Část I / Úvod do interního auditu
61
Kapitola 2 Řízení a kontrola Řídicí a kontrolní systém znamená pro interního auditora něco jako heslo „Sezame, otevři se!“ Řízení a kontrola a rovněž řídit a kontrolovat ve formě podstatných jmen a sloves jsou dvě úrovně každého systému. Most mezi auditorem a klientem auditu. Přístup k řídicím a kontrolním mechanismům a podávaní zpráv. Definice řízení a kontroly: původ, veřejní účetní, interní auditoři. SAS 78 rozšiřuje pojetí interní kontroly. Účel řízení a kontroly: dosažení cílů. Modely interní kontroly. Pojetí COSO. Model CoCo. Řízení a kontrola definované ve studii SAC. Řídicí a kontrolní mechanismy k prevenci, odhalování a nápravě. Eliminování pravděpodobnosti, nikoliv možnosti provedení kontroly. Přínosy kontroly. Kontrolní systémy. Otevřené a uzavřené systémy. Cíle, standardy, srovnání, nápravná opatření. Uzavřená smyčka nebo systémy se zpětnou vazbou. Složky systémů. Důležitost řízení a kontroly. Standardy interní kontroly. Odpovědnost managementu za řízení a kontrolu. Prostředky na zajištění řízení a kontroly. Charakteristika řízení a kontroly. Problémy s řízením a kontrolou. Lidský faktor. Jak zajistit řízení a kontrolu: organizace, zásady, postupy, zaměstnanci, účetnictví, sestavování rozpočtu a podávaní zpráv. Dopady regulace na řízení a kontrolu. Kanadské zákony. Role interního auditora. Interní řídicí a kontrolní systémy v účet-
62
Kapitola 2 / Řízení a kontrola
nictví – cyklický přístup. Dopady restrukturalizace na interní řídicí a kontrolní mechanismy. Redukce řídicích a kontrolních mechanismů – virtuální organizace. Audit řídicích a kontrolních systémů. Audity podle COSO. Provozní řídicí a kontrolní systémy. Čtyři funkce managementu při řízení a kontrole. Proč řídicí a kontrolní systémy selhávají. Nadbytečné řízení a kontroly.
Význam řídicích a kontrolních systémů pro interního auditora Komplexní audit vede interní auditory do neznámé oblasti. Jsou konfrontování s obory a technikami mimo jejich technických znalostí. Není možné, aby se stali okamžitě experty na reklamu, zemědělství, celní poplatky, strojírenství, mezinárodní obchod, důchodovou oblast, bezpečnost, znečištění životního prostředí, dopravu a/nebo nesčetné množství ostatních činností, o kterých musí vypracovat objektivní a věcné posudky. Klíčem je řídicí a kontrolní systém. Ve slovesné formě „řídit a kontrolovat“ je síla. Dohlíží na to, aby se něco udělalo nebo neudělalo. Ve formě podstatného jména je „řízení a kontrola“ fyzickým prostředkem, jehož prostřednictvím je tato síla uplatňována. Manažeři používají obě formy k zajištění toho, že jejich provozní cíle budou naplněny. Každá činnost uvnitř organizace probíhá na dvou úrovních, ve dvou systémech. Jeden je provozní systém, který je vyprojektován ke splnění stanovených cílů, jako je například výroba 100 položek při splnění norem nákladů, kvality a času. Druhým je řídicí a kontrolní systém, který překrývá provozní systém. Ten se skládá z postupů, směrnic a instrukcí, které mají zajistit, aby cíle provozního systému byly splněny. Řídicí a kontrolní systém zvyšuje pravděpodobnost, že cíle managementu budou dosaženy. Interní auditoři asi nedovedou plně pochopit provozní systém; a kdyby uměli, asi by jej nedovedli objektivně posoudit. Interní auditoři jsou školeni k tomu, aby objektivně zhodnotili řídicí a kontrolní systémy. Ty umějí interní auditoři pochopit a zkoumat. Tato znalost je pro interního auditora něco jako heslo „Sezame, otevři se!“1. Například, interní auditor není schopen hodnotit metody, kterými zaměstnanci vyrobí 100 položek. Tyto metody jsou součástí provozního systému, který je technického rázu
Část I / Úvod do interního auditu
63
a pravděpodobně asi mimo hodnocení auditem. Ale pro profesionálního interní auditora bude méně obtížné hodnotit systémy řízení a kontroly výroby, které mají zajistit, aby výroba splnila své cíle. Auditoři nebudou schopni určit, zda stroje jsou správně nastaveny, zda se položky vyrobily co nejúčinnějším způsobem nebo, zda vznikl minimální odpad. Umí však zjistit míru, ve které řídicí a kontrolní systém výroby plní svou roli: plánovat a řídit výrobu, která splní cíle organizace dobře posloužit zákazníkovi, účinně provozovat výrobu a málo investovat do zásob. Takto mohou určit, zda fungující řídicí a kontrolní systém poskytuje přiměřenou jistotu, že stroje jsou správně kalibrovány, účinný výstup je správně identifikován a běžné množství odpadu je stanoveno. Takže když klient vidí před sebou posla vyššího vedení – někoho, kdo ví co zajímá a trápí výkonné vedení, někoho, kdo chápe širší zásady a postupy vrcholového vedení, někoho, kdo má zkušenosti se zkoumáním řídicích a kontrolních mechanismů v mnoha dalších operacích společnosti, někoho, kdo je ochoten se podělit o pochopení interního řídicího a kontrolního systému, někoho, kdo dovede upozornit na skrytá úskalí a zabránit nepříjemným překvapením – tak začne klient posuzovat interního auditora jako spojence a nikoliv policajta, jako konstruktivního konzultanta při podnikání a nikoliv hrozbu, jako posuzovatele orientovaného na řízení a nikoliv jako hnidopicha. Po vypracování původních standardů v roce 1978 bylo jednou z prvních aktivit Institutu v této oblasti rozšíření koncepce auditu na řídicí a kontrolní systémy. Tato záležitost byla předmětem prvního Prohlášení ke Standardům Institutu interních auditorů (SIAS – Statements on Auditing Standards) jež je nyní součástí současných Standardů Cílem bylo posuzovat přiměřenost řídicího a kontrolního systému (správně navrženému), jeho účinnost (zda pracuje v souladu se záměrem) a kvalitu (dosažení cílů a záměrů organizace). Čtvrtým kvalitativním měřítkem je jeho užitek.(když je využívá). Nový standard 2120 popisuje problematiku dobře a měl by být použit jako úvod do této problematiky2.
Standard 2120 - Řízení a kontrola Činnost interního auditu pomáhá společnosti udržovat efektivní řídicí a kontrolní systémy tím, že hodnotí jejich efektivnost a účinnost a podporuje jejich neustálé zdokonalování.
64
Kapitola 2 / Řízení a kontrola
2120.A1 – Na základě výsledků vyhodnocení rizik hodnotí interní audit adekvátnost a efektivnost řídicích a kontrolních mechanismů, týkajících se řízení a správy společnosti, procesů ve společnosti a informačních systémů. Toto hodnocení se týká: • Spolehlivosti a integrity finančních a provozních informací. • Efektivnosti a účinnosti procesů. • Ochrany aktiv. • Dodržování zákonů, předpisů a smluv. 2120.A2 – Interní auditoři by měli zjistit, zda a do jaké míry byly provozní a programové cíle a úkoly stanoveny v souladu s obecnými cíli společnosti. 2120.A3 – Interní auditoři prověřují procesy a programy, aby zjistili do jaké míry výsledky odpovídají stanoveným cílům a úkolům, a zda se procesy a programy zavádějí nebo realizují podle původního záměru. 2120.A4 – K hodnocení řídicích a kontrolních systémů je nezbytná existence adekvátních kritérií. Interní auditoři zjišťují do jaké míry vedení zavedlo adekvátní kritéria, jejichž prostřednictvím lze určit, zda byly stanovené cíle a úkoly splněny. Pokud jsou tato kritéria adekvátní, interní auditoři by je měli použít pro svá hodnocení. Pokud nejsou adekvátní, interní auditoři by měli spolupracovat s vedením společnosti na tvorbě nových hodnotících kritérií. 2120.A4-1 – Doporučení pro praxi rozšiřující tento standard o Kritéria řízení a kontroly dobře popisuje tuto problematiku a poskytuje konkrétnější opatření. Interní auditoři by měli vyhodnocovat vytyčené provozní cíle a očekávání a měli by určit, zda tyto provozní standardy jsou přijatelné a zda jsou plněny. V případě když jsou takovéto cíle a kritéria řízení neurčitá, je zapotřebí vyhledávat autoritativní interpretace. Pokud jsou interní auditoři požádáni o interpretaci nebo výběr provozních standardů, měly by si vyžádat souhlas klienta zakázky, jaká kritéria jsou potřebná pro měření provozní výkonnosti.
Část I / Úvod do interního auditu
65
Přístup a podávaní zpráv o řízení a kontrole Doporučení pro praxi 2120.A1-1, „Přístup a podávaní zpráv o řídicích a kontrolních procesech“ poskytuje více detailů souvisejících se stanovením přiměřenosti a účinnosti řídicího a kontrolního procesu a odpovědnosti vedoucího interního auditu při předávání informací o vyhodnocení vrcholovému vedení a výboru pro audit. Doporučení pro praxi popisuje v hlavních rysech práci vedoucího interního auditu takto: •
Vypracovat plán auditu tak, aby poskytoval přiměřené a postačující důkazy. Vzít v úvahu relevantní práce, které provedou jiní. Vyhodnotit navržený plán ze dvou hledisek: - Přiměřenosti pokrytí organizačních jednotek. - zahrnutí různých transakcí a druhů podnikatelských procesů.
• •
Plán by měl zajišťovat audit, který vyhodnocuje efektivnost systému řízení a kontroly. Úvahy při vypracovávaní tohoto vyhodnocení jsou: • • •
Zjistily se významné odchylky nebo slabá místa? Jestliže ano, byly podniknuty nápravné kroky nebo zlepšení? Vedou tato odhalení a jejich důsledky k závěrům, že dochází k nepřijatelně vysoké úrovni podnikatelského rizika?
Zpráva o vyhodnocení by měla identifikovat roli, kterou hraje řídicí a kontrolní proces při dosahování cílů společnosti a měla by obsahovat, že: • •
nebyla nalezena žádná slabá místa slabá místa existují – jejich dopad na úroveň rizika a dosažení cílů společnosti.
Výroční zpráva by měla být jasná, stručná, informativní a srozumitelná – má brát ohled na cílové publikum. Měla by zahrnovat doporučení ke zlepšení a další informace tak, aby byla zpráva použitelná. Doporučení rovněž popisuje „rozdíl mezi očekávaným a skutečně dosaženým“ ve vztahu k práci interního auditora vzhledem k vysokým očekáváním cílové skupiny pokud jde o hodnotu práce interního auditora a zveřejnění týkající se skutečně existujících situací.
66
Kapitola 2 / Řízení a kontrola
Definice řízení a kontroly Dřívější definice Slovo „control“ (kontrola) se poprvé objevilo v anglickém lexikonu „English Lexicon“ kolem roku 1600 a bylo definováno jako „kopie [účetních] výkazů, protějšek [sic] stejné kvality a stejného obsahu s originálem“. Samuel Johnson rozumí originálem „seznam nebo účet sledovaný jiným úředníkem, s tím, že každý originál i kopie může být prozkoumána jiným“. Důležitost kontroly (nebo vnitřní prověrky „internal check“ jak byla zprvu nazývána) pro auditory rozpoznal L. R. Dicksee již v roce 1905. Zdůraznil, že vhodný systém vnitřní prověrky / kontroly by měl eliminovat potřebu hloubkového auditu. Nahlížel na kontrolu jako na kombinaci tří složek: dělbu práce, využití účetních záznamů a rotaci zaměstnanců.3 George E. Bennett v roce 1930 zúžil definici vnitřní prověrky / kontroly takto4: Systém vnitřní prověrky / kontroly lze definovat jako koordinaci účetního systému a příslušných účetních postupů a souvisejících kancelářských postupů tak, že práce jednoho zaměstnance nezávisle provádějícího své vlastní povinnosti neustále kontroluje práci jiného zaměstnance ve vztahu k jistým prvkům souvisejícím s možností podvodu. Zvláštní zpráva pod názvem „Interní kontrola – prvky koordinovaného systému a jejich důležitost pro management a pro nezávislého účetního“ [Internal Control – Elements of Coordinated System and Its Importance to Management and the Independent Accountant] publikovaná v roce 1949 Výborem pro auditorské postupy [Committee on Auditing Procedure] amerického Institutu certifikovaných veřejných účetních AICPA [American Institute of Certified Public Accountants] rozšířila definici interní kontroly [Internal Control] takto: Interní kontrola zahrnuje plán organizace a všechny koordinační metody a opatření přijatá v organizaci k ochraně jejího majetku, kontrole přesnosti a spolehlivosti jejích účetních dat, podpoře provozní účinnosti a dodržování předepsaných manažerských zásad. Tato definice (pokračuje
Část I / Úvod do interního auditu
67
Výbor) je asi širší než význam, který se tomuto pojmu někdy připisuje. Uznává, že systém interní kontroly jde nad rámec záležitostí, které se přímo týkají funkcí účtárny a finančního útvaru.
Definice pro veřejné účetní Nezávislí auditoři ve Spojených státech však pro své účely pokládali tuto definici za příliš širokou. Vždyť se primárně zabývali interní kontrolou ve smyslu spolehlivosti finančních výkazů nebo záměry zplnomocnění, účetnictvím a ochranou majetku. Interní kontrola byla proto rozdělena na administrativní kontrolu a účetní kontrolu. Tyto byly definovány v Části 320.27-.28 (1973) profesionálních standardů AICPSA a převzaty z Prohlášení k Auditorským Standardům (SAS – Statements on Auditing Standards) č. 1: Administrativní kontrola zahrnuje – avšak není omezena na – plán organizace a postupy a záznamy, které se týkají rozhodovacích procesů o manažerské autorizaci transakcí. Tato autorizace je funkcí managementu přímo spojená s odpovědností za dosahování cílů organizace a je výchozím bodem pro vytvoření účetní kontroly transakcí. Účetní kontrola zahrnuje plán organizace a postupy a záznamy, které se týkají ochrany majetku a spolehlivosti finančních záznamů a z tohoto důvodu jsou navrhnuty tak, aby poskytovaly přiměřenou jistotu, že: a. transakce jsou prováděny v souladu se všeobecnou nebo specifickou autorizací managementu. b. Transakce jsou zaznamenány podle potřeby, aby 1) umožnily přípravu účetní závěrky v souladu s obecně platnými účetními zásadami nebo kterýmikoliv jinými kritérií platnými pro tyto výkazy a 2) zajišťovaly osobní odpovědnost za majetek. c. Přístup k majetku je povolen pouze v souladu s autorizací managementu. d. Zdokumentovaná odpovědnost za majetek je srovnávaná s existujícím majetkem v přiměřených intervalech a řádná opatření jsou učiněna v případě nesrovnalostí. Je třeba zaznamenat, že definice administrativní kontroly se pojí s cíli managementu; definice účetní kontroly tak nečiní.
68
Kapitola 2 / Řízení a kontrola
SAS 78 rozšiřuje definici interní kontroly AICPA5 Pro audity účetních závěrek s účinností pro období začínající 1. ledna 1997 a později upravil Americký institut certifikovaných veřejných účetních svoje prohlášení o interní kontrole takto: „Interní kontrola je proces ovlivněný činností představenstva, managementu a ostatních pracovníků – je navržena tak, aby zajišťovala přiměřené ujištění v souvislosti s dosahováním cílů v následujících kategoriích: (a) spolehlivost finančních výkaznictví; (b) efektivnost a účinnost procesů; a (c) dodržování platných zákonů a vztahů. Tyto tři pořadí: (a) (b) (c)
oblasti jsou předmětem specifických druhů auditu ve stejném roční audit účetní závěrky. Audit procesů ve vztahu k cílům a požadovaným výstupům. Audit dodržování předpisů (předpokládá se samostatný audit nebo audit ve spojení s audity pod „a“ a „b“ jak jsou uvedeny výše).“
SAS rovněž definuje interní kontrolu jako skládající se z pěti vzájemně propojených komponentů podle Prohlášení COSO: 1. Řídicí a kontrolní prostředí 2. Vyhodnocení rizik 3. Řídicích a kontrolních činností 4. Informace a komunikace 5. Monitorování Existuje přímý vztah mezi cíli, to znamená tím co se společnost snaží dosáhnout, a prvky, které představují to, co je potřeba k dosažení těchto cílů. Ne všechny tyto cíle a prvky jsou relevantní pro audity účetních závěrek. Interní kontrola bez ohledu na to, jak dobře je navržena a prováděna, může poskytnout pouze přiměřené ujištění týkající se dosažení cílů společnosti.
Část I / Úvod do interního auditu
69
Definice pro interní auditory Právě uvedená definice AICPA vede k zastírání významového rozdílu mezi slovesem „řídit“ (control) a podstatným jménem „řízení“ (control). Tato slova si vytvořila specifické odlišné významy ve světě podnikání a ve světě státní vlády (government), a je proto důležité tyto významové rozdíly uchovávat: sloveso představuje činnost, která zajišťuje, aby bylo provedeno to co mělo být provedeno a zabraňuje tomu, co je zakázáno, to znamená, aby byly splněny cíle managementu; podstatné jméno představuje prostředky, které pomáhají tomu, kdo chce mít něco pod dohledem („controller“), aby to mohl kontrolovat. Interní auditoři orientovaní na management a na cíle potřebují svou vlastní definici – definici, která spojuje manažerské funkce řízení a kontroly s prostředky umožňujícími výkon této funkce ve všech činnostech organizace. V takovém pojetí posuzuje interní auditor sloveso „řídit“ (control) a podstatné jméno „řídící mechanizmy“ (controls) takto: 6 Řízení znamená uplatňování všech prostředků vytvořených v podniku k podpoře, vedení, omezování, správě a kontrolování jejích různých činností, které mají zajišťovat dosahování cílů podniku. Tyto prostředky jako řídící mechanizmy zahrnují, avšak nejsou omezeny na formu organizace, zásady, systémy, postupy, instrukce, standardy, výbory, účtové osnovy, předpovědi, rozpočty, plány, zprávy, záznamy, kontrolní seznamy, metody, nástroje a interní audit. Definice řízení a kontroly je však méně významná než účel řízení a kontroly. Interní auditoři musí mít na paměti, že řídicí a kontrolní mechanismy jsou adekvátní a užitečné, pokud jsou navrženy tak, aby dosahovaly cíle. Interní auditoři musí znát cíl před tím, než mohou řádně vyhodnotit prostředky řídicího a kontrolního systému. V současnosti době IIA definuje řídicí a kontrolní systémy takto7 : „…jakékoliv opatření přijaté vedením a orgány společnosti s cílem zvýšit pravděpodobnost, že stanovené záměry a cíle budou dosaženy. Řídící a kontrolní mechanismus může být preventivní (aby se předešlo vzniku nežádoucích událostí), odhalující (k odhalení a nápravě nežádoucích události, které se vyskytly), nebo směrovací / direktivní [directive] (aby způsobil nebo inicioval vznik potřebných událostí).
70
Kapitola 2 / Řízení a kontrola Koncepce systému řízení a kontroly je integrovaným souborem kontrolních a řídících mechanismů a činností, které využívá organizace k dosažení svých záměrů a cílů“.
Řídicí a kontrolní systémy existují a mají se používat tak, aby pomáhaly managementu při dosahování jeho primárních cílů 8: Relevantní, spolehlivé a důvěryhodné finanční a provozní informace. Efektivní a účinné využití zdrojů organizace. Ochrana aktiv organizace. Dodržování zákonů, předpisů, etických a podnikatelských norem a smluv. Identifikace míry rizika a použití efektivních strategií k řízení a kontrole rizik. Stanovení záměrů a cílů provozních činností nebo programů. Subsystémy sloužící strategickému plánování a provozním funkcím používají administrativní řídicí a kontrolní mechanismy. Vrcholový management plánuje na strategické úrovni. Nástroje, které mají realizovat tyto plány, jsou na provozní úrovni. Pojetí řízení zůstává stejné. Pouze cíle, na které jsou aplikovány, jsou různé. Interní auditoři jako „kontrola používaná pro vyhodnocování dalších kontrol“ mohou hodnotit na všech úrovních. (Jsou všechny cíle splněny účinně, hospodárně a efektivně?). Pro interního auditora orientovaného na řízení je i na pořadu hodnocení cílů. Jsou uvedeny do souladu se všemi cíli a filozofií organizace? Jsou podloženy přesnými a užitečnými informacemi? Jsou ještě stále relevantní v měnícím se prostředí? Odpovídají externím mechanismům vládních nařízení a předpisů? Naplňují potřeby celé společnosti?
Modely interní kontroly Auditoři tradičně používali řadu funkcí interní kontroly ke stanovení toho, zda kontrolní činnosti organizace byly přiměřené. Během posledních let byly nastoleny otázky, zda tento model kontrolních složek byl přiměřený. Objevily se případy, kdy organizace vyhověly požadavkům tradičních kontrol, vyskytly se však situace, které naznačily, že něco zde chybělo. Proto nový pohled (přístup) byl přijat, zvláště ve Spojených státech, Kanadě a ve Velké Británii, aby se určilo co vlastně chybí. Výsledkem bylo vypracování
Část I / Úvod do interního auditu
71
modelů kontroly: Integrovaná kontrola – Integrovaný rámcový model [Integrated Framework model] byl vypracován ve Spojených státech Výborem podpůrných organizací komise Treadway [Committee of Supporting Organisations of the Treadway Commission] (zpráva COSO)9; a v Kanadě skupina CoCo (Kritéria řídícího orgánu Kanadského institutu autorizovaných účetních) [Criteria of Control Board of the Canadian Institute of Chartered Accountants] vypracovala podobný model, o kterém je známo, že je více příjemný pro uživatele a ve skutečnosti může být lépe strukturovaný pro využití jako auditorský nástroj. Také Cadbury komise [Cadbury Commission] ve Velké Británii vypracovala model podobný COSO. Interní kontrola má mnoho pojetí. Ve snaze standardizovat definici Výbor sponzorujících organizací [Committee of Sponsoring Organisa-tions]10 nedávno definoval a popsal interní řídicí a kontrolní systém takto 11: • má vytvořit obecnou definici pro různé skupiny. • má poskytnout standardní definice, se kterou mohou všechny jednotky srovnávat své kontrolní systémy. Výbor, používající zkratku COSO potom předložil tuto definici – která by měla poskytovat přiměřenou jistotu pro dosahovaní cílů s ohledem na: • efektivitu a účinnost operací. • spolehlivost finančních informací. • dodržování platných zákonů a předpisů. Tudíž Výbor nutně předpokládal, že proces by mohl napomáhat při dosahování: • základních podnikatelských a provozních cílů. • ochraně majetku. • spolehlivosti finančních výkazů a zpráv. • dodržování platných zákonů a předpisů. Předpokládá se, že spolehlivost provozních výkazů je zahrnuta v první kategorii týkající se účinnosti a efektivnosti.
Model COSO Model COSO se skládá z pěti složek interního řídicího a kontrolního systému:
Kapitola 2 / Řízení a kontrola
72
1. 2. 3. 4. 5.
Řídicí a kontrolní prostředí Posuzování rizik Činností řídicích a kontrolních systémů Informace a komunikace Monitorování
Tradiční auditorské činnosti související s účinností a efektivitou představují třetí složku - řídicí a kontrolní činnosti (oddělení povinností, pravomoci a odpovědnosti, oprávnění, dokumentace, atd.). Ostatní čtyři složky se zdají být novými doplněními řídicích a kontrolních činností, avšak z hlediska auditora je v mnoha případech auditoři brali do úvahy, alespoň do jisté míry zvláště v těch případech, kde se zdálo, že řídicí a kontrolní systémy se nezdály být efektivní. Nový model si vyžaduje posouzení všech pěti složek. Následuje stručný popis: •
Řídicí a kontrolní prostředí – tato složka zahrnuje postoje managementu na všech úrovních všeobecně k provozu a konkrétně ve vztahu k pojetí řídicích a kontrolních systémů. Zahrnuje to: etiku, schopnosti a integritu a projevený zájem o prosperitu organizace. Tato složka rovněž zahrnuje organizační strukturu a firemní politiku a filosofii managementu.
•
Posuzování rizik – tato složka je a byla součástí progresivní činnosti interního auditu. Týká se identifikace rizik ve všech oblastech organizace a určení zranitelnosti organizace prostřednictvím vyhodnocení rizik. COSO rovněž přidalo úvahy o cílech ve všech aspektech provozu tak, aby se zajistilo že všechny součásti organizace fungují ve vzájemném souladu.
•
Řídicí a kontrolní činnosti – tato složka zahrnuje ty činnosti, které jsou tradičně spojovány s pojetím interní kontroly. Tyto činnosti zahrnují schvalování, odpovědnosti a pravomoci, oddělení povinností, dokumentaci, sesouhlasování, schopné a poctivé pracovníky, vnitřní prověrky a interní audit. Tyto činnosti by měly být vyhodnoceny s ohledem na rizika v celém rozsahu organizace, když považujeme organizaci za jeden auditorský prostor.
•
Informace a komunikace – tato složka představuje základní část řídícího procesu. Management nemůže fungovat bez průběžně získávaných informací. Komunikace a informace týkající se fungování interních řídicích a kontrolních systémů poskytuje obsah,
Část I / Úvod do interního auditu
73
na jehož základě může management vytvářet své vyhodnocení, týkající se efektivnosti řídicích a kontrolních procesů a řídit své provozní činnosti. •
Monitorování – monitorování představuje zajišťování dynamických racionálních vyhodnocení informací dodávaných prostřednictvím komunikace informací za účelem řízení kontroly.
Jiná současná definice od organizace sdružující vrchní auditory státní správy z více než 100 zemí je jednoduše 12: „…nástroj managementu používaný pro zajištění přiměřené jistoty, že cíle managementu budou splněny.“ Definice dále pokračuje a říká, že mají být dosaženy následující všeobecné cíle 13 : • • • •
Podporovat řádné, hospodárné, účinné a efektivní operace a kvalitní produkty a služby, které jsou v souladu s posláním organizace. Ochraňovat zdroje před ztrátami způsobenými plýtváním, poškozováním, špatným řízením, chybami a podvody. Dodržovat platné zákony a nařízení managementu Vypracovávat a vést spolehlivé finanční a manažerské údaje a řádně zveřejňovat tyto informace ve zprávách včas.
I když bylo toto prohlášení vypracováno veřejným sektorem, má rovněž stejnou aplikaci u soukromého sektoru.
Model CoCo 14 Kanaďané, kteří začali s modelem COSO, pracovali několik let, pokud byli schopni vyvinout model, se kterým byli spokojeni. Výsledkem je model, který je více orientován na postupy interního auditu a zdá se být snadněji pochopitelný a slouží jako návod pro činnost interního auditu. Model CoCo zahrnuje čtyři složky. Složky slouží ke klasifikaci 20 kritérií, které mohou sloužit jako prvky auditorských programů. Složky a 20 kritérií jsou uvedeny níže:
74
Kapitola 2 / Řízení a kontrola
Účel A1 Je zapotřebí stanovit a komunikovat cíle. A2 Je zapotřebí identifikovat a vyhodnotit významná interní a externí rizika, kterým je organizace vystavena při dosahování svých záměrů. A3 Je zapotřebí vypracovat, komunikovat a uplatňovat v praxi firemní politiku podporující dosažení záměrů organizace a řízení rizik tak, aby lidé chápali, co se od nich očekává a rozsah jejich volnosti konat. A4 Je zapotřebí vypracovat a komunikovat plány usměrňující úsilí při dosahování cílů organizace. A5 Cíle a příslušné plány by měly zahrnovat měřitelné cíle a indikátory. Závazek B1 Sdílené etické hodnoty, včetně integrity by měly být stanoveny, komunikovány a uvedeny do praxe v celé organizaci. B2 Firemní politika a praxe související s lidskými zdroji by měla být v souladu s etickými hodnotami organizace a s dosahování jejích záměrů. B3 Pravomoci, odpovědnosti a přímá osobní odpovědnost by měly být jasně definovány a měly by být v souladu se záměry organizace tak, aby rozhodnutí přijímali a opatření příslušní lidé. B4 Atmosféra vzájemné důvěry by měla být posilována za účelem podpory toku informací lidmi a jejich efektivní výkonnosti směřující k dosažení cílů organizace. Schopnosti C1 Lidé by měli mít potřebné znalosti, dovednosti a nástroje k podpoře dosažení cílů organizace. C2 Komunikační procesy by měly podporovat hodnoty organizace a dosažení cílů organizace. C3 Dostatečné a relevantní informace by měly být identifikovány a komunikovány ve vhodném čase, aby umožnily lidem realizovat odpovědnosti, které jim byly přiděleny. C4 Rozhodnutí a kroky různých částí organizace by měly být koordinovány. C5 Kontrolní činnosti by měly být vypracovány jako integrální součást organizace a měly zohlednit její záměry, rizika při jejich dosahování a vzájemné propojení kontrolních prvků.
Část I / Úvod do interního auditu
75
Monitorování a získávání poznatků D1 Externí a interní prostředí by mělo být monitorováno za účelem získání informací, které mohou signalizovat potřebu přehodnocení záměrů organizace nebo řídicích a kontrolních systémů. D Výkonnost by měla být monitorována ve srovnání s cíli a indikátory, které2 by měly být identifikovány v cílech organizace a jejich plánech. D3 Předpoklady v pozadí cílů organizace a systémů by měly být periodicky opětovně vyhodnocovány. D4 Potřeba informací a příslušné informační systémy by měly být přehodnocovány při změně cílů nebo při zjištění nedostatků v systému podávání zpráv. D5 Měly být vytvořeny následné postupy a realizovány tak, aby se zajistilo provedení přiměřených změn. D6 Management by měl periodicky vyhodnocovat efektivnost řídicích a kontrolních systémů své organizaci a komunikovat výsledky těm, kteří jsou za to přímo odpovědní.
Využití modelu řídicích a kontrolních systémů v interním auditu Oba modely řídicích a kontrolních systémů obsahují to, čemu se říká „měkké kontroly“. Tyto kontroly nejsou charakterizovány specifickými aktivitami nebo postupy, které je možné sledovat a testovat jistým definitivním způsobem. Měkké kontroly se vážou více na přístupy a filosofie. Oba druhy řídicích a kontrolních systémů je možné identifikovat podle rizik, které je možné popsat a změřit podle možnosti jejich výskytu a důležitosti situace, jestliže nastane. Taková kombinace může být popsána jako náchylnost k výskytu [vulnerability]. Tedy pokud bychom chtěli vyjádřit situaci algebraickým výrazem, mohli bychom použít: PxS=V výskytu rizika
kde
P (Potential Occurence) =
možností
S (Significance)
důležitost
=
situace V (Vulnerability) náchylnost k výskytu
=
76
Kapitola 2 / Řízení a kontrola
Tyto modely řídicích a kontrolních systémů mohou tvořit základ pro hodnocení činností kontroly a řízení interním auditem a dále popisujeme v této kapitole.
Studie o auditabilitě (auditovatelnosti) systémů a kontrola Institut interních auditorů publikoval v roce 1991 monumentální studii pod názvem Auditabilita systémů a kontrola (SAC - Systems Auditability and Control). Modul 2 (celkem z 12 modulů) této studie „Audit a řídicí a kontrolní prostředí“ měl „poskytovat rámec pro diskusi o rizicích, kontrole a auditorských úvahách souvisejících s technologii a informačními systémy“15. Studie definovala systém interní kontroly v organizaci takto: „Stanovené prostředky, které mají poskytovat přiměřenou jistotu, že celkové záměry a cíle organizace budou dosahovány účinným, efektivním a hospodárným způsobem … soustava procesů, funkcí, činností, subsystémů a lidí, kteří se seskupují nebo vědomě oddělují, aby zajišťovali efektivní dosažení záměrů a cílů“16 Tato studie uvádí tři základní koncepce: • Je poskytována přiměřená jistota, jestliže jsou vytvořeny nákladově efektivní kontrolní mechanismy ke snížení rizik, že veškeré záměry a cíle nebudou splněny na uspokojivé úrovni. • Cíle jsou definovány jako formulace o žádoucích výsledcích organizace. • Cíle jsou konkrétní výsledky, které mají být identifikovatelné, měřitelné, dosažitelné a v souladu se záměry.17 Složky systému interní kontroly a řízení zahrnují: • Řídicí a kontrolní prostředí. • Manuální a automatizované systémy. • Postupy pro řízení a kontrolu.18 Řídicí a kontrolní prostředí. Řídicí a kontrolní prostředí: • Organizační strukturu – odpovědnost jednotlivých manažerů za rozhodovací činnost a vytváření organizačních zásad a stanovení limitů těchto pravomocí.19 • Prvky kontrolního rámce zahrnují:
Část I / Úvod do interního auditu
77
-
•
•
Oddělení nekompatibilních povinností; jedna osoba nebo organizace by neměla řídit a kontrolovat všechny fáze procesu. - Schopnosti a integritu lidí v organizaci. - Přiměřené úrovně pravomocí a odpovědností. - Schopnost vysledovat každou jednotlivou transakci k odpovědné osobě, která je za ni přímo osobně odpovědná. - Dostupnost přiměřených zdrojů, času a erudovaných pracovníků. - Supervize zaměstnanců a přiměřená prověrka práce.20 Zásady a postupy, které jsou dobře zdokumentovány a popisují rozsah funkce, její činnosti a vzájemné vztahy s ostatními útvary. Zásady indikují směr; postupy říkají, jak se mají tyto zásady uplatnit v praxi a dodržovat.21 Externí vlivy zahrnují svěřenecké nároky, zákony a předpisy, smluvní ustanovení, celní poplatky, zvyklosti, odborářské záležitosti a konkurenční prostředí.22
Manuální a automatizované systémy. Jde o zpracování, předkládání zpráv, uchovávaní a přenos informací. Zahrnuje: • Systémový software. • Aplikační software. - Hlavní systémy. - Provozní systémy. • Systémy pro konečného uživatele a úsekové systémy.23 Řídicí a kontrolní postupy. Řídicí a kontrolní postupy zahrnují: •
•
Všeobecné informační systémy pro řízení a kontrolu, které „mají pronikavý vliv na celkovou efektivnost funkcí informačních systémů“ a zahrnují: - Řízení a kontrolu počítačových operací. - Fyzickou a logickou kontrolu bezpečnosti. - Kontrolu změn programu. - Kontrolu vývoje systému. - Kontrolu telekomunikačního spojení. Aplikační kontrolní systémy „zajišťují oprávněné, přesné a úplné zpracování transakcí od vstupu přes zpracování až po výstup informací“. Tyto aplikace předcházejí, odhalují a napravují chyby.
78
Kapitola 2 / Řízení a kontrola •
Kompenzační systémy pro řízení a kontrolu „odstraňují nebo zmírňují slabé místo u jiné aplikace všeobecného řídicího a kontrolního systému.“24
Preventivní, zjišťující a nápravné řídicí a kontrolní mechanismy. Řídicí a kontrolní mechanismy je možné navrhnout tak, aby plnily různé funkce. Některé jsou instalovány tak, aby zabraňovaly nežádoucím výsledkům před jejich vznikem (preventivní mechanismy). Jiné mají identifikovat nežádoucí výsledky poté, když vzniknou (odhalující mechanismy). Ostatní mají zajišťovat, aby nápravná opatření byla přijata k odvrácení nežádoucího výsledku nebo aby přispěla k tomu, aby se tyto neopakovaly (nápravné mechanismy). Všechny tyto mechanismy ve vzájemném souladu působí tak, aby přispěly k dosažení některých záměrů nebo cílů managementu. Preventivní mechanismy jsou nákladově efektivnější než odhalující mechanismy. Když jsou zabudovány do systému, zabraňují chybám a tím eliminují náklady na nápravná opatření. Preventivní mechanismy zahrnují kupříkladu: důvěryhodné kvalifikované lidi; oddělení povinností k zabránění úmyslného provinění; řádné oprávnění zabraňující nesprávnému použití zdrojů organizace; počítačem zpracované opravy, které odhalí a zabrání nesprávným transakcím; přiměřená dokumentace a záznamy a rovněž správné postupy pro vedení záznamů pro účely odstrašování od provádění nesprávných transakcí; a fyzická kontrola majetku, která zabraňuje nesprávným převodům nebo užitím. Odhalující mechanismy jsou obvykle nákladnější preventivní mechanismy, ale jsou rovněž nezbytné. Zaprvé měří efektivnost preventivních mechanismů. Zadruhé, některé chyby nemohou být efektivně zkontrolovány prostřednictvím systému prevence; musí být odhaleny ve chvíli jejich výskytu. Odhalující mechanismy zahrnují prověrky a porovnání, například záznamů o výkonnosti a nezávislé prověrky skutečné výkonnosti. Také zahrnují takové kontrolní nástroje, jako je bankovní sesouhlasení, potvrzení bankovních zůstatků, sečtení hotovosti, sesouhlasení detailů pohledávek s kontrolním účtem pohledávek, fyzické inventury a analýzy odchylek, potvrzení dodávek s účty závazků od dodavatelů, počítačové techniky jako jsou limity pro transakce, přístupová hesla, editování a systémy prověrek, jakými jsou interní audity.
Část I / Úvod do interního auditu
79
Nápravné mechanismy nastupují, jakmile se vyskytnou nesprávné výsledky a jsou odhaleny. Všechny odhalující mechanismy na světě jsou bezcenné, jestliže nedojde k nápravě identifikovaného nedostatku nebo když je umožněn jeho opětovný výskyt. Management musí vyvinout systémy, které sledují nežádoucí stav do chvíle, dokud není napraven, a v případě potřeby musí vypracovat postupy, které zabrání opětovnému výskytu. Systém dokumentace a podávaní zpráv udržuje problémy pod stálým dohledem managementu až do chvíle, pokud nejsou vyřešeny, nebo chyby napraveny. Nápravné mechanismy takto uzavírají cyklus, který začíná prevencí, prochází odhalováním až po nápravu. Zde je ukázka použití všech tří mechanismů: Visuté jeřáby přemísťující těžký materiál z jednoho místa na druhé ve výrobním závodě představují bezpečnostní problémy. Nesprávně uchycené závěsy nebo trhavé pohyby jeřábu mohou náhodně uvolnit těžký náklad ze závěsů a způsobit škodu a zranění. Aby se předešlo úrazům byly instalovány preventivní mechanismy. Všichni jeřábníci dostali bezpečnostní instrukce a školení; jejich zaškolení bylo prokázáno certifikátem ve formě plastikových identifikačních karet. Tato karta měla kovový pásek, který aktivuje provozní mechanismus jeřábu. Zaměstnanci museli být proškoleni a certifikováni každý rok. Aby se zajistilo, že jeřáby jsou obsluhovány pouze řádně čerticikovanými specialisty, byly instalovány odhalující mechanismy. Bezpečnostní technik, který se prochází po závodě a zjišťuje porušování bezpečnostních předpisů, byl požádán, aby zjistil, zda zaměstnanci obsluhující jeřáb používají pouze své vlastní certifikační karty k obsluze jeřábu. Aby se zajistilo, že veškeré závady byly napraveny, byly instalovány nápravné mechanismy. V případě jakékoliv nehody související s provozem jeřábu byl zřízen speciální tým pro vyšetřování nehody, který zjistí příčinu, doporučí provoznímu managementu nápravná opatření a podá zprávu o výsledcích výkonnému managementu.
Eliminování pravděpodobnosti a nikoliv možnosti řídicích a kontrolních mechanismů Interní auditoři by měli pochopit, že žádný systém kontroly neeliminuje možnost vzniku mimořádných událostí. Interní kontrola je ovlivňována lidmi. Systém interní kontroly je tvořen lidmi a postupy. Od lidí se očekává, že
80
Kapitola 2 / Řízení a kontrola
budou jednat a dodržovat postupy obvyklým a odpovědným způsobem. Ale lidé jsou chybující a podléhají tlakům. V některých případech mohou jednat jinak, než je zamýšleno. Potom se systém zhroutí. Například příznivý dojem založený na sympatiích nebo na osobním přátelství může způsobit, že nadřízený přehlíží neschopnost asistenta. Tlaky od výše postaveného zaměstnance mohou zabránit zaměstnanci nahlásit podezřelou transakci. Nabídka pomoci zvládnout velkou pracovní zátěž nebo vzít na sebe dvakrát tolik odpovědnosti během období dovolených může vyústit v obcházení kontrolních postupů nebo vyloučit oddělení povinností. Eliminace časově náročných kontrol může zvýšit účinnost práce. Mnohé události mohou přispět k selhání jinak spolehlivého kontrolního systému. A tak nejspolehlivěji fungující systém interní kontroly může zredukovat pravděpodobnost vzniku mimořádné události na pouhou možnost – ta je pravděpodobně i vzdálená. Nikdy však nemůže naprosto eliminovat možnost. Proto se mohou interní auditoři spoléhat v rozumné míře, nikoli však zcela, na to, co se zdá být přijatelný systém řízení a kontroly.
Přínosy řídicích a kontrolních mechanismů Řídicí a kontrolní systémy nemusí být výhradně restriktivní. Nemusí být svěrací kazajkou nebo katalogem „zákazů“. Mohou pomáhat manažerům. Dnešní názor je, že kontrolní mechanismy by měly být pozitivním prostředkem při pomoci manažerů dosahovat záměry a cíle. Moderní manažerská filosofie považuje kontrolu spíše za pomoc než za omezování. Dívá se na kontrolu jako na prostředek integrování osobních a podnikových záměrů, které napomáhají lidem plnit jejich záměry. Hlásá potřebu zvát kontrolovanou osobu k pomoci vypracovat kontrolu. Považuje kontrolu za prostředek sebehodnocení – stanovení toho, zda standardy jsou plněny, zda člověk dosáhl splnění zamýšlené práce. Kontrolní nástroje se tedy stávají prostředkem sebekontroly. Jsou používány pro sebehodnocení. Mohou rovněž aktivovat jednotlivce pro zlepšování své výkonnosti – nikoliv pouze zvládnout to, co právě dělají. Dokonce i z restriktivního pohledu mohou být kontrolní nástroje přínosem. Mohou pomáhat odolávat pokušení. Například, se přijímá názor, že musí existovat tři podmínky k tomu, než se člověk rozhodne zpronevěřit
Část I / Úvod do interního auditu
81
prostředky zaměstnavatele: nezvyklá potřeba (skutečná nebo pociťovaná), příležitost a zdůvodnění. Management může udělat málo ve směru, jak zaměstnanec vnímá jeho nebo její potřeby. Avšak přiměřenou kontrolou je možné odstranit nebo redukovat příležitost nebo pokušení zpronevěry. Zaměstnanec musí mít opravdu zoufalou potřebu předtím, než bude hledat skulinu v dokonale řízeném a kontrolovaném systému. Ale tam, kde jsou prostředky ponechány volně k dispozici pro defraudaci, může si zaměstnanec snadno zdůvodnit, že on nebo ona mají pozvánku k účasti na hostině. Dobré kontrolní mechanismy nejenom, že chrání organizaci, nýbrž chrání rovněž zaměstnance. Management má morální povinnost dohlížet, aby pokušení nebylo na místě. Většina zaměstnanců bude respektovat dobře řízený a kontrolovaný provoz. Slabá místa kontroly budí pohrdání a umožňují zaměstnanci hledat logické zdůvodnění: jelikož management nemá zájem, proč nebrat to, co se dá vzít? Například, naprostá koncentrace všech součástí činnosti do rukách jediného jednotlivce je nebezpečná – je to špatné jak pro organizaci, tak i stejně špatně pro jednotlivce. Další přínos kontroly vyplývá z teorie řízení o zprostředkované činnosti [agency theory]. Manažeři, jako zprostředkovatelé vlastníků, dluží vlastníkům fiduciární odpovědnosti. Proto musí být schopni dokázat, že řádně využili zdroje, které jim vlastníci svěřili. Uplatňováním řízení a kontroly – prostřednictvím zpráv a objektivní verifikací auditory – se mohou vlastníci ujistit, že fiduciární odpovědnosti byly splněny. Navíc zavedením přiměřeného systému kontroly, může najatý manažer poskytnout majiteli přiměřené ujištění, že zavedením řádného systému řízení a kontroly zajišťuje řádný chod organizace.
Systémy řízení a kontroly Prvky Prostředky řízení a kontroly zahrnují lidi, předpisy, rozpočty, plány a celou řadu dalších prvků. V kombinaci vytvářejí tyto prvky systémy řízení a kontroly. Systémy mohou zahrnovat subsystémy a mohou být součástí větších systémů. Všechny tyto systémy fungují ve shodě, aby splnily jeden
82
Kapitola 2 / Řízení a kontrola
nebo více společných cílů. Systémy mohou být uzavřené nebo otevřené. Uzavřené systémy se vzájemně neovlivňují se svým prostředím; otevřené systémy ano. Uzavřené systémy jsou vzácné – ale od doby všeobecného užívání počítačů jsou uplatňovány častěji. Interní auditoři se budou zabývat oběma systémy, protože nemohou ignorovat dopady prostředí na řízení a kontrolu otevřeného systému. Dobře známým příkladem uzavřeného systému je systém používaný k regulaci teploty v domě. Systém funguje takto: Cílem majitele domu je řídit teplotu prostředí v domě – vzájemně působit – dodávkou chladu nebo tepla podle potřeby. Je-li prostředí výrazně horké nebo chladné, klimatizační jednotka/topení je regulováno zvýšením nebo snížením tak, aby byla teplota upravena na příjemnou úroveň. Toto řízení může být prováděno manuálně nebo prostřednictvím některého řídícího přístroje. Jedním takovým přístrojem je termostat. Záměrem, jak jsme viděli, je udržet příjemné prostředí. Rozhodování o záměru je prvním krokem řídícího a kontrolního procesu. Termostat lze nastavit tak, aby splnil tento záměr. Přesné nastavení je standard – druhý prvek řízení a kontroly. Protože teploměr jako zařízení v termostatu stoupne nad nebo klesne pod standard, zařízení zpozoruje rozdíl mezi skutečnou teplotou a teplotou, která splní záměry majitele domu – specifický standard. Je to třetí prvek řízení a kontroly – srovnání s tím, co je a co má být. Když porovnání ukáže neuspokojivý stav – standard (a tudíž cíl) není splněn – zařízení termostatu dá příkaz vyhřívacímu nebo chladícímu prvku k zapnutí. Toto je čtvrtý prvek řízení a kontroly – nápravné opatření. Podnikatelské systémy jsou přirozeně obvykle složitější, ale budou pracovat stejným způsobem. Běžnější systémy s uzavřeným okruhem, kupříkladu systémy pro doobjednání zásob jsou obvykle nazývány systémem zpětné vazby. Tak jako na případu termostatu, je výstup (zde prostředí) srovnáván s nějakým standardem tak, aby se následně vyvolala příslušná reakce. Všechny provozní systémy mají základní prostředky pro vstup, zpracování a výstup: ---------- vstup ------------- zpracování ------------- výstup ----------
Část I / Úvod do interního auditu
83
Pro řízení a kontrolu procesu tak, aby výstup trvale plnil požadovaný standard, musíme přidat prvky – kontrolu a zpětnou vazbu. Kontrola ---------- vstup ------------- zpracování ------------- výstup ---------zpětná vazba Takže v systému výroby: • Vstup zahrnuje lidi, stroje a suroviny. • Zpracování převádí suroviny a práci na produkt. • Výstupem je hotový produkt. • Kontrolní systém zahrnuje řízení výroby, které reguluje tok vstupních materiálů a služeb a inspekci výstupů. • Kontrola porovnává výstup se standardy prostřednictvím inspekce nebo počítačem zpracovávaného sledování. • Zpětná vazba komunikuje odchylky do prvku zpracování. • Nápravná opatření zdokonalují proces tak, aby lépe plnil standard toho, co je akceptovatelné. Uzavřený systém – aby nebyl zaměňován s otevřeným systémem – odpovídá klasickému manažerskému pojetí řízení a kontroly: dohlédnout na to, aby záměry byly realizovány. Řízení a kontrola proto zahrnuje veškerá úsilí k dosahování výsledků, které odpovídají plánům, včetně úsilí, aby záměry byly dosaženy.
Důležitost řídicích a kontrolních systémů Řídicí a kontrolní systém je zvláště důležitý ve velkých organizacích. Manažeři nejsou schopni osobně dohlížet na všechno, za co mají mít přímou osobní odpovědnost. Proto musí delegovat pravomoci na podřízené, kteří pracují v jejich zájmu. Těmto podřízeným je přidělena odpovědnost za plnění svých úkolů. Společně s přidělením odpovědnosti přichází přímá osobní odpovědnost, která vyžaduje důkazy, že svěřené úkoly byly splněny tak, jak bylo zamýšleno. Tyto důkazy jsou obvykle ve formě zpráv porovnávajících skutečné výsledky s plánovanými. To je základní kontrola.
84
Kapitola 2 / Řízení a kontrola
Odpovědností managementu je vytváření systémů řízení a kontroly tak, aby bylo vidět, že úkoly jsou splněny a záměry jsou dosaženy. Manažeři jsou odpovědni za zavedení kontrol, jejich dodržování, modifikaci těch, které je zapotřebí změnit a řádně si všímat informací, na které je upozorní kontrolní systém. Manažeři využívají nástroje řízení a kontroly, protože musí. Plány mohou být nejasné nebo špatně komunikovány. Záměry zaměstnanců se mohou odlišovat od záměrů managementu. Mohou se vyskytnout nepředvídané události a zpoždění, které vytvářejí okolnosti nepředvídané plánem. Odhalovací mechanismy neustále porovnávají současný stav s tím, který by měl být, předávají managementu zprávy o zjištěných nedostatcích a umožňují manažerům přijímat potřebná nápravná opatření.
Provozní standardy Provozní standardy mohou být klíčovým prvkem procesu řízení a kontroly. Standardy určují druh výkonu, který je očekáván. Dělají dvojí službu: identifikují záměry, kterých má být dosaženo a poskytují bázi pro měření. Pro změření mají být standardy kvantitativní. Každý rozumí číslům. Kvalitativní kritéria jsou mnohem obtížněji měřitelná. Avšak kvantitativní standardy bez kvalitativních požadavků mohou klamat a mohou vést k chybným manažerským rozhodnutím. Provozní standardy mají být specifické, mohou však obsahovat faktor tolerance. Takto manažer může pohotově měřit „ukončení úkolu do 10.června“, ale může mít problém s „ukončením úkolu v přiměřené lhůtě“. 10.červenec je 10.červenec pro každého. Ale „přiměřená lhůta“ okamžitě nastoluje otázku co je přiměřené? A pro koho? Řídicí a kontrolní mechanismy obvykle vyžadují provozní standardy. Tyto standardy mohou pocházet z různých zdrojů, jako jsou: • Vypracované standardy. • Nákladové standardy. • Příkazové standardy. • Průmyslové standardy. • Historické standardy. • Standardy podle „nejlepšího odhadu“.
Část I / Úvod do interního auditu
85
Je zapotřebí věnovat pozornost tomu, aby standardy byly přiměřené, obsahovaly vhodné faktory tolerance, byly aktuální a aby v době, kdy se budou dodržovat plnily jimi sledovaný záměr.
Standardy interní kontroly Vedle provozních standardů, které jsou součástí systému řízení a kontroly existuje soubor standardů, jež harmonizují se samotnými systémy řízení a kontroly. K těmto standardům patří:25
Všeobecné standardy • • •
•
•
Přiměřená jistota – Kontrolní mechanismy mají poskytovat přiměřenou jistotu, že cíle interní kontroly budou dosaženy. Pozice podpory – Manažeři a zaměstnanci mají zachovávat postoj podpory ve vztahu k interní kontrole. Integrita a kompetence – Pracovníci zapojeni do realizace interní kontroly mají mít úroveň profesionální a osobní integrity a kompetence přiměřené pro působení kontrolních mechanismů, kterými realizují a plní cíle interní kontroly. Cíle řídicích a kontrolních mechanismů – Specifické, komplexní a přiměřené záměry řízení a kontroly mají být identifikovány nebo vypracovány pro každou činnost organizace. Monitorování řízení a kontroly – Manažeři mají stále monitorovat výstupy systémů řízení a kontroly a mají přijímat přiměřená opatření k odchylkám, které zdůvodní taková opatření.
Podrobné standardy •
Dokumentace – Struktura, všechny transakce a významné události mají být jasně zdokumentovány. Taková dokumentace má být kdykoli dosažitelná.
86
Kapitola 2 / Řízení a kontrola • • • • •
Okamžité a řádné záznamy transakcí a událostí Schvalování a provádění transakcí a událostí – Tyto položky mají být schváleny a provedeny řádně jmenovanými osobami. Oddělování funkcí – Schvalování, zpracování, zdokumentování a prověřování transakcí by mělo být rozděleno mezi jednotlivce (a útvary). Supervize – Supervize by měla být kvalifikovaná a průběžná tak, aby mohla zajišťovat dosahování cílů interní kontroly. Přístup ke zdrojům a dokladům a přímá osobní odpovědnost za ně – Přístup má být omezen na oprávněné jednotlivce, kteří jsou přímo osobně odpovědní za správu a použití zdrojů a jiní jsou pověřeni vedením dokladů. Tento aspekt musí být pravidelně verifikován porovnáním fyzického stavu a dokladovaných částek.
Charakteristiky řídicích a kontrolních mechanismů Interní auditoři mohou vyhodnocovat systémy řízení a kontroly tím, že zjišťují, zda plní určitá kritéria. Atributy vypovídající o přijatelném systému zahrnují 26: Včasnost (Timeliness). Řídicí a kontrolní mechanismy mají odhalovat potenciální nebo skutečné odchylky dostatečně včas, aby omezily jejich nákladná rizika. Kontrolní mechanismy se mají rozbíhat včas, i když efektivita nákladů musí být též zvažována. Manažeři mají předvídat problémy a přijímat opatření k odstraňování nedostatků odhalených kontrolními mechanismy. Vždy však existují „nepoznané neznámé“ – takové, pro které jednoduše neexistují zkušenosti. Jestliže se tedy vyskytnou neočekávané problémy, musí být včas identifikovány a urychleně řešeny. Hospodárnost. Systémy řízení a kontroly mají poskytovat „Přiměřené ujištění“ dosahování zamýšlených výsledků s minimálními náklady a s nejmenším počtem nežádoucích vedlejších účinků. Absolutní kontrola je snad možná (i když nepravděpodobná), avšak může převážit přínosy, které tím získáme. Kontrolní mechanismy se zaplatí tím, že redukují potenciální ztráty a omezují zbytečné výlohy. Management tak může srovnávat náklady na rizika, kterým se má předcházet, mají se
Část I / Úvod do interního auditu
87
odhalovat nebo má dojít k jejich nápravě, s náklady příslušných kontrolních mechanismů. Management se musí zabývat nejenom efektivitou kontroly mechanismů, ale rovněž jejich účinností a hospodárností. Kontrolní mechanismy se mohou uplatňovat ve větší míře pouze tehdy, pokud jejich užitek je vyšší než jejich dodatečné náklady. Vyváženost rizik a nákladů na ochrany nemusí být vždy snadná nebo opravdu objektivně měřitelná. Některé kontrolní mechanismy mohou být nařízené z důvodu zajištění bezpečnosti, ochrany životního prostředí, předcházení choulostivým situacím nebo zvýšené reputace. V některých případech tak může management potřebovat subjektivní hodnocení, jestliže chce stanovit přesnost a důkladnost určitých kontrolních systémů. Přímá osobní odpovědnost. Řídicí a kontrolní mechanismy mají pomáhat lidem prokázat svou odpovědnosti za přidělené úkoly. Manažeři potřebují kontrolní mechanismy, aby jim napomáhaly plnit své povinnosti. Manažeři by si proto měli uvědomovat smysl a funkci kontrolních mechanismů a umět je využívat. Umístění. Kontrolní mechanismy by měly být používány tam, kde jsou nejefektivnější. Měly by být zaváděny: 1. Před zahájením nákladné části projektu. 2. Před zlomovým bodem, po kterém není možná změna rozhodnutí (nebo je obtížná). 3. Před koncem jedné fáze operace a před zahájením další fáze. 4. Tam, kde je měření nejvýhodnější. 5. Tam, kde je možné realizovat nápravná opatření snáze. 6. Kde je ponechán čas na realizaci nápravných opatření. 7. Po ukončení úkolu nebo činnosti náchylné k chybám. 8. Tam, kde se mění přímá osobní odpovědnost za přidělené zdroje. Flexibilita. Okolnosti se nutně musí měnit. Plány a postupy se téměř jistě mění v průběhu času. Kontrolní mechanismy, které se přizpůsobují takovým změnám, aniž vyvolávají změny, jsou vhodnější pro to, aby se vyhýbaly potřebě změny. Změny kontrolních mechanismů, které budou reagovat na provozní změny vedou k dalším zmatkům. Příkladem flexibility kontrolního mechanismu je variabilní systém rozpočtování, kde se náklady a provozní množství poskytují pro různé úrovně provozu. Identifikace příčin. Okamžité nápravné opatření se ulehčí, jestliže kontrolní mechanismy identifikují nejenom problém, nýbrž i jeho příčinu.
88
Kapitola 2 / Řízení a kontrola
Standardní reakce mohou být připraveny předem a pohotově uplatněny, jestliže kontrolní mechanismus poukáže na příčinu nesnáze. Žádné nápravné opatření není skutečně efektivní, pokud, pokud se neřeší příčina nesnáze. Příkladem je účetnictví nákladových položek, kde se zjišťují různé prvky nákladů a objemů a dochází k porovnávají se standardem. Takto je možné vysledovat odchylku v ceně produktu nebo v jeho množství až k jednotlivému prvku, kde se vyskytuje odchylka od standardu. Přiměřenost. Kontrolní mechanismy mají splňovat požadavky managementu. Měly by napomáhat při dosahování hlavních cílů manažerských plánů a mají odpovídat personální a organizační struktuře operací. Nejúčinnějšími a nejužitečnějšími kontrolními mechanismy jsou ty, které pracuje na základě výjimek a reagují pouze na významné odchylky. Problémy s řídicími a kontrolními mechanismy. Kontrolní mechanismy zajisté přinášejí užitek. Ale také mohou přinášet problémy, Mohou udržovat jisto funkci v běhu – avšak za cenu určenou jak v penězích, tak v lidech. Nadměrné a zbytečné kontrolní mechanismy mohou způsobit zmatek a frustraci. Jakmile se kontrolní mechanismy zvýší nad jistý bod, jejich efektivita může ve skutečnosti klesat. Mohou stát více než rizika, proti nimž byly určeny, aby chránily. Více o této problematice dále v této kapitoly. Přílišný důraz na kontrolní mechanismy se může stát cílem než prostředkem k dosažení cíle. Takto lidé mohou pracovat, aby splnili procedurální kontrolní mechanismy a ztrácejí přehled o plnění provozních cílů. Kontrolní mechanismy mohou produkovat mentální ztrnulost a snižovat flexibilitu; otrocké dodržování postupů může nahrazovat uplatňování rozumu a selského rozumu. Kontrolní mechanismy mohou zastarat. Systémy nebo cíle, pro něž byly určeny, se mohou měnit, avšak nemohou se měnit kontrolní mechanismy. Proto musí být kontrolní mechanismy monitorovány pro svou pokračující důležitost. Kontrolní mechanismy nemusí odpovídat potřebám. Ve skutečnosti se mohou stát kontraproduktivními. Navíc k tomu informace, kterou kontrola poskytuje, nemusí být pochopena nebo předána nesprávné osobě nebo může být natolik složitá, až je neužitečná. Lidé všeobecně odmítají kontroly. Je to zvláště pravda v tom případě, když se vůbec nepodílejí na vzniku kontrolních mechanismů nebo nechápou cíle, které je třeba plnit. Rovněž takové kontrolní mechanismy, které jsou pokládány za nesmyslné, mohou potlačovat kreativitu a iniciativu. Navíc se
Část I / Úvod do interního auditu
89
ještě kontrolní mechanismy stávají měřítkem pro odměny nebo tresty, nabývají tím na přehnané důležitosti v očích těch, kteří jsou jimi dotčeni. Při navrhovaných a prosazovaných kontrolních mechanismech se musí brát v úvahu chování. Jeden způsob je komunikace se zaměstnanci. Jiný způsob je to, že kontrolou dotčeni zaměstnanci se podílejí na sestavení kontrolních operací. Jestliže mají lidé přijímat kontrolní mechanismy vědomě, měli by rozumět tomu, čeho se snaží kontrola dosáhnout – měli by porozumět cílům kontroly. Zaměstnanci mohou pokládat kontrolní mechanismy za nadměrně restriktivní, za překážku, za nesmyslné, pokud nepochopí účel kontrolních mechanismů. Zde je příklad dokonale přiměřeného systému řízení a kontroly, který selhal, protože nebyly vzaty v úvahu aspekty chování lidí: Výrobní jednotka organizace produkovala kovový odpad, ale její prodejní sklad odpadu byl vzdálen 2 míle. Vozíky byly naplněny odpadem ve výrobní jednotce a obsahovaly tak cenné kovové materiály, jako je nerezavějící ocel, molybden, měď, titan a berylium. Pravidelně byly vozíky připojeny k traktoru a dopraveny z výrobní jednotky do prodejního skladu odpadu k prodeji nákupčím odpadu. Byl zaveden kontrolní systém na ochranu proti ztrátě kovového odpadu po cestě do skladu. Záměrem bylo poskytnout přiměřenou jistotu, že dopravovaný kovový odpad se dostane na místo určení beze ztrát. Standard stanovil, jaká doba je přiměřeně potřebná k dopravě kovového odpadu přímo, a bez zastávek z výrobní jednotky do prodejního skladu odpadu. Informace o tom, zda byl standard dodržen byly uvedeny na štítku kovového odpadu. Když traktor míjel strážného u brány výrobní jednotky, měl strážný na štítku uvést přesný čas, kdy řidič opustil výrobní jednotku. Strážný u prodejního skladu odpadu měl uvést přesný čas, kdy traktor přijel do tohoto místa. Tyto dva údaje na štítku měly být potom porovnány. Jakákoliv významná odchylka mezi standardem a skutečným časem měla být potom prověřena. Na papíře obsahoval tento kontrolní systém všechny prvky adekvátního kontrolního systému. Audit však zjistil, že strážní na štítcích neuváděli časy odjezdu a příjezdu. Bez těchto informací byl kontrolní systém bezcenný. Strážní byly dotazováni, zda dostali příkaz uvádět časy na štítcích, a jestliže ano, proč tak nečinili. Strážní na obou místech řekli, že tyto
90
Kapitola 2 / Řízení a kontrola instrukce neměly smysl a že neměli chuť mrhat čas na takový nesmysl. Zřejmě strážným bylo nařízeno shromažďovat tyto informace, aniž by jim byl vysvětlen cíl kontrolního systému. Auditoři poukázali na to, že pokud řidič traktoru zastavil, aby předal kovový odpad nelegálně s ním spolčené osobě, rozdíl mezi standardním časem a skutečným časem by měl poukázat na neoprávněné zastavení. Strážným se otevřely oči a s entuziasmem souhlasili se shromažďováním údajů. Informace potřebné pro kontrolní systém jim nyní dávaly smysl.
Protože záměry nebyly vysvětleny strážným, nebyly shromažďovány informace, porovnávání nemohlo být prováděno, odchylky nemohly být prověřeny a nemohla být přijata potřebná nápravná opatření. Kontrolní systém, byť koncepčně adekvátní, byl takto naprosto neefektivní.
Prostředky řízení a kontroly K některým provozním prostředkům, kterými manažeři mohou řídit a kontrolovat činnosti uvnitř organizace, patří: 27 • Organizace. • Zásady (strategie). • Postupy. • Zaměstnanci. • Účetnictví. • Rozpočtování. • Podávání zpráv. Pro každý z těchto prostředků řízení a kontroly jsou jistá kritéria, která mohou interní auditoři využívat k hodnocení adekvátnosti a efektivity kontrolního systému. Některé zmínky o těchto položkách jsme uvedli v předešlé části zprávy SAC.
Organizace Organizace jako prostředek řízení a kontroly je schválená záměrná struktura rolí svěřených lidem uvnitř podniku tak, aby podnik mohl účinně a hospodárně dosahovat své cíle.
Část I / Úvod do interního auditu • • • • • • • • •
91
Odpovědnosti by měly být rozděleny tak, aby jediná osoba nemohla kontrolovat všechny fáze jakékoliv transakce. Manažeři by měli mít pravomoci k opatřením nevyhnutelně potřebným k plnění svých odpovědností. Jednotlivé odpovědnosti by měly být vždy jasně definovány tak, aby je nebylo možné ani obejít ani překročit. Vedoucí pracovník, který přiděluje odpovědnosti a deleguje pravomoc podřízeným, by měl mít účinný systém následných opatření, aby zajistil, že přidělené úlohy jsou řádně plněny. Jednotlivci, kterým jsou delegovány pravomoci by měli vykonávat tuto pravomoc bez přílišné supervize. Ve výjimekných případech by měl kontaktovat svého nadřízeného. Lidé by se měli zodpovídat svým nadřízeným, jakým způsobem splnily své odpovědnosti. Organizace by měla být natolik pružná, aby umožnila změny struktury ve své struktuře v případě změn provozních plánů, zásad a záměrů. Organizační struktury mají být pokud možno co nejjednodušší. Organizační statuty a manuály by měly být vypracovány tak, aby pomáhaly plánovat a kontrolovat změny organizace a umožňovat lepší pochopení linie pravomocí a přidělování odpovědností.
Zásady Zásada představuje jakýkoli formulovaný princip, který vyžaduje, usměrňuje nebo omezuje opatření. Zásady by se měly řídit určitými principy: • Zásady mají být jasně stanoveny v písemné formě, systematicky uspořádány do příruček, manuálů nebo jiných publikací a řádně schvalovány. • Zásady by měly být systematicky sdělovány všem vedoucím pracovníkům a příslušným zaměstnancům organizace. • Zásady se musí řídit platnými zákony a předpisy a měly by být v souladu se záměry a obecnými zásadami nařízenými na vyšší úrovni. • Zásady mají být vypracovány tak, aby podporovaly chod schválených činností efektivním, účinným a hospodárným způsobem a mají poskytovat postačující stupeň ujištění, že zdroje podniku jsou vhodným způsobem ochráněny.
92
Kapitola 2 / Řízení a kontrola •
Zásady mají být pravidelně vyhodnocovány a revidovány, jakmile se změní okolnosti.
Postupy Postupy jsou prostředkem, který se využívá k provádění činností v souladu se stanovenými zásadami. Principy aplikovatelné na zásady jsou stejné jako v případě postupů. Doplňují je ještě další principy: • Pro snížení možnosti podvodů a omylů by měly být postupy koordinovány tak, aby práce jednoho zaměstnance byla automaticky prověřována jiným pracovníkem, který nezávisle provádí samostatně stanovené povinnosti. Při určování rozsahu, ve kterém by mělo automatické vnitřní prověřování mělo být zabudováno do systému řízení a kontroly je zapotřebí zohlednit faktory jako je míra rizika, náklady preventivních postupů, dostupnost zaměstnanců, provozní vlivy a uskutečnitelnost. • Pro nemechanické operace nemusí být stanoveny tak podrobné postupy, aby nepotlačovaly aplikaci zdravého úsudku. • Pro podporu maximální účinnosti a hospodárnosti mají být stanovené postupy pokud možno co nejjednodušší a nenákladné. • Postupy se nemají překrývat, nemají být ve vzájemném konfliktu nebo duplicitní. • Postupy by měly být pravidelně vyhodnocovány a v případě potřeby zlepšovány.
Zaměstnanci Lidé, kteří jsou najímáni nebo jmenováni by měli mít kvalifikaci, která je úměrná jim svěřené práci. Nejlepší forma kontroly nad výkonem jednotlivců je supervize. Proto by měly být stanoveny vysoké standardy supervize. Následující praktiky pomáhají při zlepšování řízení a kontroly: • Noví zaměstnanci by měli být prověřováni z hlediska poctivosti a spolehlivosti. • Zaměstnanci by měli být zaškolováni a proškolováni, což umožňuje jejich zdokonalování a dobrou informovanost o nových zásadách a postupech. • Zaměstnancům by měly být informováni o povinnostech a odpovědnostech jiných segmentů organizace, což jim umožní
Část I / Úvod do interního auditu
•
93
lepší pochopení, jak a kde je jejich práce začleněna do celé organizace. Výkon všech zaměstnanců by měla být prověřován pravidelně, aby se zjistilo, zda jsou plněny všechny základní nároky jejich práce. Vynikající výkon má být řádně doceněn. Nedostatky mají být diskutovány se zaměstnanci, aby dostali příležitost ke zlepšení svého výkonu nebo zvyšování svých dovedností.
Účetnictví Účetnictví je nepostradatelným prostředkem finanční kontroly činností a zdrojů. Poskytuje rámec, který patří ke stanovení odpovědnosti. Kromě toho je finančním „zapisovatelem výsledků“ organizace. Problém spočívá v tom, které „výsledky“ se mají zapisovat. K některým základním principům účetního systému patří: • • • •
Účetnictví se má spíše přizpůsobovat potřebám manažerů na racionální rozhodování než být příkazům některých učebnic nebo předem připravených kontrolních seznamů. Účetnictví má být založeno na liniích odpovědnosti. Finanční zprávy o provozních výsledcích mají odpovídat organizačním jednotkám, které odpovídají za provádění operací. Účetnictví má být takové, aby kontrolovatelné náklady byly identifikovány.
Rozpočtování Rozpočet představuje výkaz o očekávaných výsledcích vyjádřených v číslech. Rozpočet jako řídicí a kontrolní mechanismus stanoví standard pro vstupy zdrojů, a čeho má být dosaženo jako výstupů a výsledků. • Ti, kdo jsou odpovědni za plnění rozpočtu, by se měli podílet na jeho přípravě. • Ti, kdo jsou odpovědni za plnění rozpočtu, by měli mít k dispozici příslušné informace, které porovnávají rozpočty se skutečnými událostmi a které ukazují důvody pro všechny významné odchylky. • Všechny pomocné rozpočty mají navazovat na celkový rozpočet organizace.
94
Kapitola 2 / Řízení a kontrola • •
Rozpočty mají stanovit měřitelné cíle: rozpočty nemají význam, pokud manažeři nevědí, pro co sestavují rozpočet. Rozpočty by měly pomoci zlepšit organizační strukturu, protože je obtížné stanovit objektivní standardy rozpočtování ve zmatené kombinaci subsystémů. Rozpočtování je proto projevem disciplíny a koordinace.
Předávání zpráv (reporting) Ve většině organizací management funguje a rozhoduje na základě zpráv, které dostává. Proto mají být zprávy včasné, přesné, smysluplné a hospodárné. K některým principům vytváření vyhovujícího systému předávaní zpráv patří: • Zprávy by měly být vypracovány v souladu s přidělenými odpovědnostmi. • Jednotlivci nebo útvary jsou povinny předávat zprávy pouze o těch záležitostech, za které odpovídají. • Náklady na shromažďování dat a přípravu zpráv mají být posuzovány podle přínosu, který z nich lze získat. • Zprávy mají být pokud možno jednoduché a v souladu s povahou problematiky. Měly by obsahovat pouze ty informace, které slouží potřebám jejich čtenářů. Z důvodu zamezení nejasnostem by se měla používat obecná klasifikace a terminologie v co největší míře. • Tam, kde je to vhodné, by zprávy o činnosti měly vykazovat porovnání s předem určenými standardy nákladů, kvality a množství. Náklady, které je možno kontrolovat, mají být vyčleněny zvlášť. • Pokud není možné vykazovat výkonnost v kvantitativních ukazatelích, měly by být zprávy vypracovány tak, aby zdůraznily výjimky nebo jiné záležitosti vyžadující pozornost managementu. • Za účelem maximální hodnoty by zprávy měly být včasné. Včasné zprávy částečně vycházející z odhadů mohou být užitečnější než opožděné zprávy, které jsou přesnější. • Adresáti zpráv by měli být pravidelně dotazováni za účelem zjištění, zda ještě stále potřebují zprávy, které dostávají nebo zda se mají tyto zprávy zlepšit.
Část I / Úvod do interního auditu
95
Dopady předpisů na řídicí a kontrolní systém Velká změna Interní řídicí a kontrolní systémy byly kdysi výluční výsadou a nástrojem managementu. Výkonní ředitelé rozhodli, které kontroly potřebují a které nepotřebují pro realizaci svých podnikatelských činností. Jestliže se řídicí a kontrolní systémy zdály být obtížné, nákladné nebo nežádoucí, management je buď nezavedl nebo je vyřadil. Jestliže situace přinášela rizika, management se z vlastní iniciativy rozhodl, zda zavede řídicí a kontrolní mechanismy nebo zda ponese riziko. Americký zákon o praktikách zahraniční korupce (FCPA - Foreign Corrupt Practices Act) z roku 1977 (91 Stat. 1494), který vstoupil v platnost v prosinci 1977 omezil iniciativu managementu ve Spojených státech. Nyní způsoby, jakými jsou veřejné společnosti v USA kontrolovány a způsob uchovávání záznamů, podléhá právním omezením. Provinilci vůči zákonu mohou být pokutováni nebo uvězněni podle článku 32(a) amerického zákona o cenných papírech a burzách U.S.SEC (U.S. Securities and Exchange Act). Nejdalekosáhlejší důsledky zákona FCPA pro americké firmy nepředstavují ustanovení zakazující korupci zahraničních úředníků, spíše to jsou požadavky na uchovávaní záznamů, vnucené americkým organizacím. V tomto směru je název Zákona nesprávný. Zákon všeobecně říká, že interní kontrolní mechanismy účetnictví musí být prověřovány a jestliže jsou zjištěna slabá místa, musí být kontrolní mechanismy posíleny nebo musí být zavedeny další kontroly. Úplatky nebo pochybné jednání ustane a fondy pro takovéto úplatky nebo pochybné jednání nesmí existovat. Interní auditoři se zabývají oběma požadavky Zákona: úplatky a kontrolními mechanismy účetnictví. Tato kapitola však pojednává o řídicích a kontrolních mechanismech. Příslušná část Zákona zní takto: …Každý emitent akcií, který má akcie kategorie, která podléhá článku 12 tohoto titulu a každý emitent, který musí předkládat zprávy v souladu s článkem 15(d) tohoto titulu je povinen -
96
Kapitola 2 / Řízení a kontrola
(a) sestavovat a archivovat účetní knihy, záznamy a účty, které přiměřeně přesně a správně vykazují transakce a uspořádání majetku emitenta akcií; a (b) vytvořit a uchovávat systém kontrolních mechanismů interního účetnictví, které v dostatečné míře poskytne přiměřenou jistotu, že – (i) transakce se provádí v souladu s obecnými nebo specifickými pověřeními; (ii) transakce se zaznamenávají podle potřeby tak: (I) aby umožnily sestavení účetních závěrek v souladu se všeobecně platnými účetními předpisy nebo jinými kritérii platnými pro tyto výkazy, a (II) zajišťování přímé odpovědnosti za majetek; (iii) přístup k majetku je povolen pouze v souladu s obecnými nebo specifickými pověřeními managementu; (iv) přímá odpovědnost za majetek je porovnávána s existujícím majetkem v přiměřených intervalech a vhodná opatření se uplatňují při zjištění jakýchkoliv rozdílů. Článek 102, odstavec (2)(b) Zákona je beze změny převzat z materiálu AICPA SAS č.1, část 320.8. Zákon nerozšířil tyto odpovědnosti. SAS č.1 byl vydán jako návod pro externí auditory při prověřování interních kontrolních mechanismů účetnictví; jeho jediným účelem bylo sloužit jako základ pro stanovení rozsahu prověřování účetní závěrky. Externí auditoři testují pouze ty kontrolní mechanismy, na které se mohou spoléhat; nezabývají se kontrolními mechanismy, na které se nespoléhají. Zákon však poskytuje managementu a proto rovněž interním auditorům širší předmět zájmu: vytvořit a uchovávat systém interních kontrolních mechanismů účetnictví, které mají poskytovat přiměřenou jistotu, že transakce jsou oprávněné a zaúčtované a majetek je ochráněn.
Vydání účetní řady 242 (U.S.SEC) V návaznosti na přijetí Zákona o praktikách zahraniční korupce Americká komise pro cenné papíry a burzy vydala dne 16 února 1978 Vydání účetní řady č. 242 (ASR 242) – Vydání Zákona o burzách č. 14478 pod
Část I / Úvod do interního auditu
97
názvem „Oznámení o přijetí Zákona o praktikách zahraniční korupce z roku 1977“. Toto vydání konstatuje ve své části, že: …protože Zákon nabyl účinnosti jeho podpisem, je důležité, aby emitenti v souladu s novými požadavky prověřili své účetní postupy, systémy a interní kontrolní mechanismy účetnictví a svou podnikatelskou praxi tak, aby mohli přijmout veškerá potřebná opatření k dodržování požadavků obsažených v Zákoně.
Kanadský zákon Ustanovení o účetnictví v Zákoně o praktikách zahraniční korupce se netýkají výhradně Spojených států. Kupříkladu Kanadský zákon o obchodních společnostech předepisuje požadavky podobné těm, které v současnosti platí ve Spojených státech. Článek 20, odstavec (2) Kanadského zákona uvádí, že „Společnost je povinna zpracovávat a uchovávat přiměřené účetní doklady“ a Článek 22, bod (2) uvádí, že „Společnost a její zástupci jsou povinni podniknout přiměřená opatření k tomu, aby (a) se předešlo a zabránilo ztrátám nebo zničení dokladů, (b) předešlo a zabránilo falšování položek v záznamech a (c) umožnilo odhalení a náprava nesrovnalostí v záznamech a registrech, jejichž zpracovávání a vedení vyžaduje tento Zákon.
Role interního auditora Interní auditoři se mohou stát mocnými pomocníky managementu tím, že zhodnotí kontrolní systémy a poukáží na slabé stránky v interní kontrole. Je však zapotřebí mít na paměti, že interní auditoři pomáhají managementu; sami nejsou manažeři. Tento rozdíl vyvolává významné varování, pokud jde o soulad s americkými a kanadskými zákony, jež se týkají interních kontrolních mechanismů účetnictví. Důkaz souladu s těmito zákony spočívá v příslušné dokumentaci. Pokud jsou systémy řízení a kontroly dobře zdokumentovány, může organizace pohotověji prokázat soulad s příslušnými zákony. Dobrá dokumentace je proto dobrým obchodním artiklem v interním auditu. Proto je management náchylný nařídit interním auditorům, aby „zdokumentovali naše systémy interní kontroly v účetnictví, abychom mohli dokázat vládě, že dodržujeme zákony“. Je to past a interní auditor by se jí měl snažit vyhnout. Soulad se zákony je podle definice právnická a nikoliv auditorská záležitost. Interní auditor
98
Kapitola 2 / Řízení a kontrola
není připraven říci regulačním úřadům „My dodržujeme zákon“. Je to úkol managementu, který má provést na základě doporučení a konzultací firemních právníků. Interní auditoři pouze mohou zhodnotit řídicí a kontrolní a systém a podpůrnou dokumentaci stejně tak, jako mohou zhodnotit jakoukoli jinou aktivitu uvnitř organizace, ale neodpovídají za předkládání právních stanovisek k dodržování zákonů. Tyto zákony platí pro Spojené státy a Kanadu. Avšak interní auditoři v dalších zemích mají vůči managementu stejně odpovědnost za hodnocení interních řídicích a kontrolních mechanismů v oblasti účetnictví a za upozorňování na slabé stránky, i když k tomu nemají legislativní mandát. Při hodnocení jak interních řídicích a kontrolních mechanismů v oblasti účetnictví, tak i jiných interních řídicích a kontrolních mechanismů v rámci organizace musí interní auditoři dbát varování: řídicí a kontrolní mechanismy musí být vypracovány pro dosahování záměrů managementu.
Zprávy interního auditora o interních řídicích a kontrolních mechanismech Od interních auditorů se očekává, že budou experty na všechny aspekty řídicích a kontrolních mechanismů. Rovněž se od nich očekává, že jsou důkladně obeznámeni s principy řízení, v jehož rámci jsou řídicí a kontrolní mechanismy pravděpodobně dominantním prvkem. Proto v oblasti interního auditu nemusí auditor v praxi dobře znát skutečné provozní činnosti, ale auditor zná nebo by měl důkladně znát řízení a aspekty řídicích a kontrolních mechanismů činností klienta. Takto je možné předpokládat, že ve většině auditorských zpráv představují aspekty interní kontroly provozních činností předmět stojící za oznámení. Dokonce i v těch případech, kde neexistují žádné aspekty interní kontroly, které by vyžadovaly realizaci nápravných opatření, by měly být tyto okolnosti uváděny ve zprávě. Tudíž to dá rozum, že interní auditor by měl pravidelně shromáždit hodnocení řídicích a kontrolních mechanismů z většího počtu zpráv interního auditu a dospět k závěru o prostředí interního auditu, o struktuře a filozofii organizace jako celku. Toto zjištění by mělo být umocněno pozorováním postoje managementu na různých úrovních. Většina těchto hodnocení může vyplývat z rozhovorů s managementem. Zpráva má podrobně popsat záměry a rozsah prověrky a má být přesná, objektivní, jasná, stručná, konstruktivní, úplná a včasná. Měla by uvést
Část I / Úvod do interního auditu
99
detaily o silných a slabých stránkách filozofie a činnosti interních řídicích a kontrolních mechanismů. Měla by uvést veškerá nedodržování Standardů. Měla by rovněž obsahovat návrhy nápravných opatření, která je zapotřebí přijmout k vyřešení slabých míst v činnosti. Zpráva by měla rovněž uvést, zda byla či nebyla realizována nápravná opatření v návaznosti na doporučení předchozích auditů a připomínky by měly určit potenciální riziko a míru ohrožení v důsledku nečinnosti. Vstupy pro takovou zprávu vycházejí ze sebehodnotících pracovních seminářů na různých úrovních managementu a přicházejí od nemanažerských pracovníků a mohou vnést více realizmu do zprávy a mohou být koordinovány s výsledky tradičních auditorských prověrek prvků interních řídicích a kontrolních mechanismů prověřovaných během různých auditorských zakázek. Adresátem takové souhrnné zprávy má být výbor pro audit organizace a další příslušní jednotlivci. Mělo by to znamenat, že vedoucí auditu má v příslušných časových intervalech poskytovat výboru pro audit následné zprávy.
Cyklický přístup k interním řídicím a kontrolním mechanismům v oblasti účetnictví V roce 1979 Americký institut certifikovaných veřejných účetních AICPA [American Institute of Certified Public Accountants] vydal “Zprávu zvláštního poradního výboru o interní kontrole účetnictví“. I když výbor byl vytvořen před přijetím Zákona o praktikách zahraniční korupce z roku 1977, domníval se, že tato zpráva by mohla být užitečná pro management a představenstva při posuzování toho, zda jejich organizace dodržuje ustanovení Zákona. Výbor, stejně jako mnohé účetní firmy, prosazoval „cyklický“ přístup k hodnocení kontrolních postupů a technik. Tento přístup je zvláště rozumný. Bere v úvahu cíle a používá standardy. Navazuje na cykly obchodních transakcí, sledujíce tyto transakce během celého systému kontrolních mechanismů organizace. Například „výdajový cyklus“ za nakoupené zboží začíná schvalovacím procesem využívat určité dodavatele, potom se věnuje procesu výběru dodavatele, příjmem zboží a platbami dodavatelům a končí evidencí plateb. Cyklický přístup se aplikuje na státní zakázky a na operace specializovaných činností, které nepoužívají standardní cykly popsané dále.
100
Kapitola 2 / Řízení a kontrola
Cíle řízení a kontroly – autorizace, účetnictví a ochrana majetku – představují cíle, které jsou uvedeny v americkém Zákonu o praktikách zahraniční korupce a v literatuře pro účetnictví. (Jejich dodržování by mělo být běžným postupem). Kritéria jsou platná pro transakce, které spadající do každého cyklu transakce. Přístup doporučil tři kroky: (1) klasifikaci transakcí podle cyklů, do nichž mohou být vhodně zařazeny; (2) identifikace kritérií (standardů) interní kontroly, která je vhodná pro transakce podle cílů, které mají být dosaženy; (3) měření existujících kontrolních postupů a technik a výstupu oproti kritériím. Cykly se mohou lišit v jednotlivých organizací. Výbor však navrhuje, aby transakce většiny organizací byly roztříděny do následujících pěti cyklů: Cykly
Příklady transakcí
Výnosy
Inkasa od zákazníka, kredit, dodávka, prodej, odpočet z tržeb, příjem hotovosti, pohledávky, záruky, opravné položky na pochybné účty. Nákup, mzdy, výplata v hotovosti, závazky, výdaje
Výdaje příštích období. Výroba nebo konverze
Výroba, plánování zásob, účtování o majetku a účtování nákladů příštích období a účetní náklady. Financování Akciový kapitál a dluhy, investice, dlouhodobé obligace, akciová opce, dividendy Externí finanční zprávy Příprava účetní závěrky a příslušných výkazů o dalších finančních informacích, například kontrolní mechanismy o rozhodnutích týkajících se oceňování a odhadů uvedených v účetní závěrce, o výběru účetních zásad, o neobvyklých nebo neopakujících se činnostech a rozhodnutí a mechanismy, které nemají charakter transakce, jako nepředvídané okolnosti Kritéria přijatelných interních kontrolních mechanismů pro každý druh těchto transakcí jsou stanovena předem ve zprávě výboru. Tato kritéria jsou zařazena do skupin podle kontrolních cílů - autorizace, účetnictví a ochrana majetku. Každé kritérium má kontrolní postupy a techniky tak, aby bylo možné zjistit, zda se plní cíle kontroly. Tabulka 2-1 zobrazuje příklady jednoho z pěti cyklů – výnosy.
Část I / Úvod do interního auditu
101
Ačkoliv cyklický přístup má tendenci systemizovat auditorský přístup a pomáhá zajistit, aby všechny oblasti organizace byly pokryté, existuje varování, aby oblasti s nízkým rizikem pro blaho organizace nedostávaly stejnou pozornost jako oblasti, kde jsou rizika větší. Hodnocení rizik je uvedeno v Kapitole 3.
Tabulka 2-1 Cyklus výnosů
Kritéria
Vybrané kontrolní postupy a techniky Cíle autorizace
Ceny a další podmínky prodeje zboží a služeb by měly být správně autorizovány
Schválený katalog prodeje nebo dokument obsahující podobné informace o současných cenách a firemní politice v záležitostech jako jsou slevy, prodej, daně, dopravní služby, záruky a vrácené zboží. Využití přiměřených forem kontroly. Postupy pro schvalování jednotlivě oceňovaných prodejů.
Cíle v účetnictví Potvrzení o příjmu hotovosti by měla být správně a včas zúčtována.
Opatření pro srovnávání původních záznamů o příjmu hotovosti s bankovními úložkami a účetními záznamy a pro prozkoumání jakéhokoli neobvyklého zpoždění při ukládání příjmu hotovosti.
102
Kapitola 2 / Řízení a kontrola
Cíle ochrany majetku Přístup k potvrzením o příjmu hotovosti a k záznamům o příjmu hotovosti, záznamům o pohledávkách a platebním a dopravním záznamům by měl být vhodným způsobem kontrolován, aby se zabránilo nebo včas odhalilo, vsunutí nezaznamenaných potvrzení o příjmu hotovosti nebo odstranění zaznamenaných potvrzení o příjmu hotovosti.
Nezávislá kontrola hotovosti při jejím přijetí (například prostřednictvím uzamčených pokladniček, registračních pokladen, předem očíslovaných pokladničních bločků). Omezení možnosti indosovat šeky po jejich akceptaci. Oddělení odpovědnosti mezi přístupem k potvrzením o příjmu hotovosti a vedením záznamů o prodejích, úvěrech klientů, potvrzeních o příjmu hotovosti a pohledávkách.
Dopady restrukturalizace na interní řídicí a kontrolní mechanismy 28 Současná snaha mnoha managementů zredukovat své provozy v zájmu hospodárnosti a účinnosti může mít významný dopad na tradiční fungování interní kontroly. Auditoři byli vždy citliví na případy, kdy se redukovaly nebo modifikovaly řídicí a kontrolní mechanismy v zájmu dosažení vyšší efektivnosti a tím posílení dojmu o výkonech vedoucích pracovníků nebo organizace. Dnes jsme však v éře, kdy se obecně vžil názor, že redukce prostřednictvím restrukturalizace představuje správný směr. V zájmu stanovení dopadů tohoto nového přístupu na provozní činnosti realizoval Institut interních auditorů nedávno výzkum. Tato studie zjistila, že: • • •
72,7 % dotázaných organizací dokončilo restrukturalizaci u jednoho nebo více procesů. 88,4 % dotázaných organizací v současné době provádí restrukturalizaci u jednoho nebo více procesů. 82,4 % má naplánovanou restrukturalizaci na příští rok.
Mezi oblasti provozu, na které se nejčastěji zaměřuje pozornost za účelem realizace tohoto záměru patří:
Část I / Úvod do interního auditu
Závazky / zajišťování dodávek Měsíční uzávěrky Příjem objednávek Pohledávky Kapitálové výdaje
103
57,3 % 36,4 % 32,4 % 29,1 % 24,7 %
Tato studie zjistila, že existují významné dopady na ty prvky, které byly dlouhou dobu považovány za podstatu interních řídicích a kontrolních mechanismů a dokonce i na ty, které jsou zahrnuty jako složky interních řídicích a kontrolních mechanismů ve struktuře COSO. Studie zjistila, že respondenti: •
v 58 % poukázali na to, že výsledkem restrukturalizace byla likvidace tradičních prvků řízení a kontroly, jakými je oddělení povinností, přesnost křížových kontrol, autorizace a verifikace. Bráno jednotlivě: 40,8 % oddělení povinností 34,8 % přesnost křížových kontrol 33,6 % verifikace 30,9 % autorizace
Je možné, že určitá část vakua vytvořeného likvidací těchto prvků bude absorbována prostřednictvím nově vyvinuté koncepce virtuální organizace, kam jsou aspekty řízení a kontroly pouze převedeny. Avšak v takových případech, kde jsou řídicí a kontrolní mechanismy úplně eliminovány bude muset budoucnost říci, zda v důsledku jejich absence skutečně došlo k výnosům snížením nákladů. Je rovněž možné, že vývoj komputerizovaných řídicích a kontrolních mechanismů, které působí místo manuálních kontrolních mechanismů mohou účinně fungovat jako náhradní kontrolní prvky. Interní audit musí vzít v úvahu tuto obrovskou změnu a kromě toho, že je součástí procesu restrukturalizace, musí být rovněž prvkem hodnocení, aby se zjistilo, zda existuje zvýšené nebezpečí rizik ve velkém rozsahu.
Redukce řídicích a kontrolních systémů – virtuální organizace29. Se zavedením redukce a restrukturalizace organizací, vyslovil management pochybnosti o pojetí tradičních řídicích a kontrolních mechanismů v těch oblastech činnosti, kde se tradičně prováděly vícenásobné kontroly. Tyto oblasti zahrnují závazky, skladové zásoby, pohledávky, dopravu
104
Kapitola 2 / Řízení a kontrola
a prodej. Dokonce i u těch činností, kde dochází ke značným převodům finančních prostředků, představuje „nový pohled“ vytvoření provozních činností tak, aby nahradily řídicí a kontrolní mechanismy převedením odpovědností i přímé osobní odpovědnosti na jiné organizace, které provádí tyto kontroly jako součást svého běžného pracovního procesu. Toto nové pojetí, nazývané „virtuální organizace“ je založeno na vzájemné důvěře a ukládá odpovědnosti a přímé osobní odpovědnosti organizacím, které realizují činnosti, které umí udělat nejlépe. Gibbs a Keating identifikovali čtyři druhy rizik, které je zapotřebí brát v úvahu: • Integrita: týká se nepřesných dat nebo dat nízké kvality. • Bezpečnost: ohrožení bezpečnosti nebo důvěrného charakteru aktiv. • Dostupnost: vede k přerušení provozních činností. • Obnova: obtíže při opětovném spuštění nebo při pokračování provozu po jeho přerušení. Jakmile se určí rizika, následujícím krokem je vypracování řídicích a kontrolních mechanismů, které jsou na praktickém základě nezbytné, s důrazem na používání automatizovaných kontrolních mechanismů podle volné úvahy a jsou zjišťovacího typu. Důraz je kladen na využití činností dodavatelů organizace s předpokladem, že informace získané těmito kontrolními mechanismy jsou spolehlivé. Pravidelné prověrky mohou poskytovat ujištění spojené s informací o důležitosti těchto kontraktů poskytnutými dodavateli ve vztahu ke zranitelnosti činností organizace. Tito autoři popisují situaci ve společnosti Ford Motor Company, kde zpracování faktur prodejců bylo díky odstranění obvyklého papírování zkráceno ze 14 dnů na tři dny. Uvádějí snížení potenciálních omylů a rovněž odbourání administrativní práce. Každá takováto aplikace bude skutečně předmětem inženýrských studií, které identifikují silné stránky a využitelné kontrolní činnosti přidružených organizací. Spolehlivost a vzájemná důvěra představují základní požadavek. Příkladem takového uspořádání ve své extrémní aplikaci je elektronická výměna dat EDI [Electronic Data Interchange], kde se využívá proces činností bez použití dokumentů v papírové podobě a produkuje automatický tok elektronických činností, od vedení údajů o stavu zásob přes výrobu konečných produktů. Tento aspekt provozních činností, včetně aspektu interního auditu je podrobně pojednán v Kapitole 16, která se týká auditu informací vytvářených počítači.
Část I / Úvod do interního auditu
105
Audit řídicích a kontrolních mechanismů Cílem auditu řídicích a kontrolních mechanismů je stanovit, zda jsou: (1) kontrolní mechanismy zavedeny; (2) mechanismy správně strukturovány; (3) kontrolní mechanismy určeny pro plnění specifického záměru managementu nebo pro dosahování souladu s předem stanovenými požadavky nebo pro zajišťování přesnosti a vhodnosti transakcí; (4) kontrolní mechanismy se využívají; (5) kontrolní mechanismy účinně slouží svému účelu; (6) kontrolní mechanismy jsou efektivní; a (7) management využívá výstupy kontrolního systému. Auditor má podrobněji: • Prověřit prvek řízení rizik. • Stanovit záměry řídicího a kontrolního systému. • Prověřit záměry za účelem stanovení, zda jsou konzistentní se zásadami organizace nebo jsou vyprojektovány k zajištění souladu s předem stanovenými interními nebo externími požadavky. • Prověřit a analyzovat řídicí a kontrolní systém ke stanovení toho, zda má vhodnou anatomii; tj. zda existuje kritérium, metoda měření podmínek, vyhodnocení odchylek, vyhodnocení efektivnosti a metod podávaní zpráv. • Stanovit, zda výstup z kontrolních systémů je navržen tak, aby plnil zamýšlený účel. • Prověřit fungování kontrolního systému: - Jsou jeho výstupy využívány? - Jsou vstupy do systému platné, přesné a přiměřené? Jestliže se používají statistické metody, je jejich využití teoreticky správné? - Pokud je systém zpracován počítačem, funguje správně? (Použití testovacích vzorků nebo jiných metod testování pomocí počítačů). - Jsou výstupy kontrolní činnosti platné? • Stanovit, zda výstupy z kontrol splňují záměry managementu po zavedení kontroly. • Stanovit, zda kontrolní systém má požadované znaky: - Flexibilitu. - Včasnost. - Přímou osobní odpovědnost. - Identifikaci příčin. - Přiměřenost. - Umístění.
106
Kapitola 2 / Řízení a kontrola
Rovněž by měl stanovit, zda kontrolní systém funguje tak, jak to bylo zamýšleno. Výše uvedená doporučení nejsou vyčerpávající, poskytují však auditorům východisko pro vytvoření programu auditu pro audity řídicích a kontrolních systémů.
Audity podle COSO 30 Interní audit navržený tak, aby zohledňoval nová pojetí kontrolních mechanismů podle COSO se stává podstatně složitějším, než byly tradiční audity interních řídicích a kontrolních mechanismů. Velká část této zvýšené obtížnosti se odvíjí od potřeby uvážit měkké kontroly zabudované do filosofie COSO, ale rovněž tradiční přístup k auditu řídicích a kontrolních mechanismů. V článku v časopisu Interní auditor nastínil Mark Simmons sérií kroků, které se zdají být vhodné pro zvládnutí takovéhoto auditu. Jeho postup uznává nutnost vytvoření unikátního přístupu a jeho použití k hodnocení měkkých kontrol. Tato metoda využívá vstupy od manažerů a pracovníků, které souvisí s oblastí, jež bude předmětem auditu. Tato technika je popsána v celé šíři v kapitole 10 „Sebehodnocení kontroly“. Stačí říci – je to hodnocení, je to statut a manipulace s měkkými prvky kontroly. Tato operace zahrnuje postupy, jako například: • Jaké jsou základní záměry jednotky nebo organizace jako celku (založené na pěti složkách kontroly podle COSO)? • Jaké jsou vedlejší záměry v rámci základních záměrů? • Jaká jsou rizika související s dosažením těchto vedlejších záměrů? • Jaký je stupeň zranitelnosti těchto rizik? • Jaké jsou silné a slabé stránky těchto kontrol? • Existuje shoda, pokud jde o výsledky hodnocení? • Jaké je řešení předchozí situace, jestliže nedojde ke shodě? Simons poté navrhuje: 1. „Potvrdit existenci a efektivnost identifikovaných silných stránek v každé složce řídicího a kontrolního mechanismu. 2. „Potvrdit slabá místa v každé složce řídicího a kontrolního mechanismu .
Část I / Úvod do interního auditu
3.
4.
107
„Stanovit, zda významná slabá místa jsou vyvážena nebo zmírněna jakýmikoli vnějšími nezávislými kontrolními mechanismy“. „Stanovit, kde nebyly potvrzeny silné stránky a kde nejsou slabé stránky uvedeny do rovnováhy nezávislým způsobem; bez toho, zda se vyskytly nebo nevyskytly případy, které je zapotřebí nahlásit“.
Simons poté uzavírá (doporučuje): • Jestliže se vyskytly případy, které je potřeba nahlásit, je zapotřebí realizovat další práci. • Jestliže byly vyřešeny případy, které bylo zapotřebí nahlásit, je pravděpodobné, že kontroly existují a jsou efektivní. • Tímto je možné dosáhnout cíle. Simons však konstatuje, že operace nejsou pod kontrolou, jestliže případy, které je zapotřebí nahlásit: • „Se vyskytly a nebyly odhaleny. • „Přetrvávají, jak dokazuje jejich výskyt v běžném a v předchozím období nebo někde jinde v rámci organizace. • „Jsou všudypřítomné a tím vážně ohrožují ochranu majetku. • „Vážně ohrozily dosažení provozních cílů, vykazování nebo dosažení souladu s platnými předpisy“. Posledním krokem je vypracování nápravných opatření a zlepšení silných stránek systému. Taková opatření mohou být nejúčinněji vypracována a zavedena prostřednictvím práce auditora ve skupině se „zřetelem na problematiku“.
Hlediska auditu rizik řídicích a kontrolních systémů Riziko řídicích a kontrolních systémů je podstatným prvkem široké oblasti rizik. Rizikem řídicích a kontrolních systémů je možnost, že zavedené řídicí a kontrolní systémy neodhalí situaci, která naruší riziko, vůči kterému byla kontrola vytvořena. Při vypracování kontrolní metodiky je zapotřebí zohlednit riziko řídicích a kontrolních systémů. Riziko řídicích a kontrolních systémů je výsledkem kompromisu mezi skutečnou prověrkou všech událostí a transakcí a pro-
108
Kapitola 2 / Řízení a kontrola
věrkou reprezentativních vzorků. Rovněž zahrnuje důležitost kontrolních metod a kvalitu pracovníků, kteří se podílejí na kontrolním procesu. Při prověrce kontrolních operací musí interní auditor zvažovat aspekty rizika řídicích a kontrolních mechanismů. Teto prvek rizika pomůže ovlivnit návrh auditorského procesu tím, že vysoké riziko musí vést k přísnějšímu auditu kontrolní operace. Proto se stává prověrka rizika řídicích a kontrolních systémů jedním z prvních prvků auditorského programu.
Část I / Úvod do interního auditu
109
Interní provozní řídicí a kontrolní mechanismy Kontrolní mechanismy, kritéria a záměry Interní auditoři by měli být experty na provozní řídicí a kontrolní mechanismy stejně jako jsou experty na účetní nebo finanční kontrolní mechanismy. Ve skutečnosti neadekvátní nebo neúčinné kontrolní mechanismy ve výrobních nebo marketingových odděleních mohou způsobit větší dolarové ztráty než ty v účetních odděleních. Milióny mohou být promrhány v neefektivních programech. Chyby v platbách nebo zpronevěra několika účetních nebo finančních stvrzenek může zřídkakdy způsobit tak velké ztráty. Je mnohem obtížnější hodnotit provozní kontrolní mechanismy. O finančních kontrolách se psalo a byly přijímány po mnoho let, avšak provozní kontroly nejsou tak jasné nebo evidentní. Často nebyla stanovena žádná kritéria nebo standardy, které vytváří vhodné kontrolní postupy a techniky. Právě zde mohou interní auditoři předvést své profesionální schopnosti tím, že doporučují příslušná kritéria a kontrolní mechanismy a dosahují shody s klientem auditu. Stejně jako finanční kontrolní mechanismy musí být kontrolní mechanismy nefinančních aktivit zahrnuty do záměrů a kritérií. Zatímco finanční kontrolní mechanismy se vytvářejí v souladu s všeobecně akceptovanými účetními postupy, nefinanční kontrolní mechanismy se mají vytvářet v souladu s akceptovanými manažerskými principy a technikami. Proto v nefinančních činnostech auditor, který myslí stejně jako manažer bude určovat, jaké kontrolní techniky a postupy by měl manažer uplatňovat, aby mu pomáhaly plánovat, organizovat, řídit a kontrolovat tyto činnosti; to jsou čtyři funkce managementu.
Funkce managementu a řídicí a kontrolní systém V rámci každé ze čtyř funkcí managementu jsou zapotřebí kritéria přijatelného výkonu, a pokud jsou plněna, poskytnou přiměřenou jistotu, že záměry budou dosaženy. Tabulka 2-2 uvádí některé příklady kritérií a navrhuje kontrolní postupy v útvarech výzkumu a vývoje (R&D). Prostřednictvím těchto technik může být řídicí a kontrolní systém v rámci
110
Kapitola 2 / Řízení a kontrola
organizace analyzován a vyhodnocován. Prostředky řídicího a kontrolního systému mohou být často obdobné pro nesouvisející činnosti. Například některé kontrolní mechanismy pro výzkum a vývoj mohou být obdobné pro kontrolní mechanismy uplatňované u nákupu. Uvádíme dva příklady: Pokud jde o plánování, vyžadují činnosti výzkumu a vývoje formální postupy pro řízení tvorby rozvojových plánů; obdobně činnosti při nákupu vyžadují formální postupy pro řízení výběru potenciálních dodavatelů. Z hlediska organizování, mají pracovníci výzkumu a vývoje mít jasně přidělené odpovědnosti; při nákupu musí postupy jasně definovat úrovně schvalování pro objednávky na základě její hodnoty.
Tabulka 2-2 Výzkum a vývoj Kritéria
Vybrané kontrolní postupy a techniky Funkce organizování
Oddělení výzkumu a vývoje by měla být organizována tak, aby byla schopna plnit záměr vytvářet nové produkty nebo zlepšovat existující.
Odpovědnost za výzkum a vývoj je jasně stanovena popisem práce všech zaměstnanců určených pro tuto činnost písemnou formou. Technologické požadavky na vývojové práce byly identifikovány a zaměstnanci zabývající se výzkumem a vývojem mají znalosti a dovednosti požadované pro takové technologie. Osobní záznamy obsahují úplné údaje o každém jednotlivém zaměstnanci přiděleném pro výzkumné a vývojové práce. Když chybí interní technologický potenciál, přijme se opatření k využití kvalifikovaných externích konzultantů.
Část I / Úvod do interního auditu
111
Speciální testovací prostředky a zařízení pro výzkumné a vývojové práce jsou identifikovány a jsou k dispozici. Funkce vedení Zaměstnanci mají být motivováni k provádění tvůrčí a inovační práce.
Zaměstnanci jsou okamžitě informováni o vydání postupů a příkazů, které ovlivňují jejich činnosti. Zaměstnanci jsou vyzýváni k členství v profesních organizacích. Zaměstnanci jsou vyzýváni k publikaci článků v profesionálních časopisech. Atmosféra v rámci útvaru výzkumu a vývoje má vést k otevřené a upřímné výměně názorů. „Pokec“ porady se organizují k povzbuzování a provětrání názorů.
Funkce kontrolování Manažer výzkumu a vývoje by měl Vedoucí dostává včasné, přesné mít adekvátní informace pro efektivní a užitečné zprávy o nákladech na řízení útvaru. výzkum a vývoj. Provádí se srovnání mezi rozpočtem a náklady a významné odchylky se prověřují. Jsou přijata opatření, aby informace o výkonech operací v terénu byly poskytnuty vedoucímu výzkumu a vývoje. Přiměřený systém koordinace projektů výzkumu a vývoje platí v celém podniku. Uchovávají se záznamy o dosažených úspěších útvaru výzkumu a vývoje. Existuje formální proces pro schvalování změn v rozsahu práce nebo výdajů definovaných plánem.
112
Kapitola 2 / Řízení a kontrola
Přílišná kontrola Jednou z obav, která doprovázela schválení amerického Zákona o praktikách zahraniční korupce [U.S. Foreign Corrupt Practices Act] z roku 1977 byla pravděpodobnost přílišných, nadbytečných, neužitečných a/nebo nepřiměřeně drahých řídicích a kontrolních systémů. Jakmile nastane obtíž, projevuje se tendence vrážet do něčeho peníze a doufat, že obtíž přestane. Avšak příliš mnoho kontrolních mechanismů může být stejně špatné, jako příliš málo kontrolních mechanismů. Drahé a restriktivní kontrolní mechanismy mohou potlačit výkon a iniciativu. Ochrana je vykoupena za cenu represe. Správce dolů, který obdržel dvousetstránkový „výkaz nákladových položek“ učinil tuto jízlivou připomínku: „Lidé otročili dva týdny na této hromadě čísel a já se vždy podívám na první čtyři stránky shrnutí“. Ty mně říkají, zda si udržím svou práci. Zbytek je úplně promrhaná práce.31 Snad měl pravdu. V mnoha případech jsou řídicí a kontrolní mechanismy přemrštěné. Zprávy o řídicích a kontrolních systémech, kterých mají pomáhat manažerům řídit své činnosti se často proviní, protože jsou: • Příliš objemné – měly by být zhuštěné na podstatné záležitosti. • Příliš složité – instrukce by měly být jednoduché ke čtení, činnosti se mají realizovat snadno, zprávy by měly být snadno interpretovatelné a snadno srozumitelné. • Příliš obecné – mají se zaměřit jedním směrem a neměly by být nařčeny z „rozvleklosti“. • Příliš stereotypní – mají být pružné a pokud jsou nahlášeny neobvyklé záležitosti, mají být definovány. • Zavádějící – mají dojít k jednoznačným závěrům.
Proč řídicí a kontrolní mechanismy nefungují Řídicí a kontrolní mechanismy, i když jsou pečlivě stanoveny, ne vždy plní zamýšlený účel. I když jsou kontrolní mechanismy vytvořeny tak, aby pomáhaly manažerům lépe vykonávat práci, pohlížejí na ně mnozí manažeři jako na hrozbu, výzvu, kterou je zapotřebí překonat. Aldag a Stearns identifikovali čtyři reakce na kontrolní systémy(32). • Hra na kontrolu – Kontroly jsou považovány za výzvu, za něco, co je potřeba porazit, a nikoliv za pomocný doplněk jejich manažerských technik.
Část I / Úvod do interního auditu •
•
•
113
Sabotáž – Zaměstnanci se snaží o poškození kontrolního systému, o vytváření zmatku a vypracování projektu s komplexními znaky. Záměrem je vytvořit systém, který nefunguje, je nedostatečně důvěryhodný a zbytečně složitý. Nebo je možné systém úplně ignorovat. Nepřesné informace – Manažeři manipulují s informacemi tak, aby vylepšili dojem o sobě a svých útvarech nebo vytvářejí data natolik falešná, že není možné provádět kontroly. Iluze kontroly – Manažeři dělají dojem, že kontrolní systémy se uplatňují a fungují. Systémy jsou ignorovány nebo nesprávně interpretovány. Dobré výsledky jsou připisovány systému. Špatné výsledky jsou údajně způsobeny neobvyklými okolnostmi, které jsou mimo systém.
Tyto disfunkční vlivy se připisují kombinaci technických, funkčních a administrativních procesů, mezi které například patří: • Osobní rozdílnosti. • Přílišná kontrola. • Konfliktní cíle. • Dopad na moc a status. • Nesprávně kladený důraz na kontrolní systém. Spíše se stává záměrem než prostředkem k dosažení cíle. Kromě toho ti, kdo zkoumají kontrolní činnosti identifikovali sérii jednodušších příčin selhání kontrolních systémů, které nefungují jak by měly. Jsou to: • Apatie – Zaměstnanci provozující systém nemají zájem o jeho fungování a nevěnují pozornost tomu, aby zajistili fungování systému tak, jak byl navržen. • Únava – Provozování systému způsobuje únavu a není poskytována doba na odpočinek nebo na zjednodušení systému. • Obcházení ze strany výkonných ředitelů – Výkonní ředitelé udělí souhlas k ignorování systému v (mylném) zájmu organizace nebo z osobních důvodů. Takové tolerance k obcházení zničí důvěryhodnost nejenom příslušného systému, ale rovněž i všech zavedených řídicích a kontrolních systémů. • Složitost – Kontrolní systém je tak složitý, že zaměstnanci nejsou schopni si s ním poradit.
114
Kapitola 2 / Řízení a kontrola • •
Komunikace – Kontrolní činnosti nebyly dobře komunikovány lidem, kteří jsou určeni k tomu, aby byli specialisty na kontroly. Aspekty účinnosti – Zaměstnanci pokládají kontrolní mechanismy za překážku účinných operací a při absenci informací o jejich základní hodnotě pro dobro organizace, jsou kontrolní mechanismy přizpůsobeny nebo eliminovány.
Tento seznam disfunkčních aspektů kontrolních činností by měl být kontrolním seznamem pro auditory, kteří prověřují řídicí a kontrolní systémy. Je důležité hledat důvody, proč systémy nefungují tak, jak by měly a tím se provádí aktivní audit. Interní auditoři se dlouho prohlašovali za experty na kontrolní mechanismy a měli k tomu dobrý důvod. Obvykle během auditu demonstrují své odborné znalosti, které se soustřeďují spíš na kontrolní mechanismy než na technický výkon. Jejich požadavky jsou nyní ochotněji přijímány managementem. Pokuty za špatné řídicí a kontrolní mechanismy se zvyšují a uvnitř organizace je pouze málo dalších lidí, ke kterým se může management obracet se žádostí o odborné, objektivní poradenství o řídicích a kontrolních systémech. Se zvyšující se odpovědností však rovněž stoupá přímá osobní odpovědnost auditorů. Od interních auditorů se bude rovněž očekávat, aby si více uvědomovali slabé stránky a selhání řídicích a kontrolních mechanismů. Když dojde ke ztrátám z důvodu špatné kontroly budou interní auditoři bráni k odpovědnosti; management se na ně spoléhal a bral je za slovo v době, když se prohlašovali za experty na kontrolu.
Pravidlo zdravého úsudku Interní auditoři musí mít na paměti, že dobré audity nelze provádět mechanicky. Žádné dvě organizace nejsou stejné. Ve skutečnosti žádná organizace není dnes stejná, jako byla včera. Manažeři jsou vyměňováni, supervizoři jsou posílání na jiná místa, přijímají se noví zaměstnanci a revidují se postupy. Kvalitní řídicí a kontrolní mechanismy závisí na kvalitních lidech, správně motivovaných a dobře vyškolených; lidé, jejich motivace a jejich zaškolování se mohou měnit.
Část I / Úvod do interního auditu
115
Údajně je možné obelstít kvalitní kontroly buď tajnými dohodami zaměstnanců nebo obcházením na straně managementu. Na druhé straně mohou být kvalitní kontrolní mechanismy příliš dobré. Mohou být mnohem nákladnější než ztráty, kterým se snaží kontrolou zabránit. Kontroly mohou být nadbytečné nebo mohou být tak nenapadnutelné, že omezují představivost lidí, jejich iniciativu a snahu o inovaci. Interní auditor musí posuzovat interní řídicí a kontrolní mechanismy očima vrcholového managementu, a pří tom mít na zřeteli lidi, dobu, prostředí, rizika a okolnosti.
116
Kapitola 2 / Řízení a kontrola
Odkazy (1)
(2)
(3) (4) (5) (6) (7) (8) (9)
(10)
(11) (12)
(13) (14)
(15)
(16) (17) (18) (19) (20) (21) (22) (23) (24) (25)
Sawyer,L.B. „Interní řídicí a kontrolní mechanismy - Sezame, otevři se! interního auditora“ (Internal Control – The Internal Auditor‘s ‚Open Sesame). The Internal Auditor, leden/únor 1970, str. 36. Standardy pro profesionální praxi interního auditu (Standards for the Professional Practice of Internal Auditing) (Altamonte Springs, FL: The Institute of Internal Auditors, 2001). Montgomery, R.H., „ Audit podle Dicksee“ (Dicksee´s Auditing) citované v Příručce CPA [CPA Handbook] (American Institute of Certified Public Accountants, 1956). Bennett, G.E., Podvod – jeho kontrola prostřednictvím účetnictví [Fraud – Its Control Through Accounts] (New York: Appleton Century Co., 1930). Upozornění pro interní audity [Internal Auditing Alert], květen 1996. Sawyer,L.B. „Anatomie řídicích a kontrolních mechanismů“ (The Anatomy of Control), The Internal Auditor, jaro 1964, str.15-16. Doporučení pro praxi (Practice Advisory) 2100-1.6, „Charakter práce“. Tamtéž. Komise Treadway (Národní komise pro podvodné finanční výkaznictví) [Treadway Commission (National Commission on Fraudulent Financial Reporting)] podala zprávu v roce 1987. Zpráva vyzdvihla jak interní řídicí a kontrolní mechanismy, tak i interní audit. Výbor sponzorujících organizací Komise Treadway (COSO) [Committee of Sponsoring Organizations of the Treadway Commission], Internal Control – Integrated Framework (New York: American Institute of Certified Public Accountants, 1992), Souhrnný přehled (Executive Summary), str.1. COSO, Id., str. 2-3. Komise pro standardy interních řídicích a kontrolních systémů [Internal Control Standards Committee] Mezinárodní organizace nejlepších auditorských organizací (INTOSAI) [International Organizaation of Supreme Audit Institutions], Směrnice pro Standardy interních řídicích a kontrolních systémů [Guidelines for Internal Control Standards] (Vídeň, Rakousko: International Organizaation of Supreme Audit Institutions, 1992), str. 7. Tamtéž, 7-8. Roth, James, Implementace modelu řídicích a kontrolních mechanismů: nejlepší praxe [Control Model Implementation: Best Practices] (Altamonte Springs, FL: The Institute of Internal Auditors, 1997), str. 7. Price Waterhouse, Auditovatelnost systémů a zpráva o kontrole [Systems Auditability and Control Report] (Altamonte Springs, FL: The Institute of Internal Auditors, 1991), str. 2-1. Tamtéž, str. 2-2. Tamtéž. Tamtéž, str. 2-3. Tamtéž. Tamtéž, str. 2-4 Tamtéž. Tamtéž, str. 2-4-5. Tamtéž, str. 2-5-6. Tamtéž, str. 2-7. INTOSAI, Id., str. 8-10
Část I / Úvod do interního auditu
(26) (27) (28)
(29) (30) (31) (32)
117
Neumann, Frederick, L., „Cíle interní kontroly“ (Internal Control Objectives), (Mimeograph), str. 19-21. Úřad vrchního účetního USA [U.S. General Accounting Office], „Souhrnný manuál auditu“ (Comprehensive Audit Manual), kapitola 9. „Dopady restrukturalizace podnikatelského procesu na interní audit“ (The Impact of Business Process Reengineering on Internal Auditing), Upozornění pro interní audity [Internal Auditing Alert], prosinec 1995. Gibbs, Jeff a Patrick Keating, „ Řídicí a kontrolní mechanismy pro restrukturalizaci“ [„Reengineering Controls“], Internal Auditor, říjen 1995, str. 46-49. Simmons, Mark E., „Audit podle COSO“, (COSO Based Auditing), Internal Auditor, prosinec 1997, str. 68-73. Arnold, J.F., „Dynamika interního řídicího a kontrolního systému “ (The Dynamics of Internal Control), The Internal Auditor, květen/červen 1970, str. 29. Aldag, Razmon J., a Timothy M. Stearns, Management (Cincinnati, OH: Southwestern Publishing Co., 1987), str. 650-1.