MEZINÁRODNÍ RÁMEC PROFESNÍ PRAXE INTERNÍHO AUDITU Platné od ledna 2011
INTERNATIONAL PROFESSIONAL PRACTICES FRAMEWORK (IPPF)
The Institute of Internal Auditors, Inc. (Institut interních auditorů) je mezinárodní asociací, která se věnuje neustálému profesnímu rozvoji jednotlivých auditorů a profese interního auditu. Copyright © 2011 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved. “Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in all material respects, as the original unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc.” Překlad: Jana Báčová, Antonín Šenfeld, Jan Žižka – ITC, Pavel Caska, Petra Sokolová Odborná jazyková korektura: Jana Báčová, Antonín Šenfeld Vydavatel: Český institut interních auditorů, o. s. Vydání 6. české: leden 2011 Sazba: Typokabi.net Tisk: Reproservis s. r. o.
Veškerá práva vyhrazena. V České republice vydal Český institut interních auditorů, Institut IIA. V souladu se zákonem o autorských právech nesmí být žádná část této publikace reprodukována, uložena ve vyhledávacích systémech nebo přenášena elektronicky, mechanicky, v podobě fotokopií nebo jinak bez předchozího souhlasu vydavatele. K získání povolení k překladu, změnám nebo reprodukci jakékoli části amerického originálu kontaktujte:
ISBN 80-86284-10-7 (1. vydání – MJF Praha) ISBN 80-86689-05-0 (2. vydání – ČIIA Praha) ISBN 80-86689-25-5 (3. vydání – ČIIA Praha) ISBN 80-86689-39-5 (4. vydání – ČIIA Praha) ISBN 80-86689-42-5 (5. vydání – ČIIA Praha)
The Institute of Internal Auditors, Inc. 249 Maitland Avenue Altamonte Springs, Florida 32701-4201, USA Phone: +1 407 830-7600, ext. 256
ISBN 80-86689-46-8 Mezinárodní Rámec profesní praxe interního auditu Báčová, Šenfeld, leden 2011
K získání povolení k překladu, změnám nebo reprodukci jakékoli části českého překladu kontaktujte: Český institut interních auditorů, o.s. Karlovo náměstí 3, 120 00 Praha 2 Tel.: 224 920 332 Fax: 224 919 361
© Český institut interních auditorů, o. s., 2011 2
Vážení čtenáři, Další větší změny standardů se týkají vymezení organizační nezávislosti interního auditu a definice statutu interního auditu, zohledňování očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) při plánování a předávání výsledků interního auditu a prokazování odborné způsobilosti externích hodnotitelů kvality interního auditu.
dnem 1. ledna 2011 vstoupila v účinnost novela Mezinárodních standardů pro profesní praxi interního auditu (dále též „Standardy“). Jak deklaruje vydavatel - Mezinárodní institut interních auditorů (dále též „IIA“) - Standardy musí být aktuální a reagovat jak na vývoj v právním prostředí a v dalších relevantních oblastech, tak odpovídat vývoji v samotné profesi interního auditu. Proto se IIA zavázal, že bude revidovat Standardy minimálně každé 3 roky. Současná změna se týká pouze Standardů a přichází dva roky poté, co byla provedena poměrně významná změna v celkové struktuře Mezinárodního rámce profesní praxe interního auditu (dále jen „Rámec“).
Český institut interních auditorů opětovně vydává Standardy dvojjazyčně. K rychlé orientaci ve změnách slouží celkový přehled změn uvedený v textu „Co je nového ve Standardech od ledna 2011“. Z tohoto přehledu je patrné, že od r. 2009 bylo též vydáno 14 nových Doporučení pro praxi, jedno Doporučení bylo změněno a dále bylo vydáno 12 nových Praktických pomůcek.
Tentokrát není změna Standardů nijak rozsáhlá. Bylo provedeno cca 25 změn, které spočívají zejména v úpravách současného textu standardů, interpretací a pojmů ve výkladovém slovníčku. Zcela nové jsou pouze 3 standardy (2010.A2, 2070, 2450), 15 standardů bylo pozměněno, 2 standardy byly zrušeny a doplněno bylo 5 nových interpretací (ke standardům 1110, 1321, 2070, 2410.A1, 2450).
Standardy se zvýrazněnými změnami platnými od r. 2011 a ostatní součásti Rámce, tj. Doporučení pro praxi, Praktické pomůcky a Stanoviska (včetně seznamu všech doposud vydaných součástí Rámce), naleznete na přiloženém CD. Doporučení pro praxi jsou opět vydávána jak v českém, tak i v anglickém jazyce, Praktické pomůcky a Stanoviska pouze v angličtině. Překladem do českého jazyka se Český institut interních auditorů snaží zpřístupnit co nejširšímu okruhu uživatelů zejména povinné a silně doporučované součásti Rámce.
Jako podstatné hodnotí IIA především změny ve dvou oblastech: ve vymezení odpovědností při poskytování služeb interního auditu externími dodavateli a při vyjadřování závěrů a celkového názoru interního auditu k auditované oblasti. Je důležité, aby si společnost uvědomila, že i když služby interního auditu poskytuje externí dodavatel, konečnou odpovědnost za existenci účinného a efektivního interního auditu má vždy samotná společnost.
Doufáme, že novelizované vydání Rámce bude účelnou a praktickou pomůckou pro všechny interní auditory i ostatní zainteresované osoby či profese.
Nový standard týkající se uvádění celkového názoru ve zprávě interního auditu stanoví, co musí takový názor zohlednit. Je třeba, aby závěry interního auditu byly transparentní a jednoznačné, a to zejména z hlediska časového období a rozsahu auditu, ke kterému se názor vztahuje a současně byly závěry podloženy dostatečnými, spolehlivými, relevantními a účelnými informacemi.
Ing. Jana Báčová, CIA
3
CONTENT Preface
12
Definition of Internal Auditing
26
Code of Ethics
30
Introduction Applicability and Enforcement Principles Rules of Conduct
30 30 30 32
International Standards for the Professional Practice of Internal Auditing
34
Introduction Attribute Standards
36 40
Performance Standards
50
1000 – Purpose, Authority, and Responsibility 1010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter 1100 – Independence and Objectivity 1110 – Organizational Independence 1111 – Direct Interaction With the Board 1120 – Individual Objectivity 1130 – Impairment to Independence or Objectivity 1200 – Proficiency and Due Professional Care 1210 – Proficiency 1220 – Due Professional Care 1230 – Continuing Professional Development 1300 – Quality Assurance and Improvement Program 1310 – Requirements of the quality assurance and improvement program 1311 – Internal Assessments 1312 – External Assessments 1320 – Reporting on the quality assurance and improvement program 1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” 1322 – Disclosure of Nonconformance 2000 – Managing the Internal Audit Activity 2010 – Planning 2020 – Communication and Approval 2030 – Resource Management 2040 – Policies and Procedures 2050 – Coordination 2060 – Reporting to Senior Management and the Board 2070 – External Service Provider and Organizational Responsibility for Internal Auditing 2100 – Nature of Work
4
40 40 40 40 42 42 42 44 44 44 46 46 46 46 46 48 48 48 50 50 50 50 50 52 52 52 52
OBSAH Předmluva
13
Definice interního auditu
27
Etický kodex
31
Úvod Uplatnitelnost a vymahatelnost Základní zásady Pravidla jednání
31 31 31 33
Mezinárodní standardy pro profesní praxi interního auditu
35
Úvod ke Standardům Základní standardy
37 41
Standardy pro výkon interního auditu
51
1000 – Účel, pravomoci a odpovědnosti 1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu 1100 – Nezávislost a objektivita 1110 – Organizační nezávislost 1111 – Přímá vzájemná součinnost s orgány společnosti 1120 – Objektivita jednotlivce 1130 – Narušení nezávislosti nebo objektivity 1200 – Odbornost a náležitá profesní péče 1210 – Odbornost 1220 – Náležitá profesní péče 1230 – Průběžný profesní rozvoj 1300 – Program pro zabezpečení a zvyšování kvality interního auditu 1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality 1311 – Interní hodnocení 1312 – Externí hodnocení 1320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu 1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 1322 – Informování týkající se nesouladu 2000 – Řízení interního auditu 2010 – Plánování 2020 – Komunikace a schvalování 2030 – Řízení zdrojů 2040 – Zásady a postupy 2050 – Koordinace 2060 – Předávání zpráv vedení a orgánům společnosti 2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu 2100 – Charakter práce
5
41 41 41 41 43 43 43 45 45 45 47 47 47 47 47 49 49 49 51 51 51 51 51 53 53 53 53
2110 – Governance 2120 – Risk Management 2130 – Control 2200 – Engagement Planning 2201 – Planning Considerations 2210 – Engagement Objectives 2220 – Engagement Scope 2230 – Engagement Resource Allocation 2240 – Engagement Work Program 2300 – Performing the Engagement 2310 – Identifying Information 2320 – Analysis and Evaluation 2330 – Documenting Information 2340 – Engagement Supervision 2400 – Communicating Results 2410 – Criteria for Communicating 2420 – Quality of Communications 2421 – Errors and Omissions 2430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing” 2431 – Engagement Disclosure of Nonconformance 2440 – Disseminating Results 2450 – Overall Opinions 2500 – Monitoring Progress 2600 – Resolution of Senior Management’s Acceptance of Risks
52 54 54 56 56 56 56 58 58 58 58 58 58 60 60 60 60 62 62 62 62 64 64 64
Glossary
66 Only on CD:
Practice Advisory: 1000−1: 1110−1: 1111−1: 1120−1: 1130−1: 1130.A1−1: 1130.A2−1: 1200-1: 1210−1: 1210.A1−1: 1220−1: 1230−1: 1300−1: 1310−1: 1311−1: 1312−1:
Internal Audit Charter Organizational Independence Board Interaction Individual Objectivity Impairments to Independence or Objectivity Assessing Operations for Which Internal Auditors Were Previously Responsible Internal Audit’s Responsibility for Other (Non-audit) Functions Proficiency and Due Professional Care Proficiency Obtaining External Service Providers to Support or Complement the Internal Audit Activity Due Professional Care Continuing Professional Development Quality Assurance and Improvement Program Requirements of the Quality Assurance and Improvement Program Internal Assessments External Assessments 6
76 78 80 80 82 84 86 88 90 92 98 100 100 104 106 108
2110 – Řízení a správa společnosti 2120 – Řízení rizik 2130 – Řízení a kontrola 2200 – Plánování zakázky 2201 – Přístup k plánování 2210 – Cíle zakázky 2220 – Rozsah zakázky 2230 – Rozvržení zdrojů v rámci zakázky 2240 – Pracovní program zakázky 2300 – Realizace zakázky 2310 – Identifikace informací 2320 – Analýza a hodnocení 2330 – Dokumentace informací 2340 – Dohled (supervize) nad prováděním zakázky 2400 – Předávání výsledků 2410 – Kritéria komunikace 2420 – Kvalita zpráv 2421 – Chyby a opomenutí 2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 2431 – Poskytnutí informací v případě nesouladu 2440 – Distribuce výsledků 2450 – Celkové názory 2500 – Monitorování
2600 – Rozhodnutí o přijetí rizika vedením společnosti Výklad pojmů
53 55 55 57 57 57 57 59 59 59 59 59 59 61 61 61 61 63 63 63 63 65 65 65
67
Pouze na CD: Doporučení pro praxi: 1000−1: 1110−1: 1111−1: 1120−1: 1130−1: 1130.A1−1: 1130.A2−1: 1200−1: 1210−1: 1210.A1−1: 1220−1: 1230−1: 1300−1: 1310−1: 1311−1: 1312−1:
Statut interního auditu Organizační nezávislost Součinnost s orgány společnosti Objektivita jednotlivce Narušení nezávislosti nebo objektivity Posuzování operací, za které byli interní auditoři dříve odpovědni Odpovědnosti interního auditu za jiné (neauditorské) činnosti Odbornost a náležitá profesní péče Odbornost Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu Náležitá profesní péče Průběžný profesní rozvoj Program pro zabezpečení a zvyšování kvality Požadavky kladené na Program pro zabezpečení a zvyšování kvality Interní hodnocení Externí hodnocení 7
77 79 81 81 83 85 87 89 91 93 99 101 101 105 107 109
1312–2 1321−1: 2010−1: 2010−2: 2020−1: 2030-1: 2040−1: 2050−1: 2050−2: 2050−3: 2060−1: 2110–1: 2110−2: 2110−3: 2120−1: 2120−2: 2130−1: 2130.A1−1: 2130.A1−2: 2200−1: 2200−2:
External Assessments: Self-assessment with Independent Validation Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” Linking the Audit Plan to Risk and Exposures Using the Risk Management Process in Internal Audit Planning Communication and Approval Resource Management Policies and Procedures Coordination Assurance Maps Relying on the Work of Other Assurance Providers Reporting to Senior Management and the Board Governance: Definition Governance: Relationship With Risk and Control Governance: Assessments Assessing the Adequacy of Risk Management Processes Managing the Risk of the Internal Audit Activity Assessing the Adequacy of Control Processes Information Reliability and Integrity Evaluating an Organization’s Privacy Framework Engagement Planning Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement
114 118 120 122 130 130 134 134 138 144 148 152 156 158 160 166 174 178 180 182 184
2210−1: 2210.A1−1: 2230−1: 2240−1: 2300−1: 2320−1: 2330−1: 2330.A1−1: 2330.A1−2: 2330.A2−1: 2340−1: 2400−1: 2410−1: 2420−1: 2440−1: 2440–2: 2440.A2–1: 2500−1: 2500.A1−1:
Engagement Objectives Risk Assessment in Engagement Planning Engagement Resource Allocation Engagement Work Program Use of Personal Information in Conducting Engagements Analytical Procedures Documenting Information Control of Engagement Records Granting Access to Engagement Records Retention of Records Engagement Supervision Legal Considerations in Communicating Results Communication Criteria Quality of Communications Disseminating Results Communicating Sensitive Information Within and Outside the Chain of Command Communications Outside the Organization Monitoring Progress Follow-up Process
188 188 190 192 192 194 198 200 202 204 206 208 212 216 218 220 226 228 230
8
1312−2: 1321−1: 2010–1: 2010−2: 2020−1: 2030−1: 2040−1: 2050−1: 2050−2: 2050−3: 2060−1: 2110–1: 2110–2: 2110–3: 2120–1: 2120–2: 2130−1: 2130.A1−1: 2130.A1−2: 2200–1: 2200–2: 2210–1: 2210.A1–1: 2230–1: 2240–1: 2300–1: 2320–1: 2330–1: 2330.A1–1: 2330.A1–2: 2330.A2−1: 2340−1: 2400−1: 2410−1: 2420−1: 2440−1: 2440–2: 2440.A2–1: 2500−1: 2500.A1−1:
Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena Využití procesu řízení rizik při plánování interního auditu Komunikace a schvalování Řízení zdrojů Zásady a postupy Koordinace Mapy ujišťovacích činností Spolehnutí se na práci ostatních dodavatelů ujištění Předávání zpráv vedení a orgánům společnosti Řízení a správa společnosti: Definice Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou Řízení a správa společnosti: Hodnocení Hodnocení přiměřenosti procesu řízení rizik Řízení rizik interního auditu Hodnocení přiměřenosti řídicích a kontrolních procesů Spolehlivost a integrita informací Hodnocení systému ochrany důvěrných/osobních informací v rámci organizace Plánování zakázky Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu Cíle zakázky Ohodnocení rizik při plánování zakázky Rozvržení zdrojů v rámci zakázky Pracovní program zakázky Využívání osobních informací při provádění zakázek Analytické postupy Dokumentace informací Řízení přístupu k záznamům pořízeným v rámci zakázky Poskytování přístupu k záznamům pořízeným v rámci zakázky Archivace záznamů Dohled (supervize) nad prováděním zakázky Právní aspekty při předávání výsledků Kritéria komunikace Kvalita zpráv Distribuce výsledků Předávání citlivých informací v rámci nebo vně hierarchie řízení Předávání informací vně společnosti Monitorování Proces následné kontroly
9
115 119 121 123 131 131 135 135 139 145 149 153 157 159 161 167 175 179 181 183 185 189 191 191 193 193 195 199 201 203 205 207 209 213 217 219 221 227 229 231
Position Papers The Role of Internal Auditing in Enterprise-wide Risk Management (January 2009) The Role of Internal Auditing in Resourcing the Internal Audit Activity (January 2009)
Practice Guides Assessing the Adequacy of Risk Management (December 2010) Auditing Executive Compensation and Benefits (April 2010) Auditing External Business Relationships (May 2010) CAEs – Appointment, Performance Evaluation and Termination (May 2010) Evaluating Corporate Social Responsibility/Sustainable Development (February 2010) Formulating and Expressing Internal Audit Opinions (March 2009) Internal Auditing and Fraud (December 2009) Measuring Internal Audit Effectiveness and Efficiency (December 2010) Global Technology Audit Guides (GTAG®) GTAG 1 – Information Technology Controls (March 2005) GTAG 2 – Change and Patch Management Controls: Critical for Organizational Success (June 2005) GTAG 3 – Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (October 2005) GTAG 4 – Management of IT Auditing (March 2006) GTAG 5 – Managing and Auditing Privacy Risks (June 2006) GTAG 6 – Managing and Auditing IT Vulnerabilities (October 2006) GTAG 7 – Information Technology Outsourcing (March 2007) GTAG 8 – Auditing Application Controls (July 2007) GTAG 9 – Identity and Access Management (November 2007) GTAG 10 – Business Continuity Management (July 2008) GTAG 11 – Developing the IT Audit Plan (July 2008) GTAG 12 – Auditing IT Projects (March 2009) GTAG 13 – Fraud Prevention and Detection in an Automated World (December 2009) GTAG 14 – Auditing User-developed Applications (June 2010) GTAG 15 – Information Security Governance (June 2010) Guide to the Assessment of IT Risk (GAIT) The GAIT Methodology (August 2007) GAIT for IT General Control Deficiency Assessment (March 2008) GAIT for Business and IT Risk (GAIT-R) (March 2008) Case Studies Using GAIT-R to Scope PCI Compliance (September 2008)
10
11
PREFACE
Mandatory. Conformance is required and the guidance is developed following the appropriate due process, which includes public exposure. Conformance with the principles set forth in mandatory guidance is essential for the professional practice of internal auditing.
Given the pace of change in our global profession, in 2006 the Board of Directors (Board) of The Institute of Internal Auditors (IIA) established an international steering committee and task force to review the Professional Practices Framework (PPF) and The IIA’s guidance structure along with the related processes. The task force’s efforts were focused on reviewing the scope of the framework and increasing the transparency and consistency of the guidance’s development, review, and issuance processes. The results culminated in a new International Professional Practices Framework (IPPF) and a reengineered Professional Practices Council (PPC). The PPC coordinates the approval and issuance of IPPF guidance as stated in the council’s updated mission statement which was approved by the Board in June 2007.
Strongly Recommended. Conformance is strongly recommended, and the guidance is endorsed by The IIA. It describes practices for the effective implementation of The IIA’s Code of Ethics and the International Standards for the Professional Practice of Internal Auditing (Standards). The IPPF now comprises the following elements:
In general, a framework provides a structural blueprint of how a body of knowledge and guidance fits together. As a coherent system, a framework facilitates consistent development, interpretation, and application of concepts, methodologies, and techniques useful to a discipline or profession. Specifically, the purpose of the IPPF is to organize The IIA’s authoritative guidance in a manner that is readily accessible on a timely basis while strengthening the positioning of The IIA as the standard setting body for the internal audit profession globally. By encompassing current internal audit practice as well as allowing for future expansion, the IPPF is intended to assist practitioners and stakeholders throughout the world in being responsive to the expanding market for high quality internal audit services. As the conceptual framework that organizes guidance promulgated by The IIA, the IPPF’s scope has been narrowed to include only authoritative guidance developed by IIA international technical committees following appropriate due process. Authoritative guidance consists of two categories: 12
PŘEDMLUVA
Povinné směrnice: je vyžadován soulad s těmito směrnicemi; tyto směrnice byly důkladně připraveny a následně podrobeny veřejnému připomínkovému řízení. Pro profesní praxi interního auditu je nezbytný soulad s principy stanovenými v povinných směrnicích.
V důsledku probíhajících rychlých změn v profesi interního auditu, představenstvo Institutu interních auditorů (dále též „IIA“ nebo „Institut“) ustanovilo v roce 2006 mezinárodní řídicí výbor a pracovní skupinu, jejímž cílem byla revize Rámce profesní praxe (PPF), struktury směrnic IIA a s nimi souvisejících postupů. Úsilí této pracovní skupiny bylo zaměřeno na revizi rozsahu rámce a na zvýšení transparentnosti a zlepšení vzájemné provázanosti postupů přípravy, revize a zveřejnění směrnic. Výsledkem tohoto úsilí bylo vydání nového Mezinárodního Rámce profesní praxe (IPPF; dále též „Rámec“) a podstatné změny ve struktuře Rady pro profesní praxi (PPC). Jak plyne z upraveného programového prohlášení této rady, schváleného představenstvem IIA v červnu 2007, úkolem PPC je koordinace procesu schvalování a zveřejňování směrnic IPPF.
Důrazně doporučené směrnice: je důrazně doporučen soulad s těmito směrnicemi a tyto směrnice jsou podporovány IIA. Popisují postupy účinného zavádění Definice interního auditu, Etického kodexu a Mezinárodních Standardů pro profesní praxi interního auditu vydanými IIA (dále Standardů). IPPF se skládá z následujících prvků:
Z obecného hlediska, struktura Rámce podrobně ukazuje, na jakém souboru znalostí jsou jednotlivé směrnice založeny. Rámec, jako logicky provázaný systém, usnadňuje přípravu, interpretaci a aplikaci přístupů, metodik a postupů vhodných pro obor nebo profesi interního auditu. V rámci posílení role IIA jako globálního tvůrce standardů v oblasti profese interního auditu, je konkrétním cílem IPPF včasná příprava závazných směrnic a jejich dostupnost. Díky tomu, že IPPF obsahuje současnou praxi interního auditu a zároveň je otevřen budoucím změnám, cílem IPPF je v globálním měřítku napomáhat odborníkům a všem zainteresovaným stranám, aby byli vnímaví vůči rozvíjejícímu se trhu a poptávce po vysoce kvalitních službách interního auditu. Rozsah IPPF, jenž představuje koncepční rámec pro zatřídění směrnic vytvořených IIA, byl zúžen tak, aby zahrnoval pouze závazné směrnice stanovené mezinárodními technickými výbory IIA. Další podmínkou pro zahrnutí směrnice do Rámce bylo, že musela být podrobena řádnému připomínkování. Závazné směrnice se skládají ze dvou kategorií: 13
Elements
Definition
Position Papers
Definition
The Definition of Internal Auditing states the fundamental purpose, nature, and scope of internal auditing. Code of Ethics The Code of Ethics states the principles and expectations governing behavior of individuals and organizations in the conduct of internal auditing. It describes the minimum requirements for conduct; and behavioral expectations rather than specific activities. International The Standards are principlefocused and provide a framework Standards for performing and promoting for the internal auditing. The structure of Professional the Standards includes Attribute, Practice of Performance, and Implementation Internal Auditing (The Standards. The Standards are mandatory requirements consisting Standards) of: • Statements of basic requirements for the professional practice of internal auditing and for evaluating the effectiveness of its performance, which are internationally applicable at organizational and individual levels. • Interpretations, which clarify terms or concepts within the Statements. It is necessary to consider both the Statements and their Interpretations to understand and apply the Standards correctly. The Standards employ terms that have been given specific meanings that are included in the Glossary.
Practice Advisories
Practice Guides
Position Papers assist a wide range of interested parties, including those not in internal auditing profession, in understanding significant governance, risk or control issues and delineating related roles and responsibilities of internal auditing. Practice Advisories address approach, methodology and considerations, but not detailed processes and procedures. They are guidance to assist internal auditors in applying the Code of Ethics and the Standards and to promote good practices. They include practices relating to: international, country, or industry specific issues; specific types of engagements; and legal or regulatory issues. Practice Guides are detailed guidance for conducting internal audit activities. They include detailed processes and procedures, such as tools and techniques, programs, and step-by-step approaches, including examples of deliverables.
The most significant changes in the new IPPF are: • Process improvements. Enhancements to the various elements, increased transparency, and defined review cycles for all guidance. The review cycle for the IPPF has been determined to be three years. Although the guidance enunciated in the IPPF will not necessarily change every three years, The IIA is committed to ensuring that it is reviewed completely every three years and that changes are made if necessary.
14
Prvek
Definice
Stanoviska (Position Papers)
Definice
Definice interního auditu obsahuje základní cíl, charakter a rozsah působnosti interního auditu. Etický kodex Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti. Standardy jsou založeny Mezinárodní na základních zásadách a poskytují Standardy rámec pro výkon interního auditu pro profesní praxi interního a jeho podporu. Struktura Standardů zahrnuje Základní standardy, auditu Standardy pro výkon a Prováděcí (Standardy) standardy. Standardy jsou souborem závazných požadavků skládajících se ze: • Základních požadavků kladených na profesní praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. • Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích. Pro správné pochopení a používání Standardů je nezbytné se řídit jak jednotlivými požadavky, tak i jejich interpretacemi. Standardy používají řadu pojmů, jimž byl přiřazen specifický význam, který je uveden ve Výkladu pojmů.
Doporučení pro praxi (Practice Advisories)
Praktické pomůcky (Practice Guides)
Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu. Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek. Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení, včetně příkladů jejich výstupů.
Nejvýznamnějšími změnami v novém IPPF jsou: • Zlepšení procesu – došlo ke zdokonalení několika prvků procesu, k dosažení vyšší transparentnosti a stanovení frekvence revizí všech směrnic. Frekvence revizí IPPF byla stanovena na 3 roky. I když není nezbytné, aby se směrnice obsažené v IPPF měnily každé tři roky, 15
• Development and Practice Aids. This element is no longer included in the framework. It previously encompassed all resources (e.g., training, publications, and research reports) that internal auditors might use in the course of their work. Because the scope of the new IPPF includes only authoritative guidance, as defined above, this category did not fit within the new framework. • Interpretations. These have been added to the Standards to provide further clarity to terms and phrases. Interpretations, where required, will immediately follow the associated Standard. • Position Papers. This element has been added to the IPPF. Position Papers are IIA statements that assist a wide range of interested parties, including those not in the internal audit profession, to understand significant governance, risk, or control issues, and delineate the related roles and responsibilities of the internal audit profession. • Practice Advisories. These have been narrowed in scope to include only the methodology and approach for implementing the Code of Ethics and the Standards. Current content that addresses tools or techniques has been moved into the Practice Guides element. • Practice Guides. This element has been added to the IPPF. Practice Guides allow guidance to be issued at the tools and techniques level, and includes detailed processes and procedures, programs, and step-by-step approaches (e.g., examples of deliverables).
These differences may affect the practice of internal auditing in each environment. The implementation of the IPPF, therefore, will be governed by the environment in which the internal audit activity carries out its assigned responsibilities. No information contained within the IPPF should be construed in a manner that conflicts with applicable laws or regulations. If a situation arises where information contained within the IPPF may be in conflict with legislation or regulation, internal auditors are encouraged to contact The IIA or legal counsel for further guidance. As indicated above, the IPPF contains two types of guidance.
1. Mandatory guidance includes: • The Definition of Internal Auditing, • The Code of Ethics, and • The Standards The mandatory nature of the Standards is emphasized by the use of the word “Must.” The Standards use the word “must” to specify an unconditional requirement. In some exceptional cases, the Standards use the terminology “Should.” The Standards use the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation.
By definition, internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.
Conformance with the concepts enunciated in the mandatory guidance is essential before the responsibilities of internal auditors can be met. As stated in the Code of Ethics, internal auditors shall perform internal audit services in accordance with the Standards. Internal auditors refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing.
Throughout the world, internal auditing is performed in diverse environments and within organizations that vary in purpose, size, and structure. In addition, the laws and customs within various countries differ from one another.
Mandatory guidance is intended to be applicable to both individuals and entities that provide internal auditing services. 16
IIA zajistí, aby byly podrobeny celkové revizi a aby byly učiněny nezbytné změny. Rozvojové a praktické pomůcky (Development and Practice Aids) – tento prvek již nebyl do rámce zahrnut. Původně obsahoval všechny zdroje (např. školení, publikace a výzkumné zprávy), využitelné interními auditory v průběhu jejich práce. Protože rozsah tohoto nového IPPF obsahuje pouze závazné směrnice, tato kategorie by byla v rozporu s obsahem nového Rámce. Interpretace – byly přidány do Standardů z důvodu vyšší srozumitelnosti pojmů a formulací. Tam, kde je to nezbytné, jsou interpretace uvedeny bezprostředně za souvisejícím Standardem. Doporučení pro praxi (Practice Advisories) – jejich rozsah byl zúžen a obsahuje pouze metodiku a postupy pro aplikaci Etického kodexu a Standardů. Text týkající se nástrojů a postupů byl přesunut do části Praktické pomůcky. Praktické pomůcky a Stanoviska (Practice Guides a Position Papers) – tyto prvky byly do IPPF nově přidány. Praktické pomůcky umožňují rozpracování směrnic na úroveň nástrojů a postupů. Zahrnují podrobné procesy a postupy, plány a postupná řešení (např. příklady jejich výstupů). Stanoviska obsahují pohled IIA na role a odpovědnosti interního auditu ve vztahu ke konkrétnímu problému.
je interní audit vykonáván, mohou mít tyto rozdíly vliv na jeho postupy. Proto aplikace IPPF závisí na prostředí, ve kterém interní audit vykonává své odpovědnosti. Žádný požadavek obsažený v IPPF by neměl být vykládán způsobem, který je v rozporu s platnými zákony nebo regulacemi. Pokud se vyskytne situace, že informace obsažená v IPPF je v rozporu s právem nebo regulacemi, interní auditoři by měli z hlediska stanovení dalšího postupu kontaktovat IIA nebo vyhledat pomoc právního poradce.
Podle své definice je interní audit nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace.
Soulad s pojetím formulovaným v závazných směrnicích je nezbytný pro účinný výkon odpovědností interních auditorů a funkci interního auditu jako takovou. Jak je uvedeno v Etickém kodexu, interní auditoři budou poskytovat služby interního auditu v souladu se Standardy. Interními auditory se rozumí členové IIA, držitelé nebo kandidáti profesních certifikací IIA a také ti, kteří poskytují služby interního auditu v rozsahu Definice interního auditu.
•
•
•
•
Jak bylo již zmíněno výše, IPPF obsahuje dva typy směrnic.
1. Závazné směrnice se skládají z: • Definice interního auditu • Etického kodexu • Standardů Závazná povaha Standardů je zdůrazněna slovem „muset“. Standardy používají slovo „muset“ pro stanovení nepodmíněného požadavku. V některých výjimečných případech Standardy používají slovo „měl by“. Standardy užívají slovo „měl by“ tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku.
Na celém světě je interní audit prováděn v rozmanitých prostředích a uvnitř organizací, které se liší svým účelem, velikostí a strukturou. Mimo to se zákony a zvyky od sebe v jednotlivých zemích liší. Z hlediska prostředí, v kterém
Závazné směrnice byly formulovány tak, aby byly použitelné jak pro jedince, tak pro entity poskytující služby interního auditu. 17
2. Recommended Guidance includes:
Professional Practices Framework Mandatory
• Position Papers • Practices Advisories • Practice Guides
Definition Code of Ethics Standards Practice Advisories Development and Practice Aids
While endorsed by The IIA and developed by an IIA international technical committee and/or institute following due process, strongly recommended guidance is not mandatory and has been developed to provide a wide range of applicable solutions to meet the requirments of The IIA’s mandadory guidance. Strongly recommended material is not intended to provide definitive answers to specific individual circumstances and as such is intended to be used as a guide. The IIA recommends that independent expert advice be sought relating directly to any specific situation. This guidance is expected to be applied by competent internal auditors, exercising professional judgment.
Strongly Recommended
Endorsed or Developed by The IIA
• • • • •
Inteernational Professional Practices Framework Mandatory
Definition Code of Ethics Standards and Interpretations Position Papers Practice Advisories Practice Guides
During the coming years, internal auditors can help to ensure that the IPPF will continue to grow more robust through their active involvement in guidance development. All interested parties are invited to provide comments and suggestions about any aspect of the IPPF. For professional guidance, comments, and suggestions, send an e-mail to
[email protected]. To find out about coming updates to the IPPF, internal auditors are encouraged to monitor the Professional Guidance pages at http://www.theiia.org.
18
Strongly Recommended
• • • • • •
2. Doporučené směrnice se skládají z:
Rámec profesní praxe 2002–2008
• Stanovisek • Doporučení pro praxi • Praktických pomůcek
Definice Etický kodex Standardy Doporučení pro praxi Praktické a rozvojové pomůcky
Na základě návrhu pečlivě připraveného mezinárodním technickým výborem a samotným Institutem, schválil IIA důrazně doporučené směrnice, které však nejsou závazné. Účelem těchto doporučených směrnic je poskytnout širokou škálu použitelných řešení určených ke splnění požadavků stanovených závaznými směrnicemi IIA. Soubor důrazně doporučených směrnic nebyl připraven s cílem poskytnout rozhodující stanoviska použitelná v jednotlivých konkrétních situacích a jako takový by měl být používán spíše jako rádce/doporučení. IIA doporučuje, aby v dané konkrétní situaci, byl vyhledán nezávislý odborný poradce. Očekává se, že tyto důrazně doporučené směrnice budou využívat odborně způsobilí interní auditoři současně se svým odborným úsudkem.
Povinné Silně Schváleny/ doporučované vytvořeny IIA • • • • •
Mezinárodní rámec profesní praxe 2009
Definice Etický kodex Standardy a Interpretace Stanoviska Doporučení pro praxi Praktické pomůcky
V budoucnu mohou být interní auditoři nápomocni dalšímu rozvoji IPPF prostřednictvím jejich aktivní účasti při přípravě směrnic. Vítáme účast všech zainteresovaných stran v rámci poskytování připomínek a návrhů týkajících se jakéhokoli aspektu IPPF. V případě potřeby odborné rady, zaslání komentářů a návrhů zašlete e-mail na adresu
[email protected]. Informace o chystaných aktualizacích IPPF mohou interní auditoři sledovat na stránkách http://www.theiia.org, v části „Professional Guidance“.
19
Povinné Silně doporučované • • • • • •
What’s New – Since January 2009? Standards (Released in October 2010 and to be effective January 2011): • • • • • • • • • • • • • • • • • • • • • • • • • •
1000 – Purpose, Authority, and Responsibility: Change interpretation 1100 – Independence and Objectivity: Change interpretation 1110 – Organizational Independence: Add new interpretation 1312 – External Assessments: Change interpretation 1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”: Add new interpretation 2000 – Managing the Internal Audit Activity: Change interpretation 2010.A2: Add new Standard 2070 – External Service Provider and Organizational Responsibility for Internal Auditing: Add new Standard and interpretation 2110.A2: Change Standard 2110.C1: Change to 2210.C2, change the content of the Standard 2120 – Risk Management: Change interpretation 2120.A1: Change Standard 2130.A1: Change Standard 2130.A2: Delete Standard 2130.A3: Delete Standard 2130.C1: Change to 2220.C2 2130.C2: Change to 2130.C1 2400 – Communicating Results: Change Standard 2410.A1: Change Standard, add interpretation 2450 – Overall Opinions: Add new Standard and interpretation Change the definition of Add Value Change the definition of Chief Audit Executive Change the definition of Control Environment Change the definition of Independence Change the definition of Information Technology Governance Change the definition of Objectivity
20
Co je nového ve Standardech od ledna 2009? Standardy (platné od ledna 2011): • • • • • • • • • • • • • • • • • • • • • • • • • •
1000 – Účel, pravomoci a odpovědnosti: změna interpretace 1100 – Nezávislost a objektivita: změna interpretace 1110 – Organizační nezávislost: přidána nová interpretace 1312 – Externí hodnocení: změna interpretace 1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“: přidána nová interpretace 2000 – Řízení interního auditu: změna interpretace 2010.A2: přidán nový standard 2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu: přidán nový standard a interpretace 2110.A2: změna standardu 2110.C1: přečíslováno na 2210.C2, změna obsahu standardu 2120 – Řízení rizik: změna interpretace 2120.A1: změna standardu 2130.A1: změna standardu 2130.A2: standard zrušen 2130.A3: standard zrušen 2130.C1: přečíslováno na 2220.C2 2130.C2: přečíslováno na 2130.C1 2400 – Předávání výsledků: změna standardu 2410.A1: změna standardu, přidána nová interpretace 2450 – Celkové názory: přidán nový standard a interpretace Přidaná hodnota: změna definice Vedoucí interního auditu: změna definice Kontrolní prostředí: změna definice Nezávislost: změna definice Řízení a správa informačních technologií: změna definice Objektivita: změna definice
21
Practice Advisories (PA): Add - PA 2010-2: Add - PA 2050-2: Add - PA 2050-3: Change - PA 2060-1: Add - PA 2110-1: Add - PA 2110-2: Add - PA 2110-3: Add - PA 2120-2: Add - PA 2200-2:
Using the Risk Management Process in Internal Audit Planning July 2009 Assurance Maps July 2009 Relying on the Work of Other Assurance Providers October 2010 Reporting to Senior Management and the Board May 2010 Governance: Definition April 2010 Governance: Relationship with Risk and Control April 2010 Governance: Assessments April 2010 Managing the Risk of the Internal Audit Activity April 2009 Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement April 2010 Add - PA 2300-1: Use of Personal Information in Conducting Engagements May 2010 Add - PA 2320-1: Analytical Procedures May 2010 Add - PA 2330.A1-2: Granting Access to Engagement Records May 2010 Add - PA 2400-1: Legal Considerations in Communicating Results May 2010 Add - PA 2440-2: Communicating Sensitive Information Within and Outside the Chain of Command May 2010 Add - PA 2440.A2-1: Communications Outside the Organization May 2010 Practice Guides (PG): PG PG PG PG PG PG PG PG GTAG-15 GTAG-14 GTAG-13 GTAG-12
Assessing the Adequacy of Risk Management Measuring Internal Audit Effectiveness and Efficiency CAEs - Appointment, Performance Evaluation and Termination Auditing Executive Compensation and Benefits Evaluating Corporate Social Responsibility/Sustainable Development Formulating and Expressing Internal Audit Opinions Auditing External Business Relationships Internal Auditing and Fraud Information Security Governance Auditing User-developed Applications Fraud Prevention and Detection in an Automated World Auditing IT Projects
22
Dec. 2010 Dec. 2010 May 2010 April 2010 Feb. 2010 April 2009 May 2009 Dec. 2009 June 2010 June 2010 Dec. 2009 Mar. 2009
Doporučení pro praxi (DP): DP 2010–2: DP 2050–2: DP 2050–3: DP 2060–1: DP 2110–1: DP2110–2: DP 2110–3: DP 2120–2: DP 2200–2:
Využití procesu řízení rizik při plánování interního auditu vydáno v červenci 2009 Mapy ujišťovacích činností vydáno v červenci 2009 Spolehnutí se na práci ostatních dodavatelů ujištění vydáno v říjnu 2010 Předávání zpráv vedení a orgánům společnosti změna v květnu 2010 Řízení a správa společnosti: Definice vydáno v dubnu 2010 Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou vydáno v dubnu 2010 Řízení a správa společnosti: Hodnocení vydáno v dubnu 2010 Řízení rizik interního auditu vydáno v dubnu 2009 Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu vydáno v dubnu 2010 DP 2300–1: Využívání osobních informací při provádění zakázek vydáno v květnu 2010 DP 2320–1: Analytické postupy vydáno v květnu 2010 DP 2330.A1–2: Poskytování přístupu k záznamům pořízeným v rámci zakázky vydáno v květnu 2010 DP 2400–1: Právní aspekty při předávání výsledků vydáno v květnu 2010 DP 2440–2: Předávání citlivých informací v rámci nebo vně hierarchie řízení vydáno v květnu 2010 DP 2440.A2–1: Předávání informací vně společnosti vydáno v květnu 2010 Praktické pomůcky: Od poslední novely Rámce profesní praxe interního auditu bylo vydáno 12 nových Praktických pomůcek.
23
International standards Code of Ethics
Definition
Position Papers
Practice Guides Practice Advisories
Mezinárodní standardy
DŮ
RA
Z
DO
Doporučení pro praxi
PORUČENÉ
NI
Praktické pomůcky
Stanoviska
CE
Etický kodex
Definice
NĚ
C
ĚR
Z
ZNÉ S MĚRNI
E
A ÁV
SM
DEFINITION OF INTERNAL AUDITING Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.
26
DEFINICE INTERNÍHO AUDITU Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a řízení a správy organizace.
27
International standards
Code of Ethics
Definition
Position Papers
Practice Guides Practice Advisories
Mezinárodní standardy
DŮ
RA
Z
NĚ
DO
Doporučení pro praxi
PORUČENÉ
NI
Praktické pomůcky
Stanoviska
CE
Etický kodex
Definice
ĚR
Z
É SMĚRN IC E
Á
ZN VA
SM
CODE OF ETHICS
Applicability and Enforcement
Introduction
This Code of Ethics applies to both individuals and entities that provide internal auditing services.
The purpose of The Institute’s Code of Ethics is to promote an ethical culture in the profession of internal auditing.
For Institute members and recipients of or candidates for IIA professional certifications, breaches of the Code of Ethics will be evaluated and administered according to The Institute’s Bylaws and Administrative Guidelines. The fact that a particular conduct is not mentioned in the Rules of Conduct does not prevent it from being unacceptable or discreditable, and therefore, the member, certification holder, or candidate can be liable for disciplinary action.
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. A code of ethics is necessary and appropriate for the profession of internal auditing, founded as it is on the trust placed in its objective assurance about risk management, control, and governance.
Principles
The Institute’s Code of Ethics extends beyond the Definition of Internal Auditing to include two essential components:
1. Integrity The integrity of internal auditors establishes trust and thus provides the basis for reliance on their judgment.
1. Principles that are relevant to the profession and practice of internal auditing; 2. Rules of Conduct that describe behavior norms expected of internal auditors. These rules are an aid to interpreting the Principles into practical applications and are intended to guide the ethical conduct of internal auditors.
2. Objectivity Internal auditors exhibit the highest level of professional objectivity in gathering, evaluating, and communicating information about the activity or process being examined. Internal auditors make a balanced assessment of all the relevant circumstances and are not unduly influenced by their own interests or by others in forming judgments
“Internal auditors” refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing.
3. Confidentiality Internal auditors respect the value and ownership of information they receive and do not disclose information without appropriate authority unless there is a legal or professional obligation to do so.
Internal auditors are expected to apply and uphold the following principles:
30
ETICKÝ KODEX
Uplatnitelnost a vymahatelnost
Úvod
Tento Etický kodex se vztahuje na subjekty, které poskytují služby interního auditu, a to jak na fyzické, tak i na právnické osoby.
Cílem Etického kodexu Institutu interních auditorů (dále jen Etického kodexu) je podpora etické kultury v profesi interního auditu.
Porušení Etického kodexu členy Institutu interních auditorů, držiteli nebo kandidáty profesních certifikací IIA bude hodnoceno a při jeho řešení bude postupováno podle pravidel a administrativních směrnic Institutu. Skutečnost, že některý dílčí způsob jednání není obsažen v Pravidlech jednání, nemění nic na tom, aby toto jednání nemohlo být považováno za nepřijatelné nebo diskreditující, a tedy by mohlo být podnětem pro zahájení disciplinárního řízení vůči členu Institutu, držiteli nebo kandidátovi certifikace.
Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace. Etický kodex je nezbytný a důležitý pro profesi interního auditu, neboť ta je založena na důvěře, která je součástí objektivního ujištění poskytovaného touto profesí v oblasti řízení a správy společnosti, řízení rizik a řídicího a kontrolních systému.
Základní zásady Od interních auditorů se očekává, že budou dodržovat a uplatňovat následující základní zásady:
Tento Etický kodex přesahuje rámec Definice interního auditu a zahrnuje dvě významné části:
1. Integrita Integrita interních auditorů vytváří důvěru, která je základním prvkem víry ve spolehlivost jejich úsudků.
1. Základní zásady, které jsou důležité pro profesi a praxi interního auditu; 2. Pravidla jednání, která popisují normy chování očekávaného od interního auditora. Tato pravidla jsou pomůckou pro uplatňování Základních zásad v praxi a slouží jako návod pro etické jednání interních auditorů.
2. Objektivita Při shromažďování, hodnocení a předávání informací o prověřovaných činnostech a procesech, prokazují interní auditoři nejvyšší úroveň profesní objektivity. Interní auditoři vyváženým způsobem hodnotí všechny podstatné okolnosti a nenechají se při tvorbě svých úsudků nadměrně ovlivňovat svými vlastními zájmy nebo zájmy jiných.
„Interními auditory“ se rozumí členové Institutu a držitelé nebo kandidáti profesionální certifikace IIA a ti, kteří poskytují služby interního auditu v souladu s Definicí interního auditu.
3. Důvěrnost Interní auditoři respektují vlastnictví a hodnotu informací, které získávají při své činnosti a tyto informace neposkytují bez příslušného souhlasu, pokud neexistuje právní nebo profesní povinnost tak učinit. 31
4. Competency Internal auditors apply the knowledge, skills, and experience needed in the performance of internal auditing services.
3. Confidentiality Internal auditors: 3.1. Shall be prudent in the use and protection of information acquired in the course of their duties. 3.2. Shall not use information for any personal gain or in any manner that would be contrary to the law or detrimental to the legitimate and ethical objectives of the organization.
Rules of Conduct 1. Integrity Internal auditors:
4. Competency Internal auditors:
1.1. Shall perform their work with honesty, diligence, and responsibility. 1.2. Shall observe the law and make disclosures expected by the law and the profession. 1.3. Shall not knowingly be a party to any illegal activity, or engage in acts that are discreditable to the profession of internal auditing or to the organization. 1.4. Shall respect and contribute to the legitimate and ethical objectives of the organization.
4.1. Shall engage only in those services for which they have the necessary knowledge, skills, and experience. 4.2. Shall perform internal auditing services in accordance with the International Standards for the Professional Practice of Internal Auditing. 4.3. Shall continually improve their proficiency and the effectiveness and quality of their services.
2. Objectivity Internal auditors: 2.1. Shall not participate in any activity or relationship that may impair or be presumed to impair their unbiased assessment. This participation includes those activities or relationships that may be in conflict with the interests of the organization. 2.2. Shall not accept anything that may impair or be presumed to impair their professional judgment. 2.3. Shall disclose all material facts known to them that, if not disclosed, may distort the reporting of activities under review.
32
4. Kompetentnost Při poskytování služeb interního auditu uplatňují interní auditoři potřebné vědomosti, dovednosti a zkušenosti.
3. Důvěrnost Interní auditoři: 3.1. Budou obezřetní při použití a ochraně informací, které získají v průběhu plnění svých povinností. 3.2. Nepoužijí získané informace pro jakýkoli osobní prospěch a ani žádným jiným způsobem, který by byl v rozporu se zákonem nebo na újmu oprávněných zájmů organizace a jejích etických cílů.
Pravidla jednání 1. Integrita Interní auditoři: 1.1. Budou vykonávat svoji práci čestně, s náležitou péčí a odpovědně. 1.2. Budou dodržovat zákony a budou poskytovat informace, které jsou vyžadovány ze zákona nebo profesí interního auditu. 1.3. Nebudou se vědomě zapojovat do jakýchkoli nezákonných aktivit nebo se zúčastňovat činností, které by diskreditovaly profesi interního auditu nebo organizaci. 1.4. Budou respektovat oprávněné zájmy organizace a její etické cíle a přispívat k jejich dosažení.
4. Kompetentnost Interní auditoři: 4.1. Budou poskytovat pouze takové služby, pro které mají nezbytné vědomosti, dovednosti a zkušenosti. 4.2. Budou všechny své služby provádět v souladu s Mezinárodními standardy pro profesní praxi interního auditu. 4.3. Budou soustavně zdokonalovat svou odbornost, kvalitu a účinnost jimi poskytovaných služeb.
2. Objektivita Interní auditoři: 2.1. Nezúčastní se žádných činností nebo vztahů, které mohou narušovat nebo mohou být chápány jako narušení jejich objektivního úsudku. To se týká také činností a vztahů, které mohou být v konfliktu se zájmy organizace. 2.2. Nepřijmou nic, co by mohlo narušit nebo by mohlo být chápáno jako narušení jejich profesionálního úsudku. 2.3. Uvedou všechny významné skutečnosti, které jsou jim známy a které, pokud by nebyly uvedeny, by mohly zkreslit zprávu o činnostech, které byly předmětem auditu.
33
International standards Definition
Code of Ethics
Position Papers
Practice Guides Practice Advisories
standardy
Stanoviska
Praktické pomůcky
Z
DO
Doporučení pro praxi
PORUČENÉ
ĚR
RA
NĚ
NI
Etický kodex
DŮ
Definice
CE
E
Z
NÉ SMĚRN A ZMezinárodní IC V Á
SM
INTRODUCTION
fectiveness of its performance, which are internationally applicable at organizational and individual levels. • Interpretations, which clarify terms or concepts within the Statements.
Internal audit engagements are conducted in diverse legal and cultural environments; within organizations that vary in purpose, size, complexity, and structure; and by persons within or outside the organization. While differences may affect the practice of internal auditing in each environment, conformance with The IIA’s International Standards for the Professional Practice of Internal Auditing (The Standards) is essential if the responsibilities of internal auditors are to be met. If internal auditors are prohibited by laws or regulations from conforming with certain parts of the Standards, they should conform with all other parts of the Standards and make appropriate disclosures.
The Standards employ terms that have been given specific meanings that are included in the Glossary. Specifically, the Standards use the word “must” to specify an unconditional requirement and the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation. It is necessary to consider both the Statements and their Interpretations and the specific meanings from the Glossary to understand and apply the Standards correctly.
If internal auditors use the Standards in conjunction with the standards issued by other authoritative bodies, they may also cite the use of other standards in their audit communications, as appropriate. If inconsistencies exist between the Standards and other standards, internal audit must conform with the Standards, and may conform with the other standards if they are more restrictive.
The structure of the Standards includes Attribute, Performance, and Implementation Standards. Attribute Standards address the attributes of organizations and individuals performing internal audit services. The Performance Standards describe the nature of internal audit services and provide quality criteria against which the performance of these services can be measured. The Attribute and Performance Standards apply to all internal audit services. The Implementation Standards expand upon the Attribute and Performance Standards, providing the requirements applicable to assurance (A) or consulting (C) activities.
The purpose of the Standards is to: 1. Delineate basic principles that represent the practice of internal auditing as it should be. 2. Provide a framework for performing and promoting a broad range of value-added internal audit activities. 3. Establish the basis for the evaluation of internal audit performance. 4. Foster improved organizational processes and operations.
Assurance services involve the internal auditor’s objective assessment of evidence to provide an independent opinion or conclusions regarding an entity, an operation, a function, a process, system, or other subject matter. The nature and scope of the assurance engagement are determined by the internal auditor. There are generally three parties involved in assurance services: (1) the person or group directly involved with the entity, operation, function, process, system, or other subject matter — the process owner, (2) the person or group making the assessment — the
The Standards are principles-focused, mandatory requirements consisting of: • Statements of basic requirements for the professional practice of internal auditing and for evaluating the ef36
ÚVOD KE STANDARDŮM
• Základních požadavků kladených na profesionální praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. • Interpretací, které vysvětlují pojmy nebo pojetí použitá v textu jednotlivých požadavků.
Interní audit je vykonáván v různém právním a kulturním prostředí; uvnitř organizací lišících se zaměřením, velikostí a strukturou, prostřednictvím interních zaměstnanců i externích odborníků. Tyto rozdíly mohou sice ovlivňovat praxi interního auditu v daném prostředí, má-li však interní audit naplňovat řádně své odpovědnosti, musí být vždy jeho činnost ve shodě s Mezinárodními Standardy pro profesní praxi interního auditu vydanými IIA (dále Standardy). Pokud zákony nebo regulační opatření neumožňují interním auditorům nebo funkci interního auditu, aby postupovali ve shodě s určitou částí Standardů, je nezbytné dodržovat všechny ostatní části Standardů a řádně o této situaci informovat.
Standardy používají výrazy, kterým je přikládám specifický význam; tyto výrazy jsou obsaženy ve Výkladu pojmů. Standardy používají slovo „muset“ pro stanovení nepodmíněného požadavku a slovo „měl by“ tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku. Pro správné pochopení a používání Standardů je nezbytné řídit se formulacemi jednotlivých požadavků, jejich interpretacemi a současně i konkrétními výklady uvedenými ve Výkladu pojmů.
Pokud jsou Standardy používány ve spojení se standardy vydanými jinými odbornými organizacemi, v případech, kdy je to vhodné, mohou auditní zprávy také odkazovat na tyto standardy. Pokud v takovém případě existují rozdíly mezi Standardy a ostatními použitými standardy, interní auditoři a funkce interního auditu se musí řídit Standardy IIA; mohou se však také řídit ostatními standardy, pokud jsou jejich ustanovení přísnější než Standardy IIA.
Standardy se skládají ze Základních standardů, Standardů pro výkon interního auditu a Prováděcích standardů. Základní standardy obsahují zásadní požadavky a vlastnosti týkající se útvarů a subjektů poskytujících služby interního auditu. Standardy pro výkon interního auditu popisují charakter služeb interního auditu a poskytují kvalitativní kritéria, na jejichž základě lze činnost interního auditu hodnotit. Základní standardy a Standardy pro výkon interního auditu se vztahují na všechny služby interního auditu. Prováděcí standardy jsou nadstavbou Základních standardů a Standardů pro výkon interního auditu a obsahují požadavky týkající ujišťovacích (A) a poradenských (C) činností.
Cílem Standardů je: 1. Vymezit základní principy praxe interního auditu 2. Poskytnout rámec pro provádění a podporu širokého spektra služeb interního auditu, přinášejících přidanou hodnotu 3. Vytvořit základnu pro hodnocení výkonu interního auditu 4. Podporovat zdokonalené organizační procesy a postupy
Ujišťovací služby představují objektivní posouzení informací, jehož cílem je poskytnutí nezávislého názoru nebo závěrů ohledně určitého procesu, systému nebo jiného předmětu posouzení. Charakter a rozsah ujišťovací zakázky určuje auditor. Ujišťovací služby obvykle zahrnují tři strany: (1) Jedince nebo skupinu, kteří jsou v přímém
Standardy jsou závaznými požadavky, které vycházejí ze základních zásad. Standardy se skládají ze:
37
internal auditor, and (3) the person or group using the assessment — the user. Consulting services are advisory in nature, and are generally performed at the specific request of an engagement client. The nature and scope of the consulting engagement are subject to agreement with the engagement client. Consulting services generally involve two parties: (1) the person or group offering the advice — the internal auditor, and (2) the person or group seeking and receiving the advice — the engagement client. When performing consulting services the internal auditor should maintain objectivity and not assume management responsibility. The review and development of the Standards is an ongoing process. The Internal Audit Standards Board engages in extensive consultation and discussion prior to issuing the Standards. This includes worldwide solicitation for public comment through the exposure draft process. All exposure drafts are posted on The IIA’s Web site as well as being distributed to all IIA institues. Suggestions and comments regarding the Standards can be sent to: The Institute of Internal Auditors Standards and Guidance 247 Maitland Avenue Altamonte Springs, FL 32701-4201, USA E-mail:
[email protected] Web: http://www.theiia.org
38
vztahu k dané organizační jednotce, jednotlivým činnostem, funkci, systému nebo jiné předmětné záležitosti – vlastníka procesu (2) Jedince nebo skupinu provádějící hodnocení – interního auditora (3) Jedince nebo skupinu využívající toto hodnocení – uživatele Poradenské služby mají charakter poradenství a jsou obvykle prováděny na základě specifické žádosti klienta. Charakter a rozsah poradenské zakázky je předmětem dohody s klientem. Poradenské služby obvykle zahrnují dvě strany: (1) Jedince nebo skupinu poskytující konzultaci – interního auditora (2) Jedince nebo skupinu požadující a přijímající konzultaci – klienta zakázky. Při poskytování poradenských služeb by měl interní auditor zachovávat objektivitu a nepřijímat řídicí odpovědnost. Rozvoj a revize Standardů jsou nepřetržitými procesy. Standardy jsou před jejich vydáním intenzivně diskutovány v Radě pro standardy interního auditu (Internal Audit Standards Board) a podrobeny širokému mezinárodnímu připomínkovému řízení. Všechny návrhy jsou uveřejňovány na webových stránkách IIA a jsou distribuovány všem národním institutům. Náměty a komentáře týkající se Standardů mohou být zasílány na adresu: The Institute of Internal Auditors Standards and Guidance 247 Maitland Avenue Altamonte Springs, FL 32701-4201, USA e-mail:
[email protected] Web: http://www.theiia.org
39
INTERNATIONAL STANDARDS FOR THE PROFESSIONAL PRACTICE OF INTERNAL AUDITING
1010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter. The mandatory nature of the Definition of Internal Auditing, the Code of Ethics, and the Standards must be recognized in the internal audit charter. The chief audit executive should discuss the Definition of Internal Auditing, the Code of Ethics, and the Standards with senior management and the board.
Attribute Standards 1000 – Purpose, Authority, and Responsibility The purpose, authority, and responsibility of the internal audit activity must be formally defined in an internal audit charter, consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive must periodically review the internal audit charter and present it to senior management and the board for approval.
1100 – Independence and Objectivity The internal audit activity must be independent, and internal auditors must be objective in performing their work. Interpretation: Independence is the freedom from conditions that threaten the ability of the internal audit activity to carry out internal audit responsibilities in an unbiased manner. To achieve the degree of independence necessary to effectively carry out the responsibilities of the internal audit activity, the chief audit executive has direct and unrestricted access to senior management and the board. This can be achieved through a dualreporting relationship. Threats to independence must be managed at the individual auditor, engagement, functional, and organizational levels.
Interpretation: The internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and responsibility. The internal audit charter establishes the internal audit activity’s position within the organization; including the nature of the chief audit executive’s functional reporting relationship with the board; authorizes access to records, personnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activities. Final approval of the internal audit charter resides with the board.
Objectivity is an unbiased mental attitude that allows internal auditors to perform engagements in such a manner that they believe in their work product and that no quality compromises are made. Objectivity requires that internal auditors do not subordinate their judgment on audit matters to others. Threats to objectivity must be managed at the individual auditor, engagement, functional, and organizational levels.
1000.A1 – The nature of assurance services provided to the organization must be defined in the internal audit charter. If assurances are to be provided to parties outside the organization, the nature of these assurances must also be defined in the internal audit charter. 1000.C1 – The nature of consulting services must be defined in the internal audit charter.
1110 – Organizational Independence The chief audit executive must report to a level within the organization that allows the internal audit activity to fulfill its responsibilities. The chief audit executive must confirm 40
MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU
1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu Ve statutu interního auditu musí být respektován povinný charakter Definice interního auditu, Etického kodexu a Standardů. Vedoucí interního auditu by měl obsah Definice interního auditu, Etického kodexu a Standardů prodiskutovat s vedením a orgány společnosti.
Základní standardy 1000 – Účel, pravomoci a odpovědnosti Účel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního auditu, který je v souladu s Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu musí pravidelně ověřovat aktuálnost statutu interního auditu. Vedoucí interního auditu musí předkládat Statut interního auditu vedení a orgánům společnosti ke schválení.
1100 – Nezávislost a objektivita Působení interního auditu musí být nezávislé a interní auditoři musí při výkonu své práce postupovat objektivně. Interpretace: Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost interního auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem. K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu má vedoucí interního auditu přímý a neomezený přístup k vedení a orgánům společnosti. Stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu může být dosaženo prostřednictvím dvou linií řízení. Ohrožení nezávislosti musí být řízeno na úrovni jednotlivého auditora, zakázky, funkčních a organizačních úrovní.
Interpretace: Statutem interního auditu se rozumí formální dokument, který definuje účel, pravomoci a odpovědnosti interního auditu. Statut interního auditu určuje postavení interního auditu v rámci společnosti, včetně povahy vztahu funkční podřízenosti vedoucího interního auditu vůči orgánům společnosti; dále stanoví oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činnosti interního auditu. Konečné schválení statutu interního auditu přísluší orgánům společnosti.
Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět zakázky takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům. Ohrožení objektivity musí být řízeno na úrovni jednotlivého auditora, zakázky, funkčních a organizačních úrovní.
1000.A1 – Charakter ujišťovacích služeb poskytovaných společnosti musí být definován ve statutu interního auditu. Pokud je ujištění poskytováno subjektům vně společnosti, musí být charakter těchto ujišťovacích služeb též definován ve statutu interního auditu. 1000.C1 – Charakter poradenských služeb musí být definován ve statutu interního auditu.
1110 – Organizační nezávislost Vedoucí interního auditu musí podávat zprávy takovému organizačnímu stupni ve společnosti, který internímu auditu umožňuje plnění jeho funkcí. Vedoucí interního
41
to the board, at least annually, the organizational independence of the internal audit activity.
est could impair an individual’s ability to perform his or her duties and responsibilities objectively.
Interpretation: Organizational independence is effectively achieved when the chief audit executive reports functionally to the board. Examples of functional reporting to the board involve the board: • Approving the internal audit charter; • Approving the risk based internal audit plan; • Receiving communications from the chief audit executive on the internal audit activity’s performance relative to its plan and other matters; • Approving decisions regarding the appointment and removal of the chief audit executive; and • Making appropriate inquiries of management and the chief audit executive to determine whether there are inappropriate scope or resource limitations.
1130 – Impairment to Independence or Objectivity If independence or objectivity is impaired in fact or appearance, the details of the impairment must be disclosed to appropriate parties. The nature of the disclosure will depend upon the impairment. Interpretation: Impairment to organizational independence and individual objectivity may include, but is not limited to, personal conflict of interest, scope limitations, restrictions on access to records, personnel, and properties, and resource limitations, such as funding. The determination of appropriate parties to which the details of an impairment to independence or objectivity should be disclosed is dependent upon the expectations of the internal audit activity’s and the chief audit executive’s responsibilities to senior management and the board as described in the internal audit charter, as well as the nature of the impairment.
1110.A1 – The internal audit activity must be free from interference in determining the scope of internal auditing, performing work, and communicating results. 1111 – Direct Interaction With the Board The chief audit executive must communicate and interact directly with the board.
1130.A1 – Internal auditors must refrain from assessing specific operations for which they were previously responsible. Objectivity is presumed to be impaired if an internal auditor provides assurance services for an activity for which the internal auditor had responsibility within the previous year.
1120 – Individual Objectivity Internal auditors must have an impartial, unbiased attitude and avoid any conflict of interest. Interpretation: Conflict of interest is a situation in which an internal auditor, who is in a position of trust, has a competing professional or personal interest. Such competing interests can make it difficult to fulfill his or her duties impartially. A conflict of interest exists even if no unethical or improper act results. A conflict of interest can create an appearance of impropriety that can undermine confidence in the internal auditor, the internal audit activity, and the profession. A conflict of inter-
1130.A2 – Assurance engagements for functions over which the chief audit executive has responsibility must be overseen by a party outside the internal audit activity. 1130.C1 – Internal auditors may provide consulting services relating to operations for which they had previous responsibilities.
42
auditu musí nejméně jednou ročně potvrdit orgánům společnosti organizační nezávislost funkce interního auditu.
rušit důvěru v interního auditora, k funkci interního auditu a k této profesi. Střet zájmů by mohl narušit schopnost jedince plnit objektivně své povinnosti a odpovědnosti.
Interpretace: Organizační nezávislost je dosažena účinným způsobem tehdy, pokud je vedoucí interního auditu funkčně podřízen orgánům společnosti. Příklady funkčního podřízení orgánům společnosti zahrnují situace, kdy orgány společnosti: • schvalují Statut interního auditu, • schvalují rizikově zaměřený plán interního auditu, • dostávají od vedoucího interního auditu informace týkající se výkonnosti interního auditu ve vztahu k plánu a informace o ostatních záležitostem, • schvalují rozhodnutí ohledně jmenování a odvolání vedoucího interního auditu, a • provádějí odpovídající dotazování vedení společnosti a vedoucího interního auditu, aby zjistili, zda neexistuje nepřiměřené omezení rozsahu a zdrojů auditu.
1130 – Narušení nezávislosti nebo objektivity Pokud dojde ke zdánlivému či faktickému narušení nezávislosti nebo objektivity, musí být o této skutečnosti předány podrobné informace příslušné organizační úrovni ve společnosti. Způsob sdělení informací závisí na povaze tohoto narušení. Interpretace: Narušení organizační nezávislosti a objektivity jednotlivce může zahrnovat následující situace (které však nejsou jejich vyčerpávajícím výčtem): osobní konflikt zájmu, omezení rozsahu působnosti auditu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů, např. finančních. Stanovení příslušných subjektů, kterým musí být sděleny detaily týkající se narušení nezávislosti a objektivity, závisí na odpovědnostech očekávaných od funkce interního auditu a jeho výkonného vedení směrem k vedení a orgánům společnosti, jak je uvedeno ve statutu interního auditu a dále také závisí na charakteru tohoto narušení.
1110.A1 – Při stanovení rozsahu působnosti interního auditu, při vlastním provádění prací a při sdělování výsledků nesmí internímu auditu do těchto činností nikdo zasahovat. 1111 – Přímá vzájemná součinnost s orgány společnosti Vedoucí interního auditu musí komunikovat a být ve vzájemné součinnosti přímo s orgány společnosti.
1130.A1 – Interní auditoři nesmí hodnotit takové procesy, za jejichž provádění byli předtím odpovědni. Jestliže auditor poskytuje ujištění o činnosti, za kterou byl během předchozího roku odpovědný, znamená to, že objektivita je narušena.
1120 – Objektivita jednotlivce Interní auditoři musí postupovat nestranně a nezaujatě a musí se vyhýbat jakémukoliv střetu zájmů.
1130.A2 – Na ujišťovací zakázky (audity) činností, za jejichž provádění je odpovědný vedoucí interního auditu, musí dohlížet subjekt vně interního auditu.
Interpretace: Střet zájmů je situace, v níž má interní auditor, vystupující v roli důvěryhodné osoby, protichůdný profesní či osobní zájem. Tyto protichůdné zájmy mohou znesnadnit nestranné plnění povinností auditora. Střet zájmů existuje dokonce i v případě, kdy se nestane nic neetického nebo nesprávného. Střet zájmů může vytvořit zdání nevhodnosti, které může na-
1130.C1 – Interní auditoři mohou poskytovat poradenské služby týkající se činností, za jejichž provádění byli předtím odpovědni.
43
1210.A3 – Internal auditors must have sufficient knowledge of key information technology risks and controls and available technology-based audit techniques to perform their assigned work. However, not all internal auditors are expected to have the expertise of an internal auditor whose primary responsibility is information technology auditing.
1130.C2 – If internal auditors have potential impairments to independence or objectivity relating to proposed consulting services, disclosure must be made to the engagement client prior to accepting the engagement. 1200 – Proficiency and Due Professional Care Engagements must be performed with proficiency and due professional care.
1210.C1 – The chief audit executive must decline the consulting engagement or obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.
1210 – Proficiency Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge, skills, and other competencies needed to perform its responsibilities.
1220 – Due Professional Care Internal auditors must apply the care and skill expected of a reasonably prudent and competent internal auditor. Due professional care does not imply infallibility.
Interpretation: Knowledge, skills, and other competencies is a collective term that refers to the professional proficiency required of internal auditors to effectively carry out their professional responsibilities. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certifications and qualifications, such as the Certified Internal Auditor designation and other designations offered by The Institute of Internal Auditors and other appropriate professional organizations.
1220.A1 –Internal auditors must exercise due professional care by considering the: • Extent of work needed to achieve the engagement’s objectives; • Relative complexity, materiality, or significance of matters to which assurance procedures are applied; • Adequacy and effectiveness of governance, risk management, and control processes; • Probability of significant errors, fraud, or noncompliance; and • Cost of assurance in relation to potential benefits.
1210.A1 – The chief audit executive must obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.
1220.A2 – In exercising due professional care internal auditors must consider the use of technology-based audit and other data analysis techniques.
1210.A2 – have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organization, but are not expected to have the expertise of a person whose primary responsibility is detecting and investigating fraud.
1220.A3 – Internal auditors must be alert to the significant risks that might affect objectives, operations, or resources. However, assurance procedures alone, even
44
1210.A3 – Interní auditoři musí v rámci provádění svěřených úkolů mít dostatečné znalosti klíčových rizik a řídicích a kontrolních mechanismů v oblasti informačních technologií. Dále musí mít dostatečné znalosti dostupných softwarově podporovaných auditorských postupů. Od všech interních auditorů se však neočekává taková kvalifikace jako od interního auditora, jehož hlavní odpovědností je audit informační technologie.
1130.C2 – Pokud jsou interní auditoři vystaveni možnému narušení nezávislosti a objektivity ve vztahu k nabízeným poradenským službám, musí být klient o této skutečnosti informován ještě před přijetím takové zakázky. 1200 – Odbornost a náležitá profesní péče Zakázky musí být prováděny odborně a s náležitou profesní péčí.
1210.C1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení poradenské zakázky jako celku nebo její části, musí vedoucí interního auditu odmítnout tuto zakázku nebo zajistit odborné poradenství a podporu.
1210 – Odbornost Interní auditoři musí mít znalosti, dovednosti a další schopnosti potřebné pro plnění svých úkolů. Funkce interního auditu jako celek musí mít nebo být schopna zajistit takové znalosti, dovednosti a další schopnosti, které jsou potřebné pro plnění jejích odpovědností.
1220 – Náležitá profesní péče Interní auditoři musí uplatňovat péči a dovednosti, jaké se očekávají od přiměřeně uvážlivého a způsobilého interního auditora. Náležitá profesní péče neznamená neomylnost.
Interpretace: Znalosti, dovednosti a další schopnosti jsou společným termínem označujícím profesní odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný výkon jejich profesních odpovědností. Interním auditorům se doporučuje, aby prokazovali svou odbornost získáním odpovídajících profesních kvalifikací a certifikací, např. osvědčení Certifikovaný Interní Auditor a další osvědčení nabízená Mezinárodním institutem interních auditorů a ostatními, pro tento účel vhodnými profesními organizacemi.
1220.A1 – Interní auditor musí při uplatňování náležité profesní péče vzít v úvahu: • rozsah práce potřebný k dosažení cílů zakázky (auditu), • relativní složitost, významnost nebo závažnost oblastí, které jsou předmětem postupů poskytujících ujištění, • přiměřenost a účinnost procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, • pravděpodobnost výskytu významných chyb, podvodu nebo odchylek, • náklady potřebné pro poskytnutí ujištění ve vztahu k jeho možným přínosům.
1210.A1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení zakázky jako celku nebo její části, vedoucí interního auditu musí zajistit odborné poradenství a podporu. 1210.A2 – Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob jakým je toto riziko řízeno v rámci společnosti, ale neočekává se od nich taková kvalifikace, jako je požadována od osoby, jejíž hlavní odpovědností je odhalování a vyšetřování podvodu.
1220.A2 – Při uplatňování náležité profesní péče musí interní auditor zvážit použití softwarově podporovaných auditorských postupů a ostatních postupů analýzy dat. 45
when performed with due professional care, do not guarantee that all significant risks will be identified.
1311 – Internal Assessments Internal assessments must include:
1220.C1 – Internal auditors must exercise due professional care during a consulting engagement by considering the:
• Ongoing monitoring of the performance of the internal audit activity; and • Periodic reviews performed through self-assessment or by other persons within the organization with sufficient knowledge of internal audit practices.
• Needs and expectations of clients, including the nature, timing, and communication of engagement results; • Relative complexity and extent of work needed to achieve the engagement’s objectives; and • Cost of the consulting engagement in relation to potential benefits.
Interpretation: Ongoing monitoring is an integral part of the day-to-day supervision, review, and measurement of the internal audit activity. Ongoing monitoring is incorporated into the routine policies and practices used to manage the internal audit activity and uses processes, tools, and information considered necessary to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.
1230 – Continuing Professional Development Internal auditors must enhance their knowledge, skills, and other competencies through continuing professional development.
Periodic reviews are assessments conducted to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.
1300 – Quality Assurance and Improvement Program The chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity.
Sufficient knowledge of internal audit practices requires at least an understanding of all elements of the International Professional Practices Framework.
Interpretation: A quality assurance and improvement program is designed to enable an evaluation of the internal audit activity’s conformance with the Definition of Internal Auditing and the Standards and an evaluation of whether internal auditors apply the Code of Ethics. The program also assesses the efficiency and effectiveness of the internal audit activity and identifies opportunities for improvement.
1312 – External Assessments External assessments must be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The chief audit executive must discuss with the board: • The need for more frequent external assessments; and • The qualifications and independence of the external reviewer or review team, including any potential conflict of interest.
1310 – Requirements of the quality assurance and improvement program The quality assurance and improvement program must include both internal and external assessments.
46
1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality Program pro zabezpečení a zvyšování kvality musí zahrnovat jak interní, tak externí hodnocení.
1220.A3 – Interní auditor musí být ostražitý vůči významným rizikům, která mohou ovlivnit cíle, postupy nebo zdroje. Postupy poskytující ujištění, i když jsou prováděny s náležitou profesní péčí, však samy o sobě nezaručí, že budou odhalena všechna významná rizika.
1311 – Interní hodnocení Interní hodnocení musí zahrnovat:
1220.C1 – Interní auditoři při uplatňování náležité profesní péče musí v rámci poradenské zakázky vzít v úvahu:
• průběžné sledování výkonnosti funkce interního auditu, • pravidelné prověrky prováděné prostřednictvím sebehodnocení nebo s využitím jiných osob v rámci společnosti, které mají dostatečné znalosti postupů interního auditu.
• potřeby a očekávání klientů, včetně charakteru, načasování a způsobu sdělení výsledků zakázky, • relativní složitost a rozsah práce potřebné k dosažení cílů zakázky, • náklady na poradenskou zakázku ve vztahu k jejím možným přínosům.
Interpretace: Průběžné sledování je nedílnou součástí každodenního dohledu (supervize), prověřování a měření činnosti interního auditu. Průběžné sledování je začleněno do běžných zásad a postupů používaných k řízení interního auditu; průběžné sledování používá procesy, nástroje a informace, které jsou považovány za nezbytné pro hodnocení souladu s Definicí interního auditu, Etickým kodexem a Standardy.
1230 – Průběžný profesní rozvoj Interní auditoři musí zlepšovat své znalosti, dovednosti a další schopnosti prostřednictvím průběžného profesního rozvoje. 1300 – Program pro zabezpečení a zvyšování kvality interního auditu Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zabezpečení a zvyšování kvality interního auditu, který zahrnuje všechna hlediska funkce interního auditu.
Pravidelné prověrky jsou definovány jako analýzy hodnotící soulad s Definicí interního auditu, s Etickým kodexem a se Standardy. Dostatečná znalost postupů interního auditu vyžaduje alespoň porozumění všem prvkům Mezinárodního rámce pro profesní praxi interního auditu.
Interpretace: Program pro zabezpečení a zvyšování kvality je navržen tak, aby umožnil hodnocení souladu činnosti interního auditu s Definicí interního auditu a se Standardy a dále umožnil hodnocení, zda se interní auditoři řídí Etickým kodexem. Tento program také hodnotí účinnost a efektivnost činností interního auditu a identifikuje příležitosti ke zlepšení.
1312 – Externí hodnocení Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým externím hodnotitelem nebo externím hodnotícím týmem. Vedoucí interního auditu musí s orgány společnosti projednat: • potřebu častějších externích hodnocení, • odbornou způsobilost a nezávislost externího hodnotitele nebo hodnotícího týmu, včetně jakéhokoli možného konfliktu zájmů. 47
1321– Use of “Conformswith the International Standards for the Professional Practice of Internal Auditing” The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement.
Interpretation: A qualified reviewer or review team demonstrates competence in two areas: the professional practice of internal auditing and the external assessment process. Competence can be demonstrated through a mixture of experience and theoretical learning. Experience gained in organizations of similar size, complexity, sector or industry, and technical issues is more valuable than less relevant experience. In the case of a review team, not all members of the team need to have all the competencies; it is the team as a whole that is qualified. The chief audit executive uses professional judgment when assessing whether a reviewer or review team demonstrates sufficient competence to be qualified.
Interpretation: The internal audit activity conforms with the Standards when it achieves the outcomes described in the Definition of Internal Auditing, Code of Ethics, and Standards. The results of the quality assurance and improvement program include the results of both internal and external assessments. All internal audit activities will have the results of internal assessments. Internal audit activities in existence for at least five years will also have the results of external assessments.
An independent reviewer or review team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs. 1320 – Reporting on the quality assurance and improvement program The chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board.
1322 – Disclosure of Nonconformance When nonconformance with the Definition of Internal Auditing, the Code of Ethics, or the Standards impacts the overall scope or operation of the internal audit activity, the chief audit executive must disclose the nonconformance and the impact to senior management and the board.
Interpretation: The form, content, and frequency of communicating the results of the quality assurance and improvement program is established through discussions with senior management and the board and considers the responsibilities of the internal audit activity and chief audit executive as contained in the internal audit charter. To demonstrate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards, the results of external and periodic internal assessments are communicated upon completion of such assessments and the results of ongoing monitoring are communicated at least annually. The results include the reviewer’s or review team’s assessment with respect to the degree of conformance.
48
1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Vedoucí interního auditu může deklarovat, že činnost interního auditu je v souladu s Mezinárodními standardy pro profesní praxi interního auditu, pouze pokud výsledky programu pro zabezpečení a zvyšování kvality tuto deklaraci podporují.
Interpretace: Odborně způsobilý hodnotitel nebo hodnotící tým prokazuje způsobilost ve dvou oblastech: v profesní praxi interního auditu a v procesu externího hodnocení. Způsobilost může být prokázána kombinací zkušeností a teoretických znalostí. Zkušenosti získané ve společnostech obdobných velikostí a složitostí, v obdobném sektoru nebo odvětví, a zkušenosti v oblasti technických aspektů jsou hodnotnější než zkušenosti (z tohoto pohledu) méně relevantní. Jedná-li se o hodnotící tým, nemusí mít všichni členové týmu způsobilost ve všech oblastech, ale kvalifikovaný musí být tým jako celek. K vyhodnocení, zda hodnotitel nebo hodnotící tým prokazují dostatečnou způsobilost z hlediska kvalifikace, používá vedoucí interního auditu svůj profesní úsudek.
Interpretace: Činnost interního auditu je v souladu se Standardy, pokud dosahuje výsledků uvedených v Definici interního auditu, Etickém kodexu a ve Standardech. Výsledky programu pro zabezpečování a zvyšování kvality obsahují jak výsledky interního, tak externího hodnocení kvality. Všechny útvary interního auditu budou mít k dispozici výsledky interního hodnocení. Útvary interního auditu, který existuje alespoň pět let, budou též disponovat výsledky externího hodnocení kvality.
Nezávislost hodnotitele nebo hodnotícího týmu znamená, že nejsou ve skutečném ani zdánlivém konfliktu zájmů a že nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž náleží funkce interního auditu.
1322 – Informování týkající se nesouladu Pokud má nesoulad s Definicí interního auditu, Etickým kodexem nebo Standardy dopad na celkový rozsah působnosti a postupy interního auditu, musí vedoucí interního auditu informovat vedení a orgány společnosti o tomto nesouladu a jeho dopadech.
1320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu Vedoucí interního auditu musí informovat vedení a orgány společnosti o výsledcích programu pro zabezpečení a zvyšování kvality. Interpretace: Forma, obsah a frekvence předávání výsledků týkajících se programu pro zabezpečení a zvyšování kvality jsou stanoveny po dohodě s vedením a orgány společnosti a berou v úvahu odpovědnosti interního auditu a jeho výkonného vedení tak, jak jsou stanoveny ve statutu interního auditu. Za účelem prokázání souladu s Definicí interního auditu, s Etickým kodexem a se Standardy, jsou výsledky externích hodnocení a výsledky pravidelných interních hodnocení předávány po ukončení příslušného hodnocení. Výsledky průběžného sledování jsou sdělovány nejméně jednou ročně. Tyto výsledky obsahují hodnocení hodnotitele nebo hodnotícího týmu ohledně stupně souladu. 49
PERFORMANCE STANDARDS
sessment, undertaken at least annually. The input of senior management and the board must be considered in this process.
2000 – Managing the Internal Audit Activity The chief audit executive must effectively manage the internal audit activity to ensure it adds value to the organization.
2010.A2 – The chief audit executive must identify and consider the expectations of senior management, the board, and other stakeholders for internal audit opinions and other conclusions.
Interpretation: The internal audit activity is effectively managed when: • The results of the internal audit activity’s work achieve the purpose and responsibility included in the internal audit charter; • The internal audit activity conforms with the Definition of Internal Auditing and the Standards; and • The individuals who are part of the internal audit activity demonstrate conformance with the Code of Ethics and the Standards.
2010.C1 – The chief audit executive should consider accepting proposed consulting engagements based on the engagement’s potential to improve management of risks, add value, and improve the organization’s operations. Accepted engagements must be included in the plan.
The internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.
2020 – Communication and Approval The chief audit executive must communicate the internal audit activity’s plans and resource requirements, including significant interim changes, to senior management and the board for review and approval. The chief audit executive must also communicate the impact of resource limitations.
2010 – Planning The chief audit executive must establish risk-based plans to determine the priorities of the internal audit activity, consistent with the organization’s goals.
2030 – Resource Management The chief audit executive must ensure that internal audit resources are appropriate, sufficient, and effectively deployed to achieve the approved plan.
Interpretation: The chief audit executive is responsible for developing a riskbased plan. The chief audit executive takes into account the organization’s risk management framework, including using risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consultation with senior management and the board.
Interpretation: Appropriate refers to the mix of knowledge, skills, and other competencies needed to perform the plan. Sufficient refers to the quantity of resources needed to accomplish the plan. Resources are effectively deployed when they are used in a way that optimizes the achievement of the approved plan. 2040 – Policies and Procedures The chief audit executive must establish policies and procedures to guide the internal audit activity.
2010.A1 – The internal audit activity’s plan of engagements must be based on a documented risk as50
STANDARDY PRO VÝKON INTERNÍHO AUDITU
prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a orgánů společnosti.
2000 – Řízení interního auditu Vedoucí útvaru interního auditu musí účinně řídit výkon interního auditu tak, aby interní audit přinášel společnosti přidanou hodnotu.
2010.A2 – Vedoucí interního auditu musí identifikovat a vzít v úvahu, co vedení, orgány společnosti a ostatní zainteresované subjekty (stakeholders) očekávají od názorů a dalších závěrů interního auditu.
Interpretace: Činnost interního auditu je účinně řízena, pokud: • výsledky interního auditu dosahují účelu a plní odpovědnosti stanovené ve statutu interního auditu, • výkon interního auditu je realizován v souladu s Definicí interního auditu a se Standardy, • jednotlivci, účastnící se výkonu interního auditu, prokazují soulad s Etickým kodexem a se Standardy.
2010.C1 – Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu. 2020 – Komunikace a schvalování Vedoucí útvaru interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů.
Interní audit přidává hodnotu společnosti a ostatním zainteresovaným subjektům (stakeholders) pokud poskytuje objektivní a náležité ujištění a přispívá k účinnosti a efektivnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů.
2030 – Řízení zdrojů Vedoucí interního auditu musí zajistit, aby zdroje interního auditu pro splnění schváleného plánu byly vhodné, dostatečné a účinně rozmístěné.
2010 – Plánování Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu.
Interpretace: Vhodnými zdroji se rozumí kombinace znalostí, dovedností a dalších schopností potřebných pro splnění plánu. Dostatečnými zdroji se rozumí množství zdrojů potřebných pro uskutečnění plánu. Zdroje jsou účinně rozmístěny, pokud jsou používány způsobem, který vede k dosažení schváleného plánu optimální cestou.
Interpretace: Vedoucí interního auditu je odpovědný za vytvoření plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije své vlastní posouzení rizik.
2040 – Zásady a postupy Vedoucí interního auditu musí stanovit zásady a postupy, kterými se řídí činnost interního auditu.
2010.A1 – Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik, které je 51
2100 – Nature of Work The internal audit activity must evaluate and contribute to the improvement of governance, risk management, and control processes using a systematic and disciplined approach.
Interpretation: The form and content of policies and procedures are dependent upon the size and structure of the internal audit activity and the complexity of its work. 2050 – Coordination The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.
2110 – Governance The internal audit activity must assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives:
2060 – Reporting to Senior Management and the Board The chief audit executive must report periodically to senior management and the board on the internal audit activity’s purpose, authority, responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters needed or requested by senior management and the board.
• Promoting appropriate ethics and values within the organization; • Ensuring effective organizational performance management and accountability; • Communicating risk and control information to appropriate areas of the organization; and • Coordinating the activities of and communicating information among the board, external and internal auditors, and management.
Interpretation: The frequency and content of reporting are determined in discussion with senior management and the board and depend on the importance of the information to be communicated and the urgency of the related actions to be taken by senior management or the board.
2110.A1 – The internal audit activity must evaluate the design, implementation, and effectiveness of the organization’s ethics-related objectives, programs, and activities. 2110.A2 – The internal audit activity must assess whether the information technology governance of the organization supports the organization’s strategies and objectives.
2070 – External Service Provider and Organizational Responsibility for Internal Auditing When an external service provider serves as the internal audit activity, the provider must make the organization aware that the organization has the responsibility for maintaining an effective internal audit activity. Interpretation This responsibility is demonstrated through the quality assurance and improvement program which assesses conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. 52
2100 – Charakter práce Interní audit musí systematicky a metodicky hodnotit procesy řízení a správy společnosti, řízení rizik a řídicí a kontrolní procesy a přispívat k jejich zdokonalování.
Interpretace: Forma a obsah zásad a postupů jsou závislé na velikosti a struktuře útvaru interního auditu a složitosti jeho práce. 2050 – Koordinace Vedoucí interního auditu by měl sdílet informace a koordinovat činnost s ostatními interními a externími dodavateli obdobných ujišťovacích a poradenských služeb tak, aby bylo zajištěno dostatečné pokrytí auditními a poradenskými činnostmi a byly minimalizovány duplicity činností.
2110 – Řízení a správa společnosti Interní audit musí hodnotit a poskytovat vhodná doporučení za účelem zdokonalení procesu řízení a správy společnosti. V této roli plní následující cíle: • podpora vhodných etických a hodnotových kritérií v rámci společnosti, • zajištění účinného řízení výkonnosti společnosti a účinného přiřazení zodpovědnosti, • předávání informací týkajících se rizik a vnitřního řídicího a kontrolního systému příslušným organizačním úrovním v rámci společnosti, • koordinace těchto činností a předávání informací mezi orgány společnosti, externími a interními auditory a vedením.
2060 – Předávání zpráv vedení a orgánům společnosti Vedoucí interního auditu musí vedení a orgánům společnosti pravidelně předávat zprávy, týkající se účelu, pravomoci, odpovědností interního auditu a jeho výkonnosti v porovnání s plánem interního auditu. Tyto zprávy musí též obsahovat zjištění týkající se významných rizik, řídicího a kontrolního systému, včetně rizik podvodu a dále zjištění ohledně řízení a správy společnosti a dalších záležitostí dle potřeb a požadavků vedení a orgánů společnosti.
2110.A1 – Interní audit musí hodnotit nastavení, realizaci a účinnost cílů, plánů a činností souvisejících s oblastí etických principů dané společnosti.
Interpretace: Četnost a obsah předávaných zpráv jsou stanoveny na základě diskuse s vedením a orgány společnosti a závisí na důležitosti předávaných informací a na naléhavosti souvisejících opatření, které mají být přijaty vedením a orgány společnosti.
2110.A2 – Interní audit musí zhodnotit, zda proces řízení a správy informačních technologií společnosti podporuje strategie a cíle společnosti.
2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu Pokud externí poskytovatel služeb provádí činnosti interního auditu, musí upozornit společnost, že odpovědnost za udržování účinného interního auditu má samotná společnost. Interpretace: Tato odpovědnost je prokazována prostřednictvím programu pro zabezpečení a zvyšování kvality, který hodnotí soulad s Definicí interního auditu, Etickým kodexem a Standardy. 53
2120.A2 – The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk.
2120 – Risk Management The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.
2120.C1 – During consulting engagements, internal auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other significant risks.
Interpretation: Determining whether risk management processes are effective is a judgment resulting from the internal auditor’s assessment that: • Organizational objectives support and align with the organization’s mission; • Significant risks are identified and assessed; • Appropriate risk responses are selected that align risks with the organization’s risk appetite; and • Relevant risk information is captured and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out their responsibilities.
2120.C2 – Internal auditors must incorporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes.
The internal audit activity may gather the information to support this assessment during multiple engagements. The results of these engagements, when viewed together, provide an understanding of the organization’s risk management processes and their effectiveness.
2130 – Control The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement.
Risk management processes are monitored through ongoing management activities, separate evaluations, or both.
2130.A1 – The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization’s governance, operations, and information systems regarding the:
2120.C3 – When assisting management in establishing or improving risk management processes, internal auditors must refrain from assuming any management responsibility by actually managing risks.
2120.A1 – The internal audit activity must evaluate risk exposures relating to the organization’s governance, operations, and information systems regarding the:
• Reliability and integrity of financial and operational information; • Effectiveness and efficiency of operations and programs; • Safeguarding of assets; and • Compliance with laws, regulations, policies, procedures, and contracts.
• Reliability and integrity of financial and operational information. • Effectiveness and efficiency of operations and programs. • Safeguarding of assets; and • Compliance with laws, regulations, policies, procedures, and contracts. 54
2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko podvodu.
2120 – Řízení rizik Interní audit musí hodnotit účinnost procesů řízení rizik a přispívat ke zdokonalování těchto procesů.
2120.C1 – V průběhu poradenských zakázek se interní auditoři musí zabývat riziky souvisejícími s cíli zakázky a musí být obezřetní vzhledem k existenci dalších významných rizik.
Interpretace: Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na zhodnocení, že: • cíle společnosti podporují poslání společnosti a jsou s ním v souladu, • významná rizika jsou identifikována a ohodnocena, • v reakci na rizika jsou podnikány přiměřené kroky, které dávají do souladu velikost rizika s rizikovou tolerancí společnosti, • důležité informace týkající se rizik jsou získávány a včas sdělovány napříč společností; tyto informace umožňují zaměstnancům, vedení a orgánům společnosti vykonávat jejich odpovědnosti.
2120.C2 – Interní auditoři musí při hodnocení procesu řízení rizik dané společnosti používat znalosti rizik získané v průběhu poradenských zakázek. 2120.C3 – Při poskytování pomoci vedení při zavádění nebo zlepšování procesů řízení rizik, interní auditoři nesmí přijmout jakoukoli řídicí odpovědnost, která by znamenala skutečné řízení rizik. 2130 – Řízení a kontrola Interní audit musí napomáhat společnosti udržovat účinné řídicí a kontrolní systémy tím, že hodnotí jejich účinnost a efektivnost a podporuje jejich neustálé zdokonalování:
K podpoře takového zhodnocení může interní audit získávat informace prostřednictvím několika zakázek. Společný pohled na výsledky těchto zakázek pak poskytuje porozumění procesům řízení rizik ve společnosti a jejich účinnosti.
2130.A1 – Interní audit musí v rámci procesů řízení a správy společnosti, procesů a informačních systémů společnosti hodnotit přiměřenost a účinnost řídicích a kontrolních mechanismů reagujících na rizika, a to z hlediska:
Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídicích činností, samostatných hodnocení nebo prostřednictvím kombinace obou uvedených činností. 2120.A1 – Interní audit musí hodnotit rizika týkajících se řízení a správy společnosti, procesů společnosti a informačních systémů z hlediska:
• spolehlivosti a integrity finančních a provozních informací, • účinnosti a efektivnosti procesů a plánů, • ochrany aktiv, • dodržování zákonů, předpisů , zásad, postupů a smluv.
• spolehlivosti a integrity finančních a provozních informací, • účinnosti a efektivnosti procesů, a plánů, • ochrany aktiv, • dodržování zákonů, předpisů zásad, postupů a smluv.
55
2210 – Engagement Objectives Objectives must be established for each engagement.
2130.C1 – Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of the organization’s control processes.
2210.A1 – Internal auditors must conduct a preliminary assessment of the risks relevant to the activity under review. Engagement objectives must reflect the results of this assessment.
2200 – Engagement Planning Internal auditors must develop and document a plan for each engagement, including the engagement’s objectives, scope, timing, and resource allocations.
2210.A2 – Internal auditors must consider the probability of significant errors, fraud, noncompliance, and other exposures when developing the engagement objectives.
2201 – Planning Considerations In planning the engagement, internal auditors must consider:
2210.A3 – Adequate criteria are needed to evaluate controls. Internal auditors must ascertain the extent to which management has established adequate criteria to determine whether objectives and goals have been accomplished. If adequate, internal auditors must use such criteria in their evaluation. If inadequate, internal auditors must work with management to develop appropriate evaluation criteria.
• The objectives of the activity being reviewed and the means by which the activity controls its performance; • The significant risks to the activity, its objectives, resources, and operations and the means by which the potential impact of risk is kept to an acceptable level; • The adequacy and effectiveness of the activity’s risk management and control processes compared to a relevant control framework or model; and • The opportunities for making significant improvements to the activity’s risk management and control processes.
2210.C1 – Consulting engagement objectives must address governance, risk management, and control processes to the extent agreed upon with the client.
2201.A1 – When planning an engagement for parties outside the organization, internal auditors must establish a written understanding with them about objectives, scope, respective responsibilities, and other expectations, including restrictions on distribution of the results of the engagement and access to engagement records.
2210.C2 – Consulting engagement objectives must be consistent with the organization’s values, strategies, and objectives. 2220 – Engagement Scope The established scope must be sufficient to satisfy the objectives of the engagement.
2201.C1 – Internal auditors must establish an understanding with consulting engagement clients about objectives, scope, respective responsibilities, and other client expectations. For significant engagements, this understanding must be documented.
2220.A1 – The scope of the engagement must include consideration of relevant systems, records, personnel, and physical properties, including those under the control of third parties.
56
2210 – Cíle zakázky Každá zakázka musí mít stanoveny své cíle.
2130.C1 – Interní auditoři musí při hodnocení řídicích a kontrolních procesů dané společnosti používat znalosti řídicích a kontrolních mechanismů, které získali v průběhu poradenských zakázek.
2210.A1 – Interní auditoři musí provést předběžné ohodnocení rizik souvisejících s prověřovanou činností. Cíle zakázky musí respektovat výsledky tohoto ohodnocení.
2200 – Plánování zakázky Pro každou zakázku musí interní auditoři vypracovat a zdokumentovat plán, který zahrnuje cíle zakázky včetně stanovení rozsahu, načasování a rozvržení zdrojů.
2210.A2 – Při určování cílů auditu musí interní auditoři zvážit pravděpodobnost výskytu významných chyb, podvodu, odchylek a ostatních rizik.
2201 – Přístup k plánování Při plánování jednotlivých zakázek musí interní auditoři vzít v potaz:
2210.A3 – K hodnocení řídicích a kontrolních systémů je nezbytná existence přiměřených kritérií. Interní auditoři musí zjistit, do jaké míry vedení zavedlo přiměřená kritéria, prostřednictvím kterých lze určit, zda stanovené úkoly a cíle byly splněny. Pokud jsou tato kritéria přiměřená, interní auditoři je musí použít pro svá hodnocení. Pokud nejsou tato kritéria přiměřená, interní auditoři musí ve spolupráci s vedením vytvořit vhodná hodnotící kritéria.
• cíle prověřované činnosti a prostředky, kterými je výkon této činnost řízen a kontrolován, • významná rizika související s touto činností, její cíle, zdroje, postupy a prostředky, použitím kterých je udržován možný dopad rizika na přijatelné úrovni, • přiměřenost a účinnost procesu řízení rizik a řídicích a kontrolních procesů týkajících se prověřované činnosti a jejich porovnání s celkovým rámcem nebo modelem řízení a kontroly, • příležitosti pro dosažení významných zdokonalení procesů řízení rizik prověřované činnosti a jejích řídicích a kontrolních procesů.
2210.C1 – Cíle poradenské zakázky se musí zaměřovat na procesy řízení a správy společnosti, na procesy řízení rizik a na procesy řízení a kontroly v rozsahu dohodnutém s klientem.
2201.A1 – Při plánování zakázky, která zahrnuje subjekty vně společnosti, musí interní auditoři dospět s těmito subjekty k písemné dohodě týkající se cílů, rozsahu, příslušných odpovědností a dalších očekávání, včetně omezení distribuce výsledků této zakázky a přístupu k záznamům shromážděným v rámci této zakázky.
2210.C2 – Cíle poradenské zakázky musí být stanoveny v souladu s hodnotami společnosti, jejími strategiemi a cíli. 2220 – Rozsah zakázky Stanovený rozsah zakázky musí být dostatečný ke splnění cílů zakázky.
2201.C1 – Interní auditoři musí dosáhnout shody s klienty poradenské zakázky ohledně cílů, rozsahu, příslušných odpovědností a dalších očekávání klienta. U významných zakázek musí být tato shoda zdokumentována.
2220.A1 – Při stanovení rozsahu zakázky musí být vzaty v úvahu příslušné systémy, záznamy, personál a fyzický majetek včetně majetku, který je pod kontrolou třetích stran. 57
2240.A1 – Work programs must include the procedures for identifying, analyzing, evaluating, and documenting information during the engagement. The work program must be approved prior to its implementation, and any adjustments approved promptly.
2220.A2 – If significant consulting opportunities arise during an assurance engagement, a specific written understanding as to the objectives, scope, respective responsibilities, and other expectations should be reached and the results of the consulting engagement communicated in accordance with consulting standards.
2240.C1 – Work programs for consulting engagements may vary in form and content depending upon the nature of the engagement.
2220.C1 – In performing consulting engagements, internal auditors must ensure that the scope of the engagement is sufficient to address the agreed-upon objectives. If internal auditors develop reservations about the scope during the engagement, these reservations must be discussed with the client to determine whether to continue with the engagement.
2300 – Performing the Engagement Internal auditors must identify, analyze, evaluate, and document sufficient information to achieve the engagement’s objectives.
2220.C2 – During consulting engagements, internal auditors must address controls consistent with the engagement’s objectives and be alert to significant control issues.
2310 – Identifying Information Internal auditors must identify sufficient, reliable, relevant, and useful information to achieve the engagement’s objectives.
2230 – Engagement Resource Allocation Internal auditors must determine appropriate and sufficient resources to achieve engagement objectives based on an evaluation of the nature and complexity of each engagement, time constraints, and available resources.
Interpretation: Sufficient information is factual, adequate, and convincing so that a prudent, informed person would reach the same conclusions as the auditor. Reliable information is the best attainable information through the use of appropriate engagement techniques. Relevant information supports engagement observations and recommendations and is consistent with the objectives for the engagement. Useful information helps the organization meet its goals.
2240 – Engagement Work Program Internal auditors must develop and document work programs that achieve the engagement objectives.
2320 – Analysis and Evaluation Internal auditors must base conclusions and engagement results on appropriate analyses and evaluations. 2330 – Documenting Information Internal auditors must document relevant information to support the conclusions and engagement results.
58
2240.C1 – Pracovní programy poradenských zakázek se mohou lišit svou formou a obsahem, a to v závislosti na charakteru zakázky.
2220.A2 – Jestliže se v průběhu ujišťovací zakázky objeví významný prostor k poskytnutí poradenských služeb, je zapotřebí dosáhnout konkrétní písemné shody týkající se cílů, rozsahu a příslušných odpovědností a dalších očekávání. Výsledky takové poradenské zakázky by měly být předány v souladu se standardy týkajícími se poskytování poradenství.
2300 – Realizace zakázky Za účelem splnění cílů zakázky musí interní auditoři identifikovat, analyzovat, hodnotit a dokumentovat dostatečné informace.
2220.C1 – Při provádění poradenských zakázek musí interní auditoři zajistit, aby rozsah zakázky byl dostatečný vzhledem k dohodnutým cílům zakázky. Mají-li interní auditoři během zakázky výhrady k jejímu rozsahu, musí tyto výhrady projednat s klientem a rozhodnout, zda pokračovat v práci na této zakázce.
2310 – Identifikace informací Ke splnění cílů zakázky musí interní auditoři identifikovat informace, které jsou dostatečné, spolehlivé, relevantní a účelné. Interpretace: Dostatečná informace je natolik konkrétní, odpovídající a přesvědčivá, že jakákoli uvážlivá a informovaná osoba by dospěla ke stejným závěrům jako auditor. Spolehlivá informace je informace nejlépe získatelná prostřednictvím příslušných postupů pro provedení zakázky. Relevantní informace slouží v rámci dané zakázky k podpoře pozorování a doporučení. Relevantní informace je v souladu s cíli zakázky. Účelná informace napomáhá společnosti dosahovat jejích cílů.
2220.C2 – V průběhu poradenských zakázek se interní auditoři musí zabývat řídicími a kontrolními mechanismy, které jsou v souladu s cíli zakázky a musí věnovat pozornost významným aspektům řídicího a kontrolního systému. 2230 – Rozvržení zdrojů v rámci zakázky Na základě ohodnocení povahy a složitosti každé zakázky, časových omezení a dostupnosti zdrojů musí interní auditoři určit zdroje přiměřené a vhodné ke splnění cílů zakázky.
2320 – Analýza a hodnocení Interní auditoři musí závěry a výsledky dané zakázky podložit vhodnými analýzami a hodnoceními.
2240 – Pracovní program zakázky Interní auditoři musí vypracovat pracovní programy, které vedou k dosažení cílů zakázky. Tyto plány musí být zdokumentovány.
2330 – Dokumentace informací Interní auditoři musí dokumentovat související informace, které podporují závěry a výsledky zakázky.
2240.A1 – Pracovní programy musí zahrnovat postupy pro identifikaci, analýzu, hodnocení a zaznamenávání informací v průběhu zakázky. Pracovní program musí být schválen před jeho realizací, všechny případné změny pracovního programu musí být schváleny neprodleně.
59
2410 – Criteria for Communicating Communications must include the engagement’s objectives and scope as well as applicable conclusions, recommendations, and action plans.
2330.A1 – The chief audit executive must control access to engagement records. The chief audit executive must obtain the approval of senior management and/or legal counsel prior to releasing such records to external parties, as appropriate. 2330.A2 – The chief audit executive must develop retention requirements for engagement records, regardless of the medium in which each record is stored. These retention requirements must be consistent with the organization’s guidelines and any pertinent regulatory or other requirements.
2410.A1 – Final communication of engagement results must, where appropriate, contain internal auditors’ opinion and/or conclusions. When issued, an opinion or conclusion must take account of the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information.
2330.C1 – The chief audit executive must develop policies governing the custody and retention of consulting engagement records, as well as their release to internal and external parties. These policies must be consistent with the organization’s guidelines and any pertinent regulatory or other requirements.
Interpretation: Opinions at the engagement level may be ratings, conclusions, or other descriptions of the results. Such an engagement may be in relation to controls around a specific process, risk, or business unit. The formulation of such opinions requires consideration of the engagement results and their significance.
2340 – Engagement Supervision Engagements must be properly supervised to ensure objectives are achieved, quality is assured, and staff is developed.
2410.A2 – Internal auditors are encouraged to acknowledge satisfactory performance in engagement communications. 2410.A3 – When releasing engagement results to parties outside the organization, the communication must include limitations on distribution and use of the results.
Interpretation: The extent of supervision required will depend on the proficiency and experience of internal auditors and the complexity of the engagement. The chief audit executive has overall responsibility for supervising the engagement, whether performed by or for the internal audit activity, but may designate appropriately experienced members of the internal audit activity to perform the review. Appropriate evidence of supervision is documented and retained.
2410.C1 – Communication of the progress and results of consulting engagements will vary in form and content depending upon the nature of the engagement and the needs of the client. 2420 – Quality of Communications Communications must be accurate, objective, clear, concise, constructive, complete, and timely.
2400 – Communicating Results Internal auditors must communicate the results of engagements.
60
2410 – Kritéria komunikace Zprávy musí obsahovat cíl a rozsah zakázky, příslušné závěry, doporučení a seznam opatření navržených k odstranění nedostatků.
2330.A1 – Vedoucí interního auditu musí stanovit pravidla pro přístup k záznamům pořízeným v rámci zakázky. Před zpřístupněním záznamů externím subjektům musí vedoucí interního auditu získat souhlas vedení a/nebo právního zástupce.
2410.A1 – V případech, kdy je to vhodné, musí závěrečná zpráva o výsledcích zakázky obsahovat závěry nebo názor interního auditora, popřípadě obojí. Při vydávání názoru nebo závěru se musí zohlednit očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) a názor nebo závěr musí být podloženy dostatečnou, spolehlivou, relevantní a účelnou informací.
2330.A2 – Bez ohledu na povahu média, na kterém jsou záznamy uloženy, vedoucí interního auditu musí stanovit požadavky na archivaci záznamů pořízených v rámci zakázky. Tyto požadavky musí být vypracovány v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.
Interpretace: Názory uvedené v zakázce mohou mít formu ratingů, závěrů nebo dalších popisů výsledků. Taková zakázka se může týkat řídicích a kontrolních mechanismů vztahujících se ke specifickému procesu, riziku nebo odbornému útvaru. Formulace těchto názorů vyžaduje, aby byly zváženy výsledky zakázky a jejich významnost.
2330.C1 – Vedoucí interního auditu musí stanovit zásady pro úschovu a archivaci informací pořízených v rámci poradenské zakázky a také zásady pro jejich vydání interním a externím subjektům. Tyto zásady musí být v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky. 2340 – Dohled (supervize) nad prováděním zakázky Nad zakázkami musí být prováděn řádný dohled (supervize) tak, aby bylo zaručeno, že jsou splněny jejich cíle, je zajištěna jejich odpovídající kvalita a že kompetence zaměstnanců jsou dostatečné.
2410.A2 – Interním auditorům se doporučuje, aby v případě uspokojivého výsledku zakázky tuto skutečnost zmínili v související zprávě. 2410.A3 – Pokud jsou výsledky zakázky předávány subjektům vně společnosti, musí související zpráva obsahovat omezení týkající se distribuce a použití těchto výsledků.
Interpretace: Rozsah požadovaného dohledu bude záviset na odbornosti a zkušenostech interních auditorů a na složitosti dané zakázky. Vedoucí interního auditu má celkovou odpovědnost za dohled nad zakázkou, ať již je prováděna samotným interním auditem nebo jiným subjektem. Vedoucí interního auditu může ale též pověřit tímto prověřením dostatečně zkušené zaměstnance interního auditu. Příslušné doklady týkající se provádění dohledu jsou zdokumentovány a uchovávány.
2410.C1 – Informace/zprávy o postupu a výsledcích poradenských zakázek se budou lišit svou formou a obsahem, a to v závislosti na charakteru zakázky a potřebách klienta. 2420 – Kvalita zpráv Zprávy musí být přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné.
2400 – Předávání výsledků Interní auditoři musí předávat informace týkající se výsledků zakázky. 61
2431 – Engagement Disclosure of Nonconformance When nonconformance with the Definition of Internal Auditing, the Code of Ethics or the Standards impacts a specific engagement, communication of the results must disclose the: • Principle or rule of conduct of the Code of Ethics or Standard(s) with which full conformance was not achieved; • Reason(s) for nonconformance; and • Impact of nonconformance on the engagement and the communicated engagement results.
Interpretation: Accurate communications are free from errors and distortions and are faithful to the underlying facts. Objective communications are fair, impartial, and unbiased and are the result of a fair-minded and balanced assessment of all relevant facts and circumstances. Clear communications are easily understood and logical, avoiding unnecessary technical language and providing all significant and relevant information. Concise communications are to the point and avoid unnecessary elaboration, superfluous detail, redundancy, and wordiness. Constructive communications are helpful to the engagement client and the organization and lead to improvements where needed. Complete communications lack nothing that is essential to the target audience and include all significant and relevant information and observations to support recommendations and conclusions. Timely communications are opportune and expedient, depending on the significance of the issue, allowing management to take appropriate corrective action.
2440 – Disseminating Results The chief audit executive must communicate results to the appropriate parties. Interpretation: The chief audit executive or designee reviews and approves the final engagement communication before issuance and decides to whom and how it will be disseminated.
2421 – Errors and Omissions If a final communication contains a significant error or omission, the chief audit executive must communicate corrected information to all parties who received the original communication.
2440.A1 – The chief audit executive is responsible for communicating the final results to parties who can ensure that the results are given due consideration.
2430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing” Internal auditors may report that their engagements are “conducted in conformance with the International Standards for the Professional Practice of Internal Auditing”, only if the results of the quality assurance and improvement program support the statement.
2440.A2 – If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization the chief audit executive must: • Assess the potential risk to the organization; • Consult with senior management and/or legal counsel as appropriate; and • Control dissemination by restricting the use of the results. 2440.C1 – The chief audit executive is responsible for communicating the final results of consulting engagements to clients. 62
Interpretace: Přesné zprávy neobsahují chyby a zkreslení a věrným způsobem odpovídají zjištěným skutečnostem. Objektivní zprávy jsou nestranné, nezaujaté a nezkreslené a jsou výsledkem spravedlivého a vyváženého ohodnocení všech souvisejících skutečností a okolností. Jasné zprávy jsou snadno pochopitelné a logické, neobsahují nepotřebné technické výrazy a poskytují všechny významné a relevantní informace. Stručné zprávy jdou k podstatě věci a vyhýbají se nepotřebným podrobným popisům, přemíře detailů, nadbytečnosti informací a rozvláčnosti. Konstruktivní zprávy přinášejí klientovi a společnosti prospěch a zdokonalení tam, kde je to potřebné. Úplné zprávy nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny uživatelů a obsahují všechny významné a související informace a pozorování nezbytná pro zdůvodnění doporučení a závěrů. Včasné zprávy jsou dobře načasované, odpovídajícím způsobem reagující na vznik nenadálých situací a to vzhledem k důležitosti zjištěného problému. Včasné zprávy umožňují vedení přijmout odpovídající nápravné opatření.
2431 – Poskytnutí informací v případě nesouladu Pokud má nesoulad s Etickým kodexem a Standardy dopad na konkrétní zakázku, zpráva o výsledcích musí obsahovat:
2421 – Chyby a opomenutí Pokud závěrečná zpráva obsahuje závažné chyby nebo opomenutí, musí vedoucí interního auditu poskytnout opravené informace všem osobám, které obdržely původní zprávu.
2440.A1 – Vedoucí interního auditu odpovídá za předání závěrečných výsledků těm subjektům, které jsou schopny zajistit, že těmto výsledkům bude věnována odpovídající pozornost.
• výčet zásad nebo pravidel jednání obsažených v Etickém kodexu nebo ve Standardech, s kterými nebylo dosaženo souladu, • důvod(y) nesouladu, • dopad nesouladu na danou zakázku a její výsledky. 2440 – Distribuce výsledků Vedoucí interního auditu musí předat výsledky všem příslušným stranám. Interpretace: Před vydáním závěrečné zprávy o zakázce vedoucí interního auditu nebo jím pověřená osoba tuto zprávu prověří, schválí a rozhodne komu a jak bude distribuována.
2440.A2 – Pokud není právními, statutárními nebo regulatorními požadavky stanoveno jinak, vedoucí interního auditu před předáním výsledků auditu subjektům vně společnosti musí:
2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Interním auditorům je doporučeno informovat o tom, že jejich zakázky jsou “Provedeny v souladu s Mezinárodními standardy pro profesní praxi interního auditu”. Tento výraz však mohou použít pouze tehdy, pokud výsledky programu pro zabezpečení a zvyšování kvality toto stanovisko podporují.
• zhodnotit případné riziko hrozící společnosti, • dle potřeby se poradit s vedením a/nebo s právním zástupcem, • stanovit omezení, za kterých mohou být výsledky použity a zajistit tak kontrolu nad jejich distribucí. 2440.C1 – Vedoucí interního auditu odpovídá za předání závěrečných výsledků poradenských zakázek klientům. 63
2600 – Resolution of Senior Management’s Acceptance of Risks When the chief audit executive believes that senior management has accepted a level of residual risk that may be unacceptable to the organization, the chief audit executive must discuss the matter with senior management. If the decision regarding residual risk is not resolved, the chief audit executive must report the matter to the board for resolution.
2440.C2 – During consulting engagements, governance, risk management, and control issues may be identified. Whenever these issues are significant to the organization, they must be communicated to senior management and the board. 2450 – Overall Opinions When an overall opinion is issued, it must take into account the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information. Interpretation: The communication will identify: • The scope, including the time period to which the opinion pertains; • Scope limitations; • Consideration of all related projects including t he reliance on other assurance providers; • The risk or control framework or other criteria used as a basis for the overall opinion; and • The overall opinion, judgment, or conclusion reached. The reasons for an unfavorable overall opinion must be stated. 2500 – Monitoring Progress The chief audit executive must establish and maintain a system to monitor the disposition of results communicated to management. 2500.A1 – The chief audit executive must establish a follow-up process to monitor and ensure that management actions have been effectively implemented or that senior management has accepted the risk of not taking action. 2500.C1 – The internal audit activity must monitor the disposition of results of consulting engagements to the extent agreed upon with the client.
64
2440.C2 – Při poradenských zakázkách mohou být identifikovány problémy v oblasti řízení a správy společnosti, řízení rizik, a řídicího a kontrolního systému. Pokud jsou tyto problémy pro společnost významné, musí být sděleny vedení a orgánům společnosti. 2450 – Celkové názory Když je vydáván celkový názor musí v něm být zohledněna očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) a názor musí být podložen dostatečnou, spolehlivou, relevantní a účelnou informací.
2500.C1 – Interní audit musí sledovat způsob nakládání s výsledky poradenských zakázek v rozsahu dohodnutém s klientem. 2600 – Rozhodnutí o přijetí rizika vedením společnosti Pokud se vedoucí interního auditu domnívá, že vedení společnosti přijalo takový stupeň zbytkového rizika, který by mohl být pro tuto společnost nepřijatelný, musí s vedením tuto skutečnost projednat. Pokud se nepodaří dosáhnout rozhodnutí ohledně zbytkového rizika, musí vedoucí interního auditu předat tuto záležitost k vyřešení orgánům společnosti.
Interpretace: Takové sdělení bude zahrnovat: • rozsah, včetně časového období, ke kterému se názor vztahuje, omezení rozsahu, • zvážení všech souvisejících projektů, včetně spolehnutí se na ostatní poskytovatele ujištění, • riziko nebo vnitřní řídicí a kontrolní rámec nebo další kritéria využitá jako základ pro formulaci celkového názoru, a • celkový názor, úsudek nebo závěr, ke kterým se dospělo. • Musí být uvedeny důvody vedoucí k nepříznivému celkovému názoru. 2500 – Monitorování Vedoucí interního auditu musí zavést a udržovat systém, který umožní sledovat, jak se s výsledky předanými vedení dále nakládá. 2500.A1 – Vedoucí interního auditu musí zavést proces následné kontroly, který bude sledovat a zaručovat, že nápravná opatření byla účinně provedena, nebo že vedení společnosti převzalo odpovědnost za riziko neprovedení nápravných opatření.
65
GLOSSARY
Chief Audit Executive Chief audit executive describes a person in a senior position responsible for effectively managing the internal audit activity in accordance with the internal audit charter and the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive or others reporting to the chief audit executive will have appropriate professional certifications and qualifications. The specific job title of the chief audit executive may vary across organizations.
Add Value The internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes. Adequate Control Present if management has planned and organized (designed) in a manner that provides reasonable assurance that the organization’s risks have been managed effectively and that the organization’s goals and objectives will be achieved efficiently and economically.
Code of Ethics The Code of Ethics of The Institute of Internal Auditors (IIA) are Principles relevant to the profession and practice of internal auditing, and Rules of Conduct that describe behavior expected of internal auditors. The Code of Ethics applies to both parties and entities that provide internal audit services. The purpose of the Code of Ethics is to promote an ethical culture in the global profession of internal auditing.
Assurance Services An objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization. Examples may include financial, performance, compliance, system security, and due diligence engagements.
Compliance Adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements.
Board A board is an organization’s governing body, such as a board of directors, supervisory board, head of an agency or legislative body, board of governors or trustees of a nonprofit organization, or any other designated body of the organization, including the audit committee to whom the chief audit executive may functionally report.
Conflict of Interest Any relationship that is, or appears to be, not in the best interest of the organization. A conflict of interest would prejudice an individual’s ability to perform his or her duties and responsibilities objectively.
Charter The internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and responsibility. The internal audit charter establishes the internal audit activity’s position within the organization; authorizes access to records, personnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activities. 66
VÝKLAD POJMŮ
společnosti, oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činností interního auditu.
Add Value – Přinášet přidanou hodnotu Interní audit přidává hodnotu společnosti a ostatním zainteresovaným subjektům (stakeholders) pokud poskytuje objektivní a náležité ujištění a přispívá k účinnosti a efektivnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů.
Chief Audit Executive – Vedoucí interního auditu Vedoucí interního auditu je charakterizován jako osoba v seniorské pozici, která je odpovědná za účinné řízení činnosti interního auditu tak, aby byla v souladu se Statutem interního auditu, Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu nebo ostatní, kteří jsou mu podřízeni mají odpovídající profesní certifikaci a kvalifikaci. Specifický název pro pozici vedoucího interního auditu se může v jednotlivých společnostech lišit.
Adequate control – Odpovídající kontrolní a řídicí systémy/mechanismy Odpovídající kontrolní a řídicí systémy existují, jestliže vedení společnosti postupuje (plánuje a navrhuje) takovým způsobem, který poskytuje přiměřenou jistotu, že rizika organizace jsou účinně řízena a že cíle organizace budou realizovány efektivně a hospodárně.
Code of Ethics – Etický kodex Etický kodex Institutu interních auditorů (IIA) tvoří Principy relevantní profesi a praxi interního auditu a Pravidla jednání, která popisují chování, které je od interních auditorů očekáváno. Etický kodex se týká všech jednotlivců a subjektů poskytujících služby interního auditu. Posláním Etického kodexu je celosvětová podpora etického přístupu v rámci profese interního auditu.
Assurance services – Ujišťovací služby/popř. audit Objektivní posouzení průkazného materiálu, jehož cílem je poskytnutí nezávislého zhodnocení procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních systémů dané společnosti. Příkladem jsou finanční audity, audity výkonnosti, audity souladu, bezpečností audity a audity prováděné před akvizicí nového subjektu (due diligence).
Compliance – Soulad Dodržování zásad, plánů, postupů, zákonů, regulatorních norem, smluv a dalších požadavků.
Board – Orgány společnosti Orgány společnosti jsou řídící orgány, jako jsou představenstvo, dozorčí rada, ředitel instituce nebo legislativního orgánu, řídicí orgány (rada správců) neziskových organizací nebo jakékoli jinak ustanovené řídicí orgány společnosti, včetně výboru pro audit, kterému je vedoucí interního auditu funkčně podřízen.
Conflict of Interest – Konflikt/střet zájmů Jakýkoliv vztah, který není v nejlepším zájmu dané organizace nebo se takovým jeví. Konflikt zájmů negativně ovlivňuje schopnost jednotlivce vykonávat své funkce objektivně.
Charter – Statut (vymezení funkcí a působnosti interního auditu) Statutem interního auditu se rozumí písemný dokument, který definuje účel, pravomoci a odpovědnosti interního auditu. Statut určuje postavení interního auditu v rámci 67
Engagement A specific internal audit assignment, task, or review activity, such as an internal audit, control self-assessment review, fraud examination, or consultancy. An engagement may include multiple tasks or activities designed to accomplish a specific set of related objectives.
Consulting Services Advisory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization’s governance, risk management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training.
Engagement Objectives Broad statements developed by internal auditors that define intended engagement accomplishments.
Control Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved.
Engagement Work Program A document that lists the procedures to be followed during an engagement, designed to achieve the engagement plan. External Service Provider A person or firm outside of the organization that has special knowledge, skill, and experience in a particular discipline.
Control Environment The attitude and actions of the board and management regarding the importance of control within the organization. The control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. The control environment includes the following elements: • • • • • •
Fraud Any illegal act characterized by deceit, concealment, or violation of trust. These acts are not dependent upon the threat of violence or physical force. Frauds are perpetrated by parties and organizations to obtain money, property, or services; to avoid payment or loss of services; or to secure personal or business advantage.
Integrity and ethical values. Management’s philosophy and operating style. Organizational structure. Assignment of authority and responsibility. Human resource policies and practices. Competence of personnel.
Governance The combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives.
Control Processes The policies, procedures, and activities that are part of a control framework, designed to ensure that risks are contained within the risk tolerances established by the risk management process.
68
Engagement – Zakázka Konkrétní zadání interního auditu, úkol nebo prověřovací činnost (jako jsou např. šetření interního auditu, prověrka sebehodnocení řídicího a kontrolního systému, vyšetřování podvodu nebo poradenství). Zakázka může zahrnovat více dílčích úkolů nebo činností, jejichž cílem je splnění konkrétních stanovených cílů.
Consulting Services – Poradenské služby Poradenská činnost a související klientské služby, jejichž charakter a rozsah jsou dohodnuty s klientem a očekává se od nich přinášení přidané hodnoty a zdokonalení řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, aniž by interní auditor přebíral řídicí odpovědnost. Příkladem jsou právní a jiné poradenství, podpora a školení.
Engagement Objectives – Cíle zakázky Široce formulované tvrzení, jímž interní auditoři definují plánované výsledky zakázky.
Control – Řídicí a kontrolní mechanismus Jakékoli opatření přijaté vedením a orgány společnosti nebo dalšími subjekty s cílem řízení rizika a zvýšení pravděpodobnosti, že stanovené cíle budou splněny. Vedení plánuje, organizuje a řídí provádění jednotlivých kroků, které poskytnou přiměřenou jistotu, že cíle budou dosaženy.
Engagement Work Program – Pracovní plán zakázky Dokument obsahující postupy, které mají být použity v průběhu zakázky a které slouží ke splnění plánu zakázky. External Service Provider – Externí poskytovatel služeb Osoba nebo firma, vně dané společnosti, která má v určité oblasti specifické znalosti, dovednosti a zkušenosti.
Control Environment – Kontrolní prostředí Postoje a kroky orgánů a vedení společnosti, týkající se řídicího a kontrolního systému v dané organizaci. Řídicí a kontrolní prostředí poskytuje pravidla a strukturu pro dosažení hlavních cílů systému řízení a kontroly a zahrnuje tyto prvky: • • • • • •
Fraud – Podvod Jakákoli nezákonná činnost, při které dochází k podvodnému jednání, zatajování informací a narušení důvěry. Při této činnosti nemusí dojít k pohrůžce násilím nebo fyzickým násilím. Podvody páchají jednotlivci i společnosti s cílem získat finanční prostředky, majetek nebo služby, vyhnout se platbě za určité služby nebo jejich ztrátě a zajistit si osobní nebo podnikatelské zvýhodnění.
integritu a etické hodnoty, filosofii vedení a styl řízení, organizační strukturu, stanovení pravomocí a odpovědností, zásady a postupy řízení lidských zdrojů, kvalifikaci zaměstnanců.
Governance – Řízení a správa organizace Kombinace procesů a struktur zavedených orgány společnosti za účelem informování, kontroly, řízení a monitorování činností organizace směrem k dosažení jejích cílů.
Control Processes – Řídicí a kontrolní procesy Zásady, postupy a činnosti, které jsou součástí rámce řízení a kontroly, a které mají zajistit, že rizika jsou udržována v mezích tolerance rizika, která je stanovena prostřednictvím procesu řízení rizik.
69
Must The Standards use the word “must” to specify an unconditional requirement.
Impairment Impairment to organizational independence and individual objectivity may include personal conflict of interest, scope limitations, restrictions on access to records, personnel, and properties, and resource limitations (funding).
Objectivity An unbiased mental attitude that allows internal auditors to perform engagements in such a manner that they believe in their work product and that no quality compromises are made. Objectivity requires that internal auditors do not subordinate their judgment on audit matters to others.
Independence The freedom from conditions that threaten the ability of the internal audit activity to carry out internal audit responsibilities in an unbiased manner. Information Technology Controls Controls that support business management and governance as well as provide general and technical controls over information technology infrastructures such as applications, information, infrastructure, and people.
Residual Risk The risk remaining after management takes action to reduce the impact and likelihood of an adverse event, including control activities in responding to a risk. Risk The possibility of an event occurring that will have an impact on the achievement of objectives. Risk is measured in terms of impact and likelihood.
Information Technology Governance Consists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology sustains and supports the organization’s strategies and objectives.
Risk Appetite The level of risk that an organization is willing to accept.
Internal Audit Activity A department, division, team of consultants, or other practitioner(s) that provides independent, objective assurance and consulting services designed to add value and improve an organization’s operations. The internal audit activity helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of governance, risk management and control processes.
Risk Management A process to identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives.
International Professional Practices Framework The conceptual framework that organizes the authoritative guidance promulgated by The IIA. Authoritative Guidance is comprised of two categories – (1) mandatory and (2) endorsed and strongly recommended.
70
Impairment – Narušení Narušení organizační nezávislosti a individuální objektivity může zahrnovat osobní konflikt zájmu, omezení rozsahu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů (finančních).
International Professional Practices Framework – Mezinárodní rámec pro profesní praxi Koncepční rámec závazných směrnic stanovených IIA. Závazné směrnice sestávají ze dvou kategorií – (1) povinné a (2) podporované a důrazně doporučené.
Independence – Nezávislost Nepřítomnost stavu, který ohrožuje schopnost interního auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem.
Must – Muset Standardy používají slovo „muset“ pro vyjádření bezpodmínečného požadavku. Objectivity – Objektivita Nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět zakázky takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům.
Information Technology Controls – Kontrolní mechanismy v oblasti informačních technologií Kontrolní mechanismy, které podporují řízení společnosti a její správu, a současně poskytují celkovou a technickou kontrolu nad prvky infrastruktury informačních technologií, kterými jsou např. aplikace, informace, infrastruktura a personál.
Residual Risk – Zbytkové (reziduální) riziko Riziko přetrvávající poté, co vedení přijme opatření omezující dopad a pravděpodobnost nepříznivé události, včetně zavedení řídicích a kontrolních postupů reagujících na riziko.
Information Technology Governance – Řízení a správa informačních technologií Jejími prvky jsou řízení, organizační struktura a procesy, které zajišťují, že informační technologie trvale podporují strategii a cíle společnosti a jsou s nimi v souladu.
Risk – Riziko Možnost, že dojde k určité události, která bude mít negativní vliv na dosažení stanovených cílů. Riziko se měří na základě jeho dopadu a pravděpodobnosti výskytu.
Internal Audit Activity – Interní audit Útvar, divize, poradenský tým nebo jiní odborníci, kteří poskytují nezávislé, objektivní, ujišťovací a konzultační služby, jejichž účelem je přidávání hodnoty a zdokonalování procesů ve společnosti. Interní audit pomáhá společnosti dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zdokonalování účinnosti procesů řízení a správy společnosti, řízení rizik a procesů řízení a kontroly.
Risk Appetite – Riziková tolerance Úroveň rizika, kterou je společnost ochotna přijmout. Risk Management – Řízení rizik Proces identifikace, ohodnocení, řízení a kontroly možného výskytu událostí a situací za účelem poskytnutí přiměřeného ujištění ohledně dosažení cílů společnosti.
71
Should The Standards use the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation. Significance The relative importance of a matter within the context in which it is being considered, including quantitative and qualitative factors, such as magnitude, nature, effect, relevance, and impact. Professional judgment assists internal auditors when evaluating the significance of matters within the context of the relevant objectives. Standard A professional pronouncement promulgated by the Internal Audit Standards Board that delineates the requirements for performing a broad range of internal audit activities, and for evaluating internal audit performance. Technology-based Audit Techniques Any automated audit tool, such as generalized audit software, test data generators, computerized audit programs, specialized audit utilities, and computer-assisted audit techniques (CAATs).
72
