VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA. Proces plánování interního auditu v České spořitelně a. s. Bakalářská práce

Podobné dokumenty
Interní audit a jeho úloha

MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU

Léto Interní audit historie, význam, funkce. Ing. Petr Mach. Novodobá historie auditu: Velká Británie Companies Act(1844)

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Přínosy spolupráce interního a externího auditu

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Statut interního auditu

Hodnocení řídícího a kontrolního systému interním auditem

Statut interního auditu. Město Vodňany

Ing. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011

Hodnocení kvality IA. Národní konference ČIIA Jak na kvalitu v IA říjen Josef Medek, CIA, CISA

Evaluace na rozcestí trendy a praxe. Evaluace vs. interní audit. Lukáš Kačena Ernst & Young

Směrnice Ředitele Ústavu pro studium totalitních režimů STATUT INTERNÍHO AUDITU

Mandát Výboru pro audit

Vnitřní řídící a kontrolní systém banky

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

Postupy interního auditu

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Konsolidovaný statut útvaru interního auditu a nesrovnalostí

SMĚRNICE INTERNÍHO AUDITU

ISA 260 PŘEDÁVÁNÍ INFORMACÍ O ZÁLEŽITOSTECH AUDITU OSOBÁM POVĚŘENÝM ŘÍZENÍM ÚČETNÍ JEDNOTKY

PRAVIDLA VNITŘNÍ KONTROLY. Pravidla vnitřní kontroly investičního zprostředkovatele

Univerzita Karlova. Opatření rektora č. 35/2017

Zpráva o činnosti a výstupech interního auditu ČT

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012

Zpráva o výsledcích finančních kontrol za rok 2009 Úřadu pro ochranu hospodářské soutěže

Zpráva o výsledcích finančních kontrol za rok 2010 Úřadu pro ochranu hospodářské soutěže

Struktura Pre-auditní zprávy

STATUT A MANUÁL INTERNÍHO AUDITU V ORGANIZACI


František Beckert ČIIA On-line anketa nejen o interním auditu ve veřejné správě

VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, o. p. s. Seznámíme se i s jednotlivými fázemi auditu od jeho plánování k závěrečnému hodnocení.

ORGANIZAČNÍ ŘÁD RD-01. Daniel Häusler ředitel Kanceláře ČIIA Schválil: Petr Vobořil prezident ČIIA. Vypracoval:

STATUT A MANUÁL INTERNÍHO AUDITU V ORGANIZACI

VÝNOS REKTORA Č. 4/2018 STATUT INTERNÍHO AUDITU AVU

STANDARDY PRO VÝKON INTERNÍHO AUDITU

Vnitřní kontrolní systém a jeho audit

ISA 610 POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU. (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu)

Obsah. Praktický výkon činnosti Compliance v pojišťovnictví. 1. Pojem Compliance - právní rámec. 2. Rizika Compliance

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

PRIMÁRNÍ SYSTÉM DOHLEDU Z POHLEDU MANAŽERA. Eva Janoušková

Program pro zabezpečení a zvyšování kvality interního auditu. Ivana Göttingerová Odbor interního auditu a kontroly Magistrát města Brna

STŘEDNĚDOBÝ PLÁN INTERNÍHO AUDITU

Zákon o řízení a kontrole veřejných financí

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY. oddělení PAS pro OP VaVpI

Ministr práce a sociálních věcí

SMĚRNICE DĚKANA Č. 4/2013

2/6. 1 Úř. věst. L 158, , s Úř. věst. L 335, , s Úř. věst. L 331, , s

Základní role interního auditu a vývoj jejího vnímání

Management. Kontrola. Ing. Jiří Holický Ing. Vladimír Foltánek Ústav lesnické a dřevařské ekonomiky a politiky

Aplikační doložka KA ČR Požadavky na zprávu auditora definované zákonem o auditorech

Základy řízení bezpečnosti

Martina Smetanová. Výbory pro audit

Copyright 2009 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida , USA. All rights reserved.

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

Akční plán Svazu účetních

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Zpráva o činnosti a výstupech interního auditu ČT

Monitorovacího výboru Operačního programu Praha pól růstu ČR

Výtisk č. : Platnost od: Schválil: Podpis:

SBÍRKA ROZHODNUTÍ A OPATŘENÍ JIHOČESKÉ UNIVERZITY V ČESKÝCH BUDĚJOVICÍCH

Věstník ČNB částka 19/2007 ze dne 6. srpna ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 18. července 2007

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje

KODEX PROFESIONÁLNÍHO CHOVÁNÍ AKTUÁRA

JAK A PROČ PRACOVAT NA KVALITĚ IA. Ing. Eva Klímová Praha,

Požadavky ČNB na profesi interního auditu

Aktuální témata pro členy správních orgánů a interní auditory. Tomáš Pivoňka, ČIIA, ČEZ, a. s.

KANCELÁŘ VEŘEJNÉHO OCHRÁNCE PRÁV

Zákon o finanční kontrole. Michal Plaček

Organizační řád Svazu podnikatelů ve stavebnictví

Poslání České národní banky při dohledu nad finančním trhem České republiky

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Ověřovací auditorské zakázky a audit v lesním hospodářství

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 510 OBSAH. Předmět standardu... 1 Datum účinnosti... 2 Cíl... 3 Definice... 4 Požadavky

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

ZPRÁVA. o ověření roční účetní závěrky Evropské nadace pro zlepšení životních a pracovních podmínek za rozpočtový rok 2015, spolu s odpovědí nadace

Věstník ČNB částka 10/2002 ze dne 5. srpna 2002

Akademie múzických umění v Praze Rektorát Kvestorka. Směrnice kvestorky AMU č. 5/2003

Příloha č. 2. Rozdílová tabulka návrhu předpisu ČR s legislativou ES/EU

SYSTÉM FINANČNÍ KONTROLY OBCE

Postavení a role externího auditora ve správě a řízení korporací. CORPORATE GOVERNANCE 20. září 2018 PETR KŘÍŽ

IPPF PRŮVODCE PRAXÍ INTERNÍ AUDIT A PODVOD

Strategický plán udržitelného rozvoje města Sokolov

ISA 720 OSTATNÍ INFORMACE V DOKUMENTECH OBSAHUJÍCÍCH AUDITOVANOU ÚČETNÍ ZÁVĚRKU

Politika stř etu za jmu

ZABEZPEČENÍ PROTIKORUPČNÍCH OPATŘENÍ VE FNKV, VYTVÁŘENÍ A POSILOVÁNÍ PROTIKORUPČNÍHO PROSTŘEDÍ VE FNKV

KANCELÁŘ VEŘEJNÉHO OCHRÁNCE

Zkušební otázka. Podle zákona o územním členění státu (36/1960 Sb.), se území České republiky dělí na: A. 14 krajů B. 13 krajů C.

ZPRÁVA. o ověření roční účetní závěrky Evropského úřadu pro bezpečnost potravin za rozpočtový rok 2015, spolu s odpovědí úřadu (2016/C 449/18)

ZPRÁVA. o ověření roční účetní závěrky Evropského orgánu pro cenné papíry a trhy za rozpočtový rok 2016 spolu s odpovědí orgánu (2017/C 417/28)

Směrnice upravující postup při vytváření a schvalování standardů Českého systému certifikace lesů (CFCS)

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 300 OBSAH. Datum účinnosti. 3 Cíl.. 4 Požadavky

Výbory pro audit zřizované v subjektech veřejného zájmu. zákonná úprava a některé aspekty aplikační praxe

Statut. Rady kvality ČR

GLOSÁŘ POJMŮ 1. Glosář pojmů_2.část Příručky

Představení projektu Metodika

256/2006 Sb. VYHLÁŠKA. ze dne 22. května o podrobnostech systému prevence závažných havárií. Úvodní ustanovení

OBSAH ÚVOD PROHLÁŠENÍ O VĚROHODNOSTI PŘIPOMÍNKY K ROZPOČTOVÉMU A FINANČNÍMU ŘÍZENÍ Tabulka...

Transkript:

VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA Katedra ekonomických studií Proces plánování interního auditu v České spořitelně a. s. Bakalářská práce Autor : Jiří Trost Vedoucí práce: Ing. Věra Nečadová Místo: Jihlava Rok: 2011

Souhrn: Cílem bakalářské práce je popis profese interního auditu včetně mezinárodních i tuzemských požadavků se zaměřením na plánovací proces činnosti interního auditu, když bude vymezena základní charakteristika interního auditu včetně jeho vývoje, začlenění útvaru interního auditu v rámci organizační struktury a práva a povinnosti interního auditu v bance. V aplikační části budou charakterizovány požadavky na proces tvorby plánu činnosti interního auditu v České spořitelně a. s. včetně metody analýzy rizik jako nástroje pro tvorbu strategického a periodického plánu činnosti interního auditu. Součástí bakalářské práce bude také, na základě získaných informací z České spořitelny a. s., provedení analýzy rizik a vypracování návrhu periodického a strategického plánu činnosti interního auditu pro rok 2011. Klíčová slova: analýza rizik, interní audit, interní systém identifikace rizik (ISIR), kniha rizik, kniha produktů,aplikací a činností (PAC), periodický plán činnosti interního auditu, strategický plán činnosti interního auditu, riziko, řízení rizik, mezinárodní rámec profesionální praxe interního auditu.

Summary: The objective of the bachelor thesis consists in introducing the reader to the profession of internal audit inclusive of international and domestic requirements placed thereon with the focus on the planning process of internal audit work. The theoretical part defines principal characteristics of internal audit including its development, integration of an internal audit unit within the organizational structure, as well as rights and responsibilities of internal audit in a bank. The application part characterizes requirements for the creation process of the internal audit activities plan in Česká spořitelna a. s. including the risk analysis method as a tool for compilation of the strategic and periodic plans of internal audit activities. In the latter part of the bachelor thesis, I performed a risk analysis and elaborated proposals for the strategic and periodic plans of internal audit activities for the year 2011. Key words: risk analysis, internal audit, internal system of identification of risks (ISIR), book of risks, book of products, applications and activities (PAC), periodic plan of internal audit activities, strategic plan of internal audit activities, risk, risk management, International Framework of the Professional Practice of Internal Auditing.

Poděkování: Na tomto místě bych chtěl poděkovat vedoucí bakalářské práce Ing. Věře Nečadové, za odborné vedení práce a za podporu a trpělivost při jejím vytváření. Děkuji také týmu České spořitelny a. s. za poskytnutí zapůjčené literatury a dalších materiálů k tomuto tématu se vztahujících, možnost konzultací a osobních setkání za účelem diskuse o řešeném problému, za pomocnou ruku při konzultaci některých problémů a podporu. Velký dík patří také všem respondentům, kteří mi věnovali svůj čas a dovolili nahlédnout do vlastních osobních životů a zkušeností. Rád bych poděkoval také své rodině, všem blízkým a přátelům, kteří mě při vytváření této práce podpořili, a bez jejich pomoci by nebylo možné práci dokončit.

Prohlášení: Prohlašuji, že předložená bakalářská práce je původní a zpracoval jsem ji samostatně. Prohlašuji, že citace použitých pramenů je úplná, že jsem v práci neporušil autorská práva (ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, v platném znění, dále též AZ ). Souhlasím s umístěním bakalářské práce v knihovně VŠPJ a s jejím užitím k výuce nebo k vlastní vnitřní potřebě VŠPJ. Byl jsem seznámen s tím, že na mou bakalářskou práci se plně vztahuje AZ, zejména 60 (školní dílo). Beru na vědomí, že VŠPJ má právo na uzavření licenční smlouvy o užití mé bakalářské práce a prohlašuji, že s o u h l a s í m s případným užitím mé bakalářské práce (prodej, zapůjčení apod.). Jsem si vědom toho, že užít své bakalářské práce či poskytnout licenci k jejímu využití mohu jen se souhlasem VŠPJ, která má právo ode mne požadovat přiměřený příspěvek na úhradu nákladů, vynaložených vysokou školou na vytvoření díla (až do jejich skutečné výše), z výdělku dosaženého v souvislosti s užitím díla či poskytnutím licence. V Jihlavě dne 12. 12. 2010... Podpis

Obsah: ÚVOD... 2 TEORETICKO METODOLOGICKÁ ČÁST... 5 1 PODSTATA PROFESE INTERNÍHO AUDITU... 5 1.1 Vývoj profese interního auditu... 5 1.2 Současné pojetí profese interního auditu... 8 2 POSTAVENÍ A ORGANIZAČNÍ STRUKTURA ÚTVARU INTERNÍHO AUDITU VE SPOLEČNOSTI... 12 2.1 Odpovědnost a povinnosti interního auditu... 14 APLIKAČNÍ ČÁST... 17 3 INTERNÍ AUDIT V ČS... 17 3.1 Proces interního auditu... 17 4 PLÁNOVACÍ PROCES ČINNOSTI INTERNÍHO AUDITU V ČS... 18 4.1 Strategický plán činnosti interního auditu v ČS... 21 4.2 Periodický plán činnosti interního auditu v ČS... 22 5 NÁVRH PLÁNU ČINNOSTI INTERNÍHO AUDITU ČS NA ROK 2011... 25 5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS... 27 5.2 Analýza rizik v procesu sestavování plánu činnosti interního auditu v ČS... 29 5.3 Shrnutí aplikační části bakalářské práce... 36 ZÁVĚR... 39 SEZNAM LITERATURY... 42 PŘÍLOHY... 43 1

Úvod Jednou z nejvíce kritizovaných oblastí řízení organizací v současnosti je efektivnost a účinnost a tím celková adekvátnost procesu zaměřeného na identifikaci, měření a vyhodnocování rizik. Jedná se o proces řízení rizik. Tyto skutečnosti jsou prezentovány jako jeden z důvodů vzniku finanční krize, která propukla v polovině roku 2007. Řízení rizik je klíčovou odpovědností vedení organizací. Aby vedení dosáhlo svých obchodních cílů, mělo by zajistit, aby byly zavedeny a fungovaly spolehlivé procesy řízení rizik. Představenstva mají dohlížecí úlohu, aby zajistila, že existují patřičné procesy řízení rizik a že tyto procesy jsou odpovídající a efektivní. Interní auditoři by měli napomáhat vedení i představenstvu při zkoumání, hodnocení, hlášení a doporučování zlepšení efektivity a přiměřenosti procesů rizik řízení. Vedení a představenstvo jsou odpovědní za řízení rizik a kontrolní procesy své organizace. Avšak interní auditoři mohou pomáhat organizaci při stanovení, hodnocení a implementaci metodik řízení rizik a kontrol zabývajících se těmito riziky. V mnoha podnicích je řízení rizik klíčovou složkou všech obchodních aktivit a kontrol v procesu řízení. To se týká zejména subjektů bankovního sektoru. Množství rizik zejména v bankách se vztahuje k výběru strategií a cílů, určování operačních cílů a odpovědností, rozdělování prostředků mezi projekty a obchodní oblasti, minimalizaci vystavení riziku ztráty dobré pověsti nebo důvěry a optimálnímu využívání technologií pro řízení. V důsledku toho je logickým doplňkem tohoto širokého rámce řízení rizik i poradenská úloha interního auditu v tomto procesu. Zřídka jsou požadavky na profesionalismus, znalosti, bezúhonnost a řízení přísnější, než ty, které jsou kladeny na interní auditory. Efektivní auditoři slouží jako firemní svědomí organizace, chrání provozní efektivitu a vyhodnocují účinnost a efektivnost nastaveného řídícího a kontrolního systému včetně řízení rizik. 2

Z těchto důvodů jsem si jako téma bakalářské práce zvolil proces plánování činnosti interního auditu, který je založen na systému identifikace a následné analýzy rizik, protože jednou z povinností interního auditu je, kromě jiného, pomáhat naplňování cílů organizace tím, že bude ujišťovat vedení a vlastníky o stavu rizik - zda jsou dostatečně nebo nedostatečně řízena a zda jsou nebo nejsou pod kontrolou. Jelikož se o tuto problematiku z vlastního zájmu velmi zajímám a v bankovním sektoru je tato aktivita velmi aktuální, soustředím se ve své bakalářské práci na plánovací proces interního auditu v České spořitelně a. s. V této bance jsem měl praktickou možnost se s úlohou a procesem interního auditu seznámit, účastnit se průběžně plánovacího procesu činnosti interního auditu a získat potřebné informace pro moji bakalářskou práci. Cílem mé bakalářské práce je nejprve vymezit profesi interního auditu v bankovním sektoru včetně mezinárodních a tuzemských regulatorních požadavků se zaměřením na systém identifikace rizik. Rovněž cílem mé práce je navrhnout způsob analýzy identifikovaných rizik, jako nástroje pro plánovací proces interního auditu a vytvořit návrh strategického plánu činnosti interního auditu na roky 2011-2013 a periodického plánu činnosti interního auditu České spořitelny a. s. na rok 2011. Pro naplnění tohoto cíle jsem zvolil jako metodu mé bakalářské práce analýzu dopadu a pravděpodobnosti selhání identifikovaných rizik útvarem interního auditu. Na základě této analýzy nejvýznamnějších rizik jsem metodou syntézy provedl konkrétní návrh jednotlivých plánů činností interního auditu. 3

Ve své bakalářské práci využívám tyto literární prameny: Dvořáček, J.: Interní audit a kontrola. 1 Dvořáček, J., Kafka, T.: Interní audit v praxi. 2 Galloway, D.: Průvodce nového auditora. 3 IIA: Mezinárodní rámec profesionální praxe interního auditu. 4 Salamasick, M.: Assurance and Consulting Services. 5 Vnitřní předpisy České spořitelny a. s. 6 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 7 Interní auditoři na celém světě praktikují svou práci rozdílně. Navzdory některým názorům nejsou stejnorodé funkce interního auditu žádoucí. Je pravda, že funkce interního auditu byla pojmenována různě např. audit operací, audit výkonu, audit projektů, komplexní audit, audit systému řízení rizik, audit strategie apod. Interní auditoři musí podle plánu činnosti interního auditu praktikovat všechny tyto formy auditu. Interní auditoři se musí přizpůsobovat potřebám a cílům organizace, potřebám jejich vlastníků a intenzivnímu vývoji rizik. Jedině tak mohou být úspěšní a nezávisle a objektivně pomáhat organizacím naplňovat jejich cíle. 1 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 2 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8. 3 Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida: IIA, 1997. ISBN 80-902433-1-2. 4 IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs, Florida, 2009. 5 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007. 6 Vnitřní předpisy České spořitelny a. s. 7 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 4

Teoreticko metodologická část 1 Podstata profese interního auditu 1.1 Vývoj profese interního auditu Profese auditu a zejména interního auditu má poměrně dlouhou historii. Název auditor je odvozen z praxe římských kvestorů ( ti, kteří vyšetřují ) najímaných vládou k předkládání ústních zpráv o stavu pokladny. Tato slyšení (z latiny audio ) vedla ke vzniku názvu auditor ( ten, kdo uvádí všechny skutečnosti ). Starověký Řím uplatňoval slyšení o účtech. Jeden úředník porovnával své záznamy se záznamy druhého. Tato ústní verifikace měla úředníkům spravujícím fondy zabraňovat v páchání podvodů. A vlastně z úkonu slyšení o účtech vznikl název audit. 8 Role interních auditorů zůstávala až do počátku dvacátého století v podstatě stejná. Interní auditoři měli odhalovat podvody a zabraňovat jim. V této době vznikaly techniky profesionálního či vědeckého řízení a objevilo se také nové zaměření se na účinnost a efektivnost obchodních operací. Management začínal využívat služeb interních auditorů k vyhodnocování operací, k prověřování návrhů a procesů z hlediska nákladovosti a k jiným studiím přispívajícím managementu k naplňování podnikatelských cílů. Zaměření interního auditu se změnilo poté, co byl v USA schválen zákon o cenných papírech (rok 1933) a zákon o cenných papírech a burze (rok 1934). Těmito zákony se zvýšila odpovědnost managementu za předkládání přesných finančních a účetních procesů a informací, což mělo v konečném důsledku za následek změnu priorit interních auditorů z prevence a odhalování podvodů a zdokonalování obchodních operací na prověřování řídících a kontrolních nástrojů regulujících finanční a účetní informace. 9 V roce 1941 byl interní audit uznán jako samostatná auditní disciplína natolik, že malá skupina praktikujících interních auditorů založila v New Yorku Institut interních auditorů (IIA). Jeho sídlo je dnes v Altamore Springs na Floridě. IIA se dále rozvíjel a dnes je profesním sdružením s celosvětovou působností propagujícím a podporujícím rozvoj profese interního auditu. 10 8, 9, 10 Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997. ISBN 80-902433-1-2. 5

V České republice se interní audit významněji prosazoval v polovině 90. let, ale v četných případech nahrazoval rušící oddělení vnitřní kontroly. Zatímco ve světě byl interní audit vysoce uznávanou profesí, o jejíž kvalitách nebylo třeba nikoho přesvědčovat, Česká republika v tomto směru stála na začátku rozvoje. Český institut interních auditorů byl založen v roce 1995 a je občanské sdružení interních auditorů za účelem prosazování a podpory rozvoje interního auditu v České republice. Český institut interních auditorů naplňuje svoje poslání tím, že mimo jiné: 11 soustřeďuje osoby, které pracují jak v oblasti interního auditu, tak i v oblastech jemu příbuzných, poskytuje informace o rozvoji interního auditu v České republice i v zahraničí a napomáhá tak společnému postupu v poznávání a řešení problémů této profese, poskytuje konzultace jako profesionální pomoc v jednotlivých oblastech auditu, publikuje materiály potřebné k získání a rozšíření znalostí o funkci interního auditu, organizuje různé formy vzdělávacích akcí, popularizuje činnost interního auditu, iniciuje a podporuje jednání a akce zaměřené na rozšiřování praxe interního auditu do dalších společností v České republice, vydává pro členy institutu čtvrtletně časopis INTERNÍ AUDITOR, umožňuje setkávání interních auditorů a vzájemnou výměnu informací a zkušeností při pravidelně pořádaných fórech interních auditorů a národních konferencí, zprostředkovává kontakty s významnými zahraničními odborníky z oboru interního auditu, umožňuje složení zkoušek k získání mezinárodně uznávaného titulu Certified Internal Auditor (CIA), 11 www.interniaudit.cz 6

nabízí delegování vybraných interních auditorů z České republiky do pracovních orgánů mezinárodních institucí pro oblast interního auditu (IIA, ECIIA). Úsilí o sjednocení přístupů k problematice interního auditu vedlo některé evropské organizace interních auditorů k založení Evropské konfederace pro interní audit (European Confederation of Institutes of Internal Auditing dále jen ECIIA). Stalo se tak v roce 1982, přičemž vzniklá konfederace zachovává úplnou autonomii národních institutů a svoje poslání spatřuje v prosazování a rozvíjení profesionální praxe v oblasti interního auditu v Evropě prostřednictvím členských organizací ku prospěchu této profese ve všech členských zemích. Pro naplnění uvedeného poslání vytýčila ECIIA tyto svoje hlavní cíle: 12 sdělovat členům ECIIA poznatky a zkušenosti prostřednictvím soustavné analýzy, přesahující hranice států, studijních projektů, konferencí, seminářů a veřejných tribun, aby sloužily a rozvíjely profesionální interní audit v Evropě, předávat členům ECIIA poznatky a zkušenosti, aby byla získána podpora pro přijetí standardů profesionální praxe interního auditu a aby došlo k podpoře certifikace profesionálních interních auditorů v Evropě, zajistit jednotný styk mezi členy ECIIA a Evropskou unií ve vztahu ke všem záležitostem, které jsou v zájmu Konference, podporovat profesi interního auditu obecně a jeho specifického rozvoje v Evropě speciálně, prostřednictvím rozvíjení úzké spolupráce s ostatními profesionálními organizacemi, usilovat o vytvoření celosvětové organizace, která bude zahrnovat všechny profesionální organizace, které se věnují profesi interního auditu. Vývoj interního auditu doznal za dobu existence profese interního auditu řadu změn. Dnešní pojetí profese interního auditu je podle mého názoru napomáhat managementu při naplňování firemních cílů. Odhalování a zabraňování podvodů zůstává v okruhu zájmů interního auditora, avšak primárním zaměřením je poskytovat managementu jistotu, že efektivní kontrolní systémy, napomáhající naplňování podnikatelských záměrů, jsou zavedeny a poskytují ujištění o stavu rizik v organizaci. 12 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 7

Úroveň profese interního auditu v ČR se podle mého názoru po téměř 20-ti letech své existence velmi přizpůsobila celosvětovým trendům a činnost útvarů interního auditu zejména v bankovnictví je na srovnatelné úrovni s ostatními útvary v zahraničí. O této skutečnosti jsem měl možnost se přesvědčit v rámci mého praktického působení v České spořitelně a. s. K tomuto vývoji významným způsobem přispěla i regulace této profese v bankovnictví ze strany České národní banky, která vycházela z celosvětově uznávaných zásad a standardů pro profesi interního auditu. 1.2 Současné pojetí profese interního auditu Na celosvětové úrovni určuje pojetí profese interního auditu Mezinárodní institut interních auditorů. Součástí tohoto institutu je i Český institut interních auditorů. V roce 2009 byl Mezinárodním institutem interních auditorů přijat tzv. Mezinárodní rámec profesionální praxe interního auditu. Ten vymezuje tuto profesi jako ujišťovací a poradenskou službu společnosti. Útvar interního auditu má v současném pojetí v základní podobě za úkol, kromě jiného také identifikovat a zhodnotit možná rizika společnosti. Je třeba zdůraznit, že interní audit musí být při výkonu své činnosti nezávislý útvar na všech úrovních podniku. Auditor je tak povinen bez působení vnitřních i vnějších vlivů vyjádřit nestranný a objektivní názor na ověřovaný proces. Současný Mezinárodní rámec pro profesionální praxi se skládá z následujících prvků: 13 Definice interního auditu, Etický kodex, Mezinárodní Standardy pro profesní praxi interního auditu, Stanoviska (Position Papers), Doporučení pro praxi (Practice Advisories), Praktické pomůcky (Practice Guides). 13 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 8

Současně platná definice interního auditu celkově vymezuje pojetí interního auditu a obsahuje základní cíl, charakter a rozsah působnosti této profese: Interní audit je nezávislá, objektivní, ujišťovací a konzultační činnost, zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosáhnout jejich cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních procesů a řízení a správy organizace. 14 Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost interního auditu nebo jeho výkonného vedení vykonávat odpovědnosti interního auditu nezaujatým způsobem. K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu jsem se přesvědčil, že má ředitel úseku interního auditu přímý a neomezený přístup k vedení a orgánům České spořitelny a. s. Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět služby takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům. 14 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 9

Narušení organizační nezávislosti a objektivity interního auditu může podle mého názoru zahrnovat například následující situace: osobní konflikt zájmu, omezení rozsahu působnosti auditu, omezení přístupu k informacím, osobám a majetku, omezení zdrojů. Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti. 15 Interní auditoři by měli dodržovat tyto základní pravidla jednání: 16 Integrita, Objektivita, Důvěrnost, Kompetentnost. Mezinárodní Standardy jsou založeny na základních zásadách a poskytují rámec pro výkon interního auditu a jeho podporu. Struktura Standardů zahrnuje: 17 Základní standardy, Standardy pro výkon, Prováděcí standardy. Standardy jsou souborem závazných požadavků skládajících se ze: Základních požadavků kladených na profesní praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. 15, 16, 17 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 10

Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích. 18 Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu. 19 Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek. 20 Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení. 21 Mezinárodní rámec profesionální praxe by měli dodržovat všichni interní auditoři na celém světě. Jakým způsobem je regulována profese interního auditu pro bankovní sektor v ČR? Profese interního auditu pro banky je usměrňována v ČR těmito zákony: zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu, zákon č. 6/1993 Sb., o České národní bance, vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry. 18, 19, 20, 21 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 11

Celkově mohu konstatovat, že všechny uvedené legislativní akty týkající se profese interního auditu v bankovním sektoru vycházejí z Mezinárodního rámce pro profesionální praxi interního auditu a nejsou s ním v rozporu. 2 Postavení a organizační struktura útvaru interního auditu ve společnosti Interní audit ve společnosti je součástí řídícího a kontrolního systému. Řídící a kontrolní systém musí zahrnovat veškeré činnosti a organizační úrovně. Je tvořen všemi nástroji a procesy, které působí uvnitř společnosti a které usilují o zajištění záměrů a dosažení jejích cílů. 22 Řídící a kontrolní systém tvoří základní stavební kameny společnosti a zahrnuje: 23 kontrolní prostředí, systém vnitřní kontroly, informace a informační systém, řízení rizik, monitoring. Interní audit jako jedna z kontrolních činností ve společnosti ověřuje veškeré činnosti organizace. A to včetně těch, které společnost zajišťuje formou outsourcingu. Je nástrojem k získání objektivních informací, odborných konzultací a ujištění o tom, zda jsou strategické cíle dosahovány, zda jsou rizika, kterým je společnost vystavena, odpovídajícím způsobem řízena a pod kontrolou, zda jsou vnitřní kontrolní a řídící systémy úplné, účinné, účelné a efektivně fungující a zda informace zpracovávané a vytvářené těmito vnitřními systémy vyhovují potřebám řízení společnosti. 24 22 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 23 Basle commitee on banking supervision. Principles for enhancing corporate governance, 2010. 24 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8. 12

Interní audit musí být při své činnosti nezávislý na všech výkonných činnostech organizace. Nezávislost interního auditu musí prostupovat všemi fázemi jeho činnosti, zejména při identifikaci a analýze rizik, při plánování a přípravě auditů, včetně výběru metod ověřování a vyhodnocování, při zpracování a podání zprávy o provedeném auditu, při ověřování opatření a při monitoringu činností a rizik organizace. 25 Postavení a činnost interního auditu musí být vymezeny ve vnitřních předpisech společnosti. V případě České spořitelny a. s. (dále jen ČS) se jedná zejména o: Stanovy ČS, Rámcovou směrnici pro činnost centrály ČS, Organizační řád ČS, Řídící a kontrolní systém ČS, Interní audit. Organizačně je útvar interního auditu ČS podřízen přímo generálnímu řediteli, svým pojetím a obsahem činnosti podléhá výboru pro audit a dozorčí radě. Obrázek č. 1 Organizační začlenění útvaru interního auditu ČS Valná hromada Dozorčí rada Výbor pro audit Generální ředitel Interní audit Zdroj: Organizační řád ČS Jak jsem se mohl přesvědčit, ředitel úseku interního auditu ČS komunikuje a je ve vzájemném kontaktu jak s představenstvem, tak s výborem pro audit a dozorčí radou ČS. 25 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 13

Ředitel úseku interního auditu musí minimálně jednou ročně potvrzovat představenstvu, dozorčí radě a výboru pro audit organizační nezávislost funkce interního auditu. 26 2.1 Odpovědnost a povinnosti interního auditu Zaměstnanci, provádějící interní audit, jsou odpovědni za jeho provedení v souladu s platnými obecně závaznými předpisy, auditorskými standardy a vnitřními předpisy organizace. Interní auditoři jsou odpovědní zejména za: 27 realizaci schváleného plánu interního auditu, včetně specifických úkolů nebo projektů, které si vyžádají dozorčí rada nebo výbor pro audit, udržování profesionality interního auditu, efektivní využívání zdrojů u auditorských činností prováděných v organizaci. Zaměstnanci úseku IA neodpovídají za auditovanou činnost. 28 Interní auditoři mají při své činnosti tyto povinnosti: 29 postupovat nestranně a nezaujatě a vyhýbat se jakémukoliv střetu zájmů, informovat příslušnou úroveň vedení organizace o zdánlivém či faktickém narušení nezávislosti nebo objektivity interního auditu (jednotlivce nebo úseku), informovat příslušnou úroveň vedení organizace o všech nedostatcích řídícího a kontrolního systému tak, aby byla zajištěna možnost jejich urychleného řešení, o závažných nedostatcích v řídícím a kontrolním systému informovat neprodleně představenstvo, dozorčí radu a výbor pro audit, informovat příslušnou úroveň vedení organizace o výsledcích auditu, po ukončení jednotlivých plánovaných auditů a vybraných auditů na základě požadavku vedení informovat představenstvo o jejich závěrech, 26 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 27 Vnitřní předpisy České spořitelny a. s. 28 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 29 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 14

pravidelně informovat představenstvo, výbor pro audit a dozorčí radu o činnosti úseku interního auditu a o dostatečnosti zdrojů úseku interního auditu a předávat jim zprávy, shrnující výsledky auditorské činnosti, informovat neprodleně příslušného vedoucího zaměstnance v případě zjištění skutečností odůvodňujících podezření z trestné činnosti, spolupracovat při šetření podezřelých a podvodných činností uvnitř organizace a informovat představenstvo, výbor pro audit a dozorčí radu o jejich výsledcích. Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob jakým je toto riziko řízeno v rámci organizace. Neočekává se od nich taková kvalifikace, jako je požadována od zaměstnanců organizace, jejichž hlavní odpovědností je odhalování a vyšetřování podvodů, plnit všechny požadavky vyplývající pro interní audit z obecně závazných předpisů a požadavků regulátorů, dodržovat při auditorské činnosti obecně závazné předpisy, vnitřní předpisy organizace a Mezinárodní rámec profesní praxe interního auditu, upozornit svého nadřízeného na stav, kdy by interní audit měly vykonávat osoby, u kterých lze mít vzhledem k jejich vztahu k předmětu interního auditu nebo k zaměstnancům auditovaného subjektu pochybnosti o jejich nepodjatosti, zajišťovat, aby při činnostech interního auditu nedocházelo k porušení nezávislosti a objektivity interního auditu i v případě, že k provádění auditu je přizván zaměstnanec jiného útvaru organizace, zachovávat diskrétnost a mlčenlivost o veškerých skutečnostech zjištěných v průběhu výkonu auditorské činnosti, zajišťovat veškeré získané materiály, soubory na médiích, vlastní dokumentaci tak, aby bylo zabráněno jejich zneužití nepovolanou osobou, respektovat a v rámci svých možností nenarušovat plynulý výkon činností auditovaných subjektů, při výkonu poradenské činnosti zajistit, aby nebyla omezena schopnost interního auditu podávat nezávislé a objektivní ujištění o funkčnosti a efektivnosti řídícího a kontrolního systému, 15

soustavně zvyšovat svoji kvalifikaci formou odborného vzdělávání. Znalosti, dovednosti a další schopnosti jsou společným termínem označujícím profesní odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný výkon jejich profesních odpovědností. Profesionální způsobilost každého interního auditora a útvaru interního auditu jako celku je stěžejní pro řádné fungování interního auditu organizace. Ředitel úseku interního auditu je povinen dát, v případě zjištění, která mohou záporně ovlivnit hospodaření organizace, s vědomím představenstva, podnět k mimořádnému zasedání dozorčí rady a informovat ji a výbor pro audit o zjištěných skutečnostech. 30 30 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 16

Aplikační část 3 Interní audit v ČS 3.1 Proces interního auditu Kvalitním naplňováním činnosti interního auditu získává ČS ujištění, že rizika, kterým je vystavena, jsou pod kontrolou. Management je o nich včas informován, chápe je a rozhoduje o jejich snížení prostřednictvím opatření směřujících k nápravě. Proces interního auditu v ČS zahrnuje následující fáze, které na sebe úzce navazují a tvoří nedílný celek: 31 Plánování činnosti interního auditu ( tvorba strategického a periodického plánu interního auditu), Přípravu auditu (zejména naplánování jednotlivého auditu či auditorské zakázky a tvorba programu auditu), Provádění auditu a tvorba auditorské zprávy, Ukončení auditu (projednání auditorské zprávy), Hodnocení kvality práce interních auditorů auditovanými útvary, Ověřování plnění přijatých opatření. Ve své bakalářské práci se dále budu věnovat procesu plánování činnosti interního auditu, protože jsem měl možnost z vlastního zájmu se tohoto procesu v ČS účastnit a získat potřebné informace a zkušenosti pro moji bakalářskou práci. 31 Vnitřní předpisy České spořitelny a. s. 17

4 Plánovací proces činnosti interního auditu v ČS Cílem plánování činnosti interního auditu je kvalifikovaným způsobem sestavit periodický a strategický plán, který postihuje všechna riziková místa a zároveň naplňuje požadavky regulátora. Ve standardech, které tvoří nedílnou součást Mezinárodního rámce profesionální praxe interního auditu je oblasti plánování věnován Standard 2010 Plánování, který zní takto: Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu. 32 Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik, které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a orgánů společnosti. Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu. 33 Interpretace tohoto standardu: Vedoucí interního auditu je odpovědný za vytvoření plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije své vlastní posouzení rizik. 34 Platné tuzemské požadavky na plán činnosti interního auditu jsou soustředěny ve vyhlášce ČNB č. 123/2007 Sb., ve znění vyhlášky ČNB č. 282/2008 Sb., která je vydána na základě a v mezích zákonů, do kterých byly promítnuty příslušné směrnice Evropských společenství. 35 32, 33, 34 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-5. 35 Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady 2006/48/ES. 18

Kromě uvedené vyhlášky jsem vycházel v mé bakalářské práci i z návrhu úředního sdělení ČNB, který obsahuje Výkladová stanoviska ČNB k zajišťování výkonu interního auditu a očekávání ČNB k zajišťování interního auditu. Z vyhlášky ČNB vyplývá že: plánování činnosti a rozvrhování kapacit interních auditorů je založeno na analýze rizik, analýza rizik hodnotí míru rizik spojených s jednotlivými činnostmi banky tak, že zohlední pravděpodobnost selhání řídícího a kontrolního systému v jednotlivých oblastech a míru možné ztráty z tohoto selhání vyplývající. Výstup z provedené analýzy rizik předkládá osoba pověřená výkonem interního auditu představenstvu a dozorčímu orgánu, výboru pro audit, k projednání, na základě analýzy rizik sestavuje osoba pověřená výkonem interního auditu návrh strategického a periodického plánu interního auditu. 36 Plánování interního auditu osobně chápu jako myšlenkové předjímání budoucí činnosti na základě zvažování různých alternativ a výběr nejvýhodnější cesty vedoucí k jejímu naplnění. Účelem plánování činností interního auditu je vytvoření racionálního základu pro koordinaci a efektivní využívání zdrojů interního auditu se záměrem pomáhat organizaci dosahovat jejích cílů vytvářením systematického náhledu na úroveň správy a řízení společnosti, včetně systémů řízení rizik a ujištěním o přijatelnosti podstupovaných rizik. 37 36 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 37 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007. 19

Z hlediska časového horizontu můžeme uvažovat o dvou rovinách plánování, a to o rovině strategické a operativní. Těžištěm strategického plánování jsou pak, vzhledem k jeho orientaci na budoucnost, dlouhodobé plány. Operativní plány se vztahují na kratší časový horizont a představují rozpracování strategického plánu na jednotlivá období. 38 Základem pro fázi plánování v interním auditu v ČS jsou zejména strategické koncepce, výsledky analýzy rizik činností banky a vlastní systém identifikace rizik, výsledky interního a externího auditu, monitorování rizik banky a požadavky na audit ze strany vedení, dozorčí rady a výboru pro audit. Na základě toho jsou stanoveny hlavní cíle a priority pro plánované období, které jsou uvedeny v dokumentech interního auditu, a to ve: strategickém plánu interního auditu, který se zpracovává zpravidla na období tří let, periodickém plánu, který se zpracovává zpravidla na období jednoho roku, v případě potřeby na jednotlivá pololetí příslušného roku. Vychází ze strategického plánu a zahrnuje rozsah, věcné zaměření a cíle interního auditu. 39 38 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 39 Vnitřní předpisy České spořitelny a. s. 20

4.1 Strategický plán činnosti interního auditu v ČS Strategický plán činnosti interního auditu rámcově vymezuje zaměření a periodicitu činnosti interního auditu na období tří let dle jednotlivých oblastí činností banky. Vychází z požadavků legislativy a regulatorních orgánů a jeho roční aktualizace zohledňuje výsledky analýzy rizik, posouzení strategických záměrů banky, vnitřní a vnější změny podnikatelského prostředí, vyhodnocení provedených auditů a další informační zdroje. 40 Strategický plán stanoví: priority interního auditu, které jsou vymezeny analýzou rizik a požadavky regulatorních orgánů, periodicitu auditů (rok provedení auditů) v jednotlivých oblastech činností, zejména v návaznosti na analýzu rizik. Strategický plán obsahuje: oblasti činností banky, plánovaný rok provedení auditu, audity realizované v periodickém plánu pokrývající danou oblast činnosti banky. Strategický plán činnosti interního auditu tvoří základ pro sestavení periodického plánu činnosti interního auditu. 40 Vnitřní předpisy České spořitelny a. s. 21

4.2 Periodický plán činnosti interního auditu v ČS Periodický plán činnosti interního auditu je sestavován na období jednoho roku. Cílem periodického plánu je: zajistit povinnosti interního auditu vyplývající z platné legislativy a z požadavků regulatorních orgánů, definovat zaměření auditů v ČS dle výsledků analýzy rizik, přičemž do periodického plánu činnosti je zahrnuto ověření těch oblastí a činností, pro které analýza rizik stanovila vyšší míru rizikovosti, zajistit požadavky útvaru interního auditu vlastníka ČS, tj. Erste Group, zohlednit záměry strategického plánu, optimálně rozvrhnout dostupnou kapacitu interního auditu, reflektovat požadavky a náměty dozorčí rady, výboru pro audit, představenstva a dalších vedoucích zaměstnanců. 41 Základem pro nastartování procesu tvorby plánů je sestavení pracovního harmonogramu plánovacího procesu. Jako vzor v mé bakalářské práci je níže uvedený harmonogram, který jsem použil, jako člen týmu pro tvorbu periodického plánu na rok 2011 a aktualizovaného strategického plánu na období let 2011 2013 v ČS. Tabulka č. 1 Harmonogram plánovacího procesu interního auditu v ČS Aktivita Sběr námětů managementu do plánu - náměty managementu je nutno vložit do informačního systému interního auditu Zaslání návrhu na požadované provedení auditů od vlastníka ČS interního auditu Erste Bank Holding. Projednání regulatorních auditů s řediteli útvaru interního auditu ČS - projednání návrhu regulatorních auditů pro daný útvar interního auditu, odsouhlasení údajů (název, cíl,kapacita, velikost týmu, auditované útvary,...) Termín 3. 8. - 30. 9. 2010 30. 8. 2010 6. - 10. 9. 2010 41 Vnitřní předpisy České spořitelny a. s. 22

Návrh auditů do periodického plánu od ředitelů útvaru IA, na základě: - Strategie ČS - Karet rizik (odhady velikosti rizik nutno korigovat expertním názorem auditora) - Analýzy rizik k 31. 8. 2010 - Aktualizovaného strategického plánu k 31. 8. 2010 s vyznačenou periodou ověření - Informací z monitorování útvarů a projektů 6. 9. 30.9. 2010 Předání návrhu plánu ředitelů útvaru interního auditu ČS Předání kompletního návrhu plánovacího balíčku Projednání návrhu plánu s řediteli útvarů interního auditu ČS Primárním cílem je projednání a případně úpravy detailu auditů pro konkrétní útvar interního auditu, tzn. úprava kapacit, textace cíle, auditované subjekty, požadavky na spolupráci a podporu, termín provedení, apod. Aktualizace a kompletace plánovacího balíčku pro Plánovací offsite a odeslání podkladů řediteli úseku interního auditu 18. 10. 2010 19. - 26. 10. 2010 27. 10. 2010 Plánovací offsite Interního auditu ČS Cílem je vyřešení a finální dohoda o kapacitách, prioritách, meziodborové spolupráci a podpoře 1. - 3. 11. 2010 Odeslání návrhu periodického plánu a strategického plánu ke schválení do interního auditu Erste Bank. 12. 11. 2010 Návrh složení auditorských týmů na 1. pololetí 2011 6. - 30. 11. 2010 Předložení návrhu strategického a periodického plánu činnosti interního auditu ke Schválení Výboru pro audit a Dozorčí radě ČS Zdroj: Dokumentace plánovacího procesu ČS 6. 12. 2010 Samozřejmě platí, že sestavený harmonogram nestačí jen vypracovat, ale je nutné s ním seznámit všechny účastníky plánovacího procesu a hlavně se jím ve vlastní práci řídit a dodržovat ho. Plánovací proces stanoví konkrétní úkoly úseku interního auditu. Nejprve se ale musí vymezit celková kapacita pracovníků útvaru interního auditu. 23

Tabulka č. 2 Vymezení kapacity úseku interního auditu ČS Rok 2011 1. Fond pracovních dnů v ČR v roce 2011 je podle oficiálního pracovního kalendáře 253. PD 253 a) Dovolená (počet dní je stanoven kolektivní smlouvou) ŘD 25 2. b) Zdravotní volno (počet dní je stanoven kolektivní smlouvou) ZV 5 c) Nemocnost 1) (počet navržených dní) N 6 d) Vzdělávání 2) (počet navržených dní) V 16 e) Informace, komunikace 3) (počet navržených dní) IK 21 3. Plánovaný počet zaměstnanců IA PZ 73 a) VFPD 1 zaměstnance IA: 4. VFPD = PD - ŘD - ZV - N - V - IK b) VFPD na plánovaný počet zaměstnanců IA VFPD = PZ x VFPD Zdroj: Dokumentace plánovacího procesu interního auditu ČS VFPD 180 VFPD na PZ 13140 Plán činnosti interního auditu může být operativně doplňován na základě požadavků dozorčí rady, výboru pro audit, představenstva a dalších vedoucích zaměstnanců banky na provedení auditu, případně na základě rozhodnutí ředitele úseku interního auditu. Při změnách, resp. doplňování periodického plánu musí být vždy zohledněna disponibilní kapacita úseku interního auditu. Pro účely optimálního rozložení kapacity interního auditu ČS na plánované období je rozhodnutím ředitele úseku interního auditu sledována skutečně využitá kapacita na naplnění jednotlivých položek periodického plánu. Toto sledování je zajištěno modulem aplikace interního informačního systému interního auditu v ČS "Vykazování kapacit". Analýza vykázaných kapacit na jednotlivé zakázky tvoří základ pro stanovení kapacit na jednotlivé audity do plánu. Návrh aktualizace strategického plánu a návrh příslušných periodických plánů interního auditu za celou banku předkládá ředitel útvaru interního auditu ke schválení dozorčí 24

radě a výboru pro audit. O schválených plánech interního auditu je informováno představenstvo společnosti. 42 5 Návrh plánu činnosti interního auditu ČS na rok 2011 Když jsem se zamýšlel nad návrhem plánu činnosti interního auditu a jeho konkrétní tvorbou, musel jsem si nejprve odpovědět na otázku co je to vlastně řízení rizik a jak se řídí rizika v ČS? Došel jsem k závěru, že řízení rizik je jako proces, vytvářený představenstvem ČS, managementem a ostatními pracovníky, aplikovaný ve strategii ČS, určený k identifikaci potenciálních událostí, které mohou ovlivnit banku. Řízení rizik je: neustálý a plynulý proces v ČS, prováděný zaměstnanci na každé organizační úrovni ČS, aplikovaný ve strategii ČS, aplikovaný napříč společností, v každé její úrovni a jednotce a zahrnující pohled na celkové portfolio ČS, určený k identifikování potenciálních událostí ovlivňujících ČS a řízení rizik v rámci její rizikové tolerance. 43 Řízení rizik je o nastolení dohledu, kontroly a disciplíny k zavedení neustálého zlepšování schopností ČS řídit rizika v měnícím se provozním prostředí, což urychlí vyzrálost ČS. Pro implementaci uvedené procesu řízení rizik hovoří následující důvody: o snižuje nepřijatelnou výkonnostní variabilitu, o seřazuje a sjednocuje proměnlivé názory na řízení rizik, o vytváří důvěru investorů a akcionářů, o zvyšuje úroveň corporate governance, o úspěšně reaguje na měnící se obchodní prostředí. 42 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 43 Vnitřní předpisy České spořitelny a. s. 25

Kde je úloha interního auditu ČS v procesu řízení rizik? Interní audit ČS poskytuje asistenci managementu a představenstvu ČS pomocí průběžného vyhodnocování efektivity procesu řízení rizik a navrhuje doporučení, jak ho zlepšovat. Je ale důležité, že nikdy nezodpovídá za funkci řízení rizik a nerozhoduje o řešení rizik a jejich implementaci. Není možné implementovat něco, co bude muset v rámci schváleného plánu činnosti hodnotit. Na druhé straně interní audit ČS napomáhá a hodnotí systém řízení rizik ČS. V ČS management zůstává odpovědným za řízení rizik. Interní audit poradenství a objektivně hodnotí rozhodnutí managementu. poskytuje Tabulka č. 3 Role interního auditu v procesu řízení rizik Základní role interního Interní audit může auditu v řízení rizik zahrnovat Role, které by interní audit neměl vykonávat Poskytování ujištění o procesech řízení rizik. Poskytování ujištění že rizika jsou správně vyhodnocována. Hodnocení procesů řízení rizik. Vyhodnocení reportingu o klíčových rizicích. Revidování řízení klíčových rizik. Pomoc při identifikaci a posouzení rizik. Školení managementu v hledání řešení identifikovaných rizik. Konsolidovaný (sloučený) reporting o rizicích. Podpora při rozvoji rámce řízení rizik. Rozvoj strategie řízení. Nastavování akceptovatelné míry rizika. Zavádění procesů řízení rizik. Rozhodování o reagování na rizika. Implementace reakce na rizika jménem managementu. Odpovědnost za řízení rizik. Zdroj: Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007. 26

5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS Samotný proces sestavení plánu interního auditu jsem si rozdělil do čtyř základních etap. Jsou to: příprava a sběr dat, analýza rizik a zpracování dat, sestavení návrhu plánu, projednávání a schvalování plánu. Za základ ke zpracování plánu považuji sběr dat. V rámci činnosti interního auditu jsou průběžně v průběhu celého roku shromažďovány veškeré dostupné informace, které v mé bakalářské práci dále uvádím a které mají relevantní využití při zpracování návrhu periodického a aktualizaci strategického plánu činnosti interního auditu. Po utřídění získaných informací jsem provedl jejich analýzu s cílem identifikovat nejzávažnější rizika v obchodní a neobchodní činnosti ČS. Dále pracovníci útvaru interního auditu v etapě přípravy oslovují vedoucí zaměstnanci banky s cílem získat jejich představu o zaměření činnosti interního auditu a o nejvýznamnějších rizicích v bance. Základními zdroji dat pro zpracování plánů jsou informace, které jsem získal zejména ze: strategie společnosti, analýzy rizik činností zpracované pomocí interního systému identifikace rizik (ISIR), požadavků regulatorních orgánů, požadavků dozorčí rady a výboru pro audit ČS, strategického plánu činnosti interního auditu, námětů útvaru interního auditu Erste Group, z námětů zaměstnanců úseku interního auditu ČS. 27

V etapě analýzy rizik je nutné na základě výsledků přípravy upřesnit věcně, kapacitně a časově pracovní verze periodického plánu činnosti interního auditu na jednotlivá plánovací období, zejména z hlediska priorit realizace jednotlivých auditů a ostatních aktivit interního auditu. Proces provedené analýzy rizik pro plán činnosti je popsán ve stati 5. 2 mé bakalářské práce. Na základě analýzy rizik jsem sestavil první návrh periodického plánu, který jsem projednal několikakolově s vedením úseku interního auditu. Účelem připomínkového řízení je zejména sladění kapacitních možností odborných týmů útvaru interního auditu a současně vzájemné odsouhlasení zaměření a cílů jednotlivých auditorských činností uvedených v návrhu periodického plánu činnosti interního auditu. Po zpracování zpřesněného návrhu periodického plánu činnosti interního auditu jsem aktualizoval strategický plán činnosti. Návrh strategického plánu, jeho aktualizaci a návrh příslušného periodického plánu činnosti interního auditu, předkládá ředitel úseku interního auditu k projednání představenstvu a výboru pro audit a ke schválení dozorčí radě ČS. 44 Schválení plánů činnosti interního auditu ČS v dozorčí radě je podle mého názoru zásadní pro posílení nezávislosti útvaru interního auditu. O schváleném strategickém a periodickém plánu činnosti je informován management ČS. 44 Vnitřní předpisy České spořitelny a. s. 28

5. 2 Analýza rizik v procesu sestavování plánu činnosti interního auditu v ČS V této části mé bakalářské práce se dále podrobněji zaměřím na oblast analyzování rizik činností, která je podle mého názoru jednou z klíčových záležitostí při přípravě plánu a je v ČS velmi podrobně a kvalitně rozpracována a myslím si také i efektivně využívána. Především je třeba vytvořit nebo mít zavedený systém pro sběr podkladů sloužících k analyzování rizik činností a tím je v podmínkách ČS tzv. Interní systém identifikace rizik. Tento systém naplňuje rovněž požadavek na informace o každém identifikovaném riziku a popisuje riziko pomocí složky pravděpodobnosti a dopadu a zohledňuje pravděpodobnost a dopad selhání řídícího a kontrolního systému. Uvedený přístup je uveden na obrázku č. 2. Interní systém identifikace rizik (dále jen ISIR) je ucelený soubor postupů a nástrojů, který slouží internímu auditu v procesu identifikace, evidence a tvorby analýzy rizik identifikovaných interním auditem. zdroj: Vnitřní předpisy České spořitelny a. s. Každé auditorské zjištění (riziko) je auditorem evidováno v systému s těmito údaji: vstupní zdroj, útvar, který je odpovědný za rizika ze zjištění vyplývající, textový popis zjištění, textový popis rizika. 29

Každé riziko vyplývající ze zjištění je popsáno: kódem dle Knihy rizik, kódem dle Knihy produktů, aplikací a činností, velikostí rizika (pravděpodobnost a dopad), typem rizika. Kniha rizik napomáhá k jednotnému pohledu na rizika v rámci ČS definováním základní množiny rizik, které se mohou vyskytovat v činnostech ČS. Každé riziko má přidělen kód a je podrobně popsáno. Kniha rizik je součástí vnitřní předpisové základny ČS. Pro potřeby přesnějšího specifikování rizika je nutné specifikovat, ve které činnosti, produktu nebo aplikaci bylo riziko identifikováno. Z těchto důvodů byla v úseku interního auditu vytvořena Kniha produktů, aplikací a činností (dále Kniha PAC). Do Knihy PAC byly zahrnuty hlavní bankovní produkty, aplikační programové vybavení a hlavní činnosti ČS. Velikost rizika je odvozována na základě pravděpodobnosti výskytu a možných negativních dopadů či ztrát spojených s výskytem rizikové události, které by mohly v dalším období nastat. K hodnocení závažnosti nedostatků se užívá stupnice dle přílohy č. 3 k vyhlášce ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry: 45 Stupeň 1 - nízká míra závažnosti nedostatek neohrožuje hospodářský výsledek a kapitál banky/ds jedná se o méně významný nedostatek nesystémového charakteru Stupeň 2 - střední míra závažnosti nedostatek neohrožuje kapitál a hospodářský výsledek banky/ds jedná se o dílčí nedostatek systémového charakteru nebo významnější nedostatek nesystémového charakteru 45 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 30

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář