COSO 2013 od teorie k praxi ČIIA, klubové odpoledne Praha, 19.6.2014 Ing. Bohuslav Poduška, CIA ředitel úseku interní audit Česká spořitelna, a.s.
Internal Control - na úvod - sjednocení názvosloví Internal Control různé překlady vnitřní řízení vnitřní kontrola řízení podnikových rizik rámec COSO = řídicí a kontrolní systém Internal Control (řídicí a kontrolní systém) je proces (systém) ovlivňovaný představenstvem společnosti, vedením a dalšími pracovníky, s cílem poskytnutí přiměřené jistoty při dosahování cílů týkajících se provozu (výkon), reportingu (informace) a compliance (soulad). strana 2
Internal Control - Integrated Framework - vývoj www.coso.org 1992 vznik COSO rámec, který měl pomáhat podnikům a jiným subjektům při posuzování a vylepšování vnitřních kontrolních systémů 2004 COSO (II) ERM rámec, který by mohl být využíván managementy firem pro hodnocení a zlepšení řízení podnikových rizik 2009 - Guidance on Monitoring Internal Control Systems pomoci organizacím při sledování kvality jejich ŘKS podpora k zajištění vyhodnocování ŘKS v celém jeho rozsahu strana 3
Internal Control - Integrated Framework 2013 - od záměru k publikaci 18.11.2010 - informace o přípravě revize rámce COSO do 31.1.2011 - celosvětový on-line průzkum 19.12.2011 - tisková zpráva o připravené aktualizaci rámce COSO - veřejná konzultace do 31.3.2012 - www.ic.coso.org 14.5.2013 - publikace aktualizovaného rámce Hlavní důvody pro aktualizaci rámce od 05/2013 - očekávání orgánů dohledu - globalizace trhů a operací - různé obchodní modely a organizační struktury - požadavky a složitost práva, pravidel, regulace a standardů - rostoucí rozvoj technologií - vývoj v oblasti detekce a prevence korupčních jednání strana 4
Internal Control - Integrated Framework 2013 - konstrukce rámce 5 prvků kontrolní (řídicí) prostředí řízení rizik systém vnitřní kontroly informace & komunikace monitoring 17 zásad základ konceptu každého prvku ŘKS 81 faktorů vlastnosti jednotlivých zásad strana 5
Internal Control - Integrated Framework 2013 - zásady Kontrolní prostředí Řízení rizik Systém vnitřní kontroly Informace & Komunikace Monitoring Prosazování integrity a etických hodnot Odpovědnost při výkonu dohledu Organizační struktura, pravomoci a odpovědnosti Prokázání způsobilosti pro výkon Podpora odpovědnosti Specifikace rizik při dosahování cílů Identifikace a analýza rizik Vyhodnocování rizik podvodného jednání Identifikace a analýza významných změn Zavedení a rozvoj kontrolních činností Zavedení a rozvoj kontrolních činností nad technologií Začlenění kontrolních činností do politik a procedur Využívání relevantních informací Interní komunikace Externí komunikace Provádění průběžného a samostatného vyhodnocení ŘKS Vyhodnocení a komunikace nedostatků strana 6
Internal Control - Integrated Framework 2013 - kontrolní prostředí 21 faktorů Kontrolní prostředí Prosazování integrity a etických hodnot Odpovědnost při výkonu dohledu Organizační struktura, pravomoci a odpovědnosti Prokázání způsobilosti pro výkon Podpora odpovědnosti Organizace prosazuje integritu a etické hodnoty: udávání tónu shora zavedení standardů chování (etického kodexu) vyhodnocení dodržování standardů chování (etického kodexu) včasná identifikace odchylek od standardů chování (etického kodexu) strana 7
Internal Control - Integrated Framework 2013 - řízení rizik 19 faktorů Řízení rizik Specifikace rizik při dosahování cílů Identifikace a analýza rizik Vyhodnocování rizik podvodného jednání Identifikace a analýza významných změn Organizace identifikuje a analyzuje změny, které mohou mít významný dopad do řídicího a kontrolního systému: analýza změn v externím prostředí analýza změn v obchodním modelu analýza změn ve vedení strana 8
Internal Control - Integrated Framework 2013 - systém vnitřní kontroly 16 faktorů Systém vnitřní kontroly Zavedení a rozvoj kontrolních činností Zavedení a rozvoj kontrolních činností nad technologií Začlenění kontrolních činností do politik a procedur Organizace zavede a rozvíjí všeobecné kontrolní činnosti nad technologií k podpoře dosažení cílů řídicího a kontrolního systému: určení závislosti mezi užíváním technologie v obchodních procesech a obecnými technologickými kontrolami zavedení příslušných kontrolních činností nad technologickou infrastrukturou zavedení příslušných kontrolních činnosti do procesu řízení bezpečnosti zavedení příslušných kontrolní činnosti nad procesem pořizování, rozvoje a údržby technologie strana 9
Internal Control - Integrated Framework 2013 - informace & komunikace 14 faktorů Informace & Komunikace Využívání relevantních informací Interní komunikace Externí komunikace Organizace komunikuje s externími partnery k podpoře funkčnosti ostatních prvků řídicího a kontrolního systému: komunikace k externím stranám komunikační kanál směrem dovnitř zvláštní komunikační linky komunikace s představenstvem výběr náležitých metod komunikace strana 10
Internal Control - Integrated Framework 2013 - monitoring 11 faktorů Monitoring Provádění průběžného a samostatného vyhodnocení ŘKS Vyhodnocení a komunikace nedostatků Organizace vyhodnocuje a komunikuje nedostatky v ŘKS odpovědným stranám, včetně vrcholného vedení a představenstva, ke včasnému přijetí nápravných opatření, přiměřeně k okolnostem: hodnocení výsledků komunikace nedostatků managementu podávání zpráv o nedostatcích vrcholnému vedení a představenstvu sledování plnění nápravných opatření strana 11
Řídicí a kontrolní systém - metodicky, obecně, např. zákon č. 21/1992 Sb., o bankách vyhláška č. 23/2014 Sb., o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry Basilejský výbor pro bankovní dohled - Rámec řídicího a kontrolního systému v bankách (Framework for internal control systems in banking organisations), září 1998 - Zásady pro zlepšování správy a řízení společnosti (Principles for enhancing corporate governance), říjen 2010 Evropská komise - Green Paper KOM(2010)284 v konečném znění Správa a řízení podniku ve finančních institucích a politika odměňování strana 12
Corporate governance v praxi - nezávislost interního auditu Působení interního auditu musí být nezávislé a interní auditoři musí při výkonu své práce postupovat objektivně. strana 13
Plánování interního auditu v praxi - tvorba plánu strategický plán = na 4 roky, periodický plán = na 1 rok podklady pro plán požadavky z regulace analýza rizik, Karta rizik požadavky od IA EGB náměty od manažerů a členů orgánů banky poznatky z vlastní činnosti interního auditu (monitorování) projednání a schvalování plánů a jejich změn v orgánech banky strana 14
Plánování interního auditu v praxi - pokrytí rizik a kontrolních mechanismů - Karta rizik - evidence kontrolních mechanismů - zefektivnění procesu řízení rizik - podpora plánování a činnosti interního auditu - vlastník = manažer útvaru - specializovaná aplikace v Intranetu strana 15
Souhrnné vyhodnocení ŘKS - požadavek bankovní regulace Osoba ve vedení funkce vnitřního auditu předkládá alespoň jednou ročně řídicímu a kontrolnímu orgánu, případně výboru pro audit, k projednání souhrnné vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému povinné osoby. Dozorčí rada dohlíží, zda řídicí a kontrolní systém je účinný, ucelený a přiměřený, a poznatky z této činnosti alespoň jednou ročně vyhodnocuje. Výbor pro audit hodnotí účinnost vnitřní kontroly společnosti, vnitřního auditu a případně systémů řízení rizik. Představenstvo při každé zásadní změně v situaci povinné osoby, alespoň však jednou ročně, vyhodnocuje celkovou funkčnost a efektivnost řídicího a kontrolního systému a zajistí vhodné kroky k nápravě takto zjištěných nedostatků. strana 16
Souhrnné vyhodnocení ŘKS v praxi - jak k tomu přistupujeme realizace 1x v roce k datu 31.12. specifický rozsáhlý dotazník sběr informací v útvarech banky a dalších subjektech fin.skupiny sběr informací z dalších zdrojů (audity, zápisy z jednání orgánů společností ) zpracování souhrnné zprávy projednání souhrnné zprávy v orgánech banky ŘÍZENÍ RIZIK 10 Procesy a postupy pro řízení rizik 10.1 Je v ČS zajištěn soustavný výkon funkce řízení rizik? 10.2 Obsahuje strategie řízení rizik náležitosti v souladu s 30 vyhl.č. 23/2014 Sb.? 10.3 Je zajištěno pravidelné vyhodnocování a aktualizace strategie řízení rizik? 10.4 Považujete nastavený systém řízení rizik v ČS za vyhovující? 10.5 Jak hodnotíte spolupráci s dceřinými společnostmi v oblasti řízení rizik? 10.6 10.7 Jakým způsobem byli se strategií řízení rizik seznámeni zaměstnanci, jejichž činnost má vliv na řízení rizik? Splňuje proces řízení úvěrového rizika požadavky na řízení úvěrového rizika podle přílohy č. 3 k vyhl.č. 23/2014 Sb.? strana 17