VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA. Proces plánování interního auditu v České spořitelně a. s. Bakalářská práce

VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA Katedra ekonomických studií

Proces plánování interního auditu v České spořitelně a. s.

Bakalářská práce

Autor : Jiří Trost Vedoucí práce: Ing. Věra Nečadová Místo: Jihlava Rok: 2011

Souhrn: Cílem bakalářské práce je popis profese interního auditu včetně mezinárodních i tuzemských požadavků se zaměřením na plánovací proces činnosti interního auditu, když bude vymezena základní charakteristika interního auditu včetně jeho vývoje, začlenění útvaru interního auditu v rámci organizační struktury a práva a povinnosti interního auditu v bance. V aplikační části budou charakterizovány požadavky na proces tvorby plánu činnosti interního auditu v České spořitelně a. s. včetně metody analýzy rizik jako nástroje pro tvorbu strategického a periodického plánu činnosti interního auditu. Součástí bakalářské práce bude také, na základě získaných informací z České spořitelny a. s., provedení analýzy rizik a vypracování návrhu periodického a strategického plánu činnosti interního auditu pro rok 2011.

Klíčová slova: analýza rizik, interní audit, interní systém identifikace rizik (ISIR), kniha rizik, kniha produktů,aplikací a činností (PAC), periodický plán činnosti interního auditu, strategický plán činnosti interního auditu, riziko, řízení rizik, mezinárodní rámec profesionální praxe interního auditu.

Summary: The objective of the bachelor thesis consists in introducing the reader to the profession of internal audit inclusive of international and domestic requirements placed thereon with the focus on the planning process of internal audit work. The theoretical part defines principal characteristics of internal audit including its development, integration of an internal audit unit within the organizational structure, as well as rights and responsibilities of internal audit in a bank. The application part characterizes requirements for the creation process of the internal audit activities’ plan in Česká spořitelna a. s. including the risk analysis method as a tool for compilation of the strategic and periodic plans of internal audit activities. In the latter part of the bachelor thesis, I performed a risk analysis and elaborated proposals for the strategic and periodic plans of internal audit activities for the year 2011.

Key words: risk analysis, internal audit, internal system of identification of risks (ISIR), book of risks, book of products, applications and activities (PAC), periodic plan of internal audit activities, strategic plan of internal audit activities, risk, risk management, International Framework of the Professional Practice of Internal Auditing.

Poděkování: Na tomto místě bych chtěl poděkovat vedoucí bakalářské práce Ing. Věře Nečadové, za odborné vedení práce a za podporu a trpělivost při jejím vytváření. Děkuji také týmu České spořitelny a. s. za poskytnutí zapůjčené literatury a dalších materiálů k tomuto tématu se vztahujících, možnost konzultací a osobních setkání za účelem diskuse o řešeném problému, za pomocnou ruku při konzultaci některých problémů a podporu. Velký dík patří také všem respondentům, kteří mi věnovali svůj čas a dovolili nahlédnout do vlastních osobních životů a zkušeností. Rád bych poděkoval také své rodině, všem blízkým a přátelům, kteří mě při vytváření této práce podpořili, a bez jejich pomoci by nebylo možné práci dokončit.

Prohlášení: Prohlašuji, že předložená bakalářská práce je původní a zpracoval jsem ji samostatně. Prohlašuji, že citace použitých pramenů je úplná, že jsem v práci neporušil autorská práva (ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, v platném znění, dále též „AZ“). Souhlasím s umístěním bakalářské práce v knihovně VŠPJ a s jejím užitím k výuce nebo k vlastní vnitřní potřebě VŠPJ. Byl jsem seznámen s tím, že na mou bakalářskou práci se plně vztahuje AZ, zejména § 60 (školní dílo). Beru na vědomí, že VŠPJ má právo na uzavření licenční smlouvy o užití mé bakalářské práce a prohlašuji, že s o u h l a s í m s případným užitím mé bakalářské práce (prodej, zapůjčení apod.). Jsem si vědom toho, že užít své bakalářské práce či poskytnout licenci k jejímu využití mohu jen se souhlasem VŠPJ, která má právo ode mne požadovat přiměřený příspěvek na úhradu nákladů, vynaložených vysokou školou na vytvoření díla (až do jejich skutečné výše), z výdělku dosaženého v souvislosti s užitím díla či poskytnutím licence. V Jihlavě dne 12. 12. 2010 ...................................................... Podpis

Obsah: ÚVOD ......................................................................................................................................................... 2 TEORETICKO – METODOLOGICKÁ ČÁST ..................................................................................... 5 1 PODSTATA PROFESE INTERNÍHO AUDITU ............................................................................................ 5 1.1 Vývoj profese interního auditu.................................................................................................... 5 1.2 Současné pojetí profese interního auditu ................................................................................... 8 2 POSTAVENÍ A ORGANIZAČNÍ STRUKTURA ÚTVARU INTERNÍHO AUDITU VE SPOLEČNOSTI ............. 12 2.1 Odpovědnost a povinnosti interního auditu.............................................................................. 14 APLIKAČNÍ ČÁST................................................................................................................................. 17 3 INTERNÍ AUDIT V ČS.......................................................................................................................... 17 3.1 Proces interního auditu............................................................................................................. 17 4 PLÁNOVACÍ PROCES ČINNOSTI INTERNÍHO AUDITU V ČS ................................................................ 18 4.1 Strategický plán činnosti interního auditu v ČS....................................................................... 21 4.2 Periodický plán činnosti interního auditu v ČS........................................................................ 22 5

NÁVRH PLÁNU ČINNOSTI INTERNÍHO AUDITU ČS NA ROK 2011................................................ 25 5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS ........................................... 27 5.2 Analýza rizik v procesu sestavování plánu činnosti interního auditu v ČS............................. 29 5.3 Shrnutí aplikační části bakalářské práce.................................................................................. 36

ZÁVĚR ..................................................................................................................................................... 39 SEZNAM LITERATURY....................................................................................................................... 42 PŘÍLOHY................................................................................................................................................. 43

1

Úvod Jednou z nejvíce kritizovaných oblastí řízení organizací v současnosti je efektivnost a účinnost a tím celková adekvátnost procesu zaměřeného na identifikaci, měření a vyhodnocování rizik. Jedná se o proces řízení rizik. Tyto skutečnosti jsou prezentovány jako jeden z důvodů vzniku finanční krize, která propukla v polovině roku 2007. Řízení rizik je klíčovou odpovědností vedení organizací. Aby vedení dosáhlo svých obchodních cílů, mělo by zajistit, aby byly zavedeny a fungovaly spolehlivé procesy řízení rizik. Představenstva mají dohlížecí úlohu, aby zajistila, že existují patřičné procesy řízení rizik a že tyto procesy jsou odpovídající a efektivní. Interní auditoři by měli napomáhat vedení i představenstvu při zkoumání, hodnocení, hlášení a doporučování zlepšení efektivity a přiměřenosti procesů rizik řízení. Vedení a představenstvo jsou odpovědní za řízení rizik a kontrolní procesy své organizace. Avšak interní auditoři mohou pomáhat organizaci při stanovení, hodnocení a implementaci metodik řízení rizik a kontrol zabývajících se těmito riziky.

V mnoha podnicích je řízení rizik klíčovou složkou všech obchodních aktivit a kontrol v procesu řízení. To se týká zejména subjektů bankovního sektoru. Množství rizik zejména v bankách se vztahuje k výběru strategií a cílů, určování operačních cílů a odpovědností, rozdělování prostředků mezi projekty a obchodní oblasti, minimalizaci vystavení riziku ztráty dobré pověsti nebo důvěry a optimálnímu využívání technologií pro řízení. V důsledku toho je logickým doplňkem tohoto širokého rámce řízení rizik i poradenská úloha interního auditu v tomto procesu.

Zřídka jsou požadavky na profesionalismus, znalosti, bezúhonnost a řízení přísnější, než ty, které jsou kladeny na interní auditory. Efektivní auditoři slouží jako firemní svědomí organizace, chrání provozní efektivitu a vyhodnocují účinnost a efektivnost nastaveného řídícího a kontrolního systému včetně řízení rizik.

2

Z těchto důvodů jsem si jako téma bakalářské práce zvolil proces plánování činnosti interního auditu, který je založen na systému identifikace a následné analýzy rizik, protože jednou z povinností interního auditu je, kromě jiného, pomáhat naplňování cílů organizace tím, že bude ujišťovat vedení a vlastníky o stavu rizik - zda jsou dostatečně nebo nedostatečně řízena a zda jsou nebo nejsou pod kontrolou.

Jelikož se o tuto problematiku z vlastního zájmu velmi zajímám a v bankovním sektoru je tato aktivita velmi aktuální, soustředím se ve své bakalářské práci na plánovací proces interního auditu v České spořitelně a. s. V této bance jsem měl praktickou možnost se s úlohou a procesem interního auditu seznámit, účastnit se průběžně plánovacího procesu činnosti interního auditu a získat potřebné informace pro moji bakalářskou práci.

Cílem mé bakalářské práce je nejprve vymezit profesi interního auditu v bankovním sektoru včetně mezinárodních a tuzemských regulatorních požadavků se zaměřením na systém identifikace rizik. Rovněž cílem mé práce je navrhnout způsob analýzy identifikovaných rizik, jako nástroje pro plánovací proces interního auditu a vytvořit návrh strategického plánu činnosti interního auditu na roky 2011 - 2013 a periodického plánu činnosti interního auditu České spořitelny a. s. na rok 2011.

Pro naplnění tohoto cíle jsem zvolil jako metodu mé bakalářské práce analýzu dopadu a pravděpodobnosti selhání identifikovaných rizik útvarem interního auditu. Na základě této analýzy nejvýznamnějších rizik jsem metodou syntézy provedl konkrétní návrh jednotlivých plánů činností interního auditu.

3

Ve své bakalářské práci využívám tyto literární prameny: Dvořáček, J.: Interní audit a kontrola.1 Dvořáček, J., Kafka, T.: Interní audit v praxi.2 Galloway, D.: Průvodce nového auditora.3 IIA: Mezinárodní rámec profesionální praxe interního auditu.4 Salamasick, M.: Assurance and Consulting Services.5 Vnitřní předpisy České spořitelny a. s.6 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry.7

Interní auditoři na celém světě praktikují svou práci rozdílně. Navzdory některým názorům nejsou stejnorodé funkce interního auditu žádoucí. Je pravda, že funkce interního auditu byla pojmenována různě např. audit operací, audit výkonu, audit projektů, komplexní audit, audit systému řízení rizik, audit strategie apod. Interní auditoři musí podle plánu činnosti interního auditu praktikovat všechny tyto formy auditu. Interní auditoři se musí přizpůsobovat potřebám a cílům organizace, potřebám jejich vlastníků a intenzivnímu vývoji rizik. Jedině tak mohou být úspěšní a nezávisle a objektivně pomáhat organizacím naplňovat jejich cíle.

1

Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4.

2

Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8.

3

Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida: IIA, 1997. ISBN 80-902433-1-2.

4

IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs, Florida, 2009.

5

Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.

6

Vnitřní předpisy České spořitelny a. s.

7

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry.

4

Teoreticko – metodologická část 1 Podstata profese interního auditu 1.1 Vývoj profese interního auditu Profese auditu a zejména interního auditu má poměrně dlouhou historii. Název auditor je odvozen z praxe římských kvestorů („ti, kteří vyšetřují“) najímaných vládou k předkládání ústních zpráv o stavu pokladny. Tato „slyšení“ (z latiny „audio“) vedla ke vzniku názvu „auditor“ („ten, kdo uvádí všechny skutečnosti“). Starověký Řím uplatňoval „slyšení o účtech“. Jeden úředník porovnával své záznamy se záznamy druhého. Tato ústní verifikace měla úředníkům spravujícím fondy zabraňovat v páchání podvodů. A vlastně z úkonu „slyšení o účtech“ vznikl název audit.8 Role interních auditorů zůstávala až do počátku dvacátého století v podstatě stejná. Interní auditoři měli odhalovat podvody a zabraňovat jim. V této době vznikaly techniky „profesionálního“ či „vědeckého“ řízení a objevilo se také nové zaměření se na „účinnost a efektivnost obchodních operací“. Management začínal využívat služeb interních auditorů k vyhodnocování operací, k prověřování návrhů a procesů z hlediska nákladovosti

a

k jiným

studiím

přispívajícím

managementu

k naplňování

podnikatelských cílů. Zaměření interního auditu se změnilo poté, co byl v USA schválen zákon o cenných papírech (rok 1933) a zákon o cenných papírech a burze (rok 1934). Těmito zákony se zvýšila odpovědnost managementu za předkládání přesných finančních a účetních procesů a informací, což mělo v konečném důsledku za následek změnu priorit interních auditorů z prevence a odhalování podvodů a zdokonalování obchodních operací na prověřování řídících a kontrolních nástrojů regulujících finanční a účetní informace.9 V roce 1941 byl interní audit uznán jako samostatná auditní disciplína natolik, že malá skupina praktikujících interních auditorů založila v New Yorku „Institut interních auditorů“ (IIA). Jeho sídlo je dnes v Altamore Springs na Floridě. IIA se dále rozvíjel a dnes je profesním sdružením s celosvětovou působností propagujícím a podporujícím rozvoj profese interního auditu.10

8, 9, 10

Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997. ISBN 80-902433-1-2.

5

V České republice se interní audit významněji prosazoval v polovině 90. let, ale v četných případech nahrazoval rušící oddělení vnitřní kontroly. Zatímco ve světě byl interní audit vysoce uznávanou profesí, o jejíž kvalitách nebylo třeba nikoho přesvědčovat, Česká republika v tomto směru stála na začátku rozvoje. Český institut interních auditorů byl založen v roce 1995 a je občanské sdružení interních auditorů za účelem prosazování a podpory rozvoje interního auditu v České republice. Český institut interních auditorů naplňuje svoje poslání tím, že mimo jiné:11


soustřeďuje osoby, které pracují jak v oblasti interního auditu, tak i v oblastech jemu příbuzných,




poskytuje informace o rozvoji interního auditu v České republice i v zahraničí a napomáhá tak společnému postupu v poznávání a řešení problémů této profese,




poskytuje konzultace jako profesionální pomoc v jednotlivých oblastech auditu,




publikuje materiály potřebné k získání a rozšíření znalostí o funkci interního auditu,




organizuje různé formy vzdělávacích akcí,




popularizuje činnost interního auditu,




iniciuje a podporuje jednání a akce zaměřené na rozšiřování praxe interního auditu do dalších společností v České republice,




vydává pro členy institutu čtvrtletně časopis „INTERNÍ AUDITOR“,




umožňuje setkávání interních auditorů a vzájemnou výměnu informací a zkušeností při pravidelně pořádaných fórech interních auditorů a národních konferencí,




zprostředkovává kontakty s významnými zahraničními odborníky z oboru interního auditu,




umožňuje složení zkoušek k získání mezinárodně uznávaného titulu Certified Internal Auditor (CIA),

11

www.interniaudit.cz

6




nabízí

delegování

vybraných

interních

auditorů

z České

republiky

do pracovních orgánů mezinárodních institucí pro oblast interního auditu (IIA, ECIIA). Úsilí o sjednocení přístupů k problematice interního auditu vedlo některé evropské organizace interních auditorů k založení Evropské konfederace pro interní audit (European Confederation of Institutes of Internal Auditing – dále jen ECIIA). Stalo se tak v roce 1982, přičemž vzniklá konfederace zachovává úplnou autonomii národních institutů a svoje poslání spatřuje v prosazování a rozvíjení profesionální praxe v oblasti interního auditu v Evropě prostřednictvím členských organizací ku prospěchu této profese ve všech členských zemích. Pro naplnění uvedeného poslání vytýčila ECIIA tyto svoje hlavní cíle:12


sdělovat členům ECIIA poznatky a zkušenosti prostřednictvím soustavné analýzy, přesahující hranice států, studijních projektů, konferencí, seminářů a veřejných tribun, aby sloužily a rozvíjely profesionální interní audit v Evropě,




předávat členům ECIIA poznatky a zkušenosti, aby byla získána podpora pro přijetí standardů profesionální praxe interního auditu a aby došlo k podpoře certifikace profesionálních interních auditorů v Evropě,




zajistit jednotný styk mezi členy ECIIA a Evropskou unií ve vztahu ke všem záležitostem, které jsou v zájmu Konference,




podporovat profesi interního auditu obecně a jeho specifického rozvoje v Evropě speciálně, prostřednictvím rozvíjení úzké spolupráce s ostatními profesionálními organizacemi,




usilovat o vytvoření celosvětové organizace, která bude zahrnovat všechny profesionální organizace, které se věnují profesi interního auditu.

Vývoj interního auditu doznal za dobu existence profese interního auditu řadu změn. Dnešní pojetí profese interního auditu je podle mého názoru napomáhat managementu při naplňování firemních cílů. Odhalování a zabraňování podvodů zůstává v okruhu zájmů interního auditora, avšak primárním zaměřením je poskytovat managementu jistotu, že efektivní kontrolní systémy, napomáhající naplňování podnikatelských záměrů, jsou zavedeny a poskytují ujištění o stavu rizik v organizaci. 12

Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4.

7

Úroveň profese interního auditu v ČR se podle mého názoru po téměř 20-ti letech své existence velmi přizpůsobila celosvětovým trendům a činnost útvarů interního auditu zejména v bankovnictví je na srovnatelné úrovni s ostatními útvary v zahraničí. O této skutečnosti jsem měl možnost se přesvědčit v rámci mého praktického působení v České spořitelně a. s. K tomuto vývoji významným způsobem přispěla i regulace této profese v bankovnictví ze strany České národní banky, která vycházela z celosvětově uznávaných zásad a standardů pro profesi interního auditu.

1.2 Současné pojetí profese interního auditu Na celosvětové úrovni určuje pojetí profese interního auditu Mezinárodní institut interních auditorů. Součástí tohoto institutu je i Český institut interních auditorů. V roce 2009 byl Mezinárodním institutem interních auditorů přijat tzv. Mezinárodní rámec profesionální praxe interního auditu. Ten vymezuje tuto profesi jako ujišťovací a poradenskou službu společnosti. Útvar interního auditu má v současném pojetí v základní podobě za úkol, kromě jiného také identifikovat a zhodnotit možná rizika společnosti. Je třeba zdůraznit, že interní audit musí být při výkonu své činnosti nezávislý útvar na všech úrovních podniku. Auditor je tak povinen bez působení vnitřních i vnějších vlivů vyjádřit nestranný a objektivní názor na ověřovaný proces.

Současný Mezinárodní rámec pro profesionální praxi se skládá z následujících prvků:13

13

•

Definice interního auditu,

•

Etický kodex,

•

Mezinárodní Standardy pro profesní praxi interního auditu,

•

Stanoviska (Position Papers),

•

Doporučení pro praxi (Practice Advisories),

•

Praktické pomůcky (Practice Guides).

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

8

Současně platná definice interního auditu celkově vymezuje pojetí interního auditu a obsahuje základní cíl, charakter a rozsah působnosti této profese: „Interní audit je nezávislá, objektivní, ujišťovací a konzultační činnost, zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosáhnout jejich cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních procesů a řízení a správy organizace“.14 Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost interního auditu nebo jeho výkonného vedení vykonávat odpovědnosti interního auditu nezaujatým způsobem. K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu jsem se přesvědčil, že má ředitel úseku interního auditu přímý a neomezený přístup k vedení a orgánům České spořitelny a. s. Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět služby takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům.

14

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

9

Narušení organizační nezávislosti a objektivity interního auditu může podle mého názoru zahrnovat například následující situace: •

osobní konflikt zájmu,

•

omezení rozsahu působnosti auditu,

•

omezení přístupu k informacím, osobám a majetku,

•

omezení zdrojů.

Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti.15 Interní auditoři by měli dodržovat tyto základní pravidla jednání:16 •

Integrita,

•

Objektivita,

•

Důvěrnost,

•

Kompetentnost.

Mezinárodní Standardy jsou založeny na základních zásadách a poskytují rámec pro výkon interního auditu a jeho podporu. Struktura Standardů zahrnuje:17 •

Základní standardy,

•

Standardy pro výkon,

•

Prováděcí standardy.

Standardy jsou souborem závazných požadavků skládajících se ze: 

Základních

požadavků

kladených

na

profesní

praxi

interního

auditu

a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby.

15, 16, 17

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

10



Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích.18

Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu.19 Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek.20 Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení.21 Mezinárodní rámec profesionální praxe by měli dodržovat všichni interní auditoři na celém světě. Jakým způsobem je regulována profese interního auditu pro bankovní sektor v ČR? Profese interního auditu pro banky je usměrňována v ČR těmito zákony: •

zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů,

•

zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu,

•

zákon č. 6/1993 Sb., o České národní bance,

•

vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry.

18, 19, 20, 21

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

11

Celkově mohu konstatovat, že všechny uvedené legislativní akty týkající se profese interního auditu v bankovním sektoru vycházejí z Mezinárodního rámce pro profesionální praxi interního auditu a nejsou s ním v rozporu.

2 Postavení a organizační struktura útvaru interního auditu ve společnosti Interní audit ve společnosti je součástí řídícího a kontrolního systému. Řídící a kontrolní systém musí zahrnovat veškeré činnosti a organizační úrovně. Je tvořen všemi nástroji a procesy, které působí uvnitř společnosti a které usilují o zajištění záměrů a dosažení jejích cílů.22 Řídící a kontrolní systém tvoří základní stavební kameny společnosti a zahrnuje:23 •

kontrolní prostředí,

•

systém vnitřní kontroly,

•

informace a informační systém,

•

řízení rizik,

•

monitoring.

Interní audit jako jedna z kontrolních činností ve společnosti ověřuje veškeré činnosti organizace. A to včetně těch, které společnost zajišťuje formou outsourcingu. Je nástrojem k získání objektivních informací, odborných konzultací a ujištění o tom, zda jsou strategické cíle dosahovány, zda jsou rizika, kterým je společnost vystavena, odpovídajícím způsobem řízena a pod kontrolou, zda jsou vnitřní kontrolní a řídící systémy úplné, účinné, účelné a efektivně fungující a zda informace zpracovávané a vytvářené těmito vnitřními systémy vyhovují potřebám řízení společnosti.24

22

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 23 Basle commitee on banking supervision. Principles for enhancing corporate governance, 2010. 24 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8.

12

Interní audit musí být při své činnosti nezávislý na všech výkonných činnostech organizace. Nezávislost interního auditu musí prostupovat všemi fázemi jeho činnosti, zejména při identifikaci a analýze rizik, při plánování a přípravě auditů, včetně výběru metod ověřování a vyhodnocování, při zpracování a podání zprávy o provedeném auditu, při ověřování opatření a při monitoringu činností a rizik organizace.25 Postavení a činnost interního auditu musí být vymezeny ve vnitřních předpisech společnosti. V případě České spořitelny a. s. (dále jen ČS) se jedná zejména o: •

Stanovy ČS,

•

Rámcovou směrnici pro činnost centrály ČS,

•

Organizační řád ČS,

•

Řídící a kontrolní systém ČS,

•

Interní audit.

Organizačně je útvar interního auditu ČS podřízen přímo generálnímu řediteli, svým pojetím a obsahem činnosti podléhá výboru pro audit a dozorčí radě. Obrázek č. 1 Organizační začlenění útvaru interního auditu ČS

Valná hromada

Dozorčí rada

Výbor pro audit

Generální ředitel

Interní audit

Zdroj: Organizační řád ČS

Jak jsem se mohl přesvědčit, ředitel úseku interního auditu ČS komunikuje a je ve vzájemném kontaktu jak s představenstvem, tak s výborem pro audit a dozorčí radou ČS.

25

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry.

13

Ředitel úseku interního auditu musí minimálně jednou ročně potvrzovat představenstvu, dozorčí radě a výboru pro audit organizační nezávislost funkce interního auditu.26

2.1 Odpovědnost a povinnosti interního auditu Zaměstnanci, provádějící interní audit, jsou odpovědni za jeho provedení v souladu s platnými obecně závaznými předpisy, auditorskými standardy a vnitřními předpisy organizace. Interní auditoři jsou odpovědní zejména za:27 •

realizaci schváleného plánu interního auditu, včetně specifických úkolů nebo projektů, které si vyžádají dozorčí rada nebo výbor pro audit,

•

udržování profesionality interního auditu,

•

efektivní využívání zdrojů u auditorských činností prováděných v organizaci.

Zaměstnanci úseku IA neodpovídají za auditovanou činnost.28 Interní auditoři mají při své činnosti tyto povinnosti:29 •

postupovat nestranně a nezaujatě a vyhýbat se jakémukoliv střetu zájmů,

•

informovat příslušnou úroveň vedení organizace o zdánlivém či faktickém narušení nezávislosti nebo objektivity interního auditu (jednotlivce nebo úseku),

•

informovat příslušnou úroveň vedení organizace o všech nedostatcích řídícího a kontrolního systému tak, aby byla zajištěna možnost jejich urychleného řešení,

•

o závažných nedostatcích v řídícím a kontrolním systému informovat neprodleně představenstvo, dozorčí radu a výbor pro audit,

•

informovat příslušnou úroveň vedení organizace o výsledcích auditu,

•

po ukončení jednotlivých plánovaných auditů a vybraných auditů na základě požadavku vedení informovat představenstvo o jejich závěrech,

26

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. Vnitřní předpisy České spořitelny a. s. 28 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 29 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 27

14

•

pravidelně informovat představenstvo, výbor pro audit a dozorčí radu o činnosti úseku interního auditu a o dostatečnosti zdrojů úseku interního auditu a předávat jim zprávy, shrnující výsledky auditorské činnosti,

•

informovat neprodleně příslušného vedoucího zaměstnance v případě zjištění skutečností odůvodňujících podezření z trestné činnosti,

•

spolupracovat při šetření podezřelých a podvodných činností uvnitř organizace a informovat představenstvo, výbor pro audit a dozorčí radu o jejich výsledcích. Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob jakým je toto riziko řízeno v rámci organizace. Neočekává se od nich taková kvalifikace, jako je požadována od zaměstnanců organizace, jejichž hlavní odpovědností je odhalování a vyšetřování podvodů,

•

plnit všechny požadavky vyplývající pro interní audit z obecně závazných předpisů a požadavků regulátorů,

•

dodržovat při auditorské činnosti obecně závazné předpisy, vnitřní předpisy organizace a Mezinárodní rámec profesní praxe interního auditu,

•

upozornit svého nadřízeného na stav, kdy by interní audit měly vykonávat osoby, u kterých lze mít vzhledem k jejich vztahu k předmětu interního auditu nebo k zaměstnancům auditovaného subjektu pochybnosti o jejich nepodjatosti,

•

zajišťovat, aby při činnostech interního auditu nedocházelo k porušení nezávislosti a objektivity interního auditu i v případě, že k provádění auditu je přizván zaměstnanec jiného útvaru organizace,

•

zachovávat diskrétnost a mlčenlivost o veškerých skutečnostech zjištěných v průběhu výkonu auditorské činnosti,

•

zajišťovat veškeré získané materiály, soubory na médiích, vlastní dokumentaci tak, aby bylo zabráněno jejich zneužití nepovolanou osobou,

•

respektovat a v rámci svých možností nenarušovat plynulý výkon činností auditovaných subjektů,

•

při výkonu poradenské činnosti zajistit, aby nebyla omezena schopnost interního auditu podávat nezávislé a objektivní ujištění o funkčnosti a efektivnosti řídícího a kontrolního systému,

15

•

soustavně zvyšovat svoji kvalifikaci formou odborného vzdělávání. Znalosti, dovednosti a další schopnosti jsou společným termínem označujícím profesní odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný výkon jejich profesních odpovědností. Profesionální způsobilost každého interního auditora a útvaru interního auditu jako celku je stěžejní pro řádné fungování interního auditu organizace.

Ředitel úseku interního auditu je povinen dát, v případě zjištění, která mohou záporně ovlivnit hospodaření organizace, s vědomím představenstva, podnět k mimořádnému zasedání dozorčí rady a informovat ji a výbor pro audit o zjištěných skutečnostech.30

30

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry.

16

Aplikační část 3 Interní audit v ČS 3.1 Proces interního auditu Kvalitním naplňováním činnosti interního auditu získává ČS ujištění, že rizika, kterým je vystavena, jsou pod kontrolou. Management je o nich včas informován, chápe je a rozhoduje o jejich snížení prostřednictvím opatření směřujících k nápravě. Proces interního auditu v ČS zahrnuje následující fáze, které na sebe úzce navazují a tvoří nedílný celek:31 •

Plánování činnosti interního auditu ( tvorba strategického a periodického plánu interního auditu),

•

Přípravu auditu (zejména naplánování jednotlivého auditu či auditorské zakázky a tvorba programu auditu),

•

Provádění auditu a tvorba auditorské zprávy,

•

Ukončení auditu (projednání auditorské zprávy),

•

Hodnocení kvality práce interních auditorů auditovanými útvary,

•

Ověřování plnění přijatých opatření.

Ve své bakalářské práci se dále budu věnovat procesu plánování činnosti interního auditu, protože jsem měl možnost z vlastního zájmu se tohoto procesu v ČS účastnit a získat potřebné informace a zkušenosti pro moji bakalářskou práci.

31

Vnitřní předpisy České spořitelny a. s.

17

4 Plánovací proces činnosti interního auditu v ČS Cílem plánování činnosti interního auditu je kvalifikovaným způsobem sestavit periodický a strategický plán, který postihuje všechna riziková místa a zároveň naplňuje požadavky regulátora. Ve standardech, které tvoří nedílnou součást Mezinárodního rámce profesionální praxe interního auditu je oblasti plánování věnován Standard 2010 – Plánování, který zní takto: „Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu.“32 Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik, které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a orgánů společnosti. Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu.33 Interpretace tohoto standardu: Vedoucí interního auditu je odpovědný za vytvoření plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije své vlastní posouzení rizik.34 Platné tuzemské požadavky na plán činnosti interního auditu jsou soustředěny ve vyhlášce ČNB č. 123/2007 Sb., ve znění vyhlášky ČNB č. 282/2008 Sb., která je vydána na základě a v mezích zákonů, do kterých byly promítnuty příslušné směrnice Evropských společenství.35

32, 33, 34 35

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-5. Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady 2006/48/ES.

18

Kromě uvedené vyhlášky jsem vycházel v mé bakalářské práci i z návrhu úředního sdělení ČNB, který obsahuje Výkladová stanoviska ČNB k zajišťování výkonu interního auditu a očekávání ČNB k zajišťování interního auditu. Z vyhlášky ČNB vyplývá že: •

plánování činnosti a rozvrhování kapacit interních

auditorů je založeno na

analýze rizik, •

analýza rizik hodnotí míru rizik spojených s jednotlivými činnostmi banky tak, že zohlední pravděpodobnost selhání řídícího a kontrolního systému v jednotlivých oblastech a míru možné ztráty z tohoto selhání vyplývající. Výstup z provedené analýzy rizik předkládá osoba pověřená výkonem interního auditu představenstvu a dozorčímu orgánu, výboru pro audit, k projednání,

•

na základě analýzy rizik sestavuje osoba pověřená výkonem interního auditu návrh strategického a periodického plánu interního auditu.36

Plánování interního auditu osobně chápu jako myšlenkové předjímání budoucí činnosti na základě zvažování různých alternativ a výběr nejvýhodnější cesty vedoucí k jejímu naplnění. Účelem plánování činností interního auditu je vytvoření racionálního základu pro koordinaci a efektivní využívání zdrojů interního auditu se záměrem pomáhat organizaci dosahovat jejích cílů vytvářením systematického náhledu na úroveň správy a řízení společnosti, včetně systémů řízení rizik a ujištěním o přijatelnosti podstupovaných rizik.37

36

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 37 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.

19

Z hlediska časového horizontu můžeme uvažovat o dvou rovinách plánování, a to o rovině strategické a operativní. Těžištěm strategického plánování jsou pak, vzhledem k jeho orientaci na budoucnost, dlouhodobé plány. Operativní plány se vztahují na kratší časový horizont a představují rozpracování strategického plánu na jednotlivá období.38 Základem pro fázi plánování v interním auditu v ČS jsou zejména strategické koncepce, výsledky analýzy rizik činností banky a vlastní systém identifikace rizik, výsledky interního a externího auditu, monitorování rizik banky a požadavky na audit ze strany vedení, dozorčí rady a výboru pro audit. Na základě toho jsou stanoveny hlavní cíle a priority pro plánované období, které jsou uvedeny v dokumentech interního auditu, a to ve:
strategickém plánu interního auditu, který se zpracovává zpravidla na období tří let,
periodickém plánu, který se zpracovává zpravidla na období jednoho roku, v případě potřeby na jednotlivá pololetí příslušného roku. Vychází ze strategického plánu a zahrnuje rozsah, věcné zaměření a cíle interního auditu.39

38 39

Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. Vnitřní předpisy České spořitelny a. s.

20

4.1 Strategický plán činnosti interního auditu v ČS Strategický plán činnosti interního auditu rámcově vymezuje zaměření a periodicitu činnosti interního auditu na období tří let dle jednotlivých oblastí činností banky. Vychází z požadavků legislativy a regulatorních orgánů a jeho roční aktualizace zohledňuje výsledky analýzy rizik, posouzení strategických záměrů banky, vnitřní a vnější změny podnikatelského prostředí, vyhodnocení provedených auditů a další informační zdroje.40 Strategický plán stanoví: •

priority interního auditu, které jsou vymezeny analýzou rizik a požadavky regulatorních orgánů,

•

periodicitu auditů (rok provedení auditů) v jednotlivých oblastech činností, zejména v návaznosti na analýzu rizik.

Strategický plán obsahuje: •

oblasti činností banky,

•

plánovaný rok provedení auditu,

•

audity realizované v periodickém plánu pokrývající danou oblast činnosti banky.

Strategický plán činnosti interního auditu tvoří základ pro sestavení periodického plánu činnosti interního auditu.

40

Vnitřní předpisy České spořitelny a. s.

21

4.2 Periodický plán činnosti interního auditu v ČS Periodický plán činnosti interního auditu je sestavován na období jednoho roku. Cílem periodického plánu je: •

zajistit povinnosti interního auditu vyplývající z platné legislativy a z požadavků regulatorních orgánů,

•

definovat zaměření auditů v ČS dle výsledků analýzy rizik, přičemž do periodického plánu činnosti je zahrnuto ověření těch oblastí a činností, pro které analýza rizik stanovila vyšší míru rizikovosti,

•

zajistit požadavky útvaru interního auditu vlastníka ČS, tj. Erste Group,

•

zohlednit záměry strategického plánu,

•

optimálně rozvrhnout dostupnou kapacitu interního auditu,

•

reflektovat požadavky a náměty dozorčí rady, výboru pro audit, představenstva a dalších vedoucích zaměstnanců.41

Základem pro nastartování procesu tvorby plánů je sestavení pracovního harmonogramu plánovacího procesu. Jako vzor v mé bakalářské práci je níže uvedený harmonogram, který jsem použil, jako člen týmu pro tvorbu periodického plánu na rok 2011 a aktualizovaného strategického plánu na období let 2011 – 2013 v ČS. Tabulka č. 1 Harmonogram plánovacího procesu interního auditu v ČS Aktivita Sběr námětů managementu do plánu - náměty managementu je nutno vložit do informačního systému interního auditu Zaslání návrhu na požadované provedení auditů od vlastníka ČS – interního auditu Erste Bank Holding.

Termín

3. 8. - 30. 9. 2010

30. 8. 2010

Projednání regulatorních auditů s řediteli útvaru interního auditu ČS - projednání návrhu regulatorních auditů pro daný útvar interního auditu, odsouhlasení údajů

6. - 10. 9. 2010

(název, cíl,kapacita, velikost týmu, auditované útvary, ...)

41

Vnitřní předpisy České spořitelny a. s.

22

Návrh auditů do periodického plánu od ředitelů útvaru IA, na základě: - Strategie ČS - Karet rizik (odhady velikosti rizik nutno korigovat expertním názorem auditora) - Analýzy rizik k 31. 8. 2010

6. 9. – 30 .9. 2010

- Aktualizovaného strategického plánu k 31. 8. 2010 s vyznačenou periodou ověření - Informací z monitorování útvarů a projektů

Předání návrhu plánu ředitelů útvaru interního auditu ČS Předání kompletního návrhu plánovacího balíčku

18. 10. 2010

Projednání návrhu plánu s řediteli útvarů interního auditu ČS Primárním cílem je projednání a případně úpravy detailu auditů pro konkrétní útvar interního auditu, tzn. úprava kapacit, textace cíle,

19. - 26. 10. 2010

auditované subjekty, požadavky na spolupráci a podporu, termín provedení, apod. Aktualizace a kompletace plánovacího balíčku pro Plánovací offsite a odeslání podkladů řediteli úseku interního auditu

27. 10. 2010

Plánovací offsite Interního auditu ČS Cílem je vyřešení a finální dohoda o kapacitách, prioritách, meziodborové spolupráci a podpoře

Odeslání návrhu periodického plánu a strategického plánu ke schválení do interního auditu Erste Bank. Návrh složení auditorských týmů na 1. pololetí 2011 Předložení návrhu strategického a periodického plánu činnosti interního auditu ke Schválení Výboru pro audit a Dozorčí radě ČS

1. - 3. 11. 2010

12. 11. 2010

6. - 30. 11. 2010 6. 12. 2010

Zdroj: Dokumentace plánovacího procesu ČS

Samozřejmě platí, že sestavený harmonogram nestačí jen vypracovat, ale je nutné s ním seznámit všechny účastníky plánovacího procesu a hlavně se jím ve vlastní práci řídit a dodržovat ho. Plánovací proces stanoví konkrétní úkoly úseku interního auditu. Nejprve se ale musí vymezit celková kapacita pracovníků útvaru interního auditu.

23

Tabulka č. 2 Vymezení kapacity úseku interního auditu ČS Rok 2011

1.

Fond pracovních dnů v ČR v roce 2011 je podle oficiálního pracovního

PD

253

a) Dovolená (počet dní je stanoven kolektivní smlouvou)

ŘD

25

b) Zdravotní volno (počet dní je stanoven kolektivní smlouvou)

ZV

5

c) Nemocnost 1) (počet navržených dní)

N

6

d) Vzdělávání 2) (počet navržených dní)

V

16

e) Informace, komunikace 3) (počet navržených dní)

IK

21

Plánovaný počet zaměstnanců IA

PZ

73

VFPD

180

kalendáře 253.

2.

3.

a) VFPD 1 zaměstnance IA: 4.

VFPD = PD - ŘD - ZV - N - V - IK b) VFPD na plánovaný počet zaměstnanců IA

VFPD

VFPD = PZ x VFPD

na PZ

13140

Zdroj: Dokumentace plánovacího procesu interního auditu ČS

Plán činnosti interního auditu může být operativně doplňován na základě požadavků dozorčí rady, výboru pro audit, představenstva a dalších vedoucích zaměstnanců banky na provedení auditu, případně na základě rozhodnutí ředitele úseku interního auditu. Při změnách, resp. doplňování periodického plánu musí být vždy zohledněna disponibilní kapacita úseku interního auditu. Pro účely optimálního rozložení kapacity interního auditu ČS na plánované období je rozhodnutím ředitele úseku interního auditu sledována skutečně využitá kapacita na naplnění jednotlivých položek periodického plánu. Toto sledování je zajištěno modulem aplikace interního informačního systému interního auditu v ČS "Vykazování kapacit". Analýza vykázaných kapacit na jednotlivé zakázky tvoří základ pro stanovení kapacit na jednotlivé audity do plánu. Návrh aktualizace strategického plánu a návrh příslušných periodických plánů interního auditu za celou banku předkládá ředitel útvaru interního auditu ke schválení dozorčí

24

radě a výboru pro audit. O schválených plánech interního auditu je informováno představenstvo společnosti.42

5 Návrh plánu činnosti interního auditu ČS na rok 2011 Když jsem se zamýšlel nad návrhem plánu činnosti interního auditu a jeho konkrétní tvorbou, musel jsem si nejprve odpovědět na otázku co je to vlastně řízení rizik a jak se řídí rizika v ČS? Došel jsem k závěru, že řízení rizik je jako proces, vytvářený představenstvem ČS, managementem

a ostatními

pracovníky,

aplikovaný

ve

strategii

ČS,

určený

k identifikaci potenciálních událostí, které mohou ovlivnit banku. Řízení rizik je: •

neustálý a plynulý proces v ČS,

•

prováděný zaměstnanci na každé organizační úrovni ČS,

•

aplikovaný ve strategii ČS,

•

aplikovaný napříč společností, v každé její úrovni a jednotce a zahrnující pohled na celkové portfolio ČS,

•

určený k identifikování potenciálních událostí ovlivňujících ČS a řízení rizik v rámci její rizikové tolerance.43

Řízení rizik je o nastolení dohledu, kontroly a disciplíny k zavedení neustálého zlepšování schopností ČS řídit rizika v měnícím se provozním prostředí, což urychlí vyzrálost ČS. Pro implementaci uvedené procesu řízení rizik hovoří následující důvody: o snižuje nepřijatelnou výkonnostní variabilitu, o seřazuje a sjednocuje proměnlivé názory na řízení rizik, o vytváří důvěru investorů a akcionářů, o zvyšuje úroveň corporate governance, o úspěšně reaguje na měnící se obchodní prostředí.

42

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry. 43 Vnitřní předpisy České spořitelny a. s.

25

Kde je úloha interního auditu ČS v procesu řízení rizik? Interní audit ČS poskytuje asistenci managementu a představenstvu ČS pomocí průběžného vyhodnocování efektivity procesu řízení rizik a navrhuje doporučení, jak ho zlepšovat. Je ale důležité, že nikdy nezodpovídá za funkci řízení rizik a nerozhoduje o řešení rizik a jejich implementaci. Není možné implementovat něco, co bude muset v rámci schváleného plánu činnosti hodnotit. Na druhé straně interní audit ČS napomáhá a hodnotí systém řízení rizik ČS. V ČS management zůstává odpovědným za řízení rizik. Interní audit

poskytuje

poradenství a objektivně hodnotí rozhodnutí managementu. Tabulka č. 3 Role interního auditu v procesu řízení rizik

Základní role interního auditu v řízení rizik

Interní audit může zahrnovat

Role, které by interní audit neměl vykonávat

•

Poskytování ujištění o procesech řízení rizik.

•

Pomoc při identifikaci a posouzení rizik.

•

Nastavování akceptovatelné míry rizika.

•

Poskytování ujištění že rizika jsou správně vyhodnocována.

•

•

Zavádění procesů řízení rizik.

•

•

Hodnocení procesů řízení rizik.

Školení managementu v hledání řešení identifikovaných rizik.

Rozhodování o reagování na rizika.

•

•

Vyhodnocení reportingu o klíčových rizicích.

Implementace reakce na rizika jménem managementu.

•

•

Revidování řízení klíčových rizik.

Odpovědnost za řízení rizik.

•

Konsolidovaný (sloučený) reporting o rizicích.

•

Podpora při rozvoji rámce řízení rizik.

•

Rozvoj strategie řízení.

Zdroj: Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.

26

5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS Samotný proces sestavení plánu interního auditu jsem si rozdělil do čtyř základních etap. Jsou to: •

příprava a sběr dat,

•

analýza rizik a zpracování dat,

•

sestavení návrhu plánu,

•

projednávání a schvalování plánu.

Za základ ke zpracování plánu považuji sběr dat. V rámci činnosti interního auditu jsou průběžně v průběhu celého roku shromažďovány veškeré dostupné informace, které v mé bakalářské práci dále uvádím a

které mají relevantní využití při zpracování

návrhu periodického a aktualizaci strategického plánu činnosti interního auditu. Po utřídění získaných informací jsem provedl jejich analýzu s cílem identifikovat nejzávažnější rizika v obchodní a neobchodní činnosti ČS. Dále pracovníci útvaru interního auditu v etapě přípravy oslovují vedoucí zaměstnanci banky s cílem získat jejich představu o zaměření činnosti interního auditu a o nejvýznamnějších rizicích v bance. Základními zdroji dat pro zpracování plánů jsou informace, které jsem získal zejména ze: •

strategie společnosti,

•

analýzy rizik činností zpracované pomocí interního systému identifikace rizik (ISIR),

•

požadavků regulatorních orgánů,

•

požadavků dozorčí rady a výboru pro audit ČS,

•

strategického plánu činnosti interního auditu,

•

námětů útvaru interního auditu Erste Group,

•

z námětů zaměstnanců úseku interního auditu ČS.

27

V etapě analýzy rizik je nutné na základě výsledků přípravy upřesnit věcně, kapacitně a časově pracovní verze periodického plánu činnosti interního auditu na jednotlivá plánovací období, zejména z hlediska priorit realizace jednotlivých auditů a ostatních aktivit interního auditu. Proces provedené analýzy rizik pro plán činnosti je popsán ve stati 5. 2 mé bakalářské práce. Na základě analýzy rizik jsem sestavil první návrh periodického plánu, který jsem projednal několikakolově s vedením úseku interního auditu. Účelem připomínkového řízení je zejména sladění kapacitních možností odborných týmů útvaru interního auditu a současně vzájemné odsouhlasení zaměření a cílů jednotlivých auditorských činností uvedených v návrhu periodického plánu činnosti interního auditu. Po zpracování zpřesněného návrhu periodického plánu činnosti interního auditu jsem aktualizoval strategický plán činnosti. Návrh strategického plánu, jeho aktualizaci a návrh příslušného periodického plánu činnosti interního auditu, předkládá ředitel úseku interního auditu k projednání představenstvu a výboru pro audit a ke schválení dozorčí radě ČS.44 Schválení plánů činnosti interního auditu ČS v dozorčí radě je podle mého názoru zásadní pro posílení nezávislosti útvaru interního auditu. O schváleném strategickém a periodickém plánu činnosti je informován management ČS.

44

Vnitřní předpisy České spořitelny a. s.

28

5. 2

Analýza rizik v procesu sestavování plánu činnosti interního auditu v ČS

V této části mé bakalářské práce se dále podrobněji zaměřím na oblast analyzování rizik činností, která je podle mého názoru jednou z klíčových záležitostí při přípravě plánu a je v ČS velmi podrobně a kvalitně rozpracována a myslím si také i efektivně využívána. Především je třeba vytvořit nebo mít zavedený systém pro sběr podkladů sloužících k analyzování rizik činností a tím je v podmínkách ČS tzv. Interní systém identifikace rizik. Tento

systém

naplňuje

rovněž

požadavek na informace o každém identifikovaném riziku a popisuje riziko pomocí

složky

pravděpodobnosti

a dopadu a zohledňuje pravděpodobnost a dopad selhání řídícího a kontrolního systému. Uvedený přístup je uveden na obrázku č. 2. Interní systém identifikace rizik (dále jen ISIR) je ucelený soubor postupů a nástrojů, který slouží internímu auditu v

procesu

identifikace,

evidence

a tvorby analýzy rizik identifikovaných interním auditem.

zdroj: Vnitřní předpisy České spořitelny a. s.

Každé auditorské zjištění (riziko) je auditorem evidováno v systému s těmito údaji: •

vstupní zdroj,

•

útvar, který je odpovědný za rizika ze zjištění vyplývající,

•

textový popis zjištění,

•

textový popis rizika.

29

Každé riziko vyplývající ze zjištění je popsáno: •

kódem dle Knihy rizik,

•

kódem dle Knihy produktů, aplikací a činností,

•

velikostí rizika (pravděpodobnost a dopad),

•

typem rizika.

Kniha rizik napomáhá k jednotnému pohledu na rizika v rámci ČS definováním základní množiny rizik, které se mohou vyskytovat v činnostech ČS. Každé riziko má přidělen kód a je podrobně popsáno. Kniha rizik je součástí vnitřní předpisové základny ČS. Pro potřeby přesnějšího specifikování rizika je nutné specifikovat, ve které činnosti, produktu nebo aplikaci bylo riziko identifikováno. Z těchto důvodů byla v úseku interního auditu vytvořena Kniha produktů, aplikací a činností (dále Kniha PAC). Do Knihy PAC byly zahrnuty hlavní bankovní produkty, aplikační programové vybavení a hlavní činnosti ČS. Velikost rizika je odvozována na základě pravděpodobnosti výskytu a možných negativních dopadů či ztrát spojených s výskytem rizikové události, které by mohly v dalším období nastat. K hodnocení závažnosti nedostatků se užívá stupnice dle přílohy č. 3 k vyhlášce ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry:45 Stupeň 1 - nízká míra závažnosti •

nedostatek neohrožuje hospodářský výsledek a kapitál banky/DS

•

jedná se o méně významný nedostatek nesystémového charakteru Stupeň 2 - střední míra závažnosti

•

nedostatek neohrožuje kapitál a hospodářský výsledek banky/DS

•

jedná se o dílčí nedostatek systémového charakteru nebo významnější nedostatek nesystémového charakteru

45

Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev a obchodníků s cennými papíry.

30

Stupeň 3 - vysoká míra závažnosti •

nedostatek může ohrozit kapitál a hospodářský výsledek banky/DS

•

nedostatek má vliv na efektivnost a účinnost více dílčích procesů v bance/DS

•

jedná se o zásadní systémový nedostatek určité oblasti řízení rizik Stupeň 4 - velmi vysoká míra závažnosti

•

nedostatek může mít vliv na další existenci banky/DS

•

nedostatek významným způsobem ohrožuje kapitál a hospodářský výsledek banky/DS

•

nedostatek má zásadní vliv na efektivnost a účinnost procesů banky/DS

Takto jednotně nastavený systém klasifikace nedostatků identifikovaných interním auditem v rámci ČS vytváří podle mého názoru předpoklad pro objektivní a vzájemné porovnávání výsledků jednotlivých auditů. Množina vstupních informací pro analýzu rizik do systému ISIR je zvolena takovým způsobem, aby bylo zajištěno vyvážené a úplné pokrytí všech činností ČS - jsou to zejména: •

výsledky auditů prováděných interním auditem,

•

monitorování činností útvarů ČS,

•

monitorování projektů ČS,

•

hlášení operačních rizik,

•

reklamace a podání klientů,

•

databáze IT selhání,

•

výsledky měření spokojenosti vnitřních klientů ČS,

•

výsledky měření spokojenosti klientů a obchodních míst,

•

výsledky auditů prováděných ve spolupráci s útvary interního auditu Erste Group,

•

materiály a doporučení regulatorních orgánů, externího auditora a dalších subjektů.

Evidence identifikovaných rizik je zajišťována a plně podporována Informačním systémem interního auditu (ISIA). Množinu takto identifikovaných rizik jsem následně

31

podrobil analýze rizik, která představuje souhrnné vyhodnocení rizik evidovaných za ČS za pomocí matematického modelu, který je pravidelně kalibrován. Výsledek analýzy ukazuje míru rizikovosti v rozsahu 0 až 5 v členění: •

dle kódů Knihy rizik ČS s rozkladem na kódy produktů, aplikací a činností,

•

dle kódů Knihy produktů, aplikací a činností s rozkladem na skupiny kódů Knihy rizik ČS.

Podle stanovených pravidel úsekem interního auditu ČS by periodický plán činnosti interního auditu měl ověřit míru rizikovosti od stupně 3 do stupně 5.46 Výsledek analýzy rizik je na obrázku č. 3 ve formě grafického vyjádření významných rizik (stupeň ISIR 3 - 5) formou tzv. mapy rizik a to v členění dle skupin kódů Knihy rizik ČS. Obrázek č. 3 Mapa rizik dle kódů Knihy rizik v ČS ISIR velikosti 3 až 5

46

Vnitřní předpisy České spořitelny a. s.

32

Tabulka č. 4 Analýza rizik procesu interního auditu v ČS dle kódů Knihy rizik Kód

Název kategorie / segmentu / rizika

ISIR

51020

Úvěrové riziko bankovního portfolia

5

20100

Chybné platby a vypořádání

4,5

20200

Nedostatky ve smluvní dokumentaci s klienty

4,5

20800

Porušení zodpovědnosti banky

4,5

72100

Selhání /porušení vnitřních compliance procedur

4,5

Kriminální jednání zaměstnanců nedovolené 10100

manipulace

4

20700

Nesprávné obchodní,tržní praktiky

4

30100

Selhání systémů

4

30200

Narušení bezpečnostních systémů

4

Podezření na podvodné jednání klientů, 40100

kriminální aktivity

4

10200

Neautorizované aktivity, přestupky zaměstnanců

3,5

10300

Pracovněprávní problémy

3,5

20500

Chybné řízení projektů

3,5

40300

Outsourcing,dodavatelské riziko

3,5

40500

Bezpečnost IT

3,5

74180

Riziko správy a řízení společnosti

3,5

75100

Riziko reputační

3,5

77110

Riziko z omezení dostupnosti služeb

3,5

20300

Chyby v ocenění,nedostatky v přípravě produktu

3

21000

Nedostatky pri správe klientských dat a informací

3

40200

Selhání obchodní protistrany

3

74130

Riziko organizačních změn

3

Riziko nesprávné strategické koncepce 74150

banky/společnosti

3

Zdroj: Vnitřní předpisy České spořitelny a. s.

33

Výsledek analýzy rizik velikosti 3 – 5 je na obrázku č. 4 uveden ve formě mapy rizik dle kódů Knihy produktů, aplikací a činností (Knihy PAC). Obrázek č. 4 Mapa rizik dle kódů Knihy PAC ISIR velikosti 3 až 5

34

Tabulka č. 5 Analýza rizik procesu interního auditu ČS dle kódů Knihy PAC PAC

Název

ISIR

Úvěry PO a FO-P v Kč (investič., provoz., revolving., eskont., investiční nástroje, vč. 1280

úvěrů z kredit. karet)

1270

Úvěry fyzickým osobám v Kč (na investiční nástroje, vč. úvěrů z kreditních karet)

1070

Hypoteční úvěry v Kč

4

3070

Fyzická bezpečnost, zajištění bezpečnosti osob a majetku

4

3305

Řízení úvěrového rizika

4

3505

Řízení ekonomického kapitálu - ICAAP

4

1065

Hotovostní operace v Kč a CM

3,5

1130

Platební karty

3,5

2230

Kondor+ Dealing-řízení rizik

3,5

3020

Bezpečnost informační technologie

3,5

3170

Organizace a řízení IT

3,5

3245

Projektové řízení - koordinace

3,5

3250

Procesy, prostředí a standardy pro IT

3,5

3531

Činnosti v oblasti decentralizovaných systémů

3,5

1020

Účty v Kč a CM

3

1175

Produkty přímého bankovnictví

3

2440

SAP - Účetní systém

3

2810

APS - Application Processing System

3

2815

ISPV - Informační systém podpisových vzorů

3

3015

Bezpečnost dat a ochrana osobních údajů

3

3105

Kontrola fyzického a logického přístupu

3

3125

Řízení kvality služeb

3

3200

Platební styk - tuzemský

3

3360

Činnosti univerzální účtárny a správy účtů

3

3420

Zajišťování plnění požadavků regulátorů (ČNB, KCP, MF, aj.)

3

3517

Řízení a podpora - komunální financování

3

3521

Řízení produktů a podpora - úvěry PO a FO-P

3

3528

Finanční řízení projektu

3

5 4,5

Zdroj: Vnitřní předpisy České spořitelny a. s.

Na základě provedené analýzy rizik jsem přistoupil k návrhu tvorby konkrétního periodického plánu činnosti interního auditu. Do plánu jsem v první řadě zohlednil požadavky platné legislativy, požadavky regulátorů a následně výsledky analýzy rizik v kombinaci se strategickým plánem interního auditu ČS. Návrh periodického plánu je uveden v příloze č. 1 mé bakalářské práce.

35

Současně s návrhem periodického plánu na rok 2011 jsem sestavil přehled pokrytí významných identifikovaných rizik navrhovanými audity, který je uveden v příloze č. 2 mé bakalářské práce. Tento přehled slouží k ujištění, že plánovanými audity jsou pokryta nejvyšší identifikovaná rizika na základě provedené analýzy rizik. Po vypracování návrhu periodického plánu jsem provedl rozdělení kapacit interního auditu na rok 2011 podle jednotlivých činností. Podrobný přehled rozdělení kapacit je uveden v příloze č. 3 této bakalářské práce. Návrh strategického plánu na roky 2011 – 2013 jsem aktualizoval s ohledem na výsledky provedené analýzy rizik, platnou legislativu a schválenou zásadu ověřovat jednotlivé oblasti činností banky minimálně ve tříleté periodě. Návrh aktualizovaného strategického plánu je uveden v příloze č. 4 mé bakalářské práce.

5.3 Shrnutí aplikační části bakalářské práce Základem pro tvorbu návrhu strategického a periodického plánu činnosti interního auditu v ČS byla analýza rizik identifikovaných v rámci celoroční činnosti interního auditu. Provedená analýza rizik v mé bakalářské práci za rok 2010 zohledňuje podle mého názoru dostatečně pravděpodobnost selhání řídícího a kontrolního systému v činnostech banky, poskytuje přehled o rizicích, která nebyla v uplynulém období zcela pod kontrolou a dále o rizicích, na jejichž řízení by se banka měla zaměřit a snížit pravděpodobnost jejich možného vzniku. Rizikovost oblastí, které byly dle analýzy rizik vyhodnoceny jako klíčové, byla potvrzena i vnímáním manažerů banky jež bylo získáno v rámci jejich námětů na provedení auditů pro rok 2011. Při tvorbě návrhu periodického plánu činnosti interního auditu v ČS byly v první řadě zohledněny požadavky platné legislativy, požadavky regulátorů a vhodně využity výsledky analýzy rizik v kombinaci se strategickým plánem interního auditu ČS. Dále byly zapracovány požadavky interního auditu vlastníka banky Erste Bank Holding a zohledněny náměty a témata, jejichž řešení doporučil management banky.

36

V souladu se zásadami a metodikou plánovacího procesu úseku interního auditu ČS je periodický plán činnosti sestaven v mé bakalářské práci takovým způsobem, aby pokryl všechna významná rizika a cíle auditů byly zaměřeny primárně na nejrizikovější oblasti činností. Tedy činnosti banky s mírou rizikovosti na stupnici 3 a vyšší, přičemž rozsah této stupnice je od 0 do 5. Současně s návrhem periodického plánu na rok 2011 je sestaven v příloze mé bakalářské práce přehled pokrytí významných identifikovaných rizik navrhovanými audity, ze kterého vyplývá, že je v návrhu plánu pokryta rizikovost od stupně 3 do stupně 5. Aby bylo možné pružně reagovat na aktuální vývoj v průběhu roku, zahrnuje návrh plánu na rok 2011 kapacitní rezervu ve výši 2,2 % (celkové roční kapacity) na audity vyhlašované z požadavku vedení. Toto je dle mého názoru velmi vhodné, aby management banky mohl využívat poradenské a ujišťovací úlohy útvaru interního auditu ČS. V případě, že takové audity uplatněny a vyhlášeny nebudou, má útvar interního auditu ČS připraven zásobník auditů, které byly v rámci plánovacího procesu vyhodnoceny jako přínosné s ohledem na možná rizika či naplňování strategie banky, ale jsou již mimo dostupnou kapacitu útvaru. Návrh plánu interního auditu byl vypracován na plánovaný počet zaměstnanců úseku interního auditu tj. 73 FTE. Tento plánovaný počet pracovníků útvaru interního auditu byl schválen představenstvem ČS. Dostupné kapacity byly rozděleny dle významnosti jednotlivých činností navržených v periodickém plánu. Souhrnný poměr mezi auditorskou činností a ostatními podpůrnými činnostmi pak vychází 84,2 % a 15,8 %, tak jak je uvedeno v příloze mé bakalářské práce. Tento poměr je velmi dobrý, protože celosvětový benchmark vykazuje poměr 75 % : 25 %. Schválený plánovaný počet pracovníků útvaru interního auditu ČS je podle mého názoru nízký, protože podle mezinárodního srovnání by počet interních autorů měl činit 1 % z celkového počtu zaměstnanců. Jelikož v ČS je 10 800 zaměstnanců, měl by činit celkový počet interních auditorů 108 FTE. Návrh strategického plánu činnosti interního auditu na roky 2011 – 2013 byl vhodně aktualizován s ohledem na výsledky provedené analýzy rizik, platnou legislativu a schválenou zásadu ověřovat jednotlivé oblasti činností banky minimálně v tříleté periodě.

37

Perioda ověření všech činností banky v minimálně tříletém cyklu není dodržena pouze pro činnost „Ekonomických a strategických analýz“, tak jak je uvedeno v příloze mé bakalářské práce, a to z kapacitních důvodů útvaru interního auditu ČS. V této činnosti doposud nebyla identifikována útvarem interního auditu ČS materiální rizika. Mé doporučení v tomto porušení zásad tvorby strategického plánu je, že v případě, když nedojde k využití kapacitní rezervy na audity z požadavku vedení, měl by se provést audit této činnosti v roce 2011 formou auditu z požadavku ředitele úseku interního auditu. Domnívám se, že návrh periodického plánu činnosti úseku interního auditu ČS na rok 2011 a návrh aktualizace strategického plánu činnosti na období 2011 – 2013, tak jak je uveden v mé bakalářské práci může s klidným svědomím schválit dozorčí rada ČS, protože podle mého názoru i podle názoru pracovníků bankovního dohledu České národní banky, se kterými jsem měl možnost plánovací proces interního auditu ČS konzultovat, sestavený návrh periodického plánu a návrh aktualizace strategického plánu byly zpracovány v souladu s vyhláškou ČNB č. 123/2007, o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry i s Mezinárodním rámcem profesionální praxe interního auditu.

38

Závěr Pro naplnění cíle mé bakalářské práce jsem nejdříve vymezil profesi interního auditu jako nezávislou, objektivní, ujišťovací a konzultační činnost, zaměřenou na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosáhnout jejich cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních procesů a řízení a správy organizace. Při tomto vymezení profese interního auditu jsem vycházel z Mezinárodního rámce pro profesionální praxi interního auditu, který by měl každý manažer útvaru interního auditu i všichni interní auditoři dodržovat. Došel jsem k závěru, že se jedná o velmi specifickou a náročnou činnost, kterou mohou vykonávat pouze pracovníci s vysokou specializací v rámci daného oboru podnikání. Podle mého názoru by každý vrcholový manažer měl projít útvarem interního auditu, protože v tomto útvaru získá přehled o všech činnostech a aktivitách organizace, o naplňování strategie organizace, o účinnosti a efektivnosti řídících a kontrolních mechanismů a o tom zda rizika v organizaci jsou dostatečně řízena a zda jsou pod kontrolou. Rovněž cílem mé bakalářské práce bylo vytvořit návrh strategického plánu činnosti interního auditu na roky 2011 – 2013 a periodického plánu činnosti interního auditu České spořitelny a. s. na rok 2011. Jelikož jsem měl možnost se seznámit z vlastní iniciativy s činností a procesem interního auditu v České spořitelně a. s., proto jsem se v aplikační části mé bakalářské práce zaměřil na jednu oblast tohoto procesu a to na plánovací proces interního auditu. Po seznámení s mezinárodními a tuzemskými požadavky na tento proces a s využitím nástrojů a informací z České spořitelny a. s. jsem provedl analýzu identifikovaných rizik. Na základě výsledků analýzy rizik jsem vypracoval návrh periodického plánu činnosti interního auditu pro Českou spořitelnu a. s. na rok 2011 a návrh aktualizovaného strategického plánu činnosti pro Českou spořitelnu a. s. na roky 2011 - 2013.

39

Základem pro tvorbu strategického a periodického plánu byla analýza rizik identifikovaných v rámci České spořitelny a. s. a jejich vyhodnocení interním systémem identifikace rizik Češké spořitelny a. s. Provedená analýza rizik za rok 2010 zohledňovala pravděpodobnost selhání řídícího a kontrolního systému v činnostech banky, poskytovala přehled o rizicích, která nebyla v uplynulém období zcela pod kontrolou a dále o rizicích, na jejichž řízení by se banka měla zaměřit a snížit pravděpodobnost jejich možného vzniku. V souladu se zásadami a metodikou plánovacího byl návrh periodického plánu činnosti sestaven takovým způsobem, aby pokryl všechna významná rizika a cíle auditů byly zaměřeny primárně na nejrizikovější oblasti činností. Tedy činnosti banky s mírou rizikovosti na stupnici ISIR 3 a vyšší, přičemž rozsah této stupnice je od 0 do 5. Kromě jiného, jsem u důvodů zařazení jednotlivých auditů do plánu uvedl odkazy na příslušné související body strategie České spořitelny a. s. pro období 2011 – 2013. Tím je vidět, jakými audity by mělo být poskytnuto dílčí ujištění vedení společnosti k příslušným strategickým cílům banky. Návrh plánu interního auditu byl vypracován na plánovaný počet zaměstnanců úseku interního auditu tj. 73 FTE, který představuje 0,7 % z celkového plánovaného počtu zaměstnanců České spořitelny a. s. Došel jsem k závěru, že tento podíl je výrazně pod celosvětovým benchmarkem prováděným Mezinárodním institutem interních auditorů, který se pohybuje v rozsahu od 0,9 % do 1,2 %, pro universální banky je doporučováno 1 %. V této souvislosti bych doporučil vedení České spořitelny a. s. vytvořit dostatečné zdroje pro výkon profese interního auditu v České spořitelně a. s. ve formě zvýšení plánovaného počtu zaměstnanců na 108 FTE. Aby bylo možné pružně reagovat na aktuální vývoj rizik v průběhu příštího roku, zahrnuje návrh plánu na rok 2011 kapacitní rezervu ve výši 2,2 % celkové roční kapacity interního auditu na audity vyhlašované z požadavku vedení. V případě, že by ze strany vedení či aktuální situace nebyly uplatňovány audity vyčerpávající tuto kapacitu, navrhl jsem internímu auditu České spořitelny a. s. tzv. zásobník auditů, které byly v rámci plánovacího procesu vyhodnoceny jako přínosné s ohledem na možná

40

rizika či naplňování strategie banky, ale byly již mimo dostupnou kapacitu interního auditu České spořitelny a. s. Dostupné kapacity jsem rozdělil dle významnosti jednotlivých činností navržených v periodickém plánu. Souhrnný poměr mezi čistě auditorskou činností a ostatními podpůrnými činnostmi pak vychází 84,2 % : 15,8 %. Došel jsem k závěru, že tento podíl je v souladu s požadavky na profesi interního auditu. Mezinárodní doporučení tvoří poměr 75 % : 25 %. Podle konzultace s pracovníky České národní banky jsem návrh periodického plánu a návrh aktualizace strategického plánu zpracoval v souladu s vyhláškou ČNB č. 123/2007, o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry, i s Mezinárodním rámcem profesionální praxe interního auditu a tím jsem také naplnil cíl mé bakalářské práce. Došel jsem k závěru, že z důvodu nedostatečné kapacity útvaru interního auditu v České spořitelně a. s. by jako řešení mohlo být využití cosourcingu na auditorské činnosti, které jsou úzce specializované a neprovádí se pravidelně každý rok jako je např. útok na bezpečnostní systémy IT tzv. penetrační testy. Pro tuto činnost je podle mého názoru lepší si najmout specializovanou externí společnost. Řešením této situace by mohlo pomoci zavedení tzv. kontinuálního auditingu, což je průběžné ověřování rizik zejména v oblasti bezpečnosti IT, které může přinést racionalizaci v činnostech interního auditu. Profese interního auditu je velmi všestrannou a zajímavou činností, která musí přinášet přidanou hodnotu procesům banky a musí upozorňovat management a vlastníky na rizika, která nejsou pod kontrolou. V současné době jsou na interní audit kladeny nové úkoly související s dopady finanční a hospodářské krize. Objevují se nová rizika, která musí interní audit pokrýt. Podle mého názoru a rozvoje profese interního auditu v České republice interní auditoři tuto úlohu plní.

41

Seznam literatury 1.

Basle commitee on banking supervision. Principles for enhancing corporate governance, 2010.

2. Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 3.

Dvořáček, J., Kafka, T. Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8.

4. Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997. ISBN 80-902433-1-2. 5.

IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs, Florida, 2009.

6.

Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

7.

Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.

8.

Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady 2006/48/ES.

9.

Vnitřní předpisy České spořitelny a. s.

10. Vyhláška ČNB 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrových družstev a obchodníků s cennými papíry. 11.

www.interniaudit.cz

42

Přílohy Seznam příloh: Příloha č. 1

Návrh periodického plánu interního auditu na rok 2011

Příloha č. 2

Rozdělení kapacit interního auditu na rok 2011

Příloha č. 3

Přehled pokrytí analýzy rizik plánovanými audity na rok 2011

Příloha č. 4

Návrh aktualizovaného strategického plánu činnosti na období 2011 – 2013

43

Příloha č.1 viz přiložený soubor - Příloha č1 - Návrh periodického plánu interního auditu na rok 2011

44

Příloha č. 2 - Rozdělení kapacit interního auditu na rok 2011 Využitelný fond pracovní doby na 1 zaměstnance byl pro rok 2011 stanoven na 180 dní. Plánovaný počet zaměstnanců IA ČS je 73. Z výše uvedeného plyne, že celková kapacita IA ČS pro rok 2011 je 13 140 MD, přičemž 1MD = 8 pracovních hodin. Návrh na rok 2011 Činnost [FTE]

[MD]

Podíl v %

Celkem audity v periodickém plánu

31,7

6 440

49,0%

Audity v ČS, a. s.

27,2

4 900

37,3%

7,7

1 380

10,5%

Audity stanovené regulatorními orgány

2,2

390

3,0%

Audity podle analýzy rizik

17,4

3 130

23,8%

Audity dceřiných společností

4,4

800

6,1%

Audity DS z požadavku regulátora

1,6

280

2,1%

Audity DS podle analýzy rizik

2,9

520

4,0%

Audity z požadavku vedení

1,6

290

2,2%

Řízení auditů (management auditu)

2,5

450

3,4%

11,1

2 000

15,2%

Monitorování činností centrály (mino KC)

4,4

800

6,1%

Monitorování činností OP + KC

2,5

450

3,4%

Monitorování činností dceřiných společností

1,7

300

2,3%

Monitorování a účast na projektech

2,5

450

3,4%

11,1

2 000

15,2%

Agenda výboru pro audit (VpA) a kompexní reporting o činnosti IA

2,5

450

3,4%

Připomínková řízení (mimo DS)

3,8

680

5,2%

Analýza rizik FSČS (ISIR/ARM)

1,5

270

2,1%

Analýza rizik (ERM) - karta útvaru

2,5

450

3,4%

Spolupráce s IA EGB

0,8

150

1,1%

Manažerská činnost

3,5

630

4,8%

11,5

2 070

15,8%

Spolupráce s externími orgány

1,0

180

1,4%

Spolupráce s EA ČS a dceřinných společností

1,0

180

1,4%

Tvorba metodiky, plánovací proces, Audit Tool a správa ISIA

5,0

900

6,8%

Tvorba metodiky pro oblast činnosti IA

2,0

360

2,7%

Plánovací proces interního auditu FSČS

1,5

270

2,1%

Audit Tool a správa a rozvoj ISIA (Informační systém interního auditu)

1,5

270

2,1%

4,5

810

6,2%

Administrativní činnost

2,5

450

3,4%

Kontroling úseku

0,5

90

0,7%

Překladatelská činnost a tlumočení

1,0

180

1,4%

Správa serverů IAČS

0,5

90

0,7%

73,0

13 140

100%

Audity z požadavku IA EGB

Monitoring celkem

Interní auditorská činnost

Ostatní plánované aktivity

Ostatní interní auditorská činnost (administrativa, kontroling,apod.)

Celkem činnost IA

84,2%

15,8%

100,0%

53

Příloha č. 3 - Přehled pokrytí analýzy rizik plánovanými audity na rok 2011 Kód

Název rizika

ISIR

A05, A07, A10, A19, A26, A35, A39,

51020

Úvěrové riziko bankovního portfolia

20100

Chybné platby a vypořádání

4,5

20200

Nedostatky ve smluvní dokumentaci s klienty

4,5

20800

Porušení zodpovědnosti banky

4,5

A05, A11, A16, A19, A26, A35, A38

4,5

A05, A16, A19, A26, A30, A35

4

A07, A10, A34, A39, A43, A60

72100

10100

Selhání /porušení vnitřních compliance procedur Kriminální jednání zaměstnanců nedovolené manipulace

5

Audity z plánu

A52, A05, A11, A19, A20, A26, A33, A35, A36 A05, A07, A11, A16, A19, A26, A35, A39, A52

20700

Nesprávné obchodní,tržní praktiky

4

A11, A16, A20, A30, A33, A38

30100

Selhání systémů

4

A08, A13, A36, A40, A60

30200

Narušení bezpečnostních systémů

4

A04, A06, A09, A12, A13, A40,

4

A06, A07, A20, A39

40100

10200

Podezření na podvodné jednání klientů, kriminální aktivity Neautorizované aktivity, přestupky zaměstnanců

3,5

A07, A30, A39

10300

Pracovněprávní problémy

3,5

A06, A20

20500

Chybné řízení projektů

3,5

A08

40300

Outsourcing, dodavatelské riziko

3,5

A08, A30

40500

Bezpečnost IT

3,5

A09

74180

Riziko správy a řízení společnosti

3,5

A25, A34, A38, A47

75100

Riziko reputační

3,5

A05, A07, A10, A19, A33, A35, A36

77110

Riziko z omezení dostupnosti služeb

3,5

A20, A60

3

A07, A39

3

A20

20300

21000

Chyby v ocenění,nedostatky v přípravě produktu Nedostatky při správě klientských dat a informací

40200

Selhání obchodní protistrany

3

A08, A62

74130

Riziko organizačních změn

3

A30, A40, A62

3

A25

74150

Pozn.:

Riziko nesprávné strategické koncepce banky/společnosti

1) Kódy auditů jsou dle přílohy č. 1 – Návrh periodického plánu interního auditu na rok 2011

54

Příloha č.4 - Návrh aktualizovaného strategického plánu činnosti na období 2011 - 2013 Rok provedení

Audity v roce 2011

Oblast činnosti 2011

2012

2013

Vztahy s veřejností

(-)

X

X

Marketing a kvalita služeb

X

Řízení rizik

X

X

X

Corporate Governance

X

X

X

1)

Kód auditu v plánu nepokryto A31, A51, A52

Právní služby a compliance

A05, A06, A13, A19, A25, A26, A30, A31, A35, A40, A47, A48 A25

X

Řízení lidských zdrojů

X

(-)

X

A34

Účetnictví, daně a výkaznictví

X

X

X

A32, A46, A63

Controlling a plán

(-)

X

X

Operace na finančních a kapitálových trzích

X

X

X

A16, A25, A33, A36

Řízení drobného bankovnictví

X

X

X

A10, A25, A26, A52, A60

Řízení komerčního bankovnictví

X

X

X

A05, A19, A25, A35, A52, A61

Úvěry

X

X

X

A05, A07, A19, A26, A35, A39, A61

Trade Finance

X A20, A43

X

A52

X

Přímé bankovnictví

X

Kartové služby

X

X

X

Platební styk a vyúčtování

X

X

X

A11

Bezpečnost vč. IT bezpečnosti

X

X

X

A06, A09, A12, A20

Řízení projektů

X

X

Depozita

X

Řízení nákupu

X

X

A08

Řízení majetku

X

X

A45

IT podpora a decentralizované systémy

X

X

A13, A30, A40

IT provoz

X

X

A03, A08

Vývoj a architektura IT

X X

Organizace

X Změn a na základě analýzy

Pozn.:

rizik

1) Kódy auditů viz Příloha č. 1 - Návrh periodického plánu interního auditu na rok 2011

55