COSO 2013 od teorie k praxi

COSO 2013 od teorie k praxi ČIIA, klubové odpoledne Praha, 19.6.2014 Ing. Bohuslav Poduška, CIA ředitel úseku interní audit Česká spořitelna, a.s.

Internal Control - na úvod - sjednocení názvosloví Internal Control – různé překlady   

vnitřní řízení vnitřní kontrola řízení podnikových rizik

rámec COSO = řídicí a kontrolní systém

„Internal Control (řídicí a kontrolní systém) je proces (systém) ovlivňovaný představenstvem společnosti, vedením a dalšími pracovníky, s cílem poskytnutí přiměřené jistoty při dosahování cílů týkajících se provozu (výkon), reportingu (informace) a compliance (soulad).“

COSO 2013 – aktualizace rámce strana 2

Internal Control - Integrated Framework - vývoj

www.coso.org

 1992 – vznik – COSO „… rámec, který měl pomáhat podnikům a jiným subjektům při posuzování a vylepšování vnitřních kontrolních systémů“

 2004 – COSO (II) ERM „… rámec, který by mohl být využíván managementy firem pro hodnocení a zlepšení řízení podnikových rizik“

 2009 - Guidance on Monitoring Internal Control Systems „… pomoci organizacím při sledování kvality jejich ŘKS…“ „… podpora k zajištění vyhodnocování ŘKS v celém jeho rozsahu …“

COSO 2013 – aktualizace rámce strana 3

Internal Control - Integrated Framework 2013 - od záměru k publikaci   

18.11.2010 do 31.1.2011 19.12.2011

 14.5.2013

- informace o přípravě revize rámce COSO - celosvětový on-line průzkum - tisková zpráva o připravené aktualizaci rámce COSO - veřejná konzultace do 31.3.2012 - www.ic.coso.org - publikace aktualizovaného rámce

Hlavní důvody pro aktualizaci rámce od 05/2013 - očekávání orgánů dohledu - globalizace trhů a operací - různé obchodní modely a organizační struktury - požadavky a složitost práva, pravidel, regulace a standardů - rostoucí rozvoj technologií - vývoj v oblasti detekce a prevence korupčních jednání COSO 2013 – aktualizace rámce strana 4

Internal Control - Integrated Framework 2013 - konstrukce rámce  5

prvků kontrolní (řídicí) prostředí řízení rizik systém vnitřní kontroly informace & komunikace monitoring

 17 zásad

základ konceptu každého prvku ŘKS

 81 faktorů

vlastnosti jednotlivých zásad

COSO 2013 – aktualizace rámce strana 5

Internal Control - Integrated Framework 2013 - zásady Kontrolní prostředí

Prosazování integrity a etických hodnot Odpovědnost při výkonu dohledu Organizační struktura, pravomoci a odpovědnosti Prokázání způsobilosti pro výkon Podpora odpovědnosti

Řízení rizik

Specifikace rizik při dosahování cílů Identifikace a analýza rizik Vyhodnocování rizik podvodného jednání Identifikace a analýza významných změn

Systém vnitřní kontroly

Zavedení a rozvoj kontrolních činností Zavedení a rozvoj kontrolních činností nad technologií Začlenění kontrolních činností do politik a procedur

Informace & Komunikace

Monitoring COSO 2013 – aktualizace rámce strana 6

Využívání relevantních informací Interní komunikace Externí komunikace Provádění průběžného a samostatného vyhodnocení ŘKS Vyhodnocení a komunikace nedostatků

Internal Control - Integrated Framework 2013 - kontrolní prostředí – 21 faktorů Kontrolní prostředí

Prosazování integrity a etických hodnot Odpovědnost při výkonu dohledu Organizační struktura, pravomoci a odpovědnosti Prokázání způsobilosti pro výkon Podpora odpovědnosti

Organizace prosazuje integritu a etické hodnoty: • • • •

udávání tónu shora zavedení standardů chování (etického kodexu) vyhodnocení dodržování standardů chování (etického kodexu) včasná identifikace odchylek od standardů chování (etického kodexu)

COSO 2013 – aktualizace rámce strana 7

Internal Control - Integrated Framework 2013 - řízení rizik – 19 faktorů Řízení rizik

Specifikace rizik při dosahování cílů Identifikace a analýza rizik Vyhodnocování rizik podvodného jednání Identifikace a analýza významných změn

Organizace identifikuje a analyzuje změny, které mohou mít významný dopad do řídicího a kontrolního systému: • • •

analýza změn v externím prostředí analýza změn v obchodním modelu analýza změn ve vedení

COSO 2013 – aktualizace rámce strana 8

Internal Control - Integrated Framework 2013 - systém vnitřní kontroly – 16 faktorů Systém vnitřní kontroly

Zavedení a rozvoj kontrolních činností Zavedení a rozvoj kontrolních činností nad technologií Začlenění kontrolních činností do politik a procedur

Organizace zavede a rozvíjí všeobecné kontrolní činnosti nad technologií k podpoře dosažení cílů řídicího a kontrolního systému: • • • •

určení závislosti mezi užíváním technologie v obchodních procesech a obecnými technologickými kontrolami zavedení příslušných kontrolních činností nad technologickou infrastrukturou zavedení příslušných kontrolních činnosti do procesu řízení bezpečnosti zavedení příslušných kontrolní činnosti nad procesem pořizování, rozvoje a údržby technologie

COSO 2013 – aktualizace rámce strana 9

Internal Control - Integrated Framework 2013 - informace & komunikace – 14 faktorů Informace & Komunikace

Využívání relevantních informací Interní komunikace Externí komunikace

Organizace komunikuje s externími partnery k podpoře funkčnosti ostatních prvků řídicího a kontrolního systému: • • • • •

komunikace k externím stranám komunikační kanál směrem dovnitř zvláštní komunikační linky komunikace s představenstvem výběr náležitých metod komunikace

COSO 2013 – aktualizace rámce strana 10

Internal Control - Integrated Framework 2013 - monitoring – 11 faktorů Monitoring

Provádění průběžného a samostatného vyhodnocení ŘKS Vyhodnocení a komunikace nedostatků

Organizace vyhodnocuje a komunikuje nedostatky v ŘKS odpovědným stranám, včetně vrcholného vedení a představenstva, ke včasnému přijetí nápravných opatření, přiměřeně k okolnostem: • • • •

hodnocení výsledků komunikace nedostatků managementu podávání zpráv o nedostatcích vrcholnému vedení a představenstvu sledování plnění nápravných opatření

COSO 2013 – aktualizace rámce strana 11

Řídicí a kontrolní systém - metodicky, obecně, např.  zákon č. 21/1992 Sb., o bankách  vyhláška č. 23/2014 Sb., o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry

 Basilejský výbor pro bankovní dohled - Rámec řídicího a kontrolního systému v bankách (Framework for internal control systems in banking organisations), září 1998 - Zásady pro zlepšování správy a řízení společnosti (Principles for enhancing corporate governance), říjen 2010  Evropská komise - Green Paper KOM(2010)284 v konečném znění „Správa a řízení podniku ve finančních institucích a politika odměňování“ COSO 2013 – aktualizace rámce strana 12

Corporate governance v praxi - nezávislost interního auditu Působení interního auditu musí být nezávislé a interní auditoři musí při výkonu své práce postupovat objektivně.

COSO 2013 – aktualizace rámce strana 13

Plánování interního auditu v praxi - tvorba plánu  strategický plán = na 4 roky, periodický plán = na 1 rok  podklady pro plán     

požadavky z regulace analýza rizik, Karta rizik požadavky od IA EGB náměty od manažerů a členů orgánů banky poznatky z vlastní činnosti interního auditu (monitorování)

 projednání a schvalování plánů a jejich změn v orgánech banky

COSO 2013 – aktualizace rámce strana 14

Plánování interního auditu v praxi - pokrytí rizik a kontrolních mechanismů - Karta rizik - evidence kontrolních mechanismů - zefektivnění procesu řízení rizik - podpora plánování a činnosti interního auditu - vlastník = manažer útvaru - specializovaná aplikace v Intranetu

COSO 2013 – aktualizace rámce strana 15

Souhrnné vyhodnocení ŘKS - požadavek bankovní regulace „Osoba ve vedení funkce vnitřního auditu předkládá alespoň jednou ročně řídicímu a kontrolnímu orgánu, případně výboru pro audit, k projednání souhrnné vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému povinné osoby.“  Dozorčí rada dohlíží, zda řídicí a kontrolní systém je účinný, ucelený a přiměřený, a poznatky z této činnosti alespoň jednou ročně vyhodnocuje.  Výbor pro audit hodnotí účinnost vnitřní kontroly společnosti, vnitřního auditu a případně systémů řízení rizik.  Představenstvo při každé zásadní změně v situaci povinné osoby, alespoň však jednou ročně, vyhodnocuje celkovou funkčnost a efektivnost řídicího a kontrolního systému a zajistí vhodné kroky k nápravě takto zjištěných nedostatků.

COSO 2013 – aktualizace rámce strana 16

Souhrnné vyhodnocení ŘKS v praxi - jak k tomu přistupujeme    

realizace 1x v roce k datu 31.12. specifický rozsáhlý dotazník sběr informací v útvarech banky a dalších subjektech fin.skupiny sběr informací z dalších zdrojů (audity, zápisy z jednání orgánů společností…)  zpracování souhrnné zprávy  projednání souhrnné zprávy v orgánech banky ŘÍZENÍ RIZIK 10

Procesy a postupy pro řízení rizik

10.1

Je v ČS zajištěn soustavný výkon funkce řízení rizik?

10.2

Obsahuje strategie řízení rizik náležitosti v souladu s § 30 vyhl.č. 23/2014 Sb.?

10.3

Je zajištěno pravidelné vyhodnocování a aktualizace strategie řízení rizik?

10.4

Považujete nastavený systém řízení rizik v ČS za vyhovující?

10.5

Jak hodnotíte spolupráci s dceřinými společnostmi v oblasti řízení rizik?

10.6 10.7

Jakým způsobem byli se strategií řízení rizik seznámeni zaměstnanci, jejichž činnost má vliv na řízení rizik? Splňuje proces řízení úvěrového rizika požadavky na řízení úvěrového rizika podle přílohy č. 3 k vyhl.č. 23/2014 Sb.?

COSO 2013 – aktualizace rámce strana 17