MEZINÁRODNÍ RÁMEC PROFESNÍ PRAXE INTERNÍHO AUDITU. Platné od ledna 2011 INTERNATIONAL PROFESSIONAL PRACTICES FRAMEWORK (IPPF)

MEZINÁRODNÍ RÁMEC PROFESNÍ PRAXE INTERNÍHO AUDITU Platné od ledna 2011 INTERNATIONAL PROFESSIONAL PRACTICES FRAMEWORK (IPPF)

The Institute of Internal Auditors, Inc. (Institut interních auditorů) je mezinárodní asociací, která se věnuje neustálému profesnímu rozvoji jednotlivých auditorů a profese interního auditu. Copyright 2011 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved. Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in all material respects, as the original unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc. Překlad: Jana Báčová, Antonín Šenfeld, Jan Žižka ITC, Pavel Caska, Petra Sokolová Odborná jazyková korektura: Jana Báčová, Antonín Šenfeld Vydavatel: Český institut interních auditorů, o. s. Vydání 6. české: leden 2011 Sazba: Typokabi.net Tisk: Reproservis s. r. o. ISBN 80-86284-10-7 (1. vydání MJF Praha) ISBN 80-86689-05-0 (2. vydání ČIIA Praha) ISBN 80-86689-25-5 (3. vydání ČIIA Praha) ISBN 80-86689-39-5 (4. vydání ČIIA Praha) ISBN 80-86689-42-5 (5. vydání ČIIA Praha) ISBN 80-86689-46-8 Mezinárodní Rámec profesní praxe interního auditu Báčová, Šenfeld, leden 2011 Český institut interních auditorů, o. s., 2011 Veškerá práva vyhrazena. V České republice vydal Český institut interních auditorů, Institut IIA. V souladu se zákonem o autorských právech nesmí být žádná část této publikace reprodukována, uložena ve vyhledávacích systémech nebo přenášena elektronicky, mechanicky, v podobě fotokopií nebo jinak bez předchozího souhlasu vydavatele. K získání povolení k překladu, změnám nebo reprodukci jakékoli části amerického originálu kontaktujte: The Institute of Internal Auditors, Inc. 249 Maitland Avenue Altamonte Springs, Florida 32701-4201, USA Phone: +1 407 830-7600, ext. 256 K získání povolení k překladu, změnám nebo reprodukci jakékoli části českého překladu kontaktujte: Český institut interních auditorů, o.s. Karlovo náměstí 3, 120 00 Praha 2 Tel.: 224 920 332 Fax: 224 919 361 2

Vážení čtenáři, dnem 1. ledna 2011 vstoupila v účinnost novela Mezinárodních standardů pro profesní praxi interního auditu (dále též Standardy ). Jak deklaruje vydavatel - Mezinárodní institut interních auditorů (dále též IIA ) - Standardy musí být aktuální a reagovat jak na vývoj v právním prostředí a v dalších relevantních oblastech, tak odpovídat vývoji v samotné profesi interního auditu. Proto se IIA zavázal, že bude revidovat Standardy minimálně každé 3 roky. Současná změna se týká pouze Standardů a přichází dva roky poté, co byla provedena poměrně významná změna v celkové struktuře Mezinárodního rámce profesní praxe interního auditu (dále jen Rámec ). Tentokrát není změna Standardů nijak rozsáhlá. Bylo provedeno cca 25 změn, které spočívají zejména v úpravách současného textu standardů, interpretací a pojmů ve výkladovém slovníčku. Zcela nové jsou pouze 3 standardy (2010.A2, 2070, 2450), 15 standardů bylo pozměněno, 2 standardy byly zrušeny a doplněno bylo 5 nových interpretací (ke standardům 1110, 1321, 2070, 2410.A1, 2450). Jako podstatné hodnotí IIA především změny ve dvou oblastech: ve vymezení odpovědností při poskytování služeb interního auditu externími dodavateli a při vyjadřování závěrů a celkového názoru interního auditu k auditované oblasti. Je důležité, aby si společnost uvědomila, že i když služby interního auditu poskytuje externí dodavatel, konečnou odpovědnost za existenci účinného a efektivního interního auditu má vždy samotná společnost. Nový standard týkající se uvádění celkového názoru ve zprávě interního auditu stanoví, co musí takový názor zohlednit. Je třeba, aby závěry interního auditu byly transparentní a jednoznačné, a to zejména z hlediska časového období a rozsahu auditu, ke kterému se názor vztahuje a současně byly závěry podloženy dostatečnými, spolehlivými, relevantními a účelnými informacemi. Další větší změny standardů se týkají vymezení organizační nezávislosti interního auditu a definice statutu interního auditu, zohledňování očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) při plánování a předávání výsledků interního auditu a prokazování odborné způsobilosti externích hodnotitelů kvality interního auditu. Český institut interních auditorů opětovně vydává Standardy dvojjazyčně. K rychlé orientaci ve změnách slouží celkový přehled změn uvedený v textu Co je nového ve Standardech od ledna 2011. Z tohoto přehledu je patrné, že od r. 2009 bylo též vydáno 14 nových Doporučení pro praxi, jedno Doporučení bylo změněno a dále bylo vydáno 12 nových Praktických pomůcek. Standardy se zvýrazněnými změnami platnými od r. 2011 a ostatní součásti Rámce, tj. Doporučení pro praxi, Praktické pomůcky a Stanoviska (včetně seznamu všech doposud vydaných součástí Rámce), naleznete na přiloženém CD. Doporučení pro praxi jsou opět vydávána jak v českém, tak i v anglickém jazyce, Praktické pomůcky a Stanoviska pouze v angličtině. Překladem do českého jazyka se Český institut interních auditorů snaží zpřístupnit co nejširšímu okruhu uživatelů zejména povinné a silně doporučované součásti Rámce. Doufáme, že novelizované vydání Rámce bude účelnou a praktickou pomůckou pro všechny interní auditory i ostatní zainteresované osoby či profese. Ing. Jana Báčová, CIA 3

CONTENT Preface 12 Definition of Internal Auditing 26 Code of Ethics 30 Introduction 30 Applicability and Enforcement 30 Principles 30 Rules of Conduct 32 International Standards for the Professional Practice of Internal Auditing 34 Introduction 36 Attribute Standards 40 1000 Purpose, Authority, and Responsibility 40 1010 Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter 40 1100 Independence and Objectivity 40 1110 Organizational Independence 40 1111 Direct Interaction With the Board 42 1120 Individual Objectivity 42 1130 Impairment to Independence or Objectivity 42 1200 Proficiency and Due Professional Care 44 1210 Proficiency 44 1220 Due Professional Care 44 1230 Continuing Professional Development 46 1300 Quality Assurance and Improvement Program 46 1310 Requirements of the quality assurance and improvement program 46 1311 Internal Assessments 46 1312 External Assessments 46 1320 Reporting on the quality assurance and improvement program 48 1321 Use of Conforms with the International Standards for the Professional Practice of Internal Auditing 48 1322 Disclosure of Nonconformance 48 Performance Standards 50 2000 Managing the Internal Audit Activity 50 2010 Planning 50 2020 Communication and Approval 50 2030 Resource Management 50 2040 Policies and Procedures 50 2050 Coordination 52 2060 Reporting to Senior Management and the Board 52 2070 External Service Provider and Organizational Responsibility for Internal Auditing 52 2100 Nature of Work 52 4

OBSAH Předmluva 13 Definice interního auditu 27 Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33 Mezinárodní standardy pro profesní praxi interního auditu 35 Úvod ke Standardům 37 Základní standardy 41 1000 Účel, pravomoci a odpovědnosti 41 1010 Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu 41 1100 Nezávislost a objektivita 41 1110 Organizační nezávislost 41 1111 Přímá vzájemná součinnost s orgány společnosti 43 1120 Objektivita jednotlivce 43 1130 Narušení nezávislosti nebo objektivity 43 1200 Odbornost a náležitá profesní péče 45 1210 Odbornost 45 1220 Náležitá profesní péče 45 1230 Průběžný profesní rozvoj 47 1300 Program pro zabezpečení a zvyšování kvality interního auditu 47 1310 Požadavky kladené na Program pro zabezpečení a zvyšování kvality 47 1311 Interní hodnocení 47 1312 Externí hodnocení 47 1320 Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu 49 1321 Užívání výrazu Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu 49 1322 Informování týkající se nesouladu 49 Standardy pro výkon interního auditu 51 2000 Řízení interního auditu 51 2010 Plánování 51 2020 Komunikace a schvalování 51 2030 Řízení zdrojů 51 2040 Zásady a postupy 51 2050 Koordinace 53 2060 Předávání zpráv vedení a orgánům společnosti 53 2070 Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu 53 2100 Charakter práce 53 5

2110 Governance 52 2120 Risk Management 54 2130 Control 54 2200 Engagement Planning 56 2201 Planning Considerations 56 2210 Engagement Objectives 56 2220 Engagement Scope 56 2230 Engagement Resource Allocation 58 2240 Engagement Work Program 58 2300 Performing the Engagement 58 2310 Identifying Information 58 2320 Analysis and Evaluation 58 2330 Documenting Information 58 2340 Engagement Supervision 60 2400 Communicating Results 60 2410 Criteria for Communicating 60 2420 Quality of Communications 60 2421 Errors and Omissions 62 2430 Use of Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing 62 2431 Engagement Disclosure of Nonconformance 62 2440 Disseminating Results 62 2450 Overall Opinions 64 2500 Monitoring Progress 64 2600 Resolution of Senior Management s Acceptance of Risks 64 Glossary 66 Practice Advisory: Only on CD: 1000 1: Internal Audit Charter 76 1110 1: Organizational Independence 78 1111 1: Board Interaction 80 1120 1: Individual Objectivity 80 1130 1: Impairments to Independence or Objectivity 82 1130.A1 1: Assessing Operations for Which Internal Auditors Were Previously Responsible 84 1130.A2 1: Internal Audit s Responsibility for Other (Non-audit) Functions 86 1200-1: Proficiency and Due Professional Care 88 1210 1: Proficiency 90 1210.A1 1: Obtaining External Service Providers to Support or Complement the Internal Audit Activity 92 1220 1: Due Professional Care 98 1230 1: Continuing Professional Development 100 1300 1: Quality Assurance and Improvement Program 100 1310 1: Requirements of the Quality Assurance and Improvement Program 104 1311 1: Internal Assessments 106 1312 1: External Assessments 108 6

2110 Řízení a správa společnosti 53 2120 Řízení rizik 55 2130 Řízení a kontrola 55 2200 Plánování zakázky 57 2201 Přístup k plánování 57 2210 Cíle zakázky 57 2220 Rozsah zakázky 57 2230 Rozvržení zdrojů v rámci zakázky 59 2240 Pracovní program zakázky 59 2300 Realizace zakázky 59 2310 Identifikace informací 59 2320 Analýza a hodnocení 59 2330 Dokumentace informací 59 2340 Dohled (supervize) nad prováděním zakázky 61 2400 Předávání výsledků 61 2410 Kritéria komunikace 61 2420 Kvalita zpráv 61 2421 Chyby a opomenutí 63 2430 Užívání výrazu Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu 63 2431 Poskytnutí informací v případě nesouladu 63 2440 Distribuce výsledků 63 2450 Celkové názory 65 2500 Monitorování 65 2600 Rozhodnutí o přijetí rizika vedením společnosti 65 Výklad pojmů 67 Doporučení pro praxi: Pouze na CD: 1000 1: Statut interního auditu 77 1110 1: Organizační nezávislost 79 1111 1: Součinnost s orgány společnosti 81 1120 1: Objektivita jednotlivce 81 1130 1: Narušení nezávislosti nebo objektivity 83 1130.A1 1: Posuzování operací, za které byli interní auditoři dříve odpovědni 85 1130.A2 1: Odpovědnosti interního auditu za jiné (neauditorské) činnosti 87 1200 1: Odbornost a náležitá profesní péče 89 1210 1: Odbornost 91 1210.A1 1: Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu 93 1220 1: Náležitá profesní péče 99 1230 1: Průběžný profesní rozvoj 101 1300 1: Program pro zabezpečení a zvyšování kvality 101 1310 1: Požadavky kladené na Program pro zabezpečení a zvyšování kvality 105 1311 1: Interní hodnocení 107 1312 1: Externí hodnocení 109 7

1312 2 External Assessments: Self-assessment with Independent Validation 114 1321 1: Use of Conforms with the International Standards for the Professional Practice of Internal Auditing 118 2010 1: Linking the Audit Plan to Risk and Exposures 120 2010 2: Using the Risk Management Process in Internal Audit Planning 122 2020 1: Communication and Approval 130 2030-1: Resource Management 130 2040 1: Policies and Procedures 134 2050 1: Coordination 134 2050 2: Assurance Maps 138 2050 3: Relying on the Work of Other Assurance Providers 144 2060 1: Reporting to Senior Management and the Board 148 2110 1: Governance: Definition 152 2110 2: Governance: Relationship With Risk and Control 156 2110 3: Governance: Assessments 158 2120 1: Assessing the Adequacy of Risk Management Processes 160 2120 2: Managing the Risk of the Internal Audit Activity 166 2130 1: Assessing the Adequacy of Control Processes 174 2130.A1 1: Information Reliability and Integrity 178 2130.A1 2: Evaluating an Organization s Privacy Framework 180 2200 1: Engagement Planning 182 2200 2: Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement 184 2210 1: Engagement Objectives 188 2210.A1 1: Risk Assessment in Engagement Planning 188 2230 1: Engagement Resource Allocation 190 2240 1: Engagement Work Program 192 2300 1: Use of Personal Information in Conducting Engagements 192 2320 1: Analytical Procedures 194 2330 1: Documenting Information 198 2330.A1 1: Control of Engagement Records 200 2330.A1 2: Granting Access to Engagement Records 202 2330.A2 1: Retention of Records 204 2340 1: Engagement Supervision 206 2400 1: Legal Considerations in Communicating Results 208 2410 1: Communication Criteria 212 2420 1: Quality of Communications 216 2440 1: Disseminating Results 218 2440 2: Communicating Sensitive Information Within and Outside the Chain of Command 220 2440.A2 1: Communications Outside the Organization 226 2500 1: Monitoring Progress 228 2500.A1 1: Follow-up Process 230 8

1312 2: Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací 115 1321 1: Užívání výrazu Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu 119 2010 1: Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena 121 2010 2: Využití procesu řízení rizik při plánování interního auditu 123 2020 1: Komunikace a schvalování 131 2030 1: Řízení zdrojů 131 2040 1: Zásady a postupy 135 2050 1: Koordinace 135 2050 2: Mapy ujišťovacích činností 139 2050 3: Spolehnutí se na práci ostatních dodavatelů ujištění 145 2060 1: Předávání zpráv vedení a orgánům společnosti 149 2110 1: Řízení a správa společnosti: Definice 153 2110 2: Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou 157 2110 3: Řízení a správa společnosti: Hodnocení 159 2120 1: Hodnocení přiměřenosti procesu řízení rizik 161 2120 2: Řízení rizik interního auditu 167 2130 1: Hodnocení přiměřenosti řídicích a kontrolních procesů 175 2130.A1 1: Spolehlivost a integrita informací 179 2130.A1 2: Hodnocení systému ochrany důvěrných/osobních informací v rámci organizace 181 2200 1: Plánování zakázky 183 2200 2: Používání rizikově zaměřeného přístupu shora-dolů ( top down ) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu 185 2210 1: Cíle zakázky 189 2210.A1 1: Ohodnocení rizik při plánování zakázky 191 2230 1: Rozvržení zdrojů v rámci zakázky 191 2240 1: Pracovní program zakázky 193 2300 1: Využívání osobních informací při provádění zakázek 193 2320 1: Analytické postupy 195 2330 1: Dokumentace informací 199 2330.A1 1: Řízení přístupu k záznamům pořízeným v rámci zakázky 201 2330.A1 2: Poskytování přístupu k záznamům pořízeným v rámci zakázky 203 2330.A2 1: Archivace záznamů 205 2340 1: Dohled (supervize) nad prováděním zakázky 207 2400 1: Právní aspekty při předávání výsledků 209 2410 1: Kritéria komunikace 213 2420 1: Kvalita zpráv 217 2440 1: Distribuce výsledků 219 2440 2: Předávání citlivých informací v rámci nebo vně hierarchie řízení 221 2440.A2 1: Předávání informací vně společnosti 227 2500 1: Monitorování 229 2500.A1 1: Proces následné kontroly 231 9

Position Papers The Role of Internal Auditing in Enterprise-wide Risk Management (January 2009) The Role of Internal Auditing in Resourcing the Internal Audit Activity (January 2009) Practice Guides Assessing the Adequacy of Risk Management (December 2010) Auditing Executive Compensation and Benefits (April 2010) Auditing External Business Relationships (May 2010) CAEs Appointment, Performance Evaluation and Termination (May 2010) Evaluating Corporate Social Responsibility/Sustainable Development (February 2010) Formulating and Expressing Internal Audit Opinions (March 2009) Internal Auditing and Fraud (December 2009) Measuring Internal Audit Effectiveness and Efficiency (December 2010) Global Technology Audit Guides (GTAG ) GTAG 1 Information Technology Controls (March 2005) GTAG 2 Change and Patch Management Controls: Critical for Organizational Success (June 2005) GTAG 3 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (October 2005) GTAG 4 Management of IT Auditing (March 2006) GTAG 5 Managing and Auditing Privacy Risks (June 2006) GTAG 6 Managing and Auditing IT Vulnerabilities (October 2006) GTAG 7 Information Technology Outsourcing (March 2007) GTAG 8 Auditing Application Controls (July 2007) GTAG 9 Identity and Access Management (November 2007) GTAG 10 Business Continuity Management (July 2008) GTAG 11 Developing the IT Audit Plan (July 2008) GTAG 12 Auditing IT Projects (March 2009) GTAG 13 Fraud Prevention and Detection in an Automated World (December 2009) GTAG 14 Auditing User-developed Applications (June 2010) GTAG 15 Information Security Governance (June 2010) Guide to the Assessment of IT Risk (GAIT) The GAIT Methodology (August 2007) GAIT for IT General Control Deficiency Assessment (March 2008) GAIT for Business and IT Risk (GAIT-R) (March 2008) Case Studies Using GAIT-R to Scope PCI Compliance (September 2008) 10

11

PREFACE Given the pace of change in our global profession, in 2006 the Board of Directors (Board) of The Institute of Internal Auditors (IIA) established an international steering committee and task force to review the Professional Practices Framework (PPF) and The IIA s guidance structure along with the related processes. The task force s efforts were focused on reviewing the scope of the framework and increasing the transparency and consistency of the guidance s development, review, and issuance processes. The results culminated in a new International Professional Practices Framework (IPPF) and a reengineered Professional Practices Council (PPC). The PPC coordinates the approval and issuance of IPPF guidance as stated in the council s updated mission statement which was approved by the Board in June 2007. Mandatory. Conformance is required and the guidance is developed following the appropriate due process, which includes public exposure. Conformance with the principles set forth in mandatory guidance is essential for the professional practice of internal auditing. Strongly Recommended. Conformance is strongly recommended, and the guidance is endorsed by The IIA. It describes practices for the effective implementation of The IIA s Code of Ethics and the International Standards for the Professional Practice of Internal Auditing (Standards). The IPPF now comprises the following elements: In general, a framework provides a structural blueprint of how a body of knowledge and guidance fits together. As a coherent system, a framework facilitates consistent development, interpretation, and application of concepts, methodologies, and techniques useful to a discipline or profession. Specifically, the purpose of the IPPF is to organize The IIA s authoritative guidance in a manner that is readily accessible on a timely basis while strengthening the positioning of The IIA as the standard setting body for the internal audit profession globally. By encompassing current internal audit practice as well as allowing for future expansion, the IPPF is intended to assist practitioners and stakeholders throughout the world in being responsive to the expanding market for high quality internal audit services. As the conceptual framework that organizes guidance promulgated by The IIA, the IPPF s scope has been narrowed to include only authoritative guidance developed by IIA international technical committees following appropriate due process. Authoritative guidance consists of two categories: 12

PŘEDMLUVA V důsledku probíhajících rychlých změn v profesi interního auditu, představenstvo Institutu interních auditorů (dále též IIA nebo Institut ) ustanovilo v roce 2006 mezinárodní řídicí výbor a pracovní skupinu, jejímž cílem byla revize Rámce profesní praxe (PPF), struktury směrnic IIA a s nimi souvisejících postupů. Úsilí této pracovní skupiny bylo zaměřeno na revizi rozsahu rámce a na zvýšení transparentnosti a zlepšení vzájemné provázanosti postupů přípravy, revize a zveřejnění směrnic. Výsledkem tohoto úsilí bylo vydání nového Mezinárodního Rámce profesní praxe (IPPF; dále též Rámec ) a podstatné změny ve struktuře Rady pro profesní praxi (PPC). Jak plyne z upraveného programového prohlášení této rady, schváleného představenstvem IIA v červnu 2007, úkolem PPC je koordinace procesu schvalování a zveřejňování směrnic IPPF. Povinné směrnice: je vyžadován soulad s těmito směrnicemi; tyto směrnice byly důkladně připraveny a následně podrobeny veřejnému připomínkovému řízení. Pro profesní praxi interního auditu je nezbytný soulad s principy stanovenými v povinných směrnicích. Důrazně doporučené směrnice: je důrazně doporučen soulad s těmito směrnicemi a tyto směrnice jsou podporovány IIA. Popisují postupy účinného zavádění Definice interního auditu, Etického kodexu a Mezinárodních Standardů pro profesní praxi interního auditu vydanými IIA (dále Standardů). IPPF se skládá z následujících prvků: Z obecného hlediska, struktura Rámce podrobně ukazuje, na jakém souboru znalostí jsou jednotlivé směrnice založeny. Rámec, jako logicky provázaný systém, usnadňuje přípravu, interpretaci a aplikaci přístupů, metodik a postupů vhodných pro obor nebo profesi interního auditu. V rámci posílení role IIA jako globálního tvůrce standardů v oblasti profese interního auditu, je konkrétním cílem IPPF včasná příprava závazných směrnic a jejich dostupnost. Díky tomu, že IPPF obsahuje současnou praxi interního auditu a zároveň je otevřen budoucím změnám, cílem IPPF je v globálním měřítku napomáhat odborníkům a všem zainteresovaným stranám, aby byli vnímaví vůči rozvíjejícímu se trhu a poptávce po vysoce kvalitních službách interního auditu. Rozsah IPPF, jenž představuje koncepční rámec pro zatřídění směrnic vytvořených IIA, byl zúžen tak, aby zahrnoval pouze závazné směrnice stanovené mezinárodními technickými výbory IIA. Další podmínkou pro zahrnutí směrnice do Rámce bylo, že musela být podrobena řádnému připomínkování. Závazné směrnice se skládají ze dvou kategorií: 13

Elements Definition Code of Ethics International Standards for the Professional Practice of Internal Auditing (The Standards) Definition The Definition of Internal Auditing states the fundamental purpose, nature, and scope of internal auditing. The Code of Ethics states the principles and expectations governing behavior of individuals and organizations in the conduct of internal auditing. It describes the minimum requirements for conduct; and behavioral expectations rather than specific activities. The Standards are principlefocused and provide a framework for performing and promoting internal auditing. The structure of the Standards includes Attribute, Performance, and Implementation Standards. The Standards are mandatory requirements consisting of: Statements of basic requirements for the professional practice of internal auditing and for evaluating the effectiveness of its performance, which are internationally applicable at organizational and individual levels. Interpretations, which clarify terms or concepts within the Statements. It is necessary to consider both the Statements and their Interpretations to understand and apply the Standards correctly. The Standards employ terms that have been given specific meanings that are included in the Glossary. Position Papers Practice Advisories Practice Guides Position Papers assist a wide range of interested parties, including those not in internal auditing profession, in understanding significant governance, risk or control issues and delineating related roles and responsibilities of internal auditing. Practice Advisories address approach, methodology and considerations, but not detailed processes and procedures. They are guidance to assist internal auditors in applying the Code of Ethics and the Standards and to promote good practices. They include practices relating to: international, country, or industry specific issues; specific types of engagements; and legal or regulatory issues. Practice Guides are detailed guidance for conducting internal audit activities. They include detailed processes and procedures, such as tools and techniques, programs, and step-by-step approaches, including examples of deliverables. The most significant changes in the new IPPF are: Process improvements. Enhancements to the various elements, increased transparency, and defined review cycles for all guidance. The review cycle for the IPPF has been determined to be three years. Although the guidance enunciated in the IPPF will not necessarily change every three years, The IIA is committed to ensuring that it is reviewed completely every three years and that changes are made if necessary. 14

Prvek Definice Etický kodex Mezinárodní Standardy pro profesní praxi interního auditu (Standardy) Definice Definice interního auditu obsahuje základní cíl, charakter a rozsah působnosti interního auditu. Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti. Standardy jsou založeny na základních zásadách a poskytují rámec pro výkon interního auditu a jeho podporu. Struktura Standardů zahrnuje Základní standardy, Standardy pro výkon a Prováděcí standardy. Standardy jsou souborem závazných požadavků skládajících se ze: Základních požadavků kladených na profesní praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích. Pro správné pochopení a používání Standardů je nezbytné se řídit jak jednotlivými požadavky, tak i jejich interpretacemi. Standardy používají řadu pojmů, jimž byl přiřazen specifický význam, který je uveden ve Výkladu pojmů. Stanoviska (Position Papers) Doporučení pro praxi (Practice Advisories) Praktické pomůcky (Practice Guides) Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu. Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek. Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení, včetně příkladů jejich výstupů. Nejvýznamnějšími změnami v novém IPPF jsou: Zlepšení procesu došlo ke zdokonalení několika prvků procesu, k dosažení vyšší transparentnosti a stanovení frekvence revizí všech směrnic. Frekvence revizí IPPF byla stanovena na 3 roky. I když není nezbytné, aby se směrnice obsažené v IPPF měnily každé tři roky, 15

Development and Practice Aids. This element is no longer included in the framework. It previously encompassed all resources (e.g., training, publications, and research reports) that internal auditors might use in the course of their work. Because the scope of the new IPPF includes only authoritative guidance, as defined above, this category did not fit within the new framework. Interpretations. These have been added to the Standards to provide further clarity to terms and phrases. Interpretations, where required, will immediately follow the associated Standard. Position Papers. This element has been added to the IPPF. Position Papers are IIA statements that assist a wide range of interested parties, including those not in the internal audit profession, to understand significant governance, risk, or control issues, and delineate the related roles and responsibilities of the internal audit profession. Practice Advisories. These have been narrowed in scope to include only the methodology and approach for implementing the Code of Ethics and the Standards. Current content that addresses tools or techniques has been moved into the Practice Guides element. Practice Guides. This element has been added to the IPPF. Practice Guides allow guidance to be issued at the tools and techniques level, and includes detailed processes and procedures, programs, and step-by-step approaches (e.g., examples of deliverables). By definition, internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Throughout the world, internal auditing is performed in diverse environments and within organizations that vary in purpose, size, and structure. In addition, the laws and customs within various countries differ from one another. These differences may affect the practice of internal auditing in each environment. The implementation of the IPPF, therefore, will be governed by the environment in which the internal audit activity carries out its assigned responsibilities. No information contained within the IPPF should be construed in a manner that conflicts with applicable laws or regulations. If a situation arises where information contained within the IPPF may be in conflict with legislation or regulation, internal auditors are encouraged to contact The IIA or legal counsel for further guidance. As indicated above, the IPPF contains two types of guidance. 1. Mandatory guidance includes: The Definition of Internal Auditing, The Code of Ethics, and The Standards The mandatory nature of the Standards is emphasized by the use of the word Must. The Standards use the word must to specify an unconditional requirement. In some exceptional cases, the Standards use the terminology Should. The Standards use the word should where conformance is expected unless, when applying professional judgment, circumstances justify deviation. Conformance with the concepts enunciated in the mandatory guidance is essential before the responsibilities of internal auditors can be met. As stated in the Code of Ethics, internal auditors shall perform internal audit services in accordance with the Standards. Internal auditors refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing. Mandatory guidance is intended to be applicable to both individuals and entities that provide internal auditing services. 16

IIA zajistí, aby byly podrobeny celkové revizi a aby byly učiněny nezbytné změny. Rozvojové a praktické pomůcky (Development and Practice Aids) tento prvek již nebyl do rámce zahrnut. Původně obsahoval všechny zdroje (např. školení, publikace a výzkumné zprávy), využitelné interními auditory v průběhu jejich práce. Protože rozsah tohoto nového IPPF obsahuje pouze závazné směrnice, tato kategorie by byla v rozporu s obsahem nového Rámce. Interpretace byly přidány do Standardů z důvodu vyšší srozumitelnosti pojmů a formulací. Tam, kde je to nezbytné, jsou interpretace uvedeny bezprostředně za souvisejícím Standardem. Doporučení pro praxi (Practice Advisories) jejich rozsah byl zúžen a obsahuje pouze metodiku a postupy pro aplikaci Etického kodexu a Standardů. Text týkající se nástrojů a postupů byl přesunut do části Praktické pomůcky. Praktické pomůcky a Stanoviska (Practice Guides a Position Papers) tyto prvky byly do IPPF nově přidány. Praktické pomůcky umožňují rozpracování směrnic na úroveň nástrojů a postupů. Zahrnují podrobné procesy a postupy, plány a postupná řešení (např. příklady jejich výstupů). Stanoviska obsahují pohled IIA na role a odpovědnosti interního auditu ve vztahu ke konkrétnímu problému. Podle své definice je interní audit nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace. Na celém světě je interní audit prováděn v rozmanitých prostředích a uvnitř organizací, které se liší svým účelem, velikostí a strukturou. Mimo to se zákony a zvyky od sebe v jednotlivých zemích liší. Z hlediska prostředí, v kterém je interní audit vykonáván, mohou mít tyto rozdíly vliv na jeho postupy. Proto aplikace IPPF závisí na prostředí, ve kterém interní audit vykonává své odpovědnosti. Žádný požadavek obsažený v IPPF by neměl být vykládán způsobem, který je v rozporu s platnými zákony nebo regulacemi. Pokud se vyskytne situace, že informace obsažená v IPPF je v rozporu s právem nebo regulacemi, interní auditoři by měli z hlediska stanovení dalšího postupu kontaktovat IIA nebo vyhledat pomoc právního poradce. Jak bylo již zmíněno výše, IPPF obsahuje dva typy směrnic. 1. Závazné směrnice se skládají z: Definice interního auditu Etického kodexu Standardů Závazná povaha Standardů je zdůrazněna slovem muset. Standardy používají slovo muset pro stanovení nepodmíněného požadavku. V některých výjimečných případech Standardy používají slovo měl by. Standardy užívají slovo měl by tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku. Soulad s pojetím formulovaným v závazných směrnicích je nezbytný pro účinný výkon odpovědností interních auditorů a funkci interního auditu jako takovou. Jak je uvedeno v Etickém kodexu, interní auditoři budou poskytovat služby interního auditu v souladu se Standardy. Interními auditory se rozumí členové IIA, držitelé nebo kandidáti profesních certifikací IIA a také ti, kteří poskytují služby interního auditu v rozsahu Definice interního auditu. Závazné směrnice byly formulovány tak, aby byly použitelné jak pro jedince, tak pro entity poskytující služby interního auditu. 17

2. Recommended Guidance includes: Position Papers Practices Advisories Practice Guides While endorsed by The IIA and developed by an IIA international technical committee and/or institute following due process, strongly recommended guidance is not mandatory and has been developed to provide a wide range of applicable solutions to meet the requirments of The IIA s mandadory guidance. Strongly recommended material is not intended to provide definitive answers to specific individual circumstances and as such is intended to be used as a guide. The IIA recommends that independent expert advice be sought relating directly to any specific situation. This guidance is expected to be applied by competent internal auditors, exercising professional judgment. During the coming years, internal auditors can help to ensure that the IPPF will continue to grow more robust through their active involvement in guidance development. All interested parties are invited to provide comments and suggestions about any aspect of the IPPF. For professional guidance, comments, and suggestions, send an e-mail to guidance@theiia.org. To find out about coming updates to the IPPF, internal auditors are encouraged to monitor the Professional Guidance pages at http://www.theiia.org. Professional Practices Framework Definition Code of Ethics Standards Practice Advisories Development and Practice Aids Mandatory Strongly Recommended Endorsed or Developed by The IIA Inteernational Professional Practices Framework Definition Code of Ethics Standards and Interpretations Position Papers Practice Advisories Practice Guides Mandatory Strongly Recommended 18

2. Doporučené směrnice se skládají z: Stanovisek Doporučení pro praxi Praktických pomůcek Na základě návrhu pečlivě připraveného mezinárodním technickým výborem a samotným Institutem, schválil IIA důrazně doporučené směrnice, které však nejsou závazné. Účelem těchto doporučených směrnic je poskytnout širokou škálu použitelných řešení určených ke splnění požadavků stanovených závaznými směrnicemi IIA. Soubor důrazně doporučených směrnic nebyl připraven s cílem poskytnout rozhodující stanoviska použitelná v jednotlivých konkrétních situacích a jako takový by měl být používán spíše jako rádce/doporučení. IIA doporučuje, aby v dané konkrétní situaci, byl vyhledán nezávislý odborný poradce. Očekává se, že tyto důrazně doporučené směrnice budou využívat odborně způsobilí interní auditoři současně se svým odborným úsudkem. V budoucnu mohou být interní auditoři nápomocni dalšímu rozvoji IPPF prostřednictvím jejich aktivní účasti při přípravě směrnic. Vítáme účast všech zainteresovaných stran v rámci poskytování připomínek a návrhů týkajících se jakéhokoli aspektu IPPF. V případě potřeby odborné rady, zaslání komentářů a návrhů zašlete e-mail na adresu guidance@theiia.org. Informace o chystaných aktualizacích IPPF mohou interní auditoři sledovat na stránkách http://www.theiia.org, v části Professional Guidance. Rámec profesní praxe 2002 2008 Povinné Silně doporučované Definice Etický kodex Standardy Doporučení pro praxi Praktické a rozvojové pomůcky Schváleny/ vytvořeny IIA Mezinárodní rámec profesní praxe 2009 Povinné Silně doporučované Definice Etický kodex Standardy a Interpretace Stanoviska Doporučení pro praxi Praktické pomůcky 19

What s New Since January 2009? Standards (Released in October 2010 and to be effective January 2011): 1000 Purpose, Authority, and Responsibility: Change interpretation 1100 Independence and Objectivity: Change interpretation 1110 Organizational Independence: Add new interpretation 1312 External Assessments: Change interpretation 1321 Use of Conforms with the International Standards for the Professional Practice of Internal Auditing : Add new interpretation 2000 Managing the Internal Audit Activity: Change interpretation 2010.A2: Add new Standard 2070 External Service Provider and Organizational Responsibility for Internal Auditing: Add new Standard and interpretation 2110.A2: Change Standard 2110.C1: Change to 2210.C2, change the content of the Standard 2120 Risk Management: Change interpretation 2120.A1: Change Standard 2130.A1: Change Standard 2130.A2: Delete Standard 2130.A3: Delete Standard 2130.C1: Change to 2220.C2 2130.C2: Change to 2130.C1 2400 Communicating Results: Change Standard 2410.A1: Change Standard, add interpretation 2450 Overall Opinions: Add new Standard and interpretation Change the definition of Add Value Change the definition of Chief Audit Executive Change the definition of Control Environment Change the definition of Independence Change the definition of Information Technology Governance Change the definition of Objectivity 20