Léto 2011 Interní audit 2.část Ing. Petr Mach Interní audit 2.část Interní audit v organizační struktuře podniku Interní auditor Riziko a interní audit Postupy interního auditu Zprávy interního auditora 2 Otázka: vlastní útvar interního auditu nebo outsourcing? Kritéria rozhodování: velikost podniku ekonomická situace podniku informační a komunikační systémy úroveň vnitřní kontroly dostatečné materiální a personální zdroje 3 1
Efektivní interní audit je: proaktivní iniciátor změn v podniku inovativní nejvýhodnější využití vlastních zdrojů, Investuje do technologií a lidí zaměřený musí znát a dodržovat priority managementu a výboru pro audit motivovaný týmová práce, hrdost na podnik, loajalita integrovaný využití informačních technologií pro zvýšení produktivity auditu 4 Konkrétní začlenění útvaru interního auditu do organizační struktury podniku může v praxi nabývat nejrůznějších podob. Problematika interního auditu bývá nejčastěji řešena v akciových společnostech. Existuje několik modelů uspořádání vrcholových orgánů akciových společností ve kterých je pozice útvaru interního auditu mírně odlišná. 5 anglosaský model: řídícím orgánem společnosti je Rada ředitelů (představenstvo) - aktivně řídí společnost interní audit je v kontaktu jak s Radou ředitelů, tak s dozorčí radou německý model: dozorčí rada jmenuje a odvolává členy představenstva a generálního ředitele společnosti útvar interního auditu je zodpovědný přímo dozorčí radě 6 2
český model: dozorčí rada, představenstvo, vrcholový management představenstvo i dozorčí rada jsou jmenovány valnou hromadou představenstvo zpravidla jmenuje a má kontrolu nad vrcholovým managementem, který aktivně řídí společnost interní audit může tak být podřízen: vrcholovému managementu představenstvu dozorčí radě výboru pro audit 7 útvary interního auditu představují zpravidla nejmenší pracoviště v podniku počty interních auditorů a organizační uspořádání útvaru interního auditu se - v jednotlivých podnicích liší, hlavně v závislosti na: velikosti a typu podniku cílech a úkolech podniku představách vedení podniku o interním auditu osobnosti vedoucího útvaru interního auditu atd. 8 Výbor pro audit je pomocným nástrojem auditorské činnosti ze strany dozorčí rady. Výbor pro audit není řídícím orgánem společnosti, ale v jeho popisu práce je dohlížet na realizaci podnikatelských aktivit. Doporučení IIA, aby každá veřejná společnost (a.s., s.r.o.) měla výbor pro audit jako stálý orgán dozorčí rady. 9 3
Úkolem výboru pro audit by mělo být např.: řídit auditorskou činnost interní i externí schvalovat roční plán činnosti útvaru interního auditu zkoumat doporučení a podněty útvaru interního auditu určené nejvyšším řídícím orgánům (schvalovat, upravovat, zamítat) 10 Zákon č. 93/2009 Sb, 44: Subjekt veřejného zájmu zřizuje výbor pro audit... není-li dále stanoveno jinak 11 Subjekty veřejného zájmu např.: společnosti s volně obchodovatelnými cennými papíry banky, pojišťovny, zajišťovny zdravotní pojišťovny obchodníci s cennými papíry, investiční fondy obchodní společnosti nebo družstva nebo konsolidující společnosti s více než 4000 zaměstnanci 12 4
Výbor pro audit zejména: sleduje postup sestavování účetní závěrky a konsolidované účetní závěrky hodnotí účinnost vnitřní kontroly společnosti, interního auditu a případně systému řízení rizik sleduje proces povinného auditu účetní závěrky a konsolidované účetní závěrky posuzuje nezávislost auditora a zejména poskytování doplňkových služeb auditované osobě doporučuje auditora 13 interní audit může být v podniku podřízen vrcholovému managementu, představenstvu, dozorčí radě, nebo výboru pro audit základním požadavkem při organizačním začleňování interního auditu do organizační struktury musí být zachování nezávislosti interního auditu interní auditoři musí být nezávislí na činnostech, které auditují v akciových společnostech je doporučeno zřizovat výbor pro audit jedním ze základních úkolů výboru pro audit je kontrola nad externí a interní auditorskou činnosti 14 Práce interního auditora je proti externímu auditu odlišná hlavně ve vztahu auditora a podniku: externí auditor musí být na podniku zcela nezávislý interní auditor je zpravidla zaměstnancem podniku. Interní auditor nemá v podniku pravomoci ve vedení společnosti, musí tedy svá doporučení a své názory prosazovat jinými vhodnými způsoby 15 5
Ideální interní auditor by měl být: dynamický, s osobní přitažlivostí se společenským vystupováním a snadno navazující společenské styky se schopností naslouchat, trpělivý, neagresivní vzdělaný, s přirozeným a správným chováním v každé situaci schopný vytvořit prostředí důvěry čestný, objektivní připravený cestovat 16 Šíře vědomostí interního auditora by měla zahrnovat například: znalost společnosti a jejích činností znalost vnitřního kontrolního systému společnosti znalost rizik a řízení rizik postupy a techniky interního auditu orientace v informačních technologiích řízení zdrojů řízení strategie a změn manažerské postupy finanční řízení 17 Integrita vykonávat práci čestně, s náležitou péčí a odpovědností dodržovat zákony nezapojovat se vědomě do jakýchkoli aktivit, které by mohly diskreditovat podnik nebo interního auditora respektovat hodnoty podniku, přispět k jejich dosažení Objektivita nevykonávat aktivity, které by mohly narušovat nebo by mohly být chápány jako narušení objektivního úsudku nepřijímat nic, co by mohlo být chápáno jako narušení profesionálního úsudku auditora uvádět všechny významné skutečnosti, jichž neuvedení by mohlo zkreslit hodnocení předmětu auditu 18 6
Důvěrnost obezřetnost při nakládání s informacemi užívání i ochrana informací, které auditor získá nezneužití informací pro jakýkoli osobní prospěch, ani žádným jiným způsobem, který by byl v rozporu se zákonem nebo s etickými hodnotami společnosti Kompetentnost poskytovat pouze takové služby, pro které má auditor nezbytné vědomosti, dovednosti a zkušenosti veškeré své služby poskytovat v souladu se Standardy pro profesionální praxi interního auditu neustále zdokonalovat svou odbornost, efektivnost a kvalitu svých služeb 19 Etický kodex je závazný pro všechny auditory, kteří jsou členy IIA, nebo národních institutů interních auditorů, které se k zásadám IIA hlásí (ČIIA). Dodržování etického kodexu u svých členů kontroluje příslušný národní institut (ČIIA). Hrubé porušení Etického kodexu může vést k vyloučení z mezinárodního i národního institutu interních auditorů, nebo ke zbavení dosažené certifikace interního auditora. 20 Maximální korektnost a příjemné jednání. Snaha o nepronášení osobních názorů. Diskrétnost auditora, zejména mimo svoji pracovní činnost. Všechny informace si musí auditor pečlivě poznamenat, objektivně ověřovat, hledat důkazy, konkrétní údaje. Poslouchat, nechat ostatní, aby mluvili. Pečlivě plánovat práci, připravovat a používat příručky, pracovat uspořádaně a metodicky, postupovat systematicky. Zachovávat nezávislost kritérií a mentální čistotu. Nenechat se ovlivnit prostředím, v němž se auditor pohybuje, a zůstat objektivní. Být solidní v plnění závazků a daného slova, dochvilný na schůzkách, respektovat časový program a zvyky osob, jejichž práce je ověřována. Dbát na stylizaci a sloh. Auditorské zprávy musí být jasné a stručné. Dbát na fyzický vzhled, oblékání, osobní hygienu, péči o detaily. Nezhoršovat situace, nediskutovat. 21 7
Základním úspěchem interního auditora je, pokud na něj ostatní zaměstnanci podniku pohlížejí jako na profesionála, jemuž mohou důvěřovat a na kterého se mohou v případě potřeby kdykoliv obrátit. Auditor by měl být dobře přijímán na kterémkoliv místě podniku, byl chápán jako člen týmu, který má stejné cíle s ostatními Úspěchem auditora je také to, pokud jsou jeho doporučení, názory a podněty akceptovány. 22 vzbuzování závisti a vyvolávání nedůvěry neznalost podniku navrhování utopických, nebo málo reálných a schůdných opatření nedosahování realizace, nebo alespoň akceptace doporučovaných opatření neschopnost orientovat se v názorech vedení podniku, neidentifikovat se s mentalitou vedení ani s problémy podniku stát se donašečem vedení podniku 23 Interní audit poskytuje ujištění, že rizika, kterým je podnik vystaven, jsou známa a jsou pod kontrolou. Riziko = pravděpodobnost, že určitá událost nebo určitý čin negativně ovlivní určitou podnikovou činnost. 24 8
Základní podnikatelská rizika: finanční ztráty promeškané příležitosti ztráta goodwillu nedosažení strategických cílů nelegální nebo neetické postupy 25 Vnější rizikové faktory: zákony a regulační opatření ze strany státu politické a kulturní klima přírodní katastrofy konkurence zákaznické preference nové produkty nové technologie náklady na výrobní faktory 26 Vnitřní rizikové faktory: efektivnost hospodaření ztráta aktiv nesprávná motivace pracovníků neetické chování 27 9
Interní audit musí rizika nejen identifikovat, ale i zvládat, musí být schopen navrhnout opatření k minimalizaci či eliminaci dopadů těchto rizik. Interní audit je považován za významnou součást risk managementu. 28 identifikace rizika kvantifikace rizika zjišťuje se pravděpodobnost výskytu těchto rizik a míra dopadu rizika na podnik analýza příčin rizika taková opatření, která by v budoucnu rizikovou událost vyloučila, nebo omezila pravděpodobnost výskytu zvládnutí rizika jak příčiny, tak následky rizika 29 Techniky identifikace rizik - příklady: brainstorming dotazníky podnikatelské studie analýzy scénářů vyšetřování nehod inspekce 30 10
1. přirozené riziko (inherent risk) riziko, že nastane nežádoucí situace 2. kontrolní riziko (control risk) riziko, že vnitřní kontrolní systém podniku vzniklou situaci neodhalí a nenapraví 3. zjišťovací riziko (detection risk) riziko, že ani interní auditor tuto nežádoucí situaci neodhalí Auditor nemůže ovlivnit ani přirozené, ani kontrolní riziko, ovlivňuje pouze riziko zjišťovací. 31 1. plánování auditu 2. východiska auditu 3. příprava a provedení auditu 4. dokumentace auditu 32 3 úrovně (horizonty) plánů interního auditu: 1. strategický s horizontem 3 až 5 let, průběžně aktualizovaný jeho sestavování závisí na velikosti a struktuře podniku, na velikosti útvaru interního auditu komplexní plán pro celý útvar interního auditu je průběžně vyhodnocován a v případě potřeby flexibilně měněn 33 11
2. periodický roční obsahuje veškeré aktivity útvaru interního auditu a stanovuje rozsah působnosti interního auditu v příslušném období odráží potřeby vedení podniku pro dané období 3. operativní čtvrtletní, v členění na jednotlivé měsíce čtvrtletí konkretizace ročního plánu o jeho zpracování a struktuře rozhoduje vedoucí útvaru interního auditu 34 Kroky tradičního přístupu: 1. Identifikace obecných cílů 2. Identifikace specifických cílů 3. Identifikace technik řízení a kontroly 4. Zhodnocení adekvátnosti technik řízení a kontroly 5. Testování vybraných technik řízení a kontroly 6. Předložení stanovisek a doporučení 35 Kroky rizikového auditu: 1. Určování klíčových rizik nebo cílů 2. Identifikace limitů rizika 3. Vytvoření hypotézy o řídících a kontrolních mechanismech 4. Prověření platnosti hypotézy 5. Prezentace výsledků 36 12
Při provádění auditu mají interní auditoři oprávnění k následujícím úkonům: vstupovat na veškerá pracoviště podniku požadovat předložení jakýchkoliv dokladů souvisejících s předmětem auditu a pořizovat jejich kopie požadovat předložení technické a provozní dokumentace a záznamů vznášet dotazy na pracovníky a požadovat vysvětlení iniciovat a navrhovat nápravná opatření provádět veškeré výkony podle metodiky pro provádění interního auditu a používat při tom veškeré adekvátní techniky a prostředky 37 Auditor užívá pouze takové techniky, které jsou nezbytné pro danou auditovanou skutečnost nebo činnost. Auditor se snaží stávající techniky rozvíjet, hledá techniky nové a efektivnější. Auditor zvažuje i nákladovou náročnost používaných metod. 38 Interview základní metoda, nutné plánování a příprava Komparativní analýza porovnávání dat z různých zdrojů, identifikace neobvyklých situací, odchylek Postupový diagram diagram posloupnosti kroků daného procesu, technika pro případ identifikace možných úzkých míst v operacích Výběr vzorků různé metody výběru vzorků Pozorování plánované, cílevědomé a systematické pozorování určité skutečnosti Srovnávání zjišťování shodných či rozdílných znaků u dvou či více předmětů nebo jevů, srovnáváme např. skutečnost-plán, nejlepší-průměrné-nejhorší výsledky, vývoj v časové ředě apod. 39 13
Analogie vychází z metody srovnání, na základě shody některých znaků u několika předmětů či jevů usuzujeme na přibližnou shodu i u ostatních předmětů či jevů. Analýza a syntéza rozložení zkoumaného předmětu (analýza), nebo sjednocení jednotlivých částí v celek (syntéza) Abstrakce oddělení nepodstatných vlastností jevu od vlastností podstatných Indukce a dedukce vyvozování obecného závěru na základě mnoha poznatků (indukce), postup od obecnějších závěrů k méně obecným (dedukce) Matematické a statistické metody matematická formulace hypotéz a zjišťování závislostí mezi ekonomickými veličinami Modelování - vychází z matematických a statistických metod, vytváření zjednodušeného obrazu skutečnosti, simulace jevů 40 Spis auditora obsahuje všechny podstatné materiály, jak auditorem vypracované, tak v průběhu auditu získané. Dokumentace by měla postihovat alespoň: přípravu auditu provedení auditu zpracování výsledků a jejich prezentaci přijatá opatření a jejich plnění 41 Dokumentaci k auditu tvoří zejména: pracovní materiály interního auditora dotazníky tabulky výstupy z informačních systémů kopie důležitých dokladů dílčí zprávy jednotlivých členů auditorského týmu další získané nebo pořízené materiály v souvislosti s provedením auditu 42 14
Výsledkem práce interního auditu jsou auditorské zprávy, na jejichž zpracování jsou kladeny určité základní požadavky Auditorská zpráva by v předepsané podobě měla obsahovat informace o rozsahu provedených auditorských prací, zjištěných skutečnostech a rizicích, která z těchto skutečností vyplývají, závěry, doporučení, nebo návrhy na opatření, která povedou k odstranění zjištěných nedostatků. 43 Kvalitativní požadavky na auditorskou zprávu: stručnost a věcnost pouze nejdůležitější poznatky a závěry přesnost výstižnost, pravdivost, objektivnost jasnost formulace nesmí být nejasné nebo zmatečné Obecné požadavky na obsah zpráv interního auditora jsou vymezeny ve Standardech pro profesionální praxi interního auditu. 44 Obsah Úvod Povaha realizovaného auditu Dosah a omezení Použité pracovní postupy Dodatečné poznámky Cíle Posudek nebo stanovisko auditora Doporučení Soupis výjimek 45 15
O auditorské zprávě a doporučeních v ní uvedených je třeba vést diskuze s dotčenými osobami. Diskuze o zjištěních interního auditu uvedených v auditorské zprávě mají začínat od auditovaného útvaru a postupně se rozšiřovat na vyšší úrovně řízení. 46 16