Část II Techniky interního auditu

Část II / Techniky interního auditu

119

Část II Techniky interního auditu

120

Kapitola 3 / Hodnocení rizik


121

Kapitola 3 Hodnocení rizik Filozofie COSO. Kdo využívá hodnocení rizik? Plánování hodnocení rizik a míra rizik. Rozšíření auditů založených na hodnocení rizik. Organizace, které nemají proces řízení rizik. Auditní riziko a jeho složky při auditech účetních závěrek. Inventura rizik. Základní otázka o rizicích. Strategie posuzování rizik podle společnosti Bell Canada. Interní auditoři a rizika elektronického obchodování [EC risks]. Riziko elektronického sdílení dat [EDI risk]. Riziko podvodu ze strany managementu. Vypracování plánu posuzování rizik. Řízení rizik. Cíle procesu řízení rizik. Analytické metody. Vypracování vývojových diagramů. Dotazníky o vnitřní kontrole. Maticová analýza. Preventivní a detekční kontroly. Ilustrativní metodika COSO. Courtneyhova metoda. Jiná metoda přidělování hodnot. Úvahy o zveřejňování informací o rizicích. Potřeba několika nástrojů. Závěrečný komentář.

122


Filozofie COSO Hodnocení rizik představuje kritický bod pro management a interního auditora. Americké federální zákony požadují každoroční vyhodnocování rizik pro některé banky a zásady dobrého řízení toto rovněž doporučují v jiných odvětvích a sektorech. Interní auditor musí pochopit proces hodnocení rizik a nástroje používané pro jejich hodnocení. Interní auditor musí převést výstupy procesu hodnocení rizik do programu auditu, který zajistí, aby potřebné kontroly fungovaly pro snížení rizik. Studie COSO, Interní kontrola – Integrovaný rámec1, začíná své pojednání o hodnocení rizik tímto shrnutím: Každá jednotka čelí různým rizikům z interních a externích zdrojů, která musí být posouzena. Předpokladem hodnocení rizik je stanovení záměrů, které jsou propojené na různých úrovních a jsou vnitřně konzistentní. Hodnocení rizik je identifikace a analýza příslušných rizik při dosažení záměrů [organizace] tvořících základnu pro stanovení toho, jak mají být tato rizika řízena. Protože ekonomické, odvětvové, regulační a provozní podmínky se budou i nadále měnit, jsou potřebné mechanizmy pro identifikaci a ošetření zvláštních rizik souvisejících se změnou. Hodnocení rizik je nedílnou a trvalou odpovědností managementu. Tato odpovědnost je nedílná, protože management nemůže stanovit cíle a jednoduše předpokládat, že budou dosaženy. Objeví se mnoho překážek, které naruší cestu ke splnění cílů. Některé překážky nebo rizika přijdou zvenčí organizace, jiné zvnitřku. Například: • • • •

Nový zákon nebo předpis odvádí zdroje provozních činností potřebných pro splnění jiných cílů. Konkurence zavádí nový produkt nebo službu, která vyžaduje okamžitou reakci a vytváří nový cíl, který snižuje prioritu předchozích cílů. Technologický průlom činí jeden nebo více cílů zastaralými. Nekompetentní manažer dá přednost budování impéria před stanovenými cíli organizace.

Seznam rizik je nekonečný. Účelem hodnocení rizik je přivést smysl, pořádek a omezení do tohoto seznamu. Počet rizik není statický; vždy se objevují nová rizika. Proto je hodnocení rizik průběžnou činností v procesu


123

řízení; mělo by se provádět organizovaným a spořádaným způsobem. Proto je proces hodnocení rizik vhodný k realizaci auditů.

Kdo využívá hodnocení rizik? Management využívá hodnocení rizik jako součást procesu pro zajištění úspěchu organizace; tato skutečnost je jasně pojednána ve studii COSO. Management rovněž využívá hodnocení rizik jako důležitý nástroj při projektování nových systémů. Nové systémy, ať manuální nebo komputerizované, se vytvářejí pro splnění uznaných záměrů. Důležitou částí procesu projektování a vývoje je rovněž identifikace všech událostí a činností, které by mohly zabránit tomu, aby systém dosáhl svých cílů. Podle současné legislativy2 jsou banky nad určitou velikost žádány, aby používaly každoroční hodnocení rizik, které bude sloužit jako základ pro vypracování veřejného prohlášení o stavu systému interní kontroly. Od nezávislých účetních bank se požaduje potvrzení přesnosti takového prohlášení. Od roku 1979 se vyskytly pokusy požadovat taková prohlášení podle Zákona o cenných papírech a burzách [Securities and Exchange Act] z roku 1934. Je možné, že prostřednictvím předpisů nebo zákonů bude tento požadavek na předkládání prohlášení vyžadován od více a více odvětví a organizací veřejného sektoru. Veřejní účetní musí provádět hodnocení rizik v souladu se standardy. Prohlášení o auditorských standardech (SAS) [Statement on Auditing Standards] č.55 Amerického institutu certifikovaných veřejných účetních (AICPA) [American Institute of Certified Public Accountants] pojednává o odpovědnosti účetního za pochopení kontrolního systému. Veřejní účetní rovněž provádí hodnocení rizik při plánování svých auditů. Jaká jsou rizika, že dojde k selhání při splnění záměrů auditu? Které testy auditu se mají použít, aby se zajistilo splnění záměrů auditu? Jedním rizikem je výběr nesprávné testovací metody; jiným rizikem je použití nesprávného plánu pro vzorkování a techniky; a tak je možné pokračovat dále. Bezpochyby se interní auditoři zapojili do hodnocení rizik od nejrannějších dnů této profese. Interní auditoři se vždy dotazovali „Co může špatně dopadnout?“ Identifikace potenciálních chyb a/nebo nesprávných postupů je absolutním požadavkem pro stanovení toho, jaké řídicí a kontrolní mechanismy je zapotřebí zavést. V konečném důsledku, byla by potřebná kontrola, kdyby neexistovalo žádné riziko? Jak může auditor stanovit, zda určitý kontrolní mechanismus je efektivním kontrolním mechanismem –

124


správným kontrolním mechanismem – za daných okolností, pokud není riziko identifikováno a vyhodnoceno? Pro řešení této otázky vydal IIA v roce 1991 Prohlášení o standardech interního auditu [Statement on Internal Auditing Standards] č.9 k hodnocení rizik. V současnosti se touto problematikou zabývá Standard 2210.A1, který je dále rozveden v Doporučení pro praxi 2210.A1-1. U mnoha organizací bude útvar interního auditu klíčovým hráčem při vyhodnocování rizik, jež je podkladem každoročního prohlášení managementu o podmínkách kontrolního systému. Probíhající práce interních auditorů musí být brána do úvahy při formulování prohlášení. Speciální audity mohou být vyžadovány u některých organizací, aby bylo vidět, že slabá místa zjištěna v průběhu roku byla napravena k datu vypracování zprávy na konci roku.

Plánování hodnocení rizik a míra rizik Plán auditů by měl být vypracován tak, aby zahrnoval posouzení rizik v organizaci a míru rizik. Doporučení pro praxi 2010-2 „Spojení plánu auditu s riziky a mírou rizika“ naznačuje, že strategické plány organizace by měly brát do úvahy rizika a míru rizik. Plán auditu by měl posoudit stupeň pozornosti věnované těmto prvkům priorit rizik a míry rizik ve strategických plánech. A tak může být auditorský prostor ovlivněn výsledky procesu řízení rizik. Doporučení obsahuje podrobné metody auditorské činnosti, jako je obsah harmonogramů auditorské práce, přístup k auditu, provádění auditu, obsah zpráv a vyhodnocení „interních kontrolních mechanismů ke snížení rizik“.

Rozšíření auditů založených na hodnocení rizik 3 Koncepce auditů založených na hodnocení rizik tradičně začala sledováním analýzy kontrolních mechanismů, pak přešla ke stanovení rizik souvisejících s provozní činností a nakonec ke stanovení toho, zda tato činnost byla v souladu se záměry organizace. McNamee a Selim považovali tento přístup za chybný, protože nejprve bylo zapotřebí věnovat pozornost záměrům; záměry jsou základem provozní činnosti, a ne vždy jsou „zality do betonu“ a mohou být flexibilní a jsou – nebo by měly být – orientovány na budoucnost. Tito autoři doporučili přístup, který nejprve posuzuje stanovené organizační záměry a potom hodnotí rizika prostřednictvím identifikace, měření a stanovení priorit a nakonec zajišťuje řízení rizik prostřednictvím:

Část II / Techniky interního auditu § § §

125

kontroly a přijetím rizika, nebo vyhnutí se riziku a jeho diverzifikaci, nebo sdílení rizika a přesunutí části rizika na jiné jednotky.

Tato koncepce řízení rizik se začíná stále více přijímat v důsledku nevyhnutelnosti rizik ve všech druzích provozních činností a potřeby přizpůsobit se jim prostřednictvím výběru variant činnosti. Výše uvedené možnosti zahrnují: Controlling organizačních činností ke snížení prvků rizik s ohledem na jejich velikost a počet; Přijímání rizika umožněním obezřetného rizika, které je nevyhnutelné pro další vývoj a zisk; Vyhnutí se riziku zahrnuje přepracování podnikového procesu za účelem změny struktury rizika; Diverzifikace rizika rozložením celkového rizika na větší počet samostatných provozních operací. Příkladem je využití několika prodejců pro kritické materiály; a Sdílení a přesunutí rizika zapojením smluvních vztahů se třetími stranami, které budou přebírat část nebo celé riziko. Příkladem je oblast pojištění. Projevem budoucnosti je to, že rozeznávání rizik se rozšířilo na řízení rizik. Je to příklad interního auditu, který je ve vedoucí pozici v oblasti poskytování přísady „přidávající hodnotu“ do úctyhodné činnosti, zabývá se riziky a využitím auditu založeného na posuzování rizik.

Organizace, které nemají proces řízení rizik Větší část této kapitoly se věnuje dvěma aspektům rizik: první, interní auditoři by měli prověřovat rizika v oblastech, které auditují tak, že vypracují program auditu. Druhé, jestliže existuje program řízení rizik, interní auditoři by ho měli vyhodnotit jako součást auditu. IIA nedávno vydala dvě Doporučení pro praxi související s řízením rizik, a to Doporučení pro praxi 2100-4,“Úloha interního auditu v organizacích, které nemají proces řízení rizik“ a Doporučení pro praxi 2110-1,“Posuzování přiměřenosti procesu řízení rizik“. Druhé z těchto doporučení se zabývá druhým z výše uvedených aspektů auditu. První doporučení se věnuje praktickému přístupu, jako jsou např. konzultační služby pro klienty auditu. Toto doporučení navrhuje, aby interní auditoři:

126

1.

2. 3. 4.

5. 6.

7.


Pomáhali organizaci při identifikaci, vyhodnocování a zavádění řízení rizik a problémech představenstva a stanovili, jak mohou být řešeny činnostmi řízení rizik a kontrolními mechanismy. Identifikovali problémy managementu a představenstva a stanovili, jak mohou být vyřešeny procesem řízení rizik. Upozornili management na neexistenci procesu řízení rizik a předkládali návrhy pro vytvoření takového procesu. Pochopili očekávání managementu a představenstva týkající se pomoci interního auditu, jež může být poskytnuta při vytváření procesu řízení rizik. Získali od managementu jeho pojetí úlohy, kterou by měl hrát interní audit v tomto procesu. Hrát aktivní roli, když budou o to požádáni, při vytváření procesu řízení rizik, přičemž mají mít na paměti, že jejich nezávislost může být ohrožena. Nepřevzali roli „odpovědnosti za konkrétní riziko“[Ownership of risk].

Vedoucí auditu musí mít na paměti požadavek, že pomoc by neměla překročit filozofii běžných požadavků na ujištění a konzultace.

Auditní riziko a jeho složky při auditech účetních závěrek Auditoři a management neustále zpochybňují rozsah a pravděpodobnost rizika. Existující riziko je výše míry rizika; pravděpodobnost je možnost výskytu. Existuje rovněž mnoho dalších problémů, které je zapotřebí brát do úvahy při posuzování dopadu rizik. Jasný pohled na kvantifikování rizik vypracovaný Robertem Courtney je uveden dále. AICPA poskytla poradenství v této oblasti prostřednictvím několika nedávných Prohlášení o auditorských standardech (č.47, č.53 a č.55). Auditní rizika existují ve dvou úrovních.- na úrovni účetních závěrek a na úrovni účetní bilance (nebo na úrovni třídy transakcí). Na úrovni účetních závěrek je auditním rizikem „riziko, že se auditorovi nevědomky nepodaří přiměřeně modifikovat svůj názor o účetní závěrce, která je významně zkreslená“. Od auditora se očekává, že bude plánovat audit tak, aby auditní riziko bylo omezeno na to, co podle úsudku auditora je přiměřeně nízká úroveň. Při posouzení auditního rizika na úrovni účetní závěrky, Standardy


127

auditu (AU 316) uvádějí, že auditor by měl posuzovat charakteristiky řízení, provozní a odvětvové charakteristiky a charakteristiky zakázky. Následující faktory mohou naznačovat situace se zvýšeným auditním rizikem: Charakteristiky řízení • • • • •

Rozhodnutí managementu ovládá jediná osoba. Management má mimořádně agresivní postoj k finančnímu výkaznictví. Změny v managementu jsou časté. Management klade nesmírný důraz na plnění výnosových plánů Management má špatné jméno v podnikatelském prostředí.

Provozní a odvětvové charakteristiky • • • • •

Rentabilita organizace ve srovnání se svým odvětvím je neadekvátní a nekonzistentní. Provozní výsledky organizace jsou citlivé na různé ekonomické okolnosti. Organizace se nachází v útlumovém odvětví. Organizace je decentralizovaná bez přiměřeného monitorování činností. Organizace nemusí trvale existující podnik.

Charakteristiky zakázky • • • •

Existuje mnoho sporných a/nebo obtížných účetních problémů Existují významné transakce nebo zůstatky, u kterých je obtížné provádět audit. Existují významné a neobvyklé transakce se spřízněnými stranami. Existuje buď předchozí historie významných zkreslení zjištěných během provádění auditů nebo nejsou dostupné údaje z minulosti.

Faktory tohoto druhu by neměly být brány izolovaně. Například velikost, složitost a vlastnictví organizace může zvyšovat nebo snižovat tyto faktory. Závěry auditora týkající se auditního rizika na úrovni účetních závěrek ovlivní: (1) počet pracovníků na zakázce; (2) vyžadovanou supervizi; (3) celkovou strategii auditu; a (4) míru profesionálního skepticizmu. Například v situaci, když auditor má pocit, že existuje zvýšené auditní riziko, může

128


přidělit zkušenější pracovníky a uplatňovat složitější postupy při práci během roku a na konci roku. Při posuzování auditního rizika na úrovni účetní bilance nebo na úrovni třídy transakcí musí auditor zvažovat tvrzení účetních závěrek. Tvrzení představují prohlášení managementu, která jsou obsažena v účetní bilanci (rozvaze), ve třídě transakcí a ve zveřejnění informací. SAS identifikuje pět obecných tvrzení managementu (nebo účetních závěrek) – existence nebo výskyt, úplnost, práva a závazky, ocenění nebo alokace a prezentace a zveřejnění informací. Kupříkladu management prohlašující, že závazky za divizi k 30. červnu jsou ve výši USD 85 000 uvádí, že: • • • • •

Závazky existovaly v rámci údajů rozvahy (existence) Všechny závazky jsou zahrnuty (úplnost) Závazky jsou právními závazky (závazky) Závazky jsou správně oceněny (ocenění nebo alokace) Všechny závazky jsou správně prezentovány (prezentace a zveřejnění)

Na úrovni účetní bilance nebo na úrovni třídy transakcí se auditní riziko skládá z (a) rizika, že bilance nebo třída a příslušná tvrzení obsahují nesprávné údaje buď samy o sobě nebo spolu s jinými, které mohou být významné pro účetní závěrku (nazývané inherentní riziko a kontrolní riziko) a (b) riziko toho, že auditor neodhalí takové nesprávné údaje, pokud existují (nazývané detekční riziko). Proto má auditní riziko na úrovni bilance nebo třídy tři složky - inherentní riziko, kontrolní riziko a detekční riziko. Od auditora se očekává, že naplánuje audit tak, aby auditní riziko na úrovni bilance nebo na úrovni třídy bylo omezené a umožňovalo auditorovi vypracovat výrok auditora na úrovni účetní závěrky při přiměřeně nízkém auditním riziku. SAS poskytuje následující body jako příklady faktorů, které by měl auditor brát do úvahy při vyhodnocování auditního rizika na úrovni bilance nebo na úrovni třídy: • • • •

vliv rizikových faktorů identifikovaných na úrovni účetní závěrky. Složitost a problematičnost účetních záležitostí. Frekvenci a významnost transakcí, u kterých je obtížné provádět audit. Pravděpodobnost výskytu významných zkreslení na základě informací získaných z předchozích auditů.

Část II / Techniky interního auditu • • • • •

129

Citlivost majetku ke zpronevěře. Schopnosti a zkušenosti pracovníků, kteří zpracovávají údaje. Stupeň posouzení při určování účetního zůstatku nebo transakce. Velikost a objem položek zahrnutých do účetní bilance nebo třídy. Složitost výpočtů.

V mnoha směrech je podstata výše uvedených SAS významným příspěvkem do literatury o auditu. Jasně definuje cestu pro stanovení práce auditora, která je potřebná ke splnění jeho odpovědností.

Inherentní riziko Inherentní riziko je připouštění tvrzení o věcné chybě za předpokladu, že nejsou zavedeny zásady nebo postupy vnitřní kontroly. Inherentní riziko je vnitřním rizikem vlastního podnikání organizace. Riziko takové věcné chyby je větší pro některá tvrzení a bilance nebo třídy, než pro jiné. Například: •

•

• •

Tvrzení o ocenění a existenci, která se týkají pohledávek vykazují větší pravděpodobnost, že budou porušena, než tvrzení o úplnosti, když se auditor znepokojuje, zda organizace bude schopna pokračovat jako trvale existující podnik. Výpočty penzijních nákladů mají větší pravděpodobnost, že budou nesprávně uváděny, než výpočty odpisů, používající metodou rovnoměrných odpisů (porovnání složitých a jednoduchých výpočtů). Hotovost je náchylnější ke krádeži než zásoby vápence (množství, která lze snadněji ukrást s vyšší hodnotou než položky, které je obtížné ukrást s nižší hodnotou). Faktory, které jsou okrajové pro organizaci, jako jsou technologické změny, které vedou k tomu, že specifický inventář se stane zastaralým a potenciálně nadhodnoceným.

Faktory identifikované na úrovni účetních závěrek mohou mít dopad na inherentní riziko na úrovni bilance nebo na úrovni třídy. Například otázka trvalé existence podniku identifikována na úrovni účetní závěrky může vyvolat zvýšení inherentního rizika při ocenění inventáře.

130


Několik příkladů pomůže pochopit zjištění AICPA o inherentním riziku: • • • •

•

Ve firmě obchodující s cennými papíry je u jednoduchého výpočtu úroků menší pravděpodobnost výskytu chyb než u výpočtu založeného na metodě úročení. V bance je překrývání kreditů pravděpodobnější u vkladů na spořící účty nebo při platbách úvěrových splátek než při vkladech na běžné účty. V obchodním domě je pravděpodobnější, že zůstatek na účtu pohledávek bude uváděn realisticky než zůstatek na účtu rezerv pro špatné úvěry. V obchodě s potravinami vedla zvýšená potřeba řízení zásob k tomu, že metoda registračních pokladen a manuálního sčítání zásob se stala zastaralou ve chvíli, kdy byly zavedeny čárové kódy v místě pokladen. V diverzifikované organizaci důraz na financování akvizic prostřednictvím bankovních úvěrů než navyšování kapitálu vyvíjí tlak na výnosy v době, kdy se zvyšují úrokové sazby; což může vést k marginálním prodejním cenám a/nebo riskantnějším nevyrovnaným úvěrům z důvodu získání vyšších výnosů.

Auditor je schopný vyhodnotit některá inherentní rizika u klienta/auditovaného tím, že posuzuje odvětví jako celek. Banky jsou vystaveny známé sadě inherentních rizik, protože se zabývají podnikáním s úvěry a manipulací s penězi. Organizace vyrábějící automobily je vystavena známým skupinám inherentních rizik, která se vyskytují jak při výrobě, tak i při obchodování s automobily. Existují rovněž inherentní rizika, která na sebe bere organizace v důsledku firemní kultury, kterou udržuje. Organizace, jež je přísně řízena malou skupinou lidí může mít filosofii: „Chceme se zbavit omezujících písemných zásad a postupů, abychom byli schopni reagovat na události okamžitě a přímo“. Taková organizace je vystavena riziku, které se nevyskytuje u organizace s filosofií:“Budeme mít zdokumentované zásady a postupy tak, aby poskytovaly zaměstnancům instrukce o současných provozních činnostech a poskytovaly návod, jak reagovat na události i na nejnižší praktické úrovni uvnitř organizace.“


131

Rizika vytvářená orientací na firemní kulturu patří k rizikům vlastním manažerskému stylu. Když jsou v organizaci posouzena inherentní rizika, jsou utvořeny podmínky k vyhodnocení pojistek vytvořených k předcházení nebo odhalování výskytu stavu, který tato rizika přinášejí. Tato úvaha se zabývá kontrolními riziky.

Kontrolní riziko Kontrolní riziko je riziko, že významné věcné chyby nebo chybné údaje, které se mohly vyskytnout v tvrzení, nebudou včas odstraněny nebo nebudou odhaleny pomocí struktur firemní interní kontroly, zásad a postupů. Některá kontrolní rizika budou existovat vždy, protože jsou důsledkem vlastních (inherentních) omezení jakékoli struktury interní kontroly. Auditor může posoudit kontrolní riziko v maximální míře, když zásady nebo postupy pravděpodobně nebudou efektivní, nebo když vzhledem k nákladům, nestojí za to vyhodnocovat jejich efektivnost. Jestliže auditor posoudí kontrolní riziko pod maximální mírou, očekává se od něho, že získá důkazy o návrhu a uplatňování příslušných zásad a postupů, aby zdůvodnil své hodnocení.

Detekční riziko Detekční riziko je riziko, že auditor neodhalí významnou věcnou chybu nebo chybný údaj, který existuje v tvrzení. Detekční riziko se může vyskytnout, protože se auditor rozhodl neprověřit 100 procent zůstatků nebo transakcí nebo v důsledku jiných nejistot. Do těchto jiných nejistot patří výběr nevhodného auditního postupu, nesprávná aplikace auditního postupu, nebo nesprávná interpretace výsledků auditního postupu. Další nejistoty by měly být sníženy na přijatelnou úroveň prostřednictvím vhodného plánování a supervize.

Vztahy mezi jednotlivými riziky Auditor může vyhodnotit tato rizika buď kvantitativně nebo kvalitativně. SAS uvádí následující vzorec: Auditní riziko = Inherentní riziko x Kontrolní riziko x Detekční riziko

132


Při skutečném použití tohoto vzorce může auditor posoudit plánované auditní riziko pro tvrzení, jeho inherentní riziko a kontrolní riziko pro stanovení potřebného plánovaného detekčního rizika vyřešením detekčního rizika. Detekční riziko = Auditní riziko / (Inherentní riziko x Kontrolní riziko) Auditor vybere takové auditní postupy, které podle jeho nebo jejího názoru sníží detekční riziko pod plánované detekční riziko. To zdůrazňuje koncepci, že inherentní riziko a kontrolní riziko existují nezávisle na auditu. Kromě toho změny ve vnitřní struktuře kontroly, které jsou doporučovány a zavedeny po auditovaném období nezmění auditorovo hodnocení kontrolního rizika za běžné období. Proto pro konkrétní úroveň plánovaného auditního rizika je inherentní riziko a kontrolní riziko v nepřímém vztahu s detekčním rizikem. Čím více je inherentní riziko a kontrolní riziko spojeno s tvrzením, tím menší je detekční riziko, které je možné přijmout, a tím je více auditorských důkazů, které musí být shromážděny. Auditor musí provést některé nezávislé testy z důvodu existence významných věcných chyb. V takovém případě se auditor nemůže spoléhat výlučně na stanovení kontrolního rizika a inherentního rizika, aby zdůvodnil neprovádění nezávislých testů. Auditor změní charakter, časový průběh a rozsah plánovaných auditních postupů, přidělení pracovníků a požadovanou supervizi při zvažování reakcí na změny v detekčním riziku. Koncepce inherentního rizika je ta, která by měla být obzvláště důležitá pro interního auditora. Charakter podnikání nebo činností organizace a styl řízení vytváří atmosféru, která má velký dopad na inherentní rizika organizace. Dvě městské správy mohou mít společná inherentní rizika, protože jsou organizacemi na municipální úrovni. Mohou však mít různé stupně rizika, protože jedna má silného starostu a slabou strukturu rady, zatímco druhá má slabého manažera města a silnou strukturu rady. Rizika se mohou odlišovat ještě více, pokud existuje silný zájem obyvatel a otevřená správa u jedné municipality, zatímco druhá je charakterizována veřejnou apatií a politickými šéfy. Každá organizace podléhá svému vlastnímu inherentnímu riziku a interní auditor by je měl zaznamenávat, aby je mohl využít při hodnocení rizik. Pozice interního auditora jako součásti organizace nabízí příležitost ke sledování inherentního rizika po dlouhé časové období. Interní auditor by si měl být vědom odlišných inherentních rizik, která se vyskytují v různých částech organizace. Inherentní riziko ve výrobě je jiné, než je riziko ve


133

financích. Rizika v oděvní výrobě budou jiná než rizika v organizaci s chemickou výrobou. Organizace začne s inherentními riziky, která jsou spojena s jejím typem podnikání a stylem řízení. Odpovědí na rizika je zavedení kontrolních mechanismů. Protože neexistuje způsob ke snížení rizika na nulu, vždy se bude vyskytovat nějaké riziko i v případě, když budou zavedeny nejlepší řídicí a kontrolní systémy. Tento stupeň rizika je kontrolní riziko. V tomto bodě vstupuje do hry koncepce přiměřeného ujištění. Přiměřené ujištění je úroveň kontroly dosažená tehdy, když náklady na kontrolní mechanizmy a míra rizika a získané přínosy jsou vyváženy. Můžeme na to pohlížet jako na bod, kdy je v rovnováze kontrolní riziko a náklady na kontrolní mechanismy.

Inventura rizik 4 Útvar interního auditu pojišťovny Allstate vypracoval „inventuru podnikatelských rizik“, aby pomohla při: • • • • •

Poskytnutí rámce pro identifikaci rizik, která tvoří největší hrozbu pro firmu tak, aby tato rizika byla zohledněna při plánování. Umožnění diskuse o podnikatelských rizicích. Vytvoření infrastruktury pro monitorování změn podnikatelských rizik v průběhu času a pomoc při identifikaci nových rizik. Přípravě managementu a interního auditu k přijetí aktivního přístupu. Zlepšení expertních znalostí pracovníků auditu o rizicích.

Vypracování inventury rizik zahrnuje proces skládající se ze čtyř kroků: 1. 2. 3. 4.

Identifikace „rizik na vrcholu pozornosti“. Konsolidace a organizování rizik. Vytvoření prototypu inventury rizik a glosáře rizik. Zlepšení inventury rizik.

Inventura rizik byla organizována do dvou základních částí. Externí rizika, která zahrnují : • • • •

Prostředí. Katastrofy. Finanční trhy. Hodnocení (Rating).

134


Interní rizika, která zahrnují : • • • • •

Lidské zdroje. Integritu. Informace a technologii. Účetnictví a výkaznictví. Finanční rizika.

Pracovníci auditu potom vypracovali specifické inventury rizik pro každou organizační jednotku a rovněž pro sdílené služby a identifikovali ty, které představují největší hrozby pro organizaci. Pracovníci auditu potom vyhodnotili rizika podle jejich významnosti a pravděpodobnosti výskytu a vytvořili tříbodovou stupnicí; vysoké, střední a nízké. Rizika s nejvyšším bodovým hodnocením byla označena jako „klíčová“ rizika. U kombinace „hrozby“ a „klíčového“ se potom provedl brzký audit a věnovala se jí pozornost managementu. Následně pracovníci auditu vypracovali sérii „spouštěčů rizik“ pro externí rizika a rovněž pro interní rizika. Jestliže předpokládáme maticový přístup se spouštěči a „klíčovými“ riziky, měl by auditor být vybaven nástroji k určení důležitých oblastí, které má sledovat.

Základní otázka o rizicích Organizace se snaží udržovat více kontrolních mechanismů u svých rizik a tudíž provádí audit v těch oblastech, které představují vyšší míru rizika a kladou mnoho otázek, které byly stanoveny jako důležité. To získalo zvláštní důležitost, když si management a interní auditoři uvědomili, že souběžně se změnami v podnikatelské praxi se drasticky změnila míra rizika. Například, se management začal ve větší míře zabývat tržním rizikem, požadavky na produkty organizace. Nebo jinak, ve věku internetu s jeho elektronickým podnikáním a elektronickým obchodováním se drasticky zvyšují složky rizika telefonických obchodů. Tyto významné změny mohou mít bez uvědomění si jejich závažnosti drastický dopad na firmu. Organizace vyhodnocovaly různé způsoby posuzování rizik. Otázky (rizikové faktory), jako ty uvedené dále, se použily při posuzování rizik: 5 • • •

Při předchozích auditech byla zjištěna významná zjištění? Jaký byl rozsah předchozího auditu? Před jakou dobou se realizoval předchozí audit?

Část II / Techniky interního auditu • • • • • • • • • • • • • • •

135

Jaké změny se vyskytly v systému? Jaké změny se vyskytly u pracovníků? Jaké změny se vyskytly v nabízených produktech a/nebo ve službách? Jaká je dolarová hodnota kontrolovaných aktiv? Jaká je dolarová hodnota transakcí v celé organizaci? Jak je organizace důležitá pro mateřskou firmu? Jak likvidní jsou její aktiva? Jaké je oddělení povinností? Jak citlivé jsou informace v organizaci? Jak vysoké jsou tlaky na splnění záměrů a dalších podnikatelských opatření? Jak zákony a předpisy ovlivňují organizaci? Jak často jsou zaměstnanci vystaveni potenciálně neetickým postupům? Jaká úroveň znalostí je vyžadovaná k realizaci činnosti organizace? Jak často jsou zaměstnanci v kontaktu se zákazníky organizace? Jak složité jsou provozní činnosti organizace?

Některé organizace si v zásadě vytvořily seznam otázek, kterým má auditor věnovat pozornost při plánování auditů. Jiné mají kvantifikované odpovědi na každou otázku vypracováním konkrétních odpovědí s příslušnými hodnotami, které může auditor použít. Na základě těchto odpovědí je vypracováno bodové hodnocení. To může představovat jednoduchý součet hodnot pro systém vah založený na expertních systémech. Jakmile je bodové hodnocení stanoveno, auditor může stanovit plány auditu na základě relativních bodů. Při jakémkoli přístupu je pro auditora důležité vyhodnotit výsledky auditu ve vztahu k předpovědi. Některé firmy vyvíjejí sofistikovanější systémy, které přidělí určitý počet hodin auditu specifickým zakázkám na základě rizikových bodů. Tyto systémy stanoví počet hodin na audit a rotaci auditů na základě posouzení rizik. Například bodové hodnocení X by vyžadovalo 200 hodin práce auditora každé dva roky.

Strategie posuzování rizik podle firmy Bell Canada 6 Firma Bell Canada používá vyhodnocení rizik jako nedílnou součást procesu plánování svých auditů. Nástroj byl vyvinout jako pomoc auditorům

136


při stanovení druhu a míry rizika, kterému je vystavena každá operace, jež má být auditována. Každá operace, která má být auditována je rozdělena do „klíčových“ dílčích procesů, funkcí a aktivit. Tyto položky tvoří jednu osu rizikové matice. Na druhé ose uvede auditor 10 univerzálních podnikatelských rizik firmy. V každém poli matice použije auditor jednoduchý bodovací systém, kde: 3 2 1

označí vysokou pravděpodobnost výskytu, označí mírnou pravděpodobnost výskytu a označí nízkou pravděpodobnost.

Podnikatelská rizika jsou: 1. Chybné finanční záznamy

Dopad Účetní závěrky a finanční záznamy pro management, výkaznictví, klasifikační hodnoty nebo čas. 2. Nepřijatelné účetní zásady Postupy, které nejsou v souladu s GAAP nebo jsou nepřiměřené pro dané okolnosti. 3. Přerušení podnikatelské činnosti Významné omezení schopnosti poskytovat služby nebo fungovat 4. Kritika ze strany vlády nebo Pokuty stanovené soudními, regulačprávní kroky ními nebo vládními institucemi 5. Nadměrné náklady Veškeré výdaje, kapitálové nebo nákladové, které se nemusely vynaložit nebo mohly být nižší 6. Nedostatečné příjmy Ztráta příjmů nebo kompenzací, na které je nárok. Podíl na trhu. 7. Zničení nebo ztráta aktiv Snížení hodnoty nebo ztráta provozního vybavení, zařízení, materiálu, hotovosti, nebo nároků na peníze nebo data 8. Konkurenční nevýhody a nespo- Neschopnost udržet krok s požadavky kojenost veřejnosti a klientů trhu nebo efektivně reagovat na výzvy konkurence 9. Podvod a konflikt zájmů Úmyslné zneužití zásad, pravidel nebo etiky nebo narušení základní poctivosti. Monetární aspekty nebo zavádějící informace. 10. Chybná politika nebo roz- Integrita informací pro rozhodování hodnutí managementu managementu, která vede k nesprávnému plánování, organizaci, řízení atd.


137

Auditoři se tudíž mohou věnovat cílům s nejvyšší mírou inherentního rizika. Auditoři vypracují bodové hodnocení rizik pro každý podnikový proces a tímto nasměrují auditorskou činnost daným směrem. Rizikové oblasti by však měly být vyhodnocovány s ohledem na svou důležitost pro fungování a dobro organizace. Proto operace s vysokou mírou rizika nebude mít vysokou prioritu, jestliže tato operace nebude důležitá pro celkové dobro organizace.

Interní auditoři a rizika elektronického obchodování 7 Důležitostí interního auditu v této oblasti je stanovit, které různé aspekty činnosti elektronického obchodování (EC) [Electronic Commerce] vystavují organizaci rizikům. Za předpokladu, že tato rizika mohou být identifikována, by měl auditor, někdy s pomocí experta na informační technologie (IT) stanovit a popsat opatření, která mohou být přijata ke snížení rizik na přijatelnou míru. Tato doporučená opatření by měla zahrnovat: • • • • • • • • •

Rizika a jejich dopady na organizaci. Modifikaci nebo pomocnou činnost, která se doporučuje. Dopady modifikace rizik na operaci. Míru snížení rizika, která bude dosažena. Finanční riziko, které se váže na operaci. Náklady na modifikaci. Časové prvky. Pravděpodobné aspekty úspěchu. Doporučení pro případ, když je navrženo více než jedno opatření.

Vzhledem k dynamice činnosti EC měly by být prověrky analýz těchto rizik prováděny často. Interní auditoři nebo odborní spolupracovníci IT nebo obě strany se musí seznámit s novým vývojem na tomto poli, pokud jde o: • • •

Nové technologické změny v rámci IT. Nejnovější publikované situace, které se vyskytly v tomto oboru. Změny v operacích organizace.

V monografii publikované Institutem interních auditorů popsala Xenia Lee Parker práci interních auditorů při vyhodnocování EC ve vztahu k rizikům vyplývajícím z podnikatelských procesů. Paní Parker uvádí, že

138


základní činnost interního auditu IT se má provádět tak, aby byla schopna poskytnout ujištění týkající se rizik ve zpracování EC: •

„Pochopení systému a infrastruktury: Ø předřazené webové servery; Ø přenosové metody a protokol; Ø ochranné prostředky privátní sítě (firewall); Ø mezisíťové počítače (gateways); Ø záloha; Ø aplikační programové prostředky; a Ø možná spojení se systémy back office.

•

• • •

„Ujištění o tom, které informace jsou důležité, které prvky údajů a programů ovlivňují data, jak jsou distribuované programy, lokality, servery, externí účastníci a procesy zapojeny do systému. „Zaznamenávaní a vyhodnocování kontrolních mechanismů a postupů, které nakládají s kritickými nebo citlivými informacemi; „Vyhodnocování monitorovacích postupů; „Získání možné externí unifikace jako v ujištěních od třetích stran“.

Paní Parker uvádí, že „certifikace od důvěryhodné strany je další cesta pro poskytování ověřitelných faktorů zainteresovaným stranám“. Konstatuje, že „je důležité vědět, kdo provedl práci, o jejich dovednosti a kvalifikaci a kritéria použita při prověrce“.

Rizika EDI 8 Elektronické sdílení dat (EDI) [Electronic data interchange] je systém online komunikace mezi jednotlivými počítači, která se týká informací na standardizovaných podnikatelských dokumentech napříč celým rozhraním organizace. Počítače, databáze a informační centra jsou propojena prostřednictvím veřejné nebo jiné komunikační sítě. I když se počítačovými aspekty interního auditu přímo zabýváme v kapitolách 13 až 16, považujeme za vhodné zde představit některé


139

informace o posuzování rizik v této oblasti činnosti. Zranitelnost systému EDI je vysoká, protože selhání systému v kterékoli z jeho tří částí – spuštění, přenosu a destinace znehodnotí transakce. Existuje šest oblastí rizikových faktorů; tyto faktory ve vztahu k interní kontrole a řízení jsou podrobně uvedeny v tabulce 3-1. Mezi těchto šest oblastí patří: 1. 2. 3. 4. 5. 6.

Vetřelec získává přístup k informacím Ztrácí se integrita dat Postrádá se úplnost transakce Nedostupnost systému EDI Neschopnost přenosu transakcí Nepostačující právní poradenství

Existence několika rovin interních kontrolních mechanismů má vícenásobný dopad na snížení kontrolního rizika. Selhání kontrolního rizika ve třech rovinách kontroly – administrativní, fyzické a softwarové – je vypočteno touto rovnicí: CREDI = CRA x CRP x CRS kde, CREDI = Kontrolní riziko systému EDI CRA = Kontrolní riziko, že selžou administrativní postupy CRP = Kontrolní riziko, že selžou fyzické mechanismy CRS = Kontrolní riziko, že selžou softwarové kontroly Proto, když se provedou následující úvahy: Administrativní postupy Fyzické mechanismy Softwarové kontroly nezabrání průniku

0,10 0,20 0,05

Potom zranitelnost systému se všemi třemi uplatněnými rovinami bude

0,001

Reference předkládají vynikající příklad situace, kde potenciální problém související s inherentním rizikem může vést ke ztrátě ve výši 555 493,- USD. A také, když je inherentní riziko sníženo pomocí kontroly úplnosti transakcí (se snížením rizika o 27 774,- USD) na výši 527 718,- USD.

140


Vybrané citace ze zprávy COSO uvádějí, že interní auditoři by v rámci procesu posuzování měli podniknout tyto kroky: 1. 2. 3.

Vypočítat hodnotu rizika ve finančních hodnotách. Posoudit pravděpodobnost výskytu rizika. Stanovit, jak lze snížit dopady rizika tak, aby míra rizika byla redukována na přijatelnou úroveň.

Organizace interního auditu může přispět k procesu posuzování rizika EDI tím, že vyhodnotí jak inherentní riziko, tak i interní kontrolní riziko a stanoví, zda jsou zavedeny přiměřené a účinné kontrolní činnosti k řízení rizik.

Ukázka 3-1 Rizikové faktory a kontrolní činnosti Rizikové faktory 1.

2.

Interní kontroly

Neautorizovaný vetřelec Kontrola přístupu. získává pří-stup k informacím. a. „Hacker“ získává přístup Heslo; mechanizmus zpětného volání; ID uživatele; uzamčení paměti; k informacím různé úrovně přístupu. b. Přerušení v průběhu Zlepšení ochrany kabelů; směrování zpráv přes chráněné médium; optické přenosu. kabely; kódování; vyplnění prostoru zprávy; důvěrná elektronická obálka. c. Odposlouchávání. Měřiče signálu; chránič proti únikům signálu; elektromagnetické stínění; vodiče odolné proti průnikům. Potvrzování autentičnosti dat. Ztráta integrity dat. a. Vetřelec modifikuje / Protokol pro potvrzování dat (Acknowled-gement protocol). vytvoří jiná data. b. Absence papírové auditní Komputerizovaný deník. Digitální podpisy; mechanizmus stopy. c. Chybějící fyzické podpisy. notářského ověřování. d. Chyby zavedené do systému Kontrola editace (Edit check). e. Poškození dat oprávněnými Rozdělení odpovědností; Různé účastníky. úrovně přístupu.


141

Postrádání úplnosti transakce a. Transakce v průběhu přenosu. b. Duplikace transakce v důsledku opětovaného přenosu. Nedostupnost systému EDI. a. Logické příčiny, jako jsou viry, Trojské koně, chyby programátora, chyby hardware a software. b. Přirozené příčiny, jako je oheň, povodeň, zemětřessení, výpadek elektrické energie, atd. c. Sabotáže oprávněnými účastníky.

Potvrzování dat (Acknowledgement). Totalizování balíčku (Batch totaling); sekvenční číslování. Kontrola jednotlivých položek porovnáním s kontrolním souborem.

5.

Neschopnost přenosu transakcí.

6.

Nedostatečné právní vedení.

Strukturovaný/standardizovaný formát dat Dodržování protokolu ANSI/EDIFACT. Dohoda o právních definicích, odpovědnostech a povinnostech.

3.

4.

Systémy tolerující chyby. Antivirové balíky; bezchybné hardware a software.

Zálohování na jiném místě; RAID; monitorování disku.

Školení; šíření postupů a zásad o kontrole.

Riziko podvodu ze strany managementu 9 Poslední článek o rizicích souvisejících s podvody ze strany managementu identifikuje model rizika podvodu, který mohou používat interní auditoři. Autoři doporučují využít analytický postup: 1. 2. 3.

Vytvoření kvantitativních předpokladů pro zůstatek na účtu. Vytvoření rovnováhy investigativního rizika a kvantitativní významnosti. Porovnání skutečných zůstatků na účtu s očekáváním auditora.

Autoři potom doporučují použití struktury tří prvků v procesu vyhodnocování rizik. Tyto tři prvky jsou: 1. Podmínky, které umožňují podvody ze strany managementu.

142


2. 3.

Motivace, které mohou tvořit předpoklady pro uskutečnění podvodu. Postoj managementu, který může vést management ke spáchání podvodných činů.

V každé z výše uvedených oblastí se vyskytují jak interní, tak i externí rizika. Příkladem jsou: Podmínky: Chybějící nebo slabé interní řídicí a kontrolní mechanismy Chybějící nebo slabý výbor pro audit Prudký růst Několik převládajících produktů Centralizované rozhodování Nezkušený manažer Motivace: Podporování externích investic Vykazování zvýšených výnosů Odstraňování negativního vnímání trhu Získávání finančních prostředků Vykazování souladu s finančními smlouvami Splnění cílů a záměrů Získání bonusů Postoje: Nepoctivost Nedostatek zájmu o pravidla a předpisy Nedostatek angažovanosti pro etiku Auditor by měl vytvořit model skládající se ze všech výše uvedených potenciálních náznaků situace související s podvody na jedné ose (uvedený článek významně rozšiřuje tyto materiály), jedním často citovaným je „červené označení (red flags)“ na druhé ose, a v rámci každé výsledné buňky, aby dospěl k označení potenciálních oblastí zájmu.

Vypracování plánu posuzování rizik Diskuse COSO o hodnocení rizik poukazuje na to, že záměry organizace, kontrolní systém a hodnocení rizik jsou vzájemně neoddělitelně propojeny.


143

Nelze určit riziko, pokud se neví jaké je nebezpečí. Jakmile je riziko identifikováno je jediným logickým krokem vytvoření prostředků pro jeho kontrolu. Základ pro posuzování rizik je obsažen v definici interní kontroly. Studie COSO je původem aktuální a obecně uznávaná definice interní kontroly. Interní kontrola je proces uskutečněný představenstvem, managementem a ostatními zaměstnanci organizace a je navržen tak, aby poskytoval přiměřenou jistotu pro dosažení cílů v těchto kategoriích: • Efektivnost a účinnost provozních činností. • Spolehlivost finančního výkaznictví. • Soulad s platnými zákony a předpisy. V rámci diskuse o posuzování rizik studie COSO konstatuje: Přes různorodost cílů lze stanovit některé širší kategorie: • Provozní cíle – týkají se efektivnosti a účinnosti provozních činností organizace, včetně cílů pro výkonnost a rentabilitu a ochrany zdrojů před ztrátami. Liší se podle volby managementu pro strukturu a výkonnost. • Cíle finančního výkaznictví – týkají se předkládání spolehlivých publikovaných účetních závěrek, včetně předcházení zveřejňování podvodného finančního výkaznictví. Především vychází z externích požadavků. • Cíle dodržování zákonů – tyto cíle se týkají dodržování zákonů a předpisů, kterými se organizace řídí. Závisí na externích faktorech, jako jsou předpisy o ochraně životního prostředí a jsou většinou podobné ve všech organizacích v některých případech a v odvětví v jiných případech. Tato definice kategorií cílů je výchozím bodem pro hodnocení rizik. Široké záměry poskytují kategorie, které je možné vybrousit do podrobných cílů s identifikovatelnými riziky. Když jsou rizika identifikována je možné uplatnit různé kontrolní mechanismy ke stanovení optimálního použití kontrolních postupů. Například předpokládejme, že auditor zkoumá operaci zpracování příjmů hotovosti. Šeky v částkách od několika dolarů po desítky tisíc jsou přijaty v platbách na účtu pohledávek. Platby, které přicházejí do společné poštovní přihrádky organizace, jsou odděleny od jiné pošty a jsou postoupeny oddělení

144


pro zpracování hotovosti. Toto oddělení otevře poštu a potvrdí, že šeky a průvodní platební útržky (avízo o provedené platbě) souhlasí s výší částky. Jiné oddělení připraví vklad ke konci dne a postoupí ho bance ve vaku pro noční vklady. Vklad je převeden na účet nočních investic finančních fondů („sweep“ account), který produkuje úroky. Systém uzamykatelné skříňky má banka, která provádí tyto činnosti. Auditor začíná identifikací provozních, finančních cílů a cílů dodržování předpisů této operace: • přijímat všechny platby včas (provozní cíl) • zajistit správnost dokumentů, které budou postoupeny na účet pohledávek v účetním systému (finanční cíl) • ujistit se, že splatnost šeků je omezena okamžitou indosací (provozní cíl) • chránit šeky před ztrátou nebo zneužitím (provozní cíl) • ukládat vkladové úložky v bance včas a získat maximální úrokový výnos (provozní cíl) • přesvědčit se, že informace zaúčtované na klientské účty povedou k přesnému připsání záznamů pro věkovou strukturu pohledávek a historii úvěrů klienta (provozní cíl a cíl dodržování předpisů) • stanovit osobní odpovědnost za postupy související s manipulací se šeky, aby se vyloučilo jakékoli falešné obvinění v případě ztráty nebo podvodu (provozní cíl a cíl dodržování předpisů) • poskytnout metodu pro manipulování s výjimečnými položkami a jejich schvalování (provozní a finanční cíle). • poskytnout měřítka výkonnosti oddělení a pracovníků v tomto oddělení, aby bylo možné odměnit kvalitní výkonnost a napravit nízkou kvalitu a nepřijatelně nízkou výkonnost (provozní cíl a cíl dodržování předpisů). Tyto podrobné cíle se používají k vytvoření seznamu rizik, jenž by bránily oddělení dosáhnout jeho cíl. Na příkladu dvou vybraných cílů vypracuje auditor seznam rizik: Cíl: chránit šeky před ztrátou nebo zneužitím. Rizika • Šeky jsou vystaveny ztrátě společně s běžnou poštou mezi poštovním úřadem a kanceláří pro příjem pošty v organizaci.

Část II / Techniky interního auditu • • • • •

145

Obálky obsahující platby jsou ohrožené po dobu, kdy se identifikují a rozdělují v kanceláří pro příjem pošty před jejich postoupením do zpracujícího oddělení. Šeky jsou vystaveny nebezpečí v oblasti, kde se zpracovávají až do chvíle, kdy je připraven bankovní vklad. Výjimečné položky se mohou uložit na nesprávné místo, ztratit nebo nesprávně zpracovat během jejich manipulace. Bankovní vklad se může ztratit nebo být ukraden během cesty ze zpracovatelského oddělení do banky. Zaměstnanec může být okraden na cestě do banky s vkladem.

Cíl: uložit vklady v bance včas a získat maximální úrokový výnos. Rizika • Pošta nemusí být včas vybírána z poštovního úřadu. • Platby se nebudou třídit v kanceláří pro příjem pošty a nebudou včas zasílány do oddělení zpracování. • Platby musí být zpracované předtím, než se připraví bankovní vklad jinak se vklad nedostane do banky před stanovenou hodinou 2.00 odpoledne. • Výjimečné položky se mohou zdržet a tím zabrání tomu, aby se některé šeky vložily včas a jsou vloženy až další den nebo později. • Selhání technického zařízení může zpozdit zpracování. Auditor vypracuje seznam rizik sledováním činnosti a využije analytický přístup, důvtip a představivost. Auditor stanoví, co může stát v cestě k dosažení cílů – co by mohlo selhat. Jakmile jsou rizika identifikována může auditor posoudit existující řídicí a kontrolní mechanismy a určí, zda tyto kontrolní mechanismy jsou přiměřené a adekvátní vzhledem k rizikům. Jestliže rizika nejsou adekvátně pokryta, vypracuje auditor doporučení k identifikovaným slabým místům. Auditor bude hledat optimální kontrolní strukturu. Optimum je nejlepší kontrolní struktura v těchto okolnostech a zahrnuje posouzení nákladů k výnosům. Zbývající část této kapitoly pojednává o nástrojích, které má auditor k dispozici pro identifikování a vyhodnocení cílů, rizik a kontrolních činností.

146


Řízení rizik 10 Poslední článek o rizicích předložil doporučení, aby interní auditoři pomáhali managementu ne jenom identifikováním rizikových oblastí, ale rovněž pomáhali managementu při kontrole a řízení rizika pozitivním způsobem. Autor uvádí, že riziko se obyčejně posuzuje v negativním smyslu, riziko je však podstatou podnikání a činností podnikatelského typu. Tyto činnosti obvykle používají kontrolní mechanismy k neutralizaci nadměrného rizika a pokus stanovit parametry, kde je riziko stanoveno na úrovni, kdy pozitivní aspekty převáží nad negativními. Jednoduchý příklad stanovení úvěrových limitů na prodej: stanovení přísných limitů a eliminace rizika by zabránila okrajovým prodejům, které by mohly být potenciálně zlikvidovány v průběhu normálního chodu podnikání. Auditor pomáhá managementu převzít zisková a obezřetná rizika s „přiměřenými a účinnými omezeními“. Auditoři vyhodnotí, že management využil omezení k dosažení největších přínosů pro organizaci. Tudíž se audit stává pozitivním hodnotitelem kontrolních mechanismů a pomáhá při identifikaci rizik, která je zapotřebí nést a související kontrolní mechanismy tak, aby se zlepšila činnost z pohledu příjmů a zisků. Avšak kromě posouzení rizik a pomoci managementu při konverzi rizik na prvek institucionálního příjmu by měli auditoři rozšířit oblast zájmů auditu tak, aby zahrnovala kontrolu rizik, financování rizik a správu rizik. Tudíž: Kontrola rizik: • Podporuje aktivní přístup k programu kontroly rizik a ztrát. • Poskytuje maximální pobídky pro účast na programu kontroly rizik. • Monitoruje efektivnost činností kontroly rizik. Financování rizik: • Posuzuje všechny dostupné finanční zdroje. • Zachovává ochranu před katastrofami. • Přiděluje náklady na financování rizik rovnoměrně mezi provozní jednotky. Správa rizik: • Vytváří a udržuje angažovanost managementu k řízení rizik. • Přijímá jasně definovanou strukturu řízení rizik.

Část II / Techniky interního auditu • •

147

Vypracovává jasně vybrané roční cíle. Udržuje zdravou komunikaci se všemi dotčenými úrovněmi managementu.

Proto se interní auditor v procesu posuzování rizik rovněž zabývá pozitivními aspekty řízení rizik a tím útvar interního auditu přebírá pozitivní službu a přispívá ke zlepšenému řízení.

Cíle procesu řízení rizik Při vyhodnocování procesu řízení rizik má interní auditor formulovat názor o stupni, v jakém proces dosahuje pět klíčových cílů uvedených v Doporučení pro praxi 2110-1 „Posuzování přiměřenosti procesu řízení rizik“. Tyto záměry jsou: • • •

• •

•

Rizika z podnikatelských strategií a aktivit jsou identifikována a seřazena podle priorit. Členové managementu a orgánů společnosti stanovili míru přijatelného rizika pro organizaci, včetně přijímání určitých rizik k dosažení strategických plánů organizace. Aktivity k omezení rizik jsou navrženy a zaváděny za účelem snížení rizik nebo řízení rizik jiným způsobem a to na úrovni, která byla stanovena jako přijatelná pro management a orgány společnosti. Probíhající monitorovací aktivity se provádí tak, aby periodicky posuzovaly rizika a efektivnost řídicích a kontrolních systémů pro řízení rizik. Orgány společnosti a management dostávají periodické zprávy o výsledcích procesu řízení rizik. Procesy řízení a správy společnosti by měly poskytovat zainteresovaným stranám pravidelné zprávy o rizicích, strategiích rizik a kontrolních systémech.

Analytické metody Identifikace a využití rizik při vytváření optimální kontrolní struktury vyžaduje analytické metody, nebo kombinaci metod. K těmto metodám patří:

148

Kapitola 3 / Hodnocení rizik • • • • •

Vypracování vývojových diagramů Dotazníky o vnitřní kontrole Maticové analýzy Ilustrativní metodika COSO Courtneyho metoda

Vypracování vývojových diagramů Vypracování postupových diagramů je metoda analýzy činností určená pro účinnost a kontrolu. Vývojové diagramy jsou dvourozměrným grafickým znázorněním operace z hlediska toku aktivity během procesu. Poskytnou schopnost „vidět“ operaci, identifikují neefektivnost, chybějící kroky a slabá místa v kontrole a řízení. Vývojové diagramy jsou vynikajícím komunikačním prostředkem mezi auditorem a provozními pracovníky; tak jako silniční mapa je lepším komunikačním prostředkem než slovní popis zatáček a dopravních semaforů. Vývojové diagramy rovněž nabízejí možnost prezentovat srovnatelným způsobem obraz alternativních přístupů k procesu. Vývojové diagramy představují metodu, která až do poslední doby nebyla plně využívána, protože je příliš časově náročná. V minulosti se vývojové diagramy kreslily na papíře ručně pomocí šablon z umělé hmoty, které obsahovaly tvar provozních symbolů. Finální ručně zpracovaný vývojový diagram byl často konečným produktem mnoha neúspěšných začátků a častých mazání. Ručně kreslené vývojové diagramy neposkytovaly možnost snadných doplnění a modifikací. I když byly známy všechny jejich přednosti efektivního nástroje, nebyly vývojové diagramů plně využívány, zejména pro jejich neúčinnost. Nástup osobních počítačů přispěl k účinnosti a efektivnosti vývojových diagramů. Vývojové diagramy je možné snadno kreslit, upravovat a aktualizovat s malým nebo žádným úsilím. Jednoduchý, počítačem zpracovaný vývojový diagram současné operace zpracování plateb vypadá takto:


149

Ukázka 3-2 Zpracování plateb jak bylo zjištěno v době auditu Platba obdržena do společné poštovní přihrádky organizace

Riziko – ne všechna pošta musí být zpracována pošty

Poštovní přihrádka je vyprázdněna Jediná kontrola pošty kurýrem a obsah je přenesen do z poštovní přihrádky kanceláře pro příjem pošty do kanceláře pro příjem v organizaci ve speciální schránce Pošta je roztříděna, platby jsou uloženy do speciální schránky

Není zpracován žádný součet zásilek

Riziko – ne všechny příjmy hotovosti musí být zpracovány ve správné částce Schránka je dodána do oddělení, které zpracuje její obsah Riziko – avíza o platbách nemusí být správná Ano Prověřit

Obálky se otevřou, šeky jsou Oddělení zpracovávající porovnány s platebními útržky šeky musí být chráněné Souhlasí Ano platební útržek se šekem? Riziko – náhradní platební útržek může být na Platební útržek Ne nesprávnou částku

Originální Fotokopie šek šeku k prozkoumání

Připravit bankovní vklad přičtením platby ze zásilky

Připravit náhradu platebních útržků, originál k prozkoumání

Připravit Náhradní hlavičku platební útržek zásilky se součtem, odeslat do EDP Supervizor by měl schválit všechny Aktualizace výjimečné platby pohledávek

150


Dopis pro klienta vysvětlující rozdíl a podniknuté kroky Porovnání neuplatněných žádosti o vklad

Riziko – není kontrola přijetí hotovosti

Vklad do banky

Poznámky auditora jsou na vnější straně symbolů vývojového diagramu. Auditor provádí počáteční analýzu rizik a využívá alternativní doporučení tak, že existující vývojový diagram překryje doporučeními auditu.

Ukázka 3-3 Zlepšení ve zpracování navržené auditorem Platby mají být zasílány do speciální poštovní schránky vyhrazené jenom pro platby. Jedna schránka vyhrazena pro velké platby; jiná pro menší.

Platba obdržena do společné poštovní schránky organizace

Poštovní schránka je vyprázdněna Jednotlivá kontrola Dva zaměstnanci vyprazdňují kurýrem a obsah je přenesen do pošty z poštovní schránku a berou poštu s kanceláře pro příjem pošty přihrádky do kanceláře platbami přímo do oddělení v organizaci pro příjem pošty ve na zpracování speciální schránce Pošta je roztříděna, platby jsou uloženy do speciální schránky Velké platby jsou zpracovány jako první Malé platby jsou zpracovány později

Schránka je dodána do oddělení, které zpracuje její obsah Obálky se otevřou, šeky jsou Oddělení zpracovávající porovnány s platebními útržky šeky musí být chráněné


Speciální vklady velkých šeků jsou zpracované a odnesené Ano do banky dvěma osobami před 14-tou hodinou

Souhlasí platební útržek se šekem?

Prověřit

151

Ano

Platební útržek Ne

Originální Fotokopie Připravit náhradu šek šeku k platebních útržků, Náhradní prozkoumání originál k platební útržek prozkoumání

Připravit bankovní vklad přičtením platby ze zásilky

Supervizor by měl schválit všechny výjimečné platby

Připravit hlavičku zásilky se součtem, odeslat do EDP Aktualizace pohledávek

Dopis pro klienta vysvětlující rozdíl a podniknuté kroky Vklad do banky

Auditor může mít připomínky k metodách, rizikům a kontrolním mechanismům znázorněným ve vývojovém diagramu. Auditor může vytvořit alternativní scénáře a vyzkoušet je na vývojovém diagramu předtím, než se stanou doporučením auditora. Alternativy se mohou snadno projednat s managementem, když se obrázky starého a nového scénáře mohou porovnat vedle sebe. Zrovna tak mohou být identifikovány kontrolní mechanismy a projednány z hlediska účinnosti a efektivnosti. Jakmile je vývojový diagram připraven, dá se posoudit, analyzovat a aktualizovat v budoucích auditech. Rovněž pomáhá při vypracování a vedení auditorských programů. Aktualizované vývojové diagramy se stávají součástí stálé složky.

152


Dotazníky o vnitřní kontrole V kapitole Předběžná šetření jsme pojednali o dotaznících jako o prostředku k získávání informací o úseku, která má být prošetřen a nakonec auditován. Existuje však další druh dotazníku, který běžně používají auditoři. Je znám jako dotazník o vnitřní kontrole nebo ICQ [Internal Control Questionnaire]. Liší se od otevřeného dotazníku [open-end questionnaire], který se používá při předběžných šetřeních. Otevřený dotazník klade otázky stylem, který vyžaduje, aby respondent poskytl narativní odpověď. Otevřený dotazník požaduje informace, o které si auditor rozšíří znalosti. ICQ začíná se známou nebo požadovanou odpovědí a požaduje odpověď typu „ano“ nebo „ne“ s komentářem. ICQ se dožaduje přímých a přesných odpovědí na dodržování souladu s očekávanými postupy. ICQ se používají k průběžnému vyhodnocování existujících kontrolních mechanismů a lze jich používat k rizikové analýze. ICQ se obvykle vypracují po analýze dané činnosti nebo procesu a po zjištění, jsou zavedeny příslušné kontrolní mechanismy. ICQ je tedy testem souladu, který má zajistit, že kontrolní mechanismy se stále uplatňují a je možné vyhodnotit rizika. ICQ se rovněž mohou použit jako připomínka auditorovi, že kontrolní mechanismy mají být zavedeny a testovány během realizace auditu. Část typického ICQ obsahuje následující prvky:

Otázka

Odpověď

Komentář

Metoda

Jsou šeky Ano porovnány s platebními útržky šeků? Ne

Toto je součást ujištění, že obdržená částka bude připsána ve prospěch účtu zákazníka.

Dotazování Sledování Testování

Je bankovní Ano vklad porovnán se vstupní platbou před odesláním do banky? Ne

Jestliže 2 částky nejsou Dotazování vyrovnané, je vklad Sledování ověřen a odeslán do Testování banky k připsání na účet co nejrychleji,

Provedl JEL

MRE


153

Otázky jsou zodpovězeny (podškrtnuty) „Ano“ nebo „Ne“ a jakékoli modifikující „Komentáře“ zaznamená auditor. „Metoda“ stanovení odpovědi se zaznamenává. Dotazy směrované na klienty nejsou tak požadovaným zdrojem, jako je sledování události. Zkoumání písemných důkazů, získaných během testování je žádanější než pouhé pozorování. Testování záznamů a transakcí dává příležitost k prozkoumání událostí a vyhodnocení rizik v průběhu časového úseku místo krátkého období pozorování. To je potřebné pro vyhodnocení fungování „klíčových“ kontrolních mechanismů. Sloupec „Provedl“ by měl obsahovat jméno nebo iniciály osoby, která provedla danou činnost. Prohlédnutím tohoto sloupce může auditor provádějící supervizi stanovit, zda nebyly přiděleny nějaké nekompatibilní povinnosti a pomocí analýzy může identifikovat oblasti, kdy tyto nekompatibility vedou k riziku. Skutečnost, že ICQ je předem zkonstruovaný soubor otázek zdůrazňuje, že se používá jako kontrolní seznam, který má pomoci s dalším vyhodnocením potom, co bylo provedeno počáteční posouzení rizik. Podmínky se mění, vznikají nové technologie, jsou přijaty nové zákony a předpisy a množství událostí vyžaduje další pokračování v hodnocení rizika. Co bylo provedeno a co se stále provádí nemusí být nejlepším postupem pro organizaci. ICQ se musí stále hodnotit, aby se stanovilo, že otázky a kontext, ve kterém jsou zodpovězeny, zůstává relevantní. Auditor musí zajistit, zda ICQ chápe a reaguje na změny v organizaci, v provozních metodách a současných záměrech organizace. Změny v jakékoli oblasti si žádají změny v ICQ.

Maticová analýza Maticová analýza byla představena v materiálu Počítačová kontrola a audit [Computer Control and Audit] (11). I když metodika byla představena jako koncepce auditu EDP, lze ji použít pro kontrolní analýzy v jakékoli činnosti. Kontrolní matice je nástrojem pro to, aby kontrolní mechanismy odpovídaly rizikům a zajistily, že každé riziko je ošetřeno přiměřeným kontrolním mechanismem. Kontrolní matice rovněž připouští, že daná kontrola může poskytovat ochranu více než jednomu riziku. Například, zámek chrání majetek proti ztrátě tím, že omezuje přístup. Rovněž poskytuje osobní odpovědnost za manipulaci s majetkem, protože osoba vlastnící klíč odpovídá za to, zda chybí jakýkoli majetek pod zámkem. Rozpočet stanoví záměry

154


a cíle, které mají být splnit a poskytuje měřítko na měření výkonnosti. Rovněž stanoví pravomoci manažera konat v rámci finančních omezení rozpočtu. Každý kontrolní mechanismus (Kontrola A) je navržena tak, aby chránila proti některému riziku (Riziko 1); úroveň ujištění je označována jako primární (P), protože je primární ochranou proti riziku. Kontrola (Kontrola A) může poskytovat jistý stupeň ujištění při ochraně proti jiným rizikům (Riziko 2), ale úroveň ujištění je nižší než kontrola, pro kterou byla vypracována. Tato úroveň ujištění je označována jako sekundární (S). Riziko 2 má svou vlastní primární kontrolu (Kontrola B), ale kontrola A je zálohou proti riziku 2 po dobu, kdy dělá svou práci ochrany proti riziku 1. Kontrola může poskytovat třetí úroveň ujištění při další kontrole (Riziko 3). Úroveň ujištění se označuje jako užitečná (U). Tato úroveň ujištění nestačí k tomu, abychom se spoléhali na tuto kontrolu při ochraně proti riziku 3, ale kontrola by mohla spustit červené upozornění [red flag] u rizika 3 za účelem prozkoumání. Matice rizik a kontrol pak vypadá následovně:

Riziko 1 Riziko 2 Riziko 3

Kontrola A P S

Kontrola B P

Kontrola C U U P

Příklad maticové metody může pomoci při vyjasnění těchto principů. Při komputerizované operaci jsou jistá rizika spojována s přístupem k souborům dat. Předpokládejme následující rizika a jejich primární kontroly.

1.

2.

Riziko Neoprávnění jednotlivci uvnitř organizace mohou získat přístup k počítačovým záznamům.

Primární kontrola A. Vyžaduje se uživatelské ID a heslo k získání přístupu do počítačových systémů.

Neoprávnění jednotlivci mimo organizaci mohou získat přístup k počítačovým záznamům organizace.

B. Modemové zařízení je připojeno pouze tehdy, když o přístup požádá známý vnější uživatel a je odpojen po ukončení spojení.


3.

Neoprávnění jednotlivci se mohou pokusit získat přístup k počítačovým záznamům organizace a mohou být úspěšní v budoucnosti, i když se ještě zatím nedostali dovnitř systému.

155

C. Hlášení o neúspěšných pokusech generuje bezpečnostní systém a hlášení jsou kontrolována denně pracovníkem ochrany dat.

Co tento příklad říká o kontrolním systému? Uživatelské ID a heslo (A) jsou primárními kontrolami ochrany proti neoprávněným pracovníkům uvnitř organizace, kteří se mohou pokoušet o přístup k počítačovým záznamům organizace. Odpojení modemového zařízení v době, kdy se nepoužívá (B) je primární ochranou proti vnějším vetřelcům. Nemohou získat přístup během doby, kdy je okruh zaměstnán činností s povoleným uživatelem. Když je modem odpojen po ukončení legitimní práce, neexistuje pro „hackera“ cesta, jak získat přístup. Jestliže je modem stále připojen a okruh je otevřen, další úroveň kontroly – uživatelské ID a heslo – by měly být k dispozici jako zábrana pro „hackera“ (sekundární). Na tuto kontrolu je možné se spolehnout z důvodu ochrany proti hackerům, i když byla vytvořena jako ochrana proti neoprávněným jednotlivcům uvnitř organizace (primární). Jestliže je připojen modem a hacker se pokouší proniknout po dobu několika dní, denní hlášení o ochraně dat (C) upozorní pracovníka odpovědného za ochranu dat na tyto pokusy. (užitečné) Kontrola denního hlášení o ochraně dat je užitečná při ochraně proti neoprávněným jednotlivcům uvnitř organizace, protože bude hlásit, že někdo se pokouší získat přístup s možnými uživatelskými ID a hesly. S těmito poznatky může zahájit pracovník odpovědny za ochranu dat náročné úsilí najít osobu, která se snaží o vniknutí do systému. Proč je to pouze užitečná kontrola? Hlášení nemá žádný význam, aby zabránilo přístupu k počítači. Kromě toho poukazuje na neúspěšné pokusy, kdy legitimní uživatel je na počítači prostě „tlustoprstý“ a dotkne se nesprávných tlačítek na klávese, což je neškodný omyl. Proto nemůže být považován jako spolehlivý při odhalování pokusů na okamžité bázi nebo pouze přístupu se zákeřným úmyslem.

156


Matice odhalí do hloubky potřebu kontrolních mechanismů, ale náklady na nadbytečné primární kontrolní mechanismy jsou příliš vysoké. Není nákladově efektivní instalovat vícero kontrolních mechanismů na stejné riziko v obavě, že jeden mechanismus selže. Když jsou kontrolní mechanismy nainstalovány jednotlivě, ale mohou se využívat pro více než jeden účel a poskytnou potřebnou hloubku kontroly je systém silnější bez dodatečných nákladů.

Preventivní a detekční kontroly Dalším znak, který je zapotřebí posoudit, je charakter každé kontroly – preventivní nebo detekční. Preventivní kontrola zabrání výskytu nežádoucí události. Detekční kontrola ji odhalí po výskytu, takže mohou být přijata nápravná opatření. Na příkladu výše uvedené matice představují preventivní kontrolní mechanismy dvě kontroly – heslo a odpojení modemu. „Zlí chlapíci“ nemohou získat přístup, protože se uplatňují tyto kontrolní mechanismy. Denní hlášení o ochraně dat je detekční kontrola. Odhaluje úsilí neoprávněné nebo nešikovné osoby o vstup do systému. Jestliže neoprávněný uživatel získá přístup ihned první den, prověrka následujícího ráno poskytne informaci, která může být využita při vypátrání hackera, ale až po jeho vstupu. Detekční kontrola je charakterizovaná činností po výskytu události a vyžaduje čtyři kroky aktivity. Prvním krokem je prověření, uvedení do souladu nebo průzkum za účelem stanovení toho, kde se vyskytuje problém nebo riziko. Druhým krokem je identifikace a analýza nežádoucí události nebo stavu, aby se určilo, jak k tomu došlo a co by bylo potřeba s tím udělat. Třetím krokem je náprava. Posledním krokem je kontrola nápravných opatření, abychom viděli, že nežádoucí události nebo rizika byla odvrácena nebo neutralizována. Existují další dva aspekty detekčních kontrol, které je dělají méně efektivními než preventivní kontroly. Detekční kontroly se dají díky jejich charakteru snadněji přehlídnout nebo ignorovat. Prověrky a analýzy je možné oddálit, když se zvyšují jiné tlaky a je možné je ignorovat, když osoba přidělena na tento úkol považuje tuto práci za odpornou. Za druhé, detekční kontroly se zdají být ztrátou času, když se nedá zjistit žádná nežádoucí událost. Jeden však nemůže vědět, že neexistuje žádná nežádoucí událost nebo


157

riziko až do chvíle, než je průzkum ukončen. Navzdory tomu všemu existují okolnosti, při kterých je detekční kontrola jedinou dostupnou volbou. Neexistuje žádná preventivní kontrola na ochranu proti každému možnému riziku. Například šeková knížka může být držena pod zámkem a klíč – je preventivní kontrola. To však neodstraní potřebu prozkoumat proplacené šeky z hlediska pozměnění legitimních šeků a falzifikátů využívajících padělané šeky – detekční kontrola. Preventivní kontrole (p) dáváme přednost před detekční kontrolou (d), protože preventivní kontrola je účinnější a protože je u ní menší pravděpodobnost, že bude kompromitována, přehlížena nebo ignorována. Takže matice je zlepšena, když je k analýze doplněn charakter kontroly. Předchozí příklad je použit s tím, že charakter kontroly je uveden v závorkách.

Riziko 1 Riziko 2 Riziko 3

Kontrola A P(p) S(p)

Kontrola B P(p)

Kontrola C U(d) U(d) P(d)

Při některých použitích tohoto přístupu je (p) nebo (d) umísťované do čela sloupce s identifikací kontroly. To představuje snahu je odstranit z bezprostřední oblasti posuzování po dobu, kdy se provádí analýza. Umístění charakteru s potvrzením úrovně zlepšuje účinnost a efektivnost analýzy, zvláště když matice je rozsáhlá s mnoha sloupci a s mnoha řádky.

Ilustrativní metodika COSO Studie COSO obsahuje jeden svazek s názvem Nástroje hodnocení [Evaluation Tools]. V úvodu tohoto svazku je prohlášení: Tyto nástroje jsou předkládány čistě pro ilustrativní účely. Nejsou integrální součástí Rámce [Framework] a jejich prezentace v žádném případě nenavrhuje, že všechny záležitosti, kterým se v nich věnuje pozornost mají být brány do úvahy při vyhodnocování interního řídicího a kontrolního systému nebo, že všechny tyto záležitosti musí být zahrnuty, aby byl dosažení závěr, že systém je efektivní. Podobně zde není doporučení, že tyto nástroje jsou upřednostňovanou metodou pro provedení a zdokumentování vyhodnocení. (Veškerý důraz je ze studie COSO.)

158


Citováním tohoto prohlášení nemáme v úmyslu snižovat hodnotu nástrojů hodnocení. Naopak, zatímco zde bude diskutována hodnota a užitečnost těchto nástrojů, existují tendence pohlížet na ilustrace uvedené v původní práci jako je studie COSO, jako na „jediné a pravdivé slovo“z každého hlediska. Tyto techniky však mají hodně co říci interním auditorům a ostatním o tom, jak může být kontrolní systém analyzován a jak mohou být posuzována rizika. Nástroje hodnocení obsahují dva všeobecné druhy instrumentů. Prvním jsou Nástroje pro složky [Component Tools] a druhým Pracovní formuláře pro hodnocení rizik a činností pro kontrolu a řízení [Risk Assessment and Control Activities Worksheets]. Nástroje pro složky se zaměřují na analýzu pěti složek kontrolního a řídicího systému. Jako připomínka je definice řídicích a kontrolních systému podle studie COSO tato: Interní řídicí a kontrolní systém je proces ovlivňovaný představenstvem organizace, jejím managementem a dalšími pracovníky a je navržen tak, aby poskytoval přiměřené ujištění týkající se dosažení záměrů organizace v následujících kategoriích: • Efektivnost a účinnost operací. • Spolehlivost finančního výkaznictví. • Soulad s platnými zákony a předpisy. Studie dále pokračuje: Interní řídicí a kontrolní systém se skládá z pěti vzájemně propojených složek. Tyto složky jsou odvozeny od způsobu, jakým management realizuje podnikání a jsou integrovány s řídicími procesy. Mezi tyto složky patří: • Kontrolní prostředí [Control Environment] – Jádrem jakéhokoli podnikání jsou jeho lidé – jejich individuální atributy, včetně čestnosti, etických hodnot a schopností – a prostředí, ve kterém působí. Jsou pohonem, který žene organizaci a základem, na kterém je vše postaveno. • Posouzení rizik [Risk Assessment] – Organizace si musí být vědoma problémů s riziky, kterým čelí. Musí stanovit záměry, integrované s prodejem, výrobou, marketingem, finančními a ostatními činnostmi tak, aby celá organizace fungovala


•

•

•

159

v souladu. Rovněž musí stanovit mechanizmus k identifikaci, analyzování a řízení souvisejících rizik. Kontrolní činnosti [Control Activities] – Kontrolní zásady a postupy musí být zavedeny a prováděny tak, aby zajistily, že se efektivně provádí činnosti identifikované managementem jako nevyhnutelně potřebné ke sledování rizik při dosahování záměrů organizace. Informování a komunikace [Information and Communication] – Informační a komunikační systémy obklopují tyto aktivity. Umožňují lidem v rámci organizace zachytit a předávat si informace potřebné k podnikání, řízení a kontrole jejich činností. Monitorování [Monitoring] – Celý proces musí být monitorován a modifikace prováděny podle potřeby. Tímto způsobem může reagovat systém dynamicky a měnit se podle potřeby změněných podmínek.

Nástroje pro složky jsou vytvořeny tak, aby vyhodnocovaly každou výše uvedenou složku ve struktuře organizace. Každá složka je rozdělena na podstatné problémy, kterým se říká „body zaměření pozornosti“ („Points of focus“). Jsou dále vypilovány do specifických příkladů aplikace, které mohou být prozkoumány a připomínkovány. Příklad takového přístupu je uveden v části pracovního formuláře pro kontrolní prostředí pod hlavičkou Zaměření na schopnosti [Commitment to Competence]. První stupeň pracovního formuláře pro kontrolní prostředí v rámci Nástroje pro složky obsahuje podstatné problémy (zaměření na schopnosti) a body zaměření pozornosti, které jsou prostředkem používaným pro měření dosažených výsledků při podstatných problémech. Pracovní formulář vypadá takto:

160


Ukázka 3-4

Zaměření na schopnosti Management musí specifikovat úroveň schopností potřebných pro určité práce a převést potřebné úrovně schopností do nezbytných znalostí a dovedností. • Formální nebo neformální popisy práce nebo jiné prostředky pro definování úkolů, které tvoří určité pracovní povinnosti. Například berte do úvahy, zda: • Management analyzoval na formální nebo neformální bázi úkoly, které tvoří určité pracovní povinnosti, vzal do úvahy tyto faktory jako rozsah, ve kterém jednotlivci musí uplatňovat svůj úsudek a vyžadovaný rozsah jejich supervize. • Analýza znalostí a dovedností potřebných pro adekvátní provádění práce. Například berte do úvahy, zda: • Management stanovil adekvátní rozsah znalostí a dovedností potřebných pro provádění určitých pracovních povinnosti. • Existují důkazy udávající, že se zdá, že zaměstnanci mají nezbytné znalosti a dovednosti.

Závěry / Potřebná opatření

Když auditor dokončí vyhodnocení každého bodu zaměření pozornosti, zaznamená svá zjištění. Zjištění jsou zaznamenána do každého bodu zaměření pozornosti a souhrnné závěry a doporučení o celém podstatném problému. Vyplněný vzor formuláře Zaměření na schopnosti vypadá takto:


161

Ukázka 3-5 Zaměření na schopnosti Zjištění Management musí specifikovat úroveň schopností potřebných pro určité pracovní povinnosti a převést potřebné úrovně schopností do nezbytných znalostí a dovedností. • Formální nebo neformální popisy práce nebo Firma má formální popisy jiné prostředky pro definování úkolů, ktepráce v písemné formě pro ré tvoří určité pracovní povinnosti. Například všechny pracovníky supervize berte do úvahy, zda : a pro práce zabývající se • Management analyzoval na formální nebo jenom několika specifickými neformální bázi úkoly, které tvoří určité úkoly, pracovní povinnospracovní povinnosti, vzal do úvahy tyto faktory ti jsou jasně komunikovány. jako rozsah, ve kterém jednotlivci musí uplatňovat svůj úsudek a vyžadovaný rozsah jejich supervize. • Analýza znalostí a dovedností potřebných pro Popisy práce specifikují adekvátní provádění práce. Například berte potřebné znalosti a dovednosti do úvahy, zda: buď obecně nebo z hlediska • Management stanovil adekvátní rozsah znacharakteru a rozsahu lostí a dovedností potřebných pro provádění vzdělání, školení a rozhod nutí určitých pracovních povinností o povýšení. • Existují důkazy udávající, že se zdá, že zaměstnanci mají nezbytné znalosti a dovednosti.

Závěry / Potřebná opatření Existence písemných popisů práce a definovaných úkolů a parametrů (např.:vzdělání, školení) demonstruje jasné zaujetí managementu ve prospěch schopností. Management by měl zvážit formální popisy práce pro pracovníky mimo oblast supervize.

Pracovní formulář vyhodnocení rizik a kontrolních aktivit se používá k vyhodnocování specifických záměrů, rizik a kontrol. Dispozice pracovního formuláře vede toho, kdo si ho připraví analytickým procesem. Obsahuje níže uvedené kroky:

162


Ukázka 3-6

Cíle O, F, C

Formulace konečného cíle, který je dostatečně konkrétní, aby se dal analyzovat. Kategorie širších cílů: provozních (O), finančních (F) a dosažení souladu (C), které se uplatňují u těchto podrobných cílů.

O[operational];F[finan cial];C[compliance]; Analýza rizik

Rizikové faktory Pravděpodobnost Opatření / Kontrolní činnosti / Komentář Další dotčené cíle

Hodnocení a závěr

Specifická rizika, která mohou zabránit dosažení podrobných cílů. Pravděpodobnost výskytu rizik na stupnici nízká, střední a vysoká. Konkrétní kontrolní činnosti, které mohou zabránit odhalení rizika, pokud se vyskytne. Křížové reference na všechny ostatní cíle, které budou ovlivněny tímto rizikem nebo kontrolní činností. Posouzení efektivnosti kontroly při ošetření rizika, které ohrožuje dosažení cíle.

Aplikaci tohoto systému analýzy je možno nejlépe pochopit na příkladu. Následující body jsou převzaty ze svazku Nástroje hodnocení COSO. 12


163

Ukázka 3-7

Cíle

Všechny obdržené materiály jsou přesně zaznamenány. Provozní, finanční a dosažení souladu.

Analýza rizik

Rizikové faktory

Skutečně obdržená množství se nemusí rovnat množstvím uvedeným na objednávce nebo v přepravních dokumentech prodejce.

Pravděpodobnost

Středně vysoká

Opatření / Kontrolní činnosti / Komentář

Další dotčené cíle

Obdržené zboží je přepočítáno, zváženo, nebo jinak ověřeno co do množství. Příjmové doklady se podruhé namátkově sčítají supervizorem přijímajícího oddělení. Obdržená množství se na základě hlášení o porovnají s přepravními doklady prodejce a objednávkou. Chybějící materiály se zaznamenají na dokladu o přijetí a jakýkoli přebytek materiálu je odmítnut. V případě přebytku materiálu je doklad podepsán zástupcem dopravní organizace k navrácení prodejci. Dokumentace je předána oddělení závazků k dalšímu zpracování a kontrolní činností. Výrobní záměr č.10 (popsaný v předchozím postupu Studie COSO). Kontroly jsou dostatečné pro dosažení cílů.

Hodnocení a závěr Aplikace tohoto přístupu je poměrně jasná. Každý krok logicky vyplývá z předchozího kroku: • cíl je identifikován; identifikace rizik je stává celkem snadnou, • po identifikaci rizika je možné určit historickou pravděpodobnost jeho výskytu.

164

Kapitola 3 / Hodnocení rizik • • •

když se poznají rizika, dají se identifikovat kroky – kontrolní činnosti – k ochraně proti nim vztah mezi riziky a kontrolní činností k jiným cílům se dá zjistit hledáním stejných rizik nebo kontrolních činnosti v jiných cílech – podobné jako maticová metoda. nakonec se formuluje závěr o efektivnosti kontroly. Auditoři to zjistí, protože při auditu dojdou k závěru u každého testu řídicích a kontrolních systémů.

Když jsou provedeny analýzy cílů, rizik a kontrolních činností, je auditorský program pohromadě k testování kontrolní činnosti. Efektivnost kontrolní činnosti je určena analýzou rizik. Audit je testem výkonnosti; to znamená, zda kontrolní činnost funguje tak, jak byla navržena. Závěry auditu budou měřítkem kvality této výkonnosti.

Courtneyhova metoda Jedna zajímavá a jednoduchá technika posuzování, která souvisí s náklady na kontrolu, byla vymyšlena Robertem Courtneyem v době, když pracoval pro Divizi komunikace systémů IBM13. Technika se zabývá výpočtem, kde dolarové hodnoty jsou připsány potenciálním rizikům a jsou provedeny odhady frekvence s jakou mohou tato rizika způsobit obtíže. V případě použití takového přístupu, měli by se snažit interní auditoři o doodu s managementem ohledně přidělených hodnot a odhadnuté frekvence. Ty mohou být subjektivní, ale konsensus může vést k přijatelnému stupni spolehlivosti. Je možné argumen-tovat, že využití metody, která explicitně vyžaduje odhady je lepší, než vůbec žádné odhady. Potenciální dopad události je dán hodnotou (v) [value] od 1 do 7: Částka v 10 = 1 100 = 2 1 000 = 3 10 000 = 4 100 000 = 5 1 000 000 = 6 10 000 000 = 7 Odhadnutá frekvence výskytu má přidělenu známku (p) od 1 do 8: USD


Frekvence Jednou za 300 let = Jednou za 30 let= Jednou za 3 roky= Jednou za 100 dní = Jednou za 10 dní = Jednou za den = 10 krát za den = 100 krát za den =

165

p 1 2 3 4 5 6 7 8

Následující vzorec vyčísluje odhadnuté ztráty v dolarech za rok (E) pro přidělenou částku a frekvenci v případě výskytu nežádoucí události: (p+v-3) E = 10 3 Například předpokládáme, že nějaká katastrofická událost může stát firmu 1 milión USD a může nastat jednou za 30 let. Potom v = 6 a p = 2. Řešení by proto bylo následující:

E = 10 000

(2+6-3) 5 = 10

=

100

= 33 333 USD

3 3 3 Tedy veškeré řídicí a kontrolní mechanismy k ochraně proti tomuto riziku by měly ročně stát méně než 33 333 USD. Jestliže se interní auditoři nebo manažeři, nebo obě strany společně, shodnou na dolarových hodnotách pro dopady nežádoucího výskytu a jestliže mohou stanovit, jak často se tento výskyt může opakovat, mohou dospět k potenciálním roční ceně rizika. Tato cena se potom může porovnat s cenou na kontrolní mechanismy navrhnutými ke snížení rizika. Rozhodnutí o tom, zda kontrolovat nebo nekontrolovat a kolik se má kontrolovat je potom možné potvrdit matematicky.

Jiná metoda přidělování hodnot Jiná jednodušší metoda přidělování hodnot bere v úvahu pouze odhad ztráty, nikoli riziko výskytu. Říká se jí „očekávaná hodnota“.

166


Předpokládejme, že hodnota majetku činí 100 000 USD. Existuje dostatečná kontrola nad majetkem, která bude bít na poplach a vyšle varovné signály, když by došlo ke ztrátě vysokého procenta majetku. Je však možné, že menší procento unikne pozornosti existujícím kontrolním mechanismům. Auditor tedy, snad za asistence provozního managementu, stanoví 5 % pravděpodobnost ztráty ve výši 15 000 USD, 10 % pravděpodobnost ztráty ve výši 10 000 USD, 25 % pravděpodobnost ztráty ve výši 5 000 USD a 50 % pravděpodobnost ztráty ve výši 1 000 USD. Na základě těchto odhadů činí „očekávaná hodnota“ ztráty 3 500 USD, a je vypočtená takto: Odhadnutá částka Pravděpodobnost ztráty hodnota USD 15 000 USD 750 10 000 1 000 5 000 1 250 1 000 500 Celková očekávaná hodnota USD 3 500

Očekávaná ztráty 5

%

10

%

25

%

50

%

Budou-li zavedeny vylepšené kontroly za méně než USD 3 500, pak jsou finančně možné. Budou li náklady vyšší, pak je zapotřebí hledat méně nákladné kontroly nebo toto riziko akceptovat.

Systémy vyhodnocování rizik Za účelem snížení rizik a zlepšení účinnosti vytvořily některé organizace systém vyhodnocování rizik na základě odpovědí na otázky, ke kterým dospěly jako k významným determinantům rizika. Takové otázky jako ty, uvedené již dříve v této kapitole se osvědčily v předchozí praxi a během diskusí s managementem a s pracovníky interního auditu. Klíčovým aspektem je stanovení specifických odpovědí a jejich váhy. Například organizace musí brát do úvahy, jaké objemy transakcí představují potenciální indikátory. To se může lišit podle velikosti organizace. Váhy jsou přiděleny těmto odpovědím


167

je stanovena metodika pro shrnutí odpovědí. V závislosti na zkušenostech současné situaci mohou mít některé otázky vyšší váhu než jiné. Například citlivost informací může mít vyšší váhu než při poslední prověrce. Rizikové skóre (počet bodů) konkrétní situace se vyhodnocuje ve srovnání se všemi ostatními rizikovými skóre a používá se k vypracování plánu auditu. Některé organizace využívají tyto modely ke stanovení počtu hodin, jež se mají odpracovat na zakázce. Organizace, která vypracovává takové programy věří, že získané přínosy jasně převáží nad náklady a umožní objektivnější přístup k hodnocení rizik. Existují však organizace, které věří jinak a pokud používají dotazníky nechávají na auditorovi, aby došel k určení založenému na jeho nebo jejím hodnocení odpovědí v dotazníku.

Úvahy o poskytování informací o rizicích 14 Autor analyzuje FASB 5 a ACSEC SOP 94-6 pro popisný jazyk, o který by měli projevit zájem interní auditoři. Organizační riziko by se mělo členit na : Riziko provozních činností [Operations risk], Riziko odhadu [Estimation risk] a Riziko koncentrace [Concentration risk]. Riziko provozních činností se vztahuje na ty případy rizik, která souvisí s výrobou, prodejem a spravováním organizace. Zahrnuje jak interní, tak i externí rizika. Riziko odhadu se vztahuje na odhady, které se použily při přípravě finančních (a provozních) výkazů a zpráv. Riziko koncentrace se týká koncentrace jak zákazníků, prodejců, druhů produktů, tak trhů. Existují další podstatné detaily týkající se každé z těchto oblastí; tyto detaily jsou zvažovány nad rámec záměrů této knihy. Čtenář najde odkazy na citovaný článek a velký počet citovaných referencí. Rovněž se věnujeme pravděpodobnosti výskytu události. Autor cituje z jiného zdroje, aby mohl navrhnout použití tří výrazů:

168


Rozsah Vzdálená [Remote] – pravděpodobnost je malá 0 – 15% Přiměřeně možná [Reasonably possible] – více než vzdálená, méně než značná 20 – 50% Pravděpodobná [Probable] – pravděpodobnost je značná 50 – 90% Použitý odkaz SOP 94-6 rovněž zavádí několik nových termínů do lexikonu účetnictví a auditu: Blízké období [Near term] – nepřekročí jeden rok od data výkazu (nebo zprávy) Závažný dopad [Severe impact] – použito ve vztahu k citlivosti organizace na ohrožení jistou koncentrací. I když materiál může narušit normální fungování organizace, atd. to je však menší než katastrofické. Autor doporučuje, i když přijetí výše uvedené taxonomie závisí na rozhodnutí managementu organizace, že by bylo vhodné a užitečné ji uplatňovat při interním auditu tak, aby se zajistilo pochopení srovnatelného stupně a subjektivního pohledu.

Potřeba několika nástrojů Neexistuje jediný, dokonalý nástroj posuzování rizik nebo měření efektivnosti řídicích a kontrolních mechanismů. Obdobně jako brašna s nářadím tesaře obsahuje mnoho nástrojů a každý má specifický účel musí auditorova brašna s nářadím obsahovat různé nástroje pro různé účely. • •

•

SAS [Statement on Auditing Standards] poskytuje auditorovi vnitřní pohled na vyhodnocování charakteru rizik a řídicích kontrolních systémů v organizaci. Vývojový diagram je nejcennější během předběžného šetření, kdy auditor se snaží o pochopení procesu. Získání obrazu o řídicích a kontrolních mechanismech a o jejich umístění kontrol je nezbytné pro vypracování hodnocení rizik. Nástroje hodnocení COSO jsou cenné pro hodnocení rizik ve struktuře kontroly a řízení a posuzování rizik provozních činností.

Část II / Techniky interního auditu •

169

Maticová analýza je cenný nástrojem při dalším kroku hodnocení. Určuje vztah mezi konkrétními riziky a řídicími a kontrolními mechanismy a měří rozsah pokrytí kontrolními mechanismy.

Tyto čtyři nástroje poskytují základní informace pro vypracování auditorského programu formou dotazníků o vnitřní kontrole ICQ a testovacích postupů. Postupy jako je Courtneyho metoda poskytují auditorovi kvantitativní techniky, které mohou být užitečné při hodnocení rizik. Dobře připravený auditor bude mít správně vybavenou brašnu s nástroji a dovednosti tak, aby z této brašny použil několik nástrojů. I když nově vypracované standardy uvádějí, že je zapotřebí provádět hodnocení rizik (Standard 2210.A1), je ve standardu málo návodů a rovněž v Doporučení pro praxi (2210.A1-1) pokud jde o metodiku nebo postupy, které se mají dodržovat. Návody jsou však dostupné v SIAS 9 o Hodnocení rizik a v současné literatuře o posuzování rizik.

Závěrečný komentář Gregg R. Maynard shrnul pozitivní přístup k úvaze o rizicích prohlášením:15 „Holistické strategie řízení rizik odsunuly bokem tradiční myopické (krátkozraké) zaměření pohledu interního auditora na kontrolu rizik ze spodní strany. Plně integrovaná činnost auditu nyní chápe a přijímá riziko, jako zdroj zisku“. Výsledky empirického průzkumu na poli finančnictví načrtly 12 kroků „nejlepší praxe“, o kterých se Maynard domnívá, že by mohla organizace přijmout tak, aby vypracovala pozitivní, plně integrovaný přístup managementu. Mezi 12 kroků nejlepší praxe patří: •

Kombinace objektivní a subjektivní analýzy auditorského prostoru za účelem odhalení priorit auditu.

170

Kapitola 3 / Hodnocení rizik • • • • • • • • • • •

Analýza schopností managementu dosáhnout vytčených cílů a záměrů při slovním popisu situace před auditem [pre-audit narrative] Používání dotazníků pro průzkum interních řídicích a kontrolních mechanismů odshora dolů. Analýza procesu pro stanovení a dohlížení na limity rizik. Prověřování dalších funkcí řízení rizik, jako je pokladna, dodržování souladu s předpisy a kontrola účetnictví Dodržování procesu strategického plánování a jeho výsledků. Vyhodnocování strategických iniciativ. Integrování auditorských činností. Založení auditorského procesu na čistém účinku míry rizika a na kompenzačních řídicích a kontrolních systémů. Partnerství s managementem poskytováním konzultačních služeb a informací přidávajících hodnotu. Prověřování etiky a základních prvků interních řídicích a kontrolních mechanismů. Provádění souhrnného auditu celého programu řízení rizik.

Tento vzor předpokládá, že celá struktura řízení rizik může sloužit dobru a pokroku organizace jako produktivní příspěvek přidávající hodnotu. Interní auditoři hrají významnou roli v této činnosti.


171

Odkazy (1)

(2) (3) (4)

(5) (6) (7) (8) (9)

(10) (11) (12) (13)

(14)

(15)

Výbor sponzorujících organizací Treadwayovy komise (Committee of Sponsoring Organizations of the Treadway Commission), Internal Control – Integrated Framework (Jersey City, NJ: COSO, 1992), str. 29. Zákon o zlepšení federálního pojištění korporací přijímajících vklady (Federal Deposit Insurance Corporation Improvement) z roku 1991. McNamee, David a Georges Selim, „Další krok v řízení rizik“ (The Next Step in Risk Management), Internal Auditor, červen 1999, str. 35-38. Reding, Kurt F., Craig H. Barber a Kristine K DiGirolamo, „Vytvoření inventáře podnikatelského rizika“ [Creating a Business Risk Inventory], Internal Auditor, únor 2000, str. 47-51. Bellman, Carl E. a Richard D. Rees, „Restrukturalizace hodnocení rizik“ [Reengineering Risk Assessment], Internal Auditor, říjen 1998, str. 24-31. Doyon, Michael, „Naladěn na poslech managementu“ [Tuned in to Management], Internal Auditor, prosinec 1996, str. 36-41. Parker, Xenia Lay, Prvotní informace o posuzování rizik, [Primer on Risk Assessment] (Altamonte Springs, FL: The Institute of Internal Auditors, 2001). Aggarwal, Rajesh a Zabihollah Pazaee, „Posuzování rizik EDI“ [EDI Risk Assessment], Internal Auditor, únor 1996, str. 40-44. Green, Brian P. a Thomas G. Calderon, „Důvěrnost informací a posouzení rizikových faktorů podvodu interními auditory“ [Information Privity and the Internal Auditor´s Assessment of Fraud Risk Factors], Internal Auditing, jaro 1996, str. 4-10. Bernens, Robert L., „Největší malá skulina ve firemním brnění“ [The biggest Little Chink in the Corporate Armor], Internal Auditor, únor 1997, str. 38-46. Wood, D.R., W.C.Mair a K.W.Davis, Počítačová kontrola a audit [Computer Control a Audit] (Altamonte Springs, FL: The Institute of Internal Auditors, 1972). Kapitola 4. Op. Cit., str. 184-185. Courtney Jr., R.H., „Posouzení rizik bezpečnosti v systému elektronického zpracování dat“ [Security Risk Assessment in Electronic Data Processing Systems] TR 21.700 (Kingston, NY: IBM Systém Communications Division, 1978). Baker, C.Richard, „Větší zveřejnění informací o rizicích a nejistotách: důsledky pro interní auditory“ [Increased Disclosure About Risks and Uncertainties: Implications for Internal Auditors], Internal Auditing, listopad – prosinec 1998, str. 3-13. Maynard, Gregg R., „Přijetí rizika“ [Embracing Risk], Internal Auditor, únor 1999, str. 2428.

Část II Techniky interního auditu

Recommend Documents