Ing. Rodan Svoboda vedoucí projektu Internal Control Academy

Newsletter projektu Internal Control Academy

Číslo: 3/2006

Vážený čtenáři, pokud jste vzal na vědomí, že tu a tam se Vám něco nepodaří a tudíž za to může nějaké zpropadené riziko, nabízíme Vám v novém vydání newsletteru OPTIMUM zajímavé téma. Pojďme spolu ona rizika identifikovat, popsat, ocenit a vyhodnotit. Jako příhodné jsme tentokrát zvolili zaměření na „Risk Assessment v malém a středním podnikání“. Sám jako vlastník a manažer malé firmy vím, že většinu rizik zaznamenávám intuitivně a řeším operativně. Ale pokud se mi stále něco vrací nazpět a musím se tomu neustále věnovat, už něco není v pořádku. Nastává čas pro systémové pokrytí těchto rizik. Abych si toto uvědomil a přijal odpovídající rozhodnutí, je potřeba riziko pojmenovat a dát mu příslušnou významnost. K tomu slouží právě analýza a hodnocení rizik, jak se dá výraz Risk Assessment do češtiny nejlépe přeložit. Posloupnost jednotlivých kroků je následující: Analýza a hodnocení rizika /Risk Assessment/ i. Riziková analýza a. Identifikace rizika b. Popis rizika c. Ocenění rizika /Risk Estimation/ ii. Hodnocení rizika /Risk Evaluation/ V následujících příspěvcích se můžete dočíst, jak jednotlivé body analýzy a hodnocení rizik řeší standardy, jaké přístupy k identifikaci a popisu je možné zvolit a jaká jsou doporučení pro aplikaci v malých a středních podnicích. Ze zkušenosti vím, že není třeba z analýzy a hodnocení podnikatelských rizik dělat velkou vědu. Jde o to zvolit si jednoduchý přístup a vymezit si, co všechno špatného se může stát, co mi překazí dosažení cílů. Všechna ohrožení pojmenovat jako rizika, popsat a následně stanovit rizikové skóre prostřednictvím zvoleného systému vycházejícího z bodové škály a nastavených vah jednotlivých faktorů, představujících zejména dopad a pravděpodobnost. Pokud se chcete o tom dozvědět víc, pak je možné využít některou z publikací, které vznikají v rámci projektu „Internal Control Academy“ a nebo navštívit doporučený seminář. Využít lze pochopitelně i naše poradenství při posouzení Vašich nejvýznamnějších rizik a výběru vhodného přístupu k vybalancování těchto rizik odpovídajícími řídicími a kontrolními mechanismy. Ing. Rodan Svoboda vedoucí projektu „Internal Control Academy“

... jedinou možností, jak dosáhnout nějakého vyššího cíle je soustředit svou pozornost na obrovské množství zdánlivě bezvýznamných, nedůležitých a nudných věcí, z nichž se skládá každá podnikatelská činnost ... Gerber, M. E.: Podnikatelský mýtus 1

Poradenská a vzdělávací společnost Eurodan, s.r.o. cíleně nabízí podporu při analýze, hodnocení a zvládání rizik v malém a středním podnikání s využitím nastavených řídicích a kontrolních mechanizmů v systémech, procesech, programech a aktivitách. Vytváří platformu pro získávání informací v oblastech Risk Management, Internal Control a Internal Audit a jejich aplikaci na úrovni nejlepší evropské praxe. Vlastníkům, managementu a odborným pracovníkům v rámci projektu „Internal Control Academy“ poskytne:


informační brožuru o risk managementu a funkčním řídicím a kontrolním systému v malých a středních podnicích




studijní publikaci zaměřenou na oblast vnitřních řídicích a kontrolních systémů v malých a středních podnicích

a nabídne účast:


v interaktivních seminářích v celkovém rozsahu 40 hodin, které budou kombinovat klasickou výuku teorie s praktickými přístupy ve dvoudenním kurzu a třídenním tréninku zaměřenými přímo na praxi malých a středních podniků (pilotní běhy obou typů seminářů se uskuteční na jaře 2007)




na odborné konferenci při příležitosti vydání studijní publikace (1. čtvrtletí 2007). Za účasti zahraničních expertů se zde bude diskutovat nad novými trendy v oblasti řídicích a kontrolních systémů, vycházejících z evropské praxe a legislativních změn

ANALÝZA STAVU ŘÍZENÍ RIZIK POZNEJ SEBE A V POROVNÁNÍ S OSTATNÍMI NAJDI KLÍČ KE ZLEPŠENÍ Realizace projektu: •

Byl dokončen elektronický dotazník, který by měl od vlastníků a managementu MSP získat údaje pro analýzu současné úrovně Risk Managementu a budování řídicích a kontrolních systémů. Na základě jeho vyhodnocení pak bude upřesněn obsah učebních textů a zaměřen vzdělávací program. Dotazník je ke stažení na webových stránkách společnosti.

•

Vedoucí projektu Ing. Rodan Svoboda představil zaměření a cíle projektu ICA na prezentačním semináři realizátorů projektů, který pořádal Národní vzdělávací fond dne 26. října 2006. Prezentace je umístěna na webových stránkách společnosti.

•

V souladu s podmínkami Rozhodnutí o přidělení dotace byla vypracována Monitorovací zpráva 2/06 a předána na NVF. Pokračují práce na zpracování metodiky s využitím služeb externího konzultanta.

•

Probíhají redakční práce na informační brožuře o řízení rizik v malém a středním podnikání, která bude do konce roku po vytištění distribuována téměř 3.000 vlastníkům a manažerům malých a středních podniků z Prahy. Více informací o aktivitách v rámci projektu „Internal Control Academy“ získáte na www.eurodan.cz či dotazem na členy projektového týmu.

Projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky.

2

Standard pro řízení rizik vydaly v roce 2002 nejvýznamnější britské organizace věnující se problematice risk managementu – The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) a The National Forum for Risk Management in the Public Sector (ALARM).

Jako možný vzor pro popis rizika může sloužit následující popis: 1. Název rizika 2. Oblast rizika (kvalitativní popis událostí, jejich velikosti, typu, počtu a závislostí) 3. Prostředí rizika (strategické, operační, finanční, znalostní, compliance) 4. Zainteresované strany (stakeholders a jejich zájmy) 5. Kvantifikace rizika (dopad a pravděpodobnost) 6. Riziková tolerance / apetit (potenciální ztráta a finanční dopad rizika, náklady na riziko, pravděpodobnost a velikost potenciálních ztrát/výnosů, cíle řízení a kontroly rizika, požadovaná úroveň provedení) 7. Reakce na riziko a ŘKM (jak je riziko současně řízeno, úroveň spolehlivosti existujících ŘKM, způsob monitorování a prověřování) 8. Potenciální akce pro úpravu (doporučení redukovat riziko) 9. Rozvoj strategie a koncepce (identifikace odpovědné funkce za strategii a koncepci)

Přínosem tohoto standardu je, že popisuje používanou terminologii, stanovuje proces řízení rizik, vymezuje, jak má organizace rizika řídit, a stanovuje cíle pro řízení rizik. Postupně bychom chtěli na tomto místě seznamovat s tím nejpodstatnějším z tohoto RM Standardu, zejména s vymezením procesu řízení rizik a smyslem jeho jednotlivých kroků. Samotný proces analýzy a hodnocení rizika (Risk Assessment) se skládá jak z analýzy rizika (Risk Analysis), což v sobě obsahuje identifikaci rizika (Risk Identification), popis rizika (Risk Description) a ocenění rizika (Risk Estimation), tak hodnocení rizika (Risk Evaluation), kdy dochází k porovnání stanoveného rizika proti danému rizikovému kritériu pro stanovení významnosti rizika. Názorně to ukazuje následující obrázek:

Ocenění rizika může být kvantitativní či kvalitativní, jak co do pravděpodobnosti, tak co do dopadu. Obvykle se používá třístupňová škála: High - Medium - Low Pro ocenění dopadu lze použít následující členění:
Vysoký dopad:  Finanční dopad na organizaci pravděpodobně přesáhne stanovenou mez v Kč  Významný dopad na strategii organizace a provozní aktivity  Významný dopad na zájmy zainteresovaných stran
Střední dopad:  Finanční dopad na organizaci bude pravděpodobně ve stanoveném rozmezí v Kč  Mírný dopad na strategii organizace a provozní aktivity  Mírný dopad na zájmy zainteresovaných stran
Nízký dopad:  Finanční dopad na organizaci pravděpodobně nepřesáhne stanovenou mez v Kč  Nízký dopad na strategii organizace a provozní aktivity  Nízký dopad na zájmy zainteresovaných stran

Pod pojmem identifikace rizika se rozumí metodický přístup k ujištění, že všechny významné aktivity organizace jsou nastaveny a všechna rizika z nich vyplývající jsou popsána. Vlastní identifikace rizik, která mohou podnik ohrozit, není samoúčelná. Nemůže vše skončit tím, že dojde k jejich popsání v písemné zprávě. Je nutné rizika dále analyzovat, vyhodnotit a především řídit. Nastavené řídicí a kontrolní mechanismy není možné hodnotit právě bez provedené identifikace cílů, analýzy a hodnocení rizik. Přiměřené jsou tehdy, kdy zamezí projevu rizika nad úroveň, která by podnik ohrozila.

Pro ocenění pravděpodobnosti pak následující členění:
Vysoká (pravděpodobně…):  Stává se pravidelně, resp. více než 25% pravděpodobnost, že se událost stane  Indikátorem je opakování události v určitém časovém rozmezí
Střední (možná…):  Stává se jednou za deset let, resp. méně než 25% pravděpodobnost, že se událost stane

Cílem popisu rizika je zachytit identifikované riziko do strukturovaného formátu, např. tabulky. Vzhledem k vyhodnocování dopadu a pravděpodobnosti každého rizika je možné využít pro popis pouze klíčová rizika a ta analyzovat ve více detailech.

3

Indikátorem je opakování události za delší časovou periodu
Nízká (velice slabě…):  Nestává se ani za delší časové období, resp. méně než 2% pravděpodobnost, že se událost stane  Indikátorem je, že se zatím nic nestalo a událost je nepravděpodobná 

Na analýzu bezprostředně navazuje hodnocení významnosti rizik. Dochází při něm k porovnání rizik vůči rizikovým kritériím nastaveným v organizaci, jako jsou náklady a přínosy, právní požadavky, sociálně-ekonomické dopady a enviromentální faktory, zájmy zainteresovaných stran apod. Používá se k určení rozhodnutí o významnosti rizika pro organizaci a zda každé specifické riziko bude akceptováno nebo na ně bude reagováno.

Výsledkem analýzy rizik je sestavení rizikového profilu, který dává rating každému riziku a stanoví tak priority pro reakci na rizika. V rámci podniku je vhodné nastavit odpovědnost za každé riziko. Pomůckou k urychlení zobrazení jednotlivých rizik v konkrétní společnosti je tzv. mapa rizik. Rizika jsou v ní znázorněna s ohledem na důsledky a pravděpodobnost jejich výskytu.

Výstupem analýzy a hodnocení rizik je především seznam klíčových rizik, která ohrožují daný podnik, a doporučení, jak významná rizika řídit. U organizací, které využívají službu interního auditu, pak jsou tyto informace důležité pro sestavení strategického tříletého plánu a aktualizaci ročního plkánu auditu. Rodan Svoboda email: [email protected] Autor je lektor a konzultant v oblasti Internal Control

Pro úspěch vlastního procesu rizikové analýzy a zejména pro hodnocení významnosti rizika je klíčovým faktorem jeho správná identifikace. Pokud není riziko rozpoznáno, nemůže být ani zvládáno. Pro identifikaci významných rizik se používají různé metody, některé z nich tu uvádím. Výstupem z tohoto procesu je slovní popis rizik, která organizace podstupuje. Tento popis vytváří základ pro mapu/katalog/knihu rizik. Je v zásadě jedno, jakou formou se rizika popíší, ale jednu stanovenou metodologii je pak třeba dodržovat v celé organizaci. 

• Přístup identifikování rizik orientovaný na vnější prostředí Jde o identifikaci rizika na základě pravděpodobnosti možných změn vnějšího prostředí nebo vnějších vztahů. Takové prostředí zahrnuje ekonomické, finanční, fyzické a jim podobné externí tlaky, vládní nařízení a z nich vyplývající omezení, technologická omezení nebo tlaky ze strany trhu, zákazníků/zájemců, dodavatelů atd. Organizace mají většinou malý nebo vůbec žádný vliv na tyto externí tlaky. Klíčovou otázkou je, jaké dopady vyplynou pro organizaci z pravděpodobných změn tohoto prostředí?

Přístup identifikování rizik přes cíle a strategii podniku Pro identifikování rizik je v tomto případě nutné znát strategické, taktické a operační cíle, v návaznosti na to pak procesy, kterými je těchto cílů dosahováno. Management pak posuzuje, co všechno má vliv na naplnění cílů prostřednictvím nastavených procesů.

• Přístup identifikování rizik vycházející ze scénáře ohrožení Identifikace rizika používající popis pravděpodobných scénářů pro jednotlivá ohrožení, jako jsou například přírodní katastrofy nebo podvody je užitečný pro zkoumání slabých míst systému, pro události typu „nízká pravděpodobnost, ale výrazný dopad“. Patří sem například katastrofy a nepředvídatelné události.

• Přístup identifikování rizik zaměřený na aktiva (majetkový přístup) V tomto případě je riziko identifikováno na základě velikosti, druhu, přenosnosti a umístění aktiv. Cenná hmotná aktiva, jako jsou ušlechtilé kovy, mají jiná rizika, než rozměrná hmotná aktiva, jako jsou například kovové pracovní stroje. Pohyblivá aktiva, jako např. vozidla, mají jiná rizika než fixovaná (pevně umístěná) aktiva, jako např. budovy. Klíčovou otázkou je, co by mohlo způsobit ztrátu daného aktiva nebo jeho poškození?

Smyslem identifikace a popisu rizika je uvědomění si nejdůležitějších oblastí, které ohrožují podnikatelské cíle a pokrýt je řídicími a kontrolními mechanismy. Pokud jde o příčinu rizika, opatření by měla směřovat k vyloučení rizikové události nebo ke snížení pravděpodobnosti jejího výskytu. Opatření zaměřená na následek se pak týkají snížení nebo omezení rizika, rozptýlení, předcházení, odvracení nebo přenosu rizika. Vladimír Bříza email: [email protected] Autor je odborník pro oblast IS/IT a řízení změn

4

Analýza a hodnocení rizik je dle metodologie COSO součástí vnitřního řídicího a kontrolního systému každého podniku. Z tohoto důvodu se v řadě studijních publikací zabývajících se řízením podniků a jeho hodnocením interním auditem můžeme setkat s návody popisujícími proč se tím zabývat a jak při provádění postupovat.

informace by měly pracovníky podniku.:

•

•

•

•

potvrzeny

vedoucími

1.

identifikování relevantních cílů a záměrů společnosti; 2. identifikování klíčových podnikatelských procesů; 3. pochopení ohrožení / rizik rozhodujících podnikatelských činností;

Moderní podnikatelský svět je plný různých rizik. Od strategických, která mohou ovlivňovat úsilí organizace při dosahování jejích dlouhodobých cílů a střednědobých záměrů, po provozní, která můžeme definovat jako rizika nedostatečného zavedení zásad řízení a kontroly s důsledkem, že nebude nedosaženo splnění cílů a záměrů organizace. Příklady provozních rizik jsou následující: •

být

Pro dostatečnou analýzu rizik proto musíme nejprve identifikovat klíčové podnikatelské cíle organizace. Z těchto cílů budeme vycházet při stanovení hlavních hrozeb pro dosažení těchto cílů, a potom u nich stanovíte priority podle pořadí důležitosti pro náš podnik. Je třeba rovněž analyzovat rizika za účelem stanovení, proč, jak a kdy věci začnou špatně fungovat. To, co se zde pokoušíme stanovit, je spíše základní příčina vzniku rizika, než jeho vnější příznaky. To nám pak pomůže stanovit, jaké řídicí a kontrolní mechanismy budou mít vliv na skutečné snížení pravděpodobnosti výskytu rizika nebo jeho dopadu.

Finanční rizika – tato rizika se vyskytují v důsledku směnných kurzů cizích měn a měnících se úrokových sazeb, nadměrných nebo nesprávných výdajů nebo v důsledku nedostatečných řídicích a kontrolních mechanismů týkajících se výnosů, jako je například vystavování faktur a inkaso hotovostních plateb od zákazníků Rizika dobrého jména společnosti – tato rizika mohou oslabit postavení a obraz organizace v rámci odvětví. Tento druh rizika může nepříznivě ovlivnit organizaci prostřednictvím takových záležitostí, jako jsou například předpokládané nároky na záruční podmínky produktů, snížená důvěra zákazníků, zlá publicita v rámci vztahů s veřejností a probíhající právní spory nebo regulační opatření. Rizika v lidských zdrojích – tato rizika běžně vznikají v rámci příjímání nedostatečně kvalifikovaných zaměstnanců, nebo v rámci ztráty klíčových zaměstnanců. Další rizika mohou vzniknout při využívání smluvních pracovníků, nebo v důsledku náhodného zranění nebo úmrtí kriticky potřebné osoby. Vnější rizika – to jsou rizika v důsledku faktorů mimo bezprostřední možnosti kontroly ze strany organizace. Tato rizika mohou nastat z důvodů výskytu problémů v politickém, ekonomickém a společenském prostředí. Informační rizika – jsou to rizika vzniklá v důsledku nepřesných, nesprávných, nerelevantních a zastaralých informací. Pokud jsou informace nesprávně použity, nebo jsou použity nesprávné informace, potom je pravděpodobné, že se dospěje ke špatnému rozhodnutí.

Rizika v podstatě vznikají na základě různých externích a interních faktorů, chceme-li rizika zvládat, musíme nejprve pochopit, jaký mají původ a proč vznikají. Není to snadné. V rámci podniku existuje mnoho oblastí, kde se mohou rizika vyskytovat, a také celá škála příčin vzniku rizik. Při vyhledávání situací, kde by rizika byla lépe pochopitelná, často využíváme možnosti zařadit rizika, identifikovaná v rámci celého podniku, do lépe zvládnutelných společných skupin. Je možné rizika například rozdělit do následujících oblastí: • • • • • • •

významné systémy a projekty; zákony a právní předpisy; externí faktory; interní faktory; efektivní využití zdrojů; ochrana zdraví a bezpečnost při práci; podvody a významné chyby.

Při zkoumání základní příčiny vzniku rizika můžeme využít několik technik. Patří sem: •

V úvodu analýzy rizik se provede posouzení podnikatelských činností. V této fázi se uplatňuje následující základní postup, přičemž všechny získané

• • •

5

analýza příčin a důsledků (cause and effect analysis) kontrolní seznamy (check-sheets) vývojové diagramy procesů (process flowcharts) výběr vzorků činností (activity sampling).

Účelem, který je za všemi těmito technikami, je pomoci při identifikování skutečných příčin, jež se nacházejí za hrozbami. Jakmile pochopíme skutečnou příčinu, potom je mnohem pravděpodobnější, že budeme schopni přijít se způsoby, jak řídit toto riziko.

Mezi potenciální obecné důsledky rizik patří: 1. Ztráta zdrojů organizace (finančních, lidských zdrojů, fyzických aktiv atd.); 2. Neschopnost dodat produkty a služby nebo zpoždění dodávek; 3. Nedodržení firemních zásad, právních dohod, předpisů, nařízení a zákonů; 4. Ztráta podílu na trhu a / nebo klientské základny; 5. Vznik dodatečných nákladů (např. vícenáklady); 6. Snížená kvalita produktů.

Mezi potenciální příčiny určitých druhů rizik patří: 1. Nesprávné pochopení podnikatelské strategie nebo cílů organizace; 2. Nedostatečný dohled; 3. Špatná komunikace; 4. Omezený přístup ke zdrojům; 5. Nedostatek přiměřených řídicích a kontrolních mechanismů nebo jejich špatný výběr; 6. Nedostatečné znalosti a školení personálu; 7. Lidské selhání v důsledku nenasytnosti, podvodu atd.

Jakmile se dokončí posouzení pravděpodobnosti a dopadů rizika, je možné prozkoumat zavedené řídicí a kontrolní mechanismy a potom posoudit, zda systémy řízení a kontroly budou ve skutečnosti schopny zvládnout řízení rizik tak, aby se riziko snížilo na požadovanou úroveň. Je rovněž rozumné udělat krok zpátky a uvážit, zda to jsou ve skutečnosti zavedeny správné řídicí a kontrolní mechanismy, nebo zda existují lepší a efektivnější. Klíčovým faktorem, který musíme mít v tomto případě na paměti je, že náklady na řídicí a kontrolní systémy musejí být nižší, než je částka vystavená riziku.

I když mnoho organizací vynakládá hodně času a úsilí na zjišťování rizik, kterým jsou vystaveny, existuje nebezpečí, že tímto budou považovat práci za ukončenou. Je důležité si uvědomit, že identifikace rizik je pouze prvním krokem. Mnohem důležitější je posoudit důsledky výskytu rizika – což znamená posoudit pravděpodobnost a možný dopad rizika, když se skutečně vyskytne. To je v současnosti jednou z nejobtížnějších oblastí, které se musí věnovat pozornost, protože neexistuje způsob, jak by se tyto faktory daly spolehlivě posoudit.

Při vyhledávání situací, kde by rizika byla lépe pochopitelná, často využíváme způsob, jak zařadit rizika identifikovaná v rámci celého podniku, do lépe zvládnutelných společných skupin. Je možné rizika například rozdělit do následujících oblastí: • • • • • • •

Z tohoto důvodu je zapotřebí věnovat velkou pozornost posouzení jak pravděpodobnosti výskytu hrozby, tak jejích dopadů. Toto posouzení by měl provádět management odpovědný za konkrétní rizika. Měl by posoudit, jak je organizace zranitelná při potenciální hrozbě. Mělo by sem rovněž patřit posouzení pravděpodobných dopadů této hrozby na organizaci a na dosahování jejích cílů, včetně možných dopadů, v případě nejhorších a nejlepších scénářů.

významné systémy a projekty; zákony a právní předpisy; externí faktory; interní faktory; efektivní využití zdrojů; ochrana zdraví a bezpečnost při práci; podvody a významné chyby.

V průběhu další fáze Risk Assessmentu by management měl posoudit a vyhodnotit rizika související s podnikatelskými činnostmi, zejména posoudit všechny aspekty spojené s vlastními skutečnými obchodními a provozními riziky a stanovit tzv. zbytkové riziko, které je ještě pro podnik při projevu rizika únosné. Rodan Svoboda email: [email protected] Autor je konzultant v oblasti Internal Control

Výstupy z analýzy a hodnocení rizik Interaktivní seminář, který lze dodat na klíč pro management malých a středních podniků, probere krok za krokem proces „Risk Assessment“. Ukáže vytvoření „Risk Universe“ z procesů, segmentů a aktivit podniku, identifikuje v něm rizika, která ohrožují dosažení strategických cílů, představí způsob popisu a ocenění klíčových rizik a ohodnotí jejich významnost. Pro praktické využití nabídne jednoduchou techniku ve formě Excelových tabulek s výstupem do seznamu klíčových rizik, doporučení pro řízení rizik a sestavení strategického a ročního plánu interního auditu. Přednášející Obsah Rozsah Ing. Rodan Svoboda
Podniková strategie risk managementu Seznámení s problematikou [email protected]
Strategické cíle a identifikace Risk Universe v rozsahu 4 vyučovacích hodin
Analýza rizik – identifikace, popis a ocenění a praktické procvičení v rozsahu
Hodnocení významnosti rizik 4 vyučovacích hodin
Výstupy z analýzy a ocenění rizik

6

Poznatky z 1. konference o interním auditu ve středoevropském regionu Ve dnech 19. – 20.10. 2006 se konala v Bratislavě konference organizovaná ČIIA s názvem Výzvy internímu auditu v srdci Evropy. Účastnilo se jí 200 účastníků ze střední a východní Evropy. Konference byla rozdělena do sekcí týkající se státní správy/veřejného sektoru a podnikatelských organizací. Nejvíce mě zaujala přednáška pocházející z oblasti regulace podnikání. Pracovníky PWC (PricewaterhouseCoopers) byla prezentovaná přednáška s názvem Zákon Sarbanes-Oxley (SOX) jako neoddělitelná součást systému vnitřní kontroly společnosti. Pro zájemce o informaci, regulace SOX byla přijata v USA v roce 2002 po mediálně známých bankrotech firem Enron a WorldCom. Tato regulace je určena firmám, jejichž akcie se obchodují na finančním trhu v USA, případně se tam obchoduje s emisemi jejich obligací či jiných finančních nástrojů. Tato regulace působí „globálně“ a tak ji musí i v Čechách dodržovat firmy typu ČEZ, T-Mobile, CME (vlastník licence TV Nova) a další. Důvodem SOX regulace je zajistit ochranu investorů, napomoci zvýšit přesnost a spolehlivost zveřejňovaných údajů o firmách obchodovaných na burze. Součástí je i osobní zodpovědnost managementu a tvrdší postihy za kriminalitu „bílých límečků“, např. za podvody s cennými papíry, ovlivňování hospodářských výsledků, atd. Součástí SOX je vnitřní kontrolní rámec, kdy regulátory byla přijata definice COSO, která je již roky součástí amerických auditních standardů a v současné době je všeobecně uznávaným jednotícím rámcem pro strukturu kontrolních mechanismů. V tomto případě je vnitřní kontrolní systém definován jako proces ovlivňovaný nejvyšším vedením a jinými pracovníky a je vytvořen pro dodatečné ujištění dosahování cílů v následujících oblastech:  Efektivita a účinnost provozních činností  Spolehlivost finančního vykazování  Soulad s platnými zákony a předpisy V rámci této přednášky byly uvedeny i výsledky zkušeností se zavedením SOX ve firmách. Mezi negativa patřilo:  Selhání záměru použít existující a zavedené přístupy dle ISO 9000  Zaměstnanci firem nepochopili cíle a příčiny, které se skrývaly za jejich úlohou, kterou měli vykonávat ve firmách v průběhu zavádění – způsobeno nedostatkem školení  Omezený čas a zkušenosti při zavádění SOX  Významná frustrace všech zúčastněných Mezi pozitiva patřilo:  Analýza kontrolních mechanismů odhalila stovky podstatných míst vyžadující zlepšení a nápravu  Vyřešily se problémy rozdělení zodpovědnosti  Zlepšilo se kontrolní prostředí, povědomí a kontrolní disciplína  Zvýšila se spokojenost vrcholového managementu Celá tato velice zajímavá přednáška končila odkazem na budoucnost, že spolehlivý vnitřní kontrolní systém není pouze zaběhnutá praxe, ale je zákonem - a konkurenční výhodou. Velmi zajímavý příspěvek byl z oblasti podvodů. Byly představeny trendy na trzích střední a východní Evropy :  každoročně významně vzrůstá počet podvodů u všech produktů  významný dopad korupčního chování ve středo a východoevropském regionu obecně  zranitelnost organizací vzhledem k rychlému růstu a stoupající komplexnosti transakcí  rostoucí motivace spáchat podvod, částečně související s růstem zadluženosti domácností  zdlouhavosti soudních procesů a odškodnění ze ztrát vede k podvodného chování Na základě zprávy ACFE (Association of Certified Fraud Examiners) za rok 2006 bylo sděleno:  organizace mají každoročně ztráty z podvodů 5% ročního obratu  identifikace podvodů způsobených zaměstnanci je obtížná, pro jejich omezení je nutný efektivnější kontrolní systém k detekování podvodů  ztráty způsobené podvodným jednáním zaměstnanců jsou přímo spojené s pachateli  nejvíce podvodů je způsobeno prvo podvodníky Pro omezení podvodů doporučují poradenské firmy odpovídající plán proti podvodům. Zároveň jako nejlepší, nákladově efektivní cestu pro jednání s podvody je nastavení systému kontrol na místa zajišťující jejich prevenci. Vladimír Bříza

7