommended guidance is not mandatory and has been developed to provide a wide range of applicable solutions to meet the requirments of The IIA s mandadory guidance. Strongly recommended material is not intended to provide definitive answers to specific individual circumstances and as such is intended to be used as a guide. The IIA recommends that independent expert advice be sought relating directly to any specific situation. This guidance is expected to be applied by competent internal auditors, exercising professional judgment. During the coming years, internal auditors can help to ensure that the IPPF will continue to grow more robust through their active involvement in guidance development. All interested parties are invited to provide comments and suggestions about any aspect of the IPPF. For professional guidance, comments, and suggestions, send an to guidance@theiia.org. To find out about coming updates to the IPPF, internal auditors are encouraged to monitor the Professional Guidance pages at Professional Practices Framework Definition Code of Ethics Standards Practice Advisories Development and Practice Aids Mandatory Strongly Recommended Endorsed or Developed by The IIA Inteernational Professional Practices Framework Definition Code of Ethics Standards and Interpretations Position Papers Practice Advisories Practice Guides Mandatory Strongly Recommended 18

19 2. Doporučené směrnice se skládají z: Stanovisek Doporučení pro praxi Praktických pomůcek Na základě návrhu pečlivě připraveného mezinárodním technickým výborem a samotným Institutem, schválil IIA důrazně doporučené směrnice, které však nejsou závazné. Účelem těchto doporučených směrnic je poskytnout širokou škálu použitelných řešení určených ke splnění požadavků stanovených závaznými směrnicemi IIA. Soubor důrazně doporučených směrnic nebyl připraven s cílem poskytnout rozhodující stanoviska použitelná v jednotlivých konkrétních situacích a jako takový by měl být používán spíše jako rádce/doporučení. IIA doporučuje, aby v dané konkrétní situaci, byl vyhledán nezávislý odborný poradce. Očekává se, že tyto důrazně doporučené směrnice budou využívat odborně způsobilí interní auditoři současně se svým odborným úsudkem. V budoucnu mohou být interní auditoři nápomocni dalšímu rozvoji IPPF prostřednictvím jejich aktivní účasti při přípravě směrnic. Vítáme účast všech zainteresovaných stran v rámci poskytování připomínek a návrhů týkajících se jakéhokoli aspektu IPPF. V případě potřeby odborné rady, zaslání komentářů a návrhů zašlete na adresu guidance@theiia.org. Informace o chystaných aktualizacích IPPF mohou interní auditoři sledovat na stránkách v části Professional Guidance. Rámec profesní praxe Povinné Silně doporučované Definice Etický kodex Standardy Doporučení pro praxi Praktické a rozvojové pomůcky Schváleny/ vytvořeny IIA Mezinárodní rámec profesní praxe 2009 Povinné Silně doporučované Definice Etický kodex Standardy a Interpretace Stanoviska Doporučení pro praxi Praktické pomůcky 19

20 What s New Since January 2009? Standards (Released in October 2010 and to be effective January 2011): 1000 Purpose, Authority, and Responsibility: Change interpretation 1100 Independence and Objectivity: Change interpretation 1110 Organizational Independence: Add new interpretation 1312 External Assessments: Change interpretation 1321 Use of Conforms with the International Standards for the Professional Practice of Internal Auditing : Add new interpretation 2000 Managing the Internal Audit Activity: Change interpretation 2010.A2: Add new Standard 2070 External Service Provider and Organizational Responsibility for Internal Auditing: Add new Standard and interpretation 2110.A2: Change Standard 2110.C1: Change to 2210.C2, change the content of the Standard 2120 Risk Management: Change interpretation 2120.A1: Change Standard 2130.A1: Change Standard 2130.A2: Delete Standard 2130.A3: Delete Standard 2130.C1: Change to 2220.C C2: Change to 2130.C Communicating Results: Change Standard 2410.A1: Change Standard, add interpretation 2450 Overall Opinions: Add new Standard and interpretation Change the definition of Add Value Change the definition of Chief Audit Executive Change the definition of Control Environment Change the definition of Independence Change the definition of Information Technology Governance Change the definition of Objectivity 20