Vnitřní kontrolní systém a jeho audit

Podobné dokumenty
Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

ISA 610 POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU. (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu)

Hodnocení kvality IA. Národní konference ČIIA Jak na kvalitu v IA říjen Josef Medek, CIA, CISA

STANDARDY PRO VÝKON INTERNÍHO AUDITU

PRIMÁRNÍ SYSTÉM DOHLEDU Z POHLEDU MANAŽERA. Eva Janoušková

Zákon o finanční kontrole. Michal Plaček

Přínosy spolupráce interního a externího auditu

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Zpráva o činnosti a výstupech interního auditu ČT

Continuous Assurance. cesta vpřed? Mgr. Miloslav Kvapil. ředitel společnosti

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

ČSN EN ISO (únor 2012)

Risk management a Interní audit

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

7. Setkání interních auditorů z oblasti průmyslu, obchodu a služeb

Vnitřní kontrolní systém v orgánu veřejné správy

Evaluace na rozcestí trendy a praxe. Evaluace vs. interní audit. Lukáš Kačena Ernst & Young

Systém řízení informační bezpečnosti (ISMS)

Poznatky z kontrolní činnosti NKÚ k fungování vnitřních kontrolních systémů. Mgr. Štefan Kabátek, odbor I Praha, 11. dubna 2012

Statut interního auditu. Město Vodňany

Hodnocení řídícího a kontrolního systému interním auditem

Zpráva o výsledcích finančních kontrol za rok 2010 Úřadu pro ochranu hospodářské soutěže

PŘEZKOUMÁNÍ SYSTÉMU MANAGEMENTU KVALITY V HEMATOLOGICKÉ LABORATOŘI

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Vazba na Cobit 5

PŘEZKOUMÁNÍ SYSTÉMU MANAGEMENTU KVALITY V HEMATOLOGICKÉ LABORATOŘI

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Zpráva o výsledcích finančních kontrol za rok 2009 Úřadu pro ochranu hospodářské soutěže

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

POŽADAVKY NORMY ISO 9001

Systém managementu jakosti ISO 9001

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Univerzita Karlova. Opatření rektora č. 35/2017

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

ISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ

ZPRÁVA. o ověření roční účetní závěrky Evropského úřadu pro bezpečnost potravin za rozpočtový rok 2015, spolu s odpovědí úřadu (2016/C 449/18)

Základní role interního auditu a vývoj jejího vnímání

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Interní audit a jeho úloha

Konference Standardizace agend přenesené působnosti a měření jejich výkonnosti

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

IDENTIFIKACE A VYHODNOCENÍ RIZIK VÝZNAMNÉ (MATERIÁLNÍ) NESPRÁVNOSTI NA ZÁKLADĚ ZNALOSTI ÚČETNÍ JEDNOTKY A JEJÍHO PROSTŘEDÍ

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.


Management. Kontrola. Ing. Jiří Holický Ing. Vladimír Foltánek Ústav lesnické a dřevařské ekonomiky a politiky

ZPRÁVA. o ověření roční účetní závěrky Evropského monitorovacího centra pro drogy a drogovou závislost za rozpočtový rok 2015, spolu s odpovědí centra

MANAGEMENT Procesní přístup k řízení organizace. Ing. Jaromír Pitaš, Ph.D.

ZPRÁVA. o ověření roční účetní závěrky Evropské nadace pro zlepšení životních a pracovních podmínek za rozpočtový rok 2015, spolu s odpovědí nadace

Ministerstvo financí Centrální harmonizační jednotka pro finanční kontrolu Ing. Josef Svoboda PhD. ředitel

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Zpráva o ověření roční účetní závěrky Evropské agentury pro námořní bezpečnost za rozpočtový rok 2015

JAK A PROČ PRACOVAT NA KVALITĚ IA. Ing. Eva Klímová Praha,

SMĚRNICE DĚKANA Č. 4/2013

ROČNÍ PLÁN INTERNÍHO AUDITU A POVĚŘENÉHO AUDITNÍHO SUBJEKTU PRO ROK Počet stran: 10

GLOSÁŘ POJMŮ 1. Glosář pojmů_2.část Příručky

Struktura Pre-auditní zprávy

VNITŘNÍ KONTROLNÍ SYSTÉM Z POHLEDU KONTROLORA NKÚ. Štefan Kabátek

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY. oddělení PAS pro OP VaVpI

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

B_AudAuditing. Václav Kupec. - zopakování látky. - praktický příklad. - ukončení předmětu

Ing. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011

1. Politika integrovaného systému řízení

Vztah a komunikace interního a externího auditora ve sféře vybraných účetních jednotek

O2 a jeho komplexní řešení pro nařízení GDPR

Řízení projektů. Centrální podpora projektového řízení projektů realizovaných MVČR (CEPR) Praha,

ZPRÁVA. o ověření roční účetní závěrky Evropského monitorovacího centra pro drogy a drogovou závislost za rozpočtový rok 2016, spolu s odpovědí centra

ZPRÁVA (2016/C 449/09)

Představení projektu Metodika

Představení výsledků projektu. Implementace procesního modelu s využitím ADONIS na Městském úřadě Prostějov

MěÚ Benešov. Integrovaný systém managementu

Obsah. Praktický výkon činnosti Compliance v pojišťovnictví. 1. Pojem Compliance - právní rámec. 2. Rizika Compliance

Zpráva o činnosti a výstupech interního auditu ČT

ZPRÁVA (2016/C 449/07)

2. setkání IA ze zdravotních pojišťoven. Rizikové oblasti zdravotních pojišťoven z pohledu externího auditora

ÚČETNICTVÍ MEZINÁRODNÍ ÚČETNÍ STANDARDY PROČ IFRS? IFRS V ČR? VYBRANÉ ROZDÍLY MEZI ČÚS A IFRS Není jedno Varianty:

NÁVRH ZÁKONA O VNITŘNÍM ŘÍZENÍ A KONTROLE VE VEŘEJNÉ SPRÁVĚ

ZPRÁVA. o ověření roční účetní závěrky Agentury Evropské unie pro základní práva za rozpočtový rok 2015, spolu s odpovědí agentury (2016/C 449/38)

10. setkání interních auditorů v oblasti průmyslu

KONTROLNÍ ŘÁD OBCE BRLOH

ROČNÍ ZPRÁVA O VÝSLEDCÍCH FINANČNÍCH KONTROL ZA ROK 2015

Postupy interního auditu

Celková strategie hodnocení programu iniciativy EQUAL v České republice (pro období )

Prevence podvodného a korupčního jednání v podmínkách ROP Moravskoslezsko

Management kvality a jeho využití v praxi MěÚ Benešov

Plán testů vnitřních kontrol Plán testů věcné správnosti Shrnutí plánu auditu

Personální audit. a personální strategie na úřadech. územních samosprávných celků

A. Blokový grant. D. Fond na stipendia. 1. Definice a účel. 2. Výběr Zprostředkujícího subjektu Blokového grantu. Pracovní překlad

ISA 260 PŘEDÁVÁNÍ INFORMACÍ O ZÁLEŽITOSTECH AUDITU OSOBÁM POVĚŘENÝM ŘÍZENÍM ÚČETNÍ JEDNOTKY

VYSOKÉ ŠKOLY EKONOMIE A MANAGEMENTU. Vnitřní předpis stanovuje standardy vnitřního hodnocení kvality. Předpis upravuje zejména:

ROČNÍ PLÁN INTERNÍHO AUDITU A POVĚŘENÉHO AUDITNÍHO SUBJEKTU PRO ROK Počet stran: 10 VERZE 1.0 PLATNOST A ÚČINNOST OD 1.

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

Přednáška 6 B104KRM Krizový management. Ing. Roman Maroušek, Ph.D.

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

Continuous Auditing. cesta VPŘED!!! Mgr. Miloslav Kvapil. ředitel společnosti

ZPRÁVA. o ověření roční účetní závěrky Odrůdového úřadu Společenství za rozpočtový rok 2015, spolu s odpovědí úřadu (2016/C 449/08)

Transkript:

Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA

Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního auditu v rámci VŘKS Hodnocení účinnosti a efektivnosti VŘKS Z praxe auditora typické nedostatky VŘKS 2

Požadavky na VŘKS dle metodik a standardů 3

Porovnání požadavků na VŘKS různých standardů Požadavky na VŘKS vycházejí ze stejných principů. Liší se zejména v cílech VŘKS. SOX - PCAOB standard AS2 uvádí jako jeden z vhodných VŘKS rámec dle COSO. požadavky zákona SOX se týkají spolehlivosti finančního výkaznictví. IIA - Standard 2120 Auditor by měl hodnotit VŘKS z pohledu: spolehlivosti a integrity finančních a provozních informací, účinnosti a efektivnosti procesů, ochrany aktiv, dodržování zákonů, předpisů a smluv. COBIT Kontrolní rámec pro řízení IT plánování a organizace IT akvizice a implementace IT Provoz a podpora IT Monitoring a hodnoceni Direktiva EU 8 - článek 41, odst. 2, b) povinnost zřídit výbor pro audit. Povinnosti výboru pro audit: (a) monitorování procesu finančního výkaznictví, (b) monitorování efektivnosti VŘKS, interního auditu a řízení rizik. 4

Definice VŘKS dle rámce COSO

Definice VŘKS dle rámce COSO Interní kontrolní systém je proces uskutečňovaný vedením společnosti a jinými pracovníky organizace, jehož cílem je poskytnout přiměřené ujištění o plnění cílů v následujících kategoriích: efektivnost a účinnost operací, spolehlivost finančního výkaznictví, soulad s legislativou a ostatními platnými předpisy. 6

Definice VŘKS dle rámce COSO Dle COSO se VŘKS skládá z pěti vzájemně provázaných komponent, které dohromady tvoří integrovaný rámec. Tyto komponenty jsou následující: kontrolní prostředí, hodnocení rizik, kontrolní činnosti, informace a komunikace, monitorování. 7

Komponenty COSO - kontrolní prostředí Kontrolní prostředí - zahrnuje celkový přístup vedení k řízení organizace - firemní kulturu. Do kontrolního prostředí patří prvky nehmotné i hmotné povahy: integrita a etické hodnoty, správa a organizační struktura, filozofie vedení, řízení pravomocí a odpovědností, pravidla a praxe lidských zdrojů. Vedení ovlivňuje kontrolní prostředí organizace zaváděním etických standardů, svým chováním, účinným informováním o pravidlech a procedurách. 8

Komponenty COSO - hodnocení rizik Hodnocení rizik - zahrnuje identifikaci a analýzu rizik, které ohrožují plnění cílů společnosti. Hodnocení rizik začíná identifikací rizik souvisejících s obchodními cíli provázanými se všemi úrovněmi organizace: Na úrovni celé organizace cíle organizace, čeho chce organizace dosáhnout, jsou základním kamenem účinného VŘKS, vycházejí ze strategického a obchodního plánu. Na úrovni jednotlivých aktivit stanovováním cílů konkrétních projektů, procesů a aktivit. Posuzování rizik vyžaduje zhodnocení externích i interních faktorů a jejich vlivu na provoz, finanční výkaznictví a soulad s předpisy. Používá různé techniky: sebehodnocení kontrol (CSA), řízení podnikových rizik (ERM) a mnoho dalších. 9

Komponenty COSO - kontrolní činnosti Kontrolní činnosti - jsou politiky, postupy, pravidla a činnosti, jejichž účelem je pomoc při dosahování cílů a snižování rizik. Kontrolní činnosti musí být implementovány do procesů společnosti a využívány k řízení rizik. Soustředí se na prevenci, odhalování a nápravu. Typy kontrolních činností: schválení, autorizace a ověřování, prověřování ukazatelů výkonnosti (např. klíčové ukazatele výkonnosti, metriky), ochrana aktiv, oddělení odpovědností (např. iniciace transakce - schvalování - zaznamenání), kontroly informačních systémů (např. řízení přístupu). 10

Komponenty COSO - kontrolní činnosti - pokračování Kontrolní činnosti na úrovni celé organizace (CLC) ovlivňují organizaci jako celek nebo více procesů Kontrolní činnosti na úrovni procesů (PLC) ovlivňují jednotlivé procesy nebo činnosti 11

Komponenty COSO - informace a komunikace Informace a komunikace - zajišťuje, že relevantní informace jsou získány a zpracovány tak, aby byly správné, aktuální a dostupné včas a na správném místě. Poskytovány různými formálními i neformálními způsoby: ústně (např. jednání, zpětná vazba) písemně (např. pravidla, procesy, popisy práce) chováním (např. vedení jde příkladem) Úplnost informací je pro obchodní rozhodnutí naprostou nutností: interní kontrolní mechanismy musí zajistit, že informace jsou odpovídající, aktuální, včasné, přesné a dostupné. vazba na kontrolní mechanismy IS/IT (COBIT) Odpovědnost vedení: komunikace v organizaci musí probíhat horizontálně i vertikálně oběma směry komunikační kanály se zákazníky, dodavateli a ostatními stranami musí být otevřené 12

Komponenty COSO monitorování Monitorování - zjišťuje dohled nad VŘKS; ověřuje, že kontrolní činnosti jsou správně navrženy a efektivně prováděny. Účinnost VŘKS by měla být hodnocena průběžným monitorováním operací a samostatnými periodickými hodnoceními. Rozsah a frekvence monitorovacích činností závisí na významnosti kontrolovaných rizik a důležitosti kontrol při snižování rizik. Monitorovací činnosti by měly být zabudovány do běžných opakujících se provozních činností organizace. U identifikovaných nedostatků by měla být stanovena jasná nápravná opatření a zodpovědnost za jejich realizaci. 13

Role interního auditu v rámci VŘKS

Role a odpovědnosti Top management určuje standard kontrolního prostředí, udržuje si nejvyšší zodpovědnost za VŘKS a řízení rizik v celé společnosti. Provozní management přímo zodpovědný za efektivnost provozu a VŘKS ve vztahu k cílům společnosti, pravidelně hodnotí a prosazuje řízení rizik a kontrolní prostředí, definuje a implementuje kroky pro zlepšení VŘKS. Finanční management podílí se na zodpovědnosti provozního vedení a souvisejících činnostech, poskytuje vodítka pro navrhování, zavádění, provádění a monitorování odpovídajících kontrolních aktivit. 15

Role a odpovědnosti - pokračování Interní audit hodnotí adekvátnost a účinnost VŘKS, navrhuje plán interního auditu vycházející ze strategického řízení rizik, podává zprávy o zjištěních a vydává doporučení, poskytuje podporu pro posuzování rizik a kontrolních aktivit, monitoruje míru vystavení organizace riziku a vydává doporučení týkající se posuzování rizik a VŘKS. Výbor pro audit monitoruje efektivnosti VŘKS, interního auditu a řízení rizik, dohlíží na adekvátnost celkového kontrolního prostředí, usměrňuje pozornost představenstva k oblastem IA a VŘKS. Externí audit hodnotí efektivitu VŘKS za účelem stanovení rozsahu procedur externího auditu, vydává výrok k účetní závěrce. 16

Hodnocení účinnosti a efektivnosti VŘKS

Role interního auditu v oblasti řídicích a kontrolních mechanismů Standard 2120 - Řízení a kontrola. Interní audit napomáhá společnosti udržovat účinné řídicí a kontrolní systémy tím, že hodnotí jejich účinnost a efektivnost a podporuje jejich neustálé zdokonalování. 2120.A1 - Na základě výsledků vyhodnocení rizik interní audit hodnotí adekvátnost a účinnost řídicích a kontrolních mechanismů, týkajících se řízení a správy společnosti, procesů ve společnosti a informačních systémů. Toto hodnocení se týká: spolehlivosti a integrity finančních a provozních informací, účinnosti a efektivnosti procesů, ochrany aktiv, dodržování zákonů, předpisů a smluv. 18

Hodnocení účinnosti a efektivnosti Účinnost znamená, že VŘKS zajišťuje plnění cílů a pokrývá příslušná rizika (dělám správnou věc - VŘKS je navržen správně). Efektivnost znamená, že VŘKS je funguje optimálním, nejméně zdroji plýtvajícím způsobem (dělám správnou věc správným způsobem - VŘKS je navržen tak, aby co nejlépe plnil nadefinovaný cíl ekonomicky výhodným způsobem). 19

Hodnocení účinnosti Interní auditor by měl při hodnocení účinnosti VŘKS: ověřit jsou-li cíle dané kontroly v souladu s cíli společnosti, zhodnotit, zda jsou rizika, která ohrožují plnění cílů nadefinována správně a odrážejí-li reálný stav interních procesů společnosti a externích faktorů působících z vnějšku. COSO uvádí příklady, při kterých je třeba znovu posoudit adekvátnost cílů a rizik, jsou to například: změny v regulatorním prostředí, změny v provozních činnostech, nové informační systémy, reorganizace společnosti, rychlý růst společnosti. 20

Hodnocení efektivnosti Při hodnocení efektivnosti by měl interní auditor zhodnotit: zda je interní kontrola prováděna nákladově efektivním způsobem, jestli není možno rizika snížit nějakým jiným, na spotřebované zdroje (lidské, čas) méně náročným způsobem nebo takovým, který není tolik náchylný k chybám. 21

Zdokonalování VŘKS Požadavek standardu 2120 zdokonalování VŘKS. Interní audit je jedním z mála oddělení, které má příležitost vidět VŘKS jako celek. Má tedy unikátní možnost identifikovat změny VŘKS vedoucí k jeho optimalizaci. Optimální systém VŘKS by měl znamenat, že všechny kontrolní cíle jsou správně stanoveny, všechna rizika jsou pokryta kontrolními aktivitami a všechny kontrolní aktivity jsou prováděny nákladově efektivním způsobem. 22

Zdokonalování VŘKS - pokračování Návrhy na zdokonalování VŘKS mohou být založeny na posouzení efektivnosti kontrolních činností: Preventivní kontroly vs. detektivní kontroly Automatizované kontroly vs. manuální kontroly Nákladová efektinost VŘKS (kontrolních činností) 23

Zdokonalování VŘKS - pokračování Návrhy na zdokonalování VŘKS mohou být založeny na posouzení efektivnosti kontrolních činností: Preventivní kontroly vs. detektivní kontroly Automatizované kontroly vs. manuální kontroly Nákladová efektinost VŘKS (kontrolních činností) 24

Typické nedostatky VŘKS praxe auditora Absence analýzy rizik VŘKS nepokrývá kontrolní cíle komplexně (např. chybějící IT kontroly) VŘKS není dostatečně zdokumentován VŘKS nereflektuje změny business procesů Forma kontroly je víc než její obsah VŘKS není efektivní 25

Děkuji za pozornost Mgr. Vlastimil Červený, CIA, CISA vcerveny@deloittece.com Definice VŘKS z pohledu metodik 26

2007 Deloitte Touche Tohmatsu Všechna práva vyhrazena

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář